COMISIÓN EUROPEA Bruselas, 29.4.2016 COM(2016) 238 final 2016/0127 (NLE) Propuesta de DECISIÓN DEL CONSEJO sobre la firma, en nombre de la Unión Europea, de un Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la protección de los datos personales en relación con la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales ES ES EXPOSICIÓN DE MOTIVOS 1. CONTEXTO DE LA PROPUESTA • Razones y objetivos de la propuesta En noviembre de 2006 se creó un Grupo de contacto de alto nivel compuesto de altos funcionarios de la Comisión, la Presidencia del Consejo y los Departamentos de Justicia, Seguridad Nacional y de Estado de EE.UU., para estudiar las posibilidades de que la UE y los EE.UU. pudieran trabajar más estrechamente y con mayor eficacia en el intercambio de información entre los servicios de seguridad, garantizando al mismo tiempo la protección de la privacidad y de los datos personales. La conclusión a que se llegó en el informe final del Grupo de contacto de octubre de 20091 fue que la mejor opción para aplicar los principios comunes acordados en materia de protección de datos para las transferencias transatlánticas de datos en el ámbito policial era un acuerdo internacional vinculante tanto para la UE como para los EE.UU. ya que ofrecería la ventaja de establecer los mecanismos fundamentales de una protección efectiva de la privacidad y de los datos personales que rigen cualquier intercambio de información policial y proporcionaría el mayor nivel posible de seguridad jurídica. El 3 de diciembre de 2010, el Consejo adoptó una Decisión que autorizaba a la Comisión a entablar negociaciones para la celebración de un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre la protección de los datos personales cuando se transfieren y tratan con el fin de prevenir, investigar, detectar o perseguir infracciones penales, incluido el terrorismo, en el marco de la cooperación policial y judicial en materia penal (en lo sucesivo, «el Acuerdo marco»)2. El 28 de marzo de 2011, la Comisión inició las negociaciones. El 8 de septiembre de 2015, las Partes rubricaron el texto. El Acuerdo marco establece, por primera vez, un marco general de principios y salvaguardias de la protección de datos en los casos en los que los datos personales3 se transfieren a efectos policiales o judiciales entre los Estados Unidos, por una parte, y la Unión Europea y sus Estados miembros, por otra. El doble objetivo es garantizar un alto nivel de protección de los datos y, de este modo, reforzar la cooperación entre las Partes. Aunque no constituya en sí mismo la base jurídica para todas las transferencias de datos personales a los Estados Unidos, el Acuerdo marco, en caso necesario, complementa las garantías de protección de datos en los 1 2 3 ES Informes del Grupo de Contacto de Alto Nivel entre la UE y los EE. UU. sobre el intercambio de información y la protección de la vida privada y los datos personales, Bruselas, 23 de noviembre de 2009, 15851/09, JAI 822 DATAPROTECT 74 USA 102. Junto con la adopción de la reforma relativa a la protección de datos y el nuevo escudo en materia de privacidad UE-EE.UU. relativo a las transferencias de datos en el ámbito comercial, la celebración de un Acuerdo marco global y coherente constituye un elemento esencial de la estrategia establecida en la Comunicación de la Comisión sobre la regeneración de la confianza en los flujos de datos entre la UE y los EE.UU. (COM(20123) 846), de 27 de noviembre de 2013, que puede consultarse en http://ec.europa.eu/justice/data-protection/files/com_2013_846_en.pdf, y corroboradas también en las directrices políticas del presidente Juncker y en la Comunicación de la Comisión al Parlamento Europeo y al Consejo «Los flujos transatlánticos de datos: recuperar la confianza instaurando estrictas salvaguardias», COM(2016) 117 final, de 29 de febrero de 2016, disponible en: http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-communication_en.pdf. El concepto de «información de carácter personal», tal y como se utiliza en el Acuerdo marco, es sinónimo del concepto de «datos personales». 2 ES acuerdos en materia de transferencia de datos actuales y futuros o las disposiciones nacionales que autorizan tales transferencias. Esto representa una mejora sustancial en comparación con la situación actual, en la que los datos personales se transfieren a través del Atlántico sobre la base de instrumentos jurídicos (acuerdos internacionales o legislación nacional) que generalmente contienen pocas o ninguna disposición sobre protección de datos. • Coherencia con las disposiciones existentes en la misma política sectorial El Acuerdo marco permitirá mejorar la protección ofrecida a todos los datos personales de los interesados de la UE cuando se intercambien con los EE.UU. a efectos policiales o judiciales. Al establecer un marco global de garantías en relación con la protección de datos, el Acuerdo servirá de complemento a los acuerdos existentes (tanto los acuerdos bilaterales entre los Estados miembros y los EE.UU., como acuerdos UE-EE.UU.) sobre cuya base se envían datos personales a los Estados Unidos con fines policiales, en los casos y en la medida en que no exista el nivel necesario de protección y salvaguardias. Además, el Acuerdo preverá una «red de seguridad» para los futuros acuerdos UE/Estados miembros-EE.UU que constituirá el nivel mínimo de protección. Esto constituye una garantía importante para el futuro y un cambio radical de la situación actual, en la que las salvaguardias, la protección y los derechos tienen que negociarse en cada nuevo acuerdo. En general, el Acuerdo marco aportará un valor añadido considerable en términos de refuerzo del nivel de protección de los titulares de los datos en consonancia con los requisitos del Derecho primario y secundario de la UE. Por primera vez, se introducirá un instrumento de protección de datos que abarque de manera global y coherente todas las transferencias de datos en una zona determinada (es decir, los intercambios transatlánticos de datos en el ámbito de la cooperación policial y judicial en materia penal). Además, el Acuerdo marco fundamentará, en el contexto trasatlántico, los requisitos generales sobre trasferencia de datos internacionales previstos en la futura Directiva relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos (en lo sucesivo, «la Directiva de policía»)4 adoptada el 14 de abril de 2016. En vista de lo anterior, el Acuerdo marco también sienta un importante precedente para acuerdos similares con otros socios internacionales. • Coherencia con otras políticas de la Unión Se espera que el Acuerdo marco tenga un impacto significativo sobre la cooperación policial y judicial con los Estados Unidos. Al establecer un marco común y global en materia de normas de protección de datos y garantías, permitirá a las autoridades policiales y judiciales penales de la UE o de sus Estados miembros y de EE.UU. cooperar más eficazmente entre sí. Por otra parte, garantizará que los acuerdos existentes incluyan todas las medidas de protección necesarias. Con ello se contribuirá a la continuidad en la cooperación policial, 4 ES Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos [COM(2012) 010 final 2012/0010 (COD)] disponible en: http://eur-lex.europa.eu/legalcontent/EN/TXT/PDF/?uri=CELEX:52012PC0010&from=en 3 ES garantizando al mismo tiempo una mayor seguridad jurídica en el momento de las transferencias. El Acuerdo facilitará asimismo la celebración de futuros acuerdos de transferencia de datos con los Estados Unidos en el ámbito de la cooperación policial y judicial penal en la medida en que las garantías de protección de datos habrán sido acordadas, y por lo tanto no tienen que negociarse una y otra vez. Por último, el establecimiento de normas comunes en este importante pero complejo ámbito de cooperación constituye un logro importante que puede contribuir de manera significativa a restaurar la confianza en los flujos de datos transatlánticos. 2. BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD • Base jurídica La base jurídica de la presente propuesta es el artículo 16, leído en relación con el artículo 218, apartado 5, del TFUE. • Subsidiariedad El Acuerdo marco es competencia exclusiva de la UE con arreglo al artículo 3, apartado 2, del TFUE. No es por lo tanto aplicable el principio de subsidiariedad. • Proporcionalidad El Acuerdo marco establece las garantías de protección de los datos impuestas por el mandato de negociación del Consejo. Dichas garantías se consideran elementos necesarios para lograr el nivel exigido de protección cuando se transfieran datos personales a un tercer país, tanto en virtud de la Carta de los Derechos Fundamentales como de la evolución del acervo de la UE. Tal nivel de protección no podría alcanzarse con un conjunto mucho menor de tales garantías ni con un instrumento con menor fuerza vinculante. Por consiguiente, la propuesta no va más allá de lo necesario para alcanzar el objetivo de establecer un marco para la protección de los datos personales que se transmiten entre los Estados Unidos, por una parte, y la Unión Europea y sus Estados miembros, por otra parte, en un contexto policial y judicial. • Elección del instrumento El establecimiento de un marco vinculante para la protección de los datos personales, que servirá de complemento a los acuerdos existentes y constituye una base de referencia para futuros acuerdos, solo puede garantizarse a través de un acuerdo internacional celebrado entre la UE y los Estados Unidos. Además, como se puso de relieve en el informe final del Grupo de contacto de alto nivel de octubre de 2009, un acuerdo internacional garantiza un mayor grado de seguridad jurídica. 3. RESULTADOS DE LAS EVALUACIONES EX POST, DE LAS CONSULTAS CON LAS PARTES INTERESADAS Y DE LAS EVALUACIONES DE IMPACTO • Evaluaciones ex post / control de calidad de la legislación existente No procede. • Consultas con las partes interesadas La Comisión ha informado de forma periódica oralmente y por escrito al Comité especial designado de los avances en las negociaciones. El Parlamento Europeo ha sido informado ES 4 ES periódicamente, a través de su Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE), tanto oralmente como por escrito. • Obtención y utilización de asesoramiento técnico La Iniciativa aplica el mandato de negociación del Consejo de 3 de diciembre de 2010. • Evaluación de impacto No era necesario realizar una evaluación de impacto. El Acuerdo propuesto está en consonancia con el mandato de negociación del Consejo. • Adecuación y simplificación de la reglamentación No procede. • Derechos fundamentales Las disposiciones del Acuerdo marco tienen por objeto la protección del derecho fundamental a la protección de datos personales y el derecho a una tutela judicial efectiva y un juicio justo tal como han quedado consagrados en los artículos 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea. 4. INCIDENCIA PRESUPUESTARIA El Acuerdo propuesto no tiene ninguna incidencia presupuestaria. 5. OTROS ELEMENTOS • Planes de ejecución y modalidades de seguimiento, evaluación e información La aplicación por parte de los Estados miembros será necesaria, aunque no se espera que se produzcan importantes cambios en la legislación, ya que las disposiciones sustantivas del Acuerdo marco reflejan en gran medida las normas ya aplicables a la UE y a las autoridades nacionales con arreglo a la legislación nacional y/o de la UE. • Explicación detallada de las disposiciones específicas de la propuesta El Acuerdo marco, de conformidad con el mandato de negociación del Consejo, abarca cinco categorías de disposiciones: i) disposiciones horizontales; ii) principios y salvaguardias de la protección de datos; iii) derechos individuales; iv) aspectos relativos a la aplicación del Acuerdo y la supervisión; y v) disposiciones finales. i) Disposiciones horizontales i) Objeto del Acuerdo (artículo 1) Para alcanzar la finalidad del Acuerdo (es decir, para garantizar un alto nivel de protección de los datos personales y reforzar la cooperación en el ámbito policial y judicial), el Acuerdo marco establece un marco para la protección de los datos personales cuando se transfieren entre los Estados Unidos, por una parte, y la Unión Europea y sus Estados miembros, por otra, para la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales, incluido el terrorismo. Mediante la referencia a las nociones de «prevención, detección, investigación y enjuiciamiento de infracciones penales» (en lo sucesivo, conjuntamente, «acciones policiales y judiciales») garantiza que el presente Acuerdo será compatible con la ES 5 ES estructura del actual y futuro acervo en materia de protección de datos de la UE (en particular, la separación entre el Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («Reglamento general de protección de datos»5) y la «Directiva de policía» en relación con sus ámbitos respectivos. Al especificar que el «Acuerdo marco» en sí mismo no constituirá la base jurídica para todas las transferencias de datos personales y que una base jurídica (separada) será siempre necesaria, el artículo 1 también deja claro que el Acuerdo marco es un verdadero Acuerdo en materia de derechos fundamentales por el que se establece una serie de medidas de protección y garantías aplicables a esas transferencias. ii) Definiciones (artículo 2) Los términos fundamentales del Acuerdo marco se definen en el artículo 2. Las definiciones de «datos personales», «tratamiento de datos personales», «Partes», «Estado miembro» y «autoridad competente» se ajustan sustancialmente a la manera en que esos conceptos se han definido en otros Acuerdos UE-EE.UU. y/o en el acervo de la UE sobre protección de datos. iii) Ámbito de aplicación del Acuerdo (artículo 3) El artículo 3 del Acuerdo marco define el ámbito de aplicación del Acuerdo marco. Garantizará que las medidas de protección y las garantías ofrecidas por el Acuerdo marco se aplican a todos los intercambios de datos en el marco de la cooperación policial y judicial transatlántica en materia penal. Esto incluye transferencias de conformidad con las leyes nacionales, los acuerdos UE-EE.UU. (por ejemplo, el Tratado de Asistencia Judicial Mutua UE-EE.UU.), los acuerdos Estados miembros - EE.UU. (por ejemplo, los acuerdos de asistencia judicial mutua, los acuerdos sobre el refuerzo de la cooperación en la prevención y la lucha contra las formas graves de delincuencia o los acuerdos o instrumentos en materia de información sobre control terrorista), así como los acuerdos que permiten la transferencia de datos personales por entidades privadas a efectos policiales y judiciales [por ejemplo, en el Acuerdo UE-EE.UU. sobre Registros de Nombres de los Pasajeros6 (en lo sucesivo «PNR») y el Acuerdo sobre el Programa de Seguimiento de la Financiación del Terrorismo7 (en lo sucesivo, «el TFTP») del Acuerdo]. El ámbito de aplicación se basa en una «transferencia de datos», es decir, abarca, en principio, todas las transferencias de datos a efectos policiales o judiciales entre la UE y los EE.UU., independientemente de la nacionalidad o del lugar de residencia del interesado concernido. El Acuerdo marco no cubrirá las transferencias de datos personales (u otras formas de cooperación) entre Estados Unidos y las autoridades de los Estados miembros responsables de velar por la seguridad nacional. iv) No discriminación (Artículo 4) 5 6 7 ES Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) [COM(2012) 11 final, 2012/0011 (COD)], disponible en: http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la utilización y la transferencia de los registros de nombres de los pasajeros al Departamento de Seguridad del Territorio Nacional de los Estados Unidos, DO de 11.8.2012, L 215/5. Acuerdo entre la Unión Europea y los Estados Unidos sobre el tratamiento y la transferencia de datos de mensajería financiera de la Unión Europea a los Estados Unidos, a efectos del Programa de Seguimiento de la Financiación del Terrorismo, DO de 27.7.2010, L 195/5. 6 ES El artículo 4 establece que cada Parte cumplirá el Acuerdo marco sin ninguna discriminación arbitraria o injustificable entre sus propios nacionales y los de la otra Parte. Este artículo complementa y refuerza otras disposiciones del Acuerdo (en particular, los artículos que prevén salvaguardias para las personas físicas, tales como el derecho de acceso, rectificación y recurso administrativo, véase infra), ya que asegura que los nacionales europeos se beneficiarán, en principio, de una igualdad de trato con los ciudadanos de los EE.UU. en lo que se refiere a la aplicación práctica de estas disposiciones por parte de las autoridades de los Estados Unidos. v) Efecto del Acuerdo (artículo 5) Por lo que respecta a los acuerdos existentes entre la UE o los Estados miembros y los Estados Unidos, el Acuerdo marco los completará según proceda, es decir, cuando y en la medida en que carezcan de las salvaguardias necesarias en materia de protección de datos8. La aplicación efectiva del Acuerdo marco (y, en particular, de sus artículos sobre derechos individuales) da lugar a una presunción de compatibilidad con las normas sobre transferencias internacionales de datos. Esto no es ni automático ni una presunción general y, como todas las presunciones, puede ser refutada. No se trata de una presunción automática porque su aplicación depende expresamente de la aplicación efectiva del Acuerdo marco por los EE.UU. y, más concretamente, como precisa explícitamente el apartado 2 del artículo 5, para la aplicación efectiva de los artículos sobre los derechos individuales (en particular, el derecho de acceso y rectificación y los recursos administrativos y judiciales). No se trata tampoco de una presunción general. Dado que el Acuerdo marco no es un instrumento específico para las transferencias, tal presunción opera necesariamente en función de las circunstancias de cada caso, es decir, analizando si la combinación del Acuerdo marco y la base jurídica específica para la transferencia ofrecen un grado de protección en consonancia con las normas europeas de protección de datos. En otras palabras, a diferencia de una decisión que constatara que el nivel de protección era el adecuado, esta cláusula no prevé un reconocimiento «en bloque» del nivel de protección previsto en los EE.UU. como tal o una autorización general de las trasferencias. ii) Principios y salvaguardias de la protección de datos Los artículos descritos a continuación abarcan importantes principios que regulan el tratamiento de los datos personales, así como las garantías y limitaciones. i) Limitación de los fines y de la utilización (artículo 6) En consonancia con la Carta de Derechos Fundamentales de la UE y el acervo de la UE, el artículo 6 se aplica el principio de limitación de los fines de todas las transferencias de datos personales amparados por el Acuerdo marco, tanto en el caso de las transferencias en relación con casos específicos y cuando los EE.UU. y la UE y sus Estados miembros celebren un acuerdo que autorice importantes transferencias de datos personales. El tratamiento (lo cual incluye las transferencias) no puede hacerse más que para fines precisos y legítimos en el 8 ES El cuarto considerando del preámbulo indica que el Acuerdo marco no modificará, condicionará o derogará los acuerdos para los que se demuestre que ofrecen un nivel adecuado de protección de datos, con la excepción de la protección jurisdiccional prevista en el artículo 19, que se aplicaría también a ellos. Esto afecta a los acuerdos PNR y TFTP. 7 ES ámbito del Acuerdo marco, es decir, la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales, incluido el terrorismo. Por otra parte, el tratamiento ulterior de los datos personales por otras autoridades (policiales, judiciales, administrativas o con funciones reguladoras) distintas de la autoridad de una de las Partes que recibe los datos en primer lugar está autorizada siempre y cuando no sea incompatible con los fines para los que fue originalmente transferida y siempre que la nueva autoridad se ajuste a todas las demás disposiciones del Acuerdo marco. La autoridad competente de transferencia podrá imponer asimismo condiciones adicionales (por ejemplo, sobre el uso de los datos) en casos específicos. Por último, los datos personales solo se tratarán de una manera que sea «directamente pertinente y no excesiva o demasiado amplia en relación a los fines de dicho tratamiento». El artículo 6 constituye una disposición clave del Acuerdo: garantiza la aplicación de las salvaguardias a todo el «ciclo de vida» de un determinado conjunto de datos desde la primera transferencia de la UE a su tratamiento por una autoridad competente de los EE.UU. y viceversa, así como su posible posterior intercambio con/nuevo tratamiento por otra autoridad de los EE.UU. o, en el caso de una transferencia de datos de EEUU a una autoridad competente de la UE o uno o más de sus Estados miembros, su posible posterior intercambio con/tratamiento por otra autoridad de la UE o de los Estados miembros. ii) Transferencia ulterior(artículo 7) Las limitaciones fijadas en el artículo 7 para las transferencias ulteriores implica que, en caso de que una autoridad de los EE.UU. tenga la intención de volver a transferir los datos que recibió de la UE o de uno de sus Estados miembros a un tercer país u organización internacional que no esté vinculado por el Acuerdo, tendrá que obtener en primer lugar el consentimiento de la autoridad policial o judicial de la UE que ha cedido inicialmente los datos a los Estados Unidos. Esta regla se aplica igualmente en el caso de que una autoridad de la UE o de uno de sus Estados miembros tenga la intención de volver a transferir los datos que recibió de los Estados Unidos a un tercer país u organización internacional. Al decidir conceder su aprobación, la autoridad emisora inicial deberá tener debidamente en cuenta todos los factores pertinentes, incluidos el fin para el que los datos fueron inicialmente transferidos y si el tercer Estado u organización internacional ofrecen un nivel adecuado de protección de los datos personales. Además, podrá someter la transferencia a determinadas condiciones. Por otra parte, por lo que se refiere a los artículos sobre limitación de los fines (art. 6), período de conservación (art. 12) y categorías especiales de datos personales (art. 13), este artículo tiene expresamente en cuenta la especial sensibilidad que lleva aparejada una importante transferencia de datos personales de personas no sospechosas (por ejemplo, los datos PNR de todos los pasajeros que efectúen un vuelo, con independencia de que exista una sospecha concreta), en la medida en que exige que cualquier transferencia ulterior de datos personales «excepto en relación con casos específicos» solo pueda producirse en condiciones particulares contempladas en el Acuerdo que establece la necesidad de justificación para la transferencia ulterior. La situación específica de las transferencias ulteriores a otro Estado dentro de la UE (por ejemplo, la policía francesa comparte con la policía alemana información recibida del FBI de ES 8 ES los EE.UU.) también es abordada en este artículo (apartado 4), estableciendo que, si esas transferencias están sujetas, en virtud de las normas aplicables, al consentimiento previo, la autoridad que haya remitido la información (por ejemplo, el FBI de EE.UU.) no podrá denegar su consentimiento o imponer condiciones por motivos de protección de datos, ya que todas las instancias implicadas están vinculadas por el Acuerdo marco). iii) Mantener la calidad de los datos y la integridad de la información (artículo 8) Las Partes adoptarán todas las medidas razonables para garantizar que los datos personales transferidos se conservan con la exactitud, pertinencia, puntualidad y exhaustividad necesaria y adecuada para el tratamiento lícito de los datos. En los casos en que la autoridad de transferencia o receptora tenga conocimiento de la existencia de serias dudas en cuanto a la pertinencia, puntualidad, exhaustividad y exactitud de los datos personales recibidos o transferidos, procederá, cuando sea factible, a asesorar a la autoridad de transferencia o receptora al respecto. iv) Seguridad de la información (artículo 9) y notificación de incidentes de seguridad de la información (artículo 10) Estos artículos contribuyen a garantizar un alto nivel de protección de los datos personales intercambiados por las Partes en el Acuerdo marco. En primer lugar, con arreglo al artículo 9, las medidas de carácter técnico, de seguridad y organizativas serán aplicadas por las Partes de cara a la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental, la difusión no autorizada y la alteración y el acceso u otros tratamientos. Estos acuerdos establecerán también que el acceso a los datos personales solo se concederá al personal autorizado. En segundo lugar, con arreglo al artículo 10, en caso de un incidente de seguridad que plantee un riesgo de perjuicio significativo, se tomarán inmediatamente las medidas adecuadas para atenuar los daños, incluida la notificación a la autoridad transmisora y, en su caso, habida cuenta de las circunstancias del incidente, a la persona afectada. Las excepciones a la obligación de notificación se enumeran de forma exhaustiva en la disposición y corresponden a limitaciones razonables (por ejemplo, la seguridad nacional). v) Llevanza de registros (artículo 11) Las Partes dispondrán de métodos eficaces (tales como registros diarios) para demostrar la licitud del tratamiento y la utilización de los datos personales. Este requisito constituye una salvaguardia importante para los ciudadanos, ya que supone exigir a las autoridades policiales y judiciales que demuestren que una determinada operación de tratamiento se llevó a cabo de conformidad con la ley. La obligación de documentar las operaciones de tratamiento de datos conlleva, en particular, que habrá una «traza» en caso de tratamiento ilícito. De este modo, se facilitará la tramitación de las denuncias y la introducción de las reclamaciones relativas a la legalidad de las operaciones de tratamiento. vi) Período de conservación (artículo 12) El tratamiento de los datos se realizará sin perjuicio de los periodos de conservación con el fin de garantizar que los datos no se conservan durante más tiempo del necesario y apropiado. Para determinar la duración de estos periodos de conservación, existe una serie de elementos ES 9 ES que deben tenerse en cuenta, en particular, la finalidad de la transformación o utilización, la naturaleza de los datos y la repercusión sobre los derechos e intereses de los interesados. Asimismo, se especifica que, cuando las Partes celebren un Acuerdo sobre importantes transferencias de datos, tal acuerdo debe contener una disposición específica sobre el período de conservación aplicable. A través de esta disposición, las Partes aceptan el principio de que tales acuerdos de transferencia global contendrán un determinado período de conservación que, por lo tanto, no tendrá que negociarse de nuevo. Los períodos de conservación serán objeto de revisiones periódicas para determinar si un cambio en las circunstancias exige alguna modificación del período aplicable. Para garantizar la transparencia, los períodos de conservación se publicarán o se pondrán a disposición del público de cualquier otro modo. vii) Categorías especiales de datos personales (artículo 13) El tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas o religiosas u otras creencias, la pertenencia a sindicatos o datos personales relativos a la salud o la vida sexual solo puede tener lugar cuando se establezcan las garantías adecuadas de conformidad con la ley (por ejemplo, ocultando la información una vez cumplida la finalidad para la cual fueron tratados los datos personales o cuando se requiera la aprobación de la entidad supervisora para el acceso a la información). Los acuerdos que permitan importantes transferencias de datos personales deberán especificar las normas y condiciones con arreglo a las cuales las categorías especiales de datos podrán ser objeto de tratamiento. Las disposiciones relativas a las categorías especiales de datos son coherentes con la exigencia de que el tratamiento será directamente pertinente y no excesivo de conformidad con el artículo 6 «Limitación de los fines y de la utilización». viii) Decisiones automatizadas (artículo 15) El tratamiento de datos que pueda desembocar en la adopción de decisiones que tengan efectos negativos para una persona (por ejemplo, en el contexto de la elaboración de perfiles) no podrán basarse exclusivamente en el tratamiento automatizado de datos personales, a menos que lo autorice la legislación nacional y siempre que existan salvaguardias adecuadas, incluida la posibilidad de obtener la intervención humana. ix) Transparencia (artículo 20) Las personas tienen derecho a recibir información general o individual (mediante información de carácter general o concreta y sujeta a «restricciones razonables») relativa a la finalidad del tratamiento y el posible uso posterior de sus datos personales, las leyes o normas en virtud de las cuales se lleva a cabo el tratamiento, la identidad de los terceros a quienes podrán comunicarse los datos personales, así como el acceso, la rectificación y los mecanismos de recurso disponibles. Aumentar la sensibilización de los individuos sobre por qué y por quién son tratados sus datos contribuye a la posibilidad de que las personas físicas ejerzan sus derechos de acceso, rectificación o recurso (véanse los artículos 16 a 19). ES 10 ES iii) Derechos individuales Estos derechos son de especial importancia para la protección de los interesados, que podrán, por primera vez, hacer uso de derechos de aplicación general para cualquier transferencia transatlántica de datos personales en el ámbito policial o judicial. i) Acceso y rectificación (artículos 16 y 17) El derecho de acceso confiere a toda persona la posibilidad de solicitar y obtener el acceso a sus datos personales. Los motivos para restringir el acceso se enumeran de manera exhaustiva y corresponden a restricciones razonables (por ejemplo, salvaguardar la seguridad nacional, evitar el perjuicio para la investigación o enjuiciamiento de infracciones penales, y proteger los derechos y libertades de terceros). Los gastos excesivos no podrán imponerse como condición para acceder a los propios datos. El derecho de rectificación otorga derecho a cualquier persona a solicitar la corrección o rectificación de sus datos personales en caso de que sean inexactos o que hayan sido incorrectamente tratados. Esto podrán suponer completar, suprimir, bloquear o bien adoptar cualquier otra medida o método para abordar las inexactitudes o el tratamiento incorrecto de los datos. Cuando la autoridad competente del país beneficiario concluya, a raíz de una solicitud de una persona física, en relación con una notificación presentada por el proveedor de los datos personales o a raíz de su propia investigación, que los datos son inexactos o han sido tratados de manera abusiva, adoptará medidas para completarlos, suprimirlos, bloquearlos, o bien otras medidas de corrección o rectificación. Cuando lo permita la legislación nacional, cualquier persona podrá autorizar a una autoridad de supervisión (es decir, una autoridad nacional de protección de datos en el caso de un interesado que sea nacional de la UE) a solicitar en su nombre el acceso o la rectificación. Esta posibilidad del ejercicio indirecto de los derechos a través de una autoridad y en un ordenamiento jurídico conocido, debe concretamente ayudar a los interesados a hacer valer sus derechos. Si se deniega o se restringe la solicitud de acceso o rectificación, la autoridad requerida ofrecerá a la persona (o a su representante debidamente autorizado) una respuesta indicando los motivos de la denegación o restricción del acceso o rectificación. Del mismo modo, la obligación de facilitar a las personas una respuesta motivada tiene por objeto permitir y facilitar el ejercicio de su derecho al recurso administrativo y judicial en caso de que la autoridad policial o judicial se deniegue o restringa el acceso o la rectificación. ii) Recursos administrativos (artículo 18) Si una persona está en desacuerdo con el resultado de su solicitud de acceso o rectificación de los datos personales, tendrá derecho a presentar un recurso administrativo. Por lo que se refiere al acceso y rectificación, con el fin de facilitar el ejercicio efectivo de este derecho, el interesado tendrá derecho a autorizar a una autoridad de supervisión (es decir, una autoridad nacional de protección de datos en el caso de un interesado que sea nacional de la UE) o a otro representante, cuando así lo autorice la legislación nacional aplicable. La autoridad ante la que se presente el recurso proporcionará al interesado una respuesta escrita que indique, en su caso, las medidas correctoras o reparadoras adoptadas. ES 11 ES iii) Recursos judiciales (artículo 19) Los ciudadanos de cada una de las Partes deberán poder plantear un recurso por vía judicial ante i) la denegación del acceso, ii) la denegación de rectificación o iii) la divulgación ilícita por las autoridades de la otra Parte. Por parte de EE.UU., esto se ha reflejado en la Judicial Redress Act (Ley sobre recursos judiciales) firmada por el Presidente Obama el 24 de febrero de 2016. Esta ley ampliará a los ciudadanos de los «países cubiertos»9 estos tres tipos de motivos para el recurso judicial, según lo dispuesto en la Privacy Act (Ley de protección de la privacidad estadounidense) de 1974, actualmente reservados a ciudadanos estadounidenses y residentes permanentes. El cuarto considerando del preámbulo del Acuerdo marco precisa que esta ampliación cubrirá también los datos intercambiados en virtud de acuerdos como PNR y TFTP. En combinación con la adopción de la Ley sobre recursos judiciales, el artículo 19 mejorará por lo tanto significativamente la protección judicial de los ciudadanos de la UE. Aunque la Ley sobre recursos judiciales contiene una serie de limitaciones (concretamente, sólo será aplicable a los datos de los ciudadanos procedentes de «países cubiertos» cuyos datos hayan sido transferidos, en particular, por las autoridades policiales y judiciales de la UE, pero no solo de ciudadanos de la UE), el artículo 19 del Acuerdo marco aborda una vieja aspiración de la UE. El artículo se corresponde asimismo con las orientaciones políticas del presidente Juncker, según el cual «los Estados Unidos deberán [...] garantizar que todos los ciudadanos de la UE pueden hacer valer sus derechos en materia de protección de datos ante los tribunales de los Estados Unidos, aunque no residan en suelo estadounidense. La supresión de esa discriminación es esencial para el restablecimiento de la confianza en las relaciones transatlánticas». Asimismo, responde a la Resolución del Parlamento Europeo, de 12 de marzo de 2014, sobre el programa de vigilancia de la ANS de los EE.UU., mediante la cual el Parlamento solicitaba que se reanudasen inmediatamente las negociaciones con los EE.UU. sobre el «Acuerdo marco» para poner «los derechos de los ciudadanos de la UE en el mismo plano que los derechos de los ciudadanos de los EE.UU (...)» y proporcionar «recursos administrativos y judiciales eficaces y aplicables a todos los ciudadanos de la UE en los Estados Unidos, sin discriminación alguna»10. El párrafo 3 del artículo 19 aclara que la ampliación de los tres motivos de recurso judicial antes mencionados se entenderá sin perjuicio de otras vías de recurso judicial disponibles con respecto al tratamiento de los datos (por ejemplo, en virtud de la Ley de procedimiento 9 10 ES Un «país cubierto» con arreglo a la Ley sobre recursos judiciales de los Estados Unidos es un país que i) ha celebrado con los Estados Unidos un acuerdo que prevé una protección adecuada de la privacidad de la información compartida con fines policiales o judiciales (o que efectivamente ha compartido información con fines policiales o judiciales y cuenta con las adecuadas medidas de protección de la privacidad necesarias para proceder a compartir la información); ii) permite la transferencia de datos personales con fines comerciales a través de un acuerdo con los Estados Unidos o mediante otros instrumentos; iii) cuyas políticas en lo que se refiere a la transferencia de datos personales con fines comerciales no obstaculizan sensiblemente los intereses de seguridad nacional de los Estados Unidos. La designación de un país como «país cubierto» corresponde al Fiscal General de los Estados Unidos. Véase el apartado 57 y el considerando BJ de la Resolución, de 12 de marzo de 2014, sobre el programa de vigilancia de la Agencia Nacional de Seguridad de los EE.UU., los órganos de vigilancia en diversos Estados miembros y su impacto en los derechos fundamentales de los ciudadanos de la UE y en la cooperación transatlántica en materia de justicia y asuntos de interior, (2013/2188(INI)), disponible en http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-20140230+0+DOC+XML+V0//EN 12 ES administrativo, la Ley sobre protección de la privacidad en las comunicaciones electrónicas o la Ley de libertad de información). Estas otras bases jurídicas para las vías de recurso judicial están abiertas a todos los interesados afectados por la transferencia de datos a efectos policiales y judiciales, con independencia de su nacionalidad o lugar de residencia. iv) Aspectos relativos a la aplicación del Acuerdo y la supervisión i) Rendición de cuentas (artículo 14) Deberán tomarse medidas para fomentar la rendición de cuentas de las autoridades que tratan los datos personales amparados por el Acuerdo marco. Cuando los datos personales sean compartidos de nuevo por la autoridad receptora con otras autoridades, éstas deberán ser informadas de las medidas de salvaguardia aplicables en virtud del presente Acuerdo, así como las posibles condiciones adicionales (restrictivas) que se hayan adjuntado a la transferencia con arreglo a lo dispuesto en el artículo 6, apartado 3 (sobre limitación de los fines y de la utilización). Toda falta grave será castigada mediante sanciones penales, civiles o administrativas adecuadas y disuasorias. Las medidas para fomentar la rendición de cuentas incluyen también, en su caso, la supresión de las posteriores transferencias de datos personales a las entidades de las partes no cubiertas por el Acuerdo marco, en el caso de que no garanticen una protección eficaz de los datos personales a la luz del objetivo del Acuerdo (y, en particular, las disposiciones sobre limitación de los fines y sobre transferencia ulterior). Esta disposición aborda los casos en los que los datos personales son enviados por una autoridad de la UE a una autoridad federal de los EE.UU. (es decir, un órgano cubierto por el presente Acuerdo) y, posteriormente, transferidos a las autoridades policiales o judiciales a nivel estatal. De conformidad con sus normas constitucionales, los Estados Unidos tiene una capacidad limitada para obligar a sus Estados federados a escala internacional11. No obstante, para garantizar la continuidad de la protección de los datos transferidos a las agencias federales de los EE.UU. y compartidos con las autoridades policiales y judiciales en el ámbito estatal, este artículo i) incluye en su ámbito de aplicación a las «otras autoridades» de las Partes (es decir, las autoridades no cubiertas por el presente Acuerdo, tales como las autoridades de los EE.UU.); ii) estipula que se les notifiquen las salvaguardias previstas en el marco del Acuerdo marco; y (iii) exige que, según convenga, las transferencias a dichos entes se interrumpan en caso de que no protejan eficazmente los datos personales a la luz de la finalidad del Acuerdo marco y, en particular, de sus artículos sobre la limitación en cuanto a los fines y las transferencias ulteriores. Al garantizar que las autoridades policiales y judiciales competentes serán responsables de conformidad con el «Acuerdo marco», este artículo constituye un componente importante de un sistema eficaz de observancia y control en el marco del Acuerdo. Contribuirá asimismo a la introducción de derechos individuales en casos de conducta indebida (y la consiguiente responsabilidad de los poderes públicos). Por último, las autoridades de la UE podrán plantear sus preocupaciones y recibir información pertinente de sus homólogos estadounidenses sobre cómo cumplen sus obligaciones en virtud del artículo 14 (incluidas las medidas adoptadas al respecto). Además, en el contexto de las revisiones conjuntas (véase, más abajo, el artículo 23), se prestará especial atención a la aplicación efectiva de este artículo. 11 ES Siendo una República federal, existe un reparto de competencias entre el Gobierno Federal y el Gobierno de cada uno de los Estados (véase también el artículo 5, apartado 2, del Acuerdo marco a este respecto). 13 ES ii) Supervisión efectiva (artículo 21) Las Partes contarán con una o varias autoridades públicas independientes que ejercen funciones y competencias de supervisión, incluidas la revisión, la investigación y la intervención. Dichas autoridades tendrán la facultad de aceptar e intervenir en relación con las reclamaciones presentadas por particulares relativas a las medidas de ejecución del Acuerdo marco y de denunciar las violaciones de la ley relacionadas con el presente Acuerdo para su enjuiciamiento o de cara a una acción disciplinaria. Teniendo en cuenta las particularidades del sistema estadounidense, una combinación de las autoridades de supervisión (incluido el Director encargado de la protección de la privacidad, los inspectores generales, el Consejo de Supervisión de la Privacidad y las Libertades Civiles, etc.) ejercerá de forma acumulativa las funciones de supervisión que llevan a cabo las autoridades de protección de datos de la UE. Este artículo complementa las salvaguardias existentes sobre la base de las disposiciones en materia de acceso, rectificación y vías de recurso administrativo. En particular, permite a los particulares presentar denuncias ante las autoridades independientes acerca de la forma en que la otra Parte ha aplicado el Acuerdo marco. iii) Cooperación entre autoridades de supervisión (artículo 22) Las autoridades de supervisión cooperarán con vistas a la aplicación efectiva del Acuerdo y, en particular, por lo que respecta al sistema de ejercicio indirecto de los derechos individuales en relación con el acceso, la rectificación y el recurso administrativo (véanse artículos 16 a 18). Además, se crearán puntos de contacto nacionales que ayuden a la identificación de la autoridad de supervisión a la que dirigirse en un caso concreto. Teniendo en cuenta, en particular, la existencia de diversas autoridades de supervisión en los EE.UU., la creación de un «punto de entrada» central para las solicitudes de asistencia y cooperación contribuirá a una gestión eficaz de las solicitudes. iv) Revisión conjunta (artículo 23) Las Partes llevarán a cabo revisiones conjuntas periódicas sobre la aplicación y eficacia del Acuerdo marco, prestando especial atención a la aplicación efectiva de los artículos relativos a los derechos individuales (acceso, rectificación, recursos administrativo y judicial), así como a la cuestión de las transferencias a entidades territoriales no cubiertas por el Acuerdo (es decir, estadounidenses). La primera revisión conjunta se realizará a más tardar tres años después de la entrada en vigor del Acuerdo y, en adelante, de forma periódica. La composición de las delegaciones respectivas incluirá a representantes de las dos autoridades de protección de datos y a las autoridades policiales y judiciales. Las conclusiones de las revisiones conjuntas se harán públicas. v) Disposiciones finales El Acuerdo marco contiene una serie de cláusulas finales relativas a: ES la notificación a la otra Parte de toda acción que afecte significativamente a la aplicación del Acuerdo; los EE.UU. notificarán específicamente a la UE cualquier 14 ES medida relativa a la aplicación de las disposiciones de la Ley sobre recursos judiciales (artículo 24); ES las consultas, en el caso de que existan diferencias en cuanto a la manera en que el Acuerdo se interpreta o aplica (artículo 25); la posibilidad de suspender el Acuerdo por una de las Partes en caso de incumplimiento sustancial del Acuerdo por la otra Parte (artículo 26); el ámbito de aplicación territorial del Acuerdo a fin de tener en cuenta la situación específica de Dinamarca, Irlanda y el Reino Unido (artículo 27); la duración indeterminada del Acuerdo, que está justificada por la naturaleza del Acuerdo como marco de protección y garantías, así como en relación con la posibilidad de suspender o rescindir el Acuerdo (artículo 28); la posibilidad de que cada una de las Partes resuelva el Acuerdo mediante notificación a la otra Parte, al tiempo que se precisa que los datos personales transferidos antes de la rescisión se seguirán tratando de acuerdo con las normas del Acuerdo marco (artículo 29, apartados 2 y 3); la entrada en vigor del Acuerdo el primer día del mes siguiente a la fecha en que las Partes se hayan notificado la finalización de sus procedimientos internos de aprobación (artículo 29, apartado 1); la cláusula sobre lenguas (que se encuentra inmediatamente antes de la firma) prevé que: i) el Acuerdo se firmará en inglés y será vertido por la UE a las otras 23 lenguas oficiales de la UE; ii) existe la posibilidad, tras la firma, de autenticar el texto del Acuerdo en cualquiera de las otras lenguas oficiales de la Unión Europea por medio de un canje de notas diplomáticas con los Estados Unidos; iii) en caso de discrepancia entre las diferentes versiones lingüísticas autenticadas del Acuerdo, prevalecerá la versión en inglés. 15 ES 2016/0127 (NLE) Propuesta de DECISIÓN DEL CONSEJO sobre la firma, en nombre de la Unión Europea, de un Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la protección de los datos personales en relación con la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales EL CONSEJO DE LA UNIÓN EUROPEA, Visto el Tratado de Funcionamiento de la Unión Europea, y, en particular, su artículo 16, leído en relación con su artículo 218, aparado 5, Vista la propuesta de la Comisión Europea, Considerando lo siguiente: ES (1) El 3 de diciembre de 2010, el Consejo autorizó a la Comisión a entablar negociaciones con el Gobierno de los Estados Unidos de América acerca de un Acuerdo sobre la protección de los datos personales cuando se transfieren y tratan dichos datos con el fin de prevenir, investigar, detectar o perseguir infracciones penales, incluido el terrorismo. (2) Las negociaciones con el Gobierno de los Estados Unidos de América han concluido y el texto del Acuerdo fue rubricado el 8 de septiembre de 2015. (3) El Acuerdo persigue establecer un marco general de principios y salvaguardias de la protección de los datos personales cuando dichos datos se transfieren a efectos policiales y judiciales en materia penal entre los Estados Unidos, por una parte, y la Unión Europea y sus Estados miembros, por otra. El objetivo es garantizar un alto nivel de protección de los datos y, de este modo, reforzar la cooperación entre las Partes. Aunque no constituya en sí mismo la base jurídica para todas las transferencias de datos personales a los Estados Unidos, el Acuerdo marco, en caso necesario, complementa las garantías de protección de datos previstas en los acuerdos en materia de transferencia de datos actuales y futuros o las disposiciones nacionales que autorizan tales transferencias. (4) La Unión tiene competencia sobre todas las disposiciones del Acuerdo. En particular, la Unión ha adoptado la Directiva 2016/XXX/EU12 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos. 12 Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos, y por la que se deroga la Decisión 2008/977/JAI 16 ES (5) La Unión Europea tiene competencia exclusiva en la medida en que el Acuerdo pueda afectar a las normas comunes de la Unión o alterar su ámbito de aplicación. (6) De conformidad con el artículo 6 bis del Protocolo nº 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al TUE y al TFUE, el Reino Unido e Irlanda no están vinculados por las normas establecidas en el Acuerdo que se refieran al tratamiento de los datos personales en el ejercicio de las actividades comprendidas en el ámbito de aplicación del capítulo 4 (cooperación judicial en materia penal) y el capítulo 5 (cooperación policial) del título V de la Parte Tercera del TFUE en los casos en que el Reino Unido e Irlanda no estén obligados por las normas que requieran el cumplimiento del Acuerdo. (7) De conformidad con los artículos 1 y 2 del Protocolo 22 sobre la posición de Dinamarca anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca no participa en la adopción de la presente Decisión y, por tanto, no queda vinculada por el Acuerdo ni sujeta a su aplicación. (8) Debe firmarse el Acuerdo a reserva de su celebración en una fecha posterior. HA ADOPTADO LA PRESENTE DECISIÓN: Artículo 1 Se autoriza por la presente la firma del Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la protección de los datos personales en relación con la prevención, investigación, detección y enjuiciamiento de infracciones penales, en nombre de la Unión, a reserva de la celebración de dicho Acuerdo. El texto del Acuerdo que debe firmarse se adjunta a la presente Decisión. Artículo 2 La Secretaría General del Consejo establecerá el instrumento de plenos poderes para firmar el Acuerdo, a reserva de su celebración, para la persona indicada por la Comisión. Artículo 3 La presente Decisión entrará en vigor el día de su adopción. Hecho en Bruselas, el Por el Consejo El Presidente ES 17 ES