Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
Resumen
La
Decisión de Ejecución (UE) 2025/1382 de la Comisión, adoptada el 15 de julio de
2025, establece que el nivel de protección de datos personales garantizado por la
Organización Europea de Patentes (OEP) es adecuado según los estándares del Reglamento
General de Protección de Datos (RGPD, Reglamento (UE) 2016/679). Esta es la primera
vez que la Comisión Europea emite una decisión de adecuación para una organización
internacional, permitiendo que los datos personales fluyan libremente desde la UE
(incluidos Noruega, Liechtenstein e Islandia) a la OEP sin necesidad de garantías
ni autorizaciones adicionales.
La
Decisión de adecuación reconoce que el marco de protección de datos de la OEP ofrece
una protección “esencialmente equivalente” a la de la UE, tras una evaluación exhaustiva
del régimen jurídico, las políticas y las prácticas de la OEP.
Bajo este marco, las transferencias de
datos pueden realizarse sin problemas entre los responsables/encargados del tratamiento
con sede en la UE y la OEP, impulsando así la cooperación, la innovación y la eficiencia
administrativa en materia de patentes en toda Europa.
Las
normas de protección de datos de la OEP se ajustan estrechamente a los estándares
de la UE, otorgando a las personas derechos como el acceso, la rectificación, la
supresión, la objeción y la portabilidad de datos, así como sólidos mecanismos de
gobernanza y supervisión.
Cualquier
restricción o excepción dentro de las normas de la OEP debe ser necesaria, proporcionada
y sujeta a garantías, similares a las establecidas en el RGPD.
En
Conclusión, la Decisión (UE) 2025/1382 de la Comisión Europea supone un hito para
los flujos de datos entre la UE y la OEP, garantizando que las transferencias de
datos personales a la OEP cumplen los estrictos criterios de protección de datos
de la UE, beneficiando a los innovadores y salvaguardando los derechos individuales.
La interrogante para América Latina es sí es posible que las Autoridades de Protección de Datos Personales realicen las mismas adecuaciones, individualmente, vía las Oficinas de Propiedad Intelectual, a través de las Oficinas Regionales de la OMPI y/o de la OEA.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com
______________________________________________________
 | Diario Oficial | ES Serie L |
2025/1382 | 18.7.2025 |
DECISIÓN DE EJECUCIÓN (UE) 2025/1382 DE LA COMISIÓN
de 15 de julio de 2025
relativa a la adecuación del nivel de protección de los datos personales conferido por la Organización Europea de Patentes con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo
[notificada con el número C(2025) 4626]
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (1), y en particular su artículo 45, apartado 3,
Considerando lo siguiente:
1. INTRODUCCIÓN
(1) | El Reglamento (UE) 2016/679 establece las normas que regulan la transferencia de datos personales de los responsables o encargados del tratamiento en la Unión a terceros países y organizaciones internacionales, en la medida en que tales transferencias se encuentren comprendidas dentro de su ámbito de aplicación. Las normas sobre las transferencias internacionales de datos se establecen en el capítulo V (artículos 44 a 50) de dicho Reglamento. Si bien la circulación de datos personales hacia y desde países y organizaciones internacionales no pertenecientes a la UE es esencial para la expansión del comercio transfronterizo y la cooperación internacional, el nivel de protección de los datos personales en la Unión no debe verse menoscabado por las transferencias a terceros países y organizaciones internacionales (2). |
(2) | De conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679, la Comisión puede decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país o una organización internacional garantizan un nivel de protección adecuado. En tal caso, la transferencia de datos personales a una organización internacional puede realizarse sin necesidad de obtener ninguna otra autorización, de conformidad con lo dispuesto en el artículo 45, apartado 1, y el considerando 103 de dicho Reglamento. |
(3) | Tal como se especifica en el artículo 45, apartado 2, del Reglamento (UE) 2016/679, la adopción de una decisión de adecuación ha de basarse en un análisis exhaustivo del régimen jurídico de la organización internacional, que contemple tanto las normas aplicables a los importadores de datos como las limitaciones y garantías en lo que respecta al acceso a los datos personales por parte de las autoridades públicas. En su evaluación, la Comisión debe determinar si la organización internacional en cuestión garantiza un nivel de protección «equivalente en lo esencial» al ofrecido en la Unión (3). El criterio con el que se evalúa el nivel de protección «equivalente en lo esencial» es el que establece la legislación de la Unión Europea, en concreto el Reglamento (UE) 2016/679, así como la jurisprudencia del Tribunal de Justicia de la Unión Europea (4). Las «referencias sobre adecuación» del Comité Europeo de Protección de Datos (CEPD) también son importantes a este respecto para aclarar en mayor medida dicho criterio y proporcionar orientaciones (5). |
(4) | Como ya aclaró el Tribunal de Justicia, no puede exigirse a un tercer país o a una organización internacional que garantice un nivel de protección idéntico al garantizado en el ordenamiento jurídico de la Unión (6). En particular, los medios de que se sirve el tercer país u organización internacional en cuestión para la protección de los datos personales pueden ser diferentes de los aplicados en la Unión, siempre que, en la práctica, sean eficaces para garantizar un nivel de protección adecuado (7). Por consiguiente, el principio de adecuación no exige que se reproduzcan al pie de la letra las normas de la Unión, Se trata más bien de determinar si, a través de la esencia de los derechos de privacidad y las salvaguardias de protección de datos (especialmente su aplicación, fuerza ejecutiva y supervisión efectivas), así como atendiendo a las circunstancias que rodean a la transferencia de datos personales, el ordenamiento en cuestión ofrece, en su conjunto, el nivel de protección exigido (8). |
(5) | La Comisión ha analizado el marco jurídico y la práctica de la Organización Europea de Patentes. A partir de las conclusiones establecidas en los considerandos 7 a 100, la Comisión concluye que la Organización Europea de Patentes (OEP) garantiza un nivel adecuado de protección para los datos personales transferidos dentro del ámbito de aplicación del Reglamento (UE) 2016/679 de la Unión a la OEP. |
(6) | Con arreglo a la presente Decisión, pueden producirse transferencias de responsables y encargados del tratamiento en la Unión a la Organización Europea de Patentes sin necesidad de obtener ninguna autorización adicional. La presente Decisión no debe tener ninguna incidencia en la aplicación directa del Reglamento (UE) 2016/679 a estas entidades cuando se cumplan las condiciones relativas al ámbito territorial establecidas en el artículo 3 de dicho Reglamento. |
2. NORMAS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES
2.1. Organización y funciones de la Organización Europea de Patentes
(7) | La Organización Europea de Patentes es una organización intergubernamental que se creó el 7 de octubre de 1977 sobre la base del Convenio sobre la Patente Europea (CPE). La Organización tiene su sede en Múnich y cuenta con treinta y nueve Estados contratantes, es decir, todos los Estados miembros de la Unión, Islandia, Noruega y Liechtenstein, así como Albania, Macedonia del Norte, Mónaco, San Marino, Serbia, Suiza, Montenegro, el Reino Unido y Turquía (9). |
(8) | La Organización tiene personalidad jurídica (10) y consta de dos órganos (11): la Oficina Europea de Patentes (la Oficina) y el Consejo de Administración. La función principal de la OEP es la concesión de patentes europeas (12) de conformidad con el CPE. La Oficina es la encargada de realizar las concesiones bajo la supervisión del Consejo de Administración. El Consejo de Administración está compuesto por representantes de los Estados contratantes y ejerce competencias legislativas en nombre de la OEP. También se encarga de cuestiones políticas y supervisa las actividades de la Oficina (13). La Oficina, que actúa como órgano ejecutivo de la OEP, está dirigida por un presidente (14) que la gestiona (el presidente) y rinde cuentas ante el Consejo de Administración (15). El presidente, entre otras cosas, prepara y ejecuta el presupuesto de la Oficina, nombra y supervisa al personal de la Oficina, ejerce la autoridad disciplinaria sobre el personal, vela por el funcionamiento de la Oficina, en particular por la adopción de instrucciones administrativas internas y la información al público, y puede presentar al Consejo de Administración cualquier propuesta de modificación del Convenio, las normas generales o las decisiones que sean de su competencia (16). La Oficina está compuesta por diferentes departamentos, entre ellos una Sección de Depósito, una División Jurídica, Divisiones de Examen y de Oposición y las Cámaras de Recursos (un órgano interno independiente ante el que pueden recurrirse las resoluciones adoptadas por la OEP en el marco del procedimiento de concesión de patentes) (17). |
(9) | En el desempeño de sus funciones, la OEP recibe datos personales de diversos agentes de la Unión. De forma continua, solicitantes de patentes presentan solicitudes de patentes europeas (18) ante la OEP o dichas solicitudes le son transmitidas a la OEP por las oficinas nacionales de patentes de los Estados miembros (19). La OEP también recibe y trata datos personales en el contexto de las tareas que le encomienda el Reglamento (UE) n.o 1257/2012 del Parlamento Europeo y del Consejo (20). Estas tareas incluyen la recepción y el examen de las solicitudes de efecto unitario de las patentes europeas, la recaudación de tasas anuales y el registro del efecto unitario (21). En este contexto, la OEP también recibe solicitudes del Tribunal Unificado de Patentes sobre los recursos en curso ante la Cámara de Recursos de la Oficina (22), que pueden contener los datos personales necesarios para identificar el asunto en cuestión (23). |
(10) | Del mismo modo, la OEP recibe datos personales contenidos en las solicitudes de patentes internacionales cuando actúa con arreglo al Tratado de Cooperación en materia de Patentes (PCT, por sus siglas en inglés), un tratado internacional que permite a los solicitantes obtener patentes con efectos en todos los Estados contratantes del PCT (24). La OEP actúa como Administración encargada de la búsqueda internacional en el marco del PCT y, como tal, revisa la patentabilidad de las invenciones divulgadas en las solicitudes internacionales, lo que ayuda a los solicitantes a determinar si presentan o no una solicitud de examen sustantivo a nivel nacional o de la Unión (25). |
(11) | Además, la OEP coopera estrechamente con las oficinas nacionales de patentes de todos los Estados miembros en el marco de la «Red Europea de Patentes» y, en este contexto, intercambia datos personales con ellas, por ejemplo, a la hora de impartir cursos de formación y prestar servicios informáticos para apoyar y reforzar la cooperación con arreglo al CPE. Del mismo modo, ha celebrado acuerdos bilaterales de cooperación con Estados miembros que conllevan un intercambio de datos personales, por ejemplo, en el contexto de la creación de grupos de trabajo, el envío en comisión de servicios y el despliegue de expertos técnicos, etc. También colabora estrechamente con la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO), por ejemplo, impartiendo cursos de formación conjuntos y celebrando actos de sensibilización, así como mediante el envío de expertos en comisión de servicios. |
(12) | Por último, la OEP tiene contratos con varios proveedores de servicios de la Unión que actúan como encargados del tratamiento en el sentido del artículo 4, punto 8, del Reglamento (UE) 2016/679 y transfieren datos personales a la OEP. |
2.2. Marco jurídico aplicable y normas sobre protección de datos
(13) | El Derecho primario que regula las actividades de la OEP está establecido por un tratado internacional, a saber, el Convenio sobre la Patente Europea y, cuando la OEP actúa con arreglo al Tratado de Cooperación en materia de Patentes (PCT), por este último. En un segundo nivel de la jerarquía normativa aplicable a la OEP se sitúan los actos jurídicos adoptados por el Consejo de Administración o, por lo que respecta al PCT, por la Asamblea del PCT. El Derecho derivado de la OEP incluye el Reglamento de Ejecución del CPE y el denominado Estatuto de los funcionarios (que regula aspectos relacionados con el personal de la OEP, incluidos los derechos y obligaciones de dicho personal) (26). El derecho a la protección de los datos de carácter personal se establece en el artículo 1 ter del Estatuto de los funcionarios (27), que también contiene algunas disposiciones esenciales del marco de protección de datos de la OEP, a saber, las relativas al ámbito de aplicación de dicho marco de protección de datos, a la protección de categorías especiales de datos y al ejercicio de los derechos de las personas. El artículo 2, apartado 1, y el artículo 32 ter del Estatuto de los funcionarios establecen mecanismos de supervisión independientes (el delegado de protección de datos, en lo sucesivo «DPD», y el Comité de Protección de Datos, en lo sucesivo «CPD») para supervisar el cumplimiento de las normas sobre protección de datos (28). |
(14) | Los mismos requisitos sustantivos que rigen la protección de los datos personales se aplican al Consejo de Administración y a la Oficina, así como a todos sus departamentos. En particular, el tratamiento de datos personales por parte de la Oficina está regulado por el Reglamento de aplicación de los artículos 1 ter y 32 bis del Estatuto de los funcionarios y otros agentes de la Oficina Europea de Patentes relativos a la protección de datos personales (Reglamento relativo a la protección de datos, en lo sucesivo «RPD»), que ha sido adoptado por el Consejo de Administración (29). El tratamiento de datos personales por parte del Consejo de Administración está sujeto al Reglamento relativo a la protección de datos del Consejo de Administración (RPD CA), que aplica el RPD mutatis mutandis (30). Cuando la presente Decisión se refiera al RPD, dichas referencias incluirán los requisitos correspondientes aplicables al Consejo de Administración, a su Secretaría y a sus comités. La estructura y el contenido del RPD se ajustan estrechamente al marco de protección de datos de la Unión (31). En particular, comparte muchas similitudes con el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (32), que establece requisitos de protección de datos para las instituciones, órganos y organismos de la Unión y, por lo tanto, se adapta adecuadamente a la estructura y las características específicas de las organizaciones internacionales, al tiempo que también refleja estrechamente el Reglamento (UE) 2016/679. |
(15) | Por lo que respecta al tratamiento de datos por parte de la Oficina, el presidente ha emitido otros instrumentos jurídicamente vinculantes, como circulares, decisiones e instrucciones administrativas internas (33). En particular, el RPD se complementa con la Decisión del presidente, de 13 de diciembre de 2021, relativa al tratamiento de datos personales en procedimientos de concesión de patentes y procedimientos conexos («la Decisión sobre procedimientos de concesión») (34); la Decisión de 7 de diciembre de 2022 relativa al tratamiento de datos personales en procedimientos relacionados con patentes europeas con efecto unitario («la Decisión sobre patentes unitarias») (35); la Decisión de 17 de noviembre de 2022 relativa a los países y entidades que se considera que garantizan una protección adecuada de los datos personales (36); la Decisión de 2 de mayo de 2024 por la que se determinan las unidades operativas de la Oficina que actúan en calidad de responsables delegados (37), y la Circular n.o 420 por la que se aplica el artículo 25 del RPD sobre las limitaciones de los derechos de los interesados («la Circular n.o 420») (38). Concretamente, por lo que respecta al tratamiento de datos en el marco de los procedimientos de concesión de patentes, cabe señalar que los requisitos relativos al tratamiento de datos personales previstos directamente en el CPE y el PCT prevalecen sobre el RPD. La interacción entre el CPE y el PCT, por una parte, y el RPD, por otra, se aclara en la Decisión sobre procedimientos de concesión (39) y en la Decisión sobre patentes unitarias. Los requisitos específicos en materia de protección de datos derivados directamente del CPE y del PCT se examinan en los considerandos 55 a 59. El RPD y sus instrumentos complementarios son jurídicamente vinculantes y ejecutables y pueden ser invocados por particulares ante mecanismos de recurso independientes, tal como se describe en los considerandos 89 a 96. |
(16) | Las normas previstas en los instrumentos jurídicos mencionados en el considerando 15 se aplican en la práctica a través de los instrumentos emitidos por el delegado de protección de datos (véanse los considerandos 83 a 88) (40), que son aplicables al Consejo de Administración y a la Oficina, así como a todos sus departamentos (41). |
2.3. Ámbito de aplicación material y personal del Reglamento relativo a la protección de datos
(17) | De conformidad con el RPD y el Estatuto de los funcionarios (42), todos los empleados de la OEP están obligados a cumplir el RPD cuando tratan datos personales. El ámbito de aplicación material y personal del RPD viene determinado por los términos «datos personales», «tratamiento», «responsable del tratamiento», «responsable delegado» y «encargado del tratamiento» en él definidos. |
2.3.1. Definición de «datos personales» y de «tratamiento»
(18) | Las definiciones de «datos personales» y de «tratamiento» que figuran en el RPD son idénticas a las del Reglamento (UE) 2016/679 (43). El RPD se aplica a todo tratamiento de datos personales por parte de la OEP, independientemente de que dicho tratamiento se refiera a datos personales de sus propios empleados o a datos de otras personas (44). Los datos que hayan sido objeto de seudonimización (45) también se consideran datos personales, mientras que los datos de personas fallecidas o de personas jurídicas, o la información anónima (46), no se tratan como datos personales en el marco del RPD (47). |
(19) | El RPD se aplica al tratamiento total o parcialmente automatizado de datos personales por parte de la OEP, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero (48). |
2.3.2. Responsable, responsable delegado y encargado del tratamiento
(20) | El RPD define al «responsable del tratamiento» como «una entidad, a saber, la Oficina Europea de Patentes, que, sola o conjuntamente con otros, determina los fines y medios del tratamiento de datos personales» (49). En principio, el presidente actúa como responsable de las operaciones de tratamiento de datos efectuadas por la Oficina (50). Lo mismo se aplica al Consejo de Administración (en el que el presidente actúa como responsable del tratamiento), a las Cámaras de Recursos en el ejercicio de su función judicial (en las que el presidente actúa como responsable del tratamiento (51)) y al Comité restringido (en el que el presidente actúa como responsable del tratamiento (52)). El responsable del tratamiento puede delegar esta facultad en unidades operativas representadas por un directivo de alto nivel (53). En tales casos, las unidades operativas actúan como «responsables delegados» (54) y se encargan de definir la finalidad (por ejemplo, la razón, la justificación y las necesidades empresariales) y los medios de una operación de tratamiento, así como de garantizar que todas las operaciones de tratamiento que afecten a datos personales cumplan las disposiciones del RPD (55). En tales casos, el responsable del tratamiento sigue siendo responsable del tratamiento de los datos personales. El RPD también prevé un supuesto de «corresponsabilidad del tratamiento», en el que un responsable determina la finalidad y los medios del tratamiento junto con uno o varios responsables del tratamiento externos a la OEP (56). |
(21) | La definición de «encargado del tratamiento» que recoge el RPD es idéntica a la del artículo 4, punto 8, del Reglamento (UE) 2016/679, es decir, una persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento (57). El responsable del tratamiento solo estará autorizado a recurrir a encargados del tratamiento que ofrezcan garantías suficientes de que se aplicarán medidas técnicas y organizativas apropiadas para garantizar que el tratamiento cumpla los requisitos del RPD (58). La relación entre el responsable y el encargado del tratamiento debe regirse por un contrato o acto jurídico que vincule al encargado del tratamiento y que establezca, entre otras cosas, el objeto, la duración, la naturaleza y la finalidad del tratamiento (59). El encargado del tratamiento solo está autorizado a tratar los datos siguiendo instrucciones documentadas del responsable del tratamiento. El encargado del tratamiento está obligado a asistir al responsable del tratamiento en el cumplimiento de sus obligaciones en virtud del RPD. Se prohíbe al encargado contratar subencargados sin la autorización previa del responsable (60). Los responsables delegados disponen de un acuerdo modelo de tratamiento de datos (61). Además, si un encargado del tratamiento está ubicado en un tercer país, todo intercambio de datos personales con dicho encargado también debe cumplir los requisitos del RPD para las transferencias internacionales, tal como se describe en los considerandos 68 a 73 de la presente Decisión (62). |
2.4. Garantías, derechos y obligaciones
2.4.1. Licitud y lealtad del tratamiento
(22) | Los datos personales deben tratarse de manera lícita y leal. |
(23) | Estos principios generales se establecen en el artículo 4, apartado 2, letra a), del RPD de una manera que puede considerarse idéntica a la del artículo 5, letra a), del Reglamento (UE) 2016/679. |
(24) | El principio de licitud se desarrolla en mayor medida en el artículo 5 del RPD, que enumera las bases jurídicas sobre las que pueden tratarse los datos personales. Dichas bases jurídicas son: a) la necesidad de desempeñar una función en el ejercicio de las actividades oficiales de la OEP (63) o en el ejercicio legítimo de los poderes públicos conferidos al responsable del tratamiento, lo cual incluye el tratamiento necesario para la gestión y el funcionamiento de la Oficina (64); b) la necesidad de cumplir una obligación legal a la que esté sujeto el responsable del tratamiento (por ejemplo, publicar información que figure en una solicitud de patente en el Registro Europeo de Patentes) (65); c) la necesidad de ejecutar un contrato en el que el interesado sea parte o para la aplicación a petición de este de medidas precontractuales; d) el consentimiento del interesado; o e) la necesidad de proteger intereses vitales del interesado o de otra persona física. |
(25) | En el RPD, «consentimiento» se define de la misma manera que en el Reglamento (UE) 2016/679, esto es, como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen» (66). Corresponde al responsable del tratamiento demostrar que el interesado ha dado su consentimiento (67). Al evaluar si el consentimiento se ha dado libremente, debe tenerse en cuenta el hecho de si la ejecución de un contrato se supedita al consentimiento al tratamiento de datos que no son necesarios para la ejecución de dicho contrato (68). El consentimiento no puede considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o revocar su consentimiento sin sufrir perjuicio alguno (69). Asimismo, para que el consentimiento sea informado, el RPD exige que el interesado conozca como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales (70). Por último, el interesado tiene derecho a retirar su consentimiento en cualquier momento (71). |
2.4.2. Tratamiento de categorías especiales de datos
(26) | Deben preverse salvaguardias específicas cuando se estén tratando «categorías especiales» de datos. |
(27) | El RPD contiene normas específicas relativas al tratamiento de categorías especiales de datos personales (72), que se definen de la misma manera que en el Reglamento (UE) 2016/679, es decir, «datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, los datos genéticos (73) o biométricos (74) dirigidos a identificar de manera unívoca a una persona física y los datos relativos a la salud (75) o los datos relativos a la vida sexual o la orientación sexual de una persona física» (76). De conformidad con el RPD, el tratamiento de categorías especiales de datos está, en principio, prohibido, a menos que se aplique una excepción específica (77). |
(28) | Las excepciones específicas enumeradas en el artículo 11, apartado 2, del RPD son similares a las del artículo 9, apartados 2 y 3, del Reglamento (UE) 2016/679, con algunas adaptaciones al marco jurídico en el que opera la OEP. El tratamiento de categorías especiales de datos personales solo está permitido en circunstancias específicas y limitadas (78), es decir, cuando 1) el interesado haya dado su consentimiento explícito; 2) el tratamiento sea necesario para proteger intereses vitales del particular, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento explícito; 3) el interesado haya hecho manifiestamente públicos los datos personales; 4) el tratamiento sea necesario para un fin específico relacionado con el ejercicio de las actividades oficiales de la OEP o en el ejercicio de los poderes legítimos conferidos al responsable del tratamiento (79); o 5) el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones. |
(29) | Además de las categorías especiales de datos personales mencionadas en el considerando 27, el RPD también exige protecciones específicas para el tratamiento de los datos personales relativos a condenas e infracciones penales, es decir, únicamente permite dicho tratamiento previa consulta al CPD o cuando el tratamiento sea exigido por un instrumento jurídicamente vinculante que establezca garantías adecuadas para los derechos y libertades de las personas (80). |
2.4.3. Limitación de los fines
(30) | Los datos personales deben tratarse con una finalidad específica y, posteriormente, solo deben utilizarse en la medida en que ello no sea incompatible con la finalidad del tratamiento. |
(31) | Este principio está garantizado en el artículo 4, apartado 2, letra b), del RPD, en virtud del cual los datos personales deben «recogerse con fines determinados, explícitos y legítimos y no ser tratados ulteriormente de manera incompatible con dichos fines». |
(32) | Al igual que el Reglamento (UE) 2016/679, el RPD permite el tratamiento ulterior (independientemente de la compatibilidad de la finalidad del tratamiento ulterior con el original) sobre la base del consentimiento expreso del interesado o sobre la base de las disposiciones legales aplicables de la OEP (81). En este último caso, el RPD exige que el tratamiento sea una medida necesaria y proporcionada para salvaguardar un objetivo de interés público general (82). |
(33) | Cuando el tratamiento ulterior no se base en estos dos motivos, el RPD establece los factores que deben tenerse en cuenta a la hora de evaluar la compatibilidad de la finalidad del tratamiento ulterior con la finalidad para la que se recogieron originalmente los datos personales (83). Este planteamiento y los factores enumerados en el RPD son idénticos a los establecidos en el artículo 6, apartado 4, del Reglamento (UE) 2016/679 y en el artículo 6 del Reglamento (UE) 2018/1725 (84). |
2.4.4. Exactitud y minimización de los datos, limitación del plazo de conservación y seguridad de los datos
(34) | Los datos personales deben ser exactos y, en caso necesario, se han de mantener actualizados. También deben ser adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados y, en principio, no deben conservarse más tiempo del necesario en relación con los fines para los que se tratan los datos personales. |
(35) | Estos principios se establecen en el artículo 4, apartado 2, letras c), d) y e), del RPD, de la misma manera que en el Reglamento (UE) 2016/679. |
(36) | Los datos personales también deben ser tratados de tal manera que se garantice su seguridad, especialmente la protección contra su tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. A tal fin, los operadores económicos deben adoptar las medidas técnicas u organizativas apropiadas para proteger los datos personales frente a posibles amenazas. Estas medidas deben evaluarse teniendo en cuenta el estado de la técnica y los costes conexos. |
(37) | La seguridad de los datos está consagrada en el marco jurídico de la OEP a través del principio de integridad y confidencialidad establecido en el artículo 4, apartado 2, letra f), y en el artículo 33 del RPD, de una manera casi idéntica a la del Reglamento (UE) 2016/679. En particular, el RPD exige que se garantice un nivel de seguridad adecuado al riesgo mediante medidas técnicas y organizativas apropiadas, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas. |
(38) | Además, el RPD contiene requisitos específicos sobre el tratamiento y la notificación de una violación de la seguridad de los datos (85). En primer lugar, el responsable del tratamiento está obligado a notificar al DPD una violación de la seguridad de los datos sin dilación indebida (y, de ser posible, a más tardar setenta y dos horas después de que haya tenido constancia de ella), a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas (86). Del mismo modo, el encargado del tratamiento está obligado a notificar al responsable del tratamiento una violación sin dilación indebida (87). La notificación debe describir, en particular, la naturaleza de la violación, sus posibles consecuencias y las medidas adoptadas o propuestas para ponerle remedio (88). Cuando sea probable que una violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas, el responsable del tratamiento la debe comunicar también al interesado sin demora (89). La comunicación al interesado debe describir la naturaleza de la violación de la seguridad de los datos personales en un lenguaje claro y sencillo (90) y no es necesaria si el responsable del tratamiento ha adoptado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado (91). |
2.4.5. Transparencia
(39) | Los interesados deben ser informados de las principales características del tratamiento de sus datos personales. |
(40) | De conformidad con el RPD, en el momento de obtener datos personales, el responsable del tratamiento está obligado a facilitar a las personas información, en particular sobre su identidad y sus datos de contacto (así como los datos de contacto del DPD), la finalidad del tratamiento y su base jurídica, los destinatarios o categorías de destinatarios, sobre si tiene la intención de transferir los datos fuera de la OEP, así como sobre los derechos aplicables y la posibilidad de obtener reparación (92). Lo mismo sucede cuando los datos personales se tratan para un fin distinto de aquel para el que se recogieron (93). Ambas obligaciones solo se aplican en la medida en que el interesado aún no disponga de esa información (94). |
(41) | La misma información debe facilitarse a los interesados cuando los datos personales no se recojan directamente de ellos, junto con información adicional sobre la fuente de los datos personales y las categorías de datos de que se trate (95). Esta información debe proporcionarse dentro de un plazo razonable, una vez obtenidos los datos (y a más tardar en el plazo de un mes), habida cuenta de las circunstancias específicas en las que se traten dichos datos (96). En caso de que los datos personales hayan de utilizarse para la comunicación con el interesado, debe proporcionarse la misma información a más tardar en el momento de la primera comunicación con dicha persona (97). La información a que se refiere el considerando 40 también debe facilitarse antes de cualquier tratamiento ulterior o, si se prevé la comunicación a otro destinatario, a más tardar cuando los datos personales se comuniquen a un tercero (98). Esta obligación no se aplica en una serie de casos, a saber, cuando el interesado ya disponga de la información en cuestión; cuando dicha información deba seguir teniendo carácter confidencial debido a una obligación de secreto profesional regulada sobre la base del CPE o de otras disposiciones legales aplicables a la OEP (99); cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo, de investigación científica o histórica o estadísticos, en la medida en que ello imposibilitaría u obstaculizaría gravemente el logro de los objetivos del tratamiento; o cuando la obtención o comunicación de dicha información esté expresamente establecida en el CPE u otras disposiciones legales aplicables que establezcan medidas adecuadas para proteger los intereses legítimos del interesado (100). |
2.4.6. Derechos individuales
(42) | Los interesados deben tener ciertos derechos que puedan hacer valer ante el responsable o el encargado del tratamiento, en concreto, el derecho de acceso a los datos, el derecho de rectificación, el derecho a oponerse al tratamiento y el derecho de supresión de datos. Al mismo tiempo, estos derechos pueden estar sujetos a limitaciones, en la medida en que dichas limitaciones sean necesarias y proporcionadas para salvaguardar objetivos importantes de interés público general. |
2.4.6.1. Derechos previstos en el RPD
(43) | La necesidad de facilitar el ejercicio de los derechos individuales se establece en el artículo 1 ter, apartado 4, del Estatuto de los funcionarios. Para dar cumplimiento a este requisito, el RPD otorga a las personas los mismos derechos que los establecidos en el Reglamento (UE) 2016/679, a saber, el derecho de acceso (artículo 18 del RPD), el derecho de rectificación (artículo 19 del RPD), el derecho de supresión (artículo 20 del RPD), el derecho a la limitación del tratamiento (artículo 21 del RPD), el derecho a la portabilidad de los datos (artículo 22 del RPD), el derecho de oposición (artículo 23 del RPD) y el derecho a no ser objeto de decisiones automatizadas (artículo 24 del RPD). |
(44) | El RPD también establece disposiciones generales para la tramitación de las solicitudes de ejercicio de los derechos de las personas, que exigen al responsable del tratamiento que se comunique con los interesados con un lenguaje claro y sencillo, así como de forma concisa, transparente, inteligible y de fácil acceso (por escrito o por otros medios) (101). El responsable del tratamiento debe facilitar a las personas información sobre las medidas adoptadas en respuesta a una solicitud sin dilación indebida y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud (que podrá prorrogarse otros dos meses en caso necesario teniendo en cuenta la complejidad y el número de solicitudes) (102). Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá negarse a actuar respecto de la solicitud (103). Cuando el responsable del tratamiento no responda a una solicitud, deberá informar de ello a la persona y facilitar información sobre la posibilidad de obtener una reparación (104). |
(45) | En primer lugar, por lo que respecta al derecho de acceso, el RPD otorga a las personas el derecho a obtener de la OEP confirmación de si se están tratando o no datos personales que les conciernan y, en caso afirmativo, a acceder a los datos personales con facilidad (105) y a intervalos razonables (106). Además, las personas tienen derecho a obtener información, en particular, sobre la finalidad del tratamiento, las categorías de datos de que se trate, los destinatarios con los que se comparten los datos y el período previsto para su conservación (107). |
(46) | En segundo lugar, el RPD establece que el derecho de rectificación en él previsto permite a las personas obtener la rectificación de datos inexactos o conseguir que se completen datos que sean incompletos (por ejemplo, mediante una declaración adicional) (108). Una vez efectuada la rectificación, el responsable del tratamiento está obligado a comunicarla a cada destinatario a quien se hayan comunicado los datos personales (109). De conformidad con el RPD, el derecho de rectificación se aplica a los datos objetivos y fácticos y no a las declaraciones subjetivas (110), aunque en este caso las personas pueden complementar los datos existentes con un segundo dictamen o una contrapericial o formular observaciones (111). |
(47) | En tercer lugar, el RPD también otorga a las personas un derecho de supresión (112), en particular si a) los datos personales ya no son necesarios en relación con los fines para los que son tratados; b) el interesado retira su consentimiento y no existe ningún otro fundamento jurídico para el tratamiento; c) el interesado se opone al tratamiento y no prevalecen otros motivos legítimos para el tratamiento; d) los datos han sido tratados ilícitamente; e) o los datos deben suprimirse para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (113). El responsable del tratamiento debe comunicar toda supresión a cada uno de los destinatarios con los que se hayan compartido los datos, salvo que ello sea imposible o exija un esfuerzo desproporcionado (114). Del mismo modo, si el responsable del tratamiento hizo públicos los datos personales, debe adoptar medidas razonables para informar a los demás responsables que estén tratando esos datos de que la persona ha solicitado la supresión (115). El derecho de supresión no se aplica a los siguientes supuestos: cuando el tratamiento de los datos sea necesario a) para ejercer el derecho a la libertad de expresión e información; b) para el cumplimiento de una obligación legal de la OEP o de una obligación derivada del deber de cooperación de la OEP con sus Estados contratantes (116), o para el ejercicio de los poderes públicos conferidos a la OEP (117); c) por razones de cooperación con los Estados contratantes en el ámbito de la salud pública (118); d) con fines de archivo, investigación científica o histórica y estadísticos (en la medida en que la supresión pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento); o e) para la formulación, el ejercicio o la defensa de reclamaciones (119). |
(48) | En cuarto lugar, el artículo 21 del RPD dispone un derecho a la limitación del tratamiento, es decir, el marcado de los datos personales con el fin de limitar su tratamiento en el futuro (incluidas medidas de programación para impedir permanentemente el acceso a dichos datos) (120). Este derecho puede invocarse, en particular, cuando la persona impugne la exactitud de los datos personales (en el plazo que exija el responsable para verificar la exactitud de los mismos) o cuando el tratamiento sea ilícito, pero la persona se oponga a la supresión de los datos (121). Cuando el tratamiento esté limitado, los datos personales solo podrán tratarse, con excepción del almacenamiento, con el consentimiento explícito de la persona, para la formulación, el ejercicio o la defensa de reclamaciones, para la protección de los derechos de terceros o para el cumplimiento de una función realizada en el ejercicio de las actividades oficiales de la OEP (es decir, una tarea necesaria para el trabajo administrativo y técnico que la OEP debe llevar a cabo de conformidad con el CPE) (122). |
(49) | En quinto lugar, en el artículo 1 ter, apartado 4, del Estatuto de los funcionarios y en el artículo 23 del RPD se establece un derecho de oposición. En particular, las personas tienen derecho a oponerse en cualquier momento al tratamiento de datos personales efectuado para el desempeño de una tarea en el ejercicio de las actividades oficiales de la OEP o en el ejercicio legítimo de los poderes públicos conferidos al responsable del tratamiento (123). Las personas deben ser informadas de la existencia de tal derecho de manera clara y, a más tardar, en el momento de la primera comunicación con ellas (124). En caso de que una persona se oponga al tratamiento de sus datos personales, el RPD exige al responsable del tratamiento que deje de tratar los datos, salvo que este pueda acreditar motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones (125). |
(50) | En sexto lugar, el RPD establece un derecho a la portabilidad de los datos, que ofrece a las personas la posibilidad de recibir sus datos personales en un formato estructurado, de uso común y legible por máquina, así como de transmitirlos a otro responsable del tratamiento (126). Este derecho se aplica cuando el tratamiento se lleva a cabo por medios automatizados y tiene lugar sobre la base del consentimiento de la persona, o para la ejecución de un contrato con dicha persona o en su interés (127). |
(51) | Por último, en virtud del RPD, las personas tienen derecho a no ser objeto de decisiones automatizadas, es decir, decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos en ellas o les afecten significativamente de modo similar (128). El RPD establece que las decisiones automatizadas pueden tener lugar cuando se basen en el consentimiento explícito del interesado o cuando sean necesarias para la celebración o la ejecución de un contrato con la persona, en cuyo caso el responsable del tratamiento debe aplicar las garantías adecuadas, por ejemplo, concediendo el derecho a obtener intervención humana, expresar el punto de vista de las personas e impugnar la decisión (129). Las decisiones automatizadas también pueden autorizarse mediante un acto jurídico si dicho acto establece medidas adecuadas para salvaguardar los derechos de las personas (130). Si el responsable del tratamiento adopta decisiones automatizadas, incluida la elaboración de perfiles, debe informar proactivamente de ello a la persona como parte de sus obligaciones de transparencia y facilitar información significativa sobre la lógica aplicada, así como sobre la importancia y las consecuencias previstas de dicho tratamiento para el interesado (131). La misma información debe facilitarse previa solicitud (132). |
2.4.6.2. Limitaciones de los derechos individuales
(52) | Al igual que el artículo 23 del Reglamento (UE) 2016/679 y el artículo 25 del Reglamento (UE) 2018/1725, el artículo 25 del RPD establece que determinadas disposiciones legales del marco jurídico de la OEP pueden limitar la aplicación de los derechos mencionados en los considerandos 43 a 51 (133) (es decir, limitar su aplicación temporalmente) (134), cuando dicha limitación respete en lo esencial los derechos y libertades fundamentales (135) y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar objetivos específicos (136). Además, toda limitación debe establecerse en disposiciones «claras y precisas» destinadas a producir efectos jurídicos respecto de los interesados y que deben adoptarse como mínimo a nivel del presidente (137). Estas disposiciones deben establecer, en particular, la finalidad del tratamiento, el alcance de la limitación, las garantías para evitar excesos y los plazos de conservación y las garantías aplicables (138). |
(53) | En la actualidad, el único instrumento jurídico que prevé limitaciones de los derechos individuales es la Circular n.o 420 (un instrumento jurídicamente vinculante adoptado por el presidente). Aclara cómo y en qué condiciones el responsable del tratamiento puede aplicar limitaciones y establece, de manera exhaustiva, los supuestos concretos en los que pueden limitarse los derechos y para qué objetivos (139). En particular, establece que la OEP puede limitar los derechos individuales para determinados objetivos específicos: y b) cuando lleve a cabo procedimientos de investigación o disciplinarios en relación con su personal (140); c) en el contexto de la resolución interna de controversias o de la formulación, el ejercicio o la defensa de reclamaciones, incluido el arbitraje, a fin de preservar la información y los documentos confidenciales obtenidos de las partes, los coadyuvantes u otras fuentes legítimas; d) cuando trate datos de salud en procedimientos y expedientes médicos, pero con el único objetivo de proteger los derechos de las personas (141); e) y f) cuando lleve a cabo auditorías e inspecciones internas (estas últimas realizadas por el DPD); g) a efectos de la gestión de incidentes informáticos y la elaboración de informes sobre incidentes de seguridad física; y h) cuando preste asistencia a las autoridades públicas competentes o reciba asistencia de estas, incluidas las de Estados contratantes de la OEP y las organizaciones internacionales, o cuando coopere con ellas en actividades definidas en los acuerdos de nivel de servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes, ya sea a petición de estas o por propia iniciativa de la Oficina (142). |
(54) | El responsable del tratamiento determinará si puede aplicarse o no una limitación en un caso concreto en función de las circunstancias pertinentes (143). Al decidir si aplicar o no una limitación, el responsable del tratamiento debe evaluar en primer lugar su necesidad y proporcionalidad en el caso concreto, con la participación del DPD (144). Esta evaluación conlleva sopesar los riesgos potenciales para los derechos y libertades del interesado con los riesgos y libertades de otros interesados y los riesgos de obstaculizar la finalidad y el resultado de la operación de tratamiento (145). Las limitaciones deben documentarse, en particular mediante el registro de la evaluación de los derechos limitados, durante cuánto tiempo se limitan y por qué motivos y sobre qué base (146). Además, mientras se aplique una limitación, deberán adoptarse medidas técnicas y organizativas apropiadas (147). Solo podrán aplicarse limitaciones mientras persistan los motivos de las mismas (148). Si se limita un derecho, el responsable del tratamiento debe informar a la persona de las razones principales de ello y del derecho a presentar una reclamación (149). |
2.4.6.3. Normas específicas en el marco del procedimiento de concesión de patentes
(55) | Las disposiciones del Tratado constitutivo de la OEP (es decir, el CPE), del PCT, y las disposiciones aplicables en virtud de estos (todas ellas constitutivas del Derecho primario de la OEP) contienen determinados requisitos específicos en el marco del procedimiento de concesión de patentes que pueden afectar al ejercicio de determinados derechos en virtud del RPD (150). La Decisión sobre procedimientos de concesión ofrece una visión general de estos requisitos de Derecho primario, explica cómo pueden ejercerse los derechos de los interesados en ese contexto y dispone claramente posibles excepciones (151). La Circular n.o 420 establece que las disposiciones que puedan limitar la aplicación de los derechos de protección de datos deben determinar claramente el alcance de cualquier exención y, por lo tanto, equilibrar los diferentes intereses en juego (152). |
(56) | En primer lugar, de conformidad con el artículo 127 del CPE, la Oficina está obligada a mantener el Registro Europeo de Patentes, donde se publican determinados datos personales jurídicamente definidos. Según el Derecho primario, las solicitudes de patentes deben publicarse durante el procedimiento de concesión de patentes, generalmente lo antes posible una vez transcurrido un plazo de dieciocho meses a partir de la fecha de presentación. El CPE establece que se puede acceder a los datos personales contenidos en dichas solicitudes de patentes mediante la consulta de expedientes o la inspección del Registro (153). Antes de su publicación, las solicitudes de patentes no están disponibles para inspección sin el consentimiento explícito del solicitante. En el PCT se establecen normas similares (154). |
(57) | En segundo lugar, el CPE regula específicamente la posibilidad de obtener cambios en la información utilizada en el contexto de un procedimiento de concesión de patentes (155). En particular, el CPE solo prevé la posibilidad de obtener una corrección de errores en los documentos presentados ante la OEP (156), una corrección de errores en las resoluciones (157), correcciones en las traducciones (158) y la rectificación de la designación del inventor (159). Por lo tanto, la rectificación de los datos personales contenidos en los documentos utilizados en el procedimiento de concesión de patentes solo puede obtenerse en esos casos. Lo mismo se aplica a la posibilidad de obtener una limitación del tratamiento de los datos (160). |
(58) | En tercer lugar, el CPE impone requisitos específicos de conservación y publicación para determinados documentos utilizados en el procedimiento de concesión de patentes, que repercuten en la posibilidad de que se suprima información contenida en ellos, incluidos datos personales (161). En particular, las solicitudes de patentes publicadas y la información sobre patentes publicada en el Boletín Europeo de Patentes deben conservarse y ponerse a disposición del público (162). Como consecuencia, la supresión de los datos personales contenidos en dichos documentos contravendría las obligaciones jurídicas fundamentales de la OEP [artículo 129, letra a), del CPE] y no puede obtenerse. La OEP debe conservar otros expedientes durante un período determinado en el CPE, que en principio es de cinco años (163). Mientras este plazo sea aplicable, no podrá obtenerse la supresión de la información contenida en dichos expedientes (incluidos los datos personales). |
(59) | Por lo tanto, teniendo en cuenta, en particular, su limitado alcance y las condiciones para su aplicación, puede considerarse que las limitaciones al ejercicio de los derechos que se derivan de las disposiciones mencionadas en los considerandos 55 a 58 se limitan a lo necesario y proporcionado para garantizar el correcto funcionamiento del procedimiento de concesión de patentes, tal como exige el interés público para el desempeño de las tareas oficiales de la OEP. En la medida en que el CPE y el PCT no regulan específicamente el ejercicio de los derechos de protección de datos, es decir, en todos los supuestos distintos de los descritos en los considerandos 55 a 58, los requisitos del RPD son plenamente aplicables. |
2.4.7. Transferencias ulteriores
(60) | El nivel de protección de los datos personales que se transfieren desde la Unión a la OEP no debe verse comprometido por la transferencia ulterior de dichos datos a destinatarios de un tercer país o a otra organización internacional. |
(61) | El RPD distingue entre «transmisiones de datos personales» (es decir, el intercambio de datos por parte de la OEP con sus Estados contratantes) y «transferencias de datos personales» (el intercambio de datos por parte de la OEP con cualquier otra persona o entidad externa a la OEP) (164). |
2.4.7.1. Transmisiones de datos
(62) | En primer lugar, el RPD establece que puede realizarse una transmisión de datos a una oficina nacional de propiedad intelectual de un Estado contratante de la OEP si: los datos son necesarios para el ejercicio de la competencia o del poder público del destinatario, y b) la transmisión es necesaria para el desempeño de las tareas oficiales o el ejercicio de los poderes públicos de la OEP (165). Estas transmisiones tienen lugar en el marco del procedimiento de concesión de patentes previsto en el CPE y en el PCT (166). |
(63) | En segundo lugar, el RPD permite la transmisión de datos a una autoridad pública de un Estado contratante de la OEP (167), cuando los datos sean necesarios para el desempeño de las tareas de dicha autoridad pública y la transmisión sea compatible con las tareas y el funcionamiento de la OEP (168). Estas transmisiones no se exigen específicamente en virtud del CPE o de otros instrumentos jurídicos que rigen el procedimiento de concesión de patentes, pero pueden ser igualmente necesarias para el desempeño de las tareas de la OEP, por ejemplo, para la cooperación de la OEP con sus Estados contratantes a través de procesos de consulta; para el envío en comisión de servicios y el despliegue de expertos, o para el suministro de información sobre el personal de la OEP a efectos de determinar prestaciones sociales, obligaciones fiscales, etc. |
(64) | El DPD ha elaborado cláusulas tipo para los memorandos de entendimiento que rigen dichas transmisiones descritas en los considerandos 62 y 63, que, entre otras cosas, disponen principios relativos a la protección de datos, limitan el tratamiento ulterior únicamente a los fines compatibles y establecen derechos de los interesados, así como obligaciones con respecto a la seguridad de los datos y las violaciones de la seguridad de los datos y la supervisión independiente (169). |
(65) | En los dos supuestos descritos en los considerandos 62 y 63, el destinatario, en virtud del RPD, debe aportar pruebas de que es necesario transmitir los datos para un fin específico derivado de las obligaciones de cooperación de la OEP con el Estado o Estados contratantes (170). El responsable del tratamiento debe poder demostrar, para cada transmisión, que dicha transmisión es necesaria y proporcionada con respecto a la finalidad específica para la que se comparten los datos (171). Toda transmisión de datos debe llevarse a cabo de manera que se garantice el mantenimiento del nivel de protección ofrecido por el RPD (172). Según las orientaciones formuladas por el DPD, esto significa que haya las salvaguardias apropiadas, como garantizar que los datos que se compartan deben reducirse al mínimo y limitarse a lo que sea adecuado, pertinente y estrictamente necesario para alcanzar dicha finalidad (173). Si existe alguna razón para suponer que los intereses legítimos de la persona en cuestión pueden verse afectados, el responsable del tratamiento debe demostrar que es proporcionado transmitir los datos personales para ese fin específico, tras haber sopesado los diferentes intereses en juego (174). |
(66) | En relación con estos dos supuestos, también es importante señalar que todos los Estados contratantes de la OEP son parte en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, sin perjuicio de la competencia del Tribunal Europeo de Derechos Humanos, así como en el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (STCE n.o 108). |
(67) | Por último, el RPD permite las transmisiones de datos a un encargado del tratamiento situado en el Espacio Económico Europeo (EEE), siempre que se garantice el cumplimiento de los requisitos establecidos en el RPD para la contratación de encargados del tratamiento (175). |
2.4.7.2. Transferencia de datos
(68) | El intercambio de datos personales con cualquier entidad ajena a la OEP que no sea una autoridad pública o una oficina nacional de propiedad intelectual de los Estados contratantes de la OEP o un encargado del tratamiento del EEE se considera una «transferencia» de datos personales, sujeta a los requisitos específicos del RPD (176). Estos requisitos se aplican, por ejemplo, al intercambio de datos con encargados del tratamiento de fuera del EEE, responsables del tratamiento situados dentro o fuera de los Estados contratantes, autoridades públicas de Estados no contratantes y otras organizaciones internacionales. En general, el RPD exige que el nivel de protección que la OEP garantice a las personas no se vea menoscabado cuando los datos se transfieran a terceros (177). Según las orientaciones del DPD, la «protección de los datos personales transferidos al tercer país o a la organización internacional debe ser esencialmente equivalente a la garantizada en el RPD» (178). |
(69) | De conformidad con el RPD, una transferencia de datos personales fuera de la OEP puede producirse, en primer lugar, si el país en el que está situado el destinatario, o la organización internacional, garantiza un nivel de protección adecuado y si la transferencia se realiza únicamente para permitir a la OEP llevar a cabo tareas dentro de su ámbito de competencias (179). El presidente adopta una decisión de adecuación (180) y, en caso de duda, consulta con el DPD y el CPD antes de su adopción (181). El DPD ha elaborado unas «Referencias sobre adecuación» que establecen los criterios para las decisiones de adecuación (182). En particular, el marco jurídico del tercer país o de la organización internacional debe establecer, concretamente, principios clave en materia de protección de datos, derechos de los interesados, normas sobre transferencias ulteriores, mecanismos procesales y de ejecución y vías de recurso para las personas. Si el presidente adopta una decisión de adecuación, la transferencia puede tener lugar sin que se apliquen salvaguardias adicionales (183). Actualmente, la OEP considera que los Estados miembros, así como Noruega, Islandia y Liechtenstein, y todos los países que se benefician de una decisión de adecuación de la Comisión (184) y de las instituciones, órganos y organismos de la Unión proporcionan un nivel de protección adecuado (185). |
(70) | Con arreglo al RPD, a falta de una decisión de adecuación, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a destinatarios externos a la OEP si dicho responsable o encargado del tratamiento ha ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas (186). Estas garantías adecuadas pueden recogerse en acuerdos administrativos con autoridades públicas u organizaciones internacionales, en cláusulas contractuales (previa consulta al CPD) (187) o en mecanismos de certificación (188). El DPD ha elaborado un resumen de las disposiciones que deben incluirse en los acuerdos administrativos (189). También se dispone de un modelo de acuerdo de protección de datos para las transferencias a los encargados del tratamiento (190). Según las orientaciones del DPD, la OEP debe evaluar si se impediría al importador de los datos cumplir sus obligaciones con arreglo a un instrumento de transferencia debido al marco jurídico al que está sujeto y, en caso necesario, adoptar medidas complementarias (191). Para llevar a cabo dicha evaluación, el DPD recomienda, en las notas explicativas de la OEP sobre la transmisión y la transferencia de datos personales, que se tengan en cuenta las orientaciones pertinentes del CEPD y del Supervisor Europeo de Protección de Datos (192). |
(71) | De conformidad con el RPD, para las transferencias de datos a países u organizaciones que se benefician de una decisión de adecuación, así como para las transferencias de datos sobre la base de garantías adecuadas, la OEP debe demostrar la necesidad y proporcionalidad de cada transferencia con respecto a la finalidad del tratamiento (193). Además, la OEP debe establecer, tras haber sopesado los diversos intereses en juego, que la transferencia es proporcionada, si existe alguna razón para suponer que se podrían perjudicar los intereses legítimos del interesado (194). Además, debe garantizarse (a través de salvaguardias contractuales) que el destinatario solo pueda tratar o utilizar los datos para los fines para los que fueron transferidos y debe suprimir dichos datos tan pronto como se haya logrado la finalidad (195). |
(72) | De conformidad con el RPD, a falta de una decisión de adecuación o de garantías adecuadas, la transferencia de datos personales fuera de la OEP solo está permitida «excepcionalmente» si se aplica una «excepción» en condiciones similares a las de las disposiciones correspondientes del Derecho de la Unión en materia de protección de datos (196). Este es el caso cuando a) el interesado haya dado su consentimiento explícito a la transferencia (197); b) y c) la transferencia sea ocasional y necesaria para la ejecución de un contrato con o en interés del interesado (o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado) (198); d) la transferencia sea necesaria para el desempeño de una tarea en el ejercicio de las actividades oficiales de la OEP o en el ejercicio legítimo de los poderes públicos conferidos al responsable del tratamiento (199); e) la transferencia sea ocasional y necesaria para la formulación, el ejercicio o la defensa de reclamaciones (200); f) la transferencia sea necesaria para proteger los intereses vitales de una persona, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento explícito (201); o g) la transferencia tenga lugar desde un registro que esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones establecidas para dicha consulta (202). Por su naturaleza, y conforme a las orientaciones del DPD, estas excepciones no pueden invocarse para transferencias sistemáticas y habituales (203). |
(73) | Por último, por lo que se refiere a las transferencias de categorías específicas de datos a países u organizaciones que no se benefician de una decisión de adecuación, el presidente podrá limitar aún más dichas transferencias por razones importantes relacionadas con el ejercicio legítimo de los poderes públicos conferidos a la Oficina (204). Hasta la fecha, el presidente no ha hecho uso de tales competencias. |
2.4.8. Rendición de cuentas
(74) | En virtud del principio de responsabilidad, las entidades que traten datos están obligadas a adoptar las medidas técnicas y organizativas apropiadas para cumplir efectivamente sus obligaciones en materia de protección de datos y deben poder demostrar el respeto de estas obligaciones, en particular ante la autoridad de control competente. |
(75) | El artículo 4, apartado 1, del RPD establece un principio general de responsabilidad proactiva, que deja claro que el responsable del tratamiento es responsable del cumplimiento del RPD y debe ser capaz de demostrarlo. En particular, el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas para garantizar y poder demostrar el cumplimiento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos de las personas (205). A este respecto, el RPD también aplica los principios de protección de la intimidad desde el diseño y por defecto al exigir al responsable del tratamiento que aplique medidas destinadas a aplicar los principios de la protección de datos y garantizar el cumplimiento del RPD, así como a garantizar que, por defecto, solo se traten los datos personales necesarios para cada finalidad específica del tratamiento (206). |
(76) | El responsable y los encargados del tratamiento deben llevar un registro de las actividades de tratamiento que contenga, entre otras cosas, información sobre la finalidad del tratamiento, las categorías de datos tratados, las categorías de destinatarios a los que se comunican los datos y toda transferencia de datos personales (207). Estos registros son, en principio, de acceso público (a menos que contengan información confidencial), se inscriben en un Registro de Protección de Datos de acceso público y deben ponerse a disposición del CPD cuando este lo solicite (208). Cada unidad operativa también debe designar al menos un enlace para la protección de datos (por un período renovable de uno a tres años), que debe someterse a una formación obligatoria en materia de protección de datos y asistir al responsable del tratamiento en el cumplimiento de sus obligaciones (209). |
(77) | Por último, el RPD proporciona diferentes instrumentos que pueden ayudar al responsable y a los encargados del tratamiento en sus esfuerzos de cumplimiento. Por ejemplo, de conformidad con el RPD, la adhesión a mecanismos de certificación aprobados puede servir como prueba del cumplimiento de las obligaciones establecidas en el RPD (210). Asimismo, en determinadas condiciones, el RPD exige que se realice una evaluación de impacto relativa a la protección de datos o una consulta previa al DPD y al CPD. La realización de una evaluación de impacto relativa a la protección de datos es necesaria cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de una persona (211). Esto es necesario, por ejemplo, cuando exista una evaluación sistemática y exhaustiva de aspectos personales sobre cuya base se tomen decisiones automatizadas, o cuando se realice un tratamiento a gran escala de categorías especiales de datos (212). Si una evaluación de impacto indica que el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas y que el riesgo no puede mitigarse con medidas de seguridad razonables, el responsable del tratamiento debe consultar al CPD (213). El CPD debe proporcionar asesoramiento por escrito si considera que el tratamiento previsto infringiría el RPD (214). En términos más generales, el responsable del tratamiento está obligado a consultar al DPD a la hora de elaborar normas o documentos operativos sobre la aplicación de limitaciones a los derechos individuales (215). |
2.5. Supervisión y ejecución
(78) | Con el fin de garantizar un nivel adecuado de protección de los datos en la práctica, debe existir una autoridad de control independiente encargada de supervisar las normas en materia de protección de datos y hacerlas cumplir. Esta autoridad debe actuar con total independencia e imparcialidad en el desempeño de sus funciones y en el ejercicio de sus competencias. |
(79) | El marco jurídico de la OEP encomienda a dos órganos la supervisión del cumplimiento de las normas de protección de datos por parte de la OEP: el DPD y el CPD. Ambos órganos se crean en virtud del artículo 32 bis del Estatuto de los funcionarios, mientras que su condición y sus competencias se especifican con más detalle en el RPD (216). Sus funciones son complementarias e implican cooperación, mientras que cada organismo sigue siendo independiente en sus respectivas funciones. |
2.5.1. Independencia
(80) | De conformidad con el Estatuto de los funcionarios, el DPD y el CPD actúan con total independencia de cualquier injerencia interna o externa en el desempeño de sus funciones y el ejercicio de sus competencias (217). Este principio se complementa con diferentes salvaguardias adicionales que garantizan su independencia. |
(81) | El DPD (y sus adjuntos) son nombrados por el presidente sobre la base de sus cualificaciones profesionales y, en particular, de sus conocimientos especializados sobre legislación y prácticas en materia de protección de datos (218). El DPD es nombrado para un mandato renovable de tres a cinco años. Se consultará al CPD antes de cualquier propuesta de destitución o cese del DPD (219). Esta consulta previa antes de la destitución o cese del DPD está concebida para garantizar un control y una revisión adicionales cuando se proponga una destitución o cese. La destitución o el cese pueden plantearse por uno de los siguientes motivos (220): cuando el DPD deje de cumplir las condiciones requeridas para el ejercicio de sus funciones (221); por incompetencia profesional (222), o como resultado de medidas disciplinarias (223). El RPD también establece que el DPD no puede ser destituido ni sancionado por el desempeño de sus tareas y no puede recibir instrucciones (224). El DPD debe participar en todas las cuestiones relacionadas con la protección de los datos personales y elaborar informes anuales de actividad para el presidente y el Consejo de Administración (225). La Oficina debe dotar al DPD de los recursos necesarios para el desempeño de sus tareas (226). |
(82) | El CPD está compuesto por tres expertos externos en el ámbito de la protección de datos, a saber, un presidente y otros dos miembros (227), así como un miembro suplente, nombrados por el presidente de la OEP para un mandato renovable de tres años (228). Los miembros del CPD deben tener las cualificaciones requeridas para el ejercicio de funciones jurisdiccionales o ser profesionales de la protección de datos con conocimientos y experiencia demostrados en el ámbito de la legislación relativa a la protección de datos adquiridos a nivel nacional o internacional. No pueden ser empleados de la OEP o haber estado empleados en ella en los últimos diez años (229). Con arreglo al artículo 48, apartado 6, del RPD, los miembros del CPD son totalmente independientes en el ejercicio de sus funciones. En particular, los miembros del CPD no pueden solicitar instrucciones a la Oficina o al Consejo de Administración y no pueden quedar vinculados por dichas instrucciones. El Reglamento interno del CPD también establece que este debe actuar de manera imparcial y con total independencia en el desempeño de sus tareas (230). Además, los miembros del CPD solo pueden ser cesados por la OEP por causa grave (231). Los miembros del CPD están sujetos a una obligación de confidencialidad (232) y deben abstenerse de actuar en caso de que exista un conflicto de intereses, en particular un interés personal (233). La OEP está obligada a apoyar al CPD en el desempeño de sus tareas proporcionándole los recursos necesarios, así como apoyo jurídico y administrativo (a través de una Secretaría y facilitando al CPD acceso a los datos personales y a las operaciones de tratamiento) (234). |
2.5.2. Funciones y competencias
(83) | Entre las funciones del DPD figuran las siguientes: informar al responsable o a los encargados del tratamiento de sus obligaciones y asesorarles en consecuencia; sensibilizar y formar al personal que participa en las operaciones de tratamiento; garantizar que los interesados sean informados de sus derechos en virtud del RPD; y supervisar de manera independiente la aplicación interna y el cumplimiento del RPD, así como otras disposiciones legales de la OEP que tengan implicaciones en materia de protección de datos (235). Los interesados podrán ponerse en contacto con el DPD sobre cualquier cuestión relacionada con el tratamiento de sus datos o el ejercicio de sus derechos (236), y el responsable y los encargados del tratamiento podrán consultar al DPD sobre cualquier cuestión relativa a la interpretación y la aplicación del RPD (237). |
(84) | Como parte de su función de supervisión, el DPD está facultado para llevar a cabo auditorías e investigaciones en materia de protección de datos (238). El DPD encarga las auditorías de conformidad con un plan anual de auditoría que se elabora en consulta con el CPD (239). Las auditorías se centran en la evaluación de los registros de protección de datos, las declaraciones y la documentación pertinente, por ejemplo, para verificar la exactitud y exhaustividad de la documentación pertinente en materia de protección de datos, la correcta aplicación de las metodologías de gestión de riesgos, la exactitud y puntualidad de las respuestas a los interesados o la correcta realización y el número de evaluaciones de impacto relativas a la protección de datos (240). Según la información transmitida por el DPD a la Comisión, se llevaron a cabo tres auditorías en 2023 y cuatro en 2024. El DPD puede iniciar una investigación por iniciativa propia, sobre la base de una solicitud recibida del CPD o de un organismo de la OEP (por ejemplo, el presidente o un responsable delegado del tratamiento), o sobre la base de información recibida de otro modo (por ejemplo, de terceros y particulares) (241). Las investigaciones solicitadas por el CPD las lleva a cabo el DPD de manera independiente. El CPD puede formular observaciones o solicitar una investigación complementaria sobre cualquier cuestión que pueda surgir (242). Las inspecciones se centran en las operaciones de tratamiento o en aspectos concretos de las mismas, o en los acontecimientos relacionados con ellas, con el fin de garantizar que el tratamiento en cuestión cumpla los requisitos del RPD y velar por la protección de los derechos y libertades de los interesados (243). |
(85) | El DPD tiene acceso a toda la información pertinente, incluidos los datos personales tratados, así como a todas las oficinas, instalaciones de tratamiento de datos y soportes de datos (244). Todos los empleados y las unidades operativas de la OEP están obligados a ayudar al DPD en el desempeño de sus funciones, en particular facilitando el acceso a los locales y a la información pertinente (245). |
(86) | Al concluir una auditoría o una investigación, el DPD adopta un informe en el que expone sus constataciones, conclusiones y medidas correctoras recomendadas (246). Dichas medidas pueden incluir, por ejemplo, medidas preventivas o de mitigación para mejorar el cumplimiento, así como medidas para reparar el incumplimiento (por ejemplo, para hacer que el tratamiento se ajuste al RPD, para tramitar las solicitudes de ejercicio de derechos de los interesados, para suspender o poner fin a un tratamiento, etc.) (247). El DPD también podrá poner en conocimiento de la autoridad facultada para proceder a los nombramientos los incumplimientos del RPD por parte de los empleados y recomendar que se inicie una investigación administrativa para determinar si es necesario adoptar medidas disciplinarias o de otro tipo (248). Todo empleado que incumpla el RPD, ya sea de manera intencionada o por negligencia, podrá ser objeto de sanciones disciplinarias u otras medidas con arreglo al Estatuto de los funcionarios (249). |
(87) | El resultado de las auditorías e investigaciones debe comunicarse al CPD (250). El informe de auditoría o investigación debe comunicarse al CPD si este así lo solicita. El CPD puede formular observaciones sobre el informe del DPD, en particular sobre las conclusiones del DPD en cuanto a si se ha producido o no una violación del RPD y sobre las medidas correctoras propuestas, y puede solicitar asimismo medidas de investigación adicionales (251). Si una auditoría o inspección del DPD concluye que se ha producido un incumplimiento (es decir, una violación del RPD), el informe del DPD debe presentarse al CPD para que valide las conclusiones y las medidas correctoras recomendadas. En caso de que el CPD no esté de acuerdo con las conclusiones o las recomendaciones de medidas correctoras del DPD, el CPD compartirá sus observaciones con el DPD, también para modificar las conclusiones propuestas y las medidas correctoras recomendadas, y este último deberá aplicarlas en consecuencia. Las medidas correctoras validadas por el CPD son vinculantes para el responsable del tratamiento y los responsables delegados y pueden ser invocadas por particulares ante los mecanismos de recurso descritos en el considerando 95 (252). El DPD debe comprobar la aplicación de las medidas correctoras (en principio, seis meses después de su comunicación) e informar anualmente al presidente sobre el estado de aplicación (253). |
(88) | Además de su función de garantizar el cumplimiento del RPD, otras tareas del CPD son asesorar al presidente sobre la adopción de decisiones de adecuación, asesorar al responsable del tratamiento sobre la necesidad de llevar a cabo una evaluación de impacto relativa a la protección de datos y revisar las reclamaciones de particulares (véanse los considerandos 92 a 96) (254). |
2.6. Recursos
(89) | Para que exista una protección adecuada y, en particular, que se puedan tutelar los derechos individuales por la vía coercitiva, el interesado debe poder obtener reparación, en particular la indemnización por daños y perjuicios. |
(90) | El marco jurídico de la OEP ofrece reparación a las personas a través de diversas vías. |
(91) | En primer lugar, los interesados que consideren que el tratamiento de sus datos personales por parte de la OEP vulnera sus derechos (es decir, viola el RPD) pueden presentar una solicitud de revisión por el responsable delegado del tratamiento con arreglo al artículo 49 del RPD. El responsable delegado revisará la reclamación y tomará una decisión (255). Antes de adoptar la decisión, el responsable delegado debe consultar al DPD, que emitirá un dictamen por escrito a más tardar quince días naturales después de la recepción de la solicitud de revisión (256). El responsable delegado deberá responder a la persona en el plazo de un mes a partir de la fecha de recepción de la solicitud (257). La decisión deberá comunicarse a la persona, junto con información sobre la posibilidad de obtener otra reparación (258). Si el responsable delegado no adopta ninguna medida en el plazo de tres meses, esto se considerará un rechazo implícito de la solicitud. |
(92) | En segundo lugar, las personas pueden impugnar una decisión o un rechazo implícito de una solicitud de revisión por un responsable delegado mediante la presentación de una reclamación ante el CPD (259). |
(93) | Al examinar una reclamación, el CPD debe invitar al interesado, al responsable del tratamiento y, en su caso, al encargado del tratamiento a que expongan por escrito su posición sobre las alegaciones y los hechos en cuestión y a que aporten pruebas o comentarios y argumentos sobre las pruebas disponibles (260). En este contexto, el CPD puede solicitar a las partes cualquier información que necesite para tramitar la reclamación y puede, además, obtener más información por medio del DPD (261). A la hora de tomar una decisión sobre el seguimiento que debe darse a una reclamación, el CPD debe tener en cuenta, entre otras cosas, la naturaleza y la gravedad de la supuesta infracción, el número de interesados afectados, las categorías de datos afectadas y la duración de la infracción (262). El CPD puede invitar a las partes a intentar llegar a un acuerdo amistoso y promueve y facilita activamente dicho acuerdo (263). El reclamante también puede solicitar al CPD que aplique un procedimiento de urgencia, por motivos de gravedad de la supuesta infracción o por la gravedad del riesgo que ello entrañe para los derechos de las personas (264). |
(94) | Tras examinar una reclamación, la CPD emite un dictamen motivado al responsable del tratamiento, que incluirá una exposición de los hechos, los principales argumentos de las partes, las consideraciones del CPD y sus recomendaciones (265). En caso de aplicarse un procedimiento de urgencia, el CPD debe emitir un dictamen motivado en un plazo de dos meses a partir de la presentación de la reclamación (266). En su dictamen motivado, el CPD puede formular cualquier recomendación que considere necesaria, en particular la adopción de medidas cautelares (por ejemplo, poner fin al tratamiento ilícito de datos o suprimir datos tratados ilícitamente) y la indemnización por daños y perjuicios materiales o inmateriales (267). El dictamen motivado debe comunicarse al interesado y al responsable del tratamiento (es decir, al presidente de la Oficina, al presidente de las salas de recurso, al presidente del Consejo de Administración, o al presidente del Comité restringido, dependiendo de si la reclamación se refiere a la Oficina, a las Salas de Recurso, al Consejo o al Comité restringido). A continuación, el responsable del tratamiento adoptará una decisión vinculante definitiva, tras el dictamen motivado de la CPD (268). La decisión final se comunica al interesado, al CPD y al DPD (269). Si el responsable del tratamiento decidiera no seguir uno o varios extremos del dictamen motivado, lo explicará por escrito en la decisión (270). |
(95) | El interesado que no esté conforme con la decisión del responsable del tratamiento podrá recurrirla haciendo referencia, en su recurso, al dictamen motivado del CPD. Los empleados de la OEP pueden impugnar dicha decisión ante el Tribunal Administrativo de la Organización Internacional del Trabajo (271). Cualquier otro interesado que no esté de acuerdo con la decisión del responsable del tratamiento podrá, en un plazo de tres meses a partir de la recepción de la decisión, presentar una solicitud de arbitraje ad hoc al presidente (272). El RPD establece un procedimiento específico que debe seguirse en caso de arbitraje ad hoc (273). En particular, en un plazo de tres meses a partir de la recepción de la solicitud del interesado, el secretario general del Tribunal Permanente de Arbitraje deberá designar un árbitro conforme a los criterios establecidos en el RPD (274). Este árbitro deberá estar jurídicamente cualificado, habilitado para ejercer la abogacía en uno de los Estados contratantes de la OEP, ser capaz de demostrar conocimientos especializados pertinentes en materia de protección de datos y estar familiarizado con el Derecho por el que se rigen las organizaciones internacionales (275). Además de cumplir estos criterios, solo podrán designarse personas que no hayan trabajado para la OEP o para el interesado ni a su servicio. El RPD establece que el árbitro debe actuar con independencia e imparcialidad (276), tratar a cada una de las partes por igual y brindarles la oportunidad de presentar sus alegaciones en todas las fases del procedimiento (277). Los procedimientos de arbitraje no son públicos (278) y se rigen por el CPE, el RPD, incluida cualquier legislación de aplicación, el Derecho de las organizaciones internacionales y los principios del Derecho internacional público (279). Mientras que cada parte debe soportar sus propios costes y gastos de representación legal (a menos que el árbitro decida lo contrario), los honorarios y gastos del árbitro, el coste del posible asesoramiento pericial y los testigos corren a cargo de la OEP (280). Debe llegarse a un acuerdo en forma de laudo arbitral escrito, con una redacción acordada y que sea firme y vinculante (281). |
(96) | Toda persona que haya sufrido daños como consecuencia de una infracción del RPD puede solicitar una indemnización a la OEP a través de los procedimientos descritos en los considerandos 91 a 95 (282). La OEP quedará exenta de responsabilidad si demuestra que no fue responsable del hecho que originó el daño. |
3. ACCESO Y UTILIZACIÓN DE LOS DATOS PERSONALES TRANSFERIDOS DESDE LA UNIÓN A LA OFICINA EUROPEA DE PATENTES POR LAS AUTORIDADES PÚBLICAS
(97) | El marco jurídico en virtud del cual la OEP evalúa y responde a las solicitudes de las autoridades públicas —en sus Estados contratantes y en terceros países— en relación con los datos personales tratados por la OEP se deriva del Protocolo sobre los privilegios e inmunidades («PPI») (283) de la OEP, de los requisitos del RPD en materia de transmisiones y transferencias de datos personales y del Derecho internacional público. |
(98) | En primer lugar, el tratamiento de datos personales por parte de la OEP a efectos de sus actividades oficiales está cubierto por las inmunidades de la Organización. Las inmunidades de la OEP se complementan con el deber de cooperación establecido en el artículo 20 del PPI. Por consiguiente, cualquier solicitud de una autoridad pública de un Estado contratante para obtener datos tratados por la OEP será evaluada por el presidente de conformidad con el artículo 20, apartado 1, del PPI, que establece que la Organización «cooperará en todo momento con las autoridades competentes de los Estados contratantes para facilitar la correcta administración de la justicia, garantizar el cumplimiento de los reglamentos de policía y la normativa en materia de salud pública, inspecciones de trabajo u otra legislación nacional similar, y evitar cualquier abuso de los privilegios, inmunidades y facilidades previstos en el presente Protocolo». Como excepción, la Organización puede renunciar a su inmunidad de jurisdicción y ejecución (284). Al decidir sobre una solicitud de cooperación, el presidente ejerce su facultad discrecional, considerando la conformidad de la solicitud con el marco jurídico de la Organización (285). Puede concluirse que la Oficina puede responder a una solicitud en el marco del PPI y solo puede divulgar datos personales de conformidad con los requisitos relativos a las transmisiones de datos previstos en el RPD (véanse los considerandos 62 a 67). De conformidad con el RPD, el destinatario debe aportar pruebas de que es necesario transmitir los datos para un fin específico derivado de las obligaciones de cooperación de la OEP con el Estado o Estados contratantes (286). El responsable del tratamiento debe poder demostrar, para cada transmisión, que dicha transmisión es necesaria y proporcionada con respecto a la finalidad específica para la que se realiza (287). Toda transmisión de datos debe llevarse a cabo de manera que se garantice el mantenimiento del nivel de protección ofrecido por el RPD (288). Según las orientaciones formuladas por el DPD, esto significa que haya las salvaguardias apropiadas, como garantizar que los datos que se compartan deben reducirse al mínimo y limitarse a lo que sea adecuado, pertinente y estrictamente necesario para alcanzar dicha finalidad (289). Si existe alguna razón para suponer que los derechos y libertades de la persona afectada pueden verse afectados, el responsable del tratamiento debe demostrar que es proporcionado transmitir los datos personales para ese fin específico, tras haber ponderado los diferentes intereses en juego (290). |
(99) | En segundo lugar, no existe ningún instrumento jurídico aplicable a la OEP que regule específicamente la tramitación de las solicitudes de las autoridades públicas de terceros países (es decir, que no sean parte contratante de la OEP) para obtener datos tratados por la OEP. En consecuencia, una divulgación en respuesta a una de estas solicitudes solo podrá tener lugar cuando se cumplan los requisitos relativos a las transferencias internacionales de datos en virtud del RPD (tal como se describen en los considerandos 68 a 73). Este solo sería el caso si se ha adoptado una decisión de adecuación para el país de que se trate que cubra la transferencia, si existen garantías adecuadas o si se aplica una excepción. |
(100) | El cumplimiento del PPI por parte del presidente, incluyendo el modo en que las solicitudes de cooperación por parte de autoridades públicas se han resuelto, está sujeto a la supervisión del Consejo de Administración, mientras que el cumplimiento de los requisitos relativos a las transmisiones y transferencias de datos personales establecidos en el RPD está sujeto a la supervisión del DPD y del CPD, tal como se describe en los considerandos 84 a 88. Las personas pueden hacer uso de las vías de recurso descritas en los considerandos 90 a 96 en relación con las transmisiones o transferencias de sus datos personales que infrinjan el RPD. |
4. CONCLUSIONES
(101) | La Comisión considera que la OEP garantiza un nivel de protección de los datos personales transferidos desde la Unión que es esencialmente equivalente al garantizado por el Reglamento (UE) 2016/679. |
(102) | Sobre la base de las conclusiones de la presente Decisión, debe decidirse que la OEP garantiza un nivel de protección adecuado, en el sentido del artículo 45 del Reglamento (UE) 2016/679, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea, de los datos personales transferidos desde la Unión a la OEP. |
5. EFECTOS DE LA PRESENTE DECISIÓN Y ACTUACIÓN DE LAS AUTORIDADES DE PROTECCIÓN DE DATOS
(103) | Los Estados miembros y sus organismos están obligados a adoptar las medidas necesarias para dar cumplimiento a los actos de las instituciones de la Unión, ya que estos disfrutan de una presunción de legalidad y producen, por consiguiente, efectos jurídicos en tanto no hayan sido revocados, anulados en el marco de un recurso de anulación o declarados inválidos a raíz de una cuestión prejudicial o de una excepción de ilegalidad. |
(104) | Por lo tanto, toda decisión de adecuación de la Comisión adoptada en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679 vincula a todos los organismos de los Estados miembros destinatarios, incluidas sus autoridades de control independientes. En particular, pueden producirse transferencias de responsables o encargados del tratamiento en la UE a la OEP sin necesidad de autorización adicional. |
(105) | Cabe recordar que, de conformidad con el artículo 58, apartado 5, del Reglamento (UE) 2016/679 y como explicó el Tribunal de Justicia en el asunto C-362/14 (291), cuando una autoridad nacional de protección de datos cuestiona, en especial a raíz de una reclamación, la compatibilidad de una decisión de adecuación de la Comisión con los derechos fundamentales del particular a la privacidad y la protección de los datos, el Derecho nacional debe prever las vías de acción para exponer las alegaciones correspondientes ante los tribunales nacionales, a los que podrá pedirse que planteen una cuestión prejudicial al TJUE. |
6. SUPERVISIÓN, SUSPENSIÓN, DEROGACIÓN O MODIFICACIÓN DE LA PRESENTE DECISIÓN
(106) | De conformidad con la jurisprudencia del TJUE y tal como se reconoce en el artículo 45, apartado 4, del Reglamento (UE) 2016/679, la Comisión debe supervisar de manera continuada los acontecimientos en el tercer país u organización internacional después de la adopción de la decisión de adecuación, para evaluar si todavía garantiza un nivel de protección equivalente en lo esencial. Debe procederse obligatoriamente a tal control, en cualquier caso, cuando la Comisión sea informada de algún indicio que genere una duda razonable al respecto. |
(107) | Por consiguiente, la Comisión debe hacer una supervisión continuada de la situación en lo que respecta al marco jurídico y a la práctica real de la OEP relacionada con el tratamiento de los datos personales evaluada en la presente Decisión. Para facilitar este proceso, se invita a la OEP a que informe a la Comisión de toda novedad pertinente para la presente Decisión, en lo que respecta al tratamiento de datos personales y a las limitaciones y salvaguardias aplicables al acceso de las autoridades públicas a los datos personales. |
(108) | Además, a fin de que la Comisión pueda desempeñar eficazmente su función de supervisión, los Estados miembros deben informarle de toda medida pertinente tomada por las autoridades nacionales de protección de datos, en particular en lo que respecta a las consultas o las reclamaciones de los interesados de la UE en relación con la transferencia de datos personales desde la UE a la OEP. |
(109) | En aplicación del artículo 45, apartado 3, del Reglamento (UE) 2016/679 y teniendo en cuenta el hecho de que el nivel de protección que ofrece el régimen jurídico de la OEP puede ser objeto de modificación, la Comisión, tras la adopción de la presente Decisión, debe revisar periódicamente si las conclusiones relativas a la adecuación del nivel de protección garantizado por la OEP siguen estando justificadas de hecho y de Derecho. Estas evaluaciones deben tener lugar al menos cada cuatro años y deben abarcar todos los aspectos del funcionamiento de la presente Decisión, en particular el funcionamiento de los mecanismos de supervisión y ejecución pertinentes. |
(110) | Para llevar a cabo la revisión, la Comisión debe reunirse con la OEP, incluidos su DPD y el CPD. La participación en esta reunión debe estar abierta a los representantes de los miembros del Comité Europeo de Protección de Datos. En el marco de la revisión, la Comisión debe solicitar a la OEP que facilite información completa sobre todos los aspectos pertinentes a efectos de la conclusión de adecuación. La Comisión también debe pedir explicaciones sobre cualquier información pertinente para la presente Decisión que haya recibido, en particular del Comité Europeo de Protección de Datos, de las distintas autoridades de protección de datos y de los grupos de la sociedad civil y los informes públicos o las noticias los medios de comunicación o cualquier otra fuente de información disponible. |
(111) | Sobre la base de la revisión, la Comisión debe elaborar un informe público que presentará al Parlamento Europeo y al Consejo. |
(112) | Cuando la información disponible, en particular la información resultante de la supervisión por parte de la Comisión de acontecimientos que pudieran afectar a la efectiva aplicación de la presente Decisión con arreglo al artículo 45, apartado 4, del Reglamento (UE) 2016/679 o proporcionada por la OEP o las autoridades de los Estados miembros, revele que el nivel de protección ofrecido por la OEP puede ya no ser el adecuado, la Comisión debe informar de ello a la OEP y solicitar que se tomen medidas adecuadas dentro de un plazo determinado y razonable. |
(113) | Si, al vencer dicho plazo, la OEP no ha tomado dichas medidas o no ha demostrado satisfactoriamente de otro modo que se sigue garantizando un nivel de protección adecuado a efectos de la presente Decisión, la Comisión debe iniciar el procedimiento a que se refiere el artículo 93, apartado 2, del Reglamento (UE) 2016/679 con el fin de suspender o derogar, total o parcialmente, la presente Decisión. |
(114) | La Comisión también puede iniciar ese procedimiento para modificar la presente Decisión, en particular con el fin de imponer condiciones adicionales a las transferencias de datos o con el fin de limitar la conclusión de adecuación solo a las transferencias de datos para las que se siga garantizando un nivel de protección adecuado. |
(115) | La Comisión debe considerar asimismo la posibilidad de iniciar el procedimiento conducente a la modificación, suspensión o derogación de la presente Decisión, en el contexto de la revisión o si, por otro motivo, la OEP no proporciona la información o las aclaraciones necesarias para la evaluación del nivel de protección de los datos personales transferidos desde la UE o en relación con el cumplimiento de la presente Decisión. A este respecto, la Comisión debe tener en cuenta en qué medida puede obtenerse la información pertinente de otras fuentes. |
(116) | Por razones imperiosas de urgencia debidamente justificadas, la Comisión debe hacer uso de la competencia de adoptar, de conformidad con el procedimiento a que se refiere el artículo 93, apartado 3, del Reglamento (UE) 2016/679, actos de ejecución inmediatamente aplicables que suspendan, deroguen o modifiquen la presente Decisión. |
7. CONSIDERACIONES FINALES
(117) | El Comité Europeo de Protección de Datos publicó su correspondiente dictamen (292), que se ha tenido en cuenta en la elaboración de la presente Decisión. |
(118) | Las medidas previstas por la presente Decisión se ajustan al dictamen del Comité contemplado en el artículo 93, apartado 1, del Reglamento (UE) 2016/679. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
A efectos del artículo 45 del Reglamento (UE) 2016/679, la Organización Europea de Patentes garantiza un nivel de protección adecuado de los datos personales transferidos desde la Unión a la Organización Europea de Patentes.
Artículo 2
Cuando las autoridades competentes de los Estados miembros, a fin de proteger a los particulares en lo que respecta al tratamiento de sus datos personales, ejerzan los poderes otorgados por el artículo 58 del Reglamento (UE) 2016/679 en relación con las transferencias de datos a que se refiere el artículo 1, el Estado miembro en cuestión informará sin demora a la Comisión.
Artículo 3
1. La Comisión realizará un seguimiento continuo de la aplicación del marco jurídico de la Organización Europea de Patentes en el que se sustenta la presente Decisión, a fin de evaluar si la Organización Europea de Patentes sigue garantizando un nivel de protección adecuado a efectos del artículo 1.
2. Los Estados miembros y la Comisión se informarán recíprocamente de los casos en que la Organización Europea de Patentes no garantice el cumplimiento del marco jurídico en el que se sustenta la presente Decisión.
3. Al menos cada cuatro años, la Comisión evaluará la conclusión a que se refiere el artículo 1 sobre la base de toda la información disponible, incluida la información resultante de las revisiones realizadas junto con la Organización Europea de Patentes.
4. En caso de que la Comisión tenga indicios de que ya no se garantiza un nivel de protección adecuado, la Comisión informará de ello a la Organización Europea de Patentes. Si es necesario, podrá suspender, modificar o derogar la presente Decisión o limitar su ámbito de aplicación de conformidad con el artículo 45, apartado 5, del Reglamento (UE) 2016/679.
La Comisión también podrá suspender, derogar o modificar la presente Decisión si la falta de cooperación de la Organización Europea de Patentes le impide determinar si se ve afectada la evaluación a que se refiere el artículo 1 de la presente Decisión.
Artículo 4
Los destinatarios de la presente Decisión son los Estados miembros.
Hecho en Bruselas, el 15 de julio de 2025.
Por la Comisión
Michael MCGRATH
Miembro de la Comisión
(1) DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj.
(2) Véase el considerando 101 del Reglamento (UE) 2016/679.
(3) Véase el considerando 104 del Reglamento (UE) 2016/679.
(4) Véase el asunto C-311/18, Data Protection Commissioner/Facebook Ireland Ltd y Maximillian Schrems («Schrems II»), ECLI:EU:C:2020:559, apartado 94.
(5) Referencias sobre adecuación, Comité Europeo de Protección de Datos, WP 254, rev. 01, disponible en el siguiente enlace: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108.
(6) Asunto C-362/14, Maximillian Schrems/Data Protection Commissioner («Schrems I»), ECLI:EU:C:2015:650, apartado 73.
(7) Maximillian Schrems/Data Protection Commissioner, apartado 74.
(8) Maximillian Schrems/Data Protection Commissioner, apartado 75.
(9) Esta cifra indica el número de Estados contratantes en febrero de 2025.
(10) Artículo 5, apartado 1, del CPE.
(11) Artículo 4, apartado 2, del CPE.
(12) En cada uno de los Estados contratantes para los que se concede, una patente europea tiene, en principio, los mismos efectos y está sujeta a las mismas condiciones que una patente nacional concedida en dicho Estado (véase el artículo 2, apartado 2, del CPE).
(13) Artículos 26 y 33 del CPE.
(14) El presidente es nombrado por el Consejo de Administración y representa a la OEP a nivel externo (artículo 5, apartado 3, del CPE).
(15) Artículo 10, apartado 1, del CPE.
(16) Artículo 10, apartado 2, del CPE.
(17) Los miembros de las Cámaras de Recursos son nombrados por el Consejo de Administración (a propuesta del presidente) y actúan de manera independiente (artículo 11, apartado 3, y artículo 23 del CPE).
(18) Estas incluyen, por ejemplo, el nombre, la dirección, la nacionalidad y el número de teléfono de los solicitantes; el nombre y la dirección de los inventores y los agentes de patentes; el nombre y la información financiera de la persona que realiza los pagos, etc. La OEP puede obtener datos personales adicionales si un tercero se opone a la concesión de una patente, en cuyo caso puede compartirse con la OEP información adicional, como observaciones de terceros, pruebas y declaraciones escritas [véase el Reglamento de Ejecución del CPE, por ejemplo, la regla 41, apartado 2, la regla 143, apartado 1, letra h), la regla 92, apartado 2, letra c), la regla 19, apartado 1, la regla 53, apartado 1, etc.]. Véase también el artículo 9 de la Decisión del presidente sobre el procedimiento de concesión de patentes.
(19) Una solicitud de patente europea puede presentarse ante la oficina central de la propiedad industrial o ante otra autoridad competente de un Estado contratante. Tras comprobar la seguridad de la solicitud u otros requisitos nacionales, la autoridad nacional la remite a la OEP.
(20) Reglamento (UE) n.o 1257/2012 del Parlamento Europeo y del Consejo, de 17 de diciembre de 2012, por el que se establece una cooperación reforzada en el ámbito de la creación de una protección unitaria mediante patente (DO L 361 de 31.12.2012, p. 1, ELI: http://data.europa.eu/eli/reg/2012/1257/oj).
(21) Las patentes unitarias con efecto unitario para todos los Estados miembros participantes se registran de forma centralizada en la OEP, sin necesidad de que se adopten nuevas medidas administrativas a nivel nacional (como se exige en el caso de las patentes europeas).
(22) En diciembre de 2024, la OEP adoptó una norma sobre un mecanismo de supervisión independiente para el tratamiento de datos personales por parte de la Cámara de Recursos en su calidad de órgano jurisdiccional. Disponible en https://www.epo.org/en/about-us/transparency-portal?search_description=CA%2FD+19%2F24&op=&sort_by=most&items_per_page=10.
(23) El Tribunal Unificado de Patentes se ha creado sobre la base del Acuerdo sobre un Tribunal Unificado de Patentes (DO C 175 de 20.6.2013, p. 1) y tiene competencia exclusiva, entre otras cosas, con respecto a las patentes europeas (sujetas a un período transitorio) y a las patentes europeas con efecto unitario (por ejemplo, en lo que respecta a las acciones por infracciones reales o presuntas y las defensas conexas, las acciones de declaración de inexistencia de infracción, las acciones de medidas provisionales y cautelares y las acciones de cesación, las acciones de caducidad y las demandas de reconvención por caducidad). El Tribunal Unificado de Patentes también tiene competencia exclusiva en relación con las decisiones de la OEP en el ejercicio de sus funciones en materia de protección mediante patente unitaria.
(24) Para obtener información general sobre el procedimiento en el marco del PCT, véase la «Guía del solicitante del PCT — Introducción a la fase internacional», disponible en https://www.wipo.int/pct/es/guide/index.html, en particular su capítulo 3, así como la «Guía para solicitantes: Procedimiento del PCT ante la OEP» (Guía Euro-PCT), 16.a edición, 1 de enero de 2023, disponible en el siguiente enlace: https://www.epo.org/en/legal/guide-europct/2023/index.html. En cuanto a las categorías de datos personales tratados por la OEP en el marco de procedimientos con arreglo al PCT, véase, en particular, la sección 9, letras a), d), h), i), j), l), m), n) y p), del anexo de la Decisión del presidente de la Oficina Europea de Patentes, de 13 de diciembre de 2021, relativa al tratamiento de datos personales en procedimientos de concesión de patentes y procedimientos conexos (DO OEP 2021, A98).
(25) Asimismo, en este caso, una solicitud de patente puede tener que transferirse de la oficina central de la propiedad industrial u otra autoridad competente de un Estado contratante del PCT a la OEP.
(26) Artículo 33 del CPE.
(27) Véase, en particular, el artículo 1 ter, apartado 1, del Estatuto de los funcionarios, que dispone que «la Oficina se esfuerza por garantizar el respeto de los derechos fundamentales a la intimidad y a la protección de los datos de carácter personal de todas las personas cuyos datos sean tratados por la Oficina, así como por garantizar la rendición de cuentas en este sentido». Véase también el artículo 1, apartado 1, del RPD, que explica que el RPD establece el marco jurídico necesario para garantizar que «se respeten los derechos fundamentales de las personas físicas a la intimidad y a la protección de los datos personales que les conciernan tratados por la Oficina».
(28) Véanse también los artículos 47 y 48 del RPD.
(29) Reglamento relativo a la protección de datos (RPD) (a partir de la página 495), disponible en el siguiente enlace: https://report-archive.epo.org/files/babylon/service_regulations_en.pdf. El RPD también se aplica a las Cámaras de Recursos de la Oficina, con excepción del procedimiento de recurso ante el Comité de Protección de Datos, que no se aplica al tratamiento de datos personales por parte de las Cámaras en el ejercicio de su función judicial (artículo 2, apartado 6, del RPD). Para estas actividades, el RPD exige a las Cámaras que establezcan un mecanismo de revisión independiente.
(30) Reglamento relativo a la protección de datos del Consejo de Administración, disponible en el siguiente enlace: https://link.epo.org/ac-document/CA/D%202/23%20-%20En.pdf. El único aspecto en el que el Reglamento relativo a la protección de datos del Consejo de Administración difiere del RPD es en las adaptaciones a la configuración concreta del Consejo de Administración, es decir, se sustituyen las referencias al presidente por referencias al presidente del Consejo de Administración. Además, se han adoptado normas separadas para el denominado Comité restringido del Consejo de Administración: el Reglamento relativo a la protección de datos del Comité restringido (RPD CR). Este Comité está compuesto por los Estados contratantes y las organizaciones de usuarios de la OEP y ha sido creado por el artículo 9, apartado 2, del Reglamento (UE) n.o 1257/2012 y el artículo 145 del CPE para supervisar las actividades de la Oficina en el contexto del procedimiento de patente unitaria. El Reglamento relativo a la protección de datos del Comité restringido aplica el Reglamento relativo a la protección de datos del Consejo de Administración (que, a su vez, aplica el RPD) al tratamiento de datos personales por parte del Comité restringido (véase https://link.epo.org/web/about-us/governance/SC_D_1_23_en.pdf). También en este caso, el Reglamento relativo a la protección de datos del Comité restringido únicamente difiere de los Reglamentos del Consejo de Administración y de la Oficina en cuanto a que se refiere al presidente del Comité en lugar de al presidente del Consejo o al presidente.
(31) Reglamento relativo a la protección de datos (RPD) de la OEP: https://www.epo.org/en/about-us/office/data-protection-and-privacy.
(32) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39. ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(33) Artículo 10 del CPE. Véase asimismo el artículo 1, apartado 2, letra a), del RPD.
(34) https://www.epo.org/en/legal/official-journal/2021/12/a98.html. Se ha adoptado una decisión similar en relación con el tratamiento de datos en los procedimientos de recurso ante las Cámaras de Recursos por parte del presidente de las Cámaras de Recursos, a saber, la Decisión de 14 de julio de 2023 relativa al tratamiento de datos personales en los procedimientos de recurso ante las Cámaras de Recursos, disponible en el siguiente enlace: https://www.epo.org/en/legal/official-journal/2023/07/a73.html.
(35) Decisión de 7 de diciembre de 2022 relativa al tratamiento de datos personales en procedimientos relacionados con patentes europeas con efecto unitario, disponible en el siguiente enlace: https://www.epo.org/en/legal/official-journal/2022/12/a112.html.
(36) https://epo.org/en/legal/official-journal/2022/12/a111.html. Modificada por la Decisión de 11 de mayo de 2023 (DO Oficina Europea de Patentes 2023, A57), disponible en el siguiente enlace: https://www.epo.org/en/legal/official-journal/2023/06/a57.html.
(37) https://link.epo.org/web/en-decision-of-the-president-on-delegated-controllers.pdf. Esta Decisión se actualiza al menos una vez al año.
(38) Circular n.o 420 por la que se aplica el artículo 25 del Reglamento relativo a la protección de datos, disponible en el siguiente enlace: https://link.epo.org/web/circular_420_en.pdf.
(39) Por lo que se refiere al tratamiento de datos personales por las Cámaras de Recursos en los procedimientos de recurso, esta interacción se aclara en la Decisión del presidente de las Cámaras de Recursos relativa al tratamiento de datos personales en los procedimientos de recurso ante las Cámaras de Recursos.
(40) Véase, por ejemplo, la referencia a los documentos operativos expedidos por el DPD en el artículo 1, apartado 2, letra c), del RPD, que han sido aprobados por el presidente y, por ende, han pasado a ser vinculantes.
(41) Véanse el artículo 1, apartado 6, y el artículo 12, apartado 5, del RPD del Consejo de Administración.
(42) Artículo 2, apartado 2, del RPD, y artículo 1 del Estatuto de los funcionarios.
(43) Artículo 3, apartado 1, letras a) y b), del RPD y artículo 4, apartados 1 y 2, del RGPD.
(44) Artículo 1 ter, apartado 2, del Estatuto de los funcionarios y artículo 2, apartados 2 y 3, del RPD. Véase también la definición de «interesado» [artículo 3, apartado 1, letra w), del RPD], es decir, «toda persona física identificada o identificable, con independencia de que sea o no un empleado de la Oficina». Para determinar si una persona es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física.
(45) Es decir, «el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable»; véase el artículo 3, apartado 1, letra e), del RPD.
(46) Esto es, «información que no se refiere a una persona física identificada o identificable ni a datos personales que se hayan anonimizado de forma que el interesado no sea identificable o haya dejado de serlo»; véase el artículo 3, apartado 1, letra r), del RPD. De conformidad con el artículo 13, apartado 1, del RPD, el responsable del tratamiento no está obligado a mantener, obtener o tratar información adicional para identificar a una persona con la única finalidad de cumplir el RPD cuando los fines para los que se tratan los datos no requieran o hayan dejado de requerir la identificación de la persona.
(47) Artículo 2, apartado 4, del RPD. Por lo que respecta al tratamiento de datos personales con fines de archivo (en el ejercicio legítimo de los poderes públicos de la OEP), fines de investigación científica o histórica o fines estadísticos, el RPD exige que se adopten medidas técnicas y organizativas, entre otras cosas, para garantizar el respeto del principio de minimización de los datos y, cuando la finalidad del tratamiento pueda lograrse de ese modo, tratar los datos de una forma que ya no permita la identificación de la persona (artículo 14 del RPD).
(48) Artículo 1 ter, apartado 3, del Estatuto de los funcionarios y artículo 2, apartado 1, del RPD. «Fichero» se define como «todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica»; véase el artículo 3, apartado 1, letra f), del RPD.
(49) Artículo 3, apartado 1, letra g), del RPD. Cuando se utiliza el término «responsable del tratamiento» en la presente Decisión, se hace referencia a la propia OEP o a los responsables delegados.
(50) Artículo 10, apartado 2, del CPE y artículo 28, apartado 1, del RPD.
(51) Artículo 28, apartado 2, del RPD. Esto se deriva específicamente de una delegación de poderes del presidente de la Oficina, véase https://www.epo.org/en/legal/official-journal/2021/etc/se1/p175.html. En el caso de otras actividades (cuando las Cámaras no actúen en el ejercicio de su función judicial), el presidente de las Cámaras actúa como responsable delegado del tratamiento del presidente de la Oficina.
(52) Véase el artículo 1, apartados 4 y 5, del RPD CA y el artículo 13 bis, apartado 2, del Reglamento interno del Comité restringido.
(53) Artículo 28, apartado 3, del RPD.
(54) Véase el artículo 3, apartado 1, letra h), del RPD. La persona que represente a la unidad operativa deberá ser un directivo de alto nivel, normalmente, como mínimo, un director principal. La lista de responsables delegados se hace pública (véanse, por ejemplo: https://link.epo.org/web/decision_of_the_president_on_delegated_controllers_en.pdf y https://link.epo.org/web/decision_of_the_president_of_the_boards_of_appeal_appointing_a_delegated_controller_en.pdf) y se actualiza periódicamente.
(55) Cuando la presente Decisión se refiera a un «responsable del tratamiento», esto incluirá a los responsables delegados pertinentes.
(56) En este caso, el artículo 29 del RPD exige que el responsable (delegado) del tratamiento determine, de manera transparente, las respectivas responsabilidades de ambas partes en el cumplimiento de sus obligaciones en materia de protección de datos, en particular en lo que respecta al ejercicio de los derechos de las personas y a las obligaciones de transparencia.
(57) Artículo 3, apartado 1, letra j), del RPD.
(58) Artículo 30, apartado 1, del RPD.
(59) Artículo 30, apartado 3, del RPD.
(60) Artículo 30, apartados 2 y 3, del RPD. Un encargado que contrata a un subencargado está obligado (contractualmente) a imponer al subencargado las mismas obligaciones en materia de protección de datos que las previstas en el contrato entre el responsable y el encargado (artículo 30, apartado 4, del RPD).
(61) Anexo E de las Condiciones Generales de Contratación de la OEP, https://link.epo.org/web/general_conditions_of_contract_en.pdf.
(62) Artículo 8, apartados 1, 2 y 5, del RPD, en relación con su artículo 9, apartado 1.
(63) Esto se refiere a las tareas realizadas con arreglo al CPE y al PCT o a las normas adoptadas sobre esa base (por ejemplo, el Estatuto de los funcionarios) que resultan necesarias para desempeñar las funciones de la OEP en el procedimiento de concesión de patentes. Véase también el apartado 5, punto 1, del anexo de la Decisión sobre procedimientos de concesión y las disposiciones pertinentes del CPE, como sus partes IV y V. Para el desempeño de las funciones de la OEP en el marco del procedimiento de concesión de patentes, la OEP trata datos personales a fin de tramitar solicitudes y patentes; llevar a cabo procedimientos de oposición; comunicarse con las partes en el procedimiento (y, en su caso, con terceros); mantener el Registro Europeo de Patentes; y elaborar informes y estadísticas e intercambiar datos con los Estados contratantes y la Organización Mundial de la Propiedad Intelectual (apartado 6 del anexo de la Decisión sobre procedimientos de concesión).
(64) Esto atañe a las tareas encomendadas al presidente de la Oficina para garantizar el funcionamiento y la gestión eficaces de la Oficina. Véase, por ejemplo, el artículo 10 del CPE, que describe las tareas del presidente en relación con el personal, (el acceso a) los edificios y la gestión de equipos. Este planteamiento se ajusta al artículo 5, apartado 1, letra a), y al considerando 22 del Reglamento (UE) 2018/1725. Asimismo, hace referencia a las funciones del Consejo de Administración en el marco del CPE, por ejemplo, el establecimiento de normas sobre pensiones y reglamentos financieros; véanse el artículo 33 del CPE y la regla 9, apartado 2, la regla 12, letra c), y la regla 122, apartado 4, del Reglamento de Ejecución del CPE. En el caso del Comité restringido, se refiere a las funciones de supervisión previstas en el artículo 145 del CPE. Por último, en cuanto a las Cámaras de Recursos, se refiere, por ejemplo, a su responsabilidad en el examen de los recursos contra las resoluciones de otras partes de la Oficina; véase el artículo 21, apartado 1, del CPE.
(65) Véase, por ejemplo, la regla 20 del Reglamento de Ejecución del CPE.
(66) Artículo 3, apartado 1, letra m), del RPD. Véase asimismo el artículo 7, apartado 2, del RPD.
(67) Artículo 7, apartado 1, del RPD.
(68) Artículo 7, apartados 1, 5, 6 y 7, del RPD.
(69) Artículo 7, apartado 4, del RPD.
(70) Artículo 7, apartado 4, del RPD.
(71) Artículo 7, apartado 5, del RPD.
(72) Véase, por ejemplo, el artículo 11 del RPD.
(73) Definidos como «datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona»; véase el artículo 3, apartado 1, letra o), del RPD.
(74) Definidos como «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de tal persona, como imágenes faciales o datos dactiloscópicos»; véase el artículo 3, apartado 1, letra p), del RPD.
(75) Es decir, datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud; véase el artículo 3, apartado 1, letra q), del RPD.
(76) Artículo 11, apartado 1, del RPD.
(77) Artículo 11, apartados 1 y 2, del RPD.
(78) El RPD también permite el tratamiento de categorías especiales de datos en situaciones concretas que afectan principalmente al personal de la OEP y, por lo tanto, son menos pertinentes para los datos transferidos sobre la base de la presente Decisión. En particular, podrán tratarse categorías especiales de datos cuando así lo autorice una disposición jurídicamente vinculante aplicable a la Organización Europea de Patentes [por ejemplo, el CPE y los instrumentos adoptados por el Consejo de Administración y el presidente, véase el artículo 3, apartado 1, letra y), del RPD] que establezca garantías adecuadas para los intereses y derechos fundamentales del interesado [artículo 11, apartado 2, letra b), del RPD] y el tratamiento sea necesario para el cumplimiento de las obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad social. Del mismo modo, el tratamiento puede realizarse cuando sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria, sobre la base de una normativa nacional que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional; véase el artículo 11, apartado 2, letra g), del RPD. Por último, el tratamiento puede ser necesario para fines de medicina preventiva o laboral, la evaluación de la capacidad laboral del trabajador, el diagnóstico médico, la prestación de asistencia o tratamiento de tipo sanitario o social, la gestión de los sistemas y servicios de asistencia sanitaria o social o los reconocimientos y dictámenes médicos, cuando estos datos sean tratados por un profesional sanitario sujeto a la obligación de secreto profesional o por otra persona sujeta a una obligación de guardar secreto equivalente (artículo 11, apartado 3, del RPD).
(79) Por ejemplo, en el contexto de los recursos contra una patente concedida, podrían incluirse datos sensibles en las declaraciones de testigos o en las pruebas presentadas. El tratamiento con arreglo a esta disposición también puede tener lugar si es sustancialmente necesario para la gestión y el funcionamiento de la Oficina y para las obligaciones derivadas de la obligación de cooperación de la OEP con los Estados contratantes (por ejemplo, la necesidad de tratar la información sobre salud del personal o de los visitantes de conformidad con los requisitos impuestos por las autoridades sanitarias del Estado anfitrión de la OEP). En cualquier caso, el instrumento jurídico en el que se base el tratamiento debe ser proporcionado respecto del objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado [artículo 11, apartado 2, letra f) del RPD].
(80) Artículo 12 del RPD. Un posible caso en el que se tratarían datos de este tipo serían los procedimientos disciplinarios relativos a abogados especializados en de patentes ante la Cámara Disciplinaria de la OEP (véase, por ejemplo, el apartado A.7 del anexo de la Decisión sobre procedimientos de concesión).
(81) Artículo 6, apartado 2, del RPD.
(82) Por ejemplo, la seguridad de la Organización; la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales; los derechos y libertades de otras personas, etc. (véase el artículo 25, apartado 1, del RPD).
(83) Artículo 6, apartado 3, del RPD.
(84) En particular, cualquier relación entre los fines de la recogida y los fines del tratamiento ulterior previsto; el contexto en que se hayan recogido los datos; la naturaleza de los datos; y las posibles consecuencias del tratamiento ulterior para las personas, véase el artículo 6, apartado 3, del RPD.
(85) Por «violación de la seguridad de los datos personales» se entiende «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la revelación o acceso no autorizados a tales datos»; véase el artículo 3, apartado 1, letra n), del RPD.
(86) Artículo 34, apartado 1, del RPD.
(87) Artículo 34, apartado 2, del RPD.
(88) Artículo 34, apartados 1 y 3, del RPD.
(89) Artículo 34, apartado 6, del RPD.
(90) Artículo 34, apartado 6, del RPD.
(91) Artículo 34, apartado 8, del RPD.
(92) Artículo 16, apartados 1 y 2, del RPD.
(93) Artículo 16, apartado 3, del RPD.
(94) Artículo 16, apartado 4, del RPD.
(95) Artículo 17, apartados 1 y 2, del RPD.
(96) Artículo 17, apartado 3, letra a), del RPD.
(97) Artículo 17, apartado 3, letra b), del RPD.
(98) Artículo 17, apartado 3, letra c), y artículo 4, del RPD. En el artículo 3, apartado 1, letra l), del RPD, «tercero» se define como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento.
(99) Artículo 17, apartado 4, del RPD. Estos requisitos de confidencialidad se aplican, por ejemplo, en el contexto del tratamiento de datos personales del personal por parte del servicio médico de la OEP (en cuyo caso los médicos pertinentes pueden estar sujetos a la obligación de secreto profesional, véase, por ejemplo, el artículo 11, apartado 3 del RPD y el Reglamento de aplicación de los artículos 83 bis, 84 y 84 bis del Estatuto de los funcionarios, apartado E) o en el marco de procedimientos de selección (sección 6 del anexo II — Procedimientos de concurso para puestos de los que el presidente es la autoridad facultada para proceder a los nombramientos).
(100) Es decir, cuando el CPE o los instrumentos jurídicos adoptados sobre su base regulan específicamente la información que debe divulgarse a las personas o al público, véase más detalladamente la sección 1.4.6.7 infra.
(101) Artículo 15, apartado 1, del RPD.
(102) Artículo 15, apartado 2, del RPD.
(103) Artículo 15, apartado 4, del RPD. Además, el artículo 13, apartado 2, del RPD deja claro que, si el responsable del tratamiento puede demostrar que no está en condiciones de identificar al interesado, no se aplicarán las disposiciones relativas a los derechos individuales (a menos que el interesado facilite información adicional que permita su identificación).
(104) Artículo 15, apartado 3, del RPD.
(105) En particular, el responsable del tratamiento debe facilitar una copia inteligible de los datos objeto de tratamiento y de toda la información disponible, del tipo que sea, independientemente de su naturaleza (objetiva o subjetiva), contenido (incluido cualquier tipo de actividad realizada) o formato (archivo en papel, registros informáticos, correos electrónicos); véase el artículo 18, apartado 3, del RPD. Al mismo tiempo, el derecho a obtener una copia de los datos no puede afectar negativamente a los derechos y libertades de otros (artículo 18, apartado 5, del RPD).
(106) Artículo 18, apartado 1, del RPD.
(107) Artículo 18, apartados 2 y 3, del RPD.
(108) Artículo 19, apartado 1, del RPD.
(109) Artículo 19, apartado 3, del RPD. Si el interesado lo solicita, el responsable del tratamiento debe informar sobre dichos destinatarios.
(110) Esta interpretación se adoptó en consonancia con las EDPS Guidelines on the Rights of Individuals with regard to the Processing of Personal Data [«Directrices del SEPD sobre los derechos de las personas en lo que respecta al tratamiento de datos personales», documento en inglés], https://www.edps.europa.eu/sites/default/files/publication/14-02-25_gl_ds_rights_en.pdf. Véase, en particular, la página 18 sobre orientaciones sobre el derecho de rectificación, en la que se hace referencia a «datos objetivos y fácticos» y «declaraciones subjetivas».
(111) Artículo 19, apartado 2, del RPD.
(112) La supresión de datos se define como la «destrucción de los datos almacenados de tal manera que no sea posible su reconstrucción» [artículo 3, apartado 1, letra v), del RPD]. La referencia a «datos almacenados» abarca todos los datos recogidos y conservados por el responsable del tratamiento (y por cualquier tercero en nombre del responsable del tratamiento).
(113) Artículo 20, apartado 1, del RPD.
(114) Artículo 20, apartado 4, del RPD.
(115) Artículo 20, apartado 2, del RPD.
(116) De conformidad con el artículo 20 del Protocolo sobre los privilegios e inmunidades de la OEP, la OEP puede estar obligada a facilitar datos personales a sus Estados contratantes en el marco de procedimientos administrativos o judiciales, por ejemplo, para el cálculo y la transferencia de los derechos de pensión del personal, para investigaciones fiscales o en el contexto de juicios civiles relativos al personal de la OEP.
(117) Esto se refiere a situaciones en las que la OEP está obligada, en virtud del CPE, el PCT o los instrumentos jurídicos adoptados sobre esa base, a tratar datos personales en relación con el procedimiento de concesión de patentes (por ejemplo, el mantenimiento de información en el Registro Europeo de Patentes y en el Boletín Europeo de Patentes con arreglo a los artículos 127 y 129 del CPE).
(118) El tratamiento de datos relativos a la salud por razones de interés público en el ámbito de la salud pública debe ajustarse a lo dispuesto en el artículo 11, apartado 2, letra g), del RPD.
(119) Artículo 20, apartado 3, del RPD.
(120) Artículo 3, apartado 1, letra c), del RPD.
(121) Artículo 21, apartado 1, del RPD.
(122) Artículo 21, apartado 2, del RPD.
(123) Cuando la OEP está legalmente obligada a tratar datos personales en el marco del procedimiento de concesión de patentes, es decir, en virtud del CPE y del PCT, las personas no pueden oponerse al tratamiento (véase el apartado 28 del anexo de la Decisión sobre procedimientos de concesión). Cuando los datos personales se traten con fines de investigación científica o histórica o con fines estadísticos, los interesados tienen derecho a oponerse, por motivos relacionados con su situación particular, al tratamiento de dichos datos personales, a menos que el tratamiento sea necesario para el cumplimiento de una tarea desempeñada en el ejercicio legítimo de los poderes públicos conferidos al responsable del tratamiento, lo cual incluye el tratamiento necesario para la gestión y el funcionamiento de la Oficina (artículo 23, apartado 4, del RPD).
(124) Artículo 23, apartado 2, del RPD.
(125) Artículo 23, apartado 1, del RPD.
(126) Artículo 22, apartado 1, del RPD.
(127) Dado que el tratamiento de datos personales en el marco del procedimiento de concesión de patentes no se fundamenta en ninguno de estos motivos, el derecho a la portabilidad de los datos no se aplica en tal contexto (véanse los apartados 29 y 30 del anexo de la Decisión sobre procedimientos de concesión).
(128) Artículo 24, apartado 1, del RPD. En el artículo 3, apartado 1, letra d), del RPD, «elaboración de perfiles» se define como toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.
(129) Artículo 24, apartado 3, del RPD.
(130) Artículo 24, apartado 2, letra b), del RPD.
(131) Véase el artículo 16, apartado 2, letra f), y el artículo 17, apartado 2, letra f), del RPD.
(132) Artículo 18, apartado 1, letra h), del RPD.
(133) A excepción del derecho de oposición, para el que la Circular n.o 420 no prevé ninguna limitación, véase el artículo 3, apartado 3. Además, de conformidad con el artículo 9 de la Circular n.o 420, la OEP puede limitar la comunicación de una violación de la seguridad de los datos a un particular.
(134) Véase la definición de limitaciones en el artículo 2 de la Circular n.o 420.
(135) No pueden justificarse limitaciones tan amplias e intrusivas que, de hecho, despojen a un derecho fundamental de su contenido fundamental e impidan a la persona ejercerlo; véase el artículo 4, apartado 3, de la Circular n.o 420.
(136) Es decir, la seguridad de la OEP, la seguridad pública o la defensa de los Estados contratantes; la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención; otros intereses sustanciales de la OEP relacionados con su misión principal, o en razón de obligaciones derivadas del deber de cooperación con los Estados contratantes, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social; la seguridad interna de la Oficina, incluida la de sus redes de comunicación electrónica; la protección de la independencia judicial y cuasijudicial y de los procedimientos judiciales y cuasijudiciales; la prevención, la investigación, la detección y el sanción de infracciones de normas deontológicas en las profesiones reguladas; una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública; la protección del interesado o de los derechos y libertades de otros y la ejecución de demandas civiles (artículo 25, apartado 1, del RPD).
(137) Artículo 25, apartado 3, del RPD.
(138) Artículo 25, apartado 2, del RPD.
(139) Artículo 1 de la Circular n.o 420.
(140) Artículo 4, apartado 1, letras a) y b), de la Circular n.o 420.
(141) Esto solo afecta al tratamiento de datos de salud del personal de la OEP (y no es directamente pertinente a efectos de una constatación de adecuación relativa al tratamiento de datos transferidos por un responsable o encargado del tratamiento sujeto al RGPD). El artículo 8 de la Circular n.o 420 aclara en mayor medida cómo pueden aplicarse las limitaciones al derecho de acceso a datos o expedientes médicos. En particular, especifica que tal limitación solo puede aplicarse al derecho a acceder directamente a sus datos médicos personales o expedientes de carácter psicológico o psiquiátrico tratados por la Oficina, pero solo si el acceso a dichos datos puede afectar negativamente a la vida y la salud del interesado u otras personas y suponer un peligro inmediato para ellos.
(142) Artículo 4, apartado 1, de la Circular n.o 420. Por lo general, esta disposición solo atañe a los datos personales del personal de la OEP. Se refiere a los casos en los que la OEP está obligada a cooperar con las autoridades nacionales de los Estados contratantes en virtud del artículo 131 del CPE (que regula la cooperación entre la OEP y los órganos jurisdiccionales nacionales de los Estados contratantes en las investigaciones o procedimientos relativos a la concesión de patentes) y en virtud del artículo 20, apartado 1, de su Protocolo sobre los privilegios e inmunidades (véase también el apartado 95). Este puede ser el caso, por ejemplo, cuando se solicita al personal de la OEP que testifique ante un órgano jurisdiccional nacional de un Estado contratante en el marco de un proceso penal nacional, o cuando se pide a la OEP que facilite información sobre el sueldo de su personal en procedimientos civiles (de Derecho de familia), etc.
(143) Artículo 2 de la Circular n.o 420.
(144) Artículo 25, apartado 3, letra a), del RPD. Véase también el artículo 6 de la Circular n.o 420.
(145) Artículo 5, apartado 5, de la Circular n.o 420.
(146) Artículo 4, apartado 4, de la Circular n.o 420. Estos registros deben ponerse a disposición del CPD previa solicitud (artículo 4, apartado 7, de la Circular n.o 420).
(147) Las medidas deben incluir, por ejemplo, el almacenamiento seguro, un entorno electrónico seguro que impida el acceso ilícito y accidental a datos electrónicos o su transferencia a personas no autorizadas y el seguimiento de las limitaciones y la revisión periódica de su aplicación (véase el artículo 5, apartado 2, de la Circular n.o 420).
(148) Artículo 4, apartado 5, y artículo 5, apartado 3, de la Circular n.o 420.
(149) Artículo 25, apartado 3, letra b), del RPD. Esta información puede aplazarse, omitirse o denegarse en caso de que deje sin efecto la limitación (véase el artículo 25, apartado 4, del RPD). Esta limitación adicional solo podrá aplicarse en casos debidamente justificados y siempre y cuando y en la medida en que resulte necesaria y proporcionada (artículo 7, apartado 4, de la Circular n.o 420). La justificación de la limitación debe reevaluarse periódicamente. Además del requisito específico de informar a las personas sobre una limitación de sus derechos, la OEP debe facilitar información general en su intranet o sitio web sobre las actividades que puedan conllevar limitaciones de derechos (artículo 7, apartado 1, de la Circular n.o 420).
(150) Artículo 2 de la Circular n.o 420 (disposiciones legales de la OEP).
(151) Artículo 1 y anexo de la Decisión sobre procedimientos de concesión.
(152) Artículo 2 de la Circular n.o 420.
(153) Apartados C.13 y C.14 del anexo de la Decisión sobre procedimientos de concesión y artículo 128 del CPE. Determinadas partes de los expedientes quedan excluidas de la consulta de expedientes de conformidad con el artículo 128, apartado 4, y la regla 144 del Reglamento de Ejecución del CPE, así como con la Decisión del presidente de la OEP de 12.7.2007 relativa a los documentos excluidos de la consulta de expedientes (Edición especial n.o 3, DO OEP 2007, J. 3, en inglés). Estas partes son las siguientes: los documentos relativos a la exclusión de los miembros de las Cámaras de Recursos o de la Cámara de Recursos ampliada o a las objeciones a los mismos; los proyectos de resolución y comunicación, así como todos los demás documentos, utilizados para la preparación de resoluciones y comunicaciones, que no se comunican a las partes; la designación del inventor, si ha renunciado a su derecho a ser mencionado y cualquier otro documento que el presidente de la Oficina Europea de Patentes haya excluido de la consulta debido a que dicha consulta no serviría para informar al público sobre la solicitud de patente europea o la patente europea, como los certificados médicos; las solicitudes de exclusión de la consulta de expedientes y la correspondencia conexa; la información cuya publicación vaya en detrimento de los intereses personales o económicos legítimos y no incluya información pertinente para el procedimiento de solicitud, patente o concesión.
(154) Véase el artículo 3 de la Decisión del presidente de la OEP, de 20 de febrero de 2019, relativa a la consulta en línea de los documentos que obran en poder de la OEP como Oficina receptora, Administración encargada de la búsqueda internacional o autoridad especificada para la búsqueda complementaria (DO OEP 2019, A17). Véanse, a este respecto, el artículo 30 del PCT relativo al acceso público a los expedientes y las reglas 94 y 48 del PCT. Estas disposiciones son invocadas por la OEP cuando actúa como oficina o autoridad competente en virtud del PCT con arreglo a los artículos 151 a 153 del CPE.
(155) Una corrección o rectificación con arreglo a estas disposiciones podrá conllevar una actualización de las inscripciones en el Registro Europeo de Patentes y en el Boletín Europeo de Patentes, así como de las publicaciones de la solicitud o la patente. Sin embargo, no modificará retroactivamente el contenido del expediente (que seguirá incluyendo todas las observaciones de las partes y las comunicaciones y resoluciones de la OEP). Tampoco dará lugar a la retirada o supresión de publicaciones anteriores (apartado C.19 del anexo de la Decisión sobre procedimientos de concesión). Esto también se aplica en virtud de los artículos 19 y 34 del PCT, cuando la OEP actúe como autoridad u oficina competente sobre la base de los artículos 151 a 153 del CPE.
(156) Regla 139 del Reglamento de Ejecución del CPE.
(157) Regla 140 del Reglamento de Ejecución del CPE. En las resoluciones de la OEP únicamente podrán rectificarse los errores lingüísticos, los errores de transcripción y las carencias manifiestas.
(158) Artículo 14, apartado 2, segunda frase, del CPE.
(159) Regla 21 del Reglamento de Ejecución del CPE. La designación incorrecta de un inventor puede rectificarse previa solicitud y únicamente con el consentimiento de la persona erróneamente designada y, cuando tal solicitud sea presentada por un tercero, el consentimiento del solicitante o del titular de la patente.
(160) Apartado C.25 del anexo de la Decisión sobre procedimientos de concesión.
(161) Apartados C.22 y C.23 del anexo de la Decisión sobre procedimientos de concesión.
(162) Artículo 129 del CPE.
(163) Regla 147, apartados 4 y 5, del Reglamento de Ejecución del CPE.
(164) Artículo 3, apartado 1, letras s) y t) del RPD.
(165) Artículo 8, apartado 2, del RPD.
(166) Véanse, en particular, los artículos 130, 131 y 135 del CPE, así como las disposiciones pertinentes del Reglamento de Ejecución del CPE (por ejemplo, las reglas 148 a 150). Véanse también los artículos 12, 18, 20 y 36 del PCT, así como las reglas 22, 23, 23 bis, 44, 47 y 71 del Reglamento de Ejecución.
(167) Por ejemplo, una autoridad nacional o local, así como otro organismo de Derecho público, como un hospital o una universidad.
(168) Artículo 8, apartado 1, del RPD.
(169) Resumen de los requisitos de la cláusula tipo de protección de datos de la OEP para memorandos de entendimiento, disponible en el siguiente enlace: https://link.epo.org/web/office/data-protection-and-privacy/en-outline-of-the-template-data-protection-clause-for-mous.pdf.
(170) Artículo 8, apartado 3, del RPD.
(171) Artículo 8, apartado 4, del RPD.
(172) «Nota explicativa sobre la transmisión y la transferencia de datos personales por parte de la OEP» (Nota sobre transmisión y transferencia), disponible en inglés en el enlace siguiente: https://link.epo.org/web/office/data-protection-and-privacy/en-explanatory-note-on-epo-transmission-and-transfer-of-personal-data.pdf, p. 4. Véase, en particular: «El RPD de la OEP [...] establece el principio general de protección adecuada, especialmente aplicable al flujo internacional de datos».
(173) Nota sobre transmisión y transferencia, disponible en la nota a pie de página 12.
(174) Artículo 8, apartado 3, del RPD.
(175) Artículo 8, apartados 1, 2 y 5, del RPD.
(176) Artículo 9, apartado 1, del RPD.
(177) Artículo 9, apartado 1, del RPD.
(178) Nota sobre transmisión y transferencia, p. 11, nota a pie de página 8. «Tercer país» se define en el RPD como un país que no es un Estado contratante del CPE, véase el artículo 3, apartado 1, letra u), del RPD.
(179) Artículo 9, apartado 2, del RPD.
(180) Véase el artículo 1, apartado 2, letra a), del RPD, en relación con el artículo 10, apartado 2, letra a), del CPE y el artículo 9, apartado 2, del RPD.
(181) Artículo 9, apartado 3, del RPD.
(182) Resumen de las «Referencias sobre adecuación» de la OEP, disponibles en el siguiente enlace: https://link.epo.org/web/office/data-protection-and-privacy/en-outline-of-the-adequacy-referential-methodology.pdf.
(183) Nota a pie de página 49 de la Nota sobre transmisión y transferencia.
(184) A excepción del Marco de Privacidad de Datos UE-EE. UU.
(185) Véase la Decisión del presidente de la Oficina Europea de Patentes, de 17 de noviembre de 2022, relativa a los países y entidades que se considera que garantizan una protección adecuada de los datos personales, que puede consultarse en el siguiente enlace: https://www.epo.org/en/legal/official-journal/2022/12/a111.html.
(186) Artículo 9, apartados 4 y 5, del RPD.
(187) A este respecto, las orientaciones del DPD se refieren a las cláusulas contractuales tipo adoptadas por la Comisión Europea como una buena visión general de las garantías que deben incluirse (véase la Nota sobre transmisión y transferencia, p. 8).
(188) Artículo 9, apartado 5, del RPD. Véase también la nota de transmisión y transferencia, p. 8.
(189) Resumen de los requisitos de los modelos de acuerdo administrativo de la OEP, disponible en el siguiente enlace: https://link.epo.org/web/office/data-protection-and-privacy/en-outline-of-the-epo's-administrative-arrangements-modules.pdf.
(190) Véase el anexo E de las Condiciones Generales de Contratación de la OEP, que puede consultarse en el siguiente enlace: https://link.epo.org/web/general_conditions_of_contract_en.pdf.
(191) Nota sobre transmisión y transferencia, p. 9.
(192) Nota sobre transmisión y transferencia, p. 9.
(193) Artículo 9, apartado 6, del RPD. En caso de que exista alguna razón para suponer que el interés legítimo del interesado podría verse perjudicado, el responsable del tratamiento debe establecer, tras haber ponderado los diversos intereses contrapuestos, que la transferencia para esa finalidad específica es proporcionada.
(194) Artículo 9, apartado 6, del RPD.
(195) Artículo 9, apartado 6, del RPD.
(196) Véase el artículo 10 del RPD, así como la nota de transmisión y transferencia, pp. 9-11.
(197) Artículo 10, apartado 1, letra a), del RPD. En este caso, la persona debe ser informada de los posibles riesgos que entraña la ausencia de un nivel adecuado de protección y de garantías adecuadas. Esta excepción no puede ser invocada por la OEP en el ejercicio de sus actividades oficiales (artículo 10, apartado 2, del RPD).
(198) Artículo 10, apartado 1, letras b) y c), y apartado 2 del RPD. La OEP no puede invocar estas excepciones en el ejercicio de sus actividades oficiales (artículo 10, apartado 2, del RPD).
(199) Artículo 10, apartado 1, letra d), del RPD. Dichas actividades oficiales o poderes públicos deben establecerse sobre la base del CPE u otras disposiciones legales aplicables de la Organización Europea de Patentes (artículo 10, apartado 4, del RPD). Esto incluye el tratamiento necesario para la gestión y el funcionamiento de la Oficina o para el cumplimiento de las obligaciones derivadas del deber de cooperación de la OEP con los Estados contratantes. Entre otras cosas, las transferencias pueden realizarse para cumplir obligaciones, por ejemplo, entre la Oficina y los organismos nacionales, las administraciones fiscales o aduaneras, las autoridades de supervisión financiera y los servicios competentes en materia de seguridad social o de sanidad pública, por ejemplo, en el caso del rastreo de contactos para detectar enfermedades contagiosas (artículo 10, apartado 6, del RPD).
(200) Artículo 10, apartado 1, letra e), y apartado 2, del RPD.
(201) Artículo 10, apartado 1, letra f), del RPD.
(202) Artículo 10, apartado 1, letra g), del RPD. Esta transferencia no puede afectar a la totalidad de los datos personales o de las categorías de datos incluidos en el registro, a menos que lo autoricen las disposiciones legales de la Organización Europea de Patentes, y, cuando el registro esté destinado a su consulta por personas que tengan un interés legítimo, la transferencia solo debe efectuarse a petición de dichas personas o, si estas van a ser las destinatarias, teniendo plenamente en cuenta los intereses y los derechos fundamentales del interesado (artículo 10, apartados 2 y 5, del RPD).
(203) Nota sobre transmisión y transferencia, p. 10.
(204) Que, como se ha mencionado anteriormente, incluye el tratamiento necesario para su gestión y funcionamiento, o en razón de obligaciones derivadas de su deber de cooperación con los Estados contratantes. Véase el artículo 10, apartado 6, del RPD.
(205) Artículo 26, apartado 1, del RPD.
(206) Artículo 27, apartados 1 y 2, del RPD.
(207) Artículo 32, apartados 1 y 2, del RPD. De conformidad con el artículo 4, apartado 1, del RPD, el responsable del tratamiento debe seguir «un enfoque estructurado y basado en el riesgo respecto del diseño y la documentación de las operaciones de tratamiento». El responsable del tratamiento también debe poder demostrar en todo momento a los interesados que se respetan los compromisos y condiciones documentados al llevar a cabo las operaciones de tratamiento.
(208) Artículo 32, apartados 4, 5 y 6, del RPD.
(209) Artículo 45 del RPD.
(210) Artículo 26, apartado 3, del RPD.
(211) El responsable del tratamiento debe solicitar asesoramiento al DPD sobre la necesidad de llevar a cabo una evaluación de impacto, que a su vez puede consultar al CPD en caso de duda. Véase el artículo 38, apartados 1 y 2, del RPD.
(212) Artículo 38, apartado 4, del RPD.
(213) Artículo 38, apartado 6, del RPD.
(214) Artículo 38, apartados 7 y 8, y artículo 39, del RPD.
(215) Artículo 40, apartado 2, del RPD.
(216) Artículo 32 bis, apartados 1 y 2, del Estatuto de los funcionarios, que establece que la función del DPD es supervisar la aplicación de las disposiciones sobre protección de datos personales, asesorar a las distintas unidades operativas de la OEP sobre el cumplimiento de sus obligaciones y proporcionarles la documentación operativa necesaria para la aplicación práctica de los requisitos de protección de datos. El CPD está obligado a garantizar «una supervisión independiente, efectiva e imparcial de las disposiciones aplicables a la protección de los datos personales». Puede existir un mecanismo de supervisión independiente diferente para vigilar el cumplimiento por parte de las Cámaras de Recursos cuando tratan datos personales en su capacidad judicial (véase también el artículo 2, apartado 6, del RPD).
(217) Artículo 32 bis, apartados 4 y 5, del Estatuto de los funcionarios.
(218) Artículo 41 del RPD.
(219) Artículo 42, apartado 8, del RPD. Esta consulta tiene lugar con independencia del motivo o razón invocados para toda propuesta de destitución o cese.
(220) Artículo 50 del Estatuto de los funcionarios.
(221) Véase el artículo 53, apartado 1, del Estatuto de los funcionarios, que establece que «[l]a autoridad facultada para proceder a los nombramientos podrá decidir el cese definitivo en sus funciones de un empleado: a) si el Estado contratante del que el empleado es nacional deja de ser parte en el Convenio; b) si el empleado se niega a ser trasladado a un país distinto de aquel en el que presta servicio; c) si, en el caso de un empleado designado por el Consejo de Administración de conformidad con el artículo 11, apartados 1 y 2, del Convenio, el Consejo de Administración así lo decide en interés de la Organización; d) que haya prestado servicio ininterrumpido durante un año o menos con un contrato de duración determinada; e) si, como consecuencia de sus propios actos, deja de cumplir las condiciones establecidas en el artículo 8, letras a) o b) (es decir, ser nacional de uno de los Estados contratantes de la OEP, salvo excepción autorizada por la autoridad facultada para proceder a los nombramientos, y gozar de plenos derechos civiles); o f) en los demás casos expresamente previstos en el presente Estatuto».
Véase también el artículo 13, apartado 4, letra b), del Estatuto de los funcionarios, que establece que «[p]odrá presentarse un informe sobre el funcionario en prácticas en cualquier momento del período de prueba si el cumplimiento de sus funciones, su rendimiento y su comportamiento resultan inadecuados. Sobre la base del informe o informes del período de prueba, la autoridad facultada para proceder a los nombramientos podrá:
— despedir a un nuevo contratado en período de prueba;
— decidir que el funcionario en prácticas que haya sido trasladado, promovido o reasignado vuelva a su puesto de trabajo anterior o, si este ha sido cubierto, a un puesto equivalente al grado de su puesto anterior para el que reúna los requisitos exigidos».
(222) El artículo 52 del Estatuto de los funcionarios establece los criterios y procedimientos que deben seguirse en caso de «incompetencia profesional».
(223) Artículo 94 del Estatuto de los funcionarios.
(224) Artículo 42, apartado 3, del RPD. Si bien el DPD también puede desempeñar otras tareas, estas no pueden dar lugar a un conflicto de intereses (artículo 42, apartado 6, del RPD).
(225) Artículo 42, apartados 1 y 3, del RPD.
(226) Artículo 42, apartado 2, del RPD.
(227) Artículo 48, apartado 1, del RPD.
(228) Artículo 48, apartados 1 y 3, del RPD.
(229) Artículo 48, apartado 2, del RPD.
(230) Artículo 1, apartado 1, del Reglamento interno del Comité de Protección de Datos, CA/26/21, adenda 1, adoptado el 11 de junio de 2021. Disponible en el siguiente enlace: https://link.epo.org/web/data_protection_board-rules_of_procedure_en.pdf.
(231) En particular, el contrato de servicios establece que el mandato del miembro del CPD «[solo] podrá rescindirlo, sin perjuicio del derecho de rescisión por causa grave, [el miembro del CPD] previa notificación por escrito con seis (6) meses de antelación». Dado que el contrato de servicios se rige por el Derecho alemán, el concepto de causa grave debe interpretarse de conformidad con el artículo 626 del Código Civil alemán. Según la jurisprudencia, esta situación puede darse, por ejemplo, en caso de incumplimiento reiterado y persistente de las obligaciones aplicables (por ejemplo, en materia de conflictos de intereses) o en caso de pena de prisión.
(232) Artículo 48, apartado 5, del RPD.
(233) Artículo 48, apartado 7, del RPD.
(234) Artículo 48, apartado 10, del RPD. La Secretaría desempeña sus funciones con independencia de toda injerencia indebida y siguiendo exclusivamente las instrucciones del presidente del CPD. Presta apoyo jurídico, administrativo y logístico al Comité. Véase el artículo 2 del Reglamento interno del CPD.
(235) Artículo 43, apartado 1, del RPD.
(236) Artículo 43, apartado 1, letra k), del RPD.
(237) Artículo 42, apartados 4 y 7, del RPD.
(238) Artículo 43, apartado 1, letra d), del RPD. Véase también la nota sobre supervisión de la protección de datos titulada How the Data Protection Office Conducts DP Audits and DP Inspections («Cómo lleva a cabo la Oficina de Protección de Datos auditorías e inspecciones de protección de datos», documento en inglés), disponible en https://link.epo.org/web/office/data-protection-and-privacy/en-outline-of-the-data-protection-oversight-mechanism.pdf.
(239) El CPD puede formular sugerencias sobre los ámbitos en los que deben realizarse auditorías (véase la Nota sobre supervisión de la protección de datos, p. 4).
(240) Nota sobre supervisión de la protección de datos, p. 4.
(241) Nota sobre supervisión de la protección de datos, p. 7.
(242) Nota sobre supervisión de la protección de datos, p. 6.
(243) Nota sobre supervisión de la protección de datos, p. 6.
(244) Artículo 43, apartado 5, del RPD.
(245) Artículo 46 del RPD.
(246) Nota sobre supervisión de la protección de datos.
(247) Nota sobre supervisión de la protección de datos, p. 2 (definición de «recomendaciones»).
(248) Artículo 43, apartado 6, del RPD.
(249) Artículo 54 del RPD. Las sanciones disciplinarias las impone el presidente, que tiene autoridad disciplinaria y competencias disciplinarias respecto del personal de la OEP (véase el artículo 10 del CPE y el artículo 93 y siguientes del Estatuto de los funcionarios).
(250) Nota sobre supervisión de la protección de datos, p. 7.
(251) Nota sobre supervisión de la protección de datos, pp. 3 y 4 y p. 8.
(252) Decisión del presidente de la Oficina Europea de Patentes, de 12 de julio de 2024, sobre la aplicabilidad de las recomendaciones del DPD aprobadas por el Comité de Protección de Datos en el marco de las auditorías e inspecciones de protección de datos, https://link.epo.org/web/office/data-protection-and-privacy/en-decision-of-the-president-on-enforceability-of-dpo-conclusions-and-recommendations.pdf.
(253) Nota sobre supervisión de la protección de datos, pp. 5 y 9.
(254) Artículo 47 del RPD.
(255) Artículo 49, apartado 1, del RPD. La solicitud deberá presentarse a más tardar tres meses después de la fecha en que el interesado haya sido informado o haya tenido conocimiento de cualquier otro modo del tratamiento de datos personales que presuntamente vulnera sus derechos.
(256) Artículo 49, apartado 2, del RPD. Si el DPD no ha emitido un dictamen al finalizar este plazo, dicho dictamen ya no será necesario.
(257) Artículo 49, apartado 3, del RPD. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. En caso de prórroga, el responsable delegado del tratamiento deberá notificárselo al interesado, junto con los motivos del retraso, en el plazo de un mes a partir de la recepción de la solicitud de revisión.
(258) Artículo 49, apartado 3, del RPD.
(259) Artículo 50, apartado 1, del RPD. La reclamación ante el CPD debe presentarse en un plazo de tres meses a partir de la recepción de la decisión o, en caso de rechazo implícito, de la fecha de vencimiento del plazo para responder a la solicitud.
(260) Artículo 50, apartado 2, del RPD.
(261) En particular, el DPD está obligado a responder a las solicitudes del CPD y a cooperar con él [artículo 43, letra i), del RPD]. Asimismo, el DPD está obligado a facilitar la cooperación entre el CPD y la Oficina y, en este contexto, tiene acceso a toda la información pertinente [artículo 43, letra j) y artículo 46 letras a) y b), del RPD].
(262) Artículo 4, apartado 5, del Reglamento interno del CPD.
(263) Artículo 8 del Reglamento interno del CPD.
(264) Artículo 11, apartado 1, del Reglamento interno del CPD.
(265) Artículo 10, apartado 2, del Reglamento interno del CPD.
(266) Artículo 11, apartado 2, del Reglamento interno del CPD.
(267) Artículo 50, apartado 3, del RPD.
(268) Artículo 50, apartado 4, del RPD y artículo 10, apartado 6, del Reglamento interno del CPD.
(269) Artículo 50, apartado 6, del RPD.
(270) Artículo 50, apartado 4, del RPD. Si las recomendaciones del CPD no son directamente pertinentes para los interesados, cualquier desviación deberá hacerse constar por escrito por el responsable del tratamiento mediante un documento presentado al CPD.
(271) Artículo 50, apartado 7, del RPD. Véase el artículo 13 del CPE y el artículo 113 del Estatuto de los funcionarios.
(272) Artículo 50, apartado 8, y artículo 52, apartado 2, del RPD. En virtud del RPD CA y del RPD CR, puede solicitarse un arbitraje al presidente del Consejo de Administración.
(273) Artículo 52, apartado 1, del RPD.
(274) Artículo 52, apartado 4, del RPD.
(275) Artículo 52, apartado 4, del RPD.
(276) Artículo 52, apartado 4, del RPD.
(277) Artículo 52, apartado 8, del RPD.
(278) Artículo 52, apartado 9, del RPD.
(279) Artículo 52, apartado 6, del RPD. El lugar del arbitraje es La Haya (artículo 52, apartado 5, del RPD) y la lengua utilizada durante el procedimiento debe ser elegida por el árbitro. No obstante, deberá ser una de las lenguas oficiales de la OEP (inglés, francés o alemán) (artículo 52, apartado 7, del RPD).
(280) Artículo 52, apartado 13, del RPD.
(281) Artículo 52, apartado 10, del RPD. Véanse también el artículo 3 y el artículo 34, apartado 2, del Reglamento del Tribunal Permanente de Arbitraje.
(282) Artículo 53 del RPD. En determinadas condiciones (en particular, conforme a los requisitos aplicables en virtud del Derecho alemán), las personas también pueden obtener una indemnización por los daños causados por el personal de la OEP en el ejercicio de sus funciones, de conformidad con el artículo 9, apartado 2, del CPE.
(283) Protocolo sobre privilegios e inmunidades de la OEP. Disponible en https://www.epo.org/en/legal/epc/2020/proprim.html.
(284) Artículo 3, apartado 1, letra a), del PPI.
(285) Esto incluye la posibilidad de rechazar una solicitud.
(286) Artículo 8, apartado 3, del RPD.
(287) Artículo 8, apartado 4, del RPD.
(288) «Nota explicativa sobre la transmisión y la transferencia de datos personales por parte de la OEP» (Nota sobre transmisión y transferencia), disponible en inglés en el enlace siguiente: https://link.epo.org/web/office/data-protection-and-privacy/en-explanatory-note-on-epo-transmission-and-transfer-of-personal-data.pdf, p. 4. Véase, en particular: «El RPD de la OEP [...] establece el principio general de protección adecuada, especialmente aplicable al flujo internacional de datos».
(289) Nota sobre transmisión y transferencia, nota a pie de página 12.
(290) Artículo 8, apartado 3, del RPD.
(291) Asunto C-362/14, Maximillian Schrems/Data Protection Commissioner («Schrems I»), ECLI:EU:C:2015:650, apartado 65.
(292) Comité Europeo de Protección de Datos, Dictamen 07/2025 sobre el proyecto de Decisión de Ejecución de la Comisión Europea con arreglo al Reglamento (UE) 2016/679 sobre la adecuada protección de los datos personales por parte de la Organización Europea de Patentes. Puede consultarse en inglés el siguiente enlace: https://www.edpb.europa.eu/system/files/2025-05/edpb-opinion-202507-epo-adequacydecision_en.pdf.
ELI: http://data.europa.eu/eli/dec_impl/2025/1382/oj
ISSN 1977-0685 (electronic edition)
No hay comentarios:
Publicar un comentario