No hay productos
Los precios son iva incluido
I
(Legislativo)
REGLAMENTO
REGLAMENTO (UE) 2016/679 PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril el año 2016
sobre la protección de las personas con respecto al tratamiento de datos personales ya la libre circulación de estos datos, y se deroga la Directiva 95/46 / CE del Consejo (Reglamento
General sobre la protección de datos)
(Texto pertinente a efectos del EEE)
LA EUROPEA Parlamento y el Consejo de la Unión Europea Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16, teniendo en cuenta la Comisión Europea, Previa transmisión del proyecto de acto legislativo a los parlamentos nacionales, previa consulta al Comité económico y social (1), previa consulta al Comité de las regiones (2), de conformidad con el procedimiento legislativo ordinario (3), Considerando lo siguiente:
(1) La protección de las personas con respecto al tratamiento de datos personales es un derecho fundamental. Artículo 8, párrafo 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, "Carta") y el artículo 16, párrafo 1, del Tratado de Funcionamiento de la Unión Europea establece que cualquier tiene derecho a la protección de los datos personales que le conciernen.
(2) Los principios y normas que rigen la protección de las personas con respecto al tratamiento de los datos personales respecto a ellos deben, cualquiera que sea la nacionalidad o residencia de tales personas naturales, respetan sus derechos y libertades fundamentales, en en particular su derecho a la protección de datos personales. El presente Reglamento tiene por objeto contribuir a la consecución de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, la consolidación y la convergencia de las economías en el mercado interior, el bienestar de los individuos.
(3) La Directiva 95/46 / CE del Parlamento Europeo y del Consejo (4) tiene por objeto armonizar la protección de los derechos y libertades fundamentales de las personas con respecto a las actividades de procesamiento y para garantizar la libre circulación de datos de carácter El personal entre los Estados miembros.
(1) DO C 229, 31.7.2012, p. 90.
(2) DO C 391, 12.18.2012, p. 127.
(3) Posición del Parlamento Europeo de 12 de marzo 2014 (no publicado aún en el Diario Oficial) y Posición del Consejo en primera lectura el 8 de abril del 2016 (no publicado aún en el Diario Oficial). Posición del Parlamento Europeo de 14 de abril el 2016.
(4) La Directiva 95/46 / CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas con respecto al tratamiento de datos personales ya la libre circulación de estos datos (DO L 281, 23.11.1995, p. 31).
(4) El tratamiento de los datos personales debe ser diseñada para servir a la humanidad. El derecho a la protección de datos personales no es un derecho absoluto; que debe ser considerado en relación con su función en la sociedad y equilibrarse con otros derechos fundamentales, de conformidad con el principio de proporcionalidad. El presente Reglamento respeta los derechos fundamentales y las libertades y principios reconocidos en la Carta consagrados en los Tratados, en particular, respeto de la vida privada y familiar, el hogar y las comunicaciones, la protección de los datos personales, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión e información, la libertad de empresa, el derecho a un recurso efectivo ya un juicio justo,
(5) La integración económica y social resultante del funcionamiento del mercado interior ha dado lugar a un aumento sustancial de flujos transfronterizos de datos personales. el intercambio de datos personales entre los agentes públicos y privados, incluyendo personas, asociaciones y empresas, intensificadas en toda la Unión. El Derecho de la Unión llamó a las autoridades nacionales de los Estados miembros cooperar e intercambiar datos personales, para poder cumplir con sus tareas o realizar tareas en nombre de una autoridad en una otro Estado miembro.
(6) El rápido desarrollo de la tecnología y la globalización han creado nuevos desafíos para la protección de los datos personales. El alcance de la recopilación e intercambio de datos de carácter personal se ha incrementado sustancialmente. Las tecnologías permiten tanto a las empresas privadas y las autoridades públicas a utilizar los datos personales como nunca antes en el curso de sus actividades. Cada vez más, los individuos toman la información sobre ellos a disposición del público y en un nivel global. La tecnología ha transformado la economía y en las relaciones sociales, y debe facilitar aún más la libre circulación de datos personales dentro de la Unión y su transferencia a terceros países y organizaciones internacionales,
(7) Estos cambios requieren un sólido marco de protección de datos y coherente en la UE, junto con una aplicación rigurosa de las normas, ya que es importante para construir la confianza que permitirá a la economía digital para el desarrollo en el todo el mercado interior. Los individuos deben tener el control de los datos personales que les conciernen. La seguridad como una práctica legal que debe ser fortalecida para las personas, los operadores económicos y las autoridades públicas.
(8) Cuando el presente Reglamento establece que el derecho de un Estado miembro puede aclarar las normas o limitaciones contenidas en la misma, los Estados miembros puede incorporar elementos de este Reglamento dentro de sus derechos en la medida necesaria para asegurar la consistencia y elaborar las disposiciones nacionales comprensible para las personas a las que se aplican.
(9) Si es satisfactoria en cuanto a sus objetivos y principios de la Directiva 95/46 / CE fue incapaz de evitar la fragmentación de la aplicación de la protección de datos en la UE, una inseguridad jurídica y la sensación generalizada en el público que los riesgos significativos para la protección de los individuos siguen siendo, en particular con respecto al entorno en línea. Las diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular el derecho a la protección de los datos personales, en lo que respecta al tratamiento de datos personales en los Estados miembros pueden impedir la libre circulación de estos los datos en toda la Unión. Por lo tanto, estas diferencias pueden constituir un obstáculo para ejercicio de actividades económicas en la Unión, distorsiones a la competencia y las autoridades obstaculizan los esfuerzos cumplir con sus obligaciones bajo la ley de la UE. Estas diferencias en el nivel de protección que resulta de la existencia de diferencias en la implementación y aplicación de la Directiva 95/46 / CE.
(10) Para garantizar un nivel uniforme y elevado de protección de las personas y para eliminar los obstáculos a los flujos de datos personales dentro de la UE, el nivel de protección de los derechos y libertades de las personas físicas que respecta al tratamiento de estos datos debería ser equivalente en todos los Estados miembros. Por lo tanto, es necesario garantizar un enfoque coherente y la aplicación coherente de las normas fundamentales de la protección de los derechos y libertades de las personas con respecto al tratamiento de datos personales en toda la Unión. En cuanto al tratamiento de los datos personales necesarios para el cumplimiento de una obligación legal, el cumplimiento de una misión de interés público o en el ejercicio de autoridad pública recae en el controlador, es necesario permitir a los Estados miembros a mantener o introducir disposiciones nacionales destinadas a clarificar aún más las normas del presente Reglamento. Junto con la legislación general y horizontal de Protección de Datos se aplica la Directiva 95/46 / CE, no hay, en los Estados miembros, la legislación sectorial varias específica en ámbitos que requieren disposiciones más detalladas. El presente Reglamento también permite a los Estados miembros un margen de maniobra para aclarar sus reglas, incluso en lo relativo al tratamiento de categorías especiales de datos personales (en adelante denominado "datos sensibles"). En este sentido, la presente Directiva
(11) La protección eficaz de los datos personales en la Unión requiere reforzar y aclarar los derechos de los interesados y las obligaciones de quienes realizan y determinan el tratamiento de datos personales, así como proporcionar en los Estados miembros, poderes equivalentes de vigilancia y control del cumplimiento de las normas sobre la protección de los datos personales y sanciones equivalentes para violaciónes.
(12) El artículo 16, párrafo 2, del Tratado de Funcionamiento de la Unión Europea el mandato del Parlamento Europeo y del Consejo para establecer las normas relativas a la protección de las personas con respecto al tratamiento de los datos a carácter el personal y las normas sobre la libre circulación de datos personales.
la cooperación efectiva entre las autoridades de supervisión de los diferentes Estados miembros. Para el mercado interior que funcione correctamente, es necesario que la libre circulación de datos personales en la Unión está restringida ni prohibida por razones de protección de las personas con respecto al tratamiento de datos personal. Para reflejar la situación específica de las micro, pequeñas y medianas empresas, el presente Reglamento incluye una excepción para las organizaciones con menos de 250 empleados en relación con el mantenimiento de registros. También se alienta a las instituciones y órganos de la Unión y los Estados miembros y sus autoridades de control a considerar las necesidades específicas de las micro, pequeñas y medianas empresas en el contexto de la aplicación del presente Reglamento. Para definir el concepto de las micro, pequeñas y medianas, que debería basarse en el artículo 2 del anexo de la Recomendación 2003/361 / CE (1).
(14) La protección otorgada por el presente Reglamento debe aplicarse a las personas, independientemente de su nacionalidad o lugar de residencia, con respecto al tratamiento de sus datos personales. El presente Reglamento no cubre el tratamiento de los datos personales relativos a las personas jurídicas, particularmente sociedades con personalidad jurídica, incluyendo el nombre, la forma y el domicilio legal de la corporación.
(15) Para evitar la creación de un grave riesgo de elusión, la protección de las personas debe ser tecnológicamente neutro y no debe depender de las técnicas utilizadas. Se debe aplicar a los datos personales de procesamiento utilizando procesos automatizados, así como el procesamiento manual, si los datos personales contenidos en o destinados a ser contenida en un archivo. Los archivos o conjuntos de archivos, así como sus tapas, que no están estructuradas de acuerdo a criterios específicos, no deben incluirse en el ámbito del presente Reglamento.
(16) El presente Reglamento no se aplica a las cuestiones de protección de los derechos y las libertades fundamentales o la libre circulación de datos personales para las actividades que quedan fuera del alcance de la legislación de la UE, tales que las actividades relacionadas con la seguridad nacional. El presente Reglamento no se aplica al tratamiento de datos personales por los Estados miembros en el marco de sus actividades relativas a la política exterior y de seguridad de la Unión.
(17) El Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo (2) se aplica al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión. Reglamento (CE) no 45/2001 y otras leyes aplicables de la Unión dicho procesamiento de los datos personales deben adaptarse a los principios y las normas establecidas en el presente Reglamento y aplicadas a la luz del presente Reglamento. Para establecer un marco para Proteger Datos sólidos y consistentes en la Unión, lo que debería, después de la adopción del presente Reglamento para hacer las adaptaciones necesarias en el Reglamento (CE) nº 45/2001 con el fin de -ci se aplican simultáneamente al presente Reglamento.
(18) El presente Reglamento no se aplica a los datos personales de tratamiento realizadas por una persona física en las actividades estrictamente personales o domésticos, y que por lo tanto no relacionada
(1) Recomendación de la Comisión de 6 de mayo de 2003, sobre la definición de las micro, pequeñas y medianas [C (2003) 1422] (DO L 124 de 20.5.2003, p. 36).
(2) El Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000 sobre la protección de las personas con respecto al tratamiento de datos personales por las instituciones y los organismos comunitarios ya la libre circulación de estos datos (DO L 8, 12.1.2001, p. 1).
actividad profesional o comercial. La actividad personal o doméstico podría incluir el intercambio de correspondencia y la celebración de una libreta de direcciones, o el uso de las redes sociales y las actividades en línea que tienen lugar en el marco de estas actividades. Sin embargo, el presente Reglamento se aplica a los controladores o subcontratistas que proporcionan los medios para procesar datos personales para dicha actividad personal o doméstico.
(19) La protección de las personas con respecto al tratamiento de datos personales por parte de las autoridades competentes a los efectos de la prevención y detección del delito, investigación y enjuiciamiento en la materia o la ejecución de las penas penal, incluida la protección contra amenazas a la seguridad pública y la prevención de tales amenazas y la libre circulación de estos datos sean objeto de específica acto jurídico de la Unión. Por lo tanto, el presente Reglamento no debe aplicarse a las actividades de procesamiento para esos fines. Sin embargo, los datos personales tratados por las autoridades públicas en virtud del presente Reglamento deberán, cuando se utiliza para estos fines, se regirán por un acto jurídico de la Unión más específica, a saber, la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (1). Los Estados miembros podrán confiar a las autoridades competentes en el sentido de la Directiva (UE) 2016/680 misiones que no necesariamente se realizan con fines de prevención y detección de delitos, investigación y enjuiciamiento en la materia o ejecución de sanciones penales, incluida la protección contra las amenazas a la seguridad pública y la prevención de este tipo de amenazas, por lo que el tratamiento de los datos personales para estos otros fines, siempre que se encuentren dentro del alcance aplicación de la legislación de la UE cae dentro del ámbito del presente Reglamento.
En cuanto al tratamiento de datos personales por las autoridades competentes para fines dentro del ámbito de aplicación del presente Reglamento, los Estados miembros deben poder mantener o introducir disposiciones más específicas para adaptar las normas del presente Reglamento . Estas disposiciones pueden determinar con mayor precisión las necesidades específicas de tratamiento de datos personales por parte de las autoridades competentes para estos otros fines, teniendo en cuenta la estructura constitucional, organización y administración del Estado miembro en cuestión. Cuando el tratamiento de datos personales por parte de entidades privadas cae dentro del ámbito del presente Reglamento, debería ser posible para los Estados miembros, bajo ciertas condiciones, limite por ley ciertas obligaciones y derechos cuando constituya una medida necesaria y proporcionada en una sociedad democrática por intereses específicos importantes tal restricción, tales como la seguridad pública y la prevención y detección de delitos, la investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluida la protección contra las amenazas a la seguridad pública y la prevención de este tipo de amenazas. Esto es relevante, por ejemplo, como parte de la lucha contra el blanqueo de dinero o las actividades de los laboratorios forenses.
(20) Aunque el presente Reglamento se aplica, entre otras, las actividades de los tribunales y otras autoridades judiciales, el Derecho de la Unión o la ley de los Estados miembros podrían especificar las operaciones y procedimientos de procesamiento con respecto al tratamiento datos personales por parte de los tribunales y otras autoridades judiciales. La competencia de las autoridades de supervisión no debe extenderse al tratamiento de datos personales llevado a cabo por los tribunales en el ejercicio de su función judicial, con el fin de preservar la independencia del poder judicial en el ejercicio de sus funciones judiciales, incluyendo la toma de decisiones. Debería ser posible para dar el control de las operaciones de procesamiento de datos a los órganos específicos en el
(21) El presente Reglamento se entiende sin perjuicio de la aplicación de la Directiva 2000/31 / CE del Parlamento Europeo y del Consejo (2), incluyendo la responsabilidad de los prestadores de servicios intermediarios previsto en los artículos 12 a 15. objetivos presente Directiva para garantizar el correcto funcionamiento del mercado interior garantizando la libre circulación de servicios de la sociedad de la información entre los Estados miembros.
(22) Todo tratamiento de datos personales en poder dentro de las actividades de un establecimiento de un controlador o un subcontratista en el territorio de la UE deben estar en conformidad con el presente Reglamento, el tratamiento en sí se lleva a cabo o no en la Unión. El establecimiento implica el ejercicio efectivo y real de una actividad mediante dispositivo estable. La forma jurídica de un dispositivo de este tipo, sea una sucursal o una filial con personalidad jurídica, no es decisivo a este respecto.
(1) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 la protección de las personas con respecto al tratamiento de datos personales por parte de las autoridades competentes a los efectos de la prevención y la detección delitos, investigación y enjuiciamiento en la materia o la ejecución de sanciones penales, y la libre circulación de estos datos y se deroga la decisión marco 2008/977 / JAI (véase la página 89 del presente Diario Oficial ).
(2) Directiva 2000/31 / CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio e ") (DO L 178 de 17.7.2000, p. 1).
(23) Para garantizar que un individuo no se excluye de la protección a la que tiene derecho en virtud de la presente regla, el tratamiento de datos personales relativos a las personas afectadas que se encuentran en la Unión por una controlador o un subcontratista que no esté establecido en la Unión deben estar sujetos a este Reglamento, cuando las actividades de procesamiento están relacionados con el suministro de bienes o servicios a estas personas, se requiere un pago o no. Para determinar si un controlador de tales o subcontratista proporciona bienes o servicios a personas afectadas que se encuentran en la Unión, se debe determinar si está claro que el controlador o subcontratista tiene la intención de proporcionar servicios a las personas interesadas en uno o más Estados miembros de la Unión. Mientras que la mera accesibilidad del administrador del sitio web del tratamiento, un subcontratista o un intermediario en la Unión, una dirección de correo electrónico u otros datos de contacto, o el uso de un lenguaje utiliza generalmente en el tercer país en el que el controlador está establecido no es suficiente para establecer que la intención, factores tales como el uso de un lenguaje o una moneda que se utiliza comúnmente en uno o más Estados miembros, con la posibilidad de bienes y servicios de orden en que los clientes de idioma o de referencia o los usuarios que se encuentran en la Unión, pueden dejar en claro que el responsable del tratamiento tiene la intención de
(24) El tratamiento de los datos personales de las personas afectadas que se encuentran en la Unión por un controlador o un subcontratista que no esté establecido en la Unión Europea también debe estar sujeta a este Reglamento cuando dicho tratamiento está relacionado con el seguimiento del comportamiento de estas personas en la medida en que se trata de su comportamiento dentro de la Unión. Para determinar si una actividad de transformación se puede considerar un seguimiento del comportamiento de las personas en cuestión, es necesario establecer si los individuos se realiza un seguimiento en Internet, incluyendo el futuro uso de técnicas de procesamiento de datos los datos personales que constan de un perfil de un individuo, en particular a adoptar decisiones relativas o
(25) Cuando la legislación de un Estado miembro aplique en virtud del derecho internacional, el presente Reglamento debe aplicarse a un controlador no esté establecido en la Unión, por ejemplo, que es de la representación diplomática o consular de un Estado miembro.
(26) Es conveniente aplicar los principios que rigen la protección de datos a cualquier información concerniente a una persona física identificada o identificable. Los datos personales que ha sido una seudonimización y que podrían ser atribuidos a un individuo a través del uso de información adicional debe ser considerado como información sobre una persona identificable. Para determinar si se identifica un individuo, se debe tener en cuenta todos los medios razonablemente probable que sea utilizado por el tratamiento o por cualquier otra persona para identificar al individuo directa o indirectamente, como orientación. Para establecer si los medios son una probabilidad razonable de usarse para identificar a un individuo, se debe tomar en consideración todos los factores objetivos, como el costo de la identificación y el tiempo necesario para ello, teniendo en cuenta la tecnología disponible en el momento del tratamiento y cambiarlas. por lo tanto, no hay necesidad de aplicar los principios que rigen la protección de datos de información anónima, es decir, la información no relacionada con una persona física identificada o identificable, o se hacen anónimos los datos personales de manera que el interesado no o ya no es identificable. El presente Reglamento se aplica, por tanto, no tratar dicha información anónima, incluidos los fines estadísticos y de investigación. se debe tomar en consideración todos los factores objetivos, como el costo de la identificación y el tiempo necesario para ello, teniendo en cuenta disponibles en el tratamiento de las tecnologías y la evolución de estos. por lo tanto, no hay necesidad de aplicar los principios que rigen la protección de datos de información anónima, es decir, la información no relacionada con una persona física identificada o identificable, o se hacen anónimos los datos personales de manera que el interesado no o ya no es identificable. El presente Reglamento se aplica, por tanto, no tratar dicha información anónima, incluidos los fines estadísticos y de investigación. se debe tomar en consideración todos los factores objetivos, como el costo de la identificación y el tiempo necesario para ello, teniendo en cuenta disponibles en el tratamiento de las tecnologías y la evolución de estos. por lo tanto, no hay necesidad de aplicar los principios que rigen la protección de datos de información anónima, es decir, la información no relacionada con una persona física identificada o identificable, o se hacen anónimos los datos personales de manera que el interesado no o ya no es identificable. El presente Reglamento se aplica, por tanto, no tratar dicha información anónima, incluidos los fines estadísticos y de investigación. tales como los costes de identificación y el tiempo requerido para ello, teniendo en cuenta disponibles en el tratamiento de las tecnologías y la evolución de estos. por lo tanto, no hay necesidad de aplicar los principios que rigen la protección de datos de información anónima, es decir, la información no relacionada con una persona física identificada o identificable, o se hacen anónimos los datos personales de manera que el interesado no o ya no es identificable. El presente Reglamento se aplica, por tanto, no tratar dicha información anónima, incluidos los fines estadísticos y de investigación. tales como los costes de identificación y el tiempo requerido para ello, teniendo en cuenta disponibles en el tratamiento de las tecnologías y la evolución de estos. por lo tanto, no hay necesidad de aplicar los principios que rigen la protección de datos de información anónima, es decir, la información no relacionada con una persona física identificada o identificable, o se hacen anónimos los datos personales de manera que el interesado no o ya no es identificable. El presente Reglamento se aplica, por tanto, no tratar dicha información anónima, incluidos los fines estadísticos y de investigación. por lo tanto, no hay necesidad de aplicar los principios que rigen la protección de datos de información anónima, es decir, la información no relacionada con una persona física identificada o identificable, o se hacen anónimos los datos personales de manera que el interesado no o ya no es identificable. El presente Reglamento se aplica, por tanto, no tratar dicha información anónima, incluidos los fines estadísticos y de investigación. por lo tanto, no hay necesidad de aplicar los principios que rigen la protección de datos de información anónima, es decir, la información no relacionada con una persona física identificada o identificable, o se hacen anónimos los datos personales de manera que el interesado no o ya no es identificable. El presente Reglamento se aplica, por tanto, no tratar dicha información anónima, incluidos los fines estadísticos y de investigación.
(27) El presente Reglamento no se aplica a los datos personales del difunto. Los Estados miembros podrán adoptar normas sobre el tratamiento de los datos personales de los fallecidos.
(28) seudonimización de los datos personales puede reducir los riesgos para las personas afectadas y los controladores de ayuda y subcontratistas para cumplir con sus obligaciones en materia de protección de datos. La introducción de seudonimización explícita en el presente Reglamento no tiene por objeto excluir cualquier otra medida de protección de datos.
(29) Para fomentar seudonimización en el procesamiento de los datos personales, las medidas apócrifos deberían ser posibles en un solo controlador, al tiempo que permite un análisis general, cuando se ha adoptado las medidas técnicas y las medidas de organización necesarias para garantizar, para el tratamiento preocupa que esta regulación se lleva a cabo, y que la información adicional para asignar los datos personales a una persona específica en cuestión se mantienen por separado. El tratamiento de los datos que procesa los datos personales debe indicar las personas autorizadas a este efecto en un mismo controlador.
(30) Las personas físicas pueden estar asociados, por los dispositivos, aplicaciones, herramientas y protocolos que utilizan, los identificadores en línea, tales como direcciones IP y las cookies de conexión ( "cookies") u otros identificadores, por ejemplo de las etiquetas de identificación de radiofrecuencia. Estos identificadores pueden dejar rastros, especialmente cuando se combina con identificadores únicos y otras informaciones recibidas por los servidores se pueden utilizar para crear perfiles de individuos e identificarlos.
(31) Las autoridades públicas a las que se comunican los datos personales de acuerdo con un requisito legal para el ejercicio de sus funciones oficiales, como las autoridades fiscales y aduaneras, células de investigación financiera, las autoridades administrativas independientes o autoridades reguladores de los mercados financieros y la supervisión de los mercados de valores no deben ser considerados destinatarios si reciben los datos personales que sean necesarios para llevar a cabo una investigación especial de interés público, de conformidad con la ley la Unión o la legislación de un Estado miembro. Las solicitudes de comunicación de las autoridades públicas siempre deben ser por escrito, estar motivado y ser ocasional, y no deben estar en un archivo completo o plomo a la interconexión de los archivos. El tratamiento de datos personales por las autoridades públicas en cuestión debe llevarse a cabo de conformidad con las normas aplicables en materia de protección de datos en base a los fines del tratamiento.
(32) El consentimiento debe darse un acto positivo claro por el cual se manifiesta en una persona libre, específico e informadas e inequívocas de acuerdo en el tratamiento de datos personales relativos, por ejemplo por medio de una declaración escrita, incluyendo la declaración electrónica, u oral. Esto podría hacerse, en particular, al marcar la casilla durante la visualización de una página web, optando por algunos parámetros técnicos de los servicios de la sociedad de información o por otra declaración u otro comportamiento que indica claramente el contexto en el que el interesado acepta el tratamiento propuesto de sus datos personales. Por tanto no puede ser cualquier consentimiento en caso de silencio, las casillas activadas por defecto o inactividad. El consentimiento a que se aplique a todas las actividades de procesamiento o los mismos fines. Cuando el tratamiento tiene varios propósitos, debe dar su consentimiento para todos ellos. Si no se da el consentimiento de la persona interesada raíz de una solicitud presentada electrónicamente, esta solicitud debe ser clara y concisa y no debe perturbar innecesariamente el uso del servicio para el que se concede.
(33) A menudo, no es posible entender plenamente la finalidad del tratamiento de datos personales con fines de investigación científica en el momento de la recogida de datos. Por lo tanto, las personas deben ser capaces de dar su consentimiento con respecto a ciertas áreas de la investigación científica, respetando las normas aceptadas éticos de la investigación científica. Las personas afectadas deben ser capaces de dar su consentimiento únicamente respecto de ciertas áreas de investigación o de partes de proyectos de investigación, ya que la intención permisos de uso.
(34) Los datos genéticos deben definirse como datos personales sobre las características genéticas o adquiridas hereditarias de un individuo, lo que resulta a partir del análisis de una muestra biológica de la persona en cuestión, incluyendo un análisis de los cromosomas , el ácido desoxirribonucleico (ADN) o ácido ribonucleico (ARN), u otro análisis de elementos para obtener información equivalente.
(35) Los datos personales relativos a la salud deben incluir todos los datos relacionados con el estado de salud de un sujeto de datos que revelen información acerca de la salud física o mental del pasado, presente o futuro la persona en cuestión. Esto incluye información acerca de la persona recogida en el registro de este individuo para recibir servicios de atención de la salud o en la prestación de servicios en el sentido de la Directiva 2011/24 / UE del Parlamento Europeo y Consejo (1) para el beneficio del individuo; un número, símbolo o un elemento específico asignado a un individuo para identificar únicamente para fines de salud; la información obtenida durante las pruebas o examen de una parte del cuerpo o una sustancia corporal, incluyendo a partir de datos genéticos y de muestras biológicas; y la información con respecto a, por ejemplo, enfermedad, invalidez, riesgo de la enfermedad, la historia clínica, el tratamiento clínico o estado fisiológico o biomédico de la persona de que se trate, independientemente de su origen, si se trata por ejemplo un médico u otro profesional de la salud, un hospital, un dispositivo médico o una prueba de diagnóstico in vitro.
(36) El establecimiento principal de un controlador en la Unión debe ser el lugar de la administración central en la Unión, si no se toman las decisiones en cuanto a los fines y medios del tratamiento de datos personales otro establecimiento del responsable del tratamiento en la Unión, que
(1) La Directiva 2011/24 / UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011 sobre la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45).
Si el otro establecimiento se debe considerar el establecimiento principal. El establecimiento principal de un controlador de la Unión debe ser determinado de acuerdo con el objetivo y debe asumir los criterios de eficacia y el ejercicio real de las actividades de gestión que determinan las principales decisiones en cuanto a los fines y medios del tratamiento de dentro de un dispositivo estable. Este criterio no debe depender de si el tratamiento se lleva a cabo allí. La presencia y el uso del tratamiento de los datos técnicos y personales mediante tecnologías o el procesamiento de actividades no lo hacen, en sí mismos, un establecimiento principal y, por tanto, hay criterios para determinar una establecimiento principal. la principal lugar de tratar en debe ser el lugar de la administración central en la Unión o, si no tiene una administración central en la Unión, donde tiene lugar la mayor parte de las actividades de procesamiento de Unión. Cuando el controlador y el subcontratista están ambos refiere, la autoridad de control del Estado miembro en el que el controlador tiene su establecimiento principal debe seguir siendo la autoridad competente cabeza de supervisión de cola, pero la subcontratista de la autoridad de supervisión debe ser considerada como una autoridad de supervisión correspondiente y la autoridad de supervisión debe participar en el procedimiento de cooperación previsto por el presente Reglamento. En cualquier evento, las autoridades de supervisión de los Estados miembros en los que el contratista-in tiene uno o más establecimientos no deben ser considerados como autoridades de supervisión afectadas cuando la decisión sólo se refiere al controlador. Cuando el tratamiento se lleva a cabo por un grupo de empresas, la oficina principal de la compañía que los controles se deben considerar el establecimiento principal del grupo de empresas, excepto cuando se determinan los fines y los medios de procesamiento por otra compañía.
(37) Un grupo de empresas deben abarcar una empresa que ejerce el control y sus controladas, el primero en ser uno que pueda ejercer una influencia dominante sobre otras empresas, ya que, por ejemplo, la posesión de capital de participación financiera o normas que la rigen, o la autoridad para hacer cumplir las normas sobre la protección de datos personales. Una empresa que controla el tratamiento de datos personales en las empresas afiliadas a ella deben ser considerados como formando con ellos un grupo de empresas.
(38) Los niños merecen una protección específica con respecto a sus datos personales, ya que pueden ser menos conscientes de los riesgos, las consecuencias y las garantías correspondientes y los derechos relacionados con el tratamiento de datos personales. Esta protección específica debe, en particular, se aplican a la utilización de los datos personales relacionados con fines de marketing de carácter niños o para la creación de perfiles de personalidad o de usuario y la recogida de los datos personales relativos a los niños durante el uso de los servicios ofrecidos directamente a un niño. El consentimiento del titular de la responsabilidad parental no debería ser necesario en el contexto de los servicios de prevención o de asesoramiento que se ofrecen directamente a un niño.
(39) Todo tratamiento de datos personales debe ser justa y lícita. El hecho de que los datos personales de individuos se recoge, se utiliza, consultado o tratada de otra manera y el grado en que son estos datos o serán procesados debe ser transparente con respecto a las personas afectadas. El principio de transparencia exige que toda la información y la comunicación en el tratamiento de estos datos personales son de fácil acceso, fácil de entender, y formulado en términos claros y sencillos. Esto se aplica en particular a la información facilitada a los interesados en el identidad del responsable del tratamiento y los efectos de la transformación y de otra información para asegurar la equidad y la transparencia en relación con las personas afectadas y su derecho a obtener la confirmación y la comunicación de los datos personales del sobre las que son objeto de un tratamiento. Los individuos deben ser informados de los riesgos, las normas, garantías y derechos para el tratamiento de los datos personales y la manera de ejercer sus derechos con respecto a este tratamiento. En particular, los objetivos específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y determina en la recogida de los datos personales. Los datos personales deben ser adecuados, relevante y limitado a lo estrictamente necesario para los fines para los que se traten. Esto requiere, en particular, para garantizar que el período de retención de datos se limita al mínimo. Los datos personales sólo deben ser procesados si la finalidad del tratamiento no puede lograrse razonablemente por otros medios. Para asegurarse de que los datos no se mantienen más tiempo del necesario, los límites de tiempo debe ser fijado por el controlador para el borrado o para una revisión periódica. Se deben tomar todas las medidas razonables para garantizar que los datos personales que son inexactas son rectificados o eliminados.
(40) Para ser lícito el tratamiento de datos personales debe basarse en el consentimiento de la persona afectada o en base a cualquier otra ley legítima base o en el presente Reglamento
o en otra disposición de la ley nacional o legislación de la UE, conforme a lo dispuesto en el presente Reglamento, incluyendo la necesidad de respetar la obligación jurídica a la que esté sujeto, o la necesidad de realizar un contrato que el interesado sea parte o para tomar medidas precontractuales a petición de la persona interesada.
(41) Cuando el presente Reglamento se refiere a la base jurídica o en la legislación, no significa necesariamente que no se requiere la adopción de un acto legislativo por un Parlamento, sin perjuicio de las obligaciones establecidas en la orden Constitución del Estado miembro de que se trate. Sin embargo, esta base legal o la legislación debe ser clara y precisa y su aplicación debe ser previsible para los que, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea (en lo sucesivo, "Tribunal de Justicia") y el Tribunal Europeo de derechos humanos.
(42) Cuando el procesamiento se basa en el consentimiento del sujeto de los datos, el controlador debe ser capaz de probar que la persona ha dado su consentimiento para la operación de procesamiento. En particular, en el contexto de una declaración escrita sobre otro asunto, deben existir salvaguardias para garantizar que la persona es consciente de consentimiento y alcance. En virtud de la Directiva 93/13 / CEE del Consejo (1), una declaración de consentimiento por parte del responsable del tratamiento debe ser proporcionada en una forma comprensible y fácilmente accesible, y se formula en términos claros y sencillos previamente, por escrito, y no debe no contienen cláusula abusiva. Para que el consentimiento a ser informado, la persona debe conocer al menos el identidad del controlador y los efectos del tratamiento que son para datos personales. El consentimiento no se debe considerar que se ha dado libremente si la persona en cuestión no tiene libertad de elección real o no es capaz de denegar o retirar el consentimiento sin sufrimiento.
(43) Para garantizar que el consentimiento se da libremente, es que no constituye una base jurídica válida para el procesamiento de datos personales en un caso particular donde hay un claro desequilibrio entre el interesado y el controlador, especialmente cuando el controlador es una autoridad pública y que es poco probable que el consentimiento fue dado libremente dadas todas las circunstancias de esta situación particular. El consentimiento se considerará que no ha sido dado tan libremente consentimiento por separado no se puede dar a diferentes operaciones de tratamiento de datos personales aunque esto es apropiado en este caso, o la ejecución de un contrato incluyendo la prestación de un servicio,
(44) El tratamiento debe considerarse lícito cuando se requiere como parte de un contrato o intención de contrato.
(45) Cuando el tratamiento se lleva a cabo de conformidad con la obligación legal de la que esté sujeto o es necesario para el cumplimiento de una misión de interés público o en el ejercicio de la autoridad pública , el tratamiento debe tener una base en la legislación de la UE o de la ley de un Estado miembro. El presente Reglamento no requiere disposiciones legales específicas para cada tratamiento individual. Una disposición legal puede ser suficiente para fundar varias operaciones de procesamiento sobre la base de una obligación jurídica a la que esté sujeto o donde es necesario el procesamiento para el desempeño de una misión de interés público o en el ejercicio de autoridad pública. También debe pertenecer al Derecho de la Unión o la legislación de un Estado miembro para determinar la finalidad del tratamiento. Por otra parte, esta ley podría especificar los términos de este Reglamento que rige la legalidad del tratamiento de los datos personales, establecer especificaciones para determinar el controlador, el tipo de datos de carácter personal objeto de tratamiento, el personas afectadas, las entidades a las cuales los datos personales pueden ser comunicados, limitaciones a la finalidad, la vida útil y otras medidas para garantizar el tratamiento lícito y justo. También debe pertenecer al Derecho de la Unión o la legislación de un Estado miembro para determinar si el controlador de la realización de una misión
(46) El tratamiento de datos personales debe considerarse lícito cuando es necesario para proteger un interés esencial en la vida del individuo o la de otra persona
(1) La Directiva 93/13 / CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con los consumidores (DO L 95 de 21.4.1993, p. 29).
la física. El tratamiento de los datos personales en base a los intereses vitales de otro individuo debe, en principio, tienen lugar cuando el tratamiento lógico que no se basa en una base jurídica distinta. Algunos tipos de tratamiento pueden estar justificadas por razones importantes de interés público y el interés vital del interesado, por ejemplo, cuando es necesario, el tratamiento con fines humanitarios, incluyendo a los brotes de monitor y difusión, o en casos de emergencias humanitarias, incluidos los desastres naturales y provocados por el hombre.
(47) Los intereses legítimos del responsable del tratamiento, incluyendo un controlador para los cuales los datos personales pueden ser comunicados o un tercero pueden proporcionar una base legal para el procesamiento, a menos intereses o derechos y libertades fundamentales del interesado prevalecen, teniendo en cuenta las necesidades razonables de los individuos en función de su relación con el controlador. Tal interés legítimo puede, por ejemplo, cuando no existe una relación pertinente y apropiada entre los datos y la persona responsable del tratamiento en situaciones tales como aquellas en las que la persona es un cliente del tratamiento o su servicio . En cualquier caso, la existencia de un interés legítimo debe ser cuidadosamente evaluada, en particular, para determinar si una persona interesada puede esperar razonablemente en el momento y en el contexto de la recogida de datos personales, que hacen sujeto a un tratamiento para un propósito particular. Los intereses y los derechos fundamentales de la persona interesada podrá, en particular, se basan en el interés del tratamiento de los datos personales cuando los datos se procesan en circunstancias en que las personas afectadas no están razonablemente esperar a un procesamiento adicional. Dado que corresponde a la legislatura para disponer por ley la base jurídica para el tratamiento de datos personales por las autoridades públicas, la base jurídica no debe s' aplicar al tratamiento de los poderes públicos en el cumplimiento de sus misiones. El tratamiento de los datos personales estrictamente necesarios para los fines de la prevención del fraude es también un interés legítimo del responsable del tratamiento en cuestión. El tratamiento de datos personales con fines de marketing puede considerarse como realizadas en respuesta a un interés legítimo.
(48) Los controladores que son parte de un grupo de empresas o instituciones afiliadas a un organismo central puede tener un interés legítimo en la transmisión de datos personales dentro del grupo de empresas a efectos administrativos internos incluyendo el tratamiento de los datos personales relativos a los clientes o empleados. Los principios generales que rigen la transferencia de datos personales, dentro de un grupo de empresas, una empresa ubicada en un tercer país no se vean comprometidos.
los proveedores de redes de comunicaciones electrónicas y los servicios y la tecnología de seguridad y proveedores de servicios, es un interés legítimo del responsable del tratamiento en cuestión. Podría ser, por ejemplo, para evitar el acceso no autorizado a las redes de comunicaciones electrónicas y distribución de códigos maliciosos y ataques de parada "denegación de servicio" y sistemas de comunicación daños que afecten informática y electrónica.
(50) El tratamiento de datos personales para fines distintos de aquellos para los que se recogieron los datos personales inicialmente se debe permitir sólo si es compatible con los fines para los que eran los datos personales originalmente recogido. En este caso, no se requiere ninguna base legal separada que ha permitido la obtención de datos personales. Si el tratamiento es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento, el Derecho de la Unión o la legislación de un Estado miembro puede determinar y especificar las tareas y propósitos para los cuales su posterior procesamiento debe considerarse compatible y lícita. El tratamiento posterior con fines de archivo en el interés público, a la investigación científica o histórica o con fines estadísticos se debe considerar el funcionamiento tratamiento lícito compatibles. La base jurídica prevista por el Derecho de la Unión o la legislación de un Estado miembro en relación con el tratamiento de datos personales también puede ser la base jurídica para su posterior procesamiento. Para determinar si los efectos de su posterior procesamiento son compatibles con aquellos para los que se recogieron originalmente los datos personales, el controlador, después de haber cumplido todos los requisitos relacionados con la legalidad del tratamiento inicial deben ser considerados , Entre otros: cualquier vínculo entre estos fines y objetivos de la elaboración ulterior prevista; el contexto en el que se recogieron los datos personales, en particular, las expectativas razonables de los interesados, en base a su relación con el controlador, en el uso posterior de dichos datos; la naturaleza de los datos de carácter personal; las consecuencias para las personas afectadas el tratamiento ulterior planificada; y la existencia de garantías adecuadas tanto en el tratamiento inicial y el tratamiento ulterior se esperaba. uso posterior de dichos datos; la naturaleza de los datos de carácter personal; las consecuencias para las personas afectadas el tratamiento ulterior planificada; y la existencia de garantías adecuadas tanto en el tratamiento inicial y el tratamiento ulterior se esperaba. uso posterior de dichos datos; la naturaleza de los datos de carácter personal; las consecuencias para las personas afectadas el tratamiento ulterior planificada; y la existencia de garantías adecuadas tanto en el tratamiento inicial y el tratamiento ulterior se esperaba.
Cuando el sujeto ha dado su consentimiento o que el tratamiento se basa en la ley de la UE o la legislación de un Estado miembro constituye una condición necesaria y proporcionada en una sociedad democrática para garantizar, en particular, los objetivos importantes de interés público general, el controlador debe permitir llevar a cabo el tratamiento posterior de los datos personales, independientemente de los propósitos de compatibilidad. En cualquier caso, la aplicación de los principios del presente Reglamento y, en particular, la información de la persona preocupada por estos otros fines y derechos, incluido el derecho a oponerse al tratamiento, debe garantizarse. El hecho de que el controlador, revelan la existencia de posibles delitos o amenazas a la seguridad pública y para transmitir a la autoridad competente los datos personales en cuestión en los casos individuales o en varios casos relacionados con el mismo delito o mismas amenazas para la seguridad pública deben ser considerados en el interés legítimo del controlador. Sin embargo, esta transmisión en el interés legítimo del responsable del tratamiento o el procesamiento posterior de los datos personales debe prohibirse cuando el tratamiento es incompatible con la obligación legal de confidencialidad, profesional o cualquier otra obligación de confidencialidad vinculante.
(51) Los datos personales que son, por naturaleza, particularmente sensible desde el punto de vista de las libertades y derechos fundamentales merecen una protección especial debido a que el contexto en el que se procesan podría conducir a riesgos significativos para estos derechos y libertades. Estos datos personales deben incluir los datos personales que revelen el origen racial o étnico, siempre que el uso del término "origen racial" en esta regulación no implica que se adhiere a la UE teorías que tratan de determinar la existencia de las razas humanas. El procesamiento de fotografías no debería ser automáticamente considerado como un tratamiento de categorías especiales de datos personales, ya que caen dentro de la definición de los datos biométricos cuando son procesadas por un método técnico específico para la identificación de inicio de sesión único o de una persona física. Dichos datos personales no deben ser tratados a menos que esté permitido en casos específicos previstos en el presente Reglamento, teniendo en cuenta que la legislación de un Estado miembro podrá disposiciones específicas relativas a la protección de datos se adaptan a las normas del presente Reglamento con el fin de cumplir con una obligación legal o para el cumplimiento de una misión de interés público o en el ejercicio de autoridad pública recae en el controlador. Además de los requisitos específicos para este tratamiento, deben aplicarse los principios generales y demás disposiciones del presente Reglamento, en particular con respecto a las condiciones de licitud del tratamiento. Las excepciones a la prohibición general del tratamiento de estas categorías especiales de datos personales deben constar de forma explícita, incluyendo cuando el interesado da su consentimiento explícito o para satisfacer las necesidades del específicos, especialmente cuando el tratamiento se lleva a cabo en el marco actividades legítimas de ciertas asociaciones o fundaciones cuyo propósito es permitir el ejercicio de las libertades fundamentales. en particular con respecto a las condiciones para el tratamiento lícito. Las excepciones a la prohibición general del tratamiento de estas categorías especiales de datos personales deben constar de forma explícita, incluyendo cuando el interesado da su consentimiento explícito o para satisfacer las necesidades del específicos, especialmente cuando el tratamiento se lleva a cabo en el marco actividades legítimas de ciertas asociaciones o fundaciones cuyo propósito es permitir el ejercicio de las libertades fundamentales. en particular con respecto a las condiciones para el tratamiento lícito. Las excepciones a la prohibición general del tratamiento de estas categorías especiales de datos personales deben constar de forma explícita, incluyendo cuando el interesado da su consentimiento explícito o para satisfacer las necesidades del específicos, especialmente cuando el tratamiento se lleva a cabo en el marco actividades legítimas de ciertas asociaciones o fundaciones cuyo propósito es permitir el ejercicio de las libertades fundamentales.
(52) Las excepciones a la prohibición de tratar categorías especiales de datos personales también se debe permitir que el Derecho de la Unión o la legislación de un Estado miembro establezca, y con sujeción a las garantías adecuadas, por lo a los datos personales proteger y otros derechos fundamentales, cuando el interés público para incluir el tratamiento de datos personales en el ámbito del derecho laboral y el derecho a la protección social, incluidas las pensiones, y razones de seguridad, el seguimiento y la salud de alerta, prevención y control de enfermedades transmisibles y otras amenazas graves para la salud. Estas excepciones son posibles por razones de salud, incluida la salud y la gestión de los servicios públicos de salud, sobre todo para asegurar la calidad y la eficiencia de los procedimientos para la resolución de las solicitudes de prestaciones y servicios en el plan de seguro médico, o para archivado en el interés público, con el propósito de la investigación científica o histórica o con fines estadísticos. Una excepción debe permitir además el tratamiento de estos datos personales, si es necesario para el reconocimiento, ejercicio o defensa de demandas judiciales, ya sea como parte de judicial, administrativo o judicial. o con fines de archivo en el interés público, para fines de investigación científica o histórica o con fines estadísticos. Una excepción debe permitir además el tratamiento de estos datos personales, si es necesario para el reconocimiento, ejercicio o defensa de demandas judiciales, ya sea como parte de judicial, administrativo o judicial. o con fines de archivo en el interés público, para fines de investigación científica o histórica o con fines estadísticos. Una excepción debe permitir además el tratamiento de estos datos personales, si es necesario para el reconocimiento, ejercicio o defensa de demandas judiciales, ya sea como parte de judicial, administrativo o judicial.
(53) Las categorías especiales de datos personales que merecen una mayor protección debe tratarse con fines relacionados con la salud cuando ello sea necesario para lograr estos objetivos en beneficio de los individuos y la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas de salud y protección social, incluyendo el tratamiento por la dirección nacional y las autoridades de salud del gobierno central, estos datos para el el control de calidad, gestores de información y supervisión general, a nivel nacional y local, el sistema de atención de la salud o la protección social y con el fin deasegurar la continuidad de la atención de la salud o la protección social y la asistencia sanitaria transfronteriza o con fines de seguridad, vigilancia y alerta sanitaria, o con fines de archivo en el interés público, con fines de investigación científica o con fines históricos o estadísticos, sobre la base del derecho de la Unión o la ley de los Estados miembros que deben cumplir con un objetivo de interés público y para los
Los estudios realizados en el interés público en el campo de la salud pública. Por lo tanto, el presente Reglamento debe prever las condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, a satisfacerlas necesidades específicas, sobre todo cuando se realiza el tratamiento de esos datos para ciertos fines relacionados con la salud por personas sujetas a una obligación legal de secreto profesional. El Derecho de la Unión o la ley de los Estados miembros deben prever específicas y adecuadas medidas de protección de los derechos fundamentales y los datos personales de los individuos. Estados miembros deberían estar autorizados a mantener o establecer condiciones adicionales, incluyendo limitaciones, en relación con el tratamiento de los datos genéticos, datos biométricos o datos de salud. Sin embargo, esto no debe impedir la libre circulación de datos personales dentro de la UE, cuando estas condiciones se aplican a transfronteriza tratamiento de dichos datos.
(54) El tratamiento de categorías especiales de datos personales puede ser necesario por razones de interés público en los campos de la salud pública, sin el consentimiento de la persona interesada. Dicho tratamiento debe ser medidas apropiadas y concretas para proteger los derechos y libertades de las personas físicas. En este contexto, el concepto de 'salud pública' se debe interpretar como se define en el Reglamento (CE) nº 1338/2008 del Parlamento Europeo y del Consejo (1), es decir, todos los elementos relacionados con la salud, es decir, el estado de salud, morbilidad y discapacidad incluidos, los determinantes que influyen en dicho estado de salud, las necesidades de atención de salud, en los recursos de atención de salud, la prestación de asistencia sanitaria, el acceso universal a la salud, el gasto en salud y la financiación, y las causas de la muerte. Tales datos relativos a tratamientos de salud por razones de interés público no debe dar lugar a que los datos personales sean tratados para otros fines por parte de terceros, tales como los empleadores o compañías de seguros y los bancos.
(55) Además, el tratamiento de datos personales por parte de las autoridades públicas con el fin de lograr los objetivos, en virtud del derecho constitucional o el derecho internacional público, las asociaciones religiosas reconocidas oficialmente se hace por razones de interés público.
(56) Cuando, como parte de las actividades relacionadas con las elecciones, el funcionamiento del sistema democrático en un Estado miembro requiere que los partidos políticos recaben datos personales relativos a puntos de vista políticos de las personas, el procesamiento de estos datos puede ser permitidos por razones de interés público, siempre que se proporcionan las garantías adecuadas.
(57) Si el personal que trata los datos no le permiten identificar a un individuo, el controlador debe no ser necesaria para obtener información adicional para identificar a la persona con el único fin de respetar una disposición de este Reglamento. Sin embargo, el controlador no debe negarse la información adicional proporcionada por la persona en cuestión para facilitar el ejercicio de sus derechos. La identificación debe incluir el número de identificación de una persona de que se trate, por ejemplo a través de un mecanismo de autenticación tal como los mismos identificadores utilizados por la persona a conectarse al servicio en línea proporcionado por el controlador.
(58) El principio de transparencia exige que cualquier información dirigida al público o la persona es conciso, de fácil acceso y fácil de entender, y se formula en términos claros y sencillos y, además, en su caso, ilustrado el uso de elementos visuales. Tal información podría ser proporcionada en forma electrónica, por ejemplo a través de una página web cuando se dirige al público. Esto es especialmente cierto en situaciones en las que la multiplicación de los actores y la complejidad de las tecnologías utilizadas hacen que sea difícil para el individuo para conocer y entender si los datos personales que se recogen, por quién y para ¿Con qué propósito, como en el caso de la publicidad en línea. Los niños merecen una protección específica,
(59) Las modalidades se debe proporcionar a facilitar el ejercicio por parte del interesado de los derechos conferidos por el presente Reglamento, incluida la forma de solicitud y, si es necesario, para obtener de forma gratuita, sobre todo, la el acceso a los datos personales y la rectificación o supresión, así como el ejercicio de un derecho de objeto. El controlador también debería proporcionar los medios para presentar solicitudes electrónicamente, especialmente cuando los datos personales se procesan electrónicamente. El controlador debe ser necesaria para responder a las peticiones de la persona en cuestión tan pronto como sea posible y, a más tardar dentro de un mes y motivar su respuesta cuando al '
(1) El Reglamento (CE) nº 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre las estadísticas comunitarias de salud pública y la salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70).
(60) El principio de justa y procesamiento transparente requieren que el titular de los datos es informado de la existencia de la operación de procesamiento y sus efectos. El controlador debe proporcionar a la persona de que se trate cualquier otra información necesaria para asegurar el tratamiento justo y transparente, teniendo en cuenta las circunstancias específicas y el contexto en el que se procesan los datos personal. Además, el interesado debe ser informado de la existencia de perfiles y las consecuencias de la misma. Cuando los datos personales se recogen del titular de los datos, es importante que también se sabe que está obligado a proporcionar estos datos personales y ser informado de las consecuencias que s' expuestos si no proporciona. Esta información puede ser entregada junto con los iconos estándar para proporcionar una buena visión general, fácilmente visible, comprensible y claramente legible, el tratamiento deseado. Cuando los iconos se presentan electrónicamente, que debe ser legible por máquina.
(61) La información sobre el tratamiento de datos personales relativos a la persona en cuestión debe ser suministrado en el momento los datos se recogen de él o, si los datos personales se obtienen de otra fuente, en un plazo razonable en función de las circunstancias de cada caso. Cuando los datos personales pueden ser revelados legítimamente a otro destinatario, es apropiado que la persona interesada estar informado de cuando dichos datos personales se dan a conocer por primera vez dicho receptor. Cuando se tiene la intención de tratar los datos personales para fines distintos de aquellos para los que se recogieron, el controlador debe, antes del procesamiento adicional, proporcionar la información acerca de la persona de que se trate otro propósito y cualquier otra información necesaria. Cuando el origen de los datos personales no podía ser comunicada a la persona interesada porque se utilizaron varias fuentes de información general debe ser proporcionada.
(62) Sin embargo, no es necesario imponer la obligación de facilitar información cuando el interesado ya tiene esta información, cuando el registro o la comunicación de los datos personales sean expresamente por la ley o cuando la comunicación de información al interesado resulte imposible o requeriría un esfuerzo desproporcionado. Este podría ser el caso en particular cuando se trata de tratamiento con fines de archivo en el interés público, con el propósito de la investigación científica o histórica o con fines estadísticos. En este sentido, se debe considerar el número de personas involucradas, la antigüedad de los datos, y todas las salvaguardias pertinentes adoptadas.
(63) Una persona en cuestión deben tener el derecho de acceso a los datos personales que se han recopilado sobre él y ejercer este derecho con facilidad y, a intervalos razonables, para estar al tanto del tratamiento y de verificación legalidad. Esto incluye el derecho de las personas afectadas el acceso a los datos relativos a su salud, por ejemplo, los datos en sus registros médicos que contienen información como el diagnóstico, los resultados de exámenes, las evaluaciones de los médicos tratantes y cualquier tratamiento o intervenciones administradas. En consecuencia, cualquier persona interesada debería tener el derecho a conocer y ser informado, en particular, los efectos del tratamiento de datos personales, si es posible, la duración del tratamiento de estos datos personales, el la identidad de los destinatarios de estos datos personales, la lógica detrás de su posible tratamiento automatizado y las consecuencias que este tratamiento puede tener, por lo menos en el caso de perfiles. Siempre que sea posible, el controlador debe ser capaz de dar acceso remoto a un sistema seguro que permite al individuo a acceder directamente a los datos personales que les conciernen. Este derecho no debe perjudicar los derechos o libertades de los demás, incluidos los secretos comerciales o propiedad intelectual, incluidos los derechos de autor la protección del software. Sin embargo, estas consideraciones no deben conducir a rechazar cualquier comunicación de información a la persona de que se trate.
(64) El controlador debe tomar todas las medidas razonables para verificar la identidad de un titular de los datos que solicita acceso a los datos, particularmente en el contexto de los servicios y los identificadores de línea. Un controlador no debe conservar los datos personales con el único fin de ser capaces de responder a cualquier petición.
(65) Las personas interesadas deben tener el derecho de rectificación de los datos personales que les conciernen, y tienen un "derecho al olvido", cuando la retención de tales datos es una violación de este Reglamento o la ley de la Unión o la legislación de un Estado miembro a la que esté sujeta. En particular, las personas deben tener el derecho a que sus datos personales se borran y ya no procesados, en donde dichos datos personales ya no son necesarios para la finalidad para la que fueron recogidos o procesados para de otra manera, cuando los individuos han retirado su consentimiento para el tratamiento o cuando s' oponerse al tratamiento de los datos personales que les conciernen o cuando el tratamiento de sus datos personales no cumple lo contrario en el presente Reglamento. Esta ley es relevante, sobre todo cuando el sujeto ha dado su consentimiento para que cuando era un niño y no era plenamente consciente de los riesgos inherentes al tratamiento, y ella desea posteriormente para eliminar estos datos el personal, especialmente en Internet. El tema debe ser capaz de ejercer este derecho a pesar de que ya no es un niño. Sin embargo, la posterior retención de datos personales debe ser lícito cuando sea necesario para el ejercicio del derecho a la libertad de expresión e información,
(66) Para reforzar el 'derecho a ser olvidado "digital, el derecho de borrado debe también extenderse para que el controlador que ha hecho público los datos personales tiene la obligación de informar a la controladores que procesan los datos personales que se deben borrar cualquier vínculo con estos datos, o cualquier copia o reproducción de los mismos. De este modo, este controlador debe tomar medidas razonables, dada la tecnología y los recursos disponibles a su alcance, incluidas las medidas técnicas para informar a los responsables del tratamiento que procesan datos personales de la solicitud realizada por la persona en cuestión.
(67) Los métodos para limitar el tratamiento de los datos personales podrían incluir, entre otros, para mover temporalmente los datos seleccionados a otro sistema de procesamiento, para que los datos personales seleccionados inaccesibles para los usuarios, o de retirar temporalmente los datos publicados de un sitio web. En ficheros automatizados, lo que limita el procesamiento debe, en principio, se garantizará por medios técnicos de modo que los datos personales no estará sujeta a operaciones de tratamiento posteriores y no puede ser cambiado. El hecho de que el tratamiento de los datos personales está restringido debe indicarse claramente en el archivo.
(68) Para fortalecer aún más el control que ejercen sobre sus propios datos, los individuos también deben tener el derecho, donde los datos personales se procesan de forma automática, recibirá los datos personales para, proporcionan al controlador, en un formato estructurado, comúnmente utilizado legible por máquina, interoperable, y para transmitir a otro controlador. Se debe animar a los controladores para desarrollar formatos interoperables que permiten la portabilidad de datos. Este derecho debe aplicarse cuando el interesado haya proporcionado los datos personales en la base del consentimiento o donde sea necesaria para la ejecución de un contrato el procesamiento. No debe aplicarse cuando el tratamiento se basa en razones jurídicas distintas de consentimiento o la ejecución de un contrato. Por su naturaleza, este derecho no debe ser ejercida contra los controladores que procesan los datos personales en el ejercicio de sus funciones públicas. Por lo tanto, no debe aplicarse cuando es necesario el tratamiento de datos de carácter personal para el cumplimiento de una obligación jurídica a la que esté sujeto o ejecución de una misión de interés público o inherente el ejercicio del poder público ejercido por el controlador. El derecho de la persona en cuestión para transmitir o recibir datos personales que le conciernen no debe crear, para los controladores, la obligación de adoptar o mantener sistemas de tratamiento que sean técnicamente compatibles. Cuando en un conjunto de datos de carácter personal, muchas personas están preocupadas, el derecho a recibir los datos personales debe entenderse sin perjuicio de los derechos y libertades de otras personas interesadas, de conformidad con el presente Reglamento. Por otra parte, este derecho no debe perjudicar el derecho de la persona en cuestión para obtener el borrado de datos o limitaciones de este derecho personal conforme a lo dispuesto en el presente Reglamento y no debe, en particular, llevar a la supresión de los datos personales relativos a la persona que ha sido proporcionada por él para la ejecución de un contrato, la medida y el tiempo que sean necesarios para el cumplimiento de este contrato de estos datos personales. Si es técnicamente posible, la persona afectada debe tener derecho a obtener los datos que han de transmitirse directamente a un controlador a otro.
(69) Cuando los datos personales pueden ser procesados de manera legal debido a que el tratamiento sea necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido en el controlador tratamiento, o debido a los intereses legítimos del controlador o un tercero, los interesados deben todavía tiene el derecho a oponerse al tratamiento de los datos personales relativos a su situación particular. Debería corresponder al controlador para demostrar que sus intereses legítimos convincentes prevalecen sobre los intereses y los derechos y libertades fundamentales del interesado.
(70) Cuando los datos personales se procesan para la comercialización de los propósitos, el individuo debe tener el derecho en cualquier momento y sin carga, de oponerse a este tratamiento, incluyendo perfiles ya que es relacionada con tal exploración, ya sea un tratamiento inicial o posterior. Este derecho debe ser llevado de manera explícita a la atención de la persona interesada y se presenta de manera clara y separada de otra información.
(71) La persona en cuestión deben tener el derecho a no ser una decisión que puede incluir una medida que implica la evaluación de determinados aspectos personales relacionados con él, que se toma sobre la base exclusiva para el tratamiento automatizado y produce efectos jurídicos sobre ellas o, de manera similar, el efecto significativamente, tales como el rechazo automático de la solicitud de crédito en línea o las prácticas de reclutamiento en línea sin ninguna intervención humana. Este tipo de tratamiento incluye un "perfil", que consiste en cualquier forma de tratamiento automatizado de datos de carácter personal para evaluar aspectos de la personalidad de una persona física, incluyendo a analizar o predecir aspectos del rendimiento en el trabajo de la persona interesada , estatus económico, la salud, las preferencias personales o áreas de interés, fiabilidad o conducta, o la ubicación y los movimientos, ya que produce efectos jurídicos sobre el individuo en cuestión o que afecta Del mismo modo significativamente. Sin embargo, la toma de decisiones basada en dicho tratamiento, incluyendo perfiles, deben prever expresamente autorizado por la ley de la Unión o la legislación de un Estado miembro al que esté sujeto el responsable, hay incluso para fines de control y prevenir el fraude contra la evasión de impuestos y de acuerdo con las reglas, normas y recomendaciones de las instituciones de la UE y los organismos nacionales de supervisión y garantizar la seguridad y la fiabilidad de un servicio proporcionado por el controlador, o necesaria para la celebración o ejecución de un contrato entre el interesado y el controlador, o si el interesado ha dado su consentimiento explícito. En cualquier caso, el tratamiento de este tipo debe ir acompañada de garantías adecuadas, que deben incluir información específica de la persona y el derecho a obtener la intervención humana, para expresar su punto de vista, para obtener una explicación de la decisión tomada al final de este tipo de evaluación y el de impugnar la decisión. Esta medida no debe afectar a un niño. o si el interesado ha dado su consentimiento explícito. En cualquier caso, el tratamiento de este tipo debe ir acompañada de garantías adecuadas, que deben incluir información específica de la persona y el derecho a obtener la intervención humana, para expresar su punto de vista, para obtener una explicación de la decisión tomada al final de este tipo de evaluación y el de impugnar la decisión. Esta medida no debe afectar a un niño. o si el interesado ha dado su consentimiento explícito. En cualquier caso, el tratamiento de este tipo debe ir acompañada de garantías adecuadas, que deben incluir información específica de la persona y el derecho a obtener la intervención humana, para expresar su punto de vista, para obtener una explicación de la decisión tomada al final de este tipo de evaluación y el de impugnar la decisión. Esta medida no debe afectar a un niño. una explicación sobre la decisión tomada al final de este tipo de evaluación y de impugnar la decisión. Esta medida no debe afectar a un niño. una explicación sobre la decisión tomada al final de este tipo de evaluación y de impugnar la decisión. Esta medida no debe afectar a un niño.
contra las personas por motivos de origen racial o étnico, las opiniones políticas, religión o convicciones, afiliación sindical, condición genética o estado de salud, o la orientación sexual, o que resultan en las medidas que produzcan tales efectos una. La toma de decisiones y perfilado automatizado basado en categorías específicas de los datos personales sólo debe permitirse bajo condiciones específicas.
(72) perfilado está sujeta a las normas del presente Reglamento que regula el tratamiento de datos personales, por ejemplo, la base jurídica del tratamiento o los principios de protección de datos. El Comité Europeo para la protección de datos establecido por el presente Reglamento (en lo sucesivo denominado "Comité") debe ser capaz de emitir directrices a este respecto.
incluida la protección social, la salud pública y con fines humanitarios. Debe ser que esas limitaciones cumplen los requisitos establecidos en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.
(74) Es necesario establecer la responsabilidad del controlador para cualquier tratamiento de datos personales que se hace o establecido en su nombre. Es importante, en particular, que el responsable del tratamiento está obligado a implementar las medidas apropiadas y eficaces y ser capaz de demostrar la conformidad de las operaciones de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Estas medidas deberían tener en cuenta la naturaleza, el alcance, el contexto y los objetivos del tratamiento y el riesgo que representa para los derechos y libertades de las personas.
(75) Los riesgos para los derechos y libertades de las personas naturales, incluyendo los varía probabilidad y la gravedad, puede resultar de procesamiento de datos personal que es probable que cause daño físico, daños materiales o morales en en especial: cuando el tratamiento puede dar lugar a la discriminación, el robo o el fraude de identidad, a la pérdida financiera, una pérdida de la reputación, la pérdida de datos confidenciales protegidos por el secreto profesional a una inversión seudonimización no autorizada del proceso u otro daño económico significativo o social; cuando los individuos podrían ser privados de sus derechos y libertades o se les impidió ejercer el control sobre sus datos de carácter personal a; cuando el preocupaciones datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, la pertenencia a un sindicato, y los datos genéticos, datos de salud o datos acerca de la publicación la vida sexual o datos relativos a antecedentes penales e infracciones, o a las medidas de seguridad correspondientes; cuando se evalúan los aspectos personales, particularmente en el contexto del análisis o predicción de artículos sobre el rendimiento en el trabajo, la economía, la salud, las preferencias personales o áreas de interés, fiabilidad o conducta, la ubicación o el movimiento para crear o utilizar perfiles individuales; cuando el tratamiento se refiere a los datos personales de las personas vulnerables, en particular los niños; o cuando el tratamiento implica un gran volumen de datos de carácter personal y afecta a un número significativo de personas involucradas.
(76) Es necesario para determinar la probabilidad y la gravedad del riesgo para los derechos y las libertades de los datos basados en la naturaleza, alcance, el contexto y los propósitos del tratamiento. Riesgo debe ser una evaluación objetiva de si las operaciones de tratamiento de datos implican un riesgo o alto riesgo.
(77) La orientación sobre la aplicación de medidas adecuadas y demostración por el controlador o el cumplimiento del subcontratista con el presente Reglamento, especialmente en lo que respecta a la identificación de los riesgos del tratamiento, su evaluación en cuanto a su origen, naturaleza, probabilidad y severidad, y la identificación de las mejores prácticas a mitigar el riesgo, se podría proporcionar incluso a través de códigos de conducta aprobados de certificaciones y directrices aprobadas dadas por el comité o instrucciones dadas por un delegado de protección de datos. El Comité podrá también emitir directrices sobre las operaciones de procesamiento considerado poco probable que
(78) La protección de los derechos y libertades de las personas con respecto al tratamiento de los datos personales exige la adopción de las medidas técnicas y organizativas adecuadas para garantizar que se cumplen los requisitos del presente Reglamento. Para poder demostrar el cumplimiento del presente Reglamento, el controlador debe adoptar políticas internas e implementar medidas que respecta, en particular, los principios de protección de datos de diseño y protección datos por defecto. Tales medidas podrían incluir, entre otros, para minimizar el procesamiento de los datos personales, a pseudonymiser datos personales tan pronto como sea posible, para garantizar la transparencia en relación con las funciones y tratamiento de datos personales, para que la persona pueda controlar el procesamiento de los datos, lo que permite el tratamiento de aplicar las medidas de seguridad o mejorar . Durante el desarrollo, diseño, selección y uso de las aplicaciones, servicios y productos basados en el procesamiento de los datos personales o tratar datos personales para cumplir con sus funciones, debería alentar a los fabricantes de productos, proveedores de servicios y fabricantes de aplicaciones para considerar el derecho a la protección de datos en el desarrollo y el diseño de este tipo de productos, servicios y aplicaciones, teniendo debidamente en cuenta el estado del conocimiento, para asegurarse de que los controladores y los subcontratistas de datos son capaces de cumplir con sus obligaciones en materia de protección de datos. Los principios de la protección de datos por defecto diseño y protección de datos también deben ser considerados en el contexto de la contratación pública.
(79) La protección de los derechos y libertades de los interesados, así como la responsabilidad de los interventores y subcontratistas de datos, incluso en el marco de un control efectuado por las autoridades de supervisión y las medidas adoptadas por ellas requiere una clara división de responsabilidades bajo este Reglamento, incluyendo donde el controlador determina los fines y los medios del tratamiento de forma conjunta con otros controladores, o cuando una operación de procesamiento se lleva a cabo en nombre de un controlador de datos.
causar un riesgo para los derechos y las libertades de las personas físicas, teniendo en cuenta la naturaleza, el contexto, el alcance y los propósitos del tratamiento, o si el controlador es una autoridad pública o un organismo público. El representante debe actuar en nombre del controlador o el subcontratista y puede ser contactado por cualquier autoridad reguladora. El representante debería ser designado específicamente por un mandato por escrito del responsable del tratamiento o la asistencia a-como para actuar en su nombre en relación con las obligaciones establecidas en este reglamento. La designación del representante no afectará a las responsabilidades del controlador o el subcontratista bajo esta regulación. Este representante debe cumplir sus tareas bajo el mandato recibido del controlador o el subcontratista, incluida la cooperación con las autoridades de control competentes con respecto a cualquier acción destinada a garantizar el cumplimiento de este Reglamento. El representante designado debe estar sujeto a procedimientos de aplicación en caso de incumplimiento de este Reglamento por el controlador o el subcontratista.
(81) A fin de que los requisitos de este Reglamento se cumplen en el marco de un procesamiento llevado a cabo por un contratista en nombre del controlador, cuando se asigna el procesamiento de actividades a un subcontratista, la cabeza de el tratamiento debe recurrir a subcontratistas con garantías suficientes, especialmente en términos de experiencia, fiabilidad y recursos para la implementación de medidas técnicas y organizativas necesarias para satisfacer los requisitos del presente Reglamento, incluidas las seguridad del tratamiento. La aplicación por un subcontratista de un código de conducta aprobado o mecanismo de certificación de confianza se puede utilizar para demostrar el cumplimiento de las obligaciones del controlador. La realización de tratamiento con un subcontratista debe ser regulada por un contrato u otro acto jurídico en virtud del derecho de la Unión o la legislación de un Estado miembro, el subcontratista ligante a los datos que definen el objeto y la duración del tratamiento, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de datos, teniendo en cuenta las tareas específicas y responsabilidades del subcontratista como parte del procesado a realizar y el riesgo de los derechos y las libertades de las personas afectadas. El controlador y el bajo tratamiento pueden elegir utilizar un contrato específico o cláusulas contractuales, que se adopten ya sea por la Comisión o por una autoridad de control de acuerdo con el mecanismo de coherencia, luego por la Comisión. Tras la finalización del procesamiento en nombre del controlador, llamar a los subtítulos deben, a opción del controlador, enviar o eliminar los datos personales, a menos que el Derecho de la Unión o el derecho a un Estado miembro al que el subcontratista está sujeta requiere la conservación de los datos personales.
(82) Con el fin de demostrar el cumplimiento de este Reglamento, el controlador o el subtítulo asistir deben mantener registros para el procesamiento de las actividades bajo su responsabilidad. Cada controlador y subcontratistas deberían estar obligados a cooperar con la autoridad supervisora y hacer que esos registros a su disposición, previa solicitud, que sirven para el control de las operaciones de transformación.
(83) Para garantizar la seguridad y evitar cualquier tratamiento en violación de esta regla, es importante que el controlador o el procesador evalúa los riesgos inherentes de tratamiento y poner en práctica medidas para mitigar tales como encriptación. Estas medidas deben garantizar un nivel adecuado de seguridad, incluida la confidencialidad, dado el estado de los conocimientos y los costos de implementación a los riesgos y la naturaleza de la protección de datos personales. Como parte de la seguridad de los datos de evaluación de riesgos, se debe tener en cuenta los riesgos del tratamiento de los datos personales, tales como la destrucción, pérdida o alteración, divulgación no autorizada de los datos personales transmitidos,
(84) Con el fin de garantizar mejor la aplicación del presente Reglamento, cuando las operaciones de tratamiento es probable que generen un alto riesgo para los derechos y libertades de las personas físicas, el controlador debe asumir la responsabilidad para llevar a cabo una evaluación de impacto sobre la protección de datos para evaluar, en particular, el origen, la naturaleza, la peculiaridad y la gravedad del riesgo. Se debe tener en cuenta los resultados de este análisis para determinar la acción adecuada para demostrar que el tratamiento de Cumple de datos personales con estas regulaciones. Cuando el análisis de
(85) Una violación de riesgo datos de carácter personal si no lo hacemos intervenir a tiempo y adecuadamente, haciendo que las personas afectadas daños físicos, daños materiales o morales, como la pérdida de control sobre sus datos personales o restricción de sus derechos, la discriminación, el robo o robo de identidad, pérdida financiera, procedimiento de reversión seudonimización no autorizado, la pérdida de la reputación, la pérdida de confidencialidad de datos datos personales protegidos por el secreto comercial o cualquier otro daño económico significativo o social. En consecuencia, tan pronto como el controlador se entera de que se ha producido una violación de los datos personales, se debe notificar a la autoridades de supervisión tan pronto como sea posible y, cuando sea posible, las 72 horas a más tardar después de haber leído, a menos que pueda demostrar, bajo el principio de rendición de cuentas, es poco probable que la violación en cuestión crea un riesgo para los derechos y libertades de las personas. Si dicha notificación no puede tener lugar dentro de este período de 72 horas, la notificación debe ir acompañada de motivos de la demora y la información puede ser proporcionada en cuotas sin más demora indebida. es poco probable que la violación en cuestión crea un riesgo para los derechos y libertades de las personas. Si dicha notificación no puede tener lugar dentro de este período de 72 horas, la notificación debe ir acompañada de motivos de la demora y la información puede ser proporcionada en cuotas sin más demora indebida. es poco probable que la violación en cuestión crea un riesgo para los derechos y libertades de las personas. Si dicha notificación no puede tener lugar dentro de este período de 72 horas, la notificación debe ir acompañada de motivos de la demora y la información puede ser proporcionada en cuotas sin más demora indebida.
(86) El controlador debe informar de una violación de los datos personales de la persona en cuestión tan pronto como el incumplimiento es probable que genere un alto riesgo para los derechos y libertades del individuo por lo que puede tomar las precauciones. La comunicación debe describir la naturaleza de la violación de los datos y hacer recomendaciones personales de la persona en cuestión para mitigar los posibles efectos adversos. Es conveniente que este tipo de comunicaciones a los interesados se llevan a cabo tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridad de control, de acuerdo con las instrucciones dadas por él o por otras autoridades competentes, tales como las autoridades policiales. Por ejemplo, la necesidad de mitigar un riesgo inmediato de daño podría justificar rápidamente enviar una comunicación a los interesados, mientras que la necesidad de implementar medidas adecuadas para evitar la continua violación de los datos personales o la ocurrencia violaciónes similares pueden justificar más tiempo para la comunicación.
(87) se debe comprobar si se han aplicado todas las medidas de protección organizativas y técnicas adecuadas para establecer inmediatamente si se ha producido una violación de los datos personales y para informar rápidamente a la autoridad de supervisión y el interesado . Se debe establecer que la notificación se ha realizado de manera oportuna, especialmente en vista de la naturaleza y gravedad de la violación de los datos personales y sus consecuencias y efectos adversos para la persona en cuestión. Dicha notificación puede traer una autoridad supervisora para intervenir de acuerdo con sus funciones y atribuciones establecidas en el presente Reglamento.
(88) Al establecer disposiciones relativas a la forma y los procedimientos para la presentación de informes violaciónes de los datos personales, es preciso tener debidamente en cuenta las circunstancias de la violación, incluyendo el hecho de que los datos personales o no estaban protegidos por medidas técnicas de protección adecuadas, limitando así la probabilidad de usurpación de identidad u otras formas de abuso. Por otra parte, estas reglas y procedimientos deben tener en cuenta los intereses legítimos de las autoridades policiales cuando la divulgación temprana podría obstaculizar innecesariamente la investigación de las circunstancias de la violación de los datos personales.
(89) La Directiva 95/46 / CE establece una obligación general de notificar los datos tratamiento de datos personales a las autoridades de supervisión. Esta obligación crea una carga administrativa y financiera, sin haber contribuido de manera sistemática para mejorar la protección de los datos personales. Estas obligaciones generales, por tanto, la notificación independientemente debe ser suprimida y sustituida por procedimientos y mecanismos en lugar de segmentación de los tipos de operaciones de tratamiento eficaces que pueden causar un alto riesgo para los derechos y las libertades de las personas físicas, debido a su naturaleza, alcance, su contexto y sus propósitos. Estos tipos de operaciones de procesamiento pueden incluir aquellos que incluyen,
(90) En tales casos, una evaluación de impacto sobre protección de datos debe ser realizada por el controlador, antes del tratamiento, para evaluar la probabilidad y gravedad de la alto riesgo particular, dada la naturaleza, el alcance, el contexto y los objetivos del tratamiento y las fuentes de riesgo. Este análisis de impacto debería incluir, en particular, medidas, medidas y mecanismos previstas para mitigar este riesgo, garantizar la protección de los datos personales y demostrar el cumplimiento de esta norma.
(91) Esto debería aplicarse especialmente a las grandes operaciones de procesamiento de escala que tienen como objetivo hacer frente a una cantidad considerable de datos personales a nivel regional, nacional o supranacional, que puede afectar a un gran número de personas afectadas y que probablemente para generar un alto riesgo, por ejemplo, debido a su naturaleza sensible, cuando, de acuerdo con el estado del conocimiento tecnológico, una nueva técnica se aplica en una gran escala, y otras operaciones de tratamiento que generan un alto riesgo para los derechos y libertades de los interesados, en especial cuando, a causa de estas operaciones,
es más difícil para que puedan ejercer sus derechos. Una evaluación del impacto sobre la protección de datos también se debe realizar cuando se traten datos personales para tomar decisiones relativas a personas concretas, como resultado de una evaluación sistemática y exhaustiva de los aspectos personales propios a las personas sobre la base de perfiles de dichos datos o como resultado del tratamiento de categorías especiales de datos personales, los datos biométricos o datos relativos a antecedentes penales e infracciones, ni a medidas de seguridad relacionados . Todavía se requiere una evaluación del impacto sobre la protección de datos para el control de la gran escala de áreas de acceso público, especialmente cuando se utilizan dispositivos optoelectrónicos, o cualquier otra transacción para la cual la autoridad de control considera que el tratamiento es probable que genere un alto riesgo para los derechos y libertades de los interesados, en particular porque " impiden que estas personas el ejercicio de cualquier derecho o beneficio de un servicio o contrato, o porque se llevan a cabo de manera sistemática a gran escala. El tratamiento de los datos personales no se debe considerar a gran escala si las preocupaciones de procesamiento de datos personales de los pacientes o clientes por un médico, otro profesional de la salud o un abogado en ejercicio individualmente. En tales casos, un análisis de
(92) Hay casos donde puede ser razonable y económica para ampliar el alcance de la evaluación de impacto para la protección de datos más allá de un solo proyecto, tales como las autoridades u organismos públicos gobierno la intención de introducir una aplicación común o plataforma de procesamiento o donde varios controladores planean crear una aplicación o entorno de procesamiento compartido para todo un sector o segmento profesional, o una cruzada actividad ampliamente utilizado.
(93) En el momento de la aprobación de la legislación de un Estado miembro que establece las misiones de la autoridad pública o un organismo público de que se trate y regula la operación o conjunto de operaciones de procesamiento específica, los Estados miembros podrán tener en cuenta que este análisis es necesario antes de procesar las actividades.
(94) Si el resultado de una evaluación de impacto en materia de protección de datos que, en ausencia de salvaguardias, medidas de seguridad y los mecanismos para mitigar el riesgo, el tratamiento podría causar un alto riesgo para la salud humana y libertades de las personas físicas y que el controlador cree que el riesgo puede ser mitigado por medios razonables teniendo en cuenta los costes técnicos y disponible de la aplicación, se debe consultar a la autoridad de supervisión antes del inicio de las operaciones de tratamiento. Algunos tipos de tratamiento y el alcance y la frecuencia de los tratamientos es probable que generen un riesgo tan alto y puede también causa daño o poner en peligro los derechos y las libertades de un individuo. la autoridad de control debe responder a la petición de consulta en un plazo determinado. Sin embargo, la falta de respuesta por parte de la autoridad supervisora en el plazo debe entenderse sin perjuicio de las acciones por parte de ellos llevado a cabo como parte de sus funciones y atribuciones en virtud de este Reglamento, incluyendo la facultad de operaciones de procesamiento Prohibida. Como parte de este proceso de consulta, los resultados de una evaluación de impacto en materia de protección de datos logrados en relación con el tratamiento en cuestión podrá ser sometida a la autoridad de control, incluidas las medidas destinadas a mitigar el correr el riesgo de que los derechos y libertades de las personas físicas. autoridad de control en el plazo debe entenderse sin perjuicio de las acciones por parte de ellos llevado a cabo como parte de sus funciones y atribuciones en virtud del presente Reglamento, incluida la facultad de prohibir las operaciones de procesamiento. Como parte de este proceso de consulta, los resultados de una evaluación de impacto en materia de protección de datos logrados en relación con el tratamiento en cuestión podrá ser sometida a la autoridad de control, incluidas las medidas destinadas a mitigar el correr el riesgo de que los derechos y libertades de las personas físicas. autoridad de control en el plazo debe entenderse sin perjuicio de las acciones por parte de ellos llevado a cabo como parte de sus funciones y atribuciones en virtud del presente Reglamento, incluida la facultad de prohibir las operaciones de procesamiento. Como parte de este proceso de consulta, los resultados de una evaluación de impacto en materia de protección de datos logrados en relación con el tratamiento en cuestión podrá ser sometida a la autoridad de control, incluidas las medidas destinadas a mitigar el correr el riesgo de que los derechos y libertades de las personas físicas.
(95) El subcontratista debe ayudar al controlador, si es necesario y previa solicitud, para garantizar el cumplimiento de las obligaciones derivadas de la realización de análisis de impacto en materia de protección de datos y la consulta previa de la autoridad de control.
(96) La autoridad de control debe también ser consultado en la etapa de preparación de una ley o regulación que proporciona para el tratamiento de los datos personales, para asegurar que los cumple tratamiento previsto con este Reglamento y, en particular , mitigar el riesgo que conlleva para la persona en cuestión.
una persona con conocimiento especializado de la legislación y las prácticas en materia de protección de datos debería ayudar al controlador o el procesador para verificar el cumplimiento, a nivel interno, de este Reglamento. En el sector privado, las actividades básicas del controlador relacionada con su actividad principal y no sólo se refieren al tratamiento de los datos personales como una actividad auxiliar. El nivel requerido de conocimientos debe determinarse, en particular, de acuerdo un controlador relacionada con su actividad principal y no sólo se refieren al tratamiento de los datos personales como una actividad auxiliar. El nivel requerido de conocimientos debe determinarse, en particular, de acuerdo un controlador relacionada con su actividad principal y no sólo se refieren al tratamiento de los datos personales como una actividad auxiliar. El nivel requerido de conocimientos debe determinarse, en particular, de acuerdo
realizado las operaciones de tratamiento de datos y la protección requerida para los datos personales procesados por el controlador o el procesador. Tales delegados a la protección de datos, sean o no empleados de la controladora, deben ser capaces de desempeñar sus funciones y tareas de forma independiente.
(98) Es necesario fomentar asociaciones u otros organismos que representan categorías de controladores o subcontratistas para desarrollar códigos de conducta, dentro de los límites de este Reglamento, con el fin de facilitar la aplicación efectiva, dados los tratamientos específicos realizados en algunos sectores y las necesidades específicas de las micro, pequeñas y medianas. Estos códigos de conducta podrían, en particular, definir las obligaciones de los controladores y los subcontratistas, dado el riesgo de que el tratamiento puede conducir a los derechos y libertades de las personas.
(99) En el desarrollo de un código de conducta, o en su modificación o ampliación, asociaciones y otros organismos que representan categorías de controladores o subcontratistas deben consultar a las partes interesadas, incluidas las de que se trate, cuando sea posible, y considerar las contribuciones presentadas y las opiniones expresadas en respuesta a estas consultas.
(100) Con el fin de promover la transparencia y el cumplimiento de esta regulación, el establecimiento de mecanismos de certificación, las etiquetas y marcas en términos de protección de datos se debe promover que las personas puedan evaluar rápidamente el nivel protección de datos de los productos y servicios en cuestión.
(101) El flujo de datos de carácter personal hacia y desde países fuera de la UE y las organizaciones internacionales son necesarios para el desarrollo del comercio internacional y la cooperación internacional. El aumento de estos flujos ha creado nuevos problemas y nuevas preocupaciones con respecto a la protección de datos personales. Sin embargo, es importante que cuando los datos personales se transfieren de la Unión a los controladores, subcontratistas u otros destinatarios en terceros países u organizaciones internacionales, el nivel de protección de las personas garantizada en Unión por el presente Reglamento no se vea comprometida, incluso en el caso de transferencias subsiguientes de datos personales de la tercera país o la organización internacional para los controladores de datos o subcontratistas en el mismo país tercero o tercera diferente país, u otra organización internacional . En cualquier caso, las transferencias a terceros países y las organizaciones internacionales sólo pueden tener lugar en el pleno respeto del presente Reglamento. Una transferencia podría tener lugar si, sin perjuicio de las demás disposiciones del presente Reglamento, las disposiciones del presente Reglamento en relación con la transferencia de datos personales a terceros países u organizaciones internacionales se cumplen por el controlador o sub -traitant. organización internacional de los responsables del tratamiento o subcontratistas en el mismo tercer país o un tercer país diferente, u otra organización internacional. En cualquier caso, las transferencias a terceros países y las organizaciones internacionales sólo pueden tener lugar en el pleno respeto del presente Reglamento. Una transferencia podría tener lugar si, sin perjuicio de las demás disposiciones del presente Reglamento, las disposiciones del presente Reglamento en relación con la transferencia de datos personales a terceros países u organizaciones internacionales se cumplen por el controlador o sub -traitant. organización internacional de los responsables del tratamiento o subcontratistas en el mismo tercer país o un tercer país diferente, u otra organización internacional. En cualquier caso, las transferencias a terceros países y las organizaciones internacionales sólo pueden tener lugar en el pleno respeto del presente Reglamento. Una transferencia podría tener lugar si, sin perjuicio de las demás disposiciones del presente Reglamento, las disposiciones del presente Reglamento en relación con la transferencia de datos personales a terceros países u organizaciones internacionales se cumplen por el controlador o sub -traitant. las transferencias a terceros países y las organizaciones internacionales no pueden tener lugar en el pleno respeto del presente Reglamento. Una transferencia podría tener lugar si, sin perjuicio de las demás disposiciones del presente Reglamento, las disposiciones del presente Reglamento en relación con la transferencia de datos personales a terceros países u organizaciones internacionales se cumplen por el controlador o sub -traitant. las transferencias a terceros países y las organizaciones internacionales no pueden tener lugar en el pleno respeto del presente Reglamento. Una transferencia podría tener lugar si, sin perjuicio de las demás disposiciones del presente Reglamento, las disposiciones del presente Reglamento en relación con la transferencia de datos personales a terceros países u organizaciones internacionales se cumplen por el controlador o sub -traitant.
(102) El presente Reglamento se entiende sin perjuicio de los acuerdos internacionales celebrados entre la Unión y terceros países para regular la transferencia de datos personales, incluyendo las garantías adecuadas para el beneficio de los involucrados. Los Estados miembros podrán celebrar acuerdos internacionales que impliquen la transferencia de datos personales a terceros países u organizaciones internacionales siempre que dichos acuerdos no afectan a este Reglamento o cualquier otra disposición de la legislación de la UE y proporcionar un nivel adecuado de protección de los derechos fundamentales de las personas afectadas.
(103) La Comisión podrá decidir, con efectos en toda la Unión, un país tercero, territorio o sector en un tercer país u organización internacional proporciona un nivel adecuado de protección de datos, asegurando y la seguridad jurídica y la uniformidad en toda la Unión en lo que respecta al tercer país u organización internacional de que se considere que ofrecen este nivel de protección. En este caso, las transferencias de datos personales a dicho tercer país u organización internacional puede tener lugar sin la necesidad de obtener otra autorización. Asimismo, la Comisión podrá decidir, después de notificar al tercer país u organización internacional y haber presentado la justificación completa, para revocar la decisión.
(104) Teniendo en cuenta los valores fundamentales sobre los que se fundamenta la Unión, en particular la protección de los derechos humanos, la Comisión, en su evaluación de un tercer país, territorio o en un sector determinado en un tercer país, se tiene en cuenta cómo un determinado aspectos de terceros países el estado de derecho, las garantías de acceso a la justicia y observa las reglas y normas internacionales en materia de derechos humanos y su legislación general y sectorial, incluida la legislación en materia de seguridad pública, la defensa y la seguridad nacional y el orden público y el derecho penal. Al adoptar, respecto de un territorio o un sector específico en un tercer país, una decisión de adecuación, Hay que tener en cuenta unos criterios claros y objetivos, tales como actividades específicas de procesamiento y el alcance de las normas legales aplicables y la legislación vigente en el país tercero. El tercer país debe proporcionar salvaguardias para asegurar un nivel adecuado de protección equivalente a uno en esencia que está garantizado en la Unión, en particular
cuando los datos personales se procesan en una o más áreas específicas. Específicamente, el tercer país debe garantizar una supervisión independiente y eficaz de protección de datos y prever mecanismos de cooperación con las autoridades de protección de datos de los Estados miembros y las personas afectadas deben tener derechos efectivos y exigibles y la oportunidades efectivas a los recursos administrativos y judiciales.
(105) Además de los compromisos internacionales del tercer país u organización internacional, la Comisión debería tener en cuenta las obligaciones derivadas de la participación en el tercer país u organización internacional a los sistemas multilaterales o regionales, sobre todo en lo que respecta la protección de los datos personales, así como la aplicación de estas obligaciones. En particular debería tener en cuenta la adhesión de terceros países a la Convención del Consejo de Europa de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de los datos personales y su protocolo. En la evaluación del nivel de protección proporcionado por terceros países u organizaciones internacionales, la Comisión debe consultar al Comité.
(106) La Comisión debe supervisar el funcionamiento de las decisiones sobre el nivel de protección que ofrece un país tercero, territorio o sector determinado en un tercer país o una organización internacional, y supervisar la ejecución de las decisiones adoptadas sobre la base de artículo 25, párrafo 6, o en el artículo 26, párrafo 4, de la Directiva 95/46 / CE. En sus decisiones de adecuación, la Comisión debería prever una revisión periódica de su mecanismo de funcionamiento. Esta revisión periódica debe llevarse a cabo en consulta con el tercer país u organización internacional de que se trate y considere todos los acontecimientos de interés en los terceros países o en la organización internacional. A los efectos del seguimiento y la aplicación de los exámenes periódicos, la Comisión debe tomar en consideración las observaciones y conclusiones del Parlamento Europeo y del Consejo y otros organismos y fuentes pertinentes. La Comisión debe evaluar el funcionamiento de dichas decisiones en un plazo razonable y proporcionar conclusiones pertinentes al comité en el sentido del Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo (1) establecido conforme a este Reglamento, el Parlamento Europeo y el Consejo.
(107) La Comisión puede determinar que un tercer país, territorio o sector en un tercer país o una organización internacional no garantiza un nivel adecuado de protección de datos. En consecuencia, la transferencia de datos personales a dicho tercer país u organización internacional debería estar prohibido, a menos que los requisitos del presente Reglamento a las transferencias sujetos a las garantías, incluidas las normas corporativas vinculantes y se cumplen excepciones para situaciones específicas. En este caso, sería conveniente prever consultas entre la Comisión y el tercer país u organización internacional de que se trate. La Comisión debe informar en el tiempo del tercer país o
(108) A falta de decisión de adecuación, el controlador o el subcontratista deben tomar medidas para compensar la falta de protección de datos en terceros países a través de garantías adecuadas para el individuo . Estas garantías pueden incluir el uso de normas corporativas vinculantes, las cláusulas estándar para la protección de datos adoptadas por la Comisión cláusulas estándar para la protección de datos adoptada por una autoridad de supervisión o cláusulas contractuales autorizados por una autoridad de control. Estas medidas de seguridad deben garantizar el cumplimiento de los requisitos de protección de datos y los derechos de las personas afectadas de una manera apropiada para el tratamiento dentro de la UE, incluyendo existencia de los derechos de disposición de los recursos individuales y eficaces, incluido el derecho a la acción administrativa o judicial efectiva e introducir una acción por daños y perjuicios en la Unión o en un tercer país. Estas garantías deben centrarse en particular en los principios generales relativos al tratamiento de datos personales y los principios de protección de datos de diseño y protección de datos por defecto. Las transferencias también pueden ser hechas por las autoridades públicas o entidades públicas con las autoridades públicas u organismos públicos en terceros países u organizaciones internacionales con las correspondientes tareas o funciones, incluso sobre la base de las disposiciones que deben incluirse en las disposiciones administrativas, tales como un memorando de entendimiento para la unión y proporcionar derechos efectivos para las personas afectadas. La autorización de la autoridad de control competente debe obtenerse cuando estas garantías se proporcionan en las disposiciones administrativas que no son jurídicamente vinculantes.
(109) La capacidad de los controladores y subcontratistas utilizar unas cláusulas tipo de protección de datos adoptado por la Comisión o por una autoridad de supervisión no debe impedir
(1) El Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero 2011, que establece las normas y principios generales relativos a las modalidades de control por los Estados miembros para el ejercicio de las competencias (DO L 55, 28.2.2011, p. 13).
para incluir estas cláusulas en un contrato más amplio, como un contrato entre el subcontratista y otro subcontratista, ni añadir otras cláusulas o garantías adicionales, siempre que éstas no contradicen no, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por una autoridad de control y no afectan a los derechos y libertades fundamentales de las personas afectadas. Los controladores y los subcontratistas deben ser alentados a ofrecer garantías adicionales a través de compromisos contractuales que complementarían las cláusulas de protección.
(110) Un grupo de empresas o grupo de empresas dedicadas a una actividad económica conjunta es probable que recurrir a reglas corporativas aprobadas por sus transferencias internacionales de la Unión a las entidades del mismo grupo de empresas de unión, o el mismo grupo de empresas dedicadas a una actividad económica conjunta, siempre y cuando las reglas de negocio incluyen todos los principios esenciales y los derechos de disposición para asegurar las garantías adecuadas para las transferencias o categorías de transferencias de datos de datos personales.
(111) Debe ser posibles transferencias en ciertas circunstancias en que el interesado haya dado su consentimiento explícito, cuando la transmisión es ocasional y necesario como parte de un contrato o acción legal, que que si un judicial, administrativo o judicial, incluyendo los procedimientos ante los organismos reguladores. También se debe establecer la posibilidad de transferencias cuando razones importantes de interés público establecidas por el Derecho de la Unión o la legislación de una licencia de explotación, o cuando la transferencia se realiza desde un registro establecido por la ley y destinado a la consulta por el público o las personas que tengan un interés legítimo. En el último caso,
(112) Las excepciones deberían aplicarse en particular a las transferencias de datos requeridos y necesarios por razones importantes de interés público, por ejemplo en casos de intercambio internacional de datos entre las autoridades de competencia, las autoridades fiscales o costumbres entre las autoridades Supervisión financiera entre los servicios responsables de la seguridad social o para la salud pública, por ejemplo, con el propósito de contactos de búsqueda de personas con enfermedades contagiosas o para reducir y / o eliminar el dopaje en el deporte . La transferencia de información personal también debe considerarse lícito cuando es necesario para proteger un interés esencial para proteger los intereses vitales, incluyendo la integridad física o la vida, de la persona o de otra persona, si la persona es incapaz de dar su consentimiento. En ausencia de una decisión de adecuación, el Derecho de la Unión o la legislación de un Estado miembro podrá, por motivos importantes de interés público se encuentre expresamente límites a la transmisión de categorías especiales de datos a una tercer país o una organización internacional. Los Estados miembros deben notificar dichas disposiciones a la Comisión. Cualquier transferencia a una organización humanitaria internacional de los datos personales del titular de los datos que esté física o jurídicamente incapacitado para dar su consentimiento, con el fin de
(113) Las transferencias pueden ser descritos como no recurrente y afectan sólo a un número limitado de personas afectadas podría ser autorizado para los fines de interés legítimo perseguido por el controlador cuando esos intereses prevalecen sobre los intereses o los derechos y las libertades del interesado y el controlador fundamentales cuando se evaluó todas las circunstancias que rodean la transferencia de datos. El controlador debe prestar especial atención a la naturaleza de los datos personales, la finalidad y la duración del tratamiento o las operaciones previstas y la situación en el país, el tercer país el país de destino final, y debe proporcionar las garantías adecuadas para proteger los derechos y libertades fundamentales de las personas con respecto al tratamiento de sus datos personales. Dichas transferencias debería ser posible sólo en casos residuales en el que no hay otros patrones de transferencia sean aplicables. Para fines de investigación histórica o científica o con fines estadísticos, es necesario tener en cuenta las expectativas legítimas de la sociedad para el avance del conocimiento. El controlador debe informar a las autoridades de supervisión y la persona de transferencia. Dichas transferencias debería ser posible sólo en casos residuales en el que no hay otros patrones de transferencia sean aplicables. Para fines de investigación histórica o científica o con fines estadísticos, es necesario tener en cuenta las expectativas legítimas de la sociedad para el avance del conocimiento. El controlador debe informar a las autoridades de supervisión y la persona de transferencia. Dichas transferencias debería ser posible sólo en casos residuales en el que no hay otros patrones de transferencia sean aplicables. Para fines de investigación histórica o científica o con fines estadísticos, es necesario tener en cuenta las expectativas legítimas de la sociedad para el avance del conocimiento. El controlador debe informar a las autoridades de supervisión y la persona de transferencia.
(114) En cualquier caso, si la Comisión no se pronunció sobre el carácter adecuado del nivel de protección de datos en un tercer país, el controlador o el subcontratista deben adoptar soluciones que garanticen a las personas en cuestión de derechos aplicables y eficaces con respecto al tratamiento de sus datos en la UE una vez que estos datos han sido transferidos, de manera que dichas personas siguen en beneficio de los derechos y garantías fundamentales.
(115) Algunos terceros países promulgan leyes, reglamentos y demás actos jurídicos que tratan de regular directamente las actividades de procesamiento llevadas a cabo por personas físicas o jurídicas que están dentro de la competencia de los Estados miembros. Puede haber decisiones de tribunales o autoridades administrativas de terceros países que requieren un controlador o un procesador que transfiere o divulga datos personales, que no se basan en un acuerdo internacional, como un tratado de asistencia legal mutua en vigor entre el solicitante y los terceros países de la Unión o de un Estado miembro. La aplicación extraterritorial de las leyes, reglamentos y demás actos jurídicos pueden ser contraria al derecho internacional y un obstáculo para la protección de las personas garantizada en la Unión por el presente Reglamento. Las transferencias sólo debe autorizarse cuando las condiciones fijadas por el presente Reglamento a las transferencias a que se cumplan los terceros países. Este puede ser el caso, entre otros, en donde es necesario por razones importantes de interés público reconocidas por la ley de la Unión o de un Estado miembro al que esté sujeto el responsable de la divulgación.
(116) Cuando los datos personales que cruzan las fronteras exteriores de la Unión, que pueden aumentar el riesgo de que las personas no pueden ejercer su derecho a la protección de datos, incluida la protección contra el uso o divulgación ilegal de tal información. Del mismo modo, las autoridades de control pueden enfrentarse a la imposibilidad de examinar las quejas o investigar las actividades fuera de sus fronteras. Sus esfuerzos para trabajar juntos en contexto transfronterizo también puede verse obstaculizada por la insuficiencia de los poderes a su disposición para la prevención o el remedio, la heterogeneidad de los regímenes legales y los obstáculos prácticos como la falta de recursos. En consecuencia, es necesario fomentar una cooperación más estrecha entre las autoridades de control de protección de datos, para ayudarles a intercambiar información y llevar a cabo investigaciones con sus contrapartes internacionales. Con el fin de desarrollar mecanismos de cooperación internacional para facilitar y desarrollar la ayuda mutua internacional para implementar la legislación sobre protección de datos personales, la Comisión y las autoridades de supervisión deben intercambiar información y cooperar como parte de las actividades relacionadas con la ejecución de sus competencias con las autoridades competentes de terceros países sobre una base de reciprocidad y de conformidad con el presente Reglamento. Para ayudarles a intercambiar información y llevar a cabo investigaciones con sus contrapartes internacionales. Con el fin de desarrollar mecanismos de cooperación internacional para facilitar y desarrollar la ayuda mutua internacional para implementar la legislación sobre protección de datos personales, la Comisión y las autoridades de supervisión deben intercambiar información y cooperar como parte de las actividades relacionadas con la ejecución de sus competencias con las autoridades competentes de terceros países sobre una base de reciprocidad y de conformidad con el presente Reglamento. Para ayudarles a intercambiar información y llevar a cabo investigaciones con sus contrapartes internacionales. Con el fin de desarrollar mecanismos de cooperación internacional para facilitar y desarrollar la ayuda mutua internacional para implementar la legislación sobre protección de datos personales, la Comisión y las autoridades de supervisión deben intercambiar información y cooperar como parte de las actividades relacionadas con la ejecución de sus competencias con las autoridades competentes de terceros países sobre una base de reciprocidad y de conformidad con el presente Reglamento.
(117) El establecimiento de las autoridades supervisoras de los Estados miembros, autorizados para llevar a cabo sus funciones y competencias con total independencia, es un componente esencial de la protección de las personas con respecto al tratamiento de datos personales . Los Estados miembros deben ser capaces de configurar varias autoridades de control de acuerdo con su estructura constitucional, organizativo y administrativo.
(118) La independencia de la autoridad de supervisión no debe significar que pueden estar sujetos a mecanismos de control o supervisión de su gestión financiera, ni a la revisión judicial.
(119) Cuando un Estado miembro compruebe varias autoridades de supervisión, se debe establecer mediante mecanismos de derecho para asegurar la participación efectiva de las mismas en el mecanismo de control de la coherencia. En particular debería designar a la autoridad de supervisión que sirve como un único punto de contacto, lo que permite la participación efectiva de las mismas en el mecanismo para garantizar la cooperación rápida y fácil con otras autoridades de supervisión, el Comité y la Comisión.
(120) Es conveniente que cada autoridad de control cuenta con los recursos financieros y humanos, así como las instalaciones y la infraestructura necesaria para el desempeño adecuado de sus funciones, incluidas las relacionadas con la asistencia mutua y la cooperación con otras autoridades de supervisión en toda la Unión. Cada autoridad debe tener su propio presupuesto público anual, que puede ser parte del presupuesto nacional o una entidad federal.
(121) Las condiciones generales aplicables a (x) miembro (s) de la autoridad de supervisión deben ser establecidos por ley en cada Estado miembro y deberán prever en particular que estos miembros son designados a través de un procedimiento transparente por el Parlamento, el gobierno o el jefe de un Estado miembro del Estado, sobre la propuesta del Gobierno o de un miembro del Gobierno o del parlamento o la casa del parlamento, o por un organismo independiente que ha sido acusado en virtud de la ley de un Estado miembro,. Para garantizar la independencia de la autoridad de control, es apropiado que el miembro o miembros de este acto con integridad, que se abstengan de cualquier acción incompatible con sus funciones y el ejercicio de la duración de su mandato , la ocupación incompatibles, retribuida o no.
(122) Toda autoridad de control debe ser competente en el territorio del Estado miembro al que pertenece para llevar a cabo las tareas y atribuciones que le confieren de conformidad con el presente Reglamento. Esto debe abarcar, en particular, el tratamiento en el contexto de las actividades de un establecimiento del responsable del tratamiento o el subcontratista en el territorio del Estado miembro que pertenece, el tratamiento de datos personales llevado a cabo por las autoridades organizaciones públicas o privadas que actúan en el interés público, que afectan el tratamiento de las personas afectadas en el territorio del Estado miembro al que pertenece, o el procesamiento realizado por un controlador o un subcontratista que no es establecido en el Unión donde el tratamiento es referían a personas que residen en el territorio del Estado miembro al que pertenece. Esto debe incluir, en particular, el procesamiento de reclamaciones de los afectados, la realización de investigaciones sobre la aplicación del presente Reglamento y la conciencia pública de los riesgos, las normas, garantías y derechos para el tratamiento de datos personales.
(123) Es conveniente que las autoridades de control vigilan la aplicación de las disposiciones del presente Reglamento y contribuyen a lo que esta aplicación es coherente en toda la UE, con el fin de individuos a proteger en que respecta al tratamiento de sus datos personales y para facilitar la libre circulación de datos dentro del mercado interior. Con este fin, las autoridades de supervisión deben cooperar entre sí y con la Comisión ningún acuerdo debe ser concluido entre los Estados miembros en la prestación de asistencia mutua o en esta cooperación.
Debe cooperar con otras autoridades pertinentes si el controlador o el subcontratista tenga un establecimiento en el territorio del Estado miembro al que pertenecen, en caso de que las personas interesadas que residen en el territorio al que pertenecen se ven afectados de manera significativa o si se presenta una reclamación a ellos. Por otra parte, cuando una persona no reside en dicho Estado miembro ha presentado una denuncia ante la autoridad supervisora de los cuales se introdujo esta última debe ser una autoridad de control en cuestión. Como parte de las tareas relacionadas con la publicación de directrices sobre cualquier aspecto de la aplicación del presente Reglamento, la Comisión debe ser capaz de publicar directrices especialmente
(125) La autoridad principal debe estar facultada para adoptar decisiones vinculantes sobre las medidas para aplicar las competencias que le atribuye el presente Reglamento. Como una autoridad, la autoridad supervisora debe asociar estrechamente a los supervisores involucrados en la toma de decisiones y garantizar una estrecha coordinación en este marco. Cuando se decide rechazar, en su totalidad o en parte, a la denuncia presentada por el interesado, esta decisión debe ser adoptada por la autoridad de control a la que se presentó la reclamación.
(126) La decisión debe ser tomada conjuntamente por el supervisor principal y las autoridades de control, se enviará al establecimiento principal o única del controlador o del subcontratista y obligatorio en la cabeza de procesamiento y la externalización. El controlador o el procesador deben tomar medidas para garantizar el cumplimiento de este Reglamento y la aplicación de la decisión notificada por el supervisor principal en la oficina principal del controlador o sub -traitant actividades en materia de tratamiento en la UE.
(127) Toda autoridad de control que no sirve como autoridad de supervisión de plomo debe ser competente para tratar los casos de ámbito local cuando el controlador o el asistir, como se ha establecido en varios Estados miembros, pero que la objeto de tratamiento específico se refiere sólo a un procesamiento en un solo Estado miembro y se refiere únicamente a las personas interesadas que un miembro Estado, por ejemplo cuando se trata de tratar con datos personales relativos a empleados en el contexto de las relaciones laborales propias de un Estado miembro. En estos casos, el supervisor debe informar inmediatamente al supervisor principal de la cuestión. Tras ser informado, el la principal autoridad de supervisión debe decidir si se debe tratar el caso en virtud de la disposición sobre la cooperación entre el supervisor principal y las demás autoridades de supervisión afectadas (en adelante denominado "mecanismo de ventanilla única") o si el supervisor quien informó debería manejar el caso a nivel local. Para decidir si tratar el caso, la autoridad de control principal deberá tener en cuenta si hay un establecimiento del responsable del tratamiento o la asistencia a-como en el Estado miembro de la autoridad de supervisión que la informada, para asegurar la aplicación efectiva de una decisión con respecto al controlador o el subcontratista. Cuando la autoridad de control decide plomo supervisor principal y las demás autoridades de supervisión afectadas (en lo sucesivo denominado "mecanismo de ventanilla única"), o si el supervisor quien informó debería manejar el caso a nivel local. Para decidir si tratar el caso, la autoridad de control principal deberá tener en cuenta si hay un establecimiento del responsable del tratamiento o la asistencia a-como en el Estado miembro de la autoridad de supervisión que la informada, para asegurar la aplicación efectiva de una decisión con respecto al controlador o el subcontratista. Cuando la autoridad de control decide plomo supervisor principal y las demás autoridades de supervisión afectadas (en lo sucesivo denominado "mecanismo de ventanilla única"), o si el supervisor quien informó debería manejar el caso a nivel local. Para decidir si tratar el caso, la autoridad de control principal deberá tener en cuenta si hay un establecimiento del responsable del tratamiento o la asistencia a-como en el Estado miembro de la autoridad de supervisión que la informada, para asegurar la aplicación efectiva de una decisión con respecto al controlador o el subcontratista. Cuando la autoridad de control decide plomo ella decide si va a tratar el caso, la autoridad de control principal deberá tener en cuenta si hay un establecimiento del responsable del tratamiento o la asistencia a-como en el Estado miembro de la autoridad supervisora, quien informó para asegurar la aplicación efectiva de una decisión con respecto al controlador o el subcontratista. Cuando la autoridad de control decide plomo ella decide si va a tratar el caso, la autoridad de control principal deberá tener en cuenta si hay un establecimiento del responsable del tratamiento o la asistencia a-como en el Estado miembro de la autoridad supervisora, quien informó para asegurar la aplicación efectiva de una decisión con respecto al controlador o el subcontratista. Cuando la autoridad de control decide plomo
manejar el caso, el supervisor quien informó debería tener la oportunidad de presentar un proyecto de decisión, incluyendo la autoridad de supervisión de plomo debe tener muy en cuenta en la formulación de sus proyectos de decisión en virtud de este mecanismo de ventanilla.
(128) Las normas sobre el supervisor principal y el mecanismo de ventanilla única no debe aplicarse cuando el tratamiento se lleva a cabo por autoridades públicas o entidades privadas de interés público. En este caso, la autoridad de control sólo es competente para ejercer las atribuciones que le confiere el presente Reglamento debe ser autoridad de supervisión del Estado miembro en el que se establece la autoridad organización pública o privada.
(129) Con el fin de garantizar el cumplimiento de esta regulación y el control de su aplicación coherente en toda la Unión, las autoridades de control deben disponer en cada Estado miembro, la misma misión y los mismos poderes efectivos, incluyendo facultades de investigación, la capacidad de tomar medidas correctivas e imponer sanciones y para autorizar y emitir opiniones consultivas, sobre todo en caso de denuncia presentada por individuos y sin perjuicio de las facultades de las autoridades fiscales en virtud de la legislación de un Estado miembro de la facultad de llevar a violaciónes del presente Reglamento a la atención de las autoridades judiciales y procedimientos legales. Estos poderes también deberían incluir las de imponer una restricción temporal o definitiva del tratamiento, incluida la prohibición. Los Estados miembros pueden especificar otras tareas relacionadas con la protección de datos personales en aplicación del presente Reglamento. Los poderes de las autoridades de supervisión deben ejercerse de conformidad con las garantías procesales apropiadas previstas por la ley de la Unión y la ley del Estado miembro, de manera imparcial y justa y dentro de un tiempo razonable. Las medidas deberían, en particular, sea adecuada, necesaria y proporcionada para garantizar el cumplimiento de este reglamento, las circunstancias del caso, respetar el derecho de toda persona a ser oída antes es probable que dañe y evitar gastos innecesarios y molestias excesivas para los interesados, cualquier decisión individual. Los poderes de investigación en materia de acceso a las instalaciones deben ejercerse de acuerdo con las exigencias específicas de la ley procesal de los Estados miembros, como la obligación de obtener una autorización judicial previa. Cualquier medida jurídicamente vinculante adoptada por la autoridad de supervisión debe ser por escrito, ser clara e inequívoca, indique qué autoridad supervisora tomó la acción y la fecha, firmada por el líder o un miembro que la autoridad supervisora ha aprobado explicar las razones que subyacen a la medida e indicar el derecho a un recurso efectivo. Ello no debe excluir necesidades adicionales en la ley procesal de los Estados miembros. Si se adopta una decisión legalmente vinculante, que puede conducir a un control judicial en el Estado miembro de la autoridad supervisora que emana.
(130) Cuando la autoridad de control con el que se ha presentado la queja no es el supervisor principal, la autoridad de supervisión de plomo debe cooperar estrechamente con la autoridad de control desde el cual la reclamación se presenta de conformidad con las disposiciones sobre la cooperación y la coherencia previstas en el presente Reglamento. En tales casos, el supervisor principal debe, al adoptar medidas para producir efectos jurídicos, incluyendo medidas para imponer multas administrativas a lo más en cuenta posible el dictamen de autoridad de control con el que se presentó la reclamación, que debe seguir siendo competente para llevar a cabo cualquier investigación en el territorio de la
de lo contrario este tipo de situaciones deben buscar un arreglo con el controlador y, si no tiene éxito, ejercer todas sus facultades. Esto debe incluir: tratamientos específicos que se llevan a cabo en el territorio del Estado miembro de la autoridad de supervisión o que se relacionan con las personas interesadas en el territorio de dicho Estado miembro; tratamientos realizados como parte de una entrega de bienes o servicios dirigidos específicamente a los involucrados mentira en el territorio del Estado miembro al que la autoridad de supervisión; o tratamientos que deben ser evaluadas a la luz de las obligaciones legales pertinentes en virtud de la legislación de un Estado miembro.
(132) Actividades de sensibilización organizados por ellos para que las autoridades públicas de inspección debe incluir medidas específicas para los controladores y los subcontratistas, incluyendo las micro, pequeñas y medianas empresas, así como las personas física, sobre todo en el entorno educativo.
(133) Las autoridades de supervisión deben ayudarse mutuamente en el cumplimiento de sus misiones y ayudar entre sí con el fin de hacer cumplir esta regulación y el control de su aplicación consistente en el mercado nacional. Un supervisor que utiliza asistencia mutua podrá adoptar una medida provisional si no se recibe una respuesta a su solicitud de asistencia mutua dentro de un mes desde la recepción de la solicitud de asistencia mutua Por otra autoridad de control.
(134) Cada autoridad de control debería, si es necesario, participar en operaciones conjuntas con supervisores. La autoridad de control solicitada deberá ser requerido para responder a la solicitud en un plazo determinado.
(135) Con el fin de asegurar la aplicación coherente del presente Reglamento en toda la Unión, es necesario establecer un mecanismo de control de la coherencia de la cooperación entre las autoridades supervisoras. Este mecanismo debe aplicarse en particular cuando una autoridad supervisora tiene la intención de adoptar una medida destinada a producir efectos jurídicos en relación con las operaciones que afecten significativamente a un número significativo de sujetos en varios Estados miembros de procesamiento. También debe aplicarse cuando una autoridad de control en cuestión o las solicitudes de la Comisión de que el asunto referido sea como parte del mecanismo de coherencia. Este mecanismo debe entenderse sin perjuicio de las medidas puede adoptar la Comisión en el
(136) Como parte de la aplicación del mecanismo de coherencia, el Comité debería emitir un dictamen en un plazo determinado, si la mayoría de sus miembros así lo decide o si se recibe una petición dirección de una autoridad de supervisión en cuestión o de la Comisión. El comité también debe estar facultada para adoptar decisiones jurídicamente vinculantes en los conflictos entre los supervisores. Con este fin, se debe tener en principio por mayoría de dos tercios de sus miembros, las decisiones en casos claramente definidos legalmente vinculante, en caso de divergencia de opiniones entre las autoridades de control, incluso mediante el mecanismo de la cooperación entre el supervisor principal y las autoridades de control, la sustancia de la
(137) Puede que sea necesario intervenir con urgencia para proteger los derechos y libertades de los interesados, en particular cuando existe el peligro de que el ejercicio del derecho de la persona en cuestión podría obstaculizar de forma significativa. Por lo tanto, una autoridad de control debe ser capaz de adoptar, en su territorio, debidamente justificadas medidas provisionales y un período de validez específico que no debe exceder de tres meses.
(138) La aplicación del mecanismo de un tal debe condicionar la legalidad de una medida destinada a producir efectos jurídicos tomadas por una autoridad de control en los casos en que esto es obligatoria. En otros casos con una dimensión transfronteriza, el mecanismo de cooperación entre el supervisor principal y las autoridades de control debe aplicarse, y las operaciones de asistencia mutua y conjuntos podría ser implementado entre las autoridades de supervisión afectadas, sobre una base bilateral o multilateral, sin el juego del mecanismo de coherencia.
(139) Con el fin de promover la aplicación coherente del presente Reglamento, el Comité debería establecerse como un órgano independiente de la UE. Para lograr sus objetivos, el Comité debe estar dotado de personalidad jurídica. Debe ser representado por su Presidente. Se debe reemplazar el grupo protector de las personas con respecto al tratamiento de datos personales establecidos por la Directiva 95/46 / CE. Debe consistir en la cabeza de una autoridad de control de cada Estado miembro y el Supervisor Europeo de Protección de Datos o sus respectivos representantes. La Comisión debería participar en el comité sin derecho a voto y el Supervisor Europeo de Protección de Datos debe tener derechos especiales de voto. El Comité debe contribuir a la aplicación coherente del presente Reglamento en toda la Unión, incluido el asesoramiento de la Comisión, en particular en relación con el nivel de protección en terceros países u organizaciones internacionales, y la promoción de la cooperación de las autoridades de supervisión en conjunto de la Unión. El comité debe llevar a cabo sus tareas de forma independiente.
(140) El Comité debe estar asistida por una secretaría proporcionada por el Supervisor Europeo de Protección de Datos. Para el cumplimiento de sus tareas, el personal del Supervisor Europeo de Protección de Datos a cargo de las misiones que este Reglamento encomienda el comité debe recibir instrucciones como presidente del comité y debe ser colocado bajo la autoridad de celui- ella.
(141) Cada persona debe tener el derecho a presentar una denuncia ante una autoridad de supervisión única, en particular en el Estado miembro en el que tiene su residencia habitual, y tienen el derecho a un recurso judicial efectivo con arreglo a el artículo 47 de la Carta, si considera que se violan los derechos previstos en el presente Reglamento o si el supervisor no responde a su queja, se niega o rechaza, en su totalidad o en parte, o si no es entonces que la acción es necesaria para proteger los derechos del individuo. La investigación a raíz de una denuncia debe llevarse a cabo bajo control judicial en las medidas apropiadas que exija el caso. La autoridad supervisora debe informar al interesado de el progreso y el resultado de la reclamación dentro de un plazo razonable. Si el caso lo requiere investigación adicional o la coordinación con otra autoridad de supervisión, información intermedia debe proporcionar a la persona de que se trate. Para facilitar la introducción de las reivindicaciones, cada autoridad de supervisión deben tomar medidas tales como el suministro de un formulario de reclamo que puede ser completado electrónicamente, sin otros medios de comunicación, están excluidos.
(142) Cuando la persona afectada considera que se violan los derechos otorgados por el presente Reglamento, debe tener el derecho de designar una asociación agencia, organización o sin fines de lucro formada bajo la legislación de un Estado miembro cuyos fines estatutarios de interés público y que es activo en el campo de la protección de datos personales, ya que presenta una queja en su nombre con una autoridad de supervisión, tiene el derecho de apelación judicial en el nombre de las personas afectadas o, de ser aprobado por la ley de un Estado miembro, tiene derecho a obtener reparación por los afectados. Los Estados miembros podrán disponer que la organización, entidad o asociación que tiene el derecho de presentar una queja en ese Estado miembro, con independencia de cualquier mandato dado por un interesado, y tiene el derecho a un recurso judicial efectivo si tiene razones para creer que los derechos de una persona en cuestión fueron violados porque el tratamiento de datos personales realizado en violación de este Reglamento. Esta organización, esa organización o asociación no se puede permitir que la compensación reclamación en nombre de un titular de los datos, el mandato dado por la persona interesada. una persona en cuestión hayan sido violados debido a que el tratamiento de los datos personales mantenidos en violación de este Reglamento. Esta organización, esa organización o asociación no se puede permitir que la compensación reclamación en nombre de un titular de los datos, el mandato dado por la persona interesada. una persona en cuestión hayan sido violados debido a que el tratamiento de los datos personales mantenidos en violación de este Reglamento. Esta organización, esa organización o asociación no se puede permitir que la compensación reclamación en nombre de un titular de los datos, el mandato dado por la persona interesada.
(143) Cualquier persona física o moral tiene derecho a apelar de anulación de las decisiones del comité ante el Tribunal de Justicia de conformidad con el artículo 263 del Tratado de Funcionamiento de la Unión Europea. Una vez que reciben este tipo de decisiones, las autoridades de supervisión que deseen desafío debe hacerlo dentro de los dos meses siguientes a la notificación a ellos se realizó de conformidad con el artículo 263 del Tratado de funcionamiento de la Unión Europea. Cuando las decisiones del comité se relacionan directa e individualmente un controlador, un subcontratista o el autor de la queja, pueden interponer un recurso de anulación de estas decisiones dentro de los dos meses de su publicación en el sitio web de la Comisión, de conformidad con el artículo 263 del Tratado de Funcionamiento de la Unión Europea. Sin perjuicio del derecho previsto en el artículo 263 del Tratado de Funcionamiento de la Unión Europea, cualquier persona física o jurídica debe tener un recurso legal efectivo ante los tribunales nacionales competentes contra una decisión de una autoridad control que produce efectos jurídicos sobre ellas. Tales preocupaciones una decisión en particular, el ejercicio de la autoridad de control, funciones de investigación, la adopción de medidas correctivas y la aprobación o la denegación o rechazo de las reclamaciones. Sin embargo, el derecho a un recurso judicial efectivo no cubre las medidas adoptadas por las autoridades de supervisión que no son jurídicamente vinculantes, como la opinión emitida o asesoramiento proporcionado por una autoridad de control. Las acciones contra una autoridad de supervisión deben ser llevados ante los tribunales del Estado miembro en cuyo territorio se establece la autoridad de control y se realizará de acuerdo con la ley de tal Estado miembro. Estos cortes deben tener plena jurisdicción, incluido el de examinar todas las cuestiones de hecho y de derecho pertinentes a la cuestión ante ellos. de tal manera que la opinión o consejo emitida proporcionados por una autoridad de control. Las acciones contra una autoridad de supervisión deben ser llevados ante los tribunales del Estado miembro en cuyo territorio se establece la autoridad de control y se realizará de acuerdo con la ley de tal Estado miembro. Estos cortes deben tener plena jurisdicción, incluido el de examinar todas las cuestiones de hecho y de derecho pertinentes a la cuestión ante ellos. de tal manera que la opinión o consejo emitida proporcionados por una autoridad de control. Las acciones contra una autoridad de supervisión deben ser llevados ante los tribunales del Estado miembro en cuyo territorio se establece la autoridad de control y se realizará de acuerdo con la ley de tal Estado miembro. Estos cortes deben tener plena jurisdicción, incluido el de examinar todas las cuestiones de hecho y de derecho pertinentes a la cuestión ante ellos.
Cuando una reclamación ha sido rechazada o negada por una autoridad de supervisión, el autor de la reclamación puede interponer un recurso ante los tribunales de dicho Estado miembro. Como parte de los recursos judiciales relativas a la aplicación del presente Reglamento, los tribunales nacionales consideran que la decisión sobre la materia es necesaria para que puedan emitir su fallo puede o, en el caso previsto en el artículo 267 del Tratado sobre el funcionamiento de la Unión Europea deben solicitar al Tribunal de justicia que emita una decisión prejudicial sobre la interpretación del derecho de la UE, incluido el presente Reglamento. Además, cuando la decisión de una autoridad de supervisión aplicación de la decisión del Comité es impugnada ante un tribunal nacional y la validez de la decisión de la Comisión se refiere, dicho órgano jurisdiccional no tiene poder para invalidar la decisión del Comité y debería, en todo si considera que la decisión no es válido, se refieren a la cuestión de validez al Tribunal de justicia en virtud del artículo 267 del Tratado de funcionamiento de la Unión Europea, ya que ha sido interpretado por el Tribunal de justicia. Sin embargo, un tribunal nacional no puede plantear una cuestión relativa a la validez de una decisión de la Comisión, a petición de una persona física o jurídica que haya tenido la oportunidad de interponer un recurso de anulación de dicha decisión,
(144) Cuando un tribunal conoce de un recurso contra una decisión de una autoridad de control tiene razones para creer que las acciones referentes al mismo tratamiento, por ejemplo en el mismo objeto, hecho por el mismo controlador o el mismo subcontratista o la misma causa, son llevados ante un tribunal competente de otro Estado miembro, deberá comunicarse con el otro tribunal para confirmar la existencia de este tipo de acciones relacionadas. Si las acciones relacionadas están pendientes ante un tribunal
otro Estado miembro, cualquier tribunal distinto del que fue capturado primero podrá suspender el procedimiento o podrá, a petición de las partes, inhibirse en favor del tribunal primero si se jurisdicción para conocer del recurso de que se trate y de la legislación que le permite agrupar estas acciones relacionadas. Se consideran relacionados, acciones que son tan estrechamente relacionadas punto que es conveniente para conocer y juzgar al mismo tiempo para evitar que se queden resoluciones inconciliables derivadas de procesos separados.
(145) En cuanto a las acciones en contra de un controlador o un procesador, el demandante deben tener la opción de llevar la acción ante los tribunales de los Estados miembros en los que el controlador o sub-contratista ha un establecimiento o en el Estado miembro en el que reside la persona, a menos que el controlador es una autoridad pública de un Estado miembro en el ejercicio de sus poderes públicos.
(146) El controlador o bajo-tratamiento debe reparar cualquier daño que un individuo puede sufrir debido al tratamiento en violación de este Reglamento. El controlador o subcontratista deben estar exentos de responsabilidad si prueba que el daño no es imputable a la misma. La noción de daño debe ser interpretada en sentido amplio, a la luz de la jurisprudencia del Tribunal de Justicia, de una manera que tenga plenamente en cuenta los objetivos del presente Reglamento. Esto es sin perjuicio de la acción de indemnización basada en un incumplimiento de otras normas del Derecho de la Unión o la legislación de un Estado miembro. El tratamiento en violación de este Reglamento también incluye el tratamiento en violación de los actos delegados y aplicación adoptada de conformidad con el presente Reglamento y el derecho de los Estados miembros y estableciendo las normas del presente Reglamento. Las personas afectadas deben recibir una compensación completa y efectiva de los daños sufridos. Cuando los controladores o subcontratistas que participan en el mismo proceso, cada controlador o cada subcontratista deben ser responsables de todos los daños. Sin embargo, cuando los controladores y subcontratistas están involucrados en el mismo procedimiento judicial en virtud de la ley de un Estado miembro, la reparación puede ser distribuido de acuerdo con la parte de responsabilidad de cada controlador o cada sub - contratista en el daño causado por el tratamiento, siempre que el daño sufrido por el interesado se repara plena y eficazmente. Cada controlador o cualquier subcontratista que reparó el daño por completo posteriormente podrá recurrir contra otros controladores y subcontratistas que participaron en el mismo tratamiento.
(147) Cuando el presente Reglamento establece normas específicas de jurisdicción, especialmente en relación con los procedimientos de los recursos judiciales, incluyendo los dirigidos a obtener reparación contra un controlador o un procesador, las normas de competencia Términos tales como las previstas en el Reglamento (UE) nº 1215/2012 del Parlamento Europeo y del Consejo (1), no deben perjudicar la aplicación de las reglas de competencia específicas tales.
(148) Con el fin de reforzar la aplicación de este reglamento, las sanciones, incluyendo multas administrativas deben imponerse por cualquier violación de este Reglamento, además de o en lugar de medidas apropiadas impuestas por la autoridad supervisora con arreglo el presente Reglamento. En caso de violación de menor importancia o la pena que puede imponerse es una carga desproporcionada para un individuo, una reprimenda puede abordarse en lugar de una multa. Sin embargo, se debe tener debidamente en cuenta la naturaleza, gravedad y duración de la infracción, el carácter intencional incumplimiento y las medidas adoptadas para mitigar los daños sufridos, la gravedad de la falta o incumplimiento relevante cometidos anteriormente, cómo el el supervisor se dio cuenta de la violación, el respeto de las medidas dictadas contra el controlador o el subcontratista en la aplicación de un código de conducta, y cualquier otra circunstancias agravantes o atenuantes. La aplicación de sanciones, incluyendo multas administrativas debe ser objeto de apropiarse de las garantías procesales de conformidad con los principios generales de la legislación de la UE y de la Carta, incluido el derecho a la tutela judicial efectiva y al debido proceso.
(149) Los Estados miembros deben ser capaces de determinar el régimen de sanciones por violaciónes del presente Reglamento, incluidas las infracciones de las disposiciones nacionales adoptadas en virtud y dentro de los límites de este Reglamento. Estas penas pueden también permitir la entrada de los beneficios obtenidos en el incumplimiento de este Reglamento. Sin embargo, la aplicación de sanciones penales por violación de estas disposiciones nacionales y la aplicación de sanciones administrativas no debe dar lugar a la violación del ne bis in idem según la interpretación del Tribunal de Justicia.
(150) Con el fin de reforzar y armonizar las sanciones administrativas por violaciónes de este Reglamento, cada autoridad de supervisión debe tener la facultad de imponer multas administrativas. El presente
(1) El Reglamento (UE) nº 1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012 sobre competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil (DO L 351 de 20.12.2012, p. 1).
Reglamento debe especificar las violaciónes, el máximo y multas administrativas criterios que están sujetos, que deben ser corregidos por la autoridad de control competente en cada caso de fijación, teniendo en cuenta todas las características de cada caso y teniendo debidamente en cuenta, en particular, la naturaleza, la gravedad y la duración de la infracción y sus consecuencias, así como las medidas adoptadas para garantizar el cumplimiento de las obligaciones en virtud del Reglamento, así como para prevenir o mitigar las consecuencias de la violación. Donde multas administrativas se imponen a una empresa, este término debe, con este fin, se entenderá como una empresa, de acuerdo con los artículos 101 y 102 del Tratado de Funcionamiento de la Unión Europea. Cuando las sanciones administrativas impuestas a las personas que no son una empresa, la autoridad supervisora debe tener en cuenta al considerar cuál sería la cantidad apropiada de la multa, el nivel general de ingresos en el Estado miembro y que la situación económica de la persona de que se trate. También se puede recurrir al mecanismo de consistencia para promover la aplicación coherente de multas administrativas. Debería corresponder a los Estados miembros determinar si y en qué medida las autoridades públicas deben estar sujetos a multas administrativas. La aplicación de una multa administrativa o el hecho de dar una advertencia no afecta al ejercicio de otras facultades de las autoridades de supervisión o de la aplicación de
(151) Los sistemas jurídicos de Dinamarca y Estonia no pueden imponer multas administrativas previstas en el presente Reglamento. Las normas relativas a las multas administrativas pueden ser aplicadas de manera que, en Dinamarca, la multa impuesta por los tribunales nacionales competentes como una sanción penal y Estonia, la multa es impuesta por la autoridad de supervisión como parte de un procedimiento de faltas, siempre que dicha aplicación de las normas en estos Estados miembros tengan un efecto equivalente sobre las multas administrativas impuestas por las autoridades supervisoras. Esta es la razón por los tribunales nacionales competentes deben tener en cuenta la recomendación de la autoridad supervisora que es responsable de la multa.
(152) Cuando el presente Reglamento no armoniza hace sanciones administrativas o, si es necesario, en otras circunstancias, por ejemplo en caso de infracciones graves del presente Reglamento, los Estados miembros deben aplicar un sistema que prevé efectiva, proporcionadas y disuasorias. La naturaleza de estas sanciones, penales o administrativas, debe ser determinada por la ley de los Estados miembros.
(153) El derecho de los Estados miembros deben equilibrar las reglas que rigen la libertad de expresión e información, incluyendo la expresión periodística, académica, artística o literaria, y el derecho a la protección de datos personales, en el presente Reglamento. En el tratamiento de los datos personales exclusivamente con fines periodísticos o para propósitos de expresión académica, artística o literaria, necesarias para establecer excepciones o excepciones a algunas disposiciones de este reglamento si es necesario para conciliar el derecho a la protección de los datos personales y el derecho a la libertad de expresión e información consagrado en el artículo 11 de la Carta. Este debería ser el caso del tratamiento de los datos personales en el ámbito audiovisual y de noticias archiva documentos y bibliotecas de la prensa. En consecuencia, los Estados miembros deberían adoptar una legislación que establece las excepciones y las restricciones necesarias para garantizar un equilibrio entre estos derechos fundamentales. Los Estados miembros deben adoptar las excepciones y las restricciones en relación con los principios generales, los derechos del titular de los datos, el controlador y el procesador, la transferencia de datos personales a terceros países u organizaciones internacional e independiente de supervisión autoridades, la cooperación y la coherencia, así como las situaciones especiales de procesamiento de datos. Cuando estas excepciones totales o parciales difieren de un Estado miembro a otro, debe aplicarse la ley del Estado miembro cuyos informes al tratamiento gerente. Para reflejar la importancia del derecho a la libertad de expresión en una sociedad democrática, es necesario conservar una interpretación amplia de los conceptos relativos a esa libertad, como el periodismo.
(154) El presente Reglamento permite tener en cuenta, al aplicar el principio de acceso público a los documentos oficiales. El acceso del público a los documentos oficiales puede ser considerada como de interés público. Los datos personales contenidos en los documentos en poder de una autoridad pública o un organismo público deben hacerse públicos por dicha autoridad u organismo de si esto está previsto en la legislación de la Unión o la ley del Estado miembro toma nota de la autoridad pública o un organismo público. Estas disposiciones legales deben equilibrar el acceso público a los documentos oficiales y la reutilización de la información del sector público, por un lado, y el derecho a la protección de datos personales, por el contrario, y por lo tanto puede proporcionar la necesaria reconciliación con el derecho a la protección de datos personales conforme al presente Reglamento. En este contexto, se entiende por "autoridades públicas y organismos públicos," todas las autoridades u otros organismos de la legislación de un Estado miembro en relación con el acceso a los documentos. Directiva 2003/98 / CE del Parlamento Europeo y del
Consejo (1) hojas intactas y no afecta en absoluto el nivel de protección de las personas respecto al tratamiento
(1) La Directiva 2003/98 / CE del Parlamento Europeo y del Consejo, de 17 de noviembre de 2003 relativa a la reutilización de la información del sector público (DO L 345 de 31.12.2003, p. 90).
de los datos personales en virtud de lo dispuesto en el Derecho de la Unión y el Derecho de los Estados miembros y, en particular, no altera los derechos y obligaciones establecidas en este Reglamento. En particular, la Directiva no debe aplicarse a los documentos a los que se excluye o la aplicación de políticas de acceso limitado por motivos de protección de datos personales de acceso, y las partes de los documentos disponibles en virtud de dichas normas contienen datos de carácter personal cuya reutilización se requiere por ley que sea incompatible con la legislación sobre la protección de las personas con respecto al tratamiento de datos personales.
(155) El derecho de los Estados miembros o los convenios colectivos, incluidos los "acuerdos de empresa" podrá establecer normas específicas para el procesamiento de los datos personales de los empleados en el contexto de las relaciones laborales, incluyendo las condiciones bajo las cuales los datos personales en el contexto de las relaciones laborales pueden ser tratados sobre la base del consentimiento del trabajador, para el reclutamiento, la ejecución del contrato de trabajo, incluyendo el cumplimiento de las obligaciones establecidas por la ley o por convenios colectivos, gestión, planificación y organización del trabajo, la igualdad y la diversidad en el lugar de trabajo, la salud y la seguridad, y para los fines deel ejercicio y goce de los derechos y beneficios relacionados con el empleo, individual o colectivamente, así como para la terminación de la relación laboral.
(156) El tratamiento de datos personales con fines de archivo en el interés público, con el fin de con fines de investigación o estadísticos científicos o históricos deben estar sujetos a las garantías adecuadas para los derechos y libertades de las personas afectadas, bajo esta regulación. Estas garantías deben permitir la aplicación de medidas técnicas y organizativas necesarias para garantizar, en particular, el principio de minimización de los datos. Otros procesamientos de datos personales con fines de archivo en el interés público, con el propósito de la investigación científica o histórica o estadística debe realizarse cuando el controlador ha evaluado la viabilidad de lograr estos objetivos a través de un procesamiento de datos que no permiten o más para identificar las personas en cuestión, siempre que las garantías adecuadas existen (por ejemplo, datos seudonimización). Los Estados miembros deben proporcionar las garantías adecuadas para el tratamiento de datos personales con fines de archivo en el interés público, con el propósito de la investigación científica o histórica o con fines estadísticos. Los Estados miembros deben ser autorizados para establecer, en determinadas condiciones y con las garantías adecuadas para las personas afectadas, disposiciones especiales y exenciones con respecto a las necesidades de información y los derechos de rectificación, supresión, a olvido, la limitación del tratamiento, a la portabilidad de datos y el derecho de oposición cuando se traten datos personales con fines de archivo en el interés público, con el propósito de la investigación científica o histórica o con fines estadísticos. Las condiciones y garantías en cuestión pueden incluir procedimientos específicos para los interesados ejerzan estos derechos en su caso teniendo en cuenta los efectos del tratamiento específico de que se trate, así como las medidas técnicas y organizativas para reducir al mínimo el procesamiento de datos datos personales de acuerdo con los principios de proporcionalidad y necesidad. El tratamiento de datos personales con fines científicos también debe respetar otras leyes pertinentes,
(157) La combinación de la información de los registros, los investigadores pueden obtener nuevos conocimientos de gran interés en términos de problemas médicos generalizadas como las enfermedades cardiovasculares, el cáncer y la depresión. Con base en los registros, la investigación resultados pueden mejorarse ya que se basan en una muestra de población más grande. Como parte de las ciencias sociales, la investigación sobre el registro permite a los investigadores a adquirir los conocimientos esenciales sobre las correlaciones de largo plazo entre una serie de condiciones sociales, como el desempleo y la educación y otras condiciones de vida. Los resultados de la investigación obtenidos en el utilizando registros proporcionan un conocimiento fiable y de alta calidad que puede ser la base para el desarrollo e implementación de una política basada en el conocimiento, mejorar la calidad de vida de un número de personas y fortalecer efectividad de los servicios sociales. Para facilitar la investigación científica, los datos personales pueden ser procesados con fines de investigación científica sujeto a las condiciones y salvaguardias apropiadas previstas en la legislación de la UE o la ley de los Estados miembros.
(158) Cuando los datos personales sean tratados con fines de archivo, el presente Reglamento debe aplicarse a este tratamiento, con el entendimiento de que no debe aplicarse a las personas fallecidas. Las autoridades públicas u organismos públicos o privados que mantienen archivos de interés público deben ser servicios que, en virtud del derecho de la Unión Europea o de la legislación de un Estado miembro, tienen la obligación legal de recopilar, mantener, evaluar, organizar, describir, comunicar, desarrollar, difundir dicha registros se van a mantener permanentemente en el interés público general y proporcionan acceso.
(159) Cuando los datos personales sean tratados con fines de investigación científica, el presente Reglamento debe aplicarse a este tratamiento. A los efectos del presente Reglamento, el tratamiento de datos personales con fines de investigación científica debe interpretarse en sentido amplio para abarcar, por ejemplo, el desarrollo y demostración de tecnologías, la investigación básica, la investigación aplicada y la investigación financiados por el sector privado. También se debe tener en cuenta el objetivo de la Unión mencionado en el artículo 179, párrafo 1, del Tratado de Funcionamiento de la Unión Europea de crear un espacio europeo de investigación. Por "investigación científica", sino que también debe escuchar a los estudios en el interés público en el campo de la salud pública. Para hacer frente a los datos personales específicas de procesamiento para fines de investigación científica, deben aplicarse condiciones especiales, en particular, en relación con la publicación o divulgación no de datos personales en el en virtud de los propósitos de la investigación científica. Si el resultado de la investigación científica, particularmente en el área de la salud, para la acción en interés de la persona de que se trate, se aplicarán las normas generales de este Reglamento con respecto a estas medidas. en particular con respecto a la publicación o divulgación no de datos personales en el contexto de los objetivos de la investigación científica. Si el resultado de la investigación científica, particularmente en el área de la salud, para la acción en interés de la persona de que se trate, se aplicarán las normas generales de este Reglamento con respecto a estas medidas. en particular con respecto a la publicación o divulgación no de datos personales en el contexto de los objetivos de la investigación científica. Si el resultado de la investigación científica, particularmente en el área de la salud, para la acción en interés de la persona de que se trate, se aplicarán las normas generales de este Reglamento con respecto a estas medidas.
(160) Cuando los datos personales sean tratados para la investigación histórica, el presente Reglamento debe aplicarse a este tratamiento. Esto también debe incluir la investigación histórica y la investigación con fines genealógicos, siempre que el presente Reglamento no debe aplicarse a personas fallecidas.
(161) A los efectos de la participación de consentimiento para la investigación científica en los ensayos clínicos, se aplicarán las disposiciones pertinentes del Reglamento (UE) nº 536/2014 del Parlamento Europeo y del Consejo (1).
(162) Cuando los datos personales sean tratados con fines estadísticos, el presente Reglamento debe aplicarse a este tratamiento. El Derecho de la Unión o la ley de los Estados miembros deben, dentro de los límites de este Reglamento, determinar el contenido estadístico, la comprobación de acceso a datos y adoptar disposiciones especiales para el tratamiento de los datos personales a fines estadísticos y medidas adecuadas para proteger los derechos y libertades de la persona y para mantener el secreto estadístico. Por "fines estadísticos" significa cualquier transacción de recolección y procesamiento de datos de carácter personal necesarios para la producción de encuestas o de los resultados estadísticos estadísticos. Estos resultados estadísticos también se pueden utilizar para diferentes propósitos, incluyendo la investigación científica. Las estadísticas implican que el propósito del resultado del procesamiento con fines estadísticos no constituye datos personales sino los datos agregados, y que este o estos datos personales no se utilizan en apoyo de las medidas o decisiones un individuo en particular.
(163) La información confidencial que las autoridades estadísticas de la UE y los Estados miembros se reúnen para desarrollar estadísticas oficiales nacionales Europea y debe ser protegida. Las estadísticas europeas deben desarrollarse, elaborarse y difundirse de acuerdo con los principios estadísticos establecidos en el artículo 338, párrafo 2, del Tratado de Funcionamiento de la Unión Europea, y las estadísticas nacionales también deben respetar el derecho de los Estados miembros. Reglamento (CE) nº 223/2009 del Parlamento Europeo y del Consejo (2) contiene otras disposiciones especiales relativas a las estadísticas europeas cubiertas por el secreto.
(164) En cuanto a las facultades de las autoridades de control obtengan desde el controlador o el acceso subcontratista de los datos personales y el acceso a sus locales, los Estados miembros podrán adoptar por la ley, dentro de los límites de este Reglamento, las normas específicas para garantizar la obligación de secreto profesional u otras obligaciones equivalentes de secreto, en la medida en que ello sea necesario para conciliar el derecho a la protección de datos personales y la obligación de secreto profesional. Esto es sin perjuicio de las obligaciones de los Estados miembros actuales en la adopción de normas de secreto profesional cuando la legislación de la UE requiere.
(165) El presente Reglamento respeta y no prejuzga el estatuto que, en virtud del derecho constitucional, iglesias y asociaciones o comunidades religiosas en los Estados miembros, como se reconoce en el artículo 17 de Tratado de funcionamiento de la Unión Europea.
(166) Con el fin de cumplir con los objetivos del presente Reglamento, a saber, proteger los derechos y libertades fundamentales de las personas físicas, y en particular su derecho a la protección de datos personales, y garantizar
(1) El Reglamento (UE) nº 536/2014 del Parlamento Europeo y del Consejo, de 16 de abril 2014 relativa a los ensayos clínicos de medicamentos de uso humano, y se deroga la Directiva 2001/20 / CE (DO L 158 de 27.05.2014, p. 1).
(2) El Reglamento (CE) nº 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, sobre las estadísticas europeas y se deroga el Reglamento (CE, Euratom) no 1101/2008 del Parlamento Europeo y del Consejo sobre la transmisión de la Oficina estadística de las Comunidades Europeas de la información estadística cubiertos por el secreto profesional, el Reglamento (CE) nº 322/97 del Consejo, y la decisión 89/382 / CEE, Euratom se crea un Comité del programa estadístico comunidades Europeas (DO L 87 de 31.3.2009, p. 164).
libre circulación de estos datos en la Unión debe delegarse en la Comisión los poderes para adoptar actos de conformidad con el artículo 290 del Tratado de Funcionamiento de la Unión Europea. En particular, los actos delegados deben adoptarse en relación con los criterios y requisitos para los mecanismos de certificación, la información en forma de iconos estándar y los procedimientos que rigen la prestación de estos iconos. Es particularmente importante que la Comisión lleve a cabo las consultas apropiadas durante sus trabajos de preparación, también con expertos. Debe, al preparar y elaborar actos delegados,
(167) Con el fin de garantizar condiciones uniformes para la aplicación del presente Reglamento, es necesario conferir competencias de ejecución a la Comisión cuando el presente Reglamento disponga. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011. En este contexto, la Comisión debería considerar medidas específicas para las micro, pequeñas y medianas.
(168) Habida cuenta de la naturaleza general de los actos que se trate, es apropiado utilizar el procedimiento de examen para la adopción de actos de ejecución en relación con las cláusulas contractuales entre controladores y subcontratistas y entre los subcontratistas; códigos de conducta; normas y sistemas de certificación técnica; nivel adecuado de protección que ofrece un país tercero, territorio o sector en ese tercer país o una organización internacional; las cláusulas de protección; formatos y procedimientos para el intercambio de información electrónica entre los controladores, los contratistas y supervisores con respecto a las normas corporativas vinculantes; asistencia mutua;
(169) La Comisión debe adoptar actos de ejecución inmediatamente aplicables cuando la evidencia disponible muestra que un tercer país, territorio o sector en ese país u organización internacional no ofrece un nivel de protección adecuada y convincente de urgencia así lo requieran.
(170) Dado que el objetivo del presente Reglamento, a saber, garantizar un nivel equivalente de protección de las personas y la libre circulación de datos personales en toda la Unión, no pueden ser alcanzados de manera suficiente por los Estados miembros, pero puede, debido a la dimensión oa los efectos de la acción, pueden lograrse mejor a nivel de la Unión, que puede adoptar medidas de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 de la Tratado de la Unión Europea. Acuerdo con el principio de proporcionalidad enunciado en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.
(171) La Directiva 95/46 / CE debe ser derogada por el presente Reglamento. Los tratamientos que ya están en curso en la fecha de aplicación del presente Reglamento deben ponerse en línea con un plazo de dos años después de su entrada en vigor. Cuando el tratamiento se basa en un consentimiento conforme a la Directiva 95/46 / CE, no es necesario que la persona vuelve a dar su consentimiento si la forma en que se le dio el consentimiento cumple con las condiciones establecidas en el el presente Reglamento, por lo que el controlador puede continuar el tratamiento después de la fecha de aplicación del presente Reglamento.
(172) El Supervisor Europeo de Protección de Datos ha sido consultado de conformidad con el artículo 28, párrafo 2, del Reglamento (CE) no 45/2001 y emitió un dictamen el 7 de marzo de 2012 (1).
(173) El presente Reglamento debe aplicarse a todos los aspectos de la protección de los derechos y las libertades fundamentales en lo que respecta al tratamiento de datos personales que no están sujetos a las obligaciones específicas con el mismo objetivo establecido en la Directiva 2002/58 / CE del Parlamento Europeo y del Consejo (2), incluidas las obligaciones del responsable del tratamiento y los derechos de los individuos. Para aclarar la relación entre el presente Reglamento y la Directiva 2002/58 / CE, la Directiva que debe modificarse en consecuencia. Después de la adopción del presente Reglamento, se debe revisar la Directiva 2002/58 / CE, en particular, para garantizar la coherencia con el presente Reglamento
(1) DO C 192, 30.6.2012, p. 7.
(2) Directiva 2002/58 / CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de datos personales ya la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201, 31.7.2002, p. 37).
Han adoptado PRESENTE REGLAMENTO:
CAPÍTULO I
disposiciones generales
artículo
Propósito y objetivos
El presente Reglamento establece normas sobre la protección de las personas con respecto al tratamiento de los datos personales y las normas sobre la libre circulación de estos datos.
El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas, y en particular su derecho a la protección de datos personales.
La libre circulación de datos personales en la Unión no está restringida ni prohibida por motivos de protección de las personas con respecto al tratamiento de los datos personales.
artículo 2
ámbito material
El presente Reglamento se aplica al tratamiento de datos personales, automatizado en su totalidad o en parte, así como el tratamiento no automatizado de datos personales contenidos o destinados a ser introducidos en un fichero.
El presente Reglamento no se aplica al tratamiento de datos de carácter personal:
a) como parte de una actividad que queda fuera del ámbito de la legislación de la UE;
b) por los Estados miembros en el marco de las actividades comprendidas en el ámbito del capítulo 2 del título V del Tratado de la Unión Europea;
c) por un individuo en el contexto de una actividad estrictamente personal o doméstico;
d) por las autoridades competentes para los fines de la prevención y detección del delito, investigación y enjuiciamiento en la materia o la ejecución de sanciones penales, incluida la protección contra amenazas a la seguridad pública y la prevención de este tipo de amenazas.
Reglamento (CE) nº 45/2001 se aplica al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión. Reglamento (CE) no 45/2001 y de otros actos jurídicos de Derecho de la Unión dicho tratamiento de datos personales se adapta a los principios y las normas del presente Reglamento de conformidad con el artículo 98.
El presente Reglamento se aplicará sin perjuicio de la Directiva 2000/31 / CE, y en particular los artículos 12 a 15 sobre la responsabilidad de los prestadores de servicios intermediarios.
artículo 3
ámbito territorial
El presente Reglamento se aplica al tratamiento de datos personales en el marco de las actividades de un establecimiento de un controlador o un subcontratista en el territorio de la Unión, que tiene lugar el tratamiento o no en la UE.
El presente Reglamento se aplica al tratamiento de datos personales relativos a los sujetos que se encuentran en el territorio de la Unión por un controlador o un subcontratista que no esté establecido en la Unión, cuando actividades de procesamiento están relacionados con:
a) el suministro de bienes o servicios a dichos titulares de los datos en la Unión, se requiere un pago o no esas personas; o
b) supervisar el comportamiento de estas personas, ya que es un comportamiento que tiene lugar dentro de la Unión.
3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un controlador no establecidas en la UE, pero en un lugar donde la ley de un Estado miembro se aplica en virtud del derecho internacional pública.
Artículo 4 Definiciones
Para efectos del presente Reglamento, por:
1) "datos personales" cualquier información relativa a una persona física identificada o identificable (en lo sucesivo denominado "sujeto de datos"); se considera que es una "identificación individual" un individuo que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador tal como un nombre, un número de identificación, datos de localización, identificador de línea oa uno o más factores específicos de su identidad física, fisiológica, genética, psíquica, económica, cultural o social;
2) "tratamiento" significa cualquier operación o conjunto de operaciones llevadas a cabo o no usando procesos automatizados y aplicado a los datos o conjuntos de datos personales, como la recogida, registro, organización , estructuración, almacenamiento, adaptación o modificación, extracción, consulta, utilización, transmisión a través de la comunicación, la distribución, o de otro modo poner a disposición, la alineación o interconexión, limitación , supresión o destrucción;
3) "limitación de tratamiento", mantiene los datos personales de marcado para limitar su tratamiento en el futuro;
4) 'perfiles', todo el tratamiento automatizado de los datos personales de la utilización de dichos datos personales a evaluar determinados aspectos de la personalidad de una persona física, incluyendo a analizar o predecir artículos sobre el rendimiento en el trabajo, la situación económicas, de salud, preferencias personales, los intereses, la fiabilidad, la conducta, la ubicación o el movimiento de dicha persona;
5) Tratamiento "seudónimos" de los datos personales de tal manera que ya no se puede atribuir a una persona específica de que se trate, sin la necesidad de información adicional, siempre que dicha información adicional se mantendrá separado y se sometió a técnica y medidas de organización necesarias para garantizar que los datos personales no se atribuyen a una persona física identificada o identificable;
6) "archivo" cualquier conjunto estructurado de datos personales accesibles con arreglo a criterios específicos, ya sea centralizado, descentralizado o repartido funcional o geográfica;
7) "controlador", la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios de procesamiento; cuando los fines y los medios del tratamiento estén determinados por la ley de la Unión o la legislación de un Estado miembro, el controlador puede ser descrito o los criterios específicos para su nombramiento puede ser proporcionado por la ley de la Unión o por la legislación de un Estado miembro;
8) "subcontratista" la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento;
9) 'destinatario', la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que recibe la comunicación de los datos personales, si es o no una tercera. Sin embargo, las autoridades públicas
que es probable que reciba la comunicación de datos personales en el marco de una misión de investigación especial de conformidad con el Derecho de la Unión o la legislación de un Estado miembro no son considerados como receptores; el tratamiento de estos datos por parte de autoridades públicas en cuestión cumple con las normas aplicables en materia de protección de datos en base a los fines del tratamiento;
10) medios de "terceros" una persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, el encargado del tratamiento y las personas que, bajo la autoridad directa de la controlador o el procesador, están autorizados para procesar los datos personales;
11) "consentimiento" de la persona de que se trate, cualquier manifestación de voluntad, específico dado libremente, informada e inequívoca en la que el interesado está de acuerdo, por una declaración o por un acto afirmativo claro, que los datos personales relativos a ellos la que se está procesando;
12) "violación de los datos personales", una violación de la seguridad que provoque accidental o de manera ilegal, destrucción, pérdida, alteración, divulgación no autorizada de datos personales transmitidos, almacenados o procesados por Alternativamente, o acceso no autorizado a estos datos;
13) "datos genéticos", los datos personales relativos a las características genéticas o adquiridas hereditarias de un individuo que dan información única sobre el estado de la fisiología y la salud del individuo y que resultan en particular de un análisis de una muestra biológica de la persona en cuestión;
14) "datos biométricos", los datos personales que resultan de procesos técnicos específicos relativos a las características físicas, fisiológicas o de comportamiento de un individuo que permiten o confirmar su identificación única, tales como imágenes o datos faciales de huellas digitales;
15) "datos de salud", los datos personales relativos a la salud física o mental de un individuo, incluyendo la prestación de servicios de atención médica, que revelan información sobre el estado de salud de este persona;
16) "establecimiento principal"
a) con respecto a un tratamiento establecido en varios Estados miembros, la ubicación de su domicilio social en la Unión, a menos que se tomen decisiones sobre los fines y medios del tratamiento de datos personales en otro establecimiento del responsable en la Unión y que la institución tiene el poder de hacer cumplir estas decisiones, en cuyo caso la institución que haya tomado estas decisiones se considera la instalación principal;
b) con respecto a un subcontratista establecido en varios Estados miembros, el lugar de la administración central en la Unión o, si el subcontratista no tiene una administración central en la Unión, el establecimiento de subcontratista en la Unión que ejecuta la mayor parte de las actividades de procesamiento llevadas a cabo como parte de las actividades dentro de un subcontratista, ya que el empresario-in está sujeta a obligaciones específicas en virtud del presente Reglamento;
17) significa "representativas" una persona física o jurídica establecida en la Unión designado por el controlador o el procesador por escrito, en virtud del artículo 27, que representa con respecto a sus respectivas obligaciones virtud del presente Reglamento;
18) "empresa", una persona física o jurídica que ejerza una actividad económica, cualquiera que sea su forma jurídica, incluidas las asociaciones o asociaciones regularmente realizan actividades económicas;
19) "grupo de empresas", una empresa que los controles y las sociedades controladas;
20) "reglas corporativas vinculantes", las normas internas relativas a la protección de datos personales aplicado por un controlador o un sub-procesador establecida en el territorio de un Estado miembro para las transferencias o para un conjunto transferencia de datos a un controlador de carácter personal o un procesador establecido en un tercer país o países dentro de un grupo de empresas o grupo de empresas dedicadas a una actividad económica conjunta;
21) "autoridad de control", una autoridad pública independiente que se establece por un Estado miembro con arreglo
la sección 51;
22) "autoridades de supervisión", una autoridad de control que tiene que ver con el tratamiento de datos personales ya que:
a) el controlador de datos o bajo de tratamiento está establecida en el territorio del Estado miembro de que la autoridad de supervisión sobre;
b) Las personas correspondientes residente en dicho Estado miembro autoridad de control se ven afectados significativamente por el tratamiento o puede ser; o
c) una reclamación se ha presentado al supervisor;
23) "tratamiento transfronterizo,"
a) tratamiento de datos personales que tiene lugar en la Unión en el marco de las actividades de las instituciones en varios Estados miembros de un controlador o un subcontratista cuando el controlador o el sub procesador está establecido en varios Estados miembros; o
b) tratamiento de datos personales que tiene lugar en la Unión en el marco de las actividades de un solo establecimiento de un controlador o un subcontratista, pero que afecta de manera significativa o que pueda afectar esencialmente de los interesados en varios Estados miembros;
24) "objeciones pertinentes y motivado", una objeción a un proyecto de decisión en cuanto a si existe una violación de este Reglamento o si la acción propuesta en relación con el controlador o el subcontratista cumple el presente Reglamento, lo que demuestra claramente la importancia de los riesgos del proyecto de decisión para los derechos y libertades fundamentales de las personas afectadas y, si es necesario, la libre circulación de datos personales dentro de la Unión;
25) "servicio de la sociedad de la información", un servicio en el sentido del artículo 1, párrafo 1 b) de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (1);
26) "organización internacional", una organización y cuerpos de derecho internacional público contenidas en el mismo, o cualquier otro organismo que se crea mediante un acuerdo entre dos o más países internacional o en virtud de un acuerdo de este tipo.
CAPÍTULO II
principios
artículo 5
Principios para el tratamiento de los datos personales
Los datos personales deben ser:
a) legalmente procesado, justo y transparente en relación con la persona en cuestión (legalidad, imparcialidad, transparencia);
b) recogidos con determinados, explícitos y fines legítimos y no ser tratados posteriormente de manera incompatible con dichos fines; su posterior procesamiento con fines de archivo en el interés público, con el propósito de fines de investigación o estadísticos científicos o históricos no se considera, de conformidad con el artículo 89, párrafo 1, por ser incompatible con los propósitos originales (Restricción los fines);
c) adecuados, pertinentes y limitados a lo que es necesario para los fines para los que se traten (minimización de los datos);
d) exactos y, cuando sea necesario, hasta la fecha; todas las medidas razonables deben tomar medidas para garantizar que los datos personales que son inexactos, teniendo en cuenta los fines para los que se traten, sean suprimidos o rectificados sin demora (exactitud);
(1) Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre el año 2015 que proporciona un procedimiento de información en materia de normas técnicas y de servicios de la sociedad de la información (DO L 241, 17.09.2015, p. 1).
e) conservados en una forma que permita la identificación de los interesados durante no más tiempo que el necesario para los fines para los que se traten; los datos personales se puede retener por más tiempo en la medida en que van a ser tratados exclusivamente para fines de archivo en el interés público, con el propósito de la investigación científica o histórica o con fines estadísticos, de conformidad con el artículo 89 párrafo 1, siempre que se apliquen las medidas técnicas y organizativas adecuadas exija el presente Reglamento para garantizar los derechos y libertades de las personas afectadas (restricción de conservación);
f) tratados para garantizar la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daños debidos a accidentes, a través de medidas técnicas o apropiarse de organización (integridad y confidencialidad);
2. El controlador es responsable de la conformidad con el párrafo 1 y es capaz de demostrar que se respete el último (responsabilidad).
artículo 6
Legalidad del tratamiento de
Se permite que el tratamiento sólo si y en la medida en que al menos una de las siguientes condiciones es verdadera:
a) el interesado ha dado su consentimiento al tratamiento de sus datos personales para uno o más fines específicos;
b) es necesario para la ejecución de un contrato en el que el interesado sea parte o el rendimiento a dar los pasos necesarios, a petición de este último tratamiento;
c) es necesario para el cumplimiento de la obligación legal de que el controlador está sujeto procesamiento;
d) es necesario para proteger los intereses vitales del interesado o de otra persona;
e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento;
f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o de un tercero, a menos que prevalezca el interés o los derechos y libertades fundamentales de la persona que requiere la protección de los datos personales, incluyendo el procesamiento cuando la persona es un niño.
Punto f) del primer párrafo no se aplica al tratamiento de los poderes públicos en el cumplimiento de sus funciones.
Los Estados miembros podrán mantener o introducir disposiciones más específicas para adaptar las normas del presente Reglamento en relación con el tratamiento con el fin de cumplir con el párrafo 1, c) ye), para determinar con mayor precisión los requisitos específicos para el tratamiento y otras medidas para asegurar el proceso legal y justo, incluso en situaciones otro tratamiento especial según se establece en el capítulo IX.
La base del tratamiento mencionado en el párrafo 1, c) y e) se define por: a) el derecho de la Unión; o
b) el derecho del Estado miembro al que el controlador está sujeto.
Los objetivos del tratamiento son definidos en la base jurídica o, en relación con el tratamiento mencionado en el párrafo 1 e) son necesarios para el cumplimiento de una misión de interés público o en el ejercicio de autoridad pública recae en el controlador. Esta base puede contener disposiciones específicas para adaptar las normas del presente Reglamento, entre otros: las condiciones generales que rigen la legalidad del tratamiento por el controlador; los tipos de datos que son objeto de tratamiento; las personas interesadas; entidades a las cuales pueden ser comunicados los datos personales y los fines para los que se encuentren; limitación de la finalidad; períodos de retención; y las operaciones y procedimientos para el tratamiento, incluyendo medidas para garantizar el tratamiento lícito y justo, como las previstas en otras situaciones especiales de tratamiento conforme a lo dispuesto en el Capítulo IX. El Derecho de la Unión o la ley de los Estados miembros tiene un objetivo de interés público y es proporcionada al fin legítimo perseguido.
4. Cuando el tratamiento para una finalidad distinta de aquella para la que los datos fueron recogidos no se basa en el consentimiento de la persona afectada o en el Derecho de la Unión o la legislación de un Estado miembro que es una medida necesaria y proporcionada en una sociedad democrática para los objetivos mencionados en el artículo 23, párrafo 1, el controlador para determinar si el tratamiento para cualquier otro propósito es compatible con los fines para los que fueron los datos personales originalmente recogido, tiene en cuenta, entre otros:
a) la posible existencia de una relación entre los fines para los que se recogieron los datos personales y los efectos del tratamiento propuesto subsiguiente;
b) el contexto en el que se recogieron los datos personales, en particular en lo que respecta a la relación entre las personas involucradas y el controlador;
c) la naturaleza de los datos personales, especialmente si el tratamiento consiste en categorías especiales de datos personales, en virtud del artículo 9, o si los datos personales relativos a condenas penales y delitos se tratan en el artículo 10;
d) las consecuencias potenciales de tratamiento adicional previstas para las personas afectadas;
e) la existencia de garantías adecuadas, que pueden incluir el cifrado o seudónimos.
artículo 7
Condiciones para el consentimiento
En los casos en que el tratamiento se basa en el consentimiento, el controlador es capaz de demostrar que el interesado ha dado su consentimiento para el tratamiento de los datos personales que le conciernen.
Si el consentimiento de la persona en cuestión se da en el contexto de una declaración escrita en la que también se refiere a otras cuestiones, el consentimiento se presentará en una forma que distingue claramente estas otras cuestiones en una forma comprensible y fácilmente accesible y formulado en términos claros y simples. Ninguna parte de esta declaración es una violación de este reglamento es obligatorio.
El interesado tiene derecho a retirar su consentimiento en cualquier momento. La retirada no afecta a la legalidad del tratamiento basado en el consentimiento hecha antes de la retirada. El interesado deberá ser informado antes de dar su consentimiento. Es tan simple como eliminar consentimiento.
Para determinar si el consentimiento se da libremente, es necesario tener muy en cuenta la cuestión, entre otros, si el cumplimiento de un contrato, incluida la prestación de un servicio, está sujeta consentimiento al procesamiento de datos personales no es necesario para la ejecución del contrato.
artículo 8
Condiciones aplicables al consentimiento de los niños en lo que respecta a los servicios de la sociedad de información
Cuando el artículo 6, párrafo 1 a), se aplica en relación con el servicio directo de la sociedad de la información para los niños, el tratamiento de datos personales relativos a los niños es legal cuando el niño tenga al menos 16 años. Cuando el niño es menor de 16 años, se permite este tratamiento sólo si y en la medida en que se otorga el consentimiento o la autorización del titular de la responsabilidad parental para el niño.
Los Estados miembros podrán establecer por ley una edad inferior para estos fines, siempre que edad más temprana no es inferior a 13 años.
El controlador deberá hacer esfuerzos razonables para verificar, en tales casos, se da el consentimiento o autorizado por el titular de la responsabilidad parental del niño, teniendo en cuenta los medios tecnológicos disponibles.
El apartado 1 no afectará a la ley general de los contratos de los Estados miembros, incluidas las normas relativas a la validez, la formación o el efecto de un contrato con respecto a un niño.
artículo 9
Tratamiento de categorías especiales de datos personales
El tratamiento de los datos personales que revelen el origen racial o étnico, las opiniones políticas, religiosas o filosóficas o la pertenencia sindical y el tratamiento de los datos genéticos, datos biométricos con el fin de identificar a un individuo singularmente, están prohibidos los datos relativos a la salud o datos relacionados con la vida sexual o la orientación sexual de un individuo.
El apartado 1 no se aplicará si se cumple una de las siguientes condiciones:
a) el interesado ha dado su consentimiento expreso para el tratamiento de dichos datos personales para uno o más propósitos específicos, a menos que el Derecho de la Unión o la legislación del Estado miembro disponga que la prohibición establecida en el párrafo 1 no puede ser levantada por el sujeto de los datos;
b) es necesario para el cumplimiento de las obligaciones de procesamiento y ejercer sus propios derechos a los datos o los datos sobre la legislación laboral, seguridad social y protección social en ya que este tratamiento está permitido por la legislación de la UE, por la ley de un Estado miembro o por un convenio colectivo conforme a la legislación de un Estado miembro que proporciona garantías adecuadas para los derechos e intereses de los fundamentales la persona de que se trate;
c) es necesario para proteger los intereses vitales del interesado o de otra persona el procesamiento, si la persona se encuentra en la incapacidad física o legalmente de dar su consentimiento;
d) el tratamiento se lleva a cabo en el marco de sus actividades legítimas y con las salvaguardas apropiadas por una fundación, asociación o cualquier otra organización sin ánimo de lucro y con una política, filosófica, religiosa o el comercio, siempre que el el tratamiento se refiere exclusivamente a los miembros o ex miembros de ese cuerpo o para personas con uno contactos regulares en relación con sus propósitos y que los datos personales no debe ser revelada fuera de la agencia sin el consentimiento de las personas afectadas ;
e) el tratamiento se refiere a los datos personales que son manifiestamente hechos públicos por el sujeto de datos;
f) es necesario para el reconocimiento, ejercicio o defensa de un derecho legal o procesamiento cada vez que los tribunales actúen dentro de su función judicial;
g) es necesario por razones de interés público importantes, sobre la base del Derecho de la Unión o la legislación de un Estado miembro que deberá ser proporcionado al objetivo perseguido, a respetar el contenido esencial del derecho a la protección de datos y establecerán las medidas adecuadas y específicas para salvaguardar los derechos e intereses fundamentales de la persona de que se trate;
h) es necesario para la medicina preventiva o de medicina del trabajo, la valoración de la capacidad del trabajador para el trabajo, el diagnóstico médico, la decisión en sistemas de gestión de atención sanitaria o social, o servicios y atención de la salud y la protección social sobre la base de la legislación de la UE, la legislación de un Estado miembro o en virtud de un contrato con un profesional de la salud y sujeto a las condiciones y garantías que se refiere el párrafo 3;
i) es necesario por razones de interés público en el campo de la salud pública, tales como la protección contra las graves amenazas transfronterizas para la salud del procesamiento, o con el fin de altos estándares de garantía de calidad y seguridad de la atención dispositivos de salud y de la medicina o médicos, basándose en la ley de la ley del Estado o de la Unión miembro que proporciona medidas adecuadas y específicas para salvaguardar los derechos y libertades de las personas afectadas, incluida la confidencialidad ;
j) el tratamiento sea necesario para fines de archivo en el interés público, con el propósito de fines de investigación o estadísticos científicos o históricos, de conformidad con el artículo 89, párrafo 1, sobre la base de la legislación de la UE o la legislación de un Estado miembro debe ser proporcional al objetivo perseguido, a respetar el contenido esencial del derecho a la protección de datos y establecer las medidas adecuadas y específicas para salvaguardar los derechos e intereses fundamentales de la persona en cuestión.
El personal mencionado en el apartado 1 los datos pueden ser tratados para los fines del apartado 2, letra h), si estos datos son procesados por un profesional sanitario sujeto al deber de secreto profesional en virtud de la ley Unión, el derecho de un Estado miembro o de las normas adoptadas por los organismos nacionales competentes, o de control, o por otra persona sujeta asimismo a una obligación de confidencialidad bajo la ley de la Unión o la derecha un Estado miembro o de las normas adoptadas por los organismos nacionales competentes.
Los Estados miembros podrán mantener o establecer condiciones adicionales, incluyendo limitaciones en cuanto al tratamiento de los datos genéticos, datos biométricos o datos de salud.
artículo 10
Tratamiento de datos personales relativos a condenas penales y delitos
El tratamiento de los datos personales relativos a condenas penales y delitos conexos o medidas de seguridad basadas en el artículo 6, apartado 1, sólo puede llevarse a cabo bajo el control de la autoridad pública o si se permite que el tratamiento derecho de la Unión o la legislación de un Estado miembro que proporciona garantías adecuadas para los derechos y libertades de los interesados. Cualquier registro completo de condenas penales sólo podrá llevarse bajo el control de la autoridad pública.
artículo 11
El tratamiento no requiere la identificación
Si los fines para los que se procesan los datos personales imponer o no imponer más al controlador para identificar a una persona en cuestión, no se requiere para mantener, obtener o proceso información adicional para identificar a la persona con el único propósito de cumplimiento de esta norma.
Cuando, en los casos mencionados en el apartado 1 del presente artículo, el controlador es capaz de demostrar que no es capaz de identificar a la persona afectada, deberá informar al interesado, si es posible. En tales casos, no se aplican los artículos 15 a 20, a menos que la persona que ofrece, con el fin de ejercer los derechos en virtud de estos artículos, la información adicional que pueda identificarlo.
CAPÍTULO III
Los derechos de la persona en cuestión
la sección 1
Transparencia y condiciones
artículo 12
La transparencia de los procedimientos de información y comunicaciones para el ejercicio de los derechos de la persona
El controlador tomará las medidas adecuadas para facilitar información en virtud de los artículos 13 y 14 y para procesar cualquier comunicaciones de conformidad con los artículos 15 a 22 y el artículo 34 en relación con el procesamiento de los datos de una concisa, transparente, comprensible y fácilmente accesible en términos claros y sencillos, especialmente para información específica para un niño. La información se proporciona por escrito o por otros medios, incluyendo, cuando sea apropiado, de forma electrónica. Cuando la persona interesada lo solicita, la información puede ser proporcionada por vía oral, siempre que la identidad de la persona en cuestión se demuestra por otros medios.
El controlador facilita el ejercicio de los derechos concedidos a la persona de que se trate con arreglo al artículo 15
a los 22. En los casos contemplados en el artículo 11, párrafo 2, el controlador no se niega a responder a la solicitud de la persona interesada para ejercer los derechos en virtud de las secciones 15 a 22, a menos el controlador demuestra que no es capaz de identificar a la persona de que se trate.
El controlador proporciona el afectado de la información sobre las medidas adoptadas en respuesta a una solicitud de conformidad con los artículos 15 a 22, tan pronto como sea posible y en todo caso dentro del plazo de un mes la recepción de la solicitud. Si es necesario, este plazo podrá ser ampliado por dos meses, dada la complejidad y el número de aplicaciones. El responsable del tratamiento informará al interesado de las razones de extensión y el aplazamiento el plazo de un mes desde la recepción de la solicitud. Cuando la persona en cuestión tiene su aplicación en forma electrónica, se proporciona la información en forma electrónica cuando sea posible, a menos que la persona interesada así lo solicite lo contrario.
Si el controlador no responde a la solicitud formulada por el interesado, se le informe sin demora y, a más tardar dentro de un mes desde la recepción de la solicitud las razones de su falta de acción la posibilidad de presentar una queja con una supervisión y procedimientos de autoridad judicial.
Sin pago está obligado a proporcionar información en virtud de los artículos 13 y 14 y para llevar a cabo todas las comunicaciones y tomar las medidas en virtud de los artículos 15 a 22 y el artículo 34. Cuando las demandas de un interesado son manifiestamente infundada o excesiva, sobre todo por su carácter repetitivo, el controlador puede:
a) exigir el pago de honorarios razonables que reflejen los costes administrativos de la información, que los estados o tomar la medida solicitada; o
b) se niegan a cumplir con estas peticiones.
Corresponde al controlador para demostrar la naturaleza claramente infundada o excesiva demanda.
Sin perjuicio del artículo 11, cuando el controlador tiene dudas fundadas acerca de la identidad del individuo que hace la solicitud contemplada en los artículos 15 a 21, podrá pedir que se le proporcionen información adicional necesaria para confirmar la identidad de la persona en cuestión.
La información que debe comunicarse a los interesados de conformidad con los artículos 13 y 14 puede ser entregada junto con los iconos estándar para proporcionar una visión general buena, fácilmente visible, comprensible y claramente legible, el tratamiento deseado. Cuando los iconos se presentan electrónicamente, que son legibles por máquina.
La Comisión está facultada para adoptar actos delegados de conformidad con el artículo 92 con el fin de determinar la información en forma de iconos y los procedimientos que rigen la prestación de los iconos estandarizados.
la sección 2
Información y acceso a los datos personales
artículo 13
Divulgaciones cuando los datos personales se recogen en el individuo
1. Los datos Dónde personales relativos a un sujeto de los datos se recogen de esta persona, el controlador proporciona, cuando se obtienen los datos en cuestión, la siguiente información:
a) la identidad y datos de contacto del controlador y, en su caso, el representante del controlador
b) en su caso, el delegado de coordinar la protección de datos;
c) A efectos del tratamiento que son los datos personales y la base jurídica para la transformación;
d) cuando el tratamiento se basa en el artículo 6, párrafo 1, punto f) los intereses legítimos perseguidos por el controlador o por un tercero;
e) los destinatarios o categorías de destinatarios de los datos personales, en su caso; y
f) en su caso, el hecho de que el responsable del tratamiento tiene la intención de realizar una transferencia de datos personales a un tercer país o una organización internacional, y la existencia o ausencia de una decisión adecuación hecha por la Comisión o, en el caso de las transferencias que se refiere el artículo 46, o 47, o en el artículo 49, apartado 1, párrafo segundo, la referencia a la apropiada o garantías adecuadas y cómo conseguir uno copiar o donde han sido puestos a disposición;
2. Además de la información mencionada en el párrafo 1, el controlador proporciona el sujeto de los datos, en el momento en que se obtienen los datos personales, la siguiente información adicional es necesaria para asegurar el tratamiento justo y transparente:
a) el período de retención de los datos personales o, cuando esto no es posible, los criterios utilizados para determinar este tiempo;
b) la existencia del derecho de pedir al controlador de acceso a los datos personales, rectificación o cancelación de estos, o una limitación del tratamiento sobre la persona, o la concesión de s' objeto para la transformación y el derecho a la portabilidad de los datos;
c) el procesamiento se basa en el artículo 6, párrafo 1 a) o en el artículo 9, párrafo 2 a), la existencia de la derecha de retirar su consentimiento en cualquier momento, sin perjuicio la legalidad del tratamiento basado en el consentimiento hecha antes de la retirada de este último;
d) el derecho a presentar una denuncia ante una autoridad de supervisión;
e) información sobre si el requisito de suministro de datos personales es un reglamentarios o contractuales o las condiciones de la celebración de un contrato y si el interesado está obligado a proporcionar los datos personales así como las posibles consecuencias de no proporcionar tales datos;
f) la existencia de una toma de decisiones automatizado, incluyendo un perfil, se hace referencia en el artículo 22, párrafos 1 y 4, y, al menos en tales casos, la información útil con respecto a la lógica subyacente y la importancia y las consecuencias esperadas de este tratamiento para la persona en cuestión.
Cuando se tiene la intención de llevar a cabo un procesamiento adicional de los datos personales para una finalidad distinta de aquella para la que se recogieron los datos personal, el controlador proporciona el requisito previo para la persona en cuestión la información sobre otro propósito de esta y otra información relevante se refiere el apartado 2.
Los párrafos 1, 2 y 3 no se aplican si y en la medida en que el interesado ya tiene esa información.
artículo 14
Divulgaciones cuando los datos personales no han sido recogidos de la persona en cuestión
1. Cuando los datos personales no han sido recogidos de la materia de datos, el controlador proporciona para que la siguiente información:
a) la identidad y datos de contacto del controlador y, en su caso, el representante del controlador;
b) en su caso, el delegado de coordinar la protección de datos;
c) A efectos del tratamiento que son los datos personales y la base jurídica para la transformación;
d) las categorías de datos personales;
e) en su caso, los destinatarios o categorías de destinatarios de los datos personales;
f) en su caso, el hecho de que el controlador de datos tiene la intención de realizar una transferencia de datos personales a un destinatario en un tercer país o una organización internacional, y la existencia o ausencia de una decisión de adecuación hecha por la Junta o, en el caso de las transferencias que se refiere el artículo 46, o 47, o en el artículo 49, apartado 1, párrafo segundo, la referencia a la apropiada o garantías adecuadas y formas de una copia o donde han sido puestos a disposición;
2. Además de la información mencionada en el párrafo 1, el controlador proporciona el sujeto de los datos con la siguiente información necesaria para asegurar el tratamiento justo y transparente con respecto a la persona de que se trate:
a) el período para el cual se mantendrán los datos personales o, cuando esto no es posible, los criterios utilizados para determinar este tiempo;
b) cuando el tratamiento se basa en el artículo 6, párrafo 1, punto f) los intereses legítimos perseguidos por el controlador o por un tercero;
c) la existencia del derecho de pedir al controlador de acceso a los datos personales, rectificación o cancelación de estos, o una limitación del tratamiento sobre la persona, y el derecho de s 'oponerse al tratamiento y el derecho a la portabilidad de datos;
d) cuando el tratamiento se basa en el artículo 6, párrafo 1 a) o en el artículo 9, párrafo 2 a), la existencia de la derecha de retirar su consentimiento en cualquier momento, sin perjuicio la legalidad del tratamiento basado en el consentimiento hecha antes de la retirada de este último;
e) el derecho a presentar una denuncia ante una autoridad de supervisión;
f) la fuente de la que los datos personales llegado y, en su caso, una indicación de que están llegando o no fuentes disponibles públicamente;
g) la existencia de una toma de decisiones automatizado, incluyendo un perfil, se hace referencia en el artículo 22, párrafos 1 y 4, y, al menos en tales casos, la información útil con respecto a la lógica subyacente y la importancia y las consecuencias esperadas de este tratamiento para la persona en cuestión.
El controlador proporciona la información mencionada en los apartados 1 y 2:
a) dentro de un tiempo razonable después de la recepción de los datos personales, pero no superior a un mes, teniendo en cuenta las circunstancias particulares en que se procesan los datos personales;
b) los datos personales que se utiliza para la comunicación con la persona de que se trate, a más tardar, en el momento de la primera llamada a esa persona; o
c) que se pretende comunicar la información a otra persona, a más tardar, cuando los datos se comuniquen por primera vez.
Cuando se tiene la intención de llevar a cabo un procesamiento adicional de los datos personales para una finalidad distinta de aquella para la que se obtienen los datos de personal, el controlador proporciona el requisito previo para la persona en cuestión la información sobre otro propósito de esta y otra información relevante se refiere el apartado 2.
Los apartados 1 a 4 no se aplicarán cuando y en la medida que:
a) si el interesado ya tiene esta información;
b) el suministro de información al interesado resulte imposible o requeriría un esfuerzo desproporcionado, especialmente para el tratamiento con fines de archivo en el interés público, con el propósito de investigación o con fines estadísticos tema científico o histórico de las condiciones y garantías se refiere el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo es probable que haga imposible o seriamente en peligro los objetivos del tratamiento. En tales casos, el controlador tomará las medidas adecuadas para proteger los derechos y libertades e intereses legítimos del interesado, como hacer que la información a disposición del público;
c) obtener o comunicar informaciones expresamente establecidas por la legislación de la Unión o la ley del Estado miembro a la que esté sujeta y que prevé medidas adecuadas para proteger los intereses legítimos de la persona que se trate; o
d) los datos personales deberán ser confidenciales, la obligación de confidencialidad regulada por la legislación de la UE o la ley de los Estados miembros, incluyendo una obligación legal de secreto profesional.
artículo 15
Derecho de acceso de la persona interesada
1. El interesado tiene derecho a obtener la confirmación del controlador como es o los datos personales que le conciernen son procesados y, cuando lo son, el acceso a dichos datos personales, así como siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales;
c) los destinatarios o categorías de destinatarios a los que han sido o serán proporcionado datos personales, en particular, los receptores que están establecidas en terceros países u organizaciones internacionales;
d) cuando sea posible, los datos de vida útil considerados carácter personal o, cuando ello no sea posible, los criterios utilizados para determinar este tiempo;
e) la existencia del derecho a solicitar la rectificación controlador o el borrado de los datos personales, o limitación de tratamiento de datos personales relativos a la persona en cuestión, o el derecho de objetar tratamiento;
f) el derecho a presentar una denuncia ante una autoridad de supervisión;
g) en la que los datos personales no se recogen de la persona interesada, cualquier información disponible en cuanto a su fuente;
h) la existencia de una toma de decisiones automatizado, incluyendo un perfil, se hace referencia en el artículo 22, párrafos 1 y 4, y, al menos en tales casos, la información útil con respecto a la lógica subyacente y la importancia y las consecuencias esperadas de este tratamiento para la persona en cuestión.
Cuando los datos personales se transfieren a un tercer país o una organización internacional, la persona tiene derecho a ser informado de las garantías adecuadas, en virtud del artículo 46 en relación con la transferencia.
El controlador proporciona una copia de los datos de carácter personal objeto de tratamiento. El controlador puede requerir el pago de honorarios razonables sobre la base de los costes administrativos para las copias adicionales solicitadas por el interesado. Cuando la persona presenta una solicitud por vía electrónica, la información que se proporciona en un formato electrónico de uso común, a menos que el interesado presente una solicitud de otra manera.
El derecho a obtener una copia que se refiere el apartado 3 no afectará a los derechos y libertades de los demás.
la sección 3
icación Rectif y borrado
artículo 16
Derecho de rectificación
El interesado tiene derecho a obtener del responsable del tratamiento, sin demora, la rectificación de los datos personales que sean inexactos. Teniendo en cuenta los fines del tratamiento, el interesado tiene derecho a que los datos personales incompletos se completan, incluyendo la provisión de una declaración adicional.
artículo 17
Derecho a borrar ( "derecho al olvido")
1. El interesado tiene derecho a obtener del responsable del tratamiento suprima sin demora, de los datos personales que le conciernen y el controlador está obligado a eliminar los citados datos de pronto, cuando uno de los motivos siguientes casos:
a) datos personales ya no son necesarios para la finalidad para la que fueron recogidos o procesados de otra manera;
b) los datos de objeto se retira consentimiento en que se basa el tratamiento, de conformidad con el artículo 6, párrafo 1 a) o en el artículo 9, párrafo 2 a), y no existe otra base legal para el tratamiento;
c) el sujeto objetos de datos para el tratamiento en virtud del artículo 21, párrafo 1, y no hay ninguna razón de peso legítimo para el tratamiento, o el sujeto objetos de datos para el tratamiento en virtud del artículo 21, párrafo 2;
d) los datos personales han sido tratados ilegalmente;
e) Los datos personales deben ser eliminados para cumplir con una obligación legal, que es proporcionada por Derecho de la Unión o la legislación del Estado miembro al que esté sujeto el responsable;
f) se recogieron datos de carácter personal como parte de la oferta de servicios de sociedad de la información mencionada en el artículo 8, apartado 1.
Cuando se liberan los datos personales, es necesario para borrar el párrafo 1, el controlador, dada la tecnología disponible y el costo de implementación, tomará las medidas razonables, incluyendo controladores técnicos, informando que procesan los datos personales que los datos solicitados por el borrado de los responsables del procesamiento de estos vínculos a dichos datos personales, o cualquier copia o reproducción estas.
Los apartados 1 y 2 no se aplican en la medida en que esto es necesario:
a) el ejercicio del derecho a la libertad de expresión y de información;
b) para cumplir con una obligación legal que requiere tratamiento bajo la ley de la Unión o por la ley del Estado miembro al que esté sujeto el responsable, o para llevar a cabo una misión de interés público o en el ejercicio del poder público conferido al responsable del tratamiento;
c) por razones de interés público en el campo de la salud pública, de acuerdo con el artículo 9, párrafo 2 h) y i), y en el artículo 9, párrafo 3;
d) para fines de archivo en el interés público, con el fin de con fines de investigación o estadísticos científicos o históricos, de conformidad con el artículo 89, párrafo 1, en la medida en que el derecho se refiere el apartado 1 es probable que sea imposible o poner en grave peligro los objetivos del tratamiento; o
e) para el reconocimiento, ejercicio o defensa de los derechos legales.
artículo 18
Derecho a la limitación del procesamiento
1. El interesado tiene derecho a obtener de la transformación de limitación del regulador cuando uno de los siguientes casos:
a) la exactitud de los datos personales es impugnada por el interesado, por un plazo que permita al controlador para verificar la exactitud de los datos a carácter personal;
b) el tratamiento es ilegal y sujeto de los datos oponga a su supresión y demandas en lugar limitar su uso;
c) el controlador ya no necesita los datos personales para el procesamiento pero todavía son necesarios para la persona para el reconocimiento, ejercicio o defensa de los derechos legales;
d) la persona objeciones al tratamiento en virtud del artículo 21, párrafo 1, durante la auditoría de la cuestión de si los motivos legítimos perseguidos por el controlador prevalecen sobre los del individuo en cuestión.
Cuando el tratamiento se limitó en el párrafo 1, estos datos personales no pueden, a excepción de la conservación, ser tratados con el consentimiento de la persona interesada, o para el reconocimiento, ejercicio o derecho de defensa legal o para proteger los derechos de otra persona o entidad, o por razones importantes de interés público de la Unión o de un Estado miembro.
Una persona de que se trate que obtuvo la limitación de tratamiento bajo el párrafo 1 será informado por el controlador antes de que se levante la limitación de tratamiento.
artículo 19
requisito de notificación con respecto a la rectificación o cancelación de los datos personales o la restricción de procesamiento
Los notifica controlador cada destinatario a quienes los datos personales han dado a conocer de cualquier rectificación o el borrado de los datos personales o limitaciones del proceso realizado de acuerdo con el artículo 16, el artículo 17, párrafo 1, y en el artículo 18, si no resulta imposible o requiera un esfuerzo desproporcionado. El controlador proporciona la información de datos sujeto sobre estos receptores si así lo solicita.
artículo 20
Derecho a la portabilidad de los datos
1. Las personas afectadas tienen derecho a recibir el personal en que los datos fueron proporcionados al controlador, en un formato estructurado, comúnmente utilizado legible por máquina, y tienen el derecho de transmitir los datos a una otro controlador sin el controlador al que se comunica los datos por personal son un obstáculo cuando:
a) el tratamiento se basa en el consentimiento en virtud del artículo 6, párrafo 1 a) o en el artículo 9, párrafo 2 a), o en un contrato de conformidad con el artículo 6 párrafo 1 b); y
b) el tratamiento se realiza utilizando procesos automatizados.
Cuando el interesado ejerza su derecho a la portabilidad de los datos de la aplicación del apartado 1, que tiene el derecho a obtener los datos personales se transmiten directamente desde un controlador a otro, siempre que sea técnicamente posible.
El ejercicio del derecho mencionado en el apartado 1 de este artículo se entenderá sin perjuicio del artículo 17. Esta ley no se aplica a la necesaria para el procesamiento de ejecución de una misión de interés público o de 'ejercicio del poder público conferido al controlador.
El derecho a que se refiere el apartado 1 no afectará a los derechos y libertades de los demás.
la sección 4
Derecho de oposición y automatizado de toma de decisiones individuales
artículo 21
Derecho de oposición
El interesado tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular para el tratamiento de datos personales relativos a basada en el artículo 6, apartado 1, letra e) of) incluyendo perfiles en base a estas disposiciones. El controlador ya no procesa los datos personales, a menos que demuestre que existen razones legítimas e imperativas para el tratamiento que prevalecen sobre los intereses y los derechos y libertades de la persona afectada o para el reconocimiento, ejercicio o defensa de los derechos legales.
Cuando los datos personales sean tratados con fines de comercialización, el interesado tiene derecho a oponerse en cualquier momento al tratamiento de datos personales relativos a tales fines de prospección, incluyendo perfiles de la medida donde está vinculada a dicha exploración.
Cuando el afectado se opone al tratamiento para la comercialización de los propósitos, los datos personales no se procesa para esos fines.
A más tardar en el momento de la primera comunicación con la persona, el derecho se hace referencia en los párrafos 1 y 2 se pone de manera explícita a la atención de la persona interesada y se presenta de manera clara y separada de otra información.
En el marco de la utilización de servicios de la sociedad de la información, y sin perjuicio de la Directiva 2002/58 / CE, la persona interesada puede ejercer su derecho a oponerse al uso de procesos automatizados utilizando especificaciones técnicas.
Cuando los datos personales sean tratados con fines de investigación o estadísticos científicos o históricos, de conformidad con el artículo 89, apartado 1, el interesado tiene derecho a oponerse, por razones de su situación en particular, el tratamiento de datos personales que lo preocupante, a menos que sea necesario para el cumplimiento de una misión de interés público el tratamiento.
artículo 22
automatizado decisión individual, incluyendo perfiles
El interesado tiene el derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, incluyendo perfiles, que produce efectos jurídicos con respecto a él o significativamente afecta de manera similar.
El apartado 1 no se aplicará cuando la decisión:
a) es necesaria para la celebración o ejecución de un contrato entre el titular de los datos y el controlador;
b) esté autorizada por la legislación de la Unión o la ley del Estado miembro a la que esté sujeto y que también prevé medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del titular de los datos; o
c) basado en el consentimiento explícito de la persona interesada.
En los casos mencionados en el párrafo 2 a) yc), el controlador aplicará las medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos de la persona de que se trate, al menos el derecho del interesado obtener la intervención humana en la parte del controlador, para expresar sus puntos de vista y para impugnar la decisión.
Las decisiones que se refiere el apartado 2 pueden basarse en categorías específicas de los datos personales a que se refiere el artículo 9, párrafo 1, a menos que el artículo 9, párrafo 2 a) og), hace s' y que aplica medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos de la persona en cuestión están en su lugar.
la sección 5
limitaciones
artículo 23
limitaciones
1. Derecho de la Unión o la legislación del Estado miembro en el que el controlador o subcontratista está sujeta lata, a través de medidas legislativas, lo que limita el alcance de las obligaciones y los derechos previstos en los artículos 12 a 22 y el artículo 34, y el artículo 5 en la medida en que las disposiciones de la ley en cuestión corresponden a los derechos y obligaciones previstos en los artículos 12 a 22 cuando tal limitación aspectos, la esencia de las libertades y los derechos fundamentales y constituye una condición necesaria y proporcionada en una sociedad democrática para: a) la seguridad nacional;
b) la defensa nacional;
c) la seguridad pública;
d) la prevención y detección de delitos y la investigación y el procesamiento de la materia o la ejecución de sanciones penales, incluida la protección contra las amenazas a la seguridad pública y la prevención de este tipo de amenazas;
e) otros objetivos importantes de la Unión de interés público general o de un Estado miembro, en particular, un importante interés económico o financiero de la Unión o de un Estado miembro, incluidos monetaria, presupuestaria y impuestos, la salud pública y la seguridad social;
f) la protección de la independencia del poder judicial y de los procesos judiciales;
g) la prevención y la detección de las infracciones de profesiones ética regulados, así como la investigación y el procesamiento en el sujeto;
h) una misión vinculada control de inspección o regulación, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) yg);
i) la protección del interesado o de los derechos y libertades de los demás;
j) la ejecución de solicitudes de derecho civil.
2. En particular, cualquier medida legislativa mencionada en el párrafo 1 contiene disposiciones específicas, al menos, en su caso:
a) los fines del tratamiento o el tratamiento de categorías;
b) las categorías de datos personales;
c) el alcance de las limitaciones introducidas;
d) salvaguardias para prevenir el abuso o el acceso o la transferencia ilegal;
e) la determinación de los datos o categorías de tratamiento de datos;
f) los períodos de retención y garantías aplicables, teniendo en cuenta la naturaleza, alcance y propósito de las categorías de procesamiento o de tratamiento;
g) el riesgo para los derechos y libertades de los interesados; y
h) el derecho de las personas afectadas a ser informado de la restricción, a menos que interferiría con el propósito de limitación.
CAPÍTULO IV
El controlador y subcontratista
la sección 1
obligaciones generales
artículo 24
La responsabilidad del controlador
Dada la naturaleza, el alcance, el contexto y fines del tratamiento y el riesgo, incluyendo los varía probabilidad y la gravedad, por los derechos y las libertades de las personas físicas, el controlador aplicará medidas apropiarse técnica y organizativa para garantizar y ser capaz de demostrar que el tratamiento se realiza de acuerdo con el presente Reglamento. Estas medidas son revisados y actualizados según sea necesario.
Cuando proporcionada en relación con las actividades de procesamiento, las medidas que se refiere el párrafo 1 incluyen la aplicación de políticas adecuadas para la protección de datos por parte del controlador.
La aplicación de un código de conducta aprobados según se dispone en el artículo 40 o aprobado planes de certificación conforme a lo dispuesto en el artículo 42 puede servir como elemento para demostrar el cumplimiento de las obligaciones del controlador.
artículo 25
protección de datos al diseño y la protección de datos de forma predeterminada
Dado el estado de los conocimientos, el coste de la aplicación y la naturaleza, alcance, el contexto y fines del tratamiento y el riesgo, incluyendo los varía probabilidad y la gravedad, ya que este tratamiento por los derechos y las libertades de las personas físicas, los implementos controlador tanto en el momento de la determinación de los medios de tratamiento en el momento del tratamiento en sí, las medidas técnicas y apropiado de organización, tales como seudónimos, que tienen la intención de aplicar los principios de protección de datos, tales como la minimización de los datos, de manera eficaz y para que coincida con el tratamiento de las garantías necesarias para cumplir con los requisitos del presente Reglamento y para proteger los derechos de la persona .
Los implementos controlador adecuado medidas técnicas y organizativas necesarias para garantizar que, por defecto, sólo los datos personales que sean necesarios en cada objetivo específico del procesamiento son procesados. Esto se aplica a la cantidad de datos personales recogidos, en la medida de su procesamiento, almacenamiento y accesibilidad de la vida. En particular, estas medidas garantizan que, por defecto, los datos personales no se hacen accesibles a un número indefinido de individuos sin la intervención de la persona en cuestión.
Un esquema de certificación aprobados bajo la sección 42 puede servir como un elemento para demostrar el cumplimiento con los requisitos de los párrafos 1 y 2 del presente artículo.
artículo 26
controladores de conjuntos
Cuando dos o más controladores determinan conjuntamente los fines y los medios de procesamiento, son tratamiento conjunto responsable. Funcionarios tramitación conjunta definen de forma transparente sus respectivas responsabilidades con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento, en particular en lo que respecta a los derechos del individuo, y sus respectivas obligaciones en relación con la comunicación de información en virtud de los artículos 13 y 14, por acuerdo entre ellos, a menos que y en la medida en que sus funciones están definidas por la ley de la Unión o la legislación del Estado miembro en el que los controladores se someten. Un punto de contacto para las personas afectadas puede ser designado en el acuerdo.
El acuerdo mencionado en el párrafo 1 refleja adecuadamente las funciones de las direcciones tratamiento conjunto y sus relaciones vis-à-vis las personas afectadas. El esquema del acuerdo están disponibles para la persona en cuestión.
Independientemente de los términos del acuerdo mencionado en el apartado 1, el interesado podrá ejercer los derechos previstos en el presente Reglamento en relación con y en contra de cada uno de los controladores.
artículo 27
Los representantes de los controladores o subcontratistas que no están establecidos en la Unión
Cuando el artículo 3, párrafo 2, se aplica, el controlador o el procesador designarán por escrito a un representante en la Unión.
La obligación establecida en el párrafo 1 del presente artículo no se aplicará a:
a) un tratamiento que es casual, que no implica un gran escala de procesamiento de categorías especiales de datos se refiere el artículo 9, apartado 1, o un tratamiento de datos personales relativos a condenas penales y al delitos mencionados en el artículo 10, y que no es probable que cause un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y finalidad del tratamiento; o
b) una autoridad pública o un organismo público;
El representante está establecido en un Estado miembro en el que hay personas cuyos datos personales están sujetos a un tratamiento relacionado con el suministro de bienes o servicios, o cuya conducta es objeto de 'monitoreo.
El representante es designado por el controlador o el procesador para ser la persona a la que, en particular, las autoridades de supervisión y de las personas en cuestión debe abordarse, además de o en lugar del controlador o la sub- atender todos los asuntos relacionados con el tratamiento, con el fin de garantizar el cumplimiento de este reglamento.
La designación de un representante por el controlador o sub-contratista es sin perjuicio de las acciones que pudieran emprenderse contra el controlador o el propio procesador.
artículo 28
subcontratista
Cuando el tratamiento debe hacerse en nombre del controlador, que utiliza sólo los subcontratistas que tienen garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas para que tratamiento cumple con los requisitos del presente Reglamento y garantizar la protección de los derechos de la persona en cuestión.
El subcontratista no recluta otro subcontratista sin el consentimiento previo, escrito específico o general, del controlador. En el caso de un consentimiento general escrito, notificar al subcontratista responsable de procesar cualquier cambio previsto en relación con la adición o sustitución de otros subcontratistas, dando al controlador de la oportunidad de objetos en contra de estos cambios.
El tratamiento con un subcontratista se rige por un contrato u otro acto jurídico en virtud del derecho de la Unión o la legislación de un Estado miembro, que se une al contratista en relación con los define controlador el propósito y la duración del tratamiento, la naturaleza y la finalidad del tratamiento, el tipo de datos de personal y las categorías de personas afectadas y las obligaciones y derechos del controlador. Este contrato u otro acto jurídico prevé, entre otras cosas, que el subcontratista:
a) sólo procesa los datos personales en la instrucción documentada desde el controlador, incluso con respecto a las transferencias de datos personales a un tercer país o una organización internacional, a menos que se requiere 'y proceder conforme a la ley del Estado miembro o del derecho de la Unión, que el subcontratista está sujeto; en este caso, informó el subcontratista responsable de procesar este requisito legal antes del tratamiento, a menos que la ley en cuestión prohíbe dicha información por razones importantes de interés público;
b) garantizar que las personas autorizadas para tratar los datos personales se comprometen a respetar la confidencialidad o estar sujetos a las obligaciones legales de confidencialidad;
c) tomar todas las medidas requeridas en virtud del artículo 32;
d) cumple las condiciones mencionadas en los apartados 2 y 4 para contratar otro subcontratista;
e) tener en cuenta la naturaleza del tratamiento, usando el controlador, a través de medidas técnicas y de organización, en la medida en que sea posible, para cumplir con su obligación de cumplir con las solicitudes que incluyen los implicados en la captura para ejercer sus derechos previstos en el capítulo III;
f) utilizando el controlador para asegurar el cumplimiento con las obligaciones de los artículos 32 a 36, dada la naturaleza del tratamiento y la información disponible para el contratista;
g) de acuerdo con la elección del controlador, borrar todos los datos personales, o se refiere a los datos después de la prestación de servicios relacionados con el tratamiento, y destruir las copias existentes, a menos que la ley de la Unión o el derecho del Estado miembro no requiere la conservación de datos de carácter personal;
y
h) proporciona al controlador con toda la información necesaria para demostrar el cumplimiento de las obligaciones en esta sección y para permitir que las auditorías, incluyendo inspecciones por el controlador o que otro auditor mandato, y ayudar a estas auditorías.
Con respecto al punto h) del primer párrafo, el contratista deberá informar al controlador de inmediato si cree que una instrucción constituye una violación de este Reglamento u otras disposiciones del Derecho de la Unión o de la ley de Estados miembros en materia de protección de datos.
Cuando un subcontratista contrata a otro subcontratista para llevar a cabo actividades de procesamiento específica en nombre del controlador, las mismas obligaciones en materia de protección de datos como las establecidas en el contrato u otro acto jurídico entre la cabeza tratamiento y el contratista de conformidad con el párrafo 3, se colocan en el otro subcontratista por contrato o por otro acto jurídico en virtud del derecho de la Unión o la legislación de un Estado miembro, en particular, con respecto a las garantías suficientes para la aplicación de medidas técnicas y organizativas adecuadas para que el tratamiento cumple con los requisitos del presente Reglamento. Cuando ese otro contratista no cumple con sus obligaciones de protección de datos,
La aplicación por un subcontratista, un código de conducta aprobado como previsto en el artículo 40 o un mecanismo de certificación aprobados según se dispone en el artículo 42 puede servir como un elemento para demostrar la existencia de garantías adecuadas de acuerdo con los párrafos 1 y 4 del presente artículo.
Sin perjuicio de un contrato específico entre el controlador y el contratista, el contrato u otro acto jurídico se refieren los apartados 3 y 4 del presente artículo puede basarse, en su totalidad o en parte, de las cláusulas contractuales se hace referencia en los párrafos 7 y 8 del presente artículo, incluso cuando parte de una certificación emitida al controlador o el subcontratista virtud de los artículos 42 y 43.
La Comisión podrá establecer cláusulas contractuales de los temas mencionados en los apartados 3 y 4 del presente artículo y de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2.
Una autoridad de supervisión podrá adoptar cláusulas contractuales para las cuestiones mencionadas en los apartados 3 y 4 del presente artículo y de conformidad con el mecanismo de coherencia se refiere el artículo 63.
El contrato u otro acto jurídico se refieren los apartados 3 y 4 es en forma escrita, incluso en formato electrónico.
Sin perjuicio de los artículos 82, 83 y 84, en caso de violación de esta regla, un contratista determina los fines y los medios del tratamiento, se considera como un controlador como tratamiento respecto.
artículo 29
Tratamiento realiza bajo la autoridad del controlador o el subcontratista
El contratista y cualquier persona que actúe bajo la autoridad del responsable o en la del subcontratista que tiene acceso a los datos personales, no puede procesar estos datos, excepto por instrucciones del tratamiento, a excepción de lo requerido por la legislación de la Unión o la legislación de un Estado miembro.
artículo 30
Registro de los tratamientos
1. Cada controlador y, en su caso, el representante del controlador, mantener registros de las actividades de procesamiento lleva a cabo bajo su responsabilidad. Este registro contiene la siguiente información:
a) el nombre y los datos de contacto del controlador y, en su caso, el tratamiento conjunto cabeza, representativa de los datos y protección de datos delegado; b) los fines del tratamiento;
c) una descripción de las categorías de personas afectadas y las categorías de datos personales;
d) las categorías de destinatarios a los que han sido o serán proporcionado datos personales, incluyendo los destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluyendo la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias a que se refiere el artículo 49 apartado 1, párrafo segundo, los documentos que prueben la existencia de garantías adecuadas;
f) la medida de lo posible, el marco de tiempo para el borrado de las diferentes categorías de datos;
g) en la medida que sea posible, una descripción general de las medidas de seguridad técnicas y organizativas que se refiere el artículo 32, apartado 1.
2. Cada contratista y, en su caso, el representante de la sub-contratista deberá mantener un registro de todas las categorías de las operaciones de procesamiento llevado a cabo en nombre del controlador, incluyendo:
a) el nombre y datos de contacto de los subcontratistas y cada controlador en cuyo nombre el sub-contratista es y, si es aplicable, los nombres e información de contacto del representante del controlador o la sub- el procesamiento y los de la protección de datos delegado;
b) procesar categorías realizadas en nombre de cada controlador;
c) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluyendo la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias a que se refiere el artículo 49 apartado 1, párrafo segundo, los documentos que prueben la existencia de garantías adecuadas;
d) en la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizativas que se refiere el artículo 32, apartado 1.
Los registros mencionados en los apartados 1 y 2 se presentan en forma escrita, incluida la electrónica.
El controlador o el procesador y, en su caso, sus representantes puso el registro a disposición de la autoridad de supervisión a petición.
Las obligaciones establecidas en los párrafos 1 y 2 no se aplican a una empresa u organización a un lugar menos de 250 empleados, a menos que el tratamiento que realizan es probable que representan un riesgo para los derechos y libertades de los interesados, si no es casual o si se incluirá información sobre las categorías especiales de datos se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas penales y delitos mencionados en artículo 10.
artículo 31
Cooperación con las autoridades de supervisión
El controlador y el procesador y, en su caso, sus representantes cooperan con la autoridad de supervisión, a petición de este último en el ejercicio de sus funciones.
la sección 2
La seguridad de los datos personales à.caractère
artículo 32
Seguridad del tratamiento
1. Teniendo en cuenta el estado de los conocimientos, coste de implementación y la naturaleza, alcance, contexto y finalidad del tratamiento y el riesgo, incluyendo la probabilidad y severidad varían, por los derechos y las libertades de las personas físicas, el controlador y el subcontratista deberá aplicar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo entre otros, según sea necesario:
a) seudonimización y el cifrado de los datos personales;
b) medios para asegurar la confidencialidad, integridad, disponibilidad y capacidad de recuperación constante de los sistemas y servicios de procesamiento;
c) un medio para restaurar la disponibilidad de los datos personales y el acceso a ellos de una manera oportuna en caso de fallo técnico o físico;
d) un procedimiento de prueba, analizar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas necesarias para garantizar la seguridad del tratamiento.
Al evaluar el nivel de seguridad apropiado, es particularmente dado los riesgos del tratamiento, lo que resulta en particular de la destrucción, pérdida, alteración, la divulgación no autorizada de los datos personales transmitidos y almacenada o procesada de otra manera, o el acceso no autorizado a dichos datos, accidental o ilícito.
La aplicación de un código de conducta aprobados según se dispone en el artículo 40 o un mecanismo de certificación aprobados según se dispone en el artículo 42 puede servir como elemento para demostrar el cumplimiento de los requisitos establecidos en el párrafo 1 del presente artículo .
El controlador y el procesador están tomando medidas para garantizar que ninguna persona que actúe bajo la autoridad del responsable o en la del subcontratista que tiene acceso a los datos personales, no tratan salvo por instrucción del controlador, a menos que esté obligado por la ley de la UE o la legislación de un Estado miembro.
artículo 33
Notificación a la autoridad de control de una violación de datos personales
En caso de violación de los datos personales, el responsable del tratamiento deberá notificar la violación en cuestión a la autoridad de supervisión competente de conformidad con el artículo 55, tan pronto como sea posible y, si es posible, las 72 horas a más tardar después de después de haber leído, a menos que la violación en cuestión no es probable que cause un riesgo para los derechos y libertades de las personas. Al notificar a la autoridad de control no tiene lugar dentro de las 72 horas, se acompaña de motivos de la demora.
El contratista notificará al controlador de cualquier violación de los datos personales tan pronto como sea posible después de darse cuenta.
En la notificación mencionada en el apartado 1, como mínimo:
a) describir la naturaleza de los datos de carácter personal incluyendo violación, si es posible, las categorías y el número aproximado de personas afectadas por la violación y las categorías y el número aproximado de registros de datos con carácter personal de que se trate;
b) comunicar el nombre y las coordenadas del delegado a la protección de datos o de otro punto de contacto de la que se puede obtener información adicional;
c) describir las posibles consecuencias de la violación de los datos personales;
d) describen las medidas tomadas o el responsable del tratamiento tiene la intención de tomar para remediar la violación de los datos personales, incluyendo, en su caso, las medidas para mitigar las posibles consecuencias negativas.
Si y en la medida en que no es posible proporcionar toda la información junta, la información puede ser comunicada a plazos sin más demora indebida.
El documento controlador de cualquier violación de los datos personales, indicando los hechos de la violación de los datos personales, sus efectos y las medidas adoptadas para hacer frente a ellos. La documentación así constituido permite a la autoridad de supervisión para verificar el cumplimiento de esta sección.
artículo 34
La comunicación a la persona de que se trate de una violación de datos personales
Cuando es probable que genere un alto riesgo para los derechos y libertades de un individuo una violación de los datos personales, el administrador se comunica tratamiento violación de los datos personales de la persona afectada sin demora.
La comunicación a la persona mencionada en el apartado 1 de este artículo describe en términos claros y simples de la naturaleza de la violación de los datos personales y que contenga al menos la información y las medidas que se refiere el artículo 33, párrafo 3, b), c) y d).
La comunicación a la persona que se refiere el no se requiere el párrafo 1 si se cumple cualquiera de las condiciones siguientes:
a) el controlador ha implementado medidas apropiadas de protección técnica y organizativa y estas medidas se han aplicado a los datos personales perjudicada por la violación, en particular las medidas que hacen que los datos personales en incomprensibles para toda persona que no está autorizado para acceder a ella, como el cifrado;
b) el controlador de datos ha tomado medidas adicionales para garantizar que el riesgo para los derechos y las libertades de datos mencionados en es más probable que se materialice el apartado 1;
c) que requeriría un esfuerzo desproporcionado. En este caso, es más bien hizo una comunicación pública o una medida similar para los interesados a ser informados con la mayor eficacia.
4. Si el controlador no ha comunicado ya a la persona interesada la violación de los datos personales que le conciernen, la autoridad supervisora puede, después de considerar si la violación de los datos personales es probable que genere alto riesgo, requiere que el controlador de datos que realiza esta comunicación o decidir que cualquiera de las condiciones mencionadas en el párrafo 3 se cumple.
la sección 3
el análisis del impacto sobre la protección dada y la consulta previa
artículo 35
Análisis de impacto en materia de protección de datos
Cuando un tipo de tratamiento, en particular el uso de las nuevas tecnologías, y teniendo en cuenta la naturaleza, alcance, el contexto y finalidad del tratamiento, es probable que genere un alto riesgo para los derechos y las libertades de individuos, los realiza el controlador, antes del tratamiento, un análisis del impacto de las operaciones de tratamiento previstas sobre la protección de datos personales. Un único análisis puede incluir un conjunto de operaciones de tratamiento similares que presente alta riesgos similares.
Al llevar a cabo una evaluación de impacto para la protección de los datos, la tarjeta controladora pide al delegado de protección de datos, si es que un representante haya sido designado.
La evaluación de impacto de la protección de datos se refiere el apartado 1 serán en particular requerido en los siguientes casos:
a) la evaluación sistemática y amplia de los aspectos personales de los individuos, que se basa en un tratamiento automatizado, incluyendo perfiles, y sobre la base de los cuales se toman las decisiones que produce efectos jurídicos en relación con un individuo o significativamente afecta de manera similar;
b) tratamiento de categorías especiales a gran escala de los datos mencionados en el artículo 9, párrafo 1, o los datos personales relativos a condenas penales y delitos mencionados en el artículo 10; o
c) a gran escala sistemática vigilancia de un área pública.
La autoridad de control establecido y publica una lista de los tipos de operaciones de procesamiento para los que se requiere una evaluación de impacto en materia de protección de datos de conformidad con el párrafo 1. La autoridad deberá controlar estas listas a la Comisión se refirió a la sección 68.
La autoridad de control también podrá establecer y publicar una lista de los tipos de operaciones de proceso para el cual se requiere ninguna evaluación de impacto en materia de protección de datos. El supervisor deberá enviarlo al comité.
Antes de la adopción de las listas mencionadas en los párrafos 4 y 5, se aplican autoridad supervisora competente del mecanismo de coherencia se refiere el artículo 63, cuando estas listas incluyen el procesamiento de actividades relacionadas con el suministro de bienes o servicios a las personas interesadas o el seguimiento de su comportamiento en varios Estados miembros, o pueden afectar significativamente a la libre circulación de datos personales en la UE.
El análisis contiene al menos:
a) una descripción sistemática de la previsto operaciones y fines del tratamiento de procesamiento, incluyendo, en su caso, los intereses legítimos perseguidos por el controlador;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de procesamiento a los fines;
c) una evaluación de riesgos para los derechos y libertades de los interesados, de conformidad con el apartado 1; y
d) las medidas previstas para abordar los riesgos, incluidas las garantías, medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento del presente Reglamento, teniendo en cuenta los derechos e intereses legítimos las personas interesadas y otras personas afectadas.
Cumplimiento del tratamiento de datos o subcontratistas afectados, aprobados por los códigos de conducta contemplados en el artículo 40 se tiene debidamente en cuenta al evaluar el impacto de las operaciones de procesamiento realizadas por los responsables del tratamiento o subcontratistas, en particular, a los efectos de la evaluación del impacto en materia de protección de datos.
Si es necesario, el controlador deberá solicitar la opinión de los interesados o sus representantes sobre el tratamiento planificado, sin perjuicio de la protección de los intereses o la seguridad de las operaciones de procesamiento general o comerciales.
Cuando el tratamiento llevado a cabo de conformidad con el artículo 6, apartado 1, letra c) oe), tiene una base legal en la legislación de la UE o la ley del Estado miembro al que esté sujeto el responsable, que regula la operación de procesamiento específica derecha o la totalidad de las operaciones de tratamiento en cuestión y que un análisis de impacto en la protección de datos ya se ha realizado como parte de un análisis de impacto general llevada a cabo en relación con la adopción de la base jurídica de que se trate, los incisos 1 a 7 no se aplican, a menos que el Estado miembro considere necesaria la realización de un análisis de este tipo antes de procesar las actividades .
Si es necesario, el controlador lleva a cabo un examen para evaluar si el tratamiento se realiza de acuerdo con la evaluación de impacto para la protección de datos, al menos cuando hay un cambio del riesgo de las operaciones tratamiento.
artículo 36
consulta previa
Las consultas de controlador de antemano supervisor cuando la evaluación de los efectos del tratamiento para la protección de los datos lleva a cabo en virtud del artículo 35 muestra que el tratamiento podría presentar un alto riesgo si el controlador no toma medidas para mitigar el riesgo.
Cuando el supervisor cree que el tratamiento propuesto se hace referencia en el párrafo 1 sería una violación de este Reglamento, especialmente cuando el controlador no ha identificado suficientemente o riesgo mitigado, el supervisor ofrece por escrito, en un plazo máximo de ocho semanas a partir de la recepción de la solicitud de consulta, un aviso por escrito al responsable del tratamiento y, si es necesario, al subcontratista, y puede hacer uso de las facultades que se refiere el artículo 58. Este plazo podrá ampliarse por seis semanas, dependiendo de la complejidad del tratamiento propuesto. El supervisor informa al controlador y, si es necesario, el contratista de la extensión del tiempo y las razones de la demora en un período de un mes desde la recepción de la solicitud de consulta. Estos periodos pueden ser suspendidos hasta que el supervisor ha obtenido la información requerida para los fines de consulta.
Cuando el controlador consulta la autoridad de control de aplicación del apartado 1, se comunica:
a) en su caso, las responsabilidades del controlador, los gestores de conjuntos y subcontratistas que participan en el procesamiento, especialmente para el tratamiento dentro de un grupo de empresas; b) los efectos y formas de tratamiento previstas;
c) las medidas y las medidas de seguridad para proteger los derechos y libertades de los interesados en virtud del presente Reglamento;
d) en su caso, el delegado de protección de datos de coordenadas;
e) Análisis de impacto en la protección de datos de conformidad con el artículo 35; y
f) cualquier otra información que la autoridad de control de aplicaciones.
Los Estados miembros consultarán a la autoridad de supervisión como parte del desarrollo de una propuesta de legislación que se adopte por un parlamento nacional, o por acción reguladora sobre la base de dicha legislación, que se refiere al tratamiento.
No obstante el párrafo 1, el derecho de los Estados miembros podrán exigir que los responsables del tratamiento consulte a la autoridad supervisora y obtener una autorización previa en relación con el procesamiento llevado a cabo por un controlador como parte de una misión de interés pública ejercida por ella, incluido el tratamiento como parte de la protección social y la salud pública.
la sección 4
Delegado para la Protección de Datos
artículo 37
Delegado de Protección de Datos Designación
1. El controlador y el subcontratista deberá en cualquier caso, un delegado de protección de datos cuando:
a) el tratamiento sea realizado por una autoridad pública o un organismo público, con excepción de los tribunales que actúan en su capacidad judicial;
b) las actividades básicas del controlador o el asistir-sous consistir en operaciones de transformación que, debido a su naturaleza, su alcance y / o sus efectos, deben controlarse regular y sistemática de personas a gran escala que se trate; o
c) las actividades básicas del controlador o el subcontratista consisten en un procesamiento a gran escala de categorías especiales de datos mencionados en el artículo 9 y los datos personales relativos a condenas penales y las infracciones mencionadas artículo 10.
Un grupo de empresas puede designar a un delegado de protección de datos siempre que un delegado de protección de datos es fácilmente accesible desde cada lugar de trabajo.
Cuando el controlador o el asistir, como es una autoridad pública o un organismo público, un solo delegado de protección de datos puede ser designado a varias autoridades u organismos de este tipo, dada su estructura y tamaño de la organización.
En casos distintos de los mencionados en el apartado 1, el controlador o el procesador o asociaciones y otros órganos que representen categorías de controladores o subcontratistas pueden designar o, si la ley de la Unión o el derecho de un miembro del estado requiere, deberán designar un delegado para la protección de datos. El delegado de protección de datos puede actuar para estas asociaciones y otros órganos que representan los controladores de datos o subcontratistas.
El delegado para la protección de datos es designado sobre la base de las cualidades profesionales y, en particular, su conocimiento especializado de la ley y la práctica en la protección de datos y la capacidad de realizar las tareas que se refiere el artículo 39.
El delegado de protección de datos puede ser un miembro del personal del controlador o el subcontratista o llevar a cabo sus funciones sobre la base de un contrato de servicios.
El controlador o el procesador publican detalles de delegado de protección de datos e informar a la autoridad de control.
artículo 38
Función Ejecutiva en la protección de datos
El controlador y el procesador se asegurarán de que el delegado de protección de datos se asocia, en una forma apropiada y oportuna a todas las cuestiones relativas a la protección de datos personales.
El controlador y el procesador ayuda a que el delegado de protección de datos para llevar a cabo las tareas que se refiere el artículo 39, proporcionando los recursos necesarios para llevar a cabo estas tareas, así como el acceso a los datos y las operaciones personales procesamiento, y que le permite mantener su experiencia.
El controlador y el procesador se asegurarán de que el delegado de protección de datos no recibe instrucciones con respecto a las misiones. El delegado de protección de datos no puede ser removido de su cargo o penalizado por el controlador o el subcontratista para el ejercicio de sus funciones. El Jefe de Protección de Datos depende directamente del más alto nivel de gestión del controlador o el subcontratista.
Los individuos pueden ponerse en contacto con el delegado de protección de datos en todo lo referente al tratamiento de sus datos personales y el ejercicio de sus derechos en virtud del presente Reglamento.
El delegado de protección de datos amparados por el secreto profesional o un deber de confidencialidad en relación con el cumplimiento de sus tareas de conformidad con el Derecho de la Unión o la ley de los Estados miembros.
El Jefe de Protección de Datos puede realizar otras misiones y tareas. El controlador o el procesador se asegurarán de que estas misiones y tareas implican ningún conflicto de intereses.
artículo 39
Delegar tareas a la protección de datos
Las asignaciones de delegado para la protección de datos son al menos lo siguiente:
a) informar y asesorar al controlador o el subcontratista y los empleados que procesan en sus obligaciones de conformidad con el presente Reglamento y demás disposiciones del Derecho de la Unión o la ley de los Estados miembros para la protección de datos;
b) vigilar el cumplimiento del presente Reglamento, otras disposiciones del Derecho de la Unión o la legislación del Estado miembro en materia de protección de datos y las normas internas del controlador o el asistir en la protección de datos datos personales, incluyendo lo que se refiere a la división de la responsabilidad, la conciencia y la formación del personal que participa en las operaciones de procesamiento, y auditorías relativos a ellos;
c) proporcionar asesoramiento, previa solicitud, en cuanto a la evaluación del impacto sobre la protección de datos y verificar la ejecución de la misma en virtud del artículo 35;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto para la autoridad de supervisión en temas relacionados con el tratamiento, incluyendo la consulta previa que se refiere el artículo 36, y consultará, según proceda, sobre cualquier otro tema.
2. El Jefe de Protección de Datos tiene debidamente en cuenta, en el cumplimiento de sus funciones, el riesgo asociado con las operaciones de procesamiento en vista de la naturaleza, el alcance, el contexto y los objetivos del tratamiento.
la sección 5
Los códigos de conducta y certif icación
artículo 40
Los códigos de conducta
Los Estados miembros, las autoridades de supervisión, el Comité y la Comisión fomentarán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta la especificidad de las diferentes áreas de tratamiento y las necesidades específicas de las micro, pequeñas y medianas empresas.
Asociaciones y otros organismos que representan categorías de controladores o subcontratistas pueden desarrollar códigos de conducta, modificar o ampliar, con el propósito de definir las modalidades de aplicación del presente Reglamento, tales como:
a) el tratamiento justo y transparente;
b) los intereses legítimos perseguidos por los controladores en contextos específicos; c) recogida de datos personales;
d) seudonimización de datos personales;
e) la información proporcionada al público y las personas afectadas;
f) los derechos de las personas afectadas;
g) la información proporcionada a los niños y la protección de los niños y la manera de obtener el consentimiento de los titulares de la responsabilidad de los padres para el niño;
h) Las medidas y procedimientos contemplados en los artículos 24 y 25 y las medidas para garantizar la seguridad del tratamiento se refiere el artículo 32;
i) la notificación a las autoridades de supervisión de violaciónes de los datos personales y la revelación de cualquiera de las infracciones a los interesados;
j) la transferencia de datos personales a terceros países u organizaciones internacionales; o
k) procedimientos y otros procedimientos extrajudiciales de resolución de conflictos a resolver disputas entre controladores y sujetos de los datos con respecto al tratamiento, sin perjuicio de los derechos de los interesados en virtud de los artículos 77 y 79.
Además de su aplicación por los controladores o subcontratistas sujetos a estos reglamentos, códigos de conducta que son aprobados en virtud del párrafo 5 del presente artículo y que son de aplicación general en virtud del párrafo 9 del presente artículo podrá también ser implementadas por los responsables del tratamiento o subcontratistas que no están sujetos a esta regulación en virtud del artículo 3, para proporcionar garantías adecuadas en el contexto de la transferencia de datos personales a terceros países o una organización internacional en las condiciones contempladas en el artículo 46, párrafo 2 e). Estos controladores o subcontratistas son vinculantes compromiso y con la unión a través de instrumentos contractuales o
El código de conducta se refiere el apartado 2 de este artículo incluye mecanismos para la agencia que se refiere el artículo 41, párrafo 1, obligatoriamente a la vigilancia del cumplimiento de sus disposiciones por los controladores o subcontratistas comprometerse a aplicar sin perjuicio de las funciones y competencias de la autoridad de control competente en virtud del artículo 55 o 56.
Asociaciones y otros organismos mencionados en el apartado 2 del presente artículo que tengan la intención de desarrollar un código de conducta o de modificación o extensión de un código de conducta existente presentar el proyecto de código, los cambios o la extensión de la autoridad de control que tiene jurisdicción en virtud del artículo 55. la autoridad de control deberá dar una opinión sobre si el proyecto de código, modificación o ampliación aspectos, estos reglamentos y aprueba el proyecto de código, modificación o esta extensión si se considera que tiene suficientes garantías apropiadas.
Cuando el proyecto de código, modificación o ampliación ha sido aprobado de conformidad con el párrafo 5, y cuando el código de conducta en cuestión no se trata de procesamiento de actividades en varios Estados miembros, los registros de control de la autoridad y publica código llevar a cabo.
Cuando el código de conducta proyecto implica actividades de procesamiento en varios Estados miembros, la autoridad de control competente en virtud del artículo 55, deberá presentar el proyecto de código, modificación o ampliación aprobación previa, de acuerdo con procedimiento establecido en el artículo 63 del comité, lo que da una opinión sobre si el proyecto de código, modificación o ampliación ajustan al presente Reglamento, o en la situación contemplada en el apartado 3 de este artículo, s' que proporciona garantías apropiadas.
Cuando la notificación mencionada en el párrafo 7 confirma que el proyecto de código, modificación o ampliación cumplan el presente Reglamento o en la situación contemplada en el apartado 3 proporciona las garantías adecuadas, el comité presente su dictamen a la Comisión.
La Comisión podrá adoptar, mediante actos de ejecución, el Código de Conducta, aprobó la modificación o ampliación se han presentado de conformidad con el párrafo 8 de este artículo son de aplicación general dentro de la Unión . Estos actos se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 93, apartado 2.
La Comisión garantizará la publicidad adecuada de los códigos aprobados decidió que son de aplicación general, de conformidad con el párrafo 9.
El comité de mantener un registro de todos los códigos de conducta, alteraciones y extensiones aprobadas y los pone a disposición del público por cualquier medio apropiado.
artículo 41
códigos de seguimiento aprobados
Sin perjuicio de las funciones y competencias de la autoridad de supervisión en virtud de los artículos 57 y 58, la vigilancia del cumplimiento del código de conducta en virtud del artículo 40 puede ser hecha por una organización que tiene un nivel apropiarse de la experiencia a la luz del código objeto y está aprobado para tal fin por la autoridad de control competente.
Una organización se refiere el apartado 1 podrán ser autorizados a vigilar el cumplimiento de un código de conducta cuando esta organización:
a) demostrar a satisfacción de la autoridad competente para el control, la independencia y experiencia en relación con el código objeto;
b) procedimientos establecidos que le permiten evaluar si los controladores y los subcontratistas en cuestión satisfacen las condiciones para la aplicación del código para vigilar el cumplimiento de las disposiciones convencionales y revisar periódicamente su funcionamiento;
c) los procedimientos y estructuras establecidas para tratar con quejas sobre violaciónes del código o la forma en que el código fue o se aplica mediante un controlador o un procesador, y para hacer que estos procedimientos transparentes y estructuras para respecto a las personas interesadas y el público; y
d) demostrado a satisfacción de la autoridad de control competente, sus tareas y misiones implicarán ningún conflicto de intereses.
La autoridad de control competente presentará el proyecto de un organismo de acreditación criterios mencionados en el párrafo 1 del presente artículo, el Comité de aplicación del mecanismo de coherencia se refiere el artículo 63.
Sin perjuicio de las funciones y competencias de la autoridad de supervisión competente y lo dispuesto en el Capítulo VIII, un cuerpo que se refiere el párrafo 1 del presente artículo, siempre que establezca garantías, medidas adecuadas en caso de violación del código por un responsable tratamiento o un subcontratista, y puede, en particular, suspender o excluir el controlador o el contratista para la aplicación del código. Se informará a la autoridad de supervisión competente de tales medidas y las razones por las que fueron tomadas.
La autoridad de control competente revocará la certificación de una organización que se refiere el apartado 1, si las condiciones de aprobación no son o no se cumplen ya o si las medidas adoptadas por el organismo es una violación de este reglamento.
Esta sección no se aplica al tratamiento de las autoridades públicas y los organismos públicos.
artículo 42
certificación
Los Estados miembros, las autoridades de supervisión, el Comité y la Comisión fomentarán, en particular, en el ámbito de la Unión, el establecimiento de mecanismos de certificación en materia de protección de datos, así como etiquetas y marcas en la materia, con el fin de demostrar que las operaciones de procesamiento por los controladores de datos y subcontratistas cumplen con este Reglamento. Se consideran las necesidades específicas de las micro, pequeñas y medianas.
Además de la aplicación por los controladores o subcontratistas sujetos a este Reglamento, los mecanismos de certificación, etiquetas o marcas de protección de datos relacionados aprobados en el párrafo 5 del presente artículo podrán establecerse para demostrar que los responsables del tratamiento o subcontratistas que no están sujetos a esta regulación en virtud del artículo 3 proporcionan garantías adecuadas en el contexto de la transferencia de datos personales a un tercer país u organización internacional en las condiciones mencionadas en el artículo 46, párrafo 2, punto f). Estos controladores o subcontratistas toman el compromiso vinculante y ejecutable a través de instrumentos contractuales u otros instrumentos jurídicamente vinculantes,
La certificación es voluntaria y accesible a través de un proceso transparente.
Un certificado bajo esta sección disminuye la responsabilidad del controlador o el subcontratista en relación con el cumplimiento del presente Reglamento y sin perjuicio de las funciones y competencias de las autoridades de supervisión competentes en virtud del artículo 55 o 56.
Certificación en virtud de este artículo es emitida por los organismos de certificación que se refiere el artículo 43 o por la autoridad de control competente sobre la base de criterios aprobados por la autoridad competente de conformidad autoridad supervisora del artículo 58, párrafo 3 o por el Comité de conformidad con el artículo 63. Cuando los criterios son aprobados por el comité, que puede conducir a una certificación única, la etiqueta europea de protección de datos.
El controlador o el contratista que haya presentado su mecanismo de certificación tratamiento proporciona al organismo de certificación que se refiere el artículo 43 o, en su caso, la autoridad de control competente toda la información, así como el acceso a sus actividades de procesamiento, que son necesarios para completar el proceso de certificación.
La certificación se expide a un controlador o un subcontratista por un máximo de tres años y puede renovarse en las mismas condiciones como se siguen cumpliendo los requisitos aplicables. Certificación se retira, si es necesario, por la certificación de los organismos contemplados en el artículo 43 o por la autoridad de control competente, donde los requisitos para la certificación no son o ya no se cumplen.
El comité creado un registro de todos los sistemas de certificación y etiquetas o marcas de protección de datos relacionados y los pone a disposición del público por cualquier medio apropiado.
artículo 43
Organismos de certificación
1. Sin perjuicio de las funciones y competencias de la autoridad supervisora con arreglo a los artículos 57 y 58, los organismos de certificación con un nivel adecuado de conocimientos en cuestión de protección de datos y después de renovar la certificación haber informado a la autoridad de control para ejercer las competencias necesarias que le confiere el artículo 58, párrafo 2 h). Los Estados miembros se asegurarán de que estos organismos de certificación están acreditadas por una de las siguientes o ambos:
a) la autoridad de supervisión que tiene jurisdicción en virtud del artículo 55 o 56;
b) el organismo nacional de acreditación designado de conformidad con el Reglamento (CE) nº 765/2008 del Parlamento Europeo y del Consejo (1) según la norma EN-ISO / IEC 17065/2012 y los requisitos adicionales establecidos por la autoridades de supervisión que tiene jurisdicción en virtud del artículo 55 o 56.
2. Los organismos de certificación a que se refiere el apartado 1 son autorizados en virtud de ese párrafo hasta que tengan:
a) demostrar a satisfacción de la autoridad competente para el control, la independencia y la experiencia en cuanto a la finalidad de la certificación;
(1) El Reglamento (CE) nº 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio 2008 entorno a cabo los requisitos de acreditación y vigilancia del mercado para la comercialización de productos y se deroga el Reglamento (CEE) n ° 339 / 93 (DO L 218, 13.8.2008, p. 30).
b) se comprometió a respetar los criterios mencionados en el artículo 42, párrafo 5, y aprobados por la autoridad de supervisión que tiene jurisdicción en virtud del artículo 55 o 56 o el Comité, bajo la la sección 63;
c) establecer procedimientos para la emisión de la inspección periódica y la retirada de una etiqueta de certificación y marcas de protección de datos;
d) los procedimientos y las estructuras establecidas para hacer frente a las quejas sobre violaciónes de certificación o cómo la certificación ha sido o es aplicado por un controlador o un procesador, y para hacer que estos procedimientos y estructuras transparentes las personas afectadas y el público; y
e) demostraron a satisfacción de la autoridad de control competente, que sus tareas y misiones implican ningún conflicto de intereses.
La acreditación de los organismos de certificación se hace referencia en los párrafos 1 y 2 de este artículo se basa en los criterios aprobados por la autoridad de control competente en virtud del artículo 55, o 56, o por el Comité de acuerdo artículo 63. en caso de aprobación de conformidad con el párrafo 1, inciso b) del presente artículo, las necesidades complementarias de las previstas en el Reglamento (CE) nº 765/2008 y de la técnica normas que describen los métodos y procedimientos organismos de certificación.
Los organismos de certificación se refiere el apartado 1 son responsables de hacer la evaluación adecuada que permita la obtención de la certificación o la retirada de la certificación, sin perjuicio de la responsabilidad del controlador o el asistir, como con respecto a la cumplimiento del presente Reglamento. La aprobación se otorga por un máximo de cinco años y puede ser renovada en las mismas condiciones que el organismo de certificación cumple con los requisitos establecidos en el presente artículo.
Los organismos de certificación mencionados en el apartado 1 deberán notificar a las autoridades de control competentes las razones de la emisión o retiro de la certificación solicitada.
Los requisitos del párrafo 3 del presente artículo y los criterios mencionados en el artículo 42, párrafo 5, son publicadas por las autoridades de control en una forma fácilmente accesible. Los supervisores también transmiten estos requisitos y criterios al Comité. El comité estableció un récord en todos los mecanismos de certificación y etiquetas relacionadas con la protección de datos y los pone a disposición del público por cualquier medio apropiado.
Sin perjuicio del capítulo VIII, la autoridad competente o el control del organismo nacional de acreditación revocar la aprobación de una solicitud organismo de certificación del párrafo 1 del presente artículo, si las condiciones de aprobación no son o no son se reunió o si las medidas adoptadas por el organismo de certificación es una violación de este reglamento.
La Comisión está facultada para adoptar actos delegados de conformidad con el artículo 92 con el fin de especificar los requisitos para ser considerado en lo que se refiere a la protección de datos importa mecanismos de certificación que se refiere el artículo 42, párrafo 1 .
La Comisión podrá adoptar actos de ejecución para establecer normas técnicas para los mecanismos de certificación, las etiquetas y marcas de protección de datos, y los mecanismos para la promoción y el reconocimiento de estos mecanismos certificación, etiquetas y marcas. Estos actos se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 93, apartado 2.
CAPÍTULO V
las transferencias de datos personales a terceros países u organizaciones internacionales
artículo 44
principio general aplicable a las transferencias
Una transferencia a un tercer país o una organización internacional de los datos personales que son o pretenden ser sometidos a un tratamiento después de la entrega puede tener lugar si, sin perjuicio de las demás disposiciones del presente Reglamento las condiciones definidas en este capítulo se cumplen por el controlador y el procesador, incluyendo para su posterior transferencia de datos personales de la tercera país u organización internacional a otro tercer país o otra organización internacional. Todas las disposiciones de este capítulo se aplican de manera que el nivel de protección de las personas garantizada por el presente Reglamento no se vea comprometida.
artículo 45
Las transferencias basadas en un nivel de adecuación
Una transferencia de datos personales a un tercer país o una organización internacional puede tener lugar cuando la Comisión encontrado por decisión de que el tercer país, territorio o una o más áreas identificadas en dicho tercer país u organización internacional que se trate garantice un nivel adecuado de protección. Dicha transferencia no requiere autorización específica.
Al evaluar la adecuación del nivel de protección, la Comisión considera, en particular, las siguientes:
a) el estado de derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluidas las relativas a la seguridad pública, la defensa, la seguridad nacional y el derecho penal y el acceso de las autoridades públicas a los datos personales, así como la aplicación de esa legislación, las normas sobre protección de datos, normas profesionales y las medidas de seguridad, incluidas las normas relativas a la transferencia futuro de los datos personales a un tercer país oa otra organización internacional se observan en el tercer país u organización internacional de que se trate, la jurisprudencia,y los derechos efectivos y exigibles disfrutados por las personas afectadas y los recursos administrativos y judiciales que pueden introducir de manera efectiva los sujetos cuyos datos personales se transfieren;
b) la existencia y el funcionamiento eficaz de uno o más autoridades de control independientes en el tercer país, o para que una organización internacional está sujeta, responsable de asegurar el cumplimiento de las normas de protección de datos y tenerlos aplicar, incluso mediante la aplicación adecuada de las normas poderes para ayudar y asesorar a los implicados en el ejercicio de sus derechos y de cooperar con las autoridades de supervisión de los Estados miembros; y
c) los compromisos internacionales el tercer país u organización internacional de que se trate, u otras obligaciones de los acuerdos o instrumentos, así como su participación en los sistemas multilaterales o regionales legalmente vinculante, especialmente en materia la protección de datos personales.
La Comisión, después de evaluar la adecuación del nivel de protección, podrá, mediante actos de ejecución, un tercer país, territorio, o uno o más sectores específicos en un tercer país o una organización internacional, garantiza un nivel adecuado de protección en el sentido del párrafo 2 del presente artículo. El acto de ejecución se prevé un mecanismo de revisión periódica, al menos cada cuatro años, teniendo en cuenta todos los acontecimientos pertinentes en los terceros países o en la organización internacional. El acto de ejecución especifica de su ámbito territorial y sectorial y, en su caso, los nombres o las autoridades de control mencionadas en el apartado 2, letra b) del presente artículo. El acto de ejecución se adoptarán de conformidad con el procedimiento
La Comisión es, de forma permanente, la evolución de terceros países y en las organizaciones internacionales que podrían afectar el funcionamiento de las decisiones adoptadas de conformidad con el párrafo 3 del presente artículo y las decisiones adoptadas sobre la base del artículo 25 el párrafo 6 de la Directiva 95/46 / CE.
Cuando La información disponible muestra, sobre todo al final de la revisión mencionada en el párrafo 3 del presente artículo, que un país tercero, territorio, o uno o más sectores en un tercer país o una organización internacional asegura un nivel más adecuado de protección en el sentido del párrafo 2 del presente artículo, la Comisión, si es necesario, derogar, modificar o suspender la decisión mencionada en el párrafo 3 del presente artículo mediante actos de ejecución, sin efectos retroactivos. Estos actos se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 93, apartado 2.
Por imperiosas razones de urgencia debidamente justificadas, la Comisión adoptará actos de ejecución inmediatamente aplicables de conformidad con el procedimiento establecido en el artículo 93, apartado 3.
La Comisión consultará con el tercer país u organización internacional, con el fin de remediar la situación que dio lugar a la decisión del apartado 5.
Una decisión adoptada de conformidad con el párrafo 5 del presente artículo se entenderá sin perjuicio de las transferencias de datos personales a terceros países, territorios o una o más áreas identificadas en ese tercer país u organización internacional de que se trate, llevadas a cabo en la aplicación de las secciones 46 a 49.
La Comisión publicará en el Diario Oficial de la Unión Europea y en su sitio web una lista de terceros países, territorios y áreas identificadas en terceros países y organizaciones internacionales para el que fue encontrado por decisión de un nivel protección adecuada es o no está garantizada.
Las decisiones adoptadas por la Comisión sobre la base del artículo 25, párrafo 6 de la Directiva 95/46 / CE permanecerá en efecto hasta modificados, sustituidos o derogados por una Decisión de la Comisión de conformidad con el párrafo 3 o 5 de este artículo.
artículo 46
Transferencias sujetas a las salvaguardas apropiadas
En ausencia de una decisión en virtud del artículo 45, apartado 3, el controlador o el procesador pueden transferir los datos personales a un tercer país o una organización internacional si se ha planificado apropiarse de salvaguardias y siempre que las personas afectadas tienen derechos exigibles y remedios efectivos.
Las salvaguardias apropiadas mencionadas en el párrafo 1 se pueden proporcionar, sin que requiere autorización especial de un supervisor, por:
a) un instrumento legalmente vinculante y ejecutable entre las autoridades u organismos públicos;
b) las normas corporativas vinculantes en virtud del artículo 47;
c) la protección de datos cláusulas aprobado por la Comisión de conformidad con el procedimiento de examen contemplado en el artículo 93, apartado 2;
d) la protección de datos cláusulas adoptada por una autoridad de supervisión y aprobado por la Comisión de conformidad con el procedimiento de examen contemplado en el artículo 93, apartado 2;
e) un código de conducta aprobado de acuerdo con el artículo 40, acompañado de un compromiso de unión y la unión realizada por el controlador o el procesador en el tercer país para aplicar las salvaguardas apropiadas, incluso con respecto los derechos de las personas afectadas; o
f) un sistema de certificación autorizado de conformidad con el artículo 42, acompañado de un compromiso de unión y la unión realizada por el controlador o el procesador en el tercer país para aplicar las salvaguardas apropiadas, incluso con respecto los derechos de las personas afectadas.
Previa autorización de la autoridad de control competente, las salvaguardas apropiadas mencionado en el apartado 1 también puede estar provisto, en particular, por:
a) cláusulas contractuales entre el controlador o el procesador y el controlador, el contratista o destinatario de los datos personales en el tercer país u organización internacional; o
b) disposiciones para incorporar en las disposiciones administrativas entre las autoridades públicas u organismos públicos que proporcionan los derechos efectivos y ejecutables para los sujetos de datos.
La autoridad de control se aplica a la consistencia mecanismo que se refiere el artículo 63 en los casos mencionados en el párrafo 3 del presente artículo.
Las autorizaciones concedidas por un Estado miembro o una autoridad de supervisión sobre la base del artículo 26, párrafo 2, de la Directiva 95/46 / CE siguen siendo válidas hasta su modificación, sustituidos o derogados, si es necesario, dijo autoridad de control. Las decisiones adoptadas por la Comisión sobre la base del artículo 26, párrafo 4, de la Directiva 95/46 / CE permanecen en vigor hasta su modificación, sustituidos o derogados, si es necesario, por una decisión de la Comisión adoptadas de conformidad con el párrafo 2 del presente artículo.
artículo 47
Normas corporativas vinculantes
1. La autoridad de control competente apruebe normas corporativas de unión de acuerdo con el mecanismo de coherencia se refiere el artículo 63, siempre que:
a) estas reglas son vinculantes, y son implementados por todos los interesados el grupo de empresas o grupo de empresas dedicadas a una actividad económica conjunta, incluyendo sus empleados;
b) que dan expresamente los interesados los derechos de disposición en relación con el tratamiento de sus datos en el personal de caracteres; y
c) cumplan los requisitos establecidos en el apartado 2.
Las normas corporativas vinculantes mencionadas en el apartado 1 se identifique al menos:
a) la estructura y los detalles del grupo de empresas o grupo de empresas dedicadas a una actividad económica conjunta y cada una de sus entidades;
b) transferencias o todas las transferencias de datos, incluyendo las categorías de datos personales, el tipo de procesamiento y sus efectos, el tipo de personas afectadas en cuestión y el nombre del tercer país en cuestión;
c) su legalmente vinculante, tanto interna como externamente;
d) la aplicación de los principios generales relativos a la protección de datos, incluyendo la limitación de la finalidad, minimización de los datos, lo que limita los períodos de retención de datos, calidad de datos, protección de datos desde el diseño y protección de datos por defecto, la base legal para el procesamiento, tratamiento de categorías especiales de datos personales, medidas para garantizar la seguridad de los datos, así como los requisitos de las transmisiones posteriores a las organizaciones que no están relacionados por reglas corporativas vinculantes;
e) los derechos de las personas en cuestión con respecto al tratamiento y los medios para ejercer estos derechos, incluyendo el derecho a no ser objeto de decisiones basadas únicamente en un tratamiento automatizado, incluyendo perfiles, de acuerdo con el artículo 22, el derecho a presentar una denuncia ante la autoridad de control competente y ante los tribunales competentes de los Estados miembros de conformidad con el artículo 79 y para obtener una reparación y, si es necesario, la compensación por la violación de las reglas unión corporativo;
f) la aceptación por el controlador o procesador establecido en el territorio de un Estado miembro del compromiso de la responsabilidad por cualquier violación de las normas corporativas vinculantes por cualquier entidad no establecido en el Unión; el controlador o el procesador no puede estar exento, en su totalidad o en parte, de esta responsabilidad si demuestra que el daño del generador no es atribuible a la entidad;
g) la forma en la información sobre las normas corporativas vinculantes, en particular en relación con los elementos mencionados en d), e) y f) de este párrafo se proporcionan a los sujetos de datos, además de la información en virtud de los artículos 13 y 14;
h) Los derechos por cualquier delegado de protección de datos, designada de conformidad con el artículo 37, o cualquier otra persona o entidad responsable de vigilar el cumplimiento de las normas corporativas vinculantes dentro del grupo de empresas, o grupo de empresas dedicadas a una actividad económica conjunta, y el seguimiento de la formación y el procesamiento de reclamaciones;
i) los procedimientos de reclamación;
j) los mecanismos dentro del grupo de empresas o grupo de empresas dedicadas a actividades económicas conjuntas para asegurar que el control del cumplimiento de BCR. Estos mecanismos incluyen auditorías sobre protección de datos y los procedimientos para asegurar que se tomen medidas correctivas para proteger los derechos del individuo. Los resultados de este seguimiento deben ser comunicados a la persona o entidad mencionada en el punto h) y la administración de la placa de compañía que controla el grupo de empresas o grupo de empresas dedicadas a una la actividad económica conjunta, y debe ponerse a disposición de la autoridad de control competente que lo solicite;
k) mecanismos para comunicar y registrar los cambios en las reglas y comunicar estos cambios a la autoridad de supervisión;
l) el mecanismo de cooperación con la autoridad de control establecido para asegurar el cumplimiento por todas las entidades del grupo de empresas o grupo de empresas dedicadas a una actividad económica conjunta, incluyendo la puesta a disposición la autoridad de control de los resultados de las medidas de los controles mencionados en el punto j);
m) los mecanismos para comunicar a la autoridad de supervisión competente todas las obligaciones legales que una entidad del grupo de empresas o grupo de empresas dedicadas a una actividad económica conjunta, está sujeta a un tercer país que es probable tener un efecto adverso significativo sobre las garantías previstas por las normas corporativas vinculantes; y
n) la formación adecuada en materia de protección de datos para el personal con acceso permanente o regular a los datos personales.
3. La Comisión podrá, por normas corporativas vinculantes en el sentido de esta sección, especifique la forma de intercambio de información entre los controladores, los contratistas y supervisores, así como los procedimientos a la misma. Estos actos se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 93, apartado 2.
artículo 48
Las transferencias o divulgaciones no autorizadas por la ley de la UE
Cualquier decisión de un tribunal o autoridad administrativa de un tercer país que necesite un controlador o un procesador que transfiere o divulga datos personales no pueden ser reconocidas o ejecutadas en cualquier manera sólo si se basa en un acuerdo internacional, como un tratado de asistencia legal mutua en vigor entre los terceros países que solicitan y la Unión o de un Estado miembro, sin perjuicio de otros patrones de transferencia bajo este capítulo.
artículo 49
Exenciones para situaciones específicas
Si ninguna decisión sobre la adecuación en virtud del artículo 45, párrafo 3, o de las garantías adecuadas de conformidad con el artículo 46, que incluye las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos datos personales a un tercer país o una organización internacional no puede tener lugar en una de las siguientes condiciones:
a) el interesado ha dado su consentimiento explícito a la transferencia prevista, después de haber sido informado de los riesgos que esta transferencia podría tener para ella debido a la falta de decisión de adecuación y las garantías adecuadas;
b) es necesario para la ejecución de un contrato entre el titular de los datos y el controlador o la aplicación a tomar medidas a petición del titular de los datos de la transferencia;
c) la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado en interés del titular de los datos entre el controlador y otra persona física o jurídica;
d) la transferencia sea necesaria por razones importantes de interés público;
e) la transferencia sea necesaria para el reconocimiento, ejercicio o defensa de los derechos legales;
f) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando la persona se encuentra en la incapacidad física o legalmente de dar su consentimiento;
g) la transferencia se realiza desde un registro que según la legislación de la Unión o la legislación de un Estado miembro, tiene por objeto proporcionar información al público y está abierto a consulta pública en general o cualquier persona con un interés legítimo, pero sólo en la medida en que las condiciones para la consulta en el derecho de la Unión o la legislación del Estado miembro de que se cumplan en este caso.
garantías adecuadas respecto a la protección de datos personales. El controlador deberá informar a la transferencia de la autoridad de control. Además de proporcionar la información mencionada en los artículos 13 y 14, el controlador deberá informar al interesado de la transferencia y los intereses legítimos que persigue.
Una transferencia bajo el párrafo 1, el primer párrafo g), no cubre todas o personales de datos en categorías completas de los datos personales contenidos en el registro. Cuando el registro sea la consulta por parte de personas con un interés legítimo, la transferencia se realiza a petición de dichas personas o cuando van dirigidas.
Los puntos a), b) yc) del párrafo primero del apartado 1 y el segundo párrafo del apartado 1 no se aplicará a las actividades de las autoridades públicas en el ejercicio de sus poderes públicos.
El interés público se refiere el apartado 1, párrafo d), es reconocido por el Derecho de la Unión o la legislación del Estado miembro al que esté sujeto el responsable.
Si ninguna decisión sobre la adecuación, la legislación de la Unión o la legislación de un Estado miembro podrá, por motivos importantes de interés público límites establecidos expresamente en la transferencia de determinadas categorías de datos personales a un tercer país o una organización internacional. Los Estados miembros notificarán dichas disposiciones a la Comisión.
El controlador o el subcontratista documentado en los registros mencionados en el artículo 30, la evaluación y las salvaguardas apropiadas mencionadas en el apartado 1 párrafo, segundo de este artículo.
artículo 50
La cooperación internacional en el ámbito de la protección de datos personales
La Comisión y las autoridades de control tienen, con respecto a terceros países y las organizaciones internacionales, las medidas apropiadas para:
a) desarrollar mecanismos de cooperación internacional para facilitar la aplicación efectiva de la legislación sobre la protección de datos personales;
b) prestarán asistencia mutua a nivel internacional en la aplicación de la legislación sobre la protección de datos personales, incluyendo la notificación, la transmisión de las solicitudes, la asistencia en la investigación y el intercambio de información, con sujeción a las garantías adecuadas para la protección de los datos personales y otros derechos y libertades fundamentales;
c) la participación de las partes interesadas en la discusión y actividades destinadas a desarrollar la cooperación internacional en el ámbito de aplicación de la legislación sobre protección de datos de carácter personal;
d) promover el intercambio y la documentación de la legislación y las prácticas en la protección de los datos personales, incluso con respecto a los conflictos de competencia con terceros países.
CAPÍTULO VI
autoridades de control independientes
la sección 1
independencia
artículo 51
Autoridad de Control
Cada Estado miembro dispondrá que una o más autoridades públicas independientes son responsables de supervisar la aplicación del presente Reglamento para proteger los derechos y libertades fundamentales de las personas con respecto al tratamiento y facilitar la libre circulación de datos de carácter el personal dentro de la Unión (en lo sucesivo, "autoridad de control").
Cada autoridad contribuye a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán con la Comisión de conformidad con el Capítulo VII.
Cuando un Estado miembro compruebe varias autoridades de control, significa que en representación de estas autoridades en el comité y define el mecanismo para garantizar el cumplimiento por las otras autoridades, las normas relativas al mecanismo de coherencia que se refiere el artículo 63.
Cada Estado miembro notificará a la Comisión las disposiciones legales adoptadas en virtud de este capítulo, a más tardar el 25 de mayo de 2018 y, sin demora, cualquier modificación posterior de las mismas.
artículo 52
independencia
Cada autoridad ejerce de forma independiente las funciones y competencias que le confiere de conformidad con el presente Reglamento.
En el ejercicio de sus funciones y facultades que le confiere el presente Reglamento, o los miembros de cada autoridad de control permanecer libre de cualquier influencia externa, ya sea directa o indirectamente, y sin solicitar ni aceptar instrucciones nadie.
El miembro o los miembros de cada autoridad de control deberán abstenerse de toda acción incompatible con sus funciones y durante su mandato, no ejercer ninguna actividad profesional incompatible, retribuida o no.
Cada Estado miembro garantizará que cada supervisor tiene la humana, técnica y financiera, así como local y la infraestructura necesaria para el desempeño eficaz de sus funciones y competencias, incluso cuando se debe actuar en el marco de la asistencia mutua, la cooperación y la participación en la comisión.
Cada Estado miembro velará por que cada supervisor elige y tiene sus propios agentes, que están bajo las órdenes exclusivas del miembro de la autoridad de supervisión correspondiente.
Cada Estado miembro garantizará que cada autoridad supervisora está sujeta a controles financieros que no ponga en peligro su independencia y tiene su propio presupuesto público anual, que puede ser parte del presupuesto nacional o una entidad federal .
artículo 53
condiciones generales aplicables a los miembros de la autoridad de supervisión
Los Estados miembros dispondrán que cada miembro de sus autoridades de supervisión designado mediante un procedimiento transparente por: - su parlamento;
- su gobierno;
- su jefe de Estado; o
- un órgano independiente para hacer el nombramiento en virtud de la ley del Estado miembro
Cada miembro tiene las calificaciones, experiencia y habilidades, sobre todo en el ámbito de la protección de datos personales, para ejercer sus funciones y atribuciones.
Las funciones de un miembro concluirá al término de su mandato, en caso de renuncia o haciendo cese, previsto en la legislación del Estado miembro en cuestión.
Un miembro sólo puede ser removido de su cargo sólo si tiene faltas graves cometidos o si deja de cumplir las condiciones necesarias para el ejercicio de sus funciones.
artículo 54
Normas para el establecimiento de la autoridad supervisora
Cada Estado miembro deberá, por ley, todos los siguientes:
a) la creación de cada autoridad de control;
b) las calificaciones y requisitos de elegibilidad para ser nombrado un miembro de cada autoridad de control;
c) las normas y procedimientos para la designación de los miembros de cada autoridad de control;
d) la duración del mandato de los miembros de cada autoridad de control, que no puede ser inferior a cuatro años, salvo en el primer mandato después del 24 de mayo de 2016, parte de la cual puede ser de una duración más corta donde necesarias para proteger la independencia de la autoridad de control por medio de un procedimiento de designación escalonada;
e) renovable o no del mandato de los miembros de cada supervisor y, en su caso, el número de términos;
f) las condiciones y obligaciones de los miembros y funcionarios de cada autoridad de control, prohibiciones de actividades incompatibles empleos y beneficios con ellos, incluso después del final de su mandato, y normas que rigen la terminación del empleo.
2. El o los miembros y agentes de cada autoridad supervisora miembros están sujetos, de acuerdo con el Derecho de la Unión o la ley de los Estados miembros, el secreto profesional con respecto a cualquier información confidencial que obtengan en el ejercicio de sus funciones o sus poderes, entre ellos después del final de su mandato. Durante el término de su mandato, la confidencialidad se aplica particularmente a la presentación de informes por los individuos para violaciónes de este Reglamento.
la sección 2
Competencias, funciones y atribuciones
artículo 55
competencia
Toda autoridad de control es competente para realizar las funciones y competencias que le confiere el presente Reglamento en el territorio del Estado miembro al que pertenece.
Cuando el tratamiento se lleva a cabo por las autoridades de organismos públicos o privados que actúan sobre la base del artículo 6, apartado 1, letra c) oe), la autoridad de supervisión del Estado miembro de que se trate es competente. En este caso, el artículo 56 no es aplicable.
Las autoridades de control no son competentes para controlar las operaciones de procesamiento realizadas por los tribunales en el ejercicio de su función judicial.
artículo 56
Competencia del supervisor principal
Sin perjuicio del artículo 55, el director de control de establecimiento de la autoridad o la propiedad única del controlador o el asistir -como es competente para actuar como autoridad supervisora ventaja con respecto al tratamiento frontera hecha por el controlador o subcontratista, de conformidad con el procedimiento establecido en el artículo 60.
No obstante el párrafo 1, cada autoridad de control será competente para manejar una denuncia presentada con ella o cualquier incumplimiento de este Reglamento, si su objeto se refiere únicamente a un establecimiento en el Estado miembro al que pertenece o significativamente afectar a las personas afectadas en ese Estado miembro solamente.
En los casos mencionados en el apartado 2 del presente artículo, informará a la autoridad de control sin demora el supervisor principal de la cuestión. Dentro de tres semanas de cuando fue informado, el supervisor principal decide si tratar o no el caso, de acuerdo con el procedimiento establecido en el artículo 60, teniendo en cuenta si es o no un establecimiento del controlador o el subcontratista en la autoridad de control del Estado miembro que se haya informado.
Si la autoridad de supervisión de plomo decide manejar el caso, el procedimiento previsto en el artículo 60 se aplica. El supervisor que informó a la autoridad de supervisión de plomo puede someterse a él un proyecto de decisión. El supervisor principal deberá tener plenamente en cuenta esto cuando el proyecto se desarrolla el proyecto de decisión que se refiere el artículo 60, apartado 3.
Cuando la autoridad de control principal decide no manejar el caso, el supervisor quien informó a la conformidad con los artículos 61 y 62.
El supervisor de plomo es el único representante del controlador o el subcontratista para el procesamiento transfronteriza a cabo por el controlador o subcontratista.
artículo 57
misiones
1. Sin perjuicio de otras misiones previstas en el presente Reglamento, cada autoridad de control en su territorio:
a) supervisa la aplicación de este Reglamento, así como su cumplimiento asegura;
b) promover la conciencia pública y la comprensión de los riesgos, las normas, garantías y derechos a tratamiento. Las actividades específicamente para los niños son objeto de una atención especial;
c) aconseja, en virtud de la ley del Estado miembro, el Parlamento nacional, el gobierno y otros organismos y órganos de las medidas legislativas y administrativas para la protección de los derechos y libertades de las personas con respecto al tratamiento ;
d) promover el conocimiento de los responsables del tratamiento y subcontratistas en relación con sus obligaciones en virtud del presente Reglamento;
e) proporciona, a petición, a cualquier información interesado en el ejercicio de derechos en virtud del presente Reglamento y, si es necesario, cooperarán a tal fin, con las demás autoridades de supervisión de los Estados miembros;
f) se ocupa de las quejas presentadas por un sujeto de datos o por una agencia, organización o asociación de acuerdo con el artículo 80 se analizan en el objeto de la reivindicación, en la medida necesaria, y notificará al autor de la reclamación la evolución y resultados de la investigación dentro de un plazo razonable, en particular si es necesaria una mayor investigación o la coordinación con otra autoridad de supervisión;
g) cooperar con otras autoridades de supervisión, en particular mediante el intercambio de información, y proporciona asistencia mutua en este marco para asegurar la aplicación coherente del presente Reglamento y las medidas adoptadas para garantizar el cumplimiento;
h) lleva a cabo encuestas sobre la aplicación del presente Reglamento, en particular sobre la base de la información recibida de otro supervisor u otra autoridad pública;
i) tras la pertinente, los avances en cuanto afecten a la protección de datos personales, especialmente en el campo de la tecnología de la información y la comunicación y las prácticas comerciales;
j) adoptar disposiciones de contrato mencionado en el artículo 28, párrafo 8, y el artículo 46, párrafo 2 d);
k) establece y mantiene una lista en relación con la obligación de realizar una evaluación del impacto sobre la protección de datos en virtud del artículo 35, párrafo 4;
l) proporciona una guía sobre las operaciones de tratamiento que se hace referencia en el artículo 36, apartado 2;
m) fomenta el desarrollo de códigos de conducta de conformidad con el artículo 40, párrafo 1, dar una opinión y aprobar códigos de conducta que establezcan las garantías adecuadas, de conformidad con el artículo 40, párrafo 5;
n) fomentar el establecimiento de mecanismos de certificación, las etiquetas y marcas de protección de datos de conformidad con el artículo 42, párrafo 1, y aprueba los criterios de certificación de aplicación del artículo 42, párrafo 5;
o) deberá, en su caso, la revisión periódica de las certificaciones de conformidad con el artículo 42, párrafo 7;
p) preparar y publicar los criterios de acreditación de una organización para el seguimiento de códigos de conducta en virtud del artículo 41 y una sección de cuerpo de certificación de aplicaciones 43;
q) aprobará de un órgano de control de los códigos de conformidad con la Sección 41 y una sección de cuerpo de certificación de aplicaciones 43;
r) permite que las cláusulas contractuales y las disposiciones contempladas en el artículo 46, párrafo 3;
s) Aprobar las normas corporativas vinculantes de conformidad con el artículo 47;
t) contribuir a las actividades del Comité;
u) mantener registros internos de violaciónes del presente Reglamento y las medidas adoptadas de conformidad con el artículo 58, apartado 2; y
v) realizar cualquier otra tarea relacionada con la protección de datos personales.
Cada autoridad facilita la introducción de las quejas mencionadas en el párrafo 1 f), a través de medidas tales como el suministro de un formulario de reclamo que puede ser llenado electrónicamente, sin otro medio de comunicación están excluidos.
El cumplimiento de las misiones de cada autoridad de control es libre de la persona en cuestión y, en su caso, para el delegado de protección de datos.
Cuando las solicitudes son manifiestamente infundada o excesiva, en particular, debido a su carácter repetitivo, la autoridad supervisora puede requerir el pago de una tarifa razonable basada en los costos administrativos o negarse a cumplir con la solicitud. Corresponde al supervisor para demostrar la naturaleza claramente infundada o excesiva demanda.
artículo 58
potestades
Cada autoridad tiene todas las siguientes facultades de investigación:
a) ordenar el controlador y el subcontratista, y, en su caso, el representante del controlador o del subcontratista, para proporcionar cualquier información que necesita para cumplir su función;
b) realizar investigaciones como las auditorías sobre protección de datos;
c) llevar a cabo una revisión de las certificaciones emitidas de conformidad con el artículo 42, párrafo 7;
d) notificar al controlador o al subcontratista una supuesta violación de este Reglamento;
e) obtener del controlador y el acceso a los subcontratistas a todos los datos personales ya toda la información necesaria para llevar a cabo sus tareas;
f) obtener acceso a todas las instalaciones del controlador y el subcontratista, incluyendo cualquier instalación y los medios de procesamiento, de acuerdo con el Derecho de la Unión y el Derecho procesal de los Estados miembros.
Cada autoridad tiene la facultad de adoptar todas las siguientes medidas correctivas:
a) notificar a un controlador o un subcontratista del hecho de que las operaciones de tratamiento propuestos son propensos a violar las disposiciones del presente Reglamento;
b) llamar al orden a un controlador o un procesador cuando las operaciones de tratamiento han resultado en una violación de las disposiciones de este Reglamento;
c) ordenar al controlador o el subcontratista para cumplir con las peticiones formuladas por el interesado para ejercer sus derechos en virtud del presente Reglamento;
d) para el controlador o el subcontratista a las operaciones de procesamiento de acuerdo con las disposiciones de este Reglamento, si los hay, y específicamente en un plazo determinado;
e) dirigir el controlador para comunicar a la persona de que se trate una violación de datos en el personal de la naturaleza;
f) imponer una restricciones temporales o permanentes, incluyendo una prohibición del tratamiento;
g) ordenar la rectificación o el borrado de datos personales o limitación de tratamiento conforme a los artículos 16, 17 y 18 y la notificación de dichas acciones a los destinatarios a los que los datos personales han sido divulgados bajo el artículo 17, párrafo 2, y el artículo 19;
h) retirar la certificación o pedir el organismo de certificación para retirar una certificación emitida en las secciones 42 y 43, o el orden del organismo de certificación no conceder certificación si los requisitos de certificación no son o ya cumplido;
i) imponer una multa administrativa de conformidad con el artículo 83, además o en lugar de las medidas mencionadas en este párrafo, en base a las características de cada caso;
j) ordenar la suspensión de flujos de datos enviado a un receptor situado en un tercer país o una organización internacional.
3. Cada autoridad tiene todas las facultades de autorización y todas las facultades de asesoramiento posteriores:
a) asesorar al controlador de acuerdo con la consulta previa mencionada en el artículo 36;
b) emisión, por iniciativa propia o previa solicitud, asesoramiento a la atención del Parlamento nacional, el gobierno del Estado miembro o bajo la ley del Estado miembro, otras instituciones y agencias y el público sobre cualquier asunto relativo a la protección de datos personales;
c) autorizar el tratamiento previsto en el artículo 36, párrafo 5, si la legislación del Estado miembro que exige una autorización previa;
d) emitir un dictamen sobre los códigos de conducta y proyectos aprobarla en el artículo 40, párrafo 5;
e) la certificación acreditar a los órganos de aplicación del artículo 43;
f) la emisión de certificaciones y aprobar los requisitos de certificación en conformidad con el artículo 42, párrafo 5;
g) adoptar cláusulas de protección de datos en virtud del artículo 28, párrafo 8, y el artículo 46, párrafo 2, punto d);
h) autorizar cláusulas contractuales mencionado en el artículo 46, párrafo 3 a);
i) autorizar las disposiciones administrativas mencionadas en el artículo 46, párrafo 3, b);
j) Aprobar las normas corporativas vinculantes de conformidad con el artículo 47.
El ejercicio de las competencias en la aplicación de esta autoridad de supervisión del artículo está sujeta a las garantías adecuadas, incluyendo el derecho a un recurso judicial efectivo y al debido proceso bajo la ley de la Unión y el derecho Estados miembros en virtud de la Carta.
Cada Estado miembro, por la ley, que su supervisor tiene el poder de traer violaciónes de este Reglamento a la atención de las autoridades judiciales y, si es necesario, tomar las medidas legales de una manera u otra, para hacer cumplir las disposiciones del presente Reglamento.
Cada Estado miembro podrá, por ley, que su supervisor tiene poderes adicionales a los especificados en los párrafos 1, 2 y 3. El ejercicio de estas facultades no obstaculizará el funcionamiento del Capítulo VII.
artículo 59
informes de actividad
Cada autoridad deberá elaborar un informe anual sobre sus actividades, que puede incluir una lista de los tipos de violaciónes reportados y los tipos de medidas adoptadas de conformidad con el artículo 58, apartado 2. Estos informes se remitirán al Parlamento nacional, el gobierno y otras autoridades designadas por la legislación del Estado miembro. Se pondrán a disposición del público, la Comisión y el Comité.
CAPÍTULO VII
Cooperación y consistencia
la sección 1
cooperación
artículo 60
La cooperación entre el supervisor principal y las demás autoridades de supervisión afectadas
El supervisor principal cooperará con otras autoridades de supervisión afectadas conforme a esta sección, tratando de llegar a un consenso. El supervisor de plomo y las autoridades de supervisión deberán intercambiar toda la información pertinente.
El supervisor principal podrá solicitar en cualquier momento a otras autoridades de supervisión afectadas para proporcionar asistencia mutua en virtud del artículo 61 y se puede llevar a cabo operaciones de conjuntos de conformidad con el artículo 62, en particular, para hacer investigaciones o hacer cumplir una medida en un controlador o una sub-procesador establecido en otro Estado miembro.
El supervisor principal deberá, sin demora, la información sobre el tema a otras autoridades de supervisión afectadas. Se presentará sin demora un proyecto de decisión a las demás autoridades de supervisión afectadas para obtener sus puntos de vista y tener debidamente en cuenta sus puntos de vista.
Cuando otras autoridades de supervisión fórmula relevante dentro de cuatro semanas después de haber sido consultado de conformidad con el párrafo 3 del presente artículo, una objeción relevante y motivada en relación con el proyecto de decisión, la autoridad de control del cabezal archivo, si no sigue las objeciones pertinentes y motivado o si considera que esta objeción es irrelevante o motivados, que recurra al mecanismo de control de la consistencia que se refiere el artículo 63.
Cuando el liderazgo de las autoridades de control tiene la intención de seguir la objeción relevante y motivado formulado, se somete a las demás autoridades de supervisión afectadas un proyecto de decisión revisado con el fin de obtener su opinión. Este proyecto de decisión revisado está sujeta al procedimiento previsto en el apartado 4 dentro de dos semanas.
Cuando no hay otras autoridades de supervisión afectadas han formulado objeciones con respecto al proyecto de decisión presentado por el supervisor principal en el plazo previsto en los apartados 4 y 5, el supervisor jefe líder y las autoridades de supervisión afectadas se considerará que aprobar el proyecto de decisión y están obligadas por él.
El supervisor principal toma la decisión, el director deberá notificar a la institución o la propiedad única del controlador o el subcontratista, en su caso, e informar a las demás autoridades de supervisión afectadas y el comité de la decisión, en particular proporcionando un resumen de los hechos y las razones pertinentes. La autoridad de control a los que la reclamación se ha presentado informa la decisión del autor de la queja.
No obstante el párrafo 7, cuando una reclamación es negada o rechazada, la autoridad de control con la que la denuncia ha sido presentada adoptará la decisión, notificará al autor de la queja e informar al controlador.
Cuando el supervisor principal y las autoridades de control acuerdan rehusar o rechazar partes de una reclamación y actuar en otras partes de esta afirmación, una decisión separada que se adopte para cada una de las partes . El supervisor principal toma la decisión para la parte relativa a las acciones en el controlador, el director deberá notificar a la institución o la propiedad única del controlador o el subcontratista en el territorio de la Estado miembro al que pertenece e informar al autor de la queja, mientras que el supervisor del autor de la queja adoptará la decisión de la parte relativa a la negativa o el rechazo de esta afirmación,
Tras ser informado de la decisión de la autoridad de supervisión de plomo de conformidad con los párrafos 7 y 9, el controlador o el procesador toma las medidas necesarias para garantizar el cumplimiento de la decisión relativa a las actividades el tratamiento llevado a cabo en el contexto de todas las instituciones de la Unión. El controlador o notificar medidas de subcontratación adoptadas para garantizar el cumplimiento de la decisión en el supervisor principal, que informa a las demás autoridades de supervisión afectadas.
Cuando, en circunstancias excepcionales, las autoridades de supervisión afectadas tiene razones para considerar que es urgente intervenir para proteger los intereses de los afectados, el procedimiento de urgencia previsto en el artículo 66 se aplica.
El supervisor principal y las demás autoridades de supervisión afectadas deberán comunicarse electrónicamente, mediante un formulario estándar, la información solicitada en el presente artículo.
artículo 61
asistencia mutua
Las autoridades de control deberán proporcionar información adecuada y se asistirán mutuamente en orden a aplicar y hacer cumplir estas regulaciones constantemente, y poner en práctica medidas para cooperar de manera efectiva. La asistencia mutua en relación con esas solicitudes de medidas de información y control, como las solicitudes de autorización y consulta previa, inspecciones e investigaciones.
Cada autoridad deberá tomar todas las medidas apropiadas para responder a una petición de otra autoridad de supervisión tan pronto como sea posible y no más tarde de un mes después de la recepción de la solicitud. Tales medidas pueden incluir, en particular, la transmisión de información útil sobre el desarrollo de las investigaciones.
Las solicitudes de asistencia contienen toda la información necesaria, incluyendo el propósito y las razones de la solicitud. La información intercambiada se utilizará para los fines para los que fue solicitada.
Una autoridad de supervisión requerida no puede negarse a cumplir con una solicitud de asistencia a menos que:
a) que no es competente para tratar el tema de la solicitud o para tomar las medidas que se requiere para llevar a cabo; o
b) satisfacer la demanda sería una violación de este Reglamento o la ley del Derecho de la Unión o del Estado miembro al que se presente la autoridad de control recibió la solicitud.
La autoridad de control requerida informará a la autoridad de supervisión solicitante de los resultados o, en su caso, de los avances de las medidas adoptadas en respuesta a la solicitud. La autoridad de control requerida explicar las razones de la negativa a cumplir con una solicitud de conformidad con el párrafo 4.
En general, las autoridades de control necesarios se comunican electrónicamente, mediante un formulario estándar, la información requerida por otras autoridades supervisoras.
Los supervisores no reciben requiere ningún cargo por las acciones que emprendan en respuesta a una solicitud de asistencia mutua. Las autoridades de supervisión podrán aceptar las reglas de la indemnización de ellos para los gastos específicos derivados de la prestación de asistencia mutua en casos excepcionales.
Cuando un supervisor no proporciona la información mencionada en el párrafo 5 del presente artículo dentro de un mes desde la recepción de la petición de otra autoridad de supervisión, solicitando autoridad de control podrá adoptar una medida provisional en el territorio del Estado miembro al que se refiere, de acuerdo con el artículo 55, apartado 1. en este caso, las circunstancias para considerar la urgente necesidad de intervenir de conformidad con el artículo 66, párrafo 1 se entenderá que existe y que requieren una decisión vinculante del comité de emergencia en virtud del artículo 66, apartado 2.
La Comisión podrá adoptar, mediante actos de ejecución, especificar el formato y procedimientos de asistencia mutua en virtud de esta sección, y los términos del intercambio de información por vía electrónica entre las autoridades de supervisión y entre supervisores y el comité, especialmente en lo que respecta a la forma mencionada en el párrafo 6 del presente artículo. Estos actos se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 93, apartado 2.
artículo 62
Las operaciones conjuntas de las autoridades de supervisión
supervisores de plomo, si es necesario, las operaciones conjuntas, incluyendo mediante la realización de investigaciones conjuntas y tomar medidas represivas conjuntas, la participación de miembros u otros agentes autoridades de control de los Estados miembros.
Cuando se establece el controlador o subcontratista en varios Estados miembros o un número significativo de personas interesadas en varios Estados miembros son propensos a ser afectados de manera significativa por las operaciones de procesamiento, cada autoridad de supervisión de estos Estados los miembros tienen el derecho a participar en operaciones conjuntas. La autoridad de control competente en virtud del artículo 56, apartado 1 o 4, invita a cada autoridad de supervisión de los Estados miembros interesados a participar en operaciones conjuntas y responde con prontitud a cualquier solicitud de una autoridad de control que desee participar.
Una autoridad supervisora con arreglo al Derecho de un Estado miembro, y con el permiso de la autoridad de control original, confieren poderes, entre ellos competencias de investigación, miembros o agentes de la autoridad control original participan en operaciones conjuntas o aceptar, siempre que la legislación del Estado miembro en que los permisos de viviendas autoridad supervisora que los miembros o agentes de la autoridad de supervisión de ejercer sus facultades de investigación originalmente bajo la ley del Estado miembro de la autoridad de control original. Estos encuesta poderes sólo puede ejercerse bajo la autoridad y en la presencia de miembros o agentes de la autoridad de control host. Los miembros o agentes de la
Cuando, de conformidad con el apartado 1, los agentes de la autoridad de control operativo original en otro Estado miembro, el Estado miembro al que el supervisor anfitrión asume la responsabilidad de sus acciones, incluyendo la responsabilidad el daño que causan durante las operaciones de las que son responsables bajo la ley del Estado miembro en cuyo territorio operan.
El Estado miembro en cuyo territorio el daño fue causado reparar este daño en las condiciones aplicables a los daños causados por sus propios funcionarios. El Estado miembro de la autoridad de control original cuyos funcionarios hayan causado daños a las personas en el territorio de otro Estado miembro restituirá al otro Estado miembro de los importes pagados a los beneficiarios .
Sin perjuicio del ejercicio de sus derechos frente a terceros y sin perjuicio del apartado 5, los Estados miembros se abstendrán, en el caso previsto en el apartado 1, a pedir a otro Estado miembro reembolso relativo a los daños cubiertos en el párrafo 4.
Cuando se prevea una operación conjunta y una autoridad de supervisión no cumpla dentro de un mes, con la obligación especificada en el párrafo 2, segunda frase de este artículo, otras autoridades de supervisión podrán adoptar una medida provisional en el territorio del Estado miembro en el que se observa que, según el artículo 55. en este caso, las circunstancias para considerar la urgente necesidad de intervenir de conformidad con el artículo 66, párrafo 1 se presume que deben cumplir y requieren una opinión o una decisión vinculante del comité de emergencia en virtud del artículo 66, apartado 2.
la sección 2
consistencia
artículo 63
Mecanismo para controlar la consistencia
Para contribuir a la aplicación coherente del presente Reglamento en toda la Unión, las autoridades de control cooperarán entre sí y, en su caso, con la Comisión como parte del mecanismo de coherencia establecido en este sección.
artículo 64
Dictamen del Comité
1. El Comité emitirá un dictamen siempre que una autoridad de supervisión competente tiene la intención de adoptar una de las siguientes medidas. Con este fin, la autoridad supervisora competente comunicará el proyecto de decisión de la comisión, cuando este proyecto:
a) es la adopción de una lista de operaciones para las que una evaluación de impacto en materia de protección de datos debe llevarse a cabo de conformidad con el artículo 35, el procesamiento, el párrafo 4;
b) se refiere a si, en virtud del artículo 40, párrafo 7, si un código de conducta o un proyecto de modificación o ampliación de un código de conducta cumple con estas regulaciones;
c) objetivos para la aprobación de los criterios de acreditación de una organización de conformidad con el artículo 41, párrafo 3, o un organismo de certificación de conformidad con el artículo 43, párrafo 3;
d) objetivos a cláusulas de configuración para la protección de datos en virtud del artículo 46, párrafo 2 d), y el artículo 28, párrafo 8;
e) objetivos para autorizar cláusulas contractuales que se refiere el artículo 46, apartado 3 bis); o
f) pretende aprobar normas corporativas vinculantes en el sentido del artículo 47.
Cualquier autoridad de supervisión, el presidente del comité o la Comisión podrá pedir que una cuestión de aplicación general o de los efectos que producen en varios Estados miembros para ser considerado por el comité con el fin de obtener una opinión, sobre todo cuando una autoridad de supervisión jurisdicción no cumple con las obligaciones relativas a la asistencia mutua de conformidad con el artículo 61 o de las obligaciones inherentes a las operaciones conjuntas de conformidad con el artículo 62.
En los casos mencionados en los apartados 1 y 2, el Comité emite un dictamen sobre la cuestión planteada, siempre que no lo haya emitido un dictamen sobre el mismo tema. Este dictamen se aprobó un plazo de ocho semanas por una mayoría simple de los miembros del comité. Este plazo podrá ampliarse por seis semanas, dependiendo de la complejidad de la cuestión. En cuanto al proyecto de decisión se refiere el apartado 1 remitido al Comité de conformidad con el párrafo 5, un Miembro que no se oponga dentro de un plazo razonable fijado por el Presidente se considera que apruebe el proyecto de decisión.
Los supervisores y la Comisión, tan pronto como el comité de forma electrónica, mediante un formulario estándar, toda la información pertinente, incluyendo, en su caso, un resumen de los hechos, el proyecto de decisión , las razones que requieran la adopción de esta medida y los puntos de vista de otras autoridades de supervisión afectadas.
El presidente del comité transmite rápidamente por vía electrónica:
a) toda la información pertinente puesta a su disposición a los miembros y la Comisión, mediante un formulario estándar. La Secretaría del Comité, en su caso, traducciones de información pertinentes; y
b) la notificación se refirió a la autoridad de supervisión, según proceda, en los apartados 1 y 2, y la Comisión, y publicados.
La autoridad de control competente no adopta su proyecto de decisión se refiere el apartado 1 cuando el período mencionado en el párrafo 3 cortos.
El apartado 1, bajo la autoridad de control deberá tener muy en cuenta la opinión del comité, e informó al presidente del Comité electrónicamente utilizando un formulario estándar, dentro de las dos semanas siguientes a la recepción de la opinión si se mantendrá o si va a modificar su proyecto de decisión y, en su caso, su proyecto de decisión modificado.
Cuando la autoridad de control se trate informará al Presidente del Comité, dentro del plazo mencionado en el apartado 7 de este artículo que no tiene intención de seguir en su totalidad o en parte, la opinión del comité, siempre que el razones pertinentes, el artículo 65, se aplicará el apartado 1.
artículo 65
La resolución de disputas por el comité
1. Con el fin de garantizar la aplicación correcta y homogénea del presente Reglamento en el caso, el comité adopte una decisión obligatoria en los siguientes casos:
a) cuando, en el caso previsto en el artículo 60, párrafo 4, una autoridad de supervisión interesado haya hecho una objeción relevante y motivada en relación con un proyecto de decisión del líder o supervisor el supervisor principal rechazó la objeción sobre la base de que no es pertinente o justificada. La decisión vinculante sobre todos los asuntos que son objeto de las objeciones pertinentes y motivados por ejemplo, si hay una violación de este Reglamento;
b) cuando no son vistas divergentes en cuanto a la autoridad de supervisión correspondiente competente para la instalación principal;
c) cuando una autoridad de control no requiere el dictamen del Comité en los casos mencionados en el artículo 64, apartado 1, o no sigue el dictamen del Comité emitido en virtud del artículo 64 . en este caso, cualquiera de las autoridades de supervisión o la Comisión podrá someter el asunto a la comisión.
La decisión se refiere el apartado 1 es adoptado por una mayoría de dos tercios de los miembros del comité plazo de un mes después de la transmisión de la cuestión. Este plazo podrá ampliarse en un mes, dependiendo de la complejidad del tema. La decisión se refiere el apartado 1 deberá ser motivada y enviado al regulador de plomo y de todas las autoridades de supervisión afectadas y es vinculante para ellos.
Cuando el comité no pudo adoptar una decisión en el plazo mencionado en el apartado 2, se adoptará una decisión, por mayoría simple de sus miembros, dentro de dos semanas después de transcurridos dos meses a que se refiere en el apartado 2. en caso de empate en la votación en el comité, la voz del presidente es dominante.
Las autoridades de supervisión afectadas no hubiesen adoptado una decisión sobre el asunto al Comité en virtud del párrafo 1, donde los plazos previstos en los párrafos 2 y 3 de ejecución.
El Presidente del Comité, tan pronto como la decisión mencionada en el apartado 1 a las autoridades de control pertinentes. Se informará a la Comisión. La decisión se publicó en el sitio web del Comité inmediatamente después de la autoridad de control ha notificado la decisión final se hace referencia en el párrafo 6.
El supervisor principal o, en su caso, la autoridad de control desde el que se presentó la denuncia adoptar la decisión definitiva sobre la base de la decisión mencionada en el párrafo 1 de este artículo, tan pronto como sea posible y a más tardar un mes después de que el comité ha notificado su decisión. El supervisor principal o, en su caso, la autoridad de control con la que la denuncia ha sido presentada informa de la fecha de Comité en que se notifica la decisión final, respectivamente, para el controlador o sub -traitant y la persona de que se trate. La decisión final de las autoridades de supervisión afectadas acordado las condiciones del artículo 60, párrafos 7, 8 y 9. La decisión final se refiere a la decisión mencionada en el párrafo 1 del presente artículo y dijo que será publicado en la página web del Comité de conformidad con el párrafo 5 del presente artículo. La decisión mencionada en el apartado 1 de este artículo se adjunta a la decisión final.
artículo 66
procedimiento de emergencia
En circunstancias excepcionales, cuando una autoridad de supervisión afectadas considere que es urgente intervenir para proteger los derechos y libertades de los datos, puede, no obstante el mecanismo de control de la consistencia se refieren los artículos 63, 64 y 65 o con el procedimiento establecido en el artículo 60, adoptar inmediatamente medidas provisionales para producir efectos jurídicos en su propio territorio y con un período de validez especificado no superior a tres meses. La autoridad de control comunicará sin demora dichas medidas y las razones para su adopción en otras autoridades de supervisión afectadas, el Comité y la Comisión.
Cuando una autoridad de supervisión ha tomado medidas con arreglo al apartado 1 y considera que se tomen con urgencia medidas definitivas, puede solicitar un dictamen urgente o una decisión vinculante del comité de emergencia, justificó su petición opinión o decisión.
Cualquier autoridad de control una solicitud motivada de una opinión o decisión y, en particular, la urgencia de intervenir, pidiendo al comité un aviso de emergencia o una decisión vinculante de una emergencia, según sea el caso, cuando la autoridad control competente no ha tomado las medidas adecuadas en una situación en la que es urgente intervenir para proteger los derechos y libertades de los interesados.
No obstante el artículo 64, apartado 3, y el artículo 65, apartado 2, la notificación de emergencia o la decisión vinculante de urgencia previstos en los apartados 2 y 3 del presente artículo se adoptarán dentro de los dos semanas por una mayoría simple de los miembros del comité.
artículo 67
Intercambio de información
La Comisión podrá adoptar actos de ejecución obligatoria general para definir los términos del intercambio de información electrónica entre las autoridades de supervisión y entre estas autoridades y el comité, incluyendo el modelo normalizado que se refiere el artículo 64.
Estos actos se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 93, apartado 2.
la sección 3
Comité Europeo de Protección de Datos
artículo 68
Comité Europeo de Protección de Datos
El Comité Europeo para la Protección de Datos (en adelante denominado "Comité") se estableció como un organismo de la Unión tiene personalidad jurídica.
El comité está representado por su Presidente.
El comité está formado por la cabeza de cada autoridad supervisora del Estado miembro y el Supervisor Europeo de Protección, o sus respectivos representantes.
Cuando en un Estado miembro, varios supervisores son responsables de supervisar la aplicación del presente Reglamento, un representante común es nombrado de conformidad con la legislación de ese Estado miembro.
La Comisión tiene el derecho a participar en las actividades y reuniones del comité sin derecho a voto. La Comisión designará a un representante. El Presidente del Comité informará a la Comisión de las actividades del comité.
En los casos mencionados en el artículo 65, el Supervisor Europeo no tiene derecho a voto en las decisiones referentes a los principios y normas aplicables a las instituciones y órganos de la Unión correspondiente en sustancia a las establecidas en el presente Reglamento.
artículo 69
independencia
El Comité tendrá las funciones y competencias que le confiere el acuerdo con los artículos 70 y 71 de forma independiente.
Sin perjuicio de las solicitudes de la Comisión se refiere el artículo 70, párrafo 1 b) y el artículo 70, apartado 2, el Comité solicitará ni ni aceptarán instrucciones de cualquier persona en el desempeño de su funciones y competencias.
artículo 70
Comité de misiones
1. El Comité velará por la aplicación coherente del presente Reglamento. Con este fin, el Comité, por iniciativa propia o, en su caso, a petición de la Comisión, tiene las siguientes misiones:
a) supervisar y garantizar la correcta aplicación del presente Reglamento conforme a lo dispuesto en los artículos 64 y 65, sin perjuicio de las misiones de las autoridades nacionales de supervisión;
b) asesorar a la Comisión sobre cualquier asunto relacionado con la protección de datos personales en la Unión, incluyendo cualquier propuesta de modificación del presente Reglamento;
c) asesorar a la Comisión en relación con las normas corporativas vinculantes, en forma de intercambio de información entre los controladores, los contratistas y supervisores, así como los procedimientos que s relativos a ellos;
d) para emitir directrices, recomendaciones y mejores prácticas sobre los procedimientos para la eliminación de vínculos a datos personales, copias o reproducciones de los existentes en los servicios de comunicación disponibles para el público y la prevista en el artículo 17, apartado 2;
e) examinar, por iniciativa propia, a petición de uno de sus miembros oa petición de la Comisión cualquier cuestión relativa a la aplicación del presente Reglamento y emitir directrices, recomendaciones y buenas prácticas para promover la aplicación coherente del presente Reglamento;
f) para emitir directrices, recomendaciones y mejores prácticas en conformidad con el apartado e) del presente párrafo, a especificar los criterios y condiciones aplicables a las decisiones basadas en perfiles de conformidad con el artículo 22, apartado 2;
g) formular directrices, recomendaciones y mejores prácticas en conformidad con el apartado e) del presente párrafo, que establezca violaciónes de los datos personales, para determinar el mejor momento que se refiere el artículo 33, párrafos 1 y 2, y especificar las circunstancias especiales en las que se requiere un controlador o un subcontratista para notificar a la violación de los datos al personal de la naturaleza;
h) para emitir directrices, recomendaciones y mejores prácticas de acuerdo con el punto e) del presente apartado relativa a las circunstancias en las que es probable que una violación de los datos personales para generar un alto riesgo para los derechos y libertades de las personas físicas como previsto en el artículo 34, párrafo 1;
i) formular directrices, recomendaciones y mejores prácticas en conformidad con el apartado e) del presente párrafo, con el fin de especificar los criterios y requisitos para la transferencia de datos personales basadas en normas corporativas vinculantes aplicados por controladores y sobre las normas corporativas vinculantes aplicados por los subcontratistas y para otros requisitos necesarios para garantizar la protección de datos de carácter personal de las personas afectadas con arreglo al artículo 47;
j) formular directrices, recomendaciones y mejores prácticas en conformidad con el apartado e) del presente párrafo, a especificar los criterios y requisitos para la transferencia de datos personales sobre la base del artículo 49, párrafo 1;
k) para el desarrollo, en beneficio de los supervisores, directrices sobre la aplicación de las medidas contempladas en el artículo 58, apartados 1, 2 y 3, así como las multas administrativas en el marco del la sección 83;
l) para hacer un balance de la aplicación práctica de las directrices, recomendaciones y mejores prácticas se refieren las letras e) yf);
m) para emitir directrices, recomendaciones y mejores prácticas en conformidad con el apartado e) del presente párrafo, el establecimiento de procedimientos comunes para la presentación de informes por los individuos para violaciónes de este Reglamento en virtud del artículo 54 , párrafo 2;
n) fomentar el desarrollo de códigos de conducta y el establecimiento de sistemas de certificación y las etiquetas y marcas para la protección de datos en virtud de los artículos 40 y 42;
o) para llevar a cabo la acreditación de los organismos de certificación y revisión periódica de que la aprobación en virtud del artículo 43 y para mantener un registro público de las entidades autorizadas en virtud del artículo 43, párrafo 6, y controladores de datos o subcontratistas autorizados establecidos en terceros países en virtud del artículo 42, párrafo 7;
p) definir los requisitos mencionados en el artículo 43, párrafo 3, a los efectos de la acreditación de organismos de certificación previstas en el artículo 42;
q) para dar la Comisión un dictamen sobre la certificación de los requisitos mencionados en el artículo 43, párrafo 8;
r) para hacer la Comisión un dictamen sobre los iconos que se refiere el artículo 12, párrafo 7;
s) para hacer la Comisión un dictamen sobre la evaluación de la adecuación del nivel de protección que ofrece un tercer país u organización internacional, en particular sobre la evaluación de si un tercer país, territorio o una o más áreas identificadas en dicho tercer país u organización internacional ya no proporcionan el nivel de protección adecuado. Con este fin, la Comisión proporciona al Comité todos los documentos necesarios, incluida la correspondencia con el gobierno de los terceros países, con respecto a dicho tercer país o territorio determinado sector u organización internacional;
t) para emitir dictámenes sobre las autoridades de supervisión de los proyectos de decisión de acuerdo con el mecanismo de coherencia se refiere el artículo 64, párrafo 1, sobre cuestiones planteadas en virtud del artículo 64, párrafo 2, y a las decisiones vinculantes en virtud del artículo 65, incluso en los casos contemplados en el artículo 66, tema;
u) promover la cooperación y el intercambio bilateral y multilateral efectivo de información y mejores prácticas entre las autoridades de supervisión;
v) promover el desarrollo de programas conjuntos de capacitación y facilitar los intercambios de personal entre las autoridades de supervisión y, en su caso, con las autoridades de supervisión de terceros países y organizaciones internacionales;
w) para promover el intercambio con las autoridades de control de protección de datos de todos los países, el conocimiento y la documentación sobre la legislación y las prácticas en materia de protección de datos;
x) para emitir opiniones sobre los códigos de conducta elaborados a escala de la UE en virtud del artículo 40, párrafo 9; y
y) de un registro electrónico, las decisiones de acceso público adoptadas por las autoridades de supervisión y los tribunales en cuestiones tratadas en el contexto del mecanismo de coherencia.
Cuando la Comisión solicite asesoramiento al comité, se puede mencionar un tiempo, según la urgencia del asunto.
El Comité comunicará sus opiniones, las directrices, recomendaciones y mejores prácticas a la Comisión y al Comité mencionado en el artículo 93 y publicado.
El Comité consultará, según proceda, las partes interesadas y les permitirá a los comentarios en un plazo razonable. Pone los resultados del procedimiento de consulta a disposición del público, sin perjuicio del artículo 76.
artículo 71
relaciones
El Comité elabora un informe anual sobre la protección de las personas con respecto al tratamiento en la UE y, en su caso, en terceros países y organizaciones internacionales. El informe se hace público y se comunica al Parlamento Europeo, el Consejo y la Comisión.
El presente informe anual que incluye la evaluación de la aplicación práctica de las directrices, recomendaciones y mejores prácticas que se refiere el artículo 70, apartado 1, letra l) y las decisiones vinculantes que se refiere el artículo 65.
artículo 72
procedimiento
El Comité toma sus decisiones por mayoría simple de sus miembros, a menos que se disponga otra cosa en el presente Reglamento.
El Comité aprobará su reglamento interno por mayoría de dos tercios de sus miembros y determina sus procedimientos operativos.
artículo 73
presidente
El Comité elegirá a su presidente y dos vicepresidentes entre sus miembros por mayoría simple.
Las Presidente y Vicepresidentes son elegidos por un período de cinco años renovable una vez.
El presidente es responsable de:
Artículo 74 Funciones del Presidente
a) convocar las reuniones del comité y fijar el orden del día;
b) notificar las decisiones adoptadas por el Comité en virtud del artículo 65 al supervisor de plomo y las autoridades de supervisión afectadas;
c) garantizar el cumplimiento, a la hora de las tareas del Comité, en particular en relación con el mecanismo de coherencia se refiere el artículo 63.
El Comité se encargará en su reglamento la división de tareas entre el Presidente y los Vicepresidentes.
artículo 75
secretaría
El comité tiene una secretaría, que es proporcionada por el Supervisor Europeo de Protección de Datos.
La Secretaría desempeñará sus funciones bajo la autoridad única de la silla.
El personal del Supervisor Europeo que participa en las misiones que este Reglamento encomienda al comité está sujeta a una estructura jerárquica separado del personal involucrado en la realización de las funciones encomendadas al Supervisor Europeo protección de Datos.
Si es necesario, el comité y el Supervisor Europeo deberán establecer y publicar un proyecto de acuerdo aplicación del presente artículo, el que se establecen las modalidades de su cooperación y aplicar a la protección de datos personal Supervisor Europeo involucrados en la realización de las tareas que el presente Reglamento atribuya a la comisión.
La Secretaría proporcionará apoyo analítico, administrativo y logístico al comité.
Secretaría es particularmente responsable de:
a) el comité de gestión actual;
b) la comunicación entre los miembros del comité, su Presidente y la Comisión;
c) la comunicación con otras instituciones y el público;
d) el uso de medios electrónicos para la comunicación interna y externa;
e) la traducción de la información pertinente;
f) reuniones de preparación y del comité de seguimiento;
g) la preparación, elaboración y publicación de las opiniones, las decisiones sobre la solución de controversias entre las autoridades supervisoras y otros textos aprobados por el comité.
artículo 76
confidencialidad
Cuando se considere necesario por el Comité, sus deliberaciones son confidenciales, según se dispone su normativa interna.
El acceso a los documentos presentados al Comité, expertos y representantes de terceros se rige por el Reglamento (CE) nº 1049/2001 del Parlamento Europeo y del Consejo (1).
CAPÍTULO VIII
Recursos judiciales, responsabilidad y sanciones
artículo 77
Derecho a presentar una denuncia ante una autoridad de supervisión
Sin perjuicio de cualquier otro recurso administrativo o judicial, cada interesado tiene derecho a presentar una denuncia ante una autoridad de control, en particular en el Estado miembro en el que es su residencia habitual, lugar de trabajo o donde se ha cometido la violación, si se considera que el tratamiento de datos personales en relación con una violación de este reglamento.
La autoridad de control desde el cual se haya presentado la reclamación notificará el autor de la reclamación de la evolución y el resultado de la reclamación, incluyendo la posibilidad de un recurso judicial de artículo 78.
artículo 78
Derecho a un recurso judicial efectivo contra una autoridad de supervisión
Sin perjuicio de cualquier otro tribunal administrativo o, cualquier persona física o jurídica tiene derecho a interponer un recurso judicial efectivo contra una decisión vinculante de una autoridad de control se refiere.
Sin perjuicio de cualquier otro tribunal administrativo o, cualquier persona tiene el derecho a formar un recurso legal efectivo cuando la autoridad de control competente con arreglo a los artículos 55 y 56 no procesa una reclamación o no informar a la persona de que se trate, dentro de los tres meses de la situación o el resultado de su queja en virtud del artículo 77.
Cualquier acción contra una autoridad de control es presentada en los tribunales del Estado miembro en cuyo territorio se establece la autoridad de control.
En el caso de una acción contra una decisión de una autoridad de control que fue precedida por una opinión o decisión del comité como parte del mecanismo de coherencia, los transmite de supervisor opinión o decisión en cuestión de la jurisdicción correspondiente.
artículo 79
Derecho a un recurso judicial efectivo contra un controlador o un subcontratista
Sin perjuicio de las acciones administrativas o judiciales a su alcance, incluido el derecho a presentar una denuncia ante una autoridad de supervisión en virtud del artículo 77, cada persona tiene derecho a un recurso legal efectivo si considera que los derechos conferidos por el presente Reglamento han sido violados por un tratamiento de sus datos personales en violación de este Reglamento.
Cualquier acción contra un controlador o un subcontratista es llevado ante los tribunales del Estado miembro en el que el controlador o subcontratista tenga un establecimiento. Tal acción podrá interponerse también en los tribunales del Estado miembro en el que el interesado tenga su residencia habitual, a menos que el controlador o el asistir -como es un Estado miembro de la autoridad pública en el ejercicio de sus poderes públicos.
(1) El Reglamento (CE) nº 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público al Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p . 43).
artículo 80
Representación de las personas afectadas
El interesado tiene derecho a designar a una agencia, organización o asociación sin ánimo de lucro, que ha sido válidamente constituida con arreglo a la legislación de un Estado miembro cuyos fines de interés público legal y está activa en el campo la protección de los derechos y libertades de los interesados bajo la protección de datos personales relativos a ellos, porque ésta presenta una denuncia en su nombre, ejercida en nombre de los derechos mencionados en los artículos 77, 78 y 79 y se compromete, por el derecho a obtener una reparación se hace referencia en el artículo 82 cuando la legislación de un Estado miembro ofrece.
Los Estados miembros podrán disponer que cualquier organismo, entidad o asociación que se refiere el párrafo 1 del presente artículo, independientemente de cualquier mandato de una persona en cuestión ha, en el Estado miembro de que se trate, el derecho a presentar una queja a la autoridades de supervisión que tiene jurisdicción en virtud del artículo 77 y el ejercicio de los derechos en virtud de los artículos 78 y 79 si se considera que los derechos de la persona en cuestión prevista en el presente Reglamento han sido violados por el tratamiento.
artículo 81
Suspensión de la acción
Cuando un tribunal competente de un Estado miembro tiene información de que una acción referente al mismo asunto ha sido llevado con respecto a un proceso realizado por el mismo controlador y el mismo subcontratista y está pendiente ante un tribunal otro Estado miembro, se pone en contacto esa corte en el otro Estado miembro para confirmar la existencia de dicha acción.
Cuando una acción referente al mismo asunto ha sido llevado con respecto a un proceso realizado por el mismo controlador y el mismo subcontratista y está pendiente ante un tribunal de otro Estado miembro, ninguna jurisdicción que no sea el primer tribunal puede permanecer su acción.
Cuando esta acción está pendiente ante los tribunales de primera instancia, cualquier tribunal distinto del tribunal que conozca primero podrán declinar su competencia, a petición de cualquiera de las partes, siempre que el primer Tribunal es competente para conocer las acciones en cuestión y que la ley permita la acumulación.
artículo 82
Derecho a la indemnización y la responsabilidad
Cualquier persona que haya sufrido daños materiales o morales debido a una violación del presente reglamento tiene el derecho de obtener del responsable del tratamiento o del subcontratista reparación del daño sufrido.
Cada controlador que participaron en el tratamiento es responsable de los daños causados por el tratamiento en violación de este Reglamento. Un contratista es responsable de los daños causados por el tratamiento si no ha cumplido con las obligaciones establecidas en el presente Reglamento que recaiga sobre los subcontratistas o actuó fuera de instrucciones lícito del controlador o contrario a ellos.
Un controlador o un subcontratista está exento de responsabilidad en virtud del párrafo 2, si prueba que el hecho que causó el daño no es imputable a la misma.
Cuando varios controladores o subcontratistas o cuando, a la vez, un controlador y un subcontratista involucrado en el tratamiento e incluso cuando, en virtud de los párrafos 2 y 3, que son responsables de los daños causados por tratamiento, cada uno de los controladores o subcontratistas será responsable de los daños en su totalidad para asegurar la persona interesada un remedio efectivo.
Cuando un controlador o un subcontratista, de acuerdo con el párrafo 4, totalmente reparado el daño sufrido, que tiene derecho a reclamar de los otros controladores o subcontratistas implicados al mismo tratamiento de la reparación correspondiente a su parte de responsabilidad por los daños, de acuerdo con los requisitos del apartado 2.
Las acciones judiciales emprendidas para ejercer el derecho a obtener reparación es presentada ante los tribunales competentes en virtud de la ley del Estado miembro en virtud del artículo 79, apartado 2.
artículo 83
Las condiciones para la imposición de multas administrativas
Cada supervisor reloj que las multas administrativas impuestas bajo esta sección por las infracciones de este Reglamento se hace referencia en los párrafos 4, 5 y 6 son, en cada caso eficaces, proporcionadas y disuasorias.
Según las características específicas del caso, multas administrativas se imponen además de o en lugar de las medidas mencionadas en el artículo 58, párrafo 2 a) a h) y j). Al decidir si se debe imponer una multa administrativa y decidir el importe de la multa administrativa deberá tener debidamente en cuenta, en cada caso, lo siguiente:
a) la naturaleza, gravedad y duración de la infracción, dada la naturaleza, el alcance o la finalidad del tratamiento correspondiente y el número de personas afectadas en cuestión y el nivel de daño que han sufrido;
b) el hecho de que la infracción se cometió deliberadamente o por negligencia;
c) cualquier acción tomada por el controlador o el procesador para mitigar el daño sufrido por las personas afectadas;
d) el grado de responsabilidad del controlador o el subcontratista, dadas las medidas técnicas y organizativas que han implementado en los artículos 25 y 32;
e) cualquier violación relevante comprometido previamente por el controlador o el procesador;
f) el grado de cooperación establecida con la autoridad de supervisión para remediar la violación y para mitigar los efectos negativos;
g) las categorías de datos personales afectados por la violación;
h) la manera en que el supervisor es consciente de la violación, incluyendo si y en qué medida, el controlador o el procesador ha informado de la violación;
i) donde las medidas mencionadas en el artículo 58, párrafo 2, fueron ordenados previamente contra el controlador o el contratista para el mismo propósito, respecto de las medidas;
j) la aplicación de los códigos aprobados en virtud del artículo 40 o de certificación mecanismos aprobados en virtud del artículo 42; y
k) cualquier otro agravantes o atenuantes circunstancias aplicables a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a causa de la violación.
Si un controlador o deliberadamente subcontratista viola o por negligencia varias disposiciones de este Reglamento, como parte de la misma el procesamiento de transacciones o las operaciones de procesamiento relacionados, la cantidad total de la multa administrativa no puede exceder la cantidad fijada para las violaciónes más graves.
Violaciónes de las disposiciones siguientes deberán estar de acuerdo con el párrafo 2 de multas administrativas de hasta 10 millones de euros o, en el caso de una empresa hasta un 2% de la facturación total mundial anual del año pasado, la cantidad más alta siendo retenido:
a) las obligaciones del controlador y el sub-contratista en las secciones 8, 11, 25 a 39, 42 y 43;
b) las obligaciones de la entidad de certificación virtud de los artículos 42 y 43;
c) las obligaciones del órgano responsable de controlar los códigos de conducta en virtud del artículo 41, párrafo 4.
5. Violaciónes de las siguientes disposiciones deben estar de acuerdo con el párrafo 2 de multas administrativas de hasta 20 millones de euros o, en el caso de una empresa, hasta el 4% de las ventas las ventas anuales totales del año pasado mundial, la cantidad más alta siendo retenido:
a) los principios básicos del tratamiento, incluidas las condiciones para la autorización de conformidad con los artículos 5, 6, 7 y 9;
b) los derechos que los interesados tienen en las secciones 12 a 22
c) la transferencia de datos personales a un receptor situado en un tercer país u organización internacional en virtud de los artículos 44 a 49;
d) todas las obligaciones impuestas por la ley de los Estados miembros en virtud del Capítulo IX;
e) el incumplimiento de una orden judicial, la limitación temporal o permanente de procesamiento o ordenó la suspensión de los flujos de datos por la autoridad de control de conformidad con el artículo 58, párrafo 2, o el hecho de no conceder acceso proporcionado en violación del artículo 58, apartado 1.
El incumplimiento de una orden judicial emitida por la autoridad de supervisión de conformidad con el artículo 58, párrafo 2, del sujeto, de conformidad con el párrafo 2 del presente artículo, una multa administrativa de hasta 20 millones de euros o, en el caso de una empresa, hasta el 4% del total de ventas anuales globales el año pasado, la cantidad más alta siendo retenido.
Sin perjuicio de las facultades de las autoridades de supervisión estén en la adopción de medidas correctivas de conformidad con el artículo 58, párrafo 2, cada Estado miembro podrá establecer normas que determinen si y en qué medida multas administrativas pueden imponerse las autoridades públicas y los organismos públicos establecidos en su territorio.
El ejercicio por parte de la autoridad de control de sus poderes en virtud del presente artículo estará sujeta a las garantías procesales adecuadas de conformidad con el Derecho comunitario y el derecho de los Estados miembros, incluida la protección judicial efectiva y al debido proceso .
Si el ordenamiento jurídico de un Estado miembro no prevé sanciones administrativas, este artículo puede ser aplicado de manera que la multa se determina por la autoridad de supervisión competente e impuesta por los tribunales nacionales competentes, garantizando al mismo tiempo que estos remedios ser eficaces y tener un efecto equivalente a las multas administrativas impuestas por las autoridades supervisoras. En cualquier caso, las multas impuestas son eficaces, proporcionadas y disuasorias. Los Estados miembros interesados deberán notificar a la Comisión las disposiciones legales que adopten en este apartado el 25 de mayo de 2018 y, sin demora, cualquier disposición legal o posterior que modifica cualquier modificación de las mismas.
artículo 84
sanciones
Los Estados miembros determinarán otras sanciones aplicables a las infracciones del presente Reglamento, en particular para violaciónes que no son objeto de sanciones administrativas previstas en el artículo 83, y adoptarán todas las medidas necesarias para garantizar su aplicación en obra. Estas sanciones sean eficaces, proporcionadas y disuasorias.
Cada Estado miembro notificará a la Comisión las disposiciones legales adoptadas en virtud del apartado 1 no más tarde del 25 de mayo de 2018 y, sin demora cualquier modificación posterior de las mismas.
CAPÍTULO IX
Los arreglos para situaciones especiales Tratamiento
artículo 85
El procesamiento y la libertad de expresión y de información
Estados miembros de conciliación, por ley, el derecho a la protección de datos personales conforme al presente Reglamento y el derecho a la libertad de expresión e información, incluyendo el procesamiento con fines periodísticos y para fines la expresión académica, artística o literaria.
Como parte del tratamiento llevado a cabo con fines periodísticos o con fines de expresión académica, artística o literaria, los Estados miembros establecerán exenciones o excepciones en el capítulo II (principios), Capítulo III (derechos del interesado) capítulo IV (el controlador y subcontratista), capítulo V (transferencia de datos personales a terceros países u organizaciones internacionales), capítulo VI (autoridades de control independientes), capítulo VII (cooperación y consistencia) y el capítulo IX (tratamiento de situaciones especiales) si son necesarias para conciliar el derecho a la protección de los datos personales y la libertad de expresión e información.
Cada Estado miembro notificará a la Comisión las normas legales que hayan adoptado de conformidad con el párrafo 2 y sin demora alguna disposición legal o cualquier modificación posterior modificación posterior que les afecte.
artículo 86
El tratamiento y el acceso público a los documentos oficiales
Los datos personales contenidos en los documentos oficiales en poder de una autoridad pública o por un organismo público o una entidad privada para la ejecución de un fin público podrán ser comunicados por dicha autoridad u organismo de acuerdo con la ley de la Unión o la legislación del Estado miembro de que está sujeto a la autoridad pública o un organismo público, con el fin de conciliar el derecho del público de acceder a documentos oficiales y el derecho a la protección de datos personales, en el presente Reglamento.
artículo 87
El tratamiento del número de identificación nacional
Los Estados miembros podrán especificar las condiciones específicas del tratamiento de un número de identificación nacional u otra identificación de carácter general. En este caso, el número de identificación nacional u otro identificador de aplicación general se usa sólo bajo las salvaguardas apropiadas para los derechos y libertades del interesado adoptado en virtud de este Reglamento.
artículo 88
Procesamiento de datos en el contexto de las relaciones laborales
Los Estados miembros, por ley o por convenio colectivo, más reglas específicas para la protección de los derechos y libertades en relación con el tratamiento de los datos personales de los empleados en el contexto de las relaciones laborales, fines, entre ellos, el reclutamiento, la ejecución del contrato de trabajo, incluyendo el cumplimiento de las obligaciones establecidas por la ley o por convenios colectivos, la gestión, la planificación y la organización del trabajo, la la igualdad y la diversidad en el lugar de trabajo, la salud y la seguridad, la protección de los bienes pertenecientes al empleador o cliente a los efectos del ejercicio y el goce de los derechos y beneficios relacionados con el empleo, individual o colectivamente, y quepara la terminación de la relación laboral.
Estas normas incluyen medidas apropiadas y específicas a la dignidad humana, protección de los intereses legítimos y los derechos fundamentales de las personas afectadas, prestando especial atención a la transparencia del proceso, la transferencia de datos personales dentro de un grupo 'empresas o grupo de empresas dedicadas a una actividad económica conjunta y sistemas de control en el lugar de trabajo.
Cada Estado miembro notificará a la Comisión las disposiciones legales adoptadas en virtud del apartado 1 no más tarde del 25 de mayo de 2018 y, sin demora cualquier modificación posterior de las mismas.
artículo 89
Garantías y exenciones aplicables al tratamiento con fines de archivo en el interés público, con el propósito de la investigación científica o histórica o con fines estadísticos
El tratamiento con fines de archivo en el interés público, con el propósito de la investigación científica o histórica, o con fines estadísticos se presenta de conformidad con el presente Reglamento, las garantías adecuadas de los derechos y libertades de las personas afectadas. Dichas garantías aseguran la aplicación de medidas técnicas y organizativas, en particular para garantizar el principio de minimización de los datos. Estas medidas pueden incluir el uso de apócrifos, ya que estos objetivos pueden lograrse de esta manera. Siempre que estos objetivos pueden lograrse a través de un procesamiento adicional no permite más o identificación de las personas en cuestión, se debe proceder de esta manera.
Cuando los datos personales sean tratados con fines de investigación o propósitos estadísticos científicos o históricos, el Derecho de la Unión o la legislación de un Estado miembro podrá prever excepciones a los derechos en virtud de los artículos 15, 16, 18 y 21, con sujeción a las condiciones y garantías que se refiere el párrafo 1 de este artículo, en la medida en que estos derechos podrían hacer imposible o grave impedimento para el logro de los fines específicos y que estas excepciones son necesarias para lograr estos objetivos.
Cuando los datos personales sean tratados con fines de archivo en el interés público, el Derecho de la Unión o la legislación de un Estado miembro podrá prever excepciones a los derechos en virtud de los artículos 15, 16, 18, 19, 20 y 21, con sujeción a las condiciones y garantías que se refiere el párrafo 1 de este artículo, en la medida en que estos derechos podrían hacer imposible o grave impedimento para el logro de los fines específicos y que estas excepciones son necesarias para lograr estos objetivos.
Cuando el tratamiento se hace referencia en los párrafos 2 y 3 es, al mismo tiempo otro propósito, excepciones sólo se aplicará a procesamiento realizado para los fines mencionados en esos párrafos.
artículo 90
obligaciones de secreto
Los Estados miembros podrán adoptar normas específicas para definir las facultades de las autoridades de control mencionadas en el artículo 58, párrafo 1, e) yf) con respecto a los responsables del tratamiento o subcontratistas presentadas, bajo el derecho de la Unión o la legislación de un Estado miembro o de las normas adoptadas por los organismos nacionales competentes, con la obligación de secreto profesional u otras obligaciones equivalentes de confidencialidad, cuando sea necesario y proporcionado para conciliar el derecho a la protección de los datos personales y la obligación de secreto. Estas reglas se aplican solamente respecto de los datos personales que el controlador o subcontratista ha recibido o obtenidos en el curso de
Cada Estado miembro notificará a la Comisión las normas adoptadas en virtud del apartado 1, no más tarde del 25 de mayo de, 2018, y sin demora cualquier modificación posterior de las mismas.
artículo 91
normas de las iglesias y asociaciones religiosas existentes en el ámbito de la protección de datos
Cuando en un Estado miembro, las iglesias y las asociaciones o comunidades religiosas se aplican, en la fecha de vigencia de este Reglamento, un conjunto completo de normas sobre la protección de las personas con respecto al tratamiento, que pueden seguir aplicando dichas normas, siempre que se ajusten al presente Reglamento.
Iglesias y asociaciones religiosas que se aplican amplio conjunto de normas de conformidad con el párrafo 1 del presente artículo están sujetos al control de una autoridad de control independiente, que puede ser específico, siempre que cumpla los requisitos del capítulo VI del presente la regulación.
CAPÍTULO X
actos delegados y actos de ejecución
artículo 92
Ejercicio de la delegación
Los poderes para adoptar actos delegados otorgados a la Comisión estarán sujetos a las condiciones establecidas en el presente artículo.
La delegación de poderes mencionada en el artículo 12, párrafo 8, y el artículo 43, apartado 8 se otorgan a la Comisión por un período indefinido del 24 de mayo 2016.
La delegación de poderes mencionada en el artículo 12, párrafo 8, y el artículo 43, apartado 8 puede ser revocada en cualquier momento por el Parlamento Europeo y el Consejo. La decisión de revocación pone un término a la delegación de la potencia indicada en la misma. Entrará en vigor el día siguiente al de la publicación de la decisión en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la misma. Que no afecta a la validez de los actos delegados que ya estén en vigor.
Tan pronto como adopte un acto delegado, la Comisión notificará al Parlamento Europeo y el Consejo al mismo tiempo.
Un acto delegado adoptado con arreglo al artículo 12, párrafo 8, y el artículo 43, párrafo 8, entra en vigor si el Parlamento Europeo o del Consejo expresaron ninguna objeción en los tres meses desde la notificación de dicho acto al Parlamento Europeo y al Consejo o si, antes de la expiración de dicho plazo, el Parlamento Europeo y el Consejo han informado a la Comisión de su intención de no objeciones aumento. Este período se extiende por tres meses a iniciativa del Parlamento Europeo o del Consejo.
artículo 93
comité
La Comisión estará asistida por un comité. Dicho Comité será un comité en el sentido del Reglamento (UE) nº 182/2011.
Cuando se haga referencia al presente apartado, el artículo 5 del Reglamento (UE) nº 182/2011 se aplica.
Cuando se haga referencia al presente apartado, el artículo 8 del Reglamento (UE) nº 182/2011, en relación con el artículo 5 se aplica.
CAPÍTULO XI
disposiciones finales
artículo 94
Derogación de la Directiva 95/46 / CE
Directiva 95/46 / CE con efecto del 25 de mayo 2018.
Las referencias a la Directiva se entenderán hechas al presente Reglamento. Las referencias al grupo de protección personal en lo que respecta al tratamiento de datos personales establecidos por el artículo 29 de la Directiva 95/46 / CE se entenderán como referencias al Comité Europeo para la protección de datos establecidos por la el presente Reglamento.
artículo 95
Relación con la Directiva 2002/58 / CE
El presente Reglamento no impone obligaciones adicionales a las personas físicas o jurídicas en el tratamiento en la prestación de servicios de comunicaciones electrónicas disponibles al público en las redes públicas de comunicaciones dentro de la Unión con respecto a los aspectos donde están sujetos a obligaciones específicas con el mismo objetivo establecido en la Directiva 2002/58 / CE.
artículo 96
Relación con los acuerdos celebrados con anterioridad
Los acuerdos internacionales que impliquen la transferencia de datos personales a terceros países u organizaciones internacionales que han sido suscritos por los Estados Miembros tarde del 24 mayo de 2016 y que respetan la legislación de la UE en su caso antes de que fecha seguirán en vigor hasta su modificación, sustituido o revocado.
artículo 97
Informes de la
Más tardar el 25 de mayo de, 2020, y posteriormente cada cuatro años, la Comisión presenta al Parlamento Europeo y al Consejo un informe sobre la evaluación y revisión de este Reglamento. Estos informes se publican.
En las evaluaciones y revisiones que se refiere el apartado 1, la Comisión, en particular, la implementación y operación de:
a) El capítulo V de la transferencia de datos personales a terceros países u organizaciones internacionales, en particular con respecto a las decisiones adoptadas en virtud del artículo 45, párrafo 3 del presente Reglamento, y las decisiones sobre la base del artículo 25, párrafo 6 de la Directiva 95/46 / CE;
b) Capítulo VII en la cooperación y la coherencia.
A los efectos del apartado 1, la Comisión podrá solicitar información a los Estados miembros y las autoridades de supervisión.
Al realizar las evaluaciones y exámenes mencionados en los apartados 1 y 2, la Comisión tiene en cuenta las posiciones y conclusiones del Parlamento Europeo, del Consejo y de otros organismos o fuentes pertinentes.
La Comisión, si es necesario, las propuestas adecuadas para modificar el presente Reglamento, en particular teniendo en cuenta la evolución de la tecnología de la información y a la luz de los avances de la sociedad de la información de estado.
artículo 98
Revisar otros actos jurídicos de la Unión en materia de protección de datos
La Comisión, en caso necesario, propuestas legislativas para modificar otros actos jurídicos de la Unión relativas a la protección de los datos personales, para asegurar una uniforme y coherente de protección de las personas respecto a la tratamiento. Se trata, en particular las normas sobre la protección de las personas con respecto al tratamiento, por instituciones, órganos y organismos de la Unión ya la libre circulación de estos datos.
artículo 99
Entrada en vigor y aplicación
El presente Reglamento entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.
Es aplicable del 25 de mayo 2018.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, 27 de Abril el 2016.
Por el Parlamento Europeo
El presidente
Schulz
Por el Consejo
El presidente
JA Hennis-Plasschaert
No hay productos
Los precios son iva incluido