La Resolución de #Alemania contra #Facebook es Más Importante de lo que se cree. #Whatsapp #Privacidad #ProteccionDeDatos

En un fallo histórico, el inspector de protección de datos de la ciudad de Hamburgo prohibió a Facebook, recabar datos personales de Whatsapp, en contra de las modificaciones de los términos y condiciones que cada usuario del servicio de mensajería tuvo que leer y aceptar o denegar últimamente. Y con ello, puso en resguardo la privacidad de al menos 35 millones de usuarios que viven en ese país.

Pero ¿por qué es importante? Porque hay un elemento que cobra fuerza en esta decisión. Un elemento tan indispensable como único: el previo consentimiento informado del titular de los datos personales para poder utilizar los mismos para otros fines.

Lo que sucedió con la novela Whatsapp-Facebook, fue que, a los usuarios del servicio de mensajería se les informó de los cambios del tratamiento de su información personal, y de que los datos de Facebook iban a ser utilizados por Whatsapp y viceversa con un claro objetivo comercial (a pesar de que hace cuatro años se perjuró de que ello no iba a suceder, como si de las promesas de un político votado presidente, se trataran).

Pero lo que no se hizo fue el proceso inverso: no se notificó a los usuarios de Facebook de que sus datos personales iban a ser mezclados con los de Whatsapp, y tampoco se les dió la opción de elegir por aceptar o denegar dicho tratamiento.

En definitiva, lo que prima es algo muy sencillo: la autodeterminación informativa como derecho fundamental recogido en las cartas magnas. Esa que nos permite a nosotros, poder decidir si queremos o no permitir que utilicen nuestra información personal para cualquier fin.

Y no es coincidencia de que haya sido justamente en Alemania, ya que fue en ese país dónde el concepto de Autodeterminación Informativa surgió hace ya 33 años.

Un saludo

Las Decisiones de los Instrumentos Automatizados en la Esfera de la Privacidad #Privacy #IAPP #MhijoElRobot

Referirse a robots (e instrumentos automatizados) sugiere en demasía una relación directa con la ciencia ficción, el futurismo y aquellos términos que utópicamente pueden ser aceptados pero que en la actualidad no reflejan la realidad de una sociedad.

Ahora, si nos referimos a una persona como tal (integrante de la raza humana), podemos establecer que es aquella susceptible de ser alcanzada por la esfera jurídica de los derechos y obligaciones. En este ámbito, también se consideran personas a las jurídicas y de hecho así lo establecen en su inmensa mayoría los distintos códigos civiles de las naciones que se basan en un sistema jurídico creado y alineado con del pacto social.

En este orden entonces, dentro del término personas parecería no haber espacio para los instrumentos automatizados avanzados que cuentan con características semejantes (o mejor desarrolladas en algunos casos) a los humanos, tales como inteligencia artificial o la robótica. De hecho los derechos fundamentales alcanzan a todas las personas y no a estos últimos. Ahora bien, el proceso inverso también parecería el más lógico: una persona puede defender y hacer valer sus derechos fundamentales frente a un tercero (de carne y hueso) pero ello no tendría injerencia sobre lo que no es objeto de obligaciones ni responsabilidades: una máquina. Así las cosas se desprende que un artefacto puede entonces vulnerar la intimidad de una persona sin que ésta pueda invocar el principio de seguridad jurídica ni las normas que habitualmente le protegen.

Si la intimidad, representa un bien personal de apreciación interior necesaria para el crecimiento y desarrollo de la libertad personal, y de ningún modo puede limitarse o vulnerarse en su goce, entonces ¿cómo puede ser posible que el avance tecnológico automatizado viva con “inmunidad” frente a la regulación referida a la protección de los datos personales, a la salvaguarda de la intimidad y al enaltecimiento de la autodeterminación informativa, al vulnerar los mismos?

Aunque muy pocas personas lo han advertido, la llegada de los robots de uso personal y doméstico coincide con la llegada y masificación de los ordenadores personales por el año 1983 y de ahí en más hasta la actualidad. En ambos casos, su desarrollo ha sido meteórico. Mientras que los ordenadores se han masificado en el uso cotidiano e incorporado como un elemento más de la sociedad de la información, los robots han desarrollado una capacidad de inteligencia artificial que en algunos casos podría superar a la humana, y su aceptación por parte de las personas corresponde más a países de Asia, como Corea del Sur y Japón. En la actualidad, su diversificación en esas regiones crece a pasos agigantados lo que pronostica que para el año 2012, solamente en Corea, el 50% de la población contará con alguna clase de robot doméstico en sus hogares

unque muy pocas personas lo han advertido, la llegada de los robots de uso personal y doméstico coincide con la llegada y masificación de los ordenadores personales por el año 1983 y de ahí en más hasta la actualidad. En ambos casos, su desarrollo ha sido meteórico. Mientras que los ordenadores, smartphones y tablets se han masificado en el uso cotidiano e incorporado como un elemento más de la sociedad de la información, los robots han desarrollado una capacidad de inteligencia artificial que en algunos casos podría superar a la humana, y su aceptación por parte de las personas corresponde más a países de Asia, como Corea del Sur y Japón. En la actualidad, su diversificación en esas regiones crece a pasos agigantados, ya que solamente en Corea del Sur, el 50% de la población cuenta con alguna clase de robot doméstico en sus hogares, o una especie de casa automatizada enlazada a la Internet De las Cosas (IOT).

Que un autómata  tome decisiones como matar, robar o lesionar a una persona u otro instrumento, no significa que esté funcionando mal, ni siquiera que tenga una falla mecánica de la cual la compañía fabricante es la responsable. En todo caso puede deberse a la evolución de su propia inteligencia artificial, a la adquisición de sentidos y al ambiente que lo rodea o le mantiene inmerso. Por lo tanto, si bien para la sociedad, para la ley y para las personas, el actuar de este instrumento automatizado será inmoral, ilegal, inaceptable o condenatorio, contrario a la vida misma, ello no quiere decir que se deba a un mal funcionamiento, sino a una determinación basada en la inteligencia y estímulo de los instrumentos automatizados. Mecánicamente no existiría desperfecto.

Para el caso concreto, los fabricantes de armas, una vez que éstas son vendidas no han sido imputados de responsabilidad por las muertes causadas por las personas que las usan. Entonces, si una empresa ha cumplido con las exigencias impuestas por el gobierno y por la comunidad internacional al punto de que solamente debería responder a los reclamos derivados del alcance de la garantía por desperfectos, ¿por qué razón sería responsable por el “mal actuar” de un instrumento automatizado? Y de hecho, gracias a accidentes sufridos anteriormente, las compañías han aprendido a deslindar responsabilidades por el mal manejo automatizado de las máquinas.

La pregunta es ¿Cómo lo solucionamos?

#Privacidad. Los #principios básicos que rigen entre las personas y los instrumentos automatizados. #MhijoElRobot #Robot #ProteccionDeDatos

La vida, la información, la privacidad y la autodeterminación informativa son los bienes más preciados que los instrumentos automatizados y las personas deben proteger mutuamente adoptando una norma de autorregulación o mejor, llevándola a las esferas de las leyes o de los reglamentos comunitarios. He aquí un ejemplo de ello:

  1. Seguridad y control. Tanto para el diseño, el desarrollo, así como para el ensamblado de un instrumento automatizado, se deberán tomar medidas y precauciones que permitan a las autoridades tomar el control de los mismos y limitar su interacción (de ser necesario) en aquellos escenarios que no revistan garantía alguna para las personas y para ellos mismos.
  2. Llave de control. Se deberá contar con una llave de control o software equivalente que evite el uso ilegal de los instrumentos automatizados.
  3. Rastreabilidad. Los instrumentos automatizados contarán con un sistema de trazabilidad o seguimiento similar al utilizado en las aeronaves comerciales, denominadas “cajas negras”.
  4. Autorregulación. A los efectos de garantizar la privacidad de las personas, se velará por la adopción de un código de buenas prácticas en todos sus términos.
  5. Interacción entre personas e instrumentos automatizados. Todos los Estados involucrados, deberían adoptar medidas necesarias para realizar o proponer la realización de controles de salud a aquellas personas que poseen instrumentos automatizados a su cuidado a los efectos de prevenir daños físicos y mentales o garantizar asistencia inmediata en caso de percatarse los mismos.

El Código Fantasma en los Robots #Privacy #MhijoElRobot

En la película Yo, Robot (I, Robot 2004) el Dr. Alfred Lanning, desarrollador de los nuevos robots inteligentes, explica lo que se llaman “Códigos Fantasma” o radicales libre. Él se refiere a que luego de tanta programación y líneas de desarrollo de software, al estar en funcionamiento pueden mezclarse esas líneas y generar una nueva línea de programación (que es fruto de la coincidencia) pero que tiene sentido, y permitirá a los robots, a tomar sus propias decisiones, a crear, a razonar.

¿Es ello posible? En mi trabajo de tesis “La Autodeterminación Informativa Limitada” , hice especial referencia a los códigos de programación fantasma y a la posibilidad de que, esos códigos que, siendo aislados no significan nada, juntos pueden en una coincidencia, crear un comportamiento, razonamiento y toma de decisiones por parte de un instrumento automatizado, que nunca fue previsto por su desarrollador o ni siquiera autorizado. Ésto le permitiría al instrumento automatizado, a “razonar” una decisión, a tomar una distinta, y especialmente a saltearse las Tres Leyes de la Robótica.

¿Puede entonces violar la privacidad? Basados en la posibilidad de toma de decisiones propias, claro que puede. Puede respetar la privacidad, puede violar la privacidad y con ello publicar y comunicar datos personales y sensibles sin el consentimiento. Y por supuesto, también puede proteger su propia información personal, del intento de acceso de terceros.

Un saludo

Puede un #Robot Respetar la #Vida y la #Privacidad ? #Privacy #MhijoElRobot

Es de esperar que muchas personas se sientan intimidadas por la presencia de un ser extraño que no tiene sentimientos y que además es una máquina programada que puede sufrir desperfectos y producir lesiones a las personas. Este temor se vio más que fundado, el día en que un trabajador de la empresa Kawasaki (Japón) murió en interacción con un robot. Invito domino no se percató el trabajador de que el robot aún poseía corriente y procedió a repararlo. El instrumento automatizado le asestó un golpe que lo mató en el acto. A pesar de que no fuera intención directa de nadie la de asesinar, el hecho de que un robot matara a un humano más la noticia publicada, agrandada y dispersada por la prensa lograría causar una gran conmoción en la población de 1982.

Pero sin ir más lejos, en marzo de 2013 y luego de que se afianzara la noticia por parte de Google de masificar sus gafas inteligentes, denominadas “Google Glass“ las cuales permiten a cada persona que las utilice a acceder a muchísima información personal de terceros debido a su tecnología de punta desplegable en sus cristales ya han surgido reacciones apoyadas por el sentido común de la gente, como es el caso del propietario del bar de Seattle, EEUU, denominado “5 Point Café“ que antes de su comercialización oficial, ya ha prohibido su uso dentro de sus instalaciones, debido a que estas gafas de realidad aumentada obtienen muchísimos datos personales sin el consentimiento de sus titulares ya que cuenta con conexión a Internet, actúan como un teléfono inteligente, toman fotos, graban vídeo y registran cada movimiento, personas y lugar dónde se encuentre, proyectando en los lentes del titular (como si de una pantalla se tratara) toda la información relevante en tiempo real, solo con enfocar los mismos hacia un objetivo.

Ya no nos referimos a aplicaciones inteligentes ni a robots que se hacen de nuestros datos, sino a instrumentos incrustados en nuestras caras para que, en vez de mantener un diálogo con la persona que tenemos en frente, lo que estamos haciendo es acceder a su perfil personal mientras ella nos habla y nos mira a los ojos (¿Y los Oculus Rift?). No le prestamos atención a lo que nos dice, no nos interesa el diálogo, y además permitimos que se interponga una máquina inteligente entre esa persona y yo para que, sin su consentimiento, directamente nos comunique su información personal y hasta sensible por propia decisión o por la nuestra. Si bien reconozco mi debilidad por la tecnología, esta vez creo que se ha ido demasiado lejos sin importar los derechos fundamentales de las propias personas. Ya es demasiado. Es que desvirtuar el objeto del derecho es en la práctica una tentación por demás sencilla cuando no debería acontecer, porque como bien expresa GARRIGA en occasio legis, el Derecho pertenece al universo del deber ser siendo que TODOS los involucrados deben ajustar sus conductas al ordenamiento jurídico (y por supuesto, al sistema jurídico). Así se pretende, y así debe ser.

En parte, esto ha servido para intentar concientizar a los desarrolladores de instrumentos automatizados, de que se debe contar con al menos determinados principios aplicables para que se eviten lesiones y muertes en las personas que se relacionan con instrumentos automatizados, robots y apps.

Aunque, para ser sinceros, el hecho de que a los instrumentos automatizados se les desarrolle una faz moralizada, capaz de actuar en base a la conciencia muy similar a la humana, obedece justamente a lo que FRIEDMAN y KAHN aseveran: todo se debe a un abandono progresivo de la moral por parte de las personas, lo que provoca que se traslade a otros individuos que actuarán en su lugar creando herramientas de decisiones (DST) que les haga responsables por sus actuaciones en el ámbito de la ética. En este ambiente, ya existen interacciones entre las personas y los robots que ponen en tela de juicio la posible falta de ética, de las personas, dependiendo del objetivo para el que un instrumento automatizado es requerido para interactuar. De éstos, tres son hoy en día los más comunes: soldados, juguetes sexuales o esclavos. En efecto, la moralidad humana se puede ver disminuida o modificada socialmente dependiendo el uso final de los robots por parte de las personas que interactúan con ellos y así el cuestionamiento final se dará sobre la misma ética de los instrumentos automatizados, pero no de las propias personas que los explotan. Ronald Arkin, director del Georgia Institute of Mobile Robot Technology analiza si la sociedad acepta o no estas tres clases de comportamiento humano hacia las máquinas, o sea, como guerreros, como compañeros o como esclavos. La primera pregunta casi se puede responder por sí misma: ¿La sociedad acepta los soldados robots?  En la actualidad se utilizan aviones piloteados por sistemas inteligentes (drones), sin pilotos, así como misiles teledirigidos y robots de infantería que ingresan en campos minados o de difícil acceso por un humano, además de la convicción de que el uso de esta maquinaria permite que no se pongan en riesgo las vidas humanas de los soldados de una nación; por lo tanto, moralmente (más allá de la legalidad), la sociedad de la información actual, los acepta. Respecto a que los robots sean utilizados como compañeros o juguetes sexuales ¿Lo acepta la sociedad? Esta respuesta es más complicada que la anterior, debido a que conviven ambas realidades en un mismo contexto: Hace mucho tiempo ya que el uso de juguetes sexuales y muñecas o muñecos hinchables ha sido aceptado de manera habitual en cualquier sociedad actual. Con ello, las empresas ofrecen nuevos productos para satisfacer las necesidades sexuales, los cuales cuentan con mayor sofisticación y obtención del placer humano. En esa categoría entran los instrumentos automatizados, por lo que su aceptación moral no es un problema. Sin embargo, sí es un tema de preocupación, el hecho de que esta práctica se transforme en una deformación aberrante de comportamiento social, por lo que entonces tenemos un mayor interés por parte de la sociedad de que no se pierdan los valores que erigen el honor y las buenas costumbres. Ello quiere decir que de existir en parte un interés en regular la moralidad de los instrumentos automatizados, la sociedad estará de acuerdo en trasladar esa inquietud a la defensa de sus derechos fundamentales.

Sin embargo, siendo realistas, solo interesan determinados logros objetivos. Lo más importante para una persona, para la sociedad, es la sensación del estado de bienestar, por encima de todas las cosas, sin importar realmente quién o qué se encuentre en al otro lado del mostrador. Así, no habrá duda alguna de que a la hora de proteger y de invocar los derechos fundamentales, la autodeterminación informativa y la protección de los datos personales, una persona lo hará para que proteger su integridad, sin importar quién o qué instrumento automatizado sea el que intenta hacerse de sus datos sin su consentimiento y para fines ilegales. Ahora, ello debe trasladarse al sistema jurídico para que sea efectivo en la piel de la sociedad actual.

un saludo

¿Cuántos datos personales se necesitan para crear un perfil y vulnerar la privacidad? #datospersonales #privacy

DOS. Sí. Con solamente dos datos de un mismo titular, se puede elaborar un perfil, ya que están asociados, y con ello obtener el resto de la información personal e incluso sensible, incluyendo comportamientos y tendencias de uso, vida, viajes y consumo. Todo se completa incluso, gracias al Big Data. Veamos algunos ejemplos:

  1. Para obtener el nombre, domicilio y contacto de una persona que ingresa a un recinto, como puede ser un hospital, basta su DNI (documento de identidad) y su imagen obtenida de las cámaras de seguridad.
  2. Para poder acceder el domicilio y datos completos de una persona, basta cruzar los datos de su coche y placa con apenas el nombre de pila.
  3. Para poder crear un perfil sobre las preferencias de consumo de un usuario, se necesitan los datos que surgen de la tarjeta de crédito al pagar, más su DNI.
  4. Para poder obtener más información en las redes sociales de una persona, basta con buscar por su nombre más su email o número de teléfono.

Esto es lo que se conoce como el Síndrome de Hansel & Gretel: cuando inadvertidamente dejamos muchas migajas que permiten a terceros, identificarnos, rastrearnos y obtener un perfil de nuestros datos personales, sin nuestro consentimiento, o siquiera nuestro conocimiento.

Elementos Externos + Apps para Reforzar la Privacidad #Apps #Privacy #IOT

El uso de Apps combinado con wearables, Internet de las Cosas así como ropa y accesorios para proteger nuestra privacidad son la última línea para reforzarla. De hecho, ese el camino y por ahí se debe ahondar, ya que todavía, quienes tratan nuestros datos personales, no la han intoxicado.

Basta como ejemplo, lo que sucedió hace unos días: se ha inventado una bufanda, precisamente la “ISHU Scarf” que sirve para proteger a las personas de los papparazis, ya que ha sido creada de cristales y nanotecnología que al tomar una foto o grabar un video, refleja de tal manera que oscurece los rostros y parte del cuerpo.

Ese es el camino, y por ahí se debe avanzar junto con el uso de apps que bloqueen invasiones a nuestra privacidad.
Un saludo

Términos y Condiciones (TOS). Por qué es Importante Leerlos #TOS #Perjurio

Todos sabemos lo tedioso, aburrido y molesto que resulta que, antes de comenzar a utilizar una App, de actualizar un sistema operativo o de acceder a un sitio o servicio determinado, nos salte una ventana o nos aparezca el extenso contenido de un contrato denominado Términos y Condiciones, o Terms Of Service (TOS) en Inglés, con la frase “He leído y acepto los términos y condiciones”, acompañada de una cajita que debemos marcar para poder al fin acceder a lo que deseamos. También es cierto que el porcentaje de mortales que los leen, es muy mínimo. Simplemente marcamos y listo.

Sin embargo, es interesante tener en cuenta (estoy seguro de que eso lo sospechamos todos) de que en verdad, al aceptar sin leer, estamos arriesgando muchísimas limitaciones en contra nuestra, así como posibles cargos extras de dinero.

Lo cierto es que, estos “contratos” están diseñados para que nadie en su sano juicio, los lea. Sin embargo, esas limitaciones, tienen que ver en su mayoría con nuestra privacidad o con el consentimiento para que utilicen nuestros datos personales y los compartan con quienes quieran.

El hecho de que aceptemos, significa que, de alguna manera, estamos consintiendo que limiten nuestro derecho fundamental sin saberlo. Y no lo sabemos porque hemos decidido no leer los TOS. Si luego de leerlos, aún decidimos aceptarlos, entonces ya sabemos de qué se trata y qué podemos esperar del tratamiento de nuestra información personal y sensible.

Pero no es el único peligro al acecho. Existe uno más: el Perjurio.

Sí, el perjurio puede generarse, si esos TOS están relacionados con algún servicio público o del Estado o regido de alguna manera por algún órgano estatal, porque en verdad estamos aceptando una “declaración jurada”, y si cometemos perjurio al mentir por no haber leído los términos y condiciones, podremos terminar procesados por el delito de perjurio, entre otros.

A modo de ejemplo, basta con el formulario que la FTA de EEUU nos hace completar antes de entrar al país vía aeropuertos.

En el mismo aparecen preguntas como “Ha cometido algún delito?”, “Usted ha participado de actos de terrorismo o se relacionaba con gente que ha participado de actos de terrorismo?”, así como la típica pregunta de si traemos con nosotros más de USD 10000 por viaje. Quizá uno piense “¿Quién será tan tonto o descuidado como para asentir esas preguntas?”

Sin embargo, es al revés. Las autoridades de EEUU así como del Unión Europea, son más inteligentes de lo que pensamos, porque, supongamos que nosotros contestemos que “no llevamos armas” y resulta que por error nos trajimos un cuchillo, entonces, al ser sin intención, quizá explicándolo, solamente nos multen o nos adviertan de que no podemos hacerlo. Sin embargo, hay un delito que ya habremos cometido igual: el de perjurio, por haber jurado falsamente. Entonces, las autoridades aunque no puedan probar otras actividades ilícitas, siempre podrán acusarte de perjurio.

Por ello, y aunque duela, siempre se deben leer los Términos y Condiciones antes de continuar. Nos sorprenderemos con lo que dicen algunos.

Privacidad y Bring Your Own Device (BYOD). Guía para Empleadores #BYOD #Privacidad

A diferencia de lo que sucede cuando un trabajador o funcionario accede a equipos informáticos y laptops que pertenecen a una compañía, en este caso, cuando uno mismo lleva su propio portátil o tablet al trabajo, las situaciones cambian rotundamente en dos áreas específicas: en lo relacionado con la información de la compañía; y en lo que tiene que ver con su privacidad.

Evidentemente, el empleo de BYOD favorece al trabajador que cuenta con una estimación de privacidad más amplia, ya que es obvio que las empresas no podrán monitorear sus cuentas de correo electrónico ni accesos a redes sociales, aún en horarios y establecimientos de oficina, especialmente sin su consentimiento.

Por otro lado, se hace evidente que existe un menor control de la seguridad del tratamiento de datos personales o sensibles por parte de la empresa, así como también riesgos de acceso no autorizado o fuga de información (data breach).

Es por ello, que se recomienda:

  1. Elaborar un documento o NDA dónde se acuerde con el trabajador que trae su propio dispositivo, a que se le permita realizar auditorías en el lugar, del funcionamiento de su equipo a los efectos de evitar fugas de información. Y en caso de encontrar posibles vulnerabilidades, notificarle para que se tomen las medidas de contención eficientes de manera inmediata.
  2. Respetar y no inmiscuirse en los contenidos de los correos electrónicos personales y carpetas o información personal del trabajador.
  3. Sin embargo, notificarle que, debido a medidas de seguridad, será necesario que en oportunidades, solicitarle al trabajador que en su presencia, o a través de él, se pueda acceder a determinada información o contenido a los efectos de controlar la seguridad y la privacidad.
  4. Establecer un sistema de cifrado y capacitar gratuitamente al trabajador, para que lo utilice correctamente, así como instalarlo sin costo en sus dispositivos.
  5. Solicitarle al trabajador que evite acceder a información personal en ese dispositivo, o  al menos en horarios de trabajo.
  6. Establecer un filtro de acceso por puertos, que incluya Whatsapp, Redes Sociales y clientes de correo electrónicos personales. Exigir al trabajador que se conecte directamente a las redes wifi o intranets propias de la empresa. Llevar un monitoreo de conexión y desconexión de dispositivos a esas redes.

 

 

Manejando los Datos Personales en una Empresa #pdp #DataPrivacy

Cuando se tratan o manejan los datos personales dentro de una compañía, existe el riesgo constante de que los mismos sean filtrados o vulnerados (data breach). En ese aspecto, ya sea mediante el responsable del tratamiento de datos personales, o a través de un oficial de datos personales, existen cuatro etapas que deben verificarse para garantizar el cumplimiento de las normas y especialmente, que los datos personales y sensibles sean protegidos:

Etapa 1: Descubrir (Discover). Relacionado con el ambiente de desempeño de la compañía y con la intensidad de uso de información personal y privada por parte de la compañía.

En esta etapa, se debe descubrir si existen bases de datos, dónde están ubicadas, si existen medidas de seguridad y de privacidad para su protección y resguardo, así como si las mismas han sido inscriptas en el Órgano de Control correspondiente, a modo de ejemplo.

Etapa 2: Construir (Build). Teniendo en cuenta la etapa anterior, en base a las debilidades y fortalezas que arroja la misma, se debe elaborar una estrategia del manejo adecuado de privacidad y datos personales de todos.

Etapa 3: Comunicar (Communicate). Claramente, la Etapa 2 hay que comunicarla al resto de los funcionarios de una compañía. Tiene que ver con publicar Términos y Condiciones, Privacy Notice, Privacy Policy (internamente) y capacitar dependientes en tratamiento de información privada. Cómo dar a conocer y capacitar el BUILD.

Etapa 4: Evolucionar (Evolve). Totalmente relacionado con la adaptación del plan presentado en la Etapa 2, con el paso de los meses. Es la revisión y adaptación del plan a nuevas tecnologías y leyes. También se deben celebrar auditorías bi anuales.

un saludo

 

Privacy By Design. Indispensable Hoy en Día #PrivacyByDesign #ProteccionDeDatos

La semana pasada fuimos testigos de los cambios y actualizaciones del bloque Europeo en materia de Protección de Datos, con la entrada en vigor del Reglamento 2016/679 sobre la Protección de las Personas frente al Tratamiento de los Datos Personales.

En este reglamento, se adoptan prácticas que los usuarios venían reclamando hace muchos años ya: la Privacidad por Defecto o Privacy By Design.

Ésto significa que, a partir de ahora, se invierte el tratamiento de los datos personales, y por ende su recolección por parte de terceros (personas, compañías), en especial Apps, ya que desde el origen, o sea, por defecto no se podrá recolectar y tratar datos personales, salvo que se cuente con el consentimiento previo y expreso de su titular.

A modo de ejemplo: si una App de smartphone, una vez descargada, ya accedía a nuestros contactos, a nuestra geolocalización y a nuestra información para poder operar, ahora, debe solicitar permiso para poder hacerlo previamente a funcionar. Debe aparecer una ventana o push que lo solicite por primera vez.

La Federal Trade Commission (FTC) también había establecido ya en 2012, la política de Privacy By Design en materia de Protección de Datos.

un saludo

Sin efecto Directiva 95/46/CE. Nuevo Reglamento 2016/679 Sobre Protección de Datos #EU #DataPrivacy #PDP #Europa

A continuación, el extenso texto del nuevo reglamento sobre Protección de las Personas Físicas frente al Tratamiento Automatizado de Datos Personales, que deroga la anterior Directiva 95/46/CE. Fuente: Eur-Lex

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

de 27 de abril de 2016

relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de texto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

Visto el dictamen del Comité de las Regiones (2),

De conformidad con el procedimiento legislativo ordinario (3),

Considerando lo siguiente:

(1)

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

(2)

Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular el derecho a la protección de los datos de carácter personal. El presente Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas.

(3)

La Directiva 95/46/CE del Parlamento Europeo y del Consejo (4) trata de armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal y garantizar la libre circulación de estos datos entre los Estados miembros.

(4)

El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística.

(5)

La integración económica y social resultante del funcionamiento del mercado interior ha llevado a un aumento sustancial de los flujos transfronterizos de datos personales. En toda la Unión se ha incrementado el intercambio de datos personales entre los operadores públicos y privados, incluidas las personas físicas, las asociaciones y las empresas. El Derecho de la Unión insta a las autoridades nacionales de los Estados miembros a que cooperen e intercambien datos personales a fin de poder cumplir sus funciones o desempeñar otras por cuenta de una autoridad de otro Estado miembro.

(6)

La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales.

(7)

Estos avances requieren un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior. Las personas físicas deben tener el control de sus propios datos personales. Hay que reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas.

(8)

En los casos en que el presente Reglamento establece que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros, estos, en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios, pueden incorporar a su Derecho nacional elementos del presente Reglamento.

(9)

Aunque los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la Unión se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las actividades en línea. Las diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular del derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden impedir la libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión, falsear la competencia e impedir que las autoridades cumplan las funciones que les incumben en virtud del Derecho de la Unión. Esta diferencia en los niveles de protección se debe a la existencia de divergencias en la ejecución y aplicación de la Directiva 95/46/CE.

(10)

Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. En lo que respecta al tratamiento de datos personales para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los Estados miembros deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del presente Reglamento. Junto con la normativa general y horizontal sobre protección de datos por la que se aplica la Directiva 95/46/CE, los Estados miembros cuentan con distintas normas sectoriales específicas en ámbitos que precisan disposiciones más específicas. El presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales («datos sensibles»). En este sentido, el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito.

(11)

La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y las infracciones se castiguen con sanciones equivalentes.

(12)

El artículo 16, apartado 2, del TFUE encomienda al Parlamento Europeo y al Consejo que establezcan las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal y las normas relativas a la libre circulación de dichos datos.

(13)

Para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos, incluidas las microempresas y las pequeñas y medianas empresas, y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros. El buen funcionamiento del mercado interior exige que la libre circulación de los datos personales en la Unión no sea restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales. Con objeto de tener en cuenta la situación específica de las microempresas y las pequeñas y medianas empresas, el presente Reglamento incluye una serie de excepciones en materia de llevanza de registros para organizaciones con menos de 250 empleados. Además, alienta a las instituciones y órganos de la Unión y a los Estados miembros y a sus autoridades de control a tener en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas en la aplicación del presente Reglamento. El concepto de microempresas y pequeñas y medianas empresas debe extraerse del artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión (5).

(14)

La protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.

(15)

A fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas. La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento.

(16)

El presente Reglamento no se aplica a cuestiones de protección de los derechos y las libertades fundamentales o la libre circulación de datos personales relacionadas con actividades excluidas del ámbito de del Derecho de la Unión, como las actividades relativas a la seguridad nacional. Tampoco se aplica al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades relacionadas con la política exterior y de seguridad común de la Unión.

(17)

El Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (6) se aplica al tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.o 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal deben adaptarse a los principios y normas establecidos en el presente Reglamento y aplicarse a la luz del mismo. A fin de establecer un marco sólido y coherente en materia de protección de datos en la Unión, una vez adoptado el presente Reglamento deben introducirse las adaptaciones necesarias del Reglamento (CE) n.o 45/2001, con el fin de que pueda aplicarse al mismo tiempo que el presente Reglamento.

(18)

El presente Reglamento no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas.

(19)

La protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención, es objeto de un acto jurídico específico a nivel de la Unión. El presente Reglamento no debe, por lo tanto, aplicarse a las actividades de tratamiento destinadas a tales fines. No obstante, los datos personales tratados por las autoridades públicas en aplicación del presente Reglamento deben, si se destinan a tales fines, regirse por un acto jurídico de la Unión más específico, concretamente la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (7). Los Estados miembros pueden encomendar a las autoridades competentes, tal como se definen en la Directiva (UE) 2016/680, funciones que no se lleven a cabo necesariamente con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluida la protección frente a las amenazas a la seguridad pública y su prevención, de tal forma que el tratamiento de datos personales para estos otros fines, en la medida en que esté incluido en el ámbito del Derecho de la Unión, entra en el ámbito de aplicación del presente Reglamento.

En lo que respecta al tratamiento de datos personales por parte de dichas autoridades competentes con fines que entren en el ámbito de aplicación del presente Reglamento, los Estados miembros deben tener la posibilidad de mantener o introducir disposiciones más específicas para adaptar la aplicación de las normas del presente Reglamento. Tales disposiciones pueden establecer de forma más precisa requisitos concretos para el tratamiento de datos personales con otros fines por parte de dichas autoridades competentes, tomando en consideración la estructura constitucional, organizativa y administrativa del Estado miembro en cuestión. Cuando el tratamiento de datos personales por organismos privados entre en el ámbito de aplicación del presente Reglamento, este debe disponer que los Estados miembros puedan, en condiciones específicas, limitar conforme a Derecho determinadas obligaciones y derechos siempre que dicha limitación sea una medida necesaria y proporcionada en una sociedad democrática para proteger intereses específicos importantes, entre ellos la seguridad pública y la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, inclusive la protección frente a las amenazas contra la seguridad pública y su prevención. Esto se aplica, por ejemplo, en el marco de la lucha contra el blanqueo de capitales o de las actividades de los laboratorios de policía científica.

(20)

Aunque el presente Reglamento se aplica, entre otras, a las actividades de los tribunales y otras autoridades judiciales, en virtud del Derecho de la Unión o de los Estados miembros pueden especificarse las operaciones de tratamiento y los procedimientos de tratamiento en relación con el tratamiento de datos personales por los tribunales y otras autoridades judiciales. A fin de preservar la independencia del poder judicial en el desempeño de sus funciones, incluida la toma de decisiones, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los tribunales actúen en ejercicio de su función judicial. El control de esas operaciones de tratamiento de datos ha de poder encomendarse a organismos específicos establecidos dentro del sistema judicial del Estado miembro, los cuales deben, en particular, garantizar el cumplimiento de las normas del presente Reglamento, concienciar más a los miembros del poder judicial acerca de sus obligaciones en virtud de este y atender las reclamaciones en relación con tales operaciones de tratamiento de datos.

(21)

El presente Reglamento debe entenderse sin perjuicio de la aplicación de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo (8), en particular de las normas en materia de responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15. El objetivo de dicha Directiva es contribuir al correcto funcionamiento del mercado interior garantizando la libre circulación de los servicios de la sociedad de la información entre los Estados miembros.

(22)

Todo tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de que el tratamiento tenga lugar en la Unión. Un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto.

(23)

Con el fin de garantizar que las personas físicas no se vean privadas de la protección a la que tienen derecho en virtud del presente Reglamento, el tratamiento de datos personales de interesados que residen en la Unión por un responsable o un encargado no establecido en la Unión debe regirse por el presente Reglamento si las actividades de tratamiento se refieren a la oferta de bienes o servicios a dichos interesados, independientemente de que medie pago. Para determinar si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión.

(24)

El tratamiento de datos personales de los interesados que residen en la Unión por un responsable o encargado no establecido en la Unión debe ser también objeto del presente Reglamento cuando esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.

(25)

Cuando sea de aplicación el Derecho de los Estados miembros en virtud del Derecho internacional público, el presente Reglamento debe aplicarse también a todo responsable del tratamiento no establecido en la Unión, como en una misión diplomática u oficina consular de un Estado miembro.

(26)

Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.

(27)

El presente Reglamento no se aplica a la protección de datos personales de personas fallecidas. Los Estados miembros son competentes para establecer normas relativas al tratamiento de los datos personales de estas.

(28)

La aplicación de la seudonimización a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos. Así pues, la introducción explícita de la «seudonimización» en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protección de los datos.

(29)

Para incentivar la aplicación de la seudonimización en el tratamiento de datos personales, debe ser posible establecer medidas de seudonimización, permitiendo al mismo tiempo un análisis general, por parte del mismo responsable del tratamiento, cuando este haya adoptado las medidas técnicas y organizativas necesarias para garantizar que se aplique el presente Reglamento al tratamiento correspondiente y que se mantenga por separado la información adicional para la atribución de los datos personales a una persona concreta. El responsable que trate datos personales debe indicar cuáles son sus personas autorizadas.

(30)

Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

(31)

Las autoridades públicas a las que se comunican datos personales en virtud de una obligación legal para el ejercicio de su misión oficial, como las autoridades fiscales y aduaneras, las unidades de investigación financiera, las autoridades administrativas independientes o los organismos de supervisión de los mercados financieros encargados de la reglamentación y supervisión de los mercados de valores, no deben considerarse destinatarios de datos si reciben datos personales que son necesarios para llevar a cabo una investigación concreta de interés general, de conformidad con el Derecho de la Unión o de los Estados miembros. Las solicitudes de comunicación de las autoridades públicas siempre deben presentarse por escrito, de forma motivada y con carácter ocasional, y no deben referirse a la totalidad de un fichero ni dar lugar a la interconexión de varios ficheros. El tratamiento de datos personales por dichas autoridades públicas debe ser conforme con la normativa en materia de protección de datos que sea de aplicación en función de la finalidad del tratamiento.

(32)

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

(33)

Con frecuencia no es posible determinar totalmente la finalidad del tratamiento de los datos personales con fines de investigación científica en el momento de su recogida. Por consiguiente, debe permitirse a los interesados dar su consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica. Los interesados deben tener la oportunidad de dar su consentimiento solamente para determinadas áreas de investigación o partes de proyectos de investigación, en la medida en que lo permita la finalidad perseguida.

(34)

Debe entenderse por datos genéticos los datos personales relacionados con características genéticas, heredadas o adquiridas, de una persona física, provenientes del análisis de una muestra biológica de la persona física en cuestión, en particular a través de un análisis cromosómico, un análisis del ácido desoxirribonucleico (ADN) o del ácido ribonucleico (ARN), o del análisis de cualquier otro elemento que permita obtener información equivalente.

(35)

Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo (9); todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.

(36)

El establecimiento principal de un responsable del tratamiento en la Unión debe ser el lugar de su administración central en la Unión, salvo que las decisiones relativas a los fines y medios del tratamiento de los datos personales se tomen en otro establecimiento del responsable en la Unión, en cuyo caso, ese otro establecimiento debe considerarse el establecimiento principal. El establecimiento principal de un responsable en la Unión debe determinarse en función de criterios objetivos y debe implicar el ejercicio efectivo y real de actividades de gestión que determinen las principales decisiones en cuanto a los fines y medios del tratamiento a través de modalidades estables. Dicho criterio no debe depender de si el tratamiento de los datos personales se realiza en dicho lugar. La presencia y utilización de medios técnicos y tecnologías para el tratamiento de datos personales o las actividades de tratamiento no constituyen, en sí mismas, establecimiento principal y no son, por lo tanto, criterios determinantes de un establecimiento principal. El establecimiento principal del encargado del tratamiento debe ser el lugar de su administración central en la Unión o, si careciese de administración central en la Unión, el lugar en el que se llevan a cabo las principales actividades de tratamiento en la Unión. En los casos que impliquen tanto al responsable como al encargado, la autoridad de control principal competente debe seguir siendo la autoridad de control del Estado miembro en el que el responsable tenga su establecimiento principal, pero la autoridad de control del encargado debe considerarse autoridad de control interesada y participar en el procedimiento de cooperación establecido en el presente Reglamento. En cualquier caso, las autoridades de control del Estado miembro o los Estados miembros en los que el encargado tenga uno o varios establecimientos no deben considerarse autoridades de control interesadas cuando el proyecto de decisión afecte únicamente al responsable. Cuando el tratamiento lo realice un grupo empresarial, el establecimiento principal de la empresa que ejerce el control debe considerarse el establecimiento principal del grupo empresarial, excepto cuando los fines y medios del tratamiento los determine otra empresa.

(37)

Un grupo empresarial debe estar constituido por una empresa que ejerce el control y las empresas controladas, debiendo ser la empresa que ejerce el control la que pueda ejercer una influencia dominante en las otras empresas, por razones, por ejemplo, de propiedad, participación financiera, normas por las que se rige, o poder de hacer cumplir las normas de protección de datos personales. Una empresa que controle el tratamiento de los datos personales en las empresas que estén afiliadas debe considerarse, junto con dichas empresas, «grupo empresarial».

(38)

Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño. El consentimiento del titular de la patria potestad o tutela no debe ser necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente a los niños.

(39)

Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.

(40)

Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.

(41)

Cuando el presente Reglamento hace referencia a una base jurídica o a una medida legislativa, esto no exige necesariamente un acto legislativo adoptado por un parlamento, sin perjuicio de los requisitos de conformidad del ordenamiento constitucional del Estado miembro de que se trate. Sin embargo, dicha base jurídica o medida legislativa debe ser clara y precisa y su aplicación previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia») y del Tribunal Europeo de Derechos Humanos.

(42)

Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (10), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

(43)

Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento.

(44)

El tratamiento debe ser lícito cuando sea necesario en el contexto de un contrato o de la intención de concluir un contrato.

(45)

Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tener una base en el Derecho de la Unión o de los Estados miembros. El presente Reglamento no requiere que cada tratamiento individual se rija por una norma específica. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. La finalidad del tratamiento también debe determinase en virtud del Derecho de la Unión o de los Estados miembros. Además, dicha norma podría especificar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento lícito y leal. Debe determinarse también en virtud del Derecho de la Unión o de los Estados miembros si el responsable del tratamiento que realiza una misión en interés público o en el ejercicio de poderes públicos debe ser una autoridad pública u otra persona física o jurídica de Derecho público, o, cuando se haga en interés público, incluidos fines sanitarios como la salud pública, la protección social y la gestión de los servicios de sanidad, de Derecho privado, como una asociación profesional.

(46)

El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

(47)

El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable. En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. Dado que corresponde al legislador establecer por ley la base jurídica para el tratamiento de datos personales por parte de las autoridades públicas, esta base jurídica no debe aplicarse al tratamiento efectuado por las autoridades públicas en el ejercicio de sus funciones. El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo.

(48)

Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisión de datos personales, dentro de un grupo empresarial, a una empresa situada en un país tercero no se ven afectados.

(49)

Constituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a través de, estos sistemas y redes, por parte de autoridades públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad. En lo anterior cabría incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas.

(50)

El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales. Si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y lícito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Unión o de los Estados miembros. Las operaciones de tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles. La base jurídica establecida en el Derecho de la Unión o de los Estados miembros para el tratamiento de datos personales también puede servir de base jurídica para el tratamiento ulterior. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas, cualquier relación entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

Si el interesado dio su consentimiento o el tratamiento se basa en el Derecho de la Unión o de los Estados miembros que constituye una medida necesaria y proporcionada en una sociedad democrática para salvaguardar, en particular, objetivos importantes de interés público general, el responsable debe estar facultado para el tratamiento ulterior de los datos personales, con independencia de la compatibilidad de los fines. En todo caso, se debe garantizar la aplicación de los principios establecidos por el presente Reglamento y, en particular, la información del interesado sobre esos otros fines y sobre sus derechos, incluido el derecho de oposición. La indicación de posibles actos delictivos o amenazas para la seguridad pública por parte del responsable del tratamiento y la transmisión a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad pública debe considerarse que es en interés legítimo del responsable. Con todo, debe prohibirse esa transmisión en interés legítimo del responsable o el tratamiento ulterior de datos personales si el tratamiento no es compatible con una obligación de secreto legal, profesional o vinculante por otro concepto.

(51)

Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el presente Reglamento, habida cuenta de que los Estados miembros pueden establecer disposiciones específicas sobre protección de datos con objeto de adaptar la aplicación de las normas del presente Reglamento al cumplimiento de una obligación legal o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

(52)

Asimismo deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, o con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Debe autorizarse asimismo a título excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial.

(53)

Las categorías especiales de datos personales que merecen mayor protección únicamente deben tratarse con fines relacionados con la salud cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas sanitarios o de protección social, incluido el tratamiento de esos datos por las autoridades gestoras de la sanidad y las autoridades sanitarias nacionales centrales con fines de control de calidad, gestión de la información y supervisión general nacional y local del sistema sanitario o de protección social, y garantía de la continuidad de la asistencia sanitaria o la protección social y la asistencia sanitaria transfronteriza o fines de seguridad, supervisión y alerta sanitaria, o con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, basados en el Derecho de la Unión o del Estado miembro que ha de cumplir un objetivo de interés público, así como para estudios realizados en interés público en el ámbito de la salud pública. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional. El Derecho de la Unión o de los Estados miembros debe establecer medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas. Los Estados miembros deben estar facultados para mantener o introducir otras condiciones, incluidas limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. No obstante, esto no ha de suponer un obstáculo para la libre circulación de datos personales dentro de la Unión cuando tales condiciones se apliquen al tratamiento transfronterizo de esos datos.

(54)

El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse en la definición del Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo (11), es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.

(55)

Se realiza además por razones de interés público el tratamiento de datos personales por las autoridades públicas con el fin de alcanzar los objetivos, establecidos en el Derecho constitucional o en el Derecho internacional público, de asociaciones religiosas reconocidas oficialmente.

(56)

Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.

(57)

Si los datos personales tratados por un responsable no le permiten identificar a una persona física, el responsable no debe estar obligado a obtener información adicional para identificar al interesado con la única finalidad de cumplir cualquier disposición del presente Reglamento. No obstante, el responsable del tratamiento no debe negarse a recibir información adicional facilitada por el interesado a fin de respaldarle en el ejercicio de sus derechos. La identificación debe incluir la identificación digital de un interesado, por ejemplo mediante un mecanismo de autenticación, como las mismas credenciales, empleadas por el interesado para abrir una sesión en el servicio en línea ofrecido por el responsable.

(58)

El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice. Esta información podría facilitarse en forma electrónica, por ejemplo, cuando esté dirigida al público, mediante un sitio web. Ello es especialmente pertinente en situaciones en las que la proliferación de agentes y la complejidad tecnológica de la práctica hagan que sea difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad, datos personales que le conciernen, como es en el caso de la publicidad en línea. Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender.

(59)

Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.

(60)

Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede transmitirse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente.

(61)

Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable, dependiendo de las circunstancias del caso. Si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria. Cuando el origen de los datos personales no pueda facilitarse al interesado por haberse utilizado varias fuentes, debe facilitarse información general.

(62)

Sin embargo, no es necesario imponer la obligación de proporcionar información cuando el interesado ya posea la información, cuando el registro o la comunicación de los datos personales estén expresamente establecidos por ley, o cuando facilitar la información al interesado resulte imposible o exija un esfuerzo desproporcionado. Tal podría ser particularmente el caso cuando el tratamiento se realice con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. A este respecto, debe tomarse en consideración el número de interesados, la antigüedad de los datos y las garantías adecuadas adoptadas.

(63)

Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas. Todo interesado debe, por tanto, tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento. Si es posible, el responsable del tratamiento debe estar facultado para facilitar acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales. Este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos. No obstante, estas consideraciones no deben tener como resultado la negativa a prestar toda la información al interesado. Si trata una gran cantidad de información relativa al interesado, el responsable del tratamiento debe estar facultado para solicitar que, antes de facilitarse la información, el interesado especifique la información o actividades de tratamiento a que se refiere la solicitud.

(64)

El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en línea y los identificadores en línea. El responsable no debe conservar datos personales con el único propósito de poder responder a posibles solicitudes.

(65)

Los interesados deben tener derecho a que se rectifiquen los datos personales que le conciernen y un «derecho al olvido» si la retención de tales datos infringe el presente Reglamento o el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento. En particular, los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales incumple de otro modo el presente Reglamento. Este derecho es pertinente en particular si el interesado dio su consentimiento siendo niño y no se es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quiere suprimir tales datos personales, especialmente en internet. El interesado debe poder ejercer este derecho aunque ya no sea un niño. Sin embargo, la retención ulterior de los datos personales debe ser lícita cuando sea necesaria para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.

(66)

A fin de reforzar el «derecho al olvido» en el entorno en línea, el derecho de supresión debe ampliarse de tal forma que el responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. Al proceder así, dicho responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado a los responsables que estén tratando los datos personales.

(67)

Entre los métodos para limitar el tratamiento de datos personales cabría incluir los consistentes en trasladar temporalmente los datos seleccionados a otro sistema de tratamiento, en impedir el acceso de usuarios a los datos personales seleccionados o en retirar temporalmente los datos publicados de un sitio internet. En los ficheros automatizados la limitación del tratamiento debe realizarse, en principio, por medios técnicos, de forma que los datos personales no sean objeto de operaciones de tratamiento ulterior ni puedan modificarse. El hecho de que el tratamiento de los datos personales esté limitado debe indicarse claramente en el sistema.

(68)

Para reforzar aún más el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectúe por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento. Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos. Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato. No debe aplicarse cuando el tratamiento tiene una base jurídica distinta del consentimiento o el contrato. Por su propia naturaleza, dicho derecho no debe ejercerse en contra de responsables que traten datos personales en el ejercicio de sus funciones públicas. Por lo tanto, no debe aplicarse, cuando el tratamiento de los datos personales sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable. El derecho del interesado a transmitir o recibir datos personales que lo conciernan no debe obligar al responsable a adoptar o mantener sistemas de tratamiento que sean técnicamente compatibles. Cuando un conjunto de datos personales determinado concierna a más de un interesado, el derecho a recibir tales datos se debe entender sin menoscabo de los derechos y libertades de otros interesados de conformidad con el presente Reglamento. Por otra parte, ese derecho no debe menoscabar el derecho del interesado a obtener la supresión de los datos personales y las limitaciones de ese derecho recogidas en el presente Reglamento, y en particular no debe implicar la supresión de los datos personales concernientes al interesado que este haya facilitado para la ejecución de un contrato, en la medida y durante el tiempo en que los datos personales sean necesarios para la ejecución de dicho contrato. El interesado debe tener derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, cuando sea técnicamente posible.

(69)

En los casos en que los datos personales puedan ser tratados lícitamente porque el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento o por motivos de intereses legítimos del responsable o de un tercero, el interesado debe, sin embargo, tener derecho a oponerse al tratamiento de cualquier dato personal relativo a su situación particular. Debe ser el responsable el que demuestre que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y libertades fundamentales del interesado.

(70)

Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles en la medida en que esté relacionada con dicha mercadotecnia directa, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier momento y sin coste alguno. Dicho derecho debe comunicarse explícitamente al interesado y presentarse claramente y al margen de cualquier otra información.

(71)

El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Sin embargo, se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo autoriza expresamente el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento, incluso con fines de control y prevención del fraude y la evasión fiscal, realizada de conformidad con las reglamentaciones, normas y recomendaciones de las instituciones de la Unión o de los órganos de supervisión nacionales y para garantizar la seguridad y la fiabilidad de un servicio prestado por el responsable del tratamiento, o necesario para la conclusión o ejecución de un contrato entre el interesado y un responsable del tratamiento, o en los casos en los que el interesado haya dado su consentimiento explícito. En cualquier caso, dicho tratamiento debe estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor.

A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas.

(72)

La elaboración de perfiles está sujeta a las normas del presente Reglamento que rigen el tratamiento de datos personales, como los fundamentos jurídicos del tratamiento o los principios de la protección de datos. El Comité Europeo de Protección de Datos establecido por el presente Reglamento (en lo sucesivo, el «Comité») debe tener la posibilidad de formular orientaciones en este contexto.

(73)

El Derecho de la Unión o de los Estados miembros puede imponer restricciones a determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, al derecho de oposición, a las decisiones basadas en la elaboración de perfiles, así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano, la prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública o de violaciones de normas deontológicas en las profesiones reguladas, y su prevención, otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un importante interés económico o financiero de la Unión o de un Estado miembro, la llevanza de registros públicos por razones de interés público general, el tratamiento ulterior de datos personales archivados para ofrecer información específica relacionada con el comportamiento político durante los regímenes de antiguos Estados totalitarios, o la protección del interesado o de los derechos y libertades de otros, incluida la protección social, la salud pública y los fines humanitarios. Dichas restricciones deben ajustarse a lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.

(74)

Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.

(75)

Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.

(76)

La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.

(77)

Se podrían proporcionar directrices para la aplicación de medidas oportunas y para demostrar el cumplimiento por parte del responsable o del encargado del tratamiento, especialmente con respecto a la identificación del riesgo relacionado con el tratamiento, a su evaluación en términos de origen, naturaleza, probabilidad y gravedad y a la identificación de buenas prácticas para mitigar el riesgo, que revistan, en particular, la forma de códigos de conducta aprobados, certificaciones aprobadas, directrices dadas por el Comité o indicaciones proporcionadas por un delegado de protección de datos. El Comité también puede emitir directrices sobre operaciones de tratamiento que se considere improbable supongan un alto riesgo para los derechos y libertades de las personas físicas, e indicar qué medidas pueden ser suficientes en dichos casos para afrontar el riesgo en cuestión.

(78)

La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos.

(79)

La protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, también en lo que respecta a la supervisión por parte de las autoridades de control y a las medidas adoptadas por ellas, requieren una atribución clara de las responsabilidades en virtud del presente Reglamento, incluidos los casos en los que un responsable determine los fines y medios del tratamiento de forma conjunta con otros responsables, o en los que el tratamiento se lleve a cabo por cuenta de un responsable.

(80)

El responsable o el encargado del tratamiento no establecido en la Unión que esté tratando datos personales de interesados que residan en la Unión y cuyas actividades de tratamiento están relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si se requiere un pago por parte de estos, o con el control de su comportamiento en la medida en que este tenga lugar en la Unión, debe designar a un representante, a menos que el tratamiento sea ocasional, no incluya el tratamiento a gran escala de categorías especiales de datos personales o el tratamiento de datos personales relativos a condenas e infracciones penales, y sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, vista la naturaleza, el contexto, el ámbito y los fines del tratamiento, o si el responsable del tratamiento es una autoridad u organismo público. El representante debe actuar por cuenta del responsable o el encargado y puede ser contactado por cualquier autoridad de control. El representante debe ser designado expresamente por mandato escrito del responsable o del encargado para que actúe en su nombre con respecto a las obligaciones que les incumben en virtud del presente Reglamento. La designación de dicho representante no afecta a la responsabilidad del responsable o del encargado en virtud del presente Reglamento. Dicho representante debe desempeñar sus funciones conforme al mandato recibido del responsable o del encargado, incluida la cooperación con las autoridades de control competentes en relación con cualquier medida que se tome para garantizar el cumplimiento del presente Reglamento. El representante designado debe estar sujeto a medidas coercitivas en caso de incumplimiento por parte del responsable o del encargado.

(81)

Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento. La adhesión del encargado a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable. El tratamiento por un encargado debe regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable, que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados, habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los derechos y libertades del interesado. El responsable y el encargado pueden optar por basarse en un contrato individual o en cláusulas contractuales tipo que adopte directamente la Comisión o que primero adopte una autoridad de control de conformidad con el mecanismo de coherencia y posteriormente la Comisión. Una vez finalizado el tratamiento por cuenta del responsable, el encargado debe, a elección de aquel, devolver o suprimir los datos personales, salvo que el Derecho de la Unión o de los Estados miembros aplicable al encargado del tratamiento obligue a conservar los datos.

(82)

Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.

(83)

A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.

(84)

A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.

(85)

Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida.

(86)

El responsable del tratamiento debe comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación. Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridad de control, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales. Así, por ejemplo, la necesidad de mitigar un riesgo de daños y perjuicios inmediatos justificaría una rápida comunicación con los interesados, mientras que cabe justificar que la comunicación lleve más tiempo por la necesidad de aplicar medidas adecuadas para impedir violaciones de la seguridad de los datos personales continuas o similares.

(87)

Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de la seguridad de los datos personales y para informar sin dilación a la autoridad de control y al interesado. Debe verificarse que la notificación se ha realizado sin dilación indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la violación de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha notificación puede resultar en una intervención de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento.

(88)

Al establecer disposiciones de aplicación sobre el formato y los procedimientos aplicables a la notificación de las violaciones de la seguridad de los datos personales, hay que tener debidamente en cuenta las circunstancias de tal violación, inclusive si los datos personales habían sido protegidos mediante las medidas técnicas de protección adecuadas, limitando eficazmente la probabilidad de usurpación de identidad u otras formas de uso indebido. Asimismo, estas normas y procedimientos deben tener en cuenta los intereses legítimos de las autoridades policiales en caso de que una comunicación prematura pueda obstaculizar innecesariamente la investigación de las circunstancias de una violación de la seguridad de los datos personales.

(89)

La Directiva 95/46/CE estableció la obligación general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligación, sin embargo, no contribuyó en todos los casos a mejorar la protección de los datos personales. Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial.

(90)

En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos con el fin de valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento.

(91)

Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos. La evaluación de impacto relativa a la protección de datos debe realizarse también en los casos en los que se tratan datos personales para adoptar decisiones relativas a personas físicas concretas a raíz de una evaluación sistemática y exhaustiva de aspectos personales propios de personas físicas, basada en la elaboración de perfiles de dichos datos o a raíz del tratamiento de categorías especiales de datos personales, datos biométricos o datos sobre condenas e infracciones penales o medidas de seguridad conexas. También es necesaria una evaluación de impacto relativa a la protección de datos para el control de zonas de acceso público a gran escala, en particular cuando se utilicen dispositivos optoelectrónicos o para cualquier otro tipo de operación cuando la autoridad de control competente considere que el tratamiento entrañe probablemente un alto riesgo para los derechos y libertades de los interesados, en particular porque impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato, o porque se efectúe sistemáticamente a gran escala. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.

(92)

Hay circunstancias en las que puede ser razonable y económico que una evaluación de impacto relativa a la protección de datos abarque más de un único proyecto, por ejemplo, en el caso de que las autoridades u organismos públicos prevean crear una aplicación o plataforma común de tratamiento, o si varios responsables proyecten introducir una aplicación o un entorno de tratamiento común en un sector o segmento empresarial o para una actividad horizontal de uso generalizado.

(93)

Los Estados miembros, al adoptar el Derecho en el que se basa el desempeño de las funciones de la autoridad pública o el organismo público y que regula la operación o el conjunto de operaciones de tratamiento en cuestión, pueden considerar necesario llevar a cabo dicha evaluación con carácter previo a las actividades de tratamiento.

(94)

Debe consultarse a la autoridad de control antes de iniciar las actividades de tratamiento si una evaluación de impacto relativa a la protección de datos muestra que, en ausencia de garantías, medidas de seguridad y mecanismos destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación. Existe la probabilidad de que ese alto riesgo se deba a determinados tipos de tratamiento y al alcance y frecuencia de este, lo que también puede ocasionar daños y perjuicios o una injerencia en los derechos y libertades de la persona física. La autoridad de control debe responder a la solicitud de consulta dentro de un plazo determinado. Sin embargo, la ausencia de respuesta de la autoridad de control dentro de dicho plazo no debe obstar a cualquier intervención de dicha autoridad basada en las funciones y poderes que le atribuye el presente Reglamento, incluido el poder de prohibir operaciones de tratamiento. Como parte de dicho proceso de consulta, se puede presentar a la autoridad de control el resultado de una evaluación de impacto relativa a la protección de datos efectuada en relación con el tratamiento en cuestión, en particular las medidas previstas para mitigar los riesgos para los derechos y libertades de las personas físicas.

(95)

El encargado del tratamiento debe asistir al responsable cuando sea necesario y a petición suya, a fin de asegurar que se cumplen las obligaciones que se derivan de la realización de las evaluaciones de impacto relativas a la protección de datos y de la consulta previa a la autoridad de control.

(96)

Deben llevarse también a cabo consultas con la autoridad de control en el curso de la tramitación de una medida legislativa o reglamentaria que establezca el tratamiento de datos personales, a fin de garantizar la conformidad del tratamiento previsto con el presente Reglamento y, en particular, de mitigar el riesgo que implique el tratamiento para el interesado.

(97)

Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

(98)

Se debe incitar a las asociaciones u otros organismos que representen a categorías de responsables o encargados a que elaboren códigos de conducta, dentro de los límites fijados por el presente Reglamento, con el fin de facilitar su aplicación efectiva, teniendo en cuenta las características específicas del tratamiento llevado a cabo en determinados sectores y las necesidades específicas de las microempresas y las pequeñas y medianas empresas. Dichos códigos de conducta podrían en particular establecer las obligaciones de los responsables y encargados, teniendo en cuenta el riesgo probable para los derechos y libertades de las personas físicas que se derive del tratamiento.

(99)

Al elaborar un código de conducta, o al modificar o ampliar dicho código, las asociaciones y otros organismos que representan a categorías de responsables o encargados deben consultar a las partes interesadas, incluidos los interesados cuando sea posible, y tener en cuenta las consideraciones transmitidas y las opiniones manifestadas en respuesta a dichas consultas.

(100)

A fin de aumentar la transparencia y el cumplimiento del presente Reglamento, debe fomentarse el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes.

(101)

Los flujos transfronterizos de datos personales a, y desde, países no pertenecientes a la Unión y organizaciones internacionales son necesarios para la expansión del comercio y la cooperación internacionales. El aumento de estos flujos plantea nuevos retos e inquietudes en lo que respecta a la protección de los datos de carácter personal. No obstante, si los datos personales se transfieren de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente Reglamento. Una transferencia solo podría tener lugar si, a reserva de las demás disposiciones del presente Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transferencia de datos personales a terceros países u organizaciones internacionales.

(102)

El presente Reglamento se entiende sin perjuicio de los acuerdos internacionales celebrados entre la Unión y terceros países que regulan la transferencia de datos personales, incluidas las oportunas garantías para los interesados. Los Estados miembros pueden celebrar acuerdos internacionales que impliquen la transferencia de datos personales a terceros países u organizaciones internacionales siempre que dichos acuerdos no afecten al presente Reglamento ni a ninguna otra disposición del Derecho de la Unión e incluyan un nivel adecuado de protección de los derechos fundamentales de los interesados.

(103)

La Comisión puede decidir, con efectos para toda la Unión, que un tercer país, un territorio o un sector específico de un tercer país, o una organización internacional ofrece un nivel de protección de datos adecuado, aportando de esta forma en toda la Unión seguridad y uniformidad jurídicas en lo que se refiere al tercer país u organización internacional que se considera ofrece tal nivel de protección. En estos casos, se pueden realizar transferencias de datos personales a estos países sin que se requiera obtener otro tipo de autorización. La Comisión también puede decidir revocar esa decisión, previo aviso y completa declaración motivada al tercer país u organización internacional.

(104)

En consonancia con los valores fundamentales en los que se basa la Unión, en particular la protección de los derechos humanos, la Comisión, en su evaluación del tercer país, o de un territorio o un sector específico de un tercer país, debe tener en cuenta de qué manera respeta un determinado tercer país respeta el Estado de Derecho, el acceso a la justicia y las normas y criterios internacionales en materia de derechos humanos y su Derecho general y sectorial, incluida la legislación relativa a la seguridad pública, la defensa y la seguridad nacional, así como el orden público y el Derecho penal. En la adopción de una decisión de adecuación con respecto a un territorio o un sector específico de un tercer país se deben tener en cuenta criterios claros y objetivos, como las actividades concretas de tratamiento y el alcance de las normas jurídicas aplicables y la legislación vigente en el tercer país. El tercer país debe ofrecer garantías que aseguren un nivel adecuado de protección equivalente en lo esencial al ofrecido en la Unión, en particular cuando los datos personales son objeto de tratamiento en uno o varios sectores específicos. En particular, el tercer país debe garantizar que haya un control verdaderamente independiente de la protección de datos y establecer mecanismos de cooperación con las autoridades de protección de datos de los Estados miembros, así como reconocer a los interesados derechos efectivos y exigibles y acciones administrativas y judiciales efectivas.

(105)

Aparte de los compromisos internacionales adquiridos por el tercer país u organización internacional, la Comisión debe tener en cuenta las obligaciones resultantes de la participación del tercer país u organización internacional en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales, y el cumplimiento de esas obligaciones. En particular, debe tenerse en cuenta la adhesión del país al Convenio del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo adicional. La Comisión debe consultar al Comité al evaluar el nivel de protección existente en terceros países u organizaciones internacionales.

(106)

La Comisión debe supervisar la aplicación de las decisiones sobre el nivel de protección en un país tercero, un territorio o un sector específico de un país tercero, o una organización internacional, y la aplicación las decisiones adoptadas sobre la base del artículo 25, apartado 6, o el artículo 26, apartado 4, de la Directiva 95/46/CE. En sus decisiones de adecuación, la Comisión debe establecer un mecanismo para la revisión periódica de su aplicación. Dicha revisión periódica debe realizarse en colaboración con el tercer país u organización internacional de que se trate y tener en cuenta todos los cambios en la materia que se produzcan en dicho tercer país u organización internacional. A efectos de la supervisión y realización de las revisiones periódicas, la Comisión debe tomar en consideración las opiniones y conclusiones del Parlamento Europeo y del Consejo, así como de otros organismos y fuentes pertinentes. La Comisión debe evaluar, en un plazo razonable, la aplicación de dichas decisiones e informar de cualquier conclusión pertinente al Comité que, en el sentido del Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (12), establece el presente Reglamento, y al Parlamento Europeo y el Consejo.

(107)

La Comisión puede reconocer que un tercer país, un territorio o sector específico en un tercer país, o una organización internacional ya no garantiza un nivel de protección de datos adecuado. En consecuencia, debe prohibirse la transferencia de datos personales a dicho tercer país u organización internacional, salvo que se cumplan los requisitos del presente Reglamento relativos a las transferencias basadas en garantías adecuadas, incluidas las normas corporativas vinculantes, y a las excepciones aplicadas a situaciones específicas. En ese caso, debe establecerse la celebración de consultas entre la Comisión y esos terceros países u organizaciones internacionales. La Comisión debe informar en tiempo oportuno al tercer país u organización internacional de las razones y entablar consultas a fin de subsanar la situación.

(108)

En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a normas corporativas vinculantes, a cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control, o a cláusulas contractuales autorizadas por una autoridad de control. Esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas, lo que incluye el derecho a obtener una reparación administrativa o judicial efectiva y a reclamar una indemnización, en la Unión o en un tercer país. En particular, deben referirse al cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protección de datos desde el diseño y por defecto. Las transferencias también pueden realizarlas autoridades o entidades públicas con entidades o autoridades públicas de terceros países o con organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados. Si las garantías figuran en acuerdos administrativos que no sean jurídicamente vinculantes se debe recabar la autorización de la autoridad de control competente.

(109)

La posibilidad de que el responsable o el encargado del tratamiento recurran a cláusulas tipo de protección de datos adoptadas por la Comisión o una autoridad de control no debe obstar a que los responsables o encargados incluyan las cláusulas tipo de protección de datos en un contrato más amplio, como un contrato entre dos encargados, o a que añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por una autoridad de control, ni mermen los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas tipo de protección de datos.

(110)

Todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias o categorías de transferencias de datos de carácter personal.

(111)

Se debe establecer la posibilidad de realizar transferencias en determinadas circunstancias, de mediar el consentimiento explícito del interesado, si la transferencia es ocasional y necesaria en relación con un contrato o una reclamación, independientemente de tratarse de un procedimiento judicial o un procedimiento administrativo o extrajudicial, incluidos los procedimientos ante organismos reguladores. También se debe establecer la posibilidad de realizar transferencias cuando así lo requieran razones importantes de interés público establecidas por el Derecho de la Unión o de los Estados miembros, o cuando la transferencia se haga a partir de un registro establecido por ley y se destine a consulta por el público o por personas que tengan un interés legítimo. En este último caso la transferencia no debe afectar a la totalidad de los datos personales o de las categorías de datos incluidos en el registro y, cuando el registro esté destinado a su consulta por personas que tengan un interés legítimo, la transferencia solo debe efectuarse a petición de dichas personas o, si estas van a ser las destinatarias, teniendo plenamente en cuenta los intereses y los derechos fundamentales del interesado.

(112)

Dichas excepciones deben aplicarse en particular a las transferencias de datos requeridas y necesarias por razones importantes de interés público, por ejemplo en caso de intercambios internacionales de datos entre autoridades en el ámbito de la competencia, administraciones fiscales o aduaneras, entre autoridades de supervisión financiera, entre servicios competentes en materia de seguridad social o de sanidad pública, por ejemplo en caso contactos destinados a localizar enfermedades contagiosas o para reducir y/o eliminar el dopaje en el deporte. La transferencia de datos personales también debe considerarse lícita en caso de que sea necesaria para proteger un interés esencial para los intereses vitales del interesado o de otra persona, incluida la integridad física o la vida, si el interesado no está en condiciones de dar su consentimiento. En ausencia de una decisión de adecuación, el Derecho de la Unión o de los Estados miembros puede limitar expresamente, por razones importantes de interés público, la transferencia de categorías específicas de datos a un tercer país o a una organización internacional. Los Estados miembros deben notificar esas disposiciones a la Comisión. Puede considerarse necesaria, por una razón importante de interés público o por ser de interés vital para el interesado, toda transferencia a una organización internacional humanitaria de datos personales de un interesado que no tenga capacidad física o jurídica para dar su consentimiento, con el fin de desempeñar un cometido basado en las Convenciones de Ginebra o de conformarse al Derecho internacional humanitario aplicable en caso de conflictos armados.

(113)

Las transferencias que pueden calificarse de no repetitivas y sólo se refieren a un número limitado de interesados, también han de ser posibles en caso de servir a intereses legítimos imperiosos del responsable del tratamiento, si no prevalecen sobre ellos los intereses o los derechos y libertades del interesado y el responsable ha evaluado todas las circunstancias concurrentes en la transferencia de datos. El responsable debe prestar especial atención a la naturaleza de los datos personales, la finalidad y la duración de la operación o las operaciones de tratamiento propuestas, así como la situación en el país de origen, el tercer país y el país de destino final, y ofrecer, garantías apropiadas para proteger los derechos fundamentales y las libertades de las personas físicas con respecto al tratamiento de sus datos personales. Dichas transferencias sólo deben ser posibles en casos aislados, cuando ninguno de los otros motivos para la transferencia sean aplicables. Las legítimas expectativas de la sociedad en un aumento del conocimiento se deben tener en cuenta para fines de investigación científica o histórica o fines estadísticos. El responsable debe informar de la transferencia a la autoridad de control y al interesado.

(114)

En cualquier caso, cuando la Comisión no haya tomado ninguna decisión sobre el nivel adecuado de la protección de datos en un tercer país, el responsable o el encargado del tratamiento deben arbitrar soluciones que garanticen a los interesados derechos exigibles y efectivos con respecto al tratamiento de sus datos en la Unión, una vez transferidos estos, de forma que sigan beneficiándose de derechos fundamentales y garantías.

(115)

Algunos países terceros adoptan leyes, reglamentaciones y otros actos jurídicos con los que se pretende regular directamente las actividades de tratamiento de personas físicas y jurídicas bajo jurisdicción de los Estados miembros. Esto puede incluir sentencias de órganos jurisdiccionales o decisiones de autoridades administrativas de terceros países que obliguen a un responsable o un encargado del tratamiento a transferir o comunicar datos personales, y que no se basen en un acuerdo internacional, como un tratado de asistencia judicial mutua, en vigor entre el tercer país requirente y la Unión o un Estado miembro. La aplicación extraterritorial de dichas leyes, reglamentaciones y otros actos jurídicos puede ser contraria al Derecho internacional e impedir la protección de las personas físicas garantizada en la Unión en virtud del presente Reglamento. Las transferencias solo deben autorizarse cuando se cumplan las condiciones del presente Reglamento relativas a las transferencias a terceros países. Tal puede ser el caso, entre otros, cuando la comunicación sea necesaria por una razón importante de interés público reconocida por el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento.

(116)

Cuando los datos personales circulan a través de las fronteras hacia el exterior de la Unión se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer los derechos de protección de datos, en particular con el fin de protegerse contra la utilización o comunicación ilícitas de dicha información. Al mismo tiempo, es posible que las autoridades de control se vean en la imposibilidad de tramitar reclamaciones o realizar investigaciones relativas a actividades desarrolladas fuera de sus fronteras. Sus esfuerzos por colaborar en el contexto transfronterizo también pueden verse obstaculizados por poderes preventivos o correctivos insuficientes, regímenes jurídicos incoherentes y obstáculos prácticos, como la escasez de recursos. Por consiguiente, es necesario fomentar una cooperación más estrecha entre las autoridades de control encargadas de la protección de datos para ayudarlas a intercambiar información y a llevar a cabo investigaciones con sus homólogos internacionales. A fin de desarrollar mecanismos de cooperación internacional que faciliten y proporcionen asistencia internacional mutua en la ejecución de legislación en materia de protección de datos personales, la Comisión y las autoridades de control deben intercambiar información y cooperar en actividades relativas al ejercicio de sus competencias con las autoridades competentes de terceros países, sobre la base de la reciprocidad y de conformidad con el presente Reglamento.

(117)

El establecimiento en los Estados miembros de autoridades de control capacitadas para desempeñar sus funciones y ejercer sus competencias con plena independencia constituye un elemento esencial de la protección de las personas físicas con respecto al tratamiento de datos de carácter personal. Los Estados miembros deben tener la posibilidad de establecer más de una autoridad de control, a fin de reflejar su estructura constitucional, organizativa y administrativa.

(118)

La independencia de las autoridades de control no debe significar que dichas autoridades puedan quedar exentas de mecanismos de control o supervisión en relación con sus gastos financieros, o de control judicial.

(119)

Si un Estado miembro establece varias autoridades de control, debe disponer por ley mecanismos que garanticen la participación efectiva de dichas autoridades de control en el mecanismo de coherencia. Tal Estado miembro debe, en particular, designar a la autoridad de control que actuará como punto de contacto único de cara a la participación efectiva de dichas autoridades en el citado mecanismo, garantizando así una cooperación rápida y fluida con otras autoridades de control, el Comité y la Comisión.

(120)

Todas las autoridades de control deben estar dotadas de los recursos financieros y humanos, los locales y las infraestructuras que sean necesarios para la realización eficaz de sus funciones, en particular las relacionadas con la asistencia recíproca y la cooperación con otras autoridades de control de la Unión. Cada autoridad de control debe disponer de un presupuesto anual público propio, que podrá formar parte del presupuesto general del Estado o de otro ámbito nacional.

(121)

Las condiciones generales aplicables al miembro o los miembros de la autoridad de control deben establecerse por ley en cada Estado miembro y disponer, en particular, que dichos miembros han de ser nombrados, por un procedimiento transparente, por el Parlamento, el Gobierno o el jefe de Estado del Estado miembro, a propuesta del Gobierno, de un miembro del Gobierno o del Parlamento o una de sus cámaras, o por un organismo independiente encargado del nombramiento en virtud del Derecho de los Estados miembros. A fin de garantizar la independencia de la autoridad de control, sus miembros deben actuar con integridad, abstenerse de cualquier acción que sea incompatible con sus funciones y no participar, mientras dure su mandato, en ninguna actividad profesional incompatible, sea o no remunerada. La autoridad de control debe tener su propio personal, seleccionado por esta o por un organismo independiente establecido por el Derecho de los Estados miembros, que esté subordinado exclusivamente al miembro o los miembros de la autoridad de control.

(122)

Cada autoridad de control debe ser competente, en el territorio de su Estado miembro, para ejercer los poderes y desempeñar las funciones que se le confieran de conformidad con el presente Reglamento. Lo anterior debe abarcar, en particular, el tratamiento en el contexto de las actividades de un establecimiento del responsable o del encargado en el territorio de su Estado miembro, el tratamiento de datos personales realizado por autoridades públicas o por organismos privados que actúen en interés público, el tratamiento que afecte a interesados en su territorio, o el tratamiento realizado por un responsable o un encargado que no esté establecido en la Unión cuando sus destinatarios sean interesados residentes en su territorio. Debe incluirse el examen de reclamaciones presentadas por un interesado, la realización de investigaciones sobre la aplicación del presente Reglamento y el fomento de la sensibilización del público acerca de los riesgos, las normas, las garantías y los derechos en relación con el tratamiento de datos personales.

(123)

A fin de proteger a las personas físicas con respecto al tratamiento de sus datos personales y de facilitar la libre circulación de los datos personales en el mercado interior, las autoridades de control deben supervisar la aplicación de las disposiciones adoptadas de conformidad con el presente Reglamento y contribuir a su aplicación coherente en toda la Unión. A tal efecto, las autoridades de control deben cooperar entre ellas y con la Comisión, sin necesidad de acuerdo alguno entre Estados miembros sobre la prestación de asistencia mutua ni sobre dicha cooperación.

(124)

Si el tratamiento de datos personales se realiza en el contexto de las actividades de un establecimiento de un responsable o un encargado en la Unión y el responsable o el encargado está establecido en más de un Estado miembro, o si el tratamiento en el contexto de las actividades de un único establecimiento de un responsable o un encargado en la Unión afecta o es probable que afecte sustancialmente a interesados en más de un Estado miembro, la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado debe actuar como autoridad principal. Dicha autoridad debe cooperar con las demás autoridades interesadas, ya sea porque el responsable o el encargado tenga un establecimiento en el territorio de su Estado miembro, porque afecte sustancialmente a interesados que residen en su territorio, o porque se haya presentado una reclamación ante ellas. Asimismo, cuando un interesado que no resida en ese Estado miembro haya presentado una reclamación, la autoridad de control ante la que se haya presentado esta también debe ser autoridad de control interesada. En el marco de sus funciones de formulación de directrices sobre cualquier cuestión relacionada con la aplicación del presente Reglamento, el Comité debe estar facultado para formular directrices, en particular sobre los criterios que han de tenerse en cuenta para determinar si el tratamiento en cuestión afecta sustancialmente a interesados de más de un Estado miembro y sobre lo que constituya una objeción pertinente y motivada.

(125)

La autoridad principal debe ser competente para adoptar decisiones vinculantes relativas a las medidas de aplicación de los poderes conferidos con arreglo al presente Reglamento. En su calidad de autoridad principal, la autoridad de control debe implicar estrechamente y coordinar a las autoridades de control interesadas en el proceso de toma de decisiones. En los casos en los que la decisión consista en rechazar total o parcialmente la reclamación del interesado, esa decisión debe ser adoptada por la autoridad de control ante la que se haya presentado la reclamación.

(126)

La decisión debe ser acordada conjuntamente por la autoridad de control principal y las autoridades de control interesadas y debe dirigirse al establecimiento principal o único del responsable o del encargado del tratamiento y ser vinculante para ambos. El responsable o el encargado deben tomar las medidas necesarias para garantizar el cumplimiento del presente Reglamento y la aplicación de la decisión notificada por la autoridad de control principal al establecimiento principal del responsable o del encargado en lo que se refiere a las actividades de tratamiento en la Unión.

(127)

Cada autoridad de control que no actúa como autoridad principal debe ser competente para tratar asuntos locales en los que, si bien el responsable o el encargado del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento específico se refiere exclusivamente al tratamiento efectuado en un único Estado miembro y afecta exclusivamente a interesados de ese único Estado miembro, por ejemplo cuando el tratamiento tiene como objeto datos personales de empleados en el contexto específico de empleo de un Estado miembro. En tales casos, la autoridad de control debe informar sin dilación al respecto a la autoridad de control principal. Una vez informada, la autoridad de control principal debe decidir si tratará el asunto de acuerdo con la disposición aplicable a la cooperación entre la autoridad de control principal y otras autoridades de control interesadas («mecanismo de ventanilla única»), o si lo debe tratar localmente la autoridad de control que le haya informado. Al decidir si trata el asunto, la autoridad de control principal debe considerar si existe un establecimiento del responsable o del encargado en el Estado miembro de la autoridad de control que le haya informado, con el fin de garantizar la ejecución efectiva de la decisión respecto del responsable o encargado del tratamiento. Si la autoridad de control principal decide tratar el asunto, se debe ofrecer a la autoridad de control informante la posibilidad de presentar un proyecto de decisión, que la autoridad de control principal ha de tener en cuenta en la mayor medida posible al preparar su proyecto de decisión al amparo del mecanismo de ventanilla única.

(128)

Las normas sobre la autoridad de control principal y el mecanismo de ventanilla única no deben aplicarse cuando el tratamiento sea realizado por autoridades públicas u organismos privados en interés público. En tales casos, la única autoridad de control competente para ejercer los poderes conferidos con arreglo al presente Reglamento debe ser la autoridad de control del Estado miembro en el que estén establecidos la autoridad pública o el organismo privado.

(129)

Para garantizar la supervisión y ejecución coherentes del presente Reglamento en toda la Unión, las autoridades de control deben tener en todos los Estados miembros las mismas funciones y poderes efectivos, incluidos poderes de investigación, poderes correctivos y sancionadores, y poderes de autorización y consultivos, especialmente en casos de reclamaciones de personas físicas, y sin perjuicio de las competencias de las autoridades encargadas de la persecución de los delitos con arreglo al Derecho de los Estados miembros para poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y ejercitar acciones judiciales. Dichos poderes deben incluir también el poder de imponer una limitación temporal o definitiva al tratamiento, incluida su prohibición. Los Estados miembros pueden especificar otras funciones relacionadas con la protección de datos personales con arreglo al presente Reglamento. Los poderes de las autoridades de control deben ejercerse de conformidad con garantías procesales adecuadas establecidas en el Derecho de la Unión y los Estados miembros, de forma imparcial, equitativa y en un plazo razonable. En particular, toda medida debe ser adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento del presente Reglamento, teniendo en cuenta las circunstancias de cada caso concreto, respetar el derecho de todas las personas a ser oídas antes de que se adopte cualquier medida que las afecte negativamente y evitar costes superfluos y molestias excesivas para las personas afectadas. Los poderes de investigación en lo que se refiere al acceso a instalaciones deben ejercerse de conformidad con los requisitos específicos del Derecho procesal de los Estados miembros, como el de la autorización judicial previa. Toda medida jurídicamente vinculante de la autoridad de control debe constar por escrito, ser clara e inequívoca, indicar la autoridad de control que dictó la medida y la fecha en que se dictó, llevar la firma del director o de un miembro de la autoridad de control autorizado por este, especificar los motivos de la medida y mencionar el derecho a la tutela judicial efectiva. Esto no debe obstar a que se impongan requisitos adicionales con arreglo al Derecho procesal de los Estados miembros. La adopción de una decisión jurídicamente vinculante implica que puede ser objeto de control judicial en el Estado miembro de la autoridad de control que adoptó la decisión.

(130)

Cuando la autoridad de control ante la cual se haya presentado la reclamación no sea la autoridad de control principal, esta última debe cooperar estrechamente con la primera con arreglo a las disposiciones sobre cooperación y coherencia establecidas en el presente Reglamento. En tales casos, la autoridad de control principal, al tomar medidas concebidas para producir efectos jurídicos, incluida la imposición de multas administrativas, debe tener en cuenta en la mayor medida posible la opinión de la autoridad de control ante la cual se haya presentado la reclamación y la cual debe seguir siendo competente para realizar cualquier investigación en el territorio de su propio Estado miembro en enlace con la autoridad de control competente.

(131)

En casos en los que otra autoridad de control deba actuar como autoridad de control principal para las actividades de tratamiento del responsable o del encargado pero el objeto concreto de una reclamación o la posible infracción afecta únicamente a las actividades de tratamiento del responsable o del encargado en el Estado miembro en el que se haya presentado la reclamación o detectado la posible infracción y el asunto no afecta sustancialmente ni es probable que afecte sustancialmente a interesados de otros Estados miembros, la autoridad de control que reciba una reclamación o que detecte situaciones que conlleven posibles infracciones del presente Reglamento o reciba de otra manera información sobre estas debe tratar de llegar a un arreglo amistoso con el responsable del tratamiento y, si no prospera, ejercer todos sus poderes. En lo anterior se debe incluir el tratamiento específico realizado en el territorio del Estado miembro de la autoridad de control o con respecto a interesados en el territorio de dicho Estado miembro; el tratamiento efectuado en el contexto de una oferta de bienes o servicios destinada específicamente a interesados en el territorio del Estado miembro de la autoridad de control; o el tratamiento que deba evaluarse teniendo en cuenta las obligaciones legales pertinentes en virtud del Derecho de los Estados miembros.

(132)

Entre las actividades de sensibilización del público por parte de las autoridades de control deben incluirse medidas específicas dirigidas a los responsables y los encargados del tratamiento, incluidas las microempresas y las pequeñas y medianas empresas, así como las personas físicas, en particular en el contexto educativo.

(133)

Las autoridades de control se deben ayudar una a otra en el desempeño de sus funciones y prestar asistencia mutua, con el fin de garantizar la aplicación y ejecución coherentes del presente Reglamento en el mercado interior. Una autoridad de control que solicite asistencia mutua puede adoptar una medida provisional si no recibe respuesta a su solicitud de asistencia en el plazo de un mes a partir de su recepción por la otra autoridad de control.

(134)

Cada autoridad de control debe participar, cuando proceda, en operaciones conjuntas con otras autoridades de control. La autoridad de control a la que se solicite ayuda debe tener la obligación de responder a la solicitud en un plazo de tiempo determinado.

(135)

A fin de garantizar la aplicación coherente del presente Reglamento en toda la Unión, debe establecerse un mecanismo de coherencia para la cooperación entre las autoridades de control. Este mecanismo debe aplicarse en particular cuando una autoridad de control prevea adoptar una medida dirigida a producir efectos jurídicos en lo que se refiere a operaciones de tratamiento que afecten sustancialmente a un número significativo de interesados en varios Estados miembros. También debe aplicarse cuando cualquier autoridad de control interesada o la Comisión soliciten que dicho asunto se trate al amparo del mecanismo de coherencia. Dicho mecanismo debe entenderse sin perjuicio de cualesquiera medidas que la Comisión pueda adoptar en el ejercicio de sus poderes con arreglo a los Tratados.

(136)

En aplicación del mecanismo de coherencia, el Comité debe, en un plazo determinado, emitir un dictamen, si así lo decide una mayoría de sus miembros o si así lo solicita cualquier autoridad de control interesada o la Comisión. El Comité también debe estar facultado para adoptar decisiones jurídicamente vinculantes en caso de diferencias entre autoridades de control. A tal efecto debe dictar, en principio por mayoría de dos tercios de sus miembros, decisiones jurídicamente vinculantes en casos claramente especificados en los que exista conflicto de opiniones entre las autoridades de control, en particular en el mecanismo de cooperación entre la autoridad de control principal y las autoridades de control interesadas sobre el fondo del asunto, especialmente en caso de infracción del presente Reglamento.

(137)

La necesidad urgente de actuar puede obedecer a la necesidad de proteger los derechos y libertades de los interesados, en particular cuando exista el riesgo de que pueda verse considerablemente obstaculizado el reconocimiento de alguno de sus derechos. Por lo tanto, una autoridad de control debe poder adoptar en su territorio medidas provisionales, debidamente justificadas, con un plazo de validez determinado no superior a tres meses.

(138)

La aplicación de tal mecanismo debe ser una condición para la licitud de una medida de una autoridad de control destinada a producir efectos jurídicos, en aquellos casos en los que su aplicación sea obligatoria. En otros casos de relevancia transfronteriza, la autoridad de control principal y las autoridades de control interesadas deben aplicar entre sí el mecanismo de cooperación, y las autoridades de control interesadas pueden prestarse asistencia mutua y realizar entre sí operaciones conjuntas, sobre una base bilateral o multilateral, sin tener que aplicarlo.

(139)

A fin de fomentar la aplicación coherente del presente Reglamento, el Comité debe constituirse como organismo independiente de la Unión. Para cumplir sus objetivos, el Comité debe tener personalidad jurídica. Su presidente debe ostentar su representación. El Comité debe sustituir al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales creado por la Directiva 95/46/CE. Debe estar compuesto por el director de una autoridad de control de cada Estado miembro y el Supervisor Europeo de Protección de Datos, o por sus respectivos representantes. La Comisión debe participar en las actividades del Comité sin derecho a voto y se deben reconocer derechos de voto específicos al Supervisor Europeo de Protección de Datos. El Comité debe contribuir a la aplicación coherente del presente Reglamento en toda la Unión, entre otras cosas asesorando a la Comisión, en particular sobre el nivel de protección en terceros países u organizaciones internacionales, y fomentando la cooperación de las autoridades de control en toda la Unión. El Comité debe actuar con independencia en el cumplimiento de sus funciones.

(140)

El Comité debe contar con una secretaría, a cargo el Supervisor Europeo de Protección de Datos. El personal del Supervisor Europeo de Protección de Datos que participe en la realización de las funciones conferidas al Comité por el presente Reglamento debe desempeñar sus funciones siguiendo exclusivamente las instrucciones del presidente del Comité y responder ante él.

(141)

Todo interesado debe tener derecho a presentar una reclamación ante una autoridad de control única, en particular en el Estado miembro de su residencia habitual, y derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la Carta si considera que se vulneran sus derechos con arreglo al presente Reglamento o en caso de que la autoridad de control no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado. La investigación a raíz de una reclamación debe llevarse a cabo, bajo control judicial, si procede en el caso concreto. La autoridad de control debe informar al interesado de la evolución y el resultado de la reclamación en un plazo razonable. Si el asunto requiere una mayor investigación o coordinación con otra autoridad de control, se debe facilitar información intermedia al interesado. Para facilitar la presentación de reclamaciones, cada autoridad de control debe adoptar medidas como el suministro de un formulario de reclamaciones, que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación.

(142)

El interesado que considere vulnerados los derechos reconocidos por el presente Reglamento debe tener derecho a conferir mandato a una entidad, organización o asociación sin ánimo de lucro que esté constituida con arreglo al Derecho de un Estado miembro, tenga objetivos estatutarios que sean de interés público y actúe en el ámbito de la protección de los datos personales, para que presente en su nombre una reclamación ante la autoridad de control, ejerza el derecho a la tutela judicial en nombre de los interesados o, si así lo establece el Derecho del Estado miembro, ejerza el derecho a recibir una indemnización en nombre de estos. Un Estado miembro puede reconocer a tal entidad, organización o asociación el derecho a presentar en él una reclamación con independencia del mandato de un interesado y el derecho a la tutela judicial efectiva, cuando existan motivos para creer que se han vulnerado los derechos de un interesado como consecuencia de un tratamiento de datos personales que sea contrario al presente Reglamento. Esa entidad, organización o asociación no puede estar autorizada a reclamar una indemnización en nombre de un interesado al margen del mandato de este último.

(143)

Toda persona física o jurídica tiene derecho a interponer ante el Tribunal de Justicia recurso de anulación de decisiones del Comité, en las condiciones establecidas en el artículo 263 del TFUE. Como destinatarias de dichas decisiones, las autoridades de control interesadas que quieran impugnarlas tienen que interponer recurso en el plazo de dos meses a partir del momento en que les fueron notificadas, de conformidad con el artículo 263 del TFUE. En caso de que las decisiones del Comité afecten directa e individualmente a un responsable, un encargado o al reclamante, estos pueden interponer recurso de anulación de dichas decisiones en el plazo de dos meses a partir de su publicación en el sitio web del Comité, de conformidad con el artículo 263 del TFUE. Sin perjuicio de lo dispuesto en el artículo 263 del TFUE, toda persona física o jurídica debe tener derecho a la tutela judicial efectiva ante el tribunal nacional competente contra las decisiones de una autoridad de control que produzcan efectos jurídicos que le afecten. Tales decisiones se refieren en particular al ejercicio de los poderes de investigación, corrección y autorización por parte de la autoridad de control o a la desestimación o rechazo de reclamaciones. No obstante, el derecho a la tutela judicial efectiva no incluye medidas adoptadas por las autoridades de control que no sean jurídicamente vinculantes, como los dictámenes publicados o el asesoramiento facilitado por ellas. Las acciones contra una autoridad de control deben ejercitarse ante los tribunales del Estado miembro en el que esté establecida y tramitarse con arreglo al Derecho procesal de dicho Estado miembro. Dichos tribunales deben tener plena jurisdicción, incluida la competencia para examinar todos los elementos de hecho y de Derecho relativos a la causa de la que conozcan.

Si una autoridad de control rechaza o desestima una reclamación, el reclamante puede ejercitar una acción ante los tribunales del mismo Estado miembro. En el contexto de las acciones judiciales relacionadas con la aplicación del presente Reglamento, los tribunales nacionales que estimen necesaria una decisión al respecto para poder emitir su fallo pueden, o en el caso establecido en el artículo 267 del TFUE, deben solicitar al Tribunal de Justicia que se pronuncie con carácter prejudicial sobre la interpretación del Derecho de la Unión, incluido el presente Reglamento. Además, si una decisión de una autoridad de control por la que se ejecuta una decisión del Comité se impugna ante un tribunal nacional y se cuestiona la validez de la decisión del Comité, dicho tribunal nacional no es competente para declarar inválida la decisión del Comité, sino que, si la considera inválida, tiene que remitir la cuestión de la validez al Tribunal de Justicia de conformidad con el artículo 267 del TFUE, según la interpretación de este. No obstante, un tribunal nacional puede no remitir la cuestión de la validez de la decisión del Comité a instancia de una persona física o jurídica que, habiendo tenido la oportunidad de interponer recurso de anulación de dicha decisión, en particular si dicha decisión la afectaba directa e individualmente, no lo hizo en el plazo establecido en el artículo 263 del TFUE.

(144)

Si un tribunal ante el cual se ejercitaron acciones contra una decisión de una autoridad de control tiene motivos para creer que se ejercitaron acciones ante un tribunal competente de otro Estado miembro relativas al mismo tratamiento, como tener el mismo asunto con respecto a un tratamiento por el mismo responsable o encargado, o la misma causa de la acción, debe ponerse en contacto con ese tribunal para confirmar la existencia de tales acciones conexas. Si dichas acciones conexas están pendientes ante un tribunal de otro Estado miembro, cualquier otro tribunal distinto de aquel ante el cual se ejercitó la acción en primer lugar puede suspender el procedimiento o, a instancia de una de las partes, inhibirse a favor del tribunal ante el cual se ejercitó la acción en primer lugar si este último es competente para su conocimiento y su acumulación es conforme a Derecho. Se consideran conexas las acciones vinculadas entre sí por una relación tan estrecha que procede tramitarlas y resolverlas conjuntamente a fin de evitar resoluciones que podrían ser incompatibles si se sustanciaran como causas separadas.

(145)

Por lo que respecta a las acciones contra los responsables o encargados del tratamiento, el reclamante debe tener la opción de ejercitarlas ante los tribunales de los Estados miembros en los que el responsable o el encargado tenga un establecimiento o resida el interesado, a menos que el responsable sea una autoridad pública de un Estado miembro que actúe en el ejercicio de poderes públicos.

(146)

El responsable o el encargado del tratamiento debe indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del presente Reglamento. El responsable o el encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y perjuicios. El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros. Un tratamiento en infracción del presente Reglamento también incluye aquel tratamiento que infringe actos delegados y de ejecución adoptados de conformidad con el presente Reglamento y el Derecho de los Estados miembros que especifique las normas del presente Reglamento. Los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. Si los responsables o encargados participan en el mismo tratamiento, cada responsable o encargado debe ser considerado responsable de la totalidad de los daños y perjuicios. No obstante, si se acumulan en la misma causa de conformidad con el Derecho de los Estados miembros, la indemnización puede prorratearse en función de la responsabilidad de cada responsable o encargado por los daños y perjuicios causados por el tratamiento, siempre que se garantice la indemnización total y efectiva del interesado que sufrió los daños y perjuicios. Todo responsable o encargado que haya abonado la totalidad de la indemnización puede interponer recurso posteriormente contra otros responsables o encargados que hayan participado en el mismo tratamiento.

(147)

En los casos en que el presente Reglamento contiene normas específicas sobre competencia judicial, en particular por lo que respecta a las acciones que tratan de obtener satisfacción por la vía judicial, incluida la indemnización, contra un responsable o encargado del tratamiento, las normas generales de competencia judicial como las establecidas en el Reglamento (UE) n.o 1215/2012 del Parlamento Europeo y del Consejo (13) deben entenderse sin perjuicio de la aplicación de dichas normas específicas.

(148)

A fin de reforzar la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del presente Reglamento, o en sustitución de estas. En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento. Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante. La imposición de sanciones, incluidas las multas administrativas, debe estar sujeta a garantías procesales suficientes conforme a los principios generales del Derecho de la Unión y de la Carta, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías.

(149)

Los Estados miembros deben tener la posibilidad de establecer normas en materia de sanciones penales por infracciones del presente Reglamento, incluidas las infracciones de normas nacionales adoptadas con arreglo a él y dentro de sus límites. Dichas sanciones penales pueden asimismo autorizar la privación de los beneficios obtenidos en infracción del presente Reglamento. No obstante, la imposición de sanciones penales por infracciones de dichas normas nacionales y de sanciones administrativas no debe entrañar la vulneración del principio ne bis in idem, según la interpretación del Tribunal de Justicia.

(150)

A fin de reforzar y armonizar las sanciones administrativas por infracción del presente Reglamento, cada autoridad de control debe estar facultada para imponer multas administrativas. El presente Reglamento debe indicar las infracciones así como el límite máximo y los criterios para fijar las correspondientes multas administrativas, que la autoridad de control competente debe determinar en cada caso individual teniendo en cuenta todas las circunstancias concurrentes en él, atendiendo en particular a la naturaleza, gravedad y duración de la infracción y sus consecuencias y a las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el presente Reglamento e impedir o mitigar las consecuencias de la infracción. Si las multas administrativas se imponen a una empresa, por tal debe entenderse una empresa con arreglo a los artículos 101 y 102 del TFUE. Si las multas administrativas se imponen a personas que no son una empresa, la autoridad de control debe tener en cuenta al valorar la cuantía apropiada de la multa el nivel general de ingresos prevaleciente en el Estado miembro así como la situación económica de la persona. El mecanismo de coherencia también puede emplearse para fomentar una aplicación coherente de las multas administrativas. Debe corresponder a los Estados miembros determinar si y en qué medida se debe imponer multas administrativas a las autoridades públicas. La imposición de una multa administrativa o de una advertencia no afecta al ejercicio de otras competencias de las autoridades de control ni a la aplicación de otras sanciones al amparo del presente Reglamento.

(151)

Los ordenamientos jurídicos de Dinamarca y Estonia no permiten las multas administrativas según lo dispuesto en el presente Reglamento. Las normas sobre multas administrativas pueden ser aplicadas en Dinamarca de tal manera que la multa sea impuesta por los tribunales nacionales competentes en cuanto sanción penal, y en Estonia de tal manera que la multa sea impuesta por la autoridad de control en el marco de un juicio de faltas, siempre que tal aplicación de las normas en dichos Estados miembros tenga un efecto equivalente a las multas administrativas impuestas por las autoridades de control. Por lo tanto los tribunales nacionales competentes deben tener en cuenta la recomendación de la autoridad de control que incoe la multa. En todo caso, las multas impuestas deben ser efectivas, proporcionadas y disuasorias.

(152)

En los casos en que el presente Reglamento no armoniza las sanciones administrativas, o en otros casos en que se requiera, por ejemplo en casos de infracciones graves del presente Reglamento, los Estados miembros deben aplicar un sistema que establezca sanciones efectivas, proporcionadas y disuasorias. La naturaleza de dichas sanciones, ya sea penal o administrativa, debe ser determinada por el Derecho de los Estados miembros.

(153)

El Derecho de los Estados miembros debe conciliar las normas que rigen la libertad de expresión e información, incluida la expresión periodística, académica, artística o literaria, con el derecho a la protección de los datos personales con arreglo al presente Reglamento. El tratamiento de datos personales con fines exclusivamente periodísticos o con fines de expresión académica, artística o literaria debe estar sujeto a excepciones o exenciones de determinadas disposiciones del presente Reglamento si así se requiere para conciliar el derecho a la protección de los datos personales con el derecho a la libertad de expresión y de información consagrado en el artículo 11 de la Carta. Esto debe aplicarse en particular al tratamiento de datos personales en el ámbito audiovisual y en los archivos de noticias y hemerotecas. Por tanto, los Estados miembros deben adoptar medidas legislativas que establezcan las exenciones y excepciones necesarias para equilibrar estos derechos fundamentales. Los Estados miembros deben adoptar tales exenciones y excepciones con relación a los principios generales, los derechos del interesado, el responsable y el encargado del tratamiento, la transferencia de datos personales a terceros países u organizaciones internacionales, las autoridades de control independientes, la cooperación y la coherencia, y las situaciones específicas de tratamiento de datos. Si dichas exenciones o excepciones difieren de un Estado miembro a otro debe regir el Derecho del Estado miembro que sea aplicable al responsable del tratamiento. A fin de tener presente la importancia del derecho a la libertad de expresión en toda sociedad democrática, es necesario que nociones relativas a dicha libertad, como el periodismo, se interpreten en sentido amplio.

(154)

El presente Reglamento permite que, al aplicarlo, se tenga en cuenta el principio de acceso del público a los documentos oficiales. El acceso del público a documentos oficiales puede considerarse de interés público. Los datos personales de documentos que se encuentren en poder de una autoridad pública o un organismo público deben poder ser comunicados públicamente por dicha autoridad u organismo si así lo establece el Derecho de la Unión o los Estados miembros aplicable a dicha autoridad u organismo. Ambos Derechos deben conciliar el acceso del público a documentos oficiales y la reutilización de la información del sector público con el derecho a la protección de los datos personales y, por tanto, pueden establecer la necesaria conciliación con el derecho a la protección de los datos personales de conformidad con el presente Reglamento. La referencia a autoridades y organismos públicos debe incluir, en este contexto, a todas las autoridades u otros organismos a los que se aplica el Derecho de los Estados miembros sobre el acceso del público a documentos. La Directiva 2003/98/CE del Parlamento Europeo y del Consejo (14) no altera ni afecta en modo alguno al nivel de protección de las personas físicas con respecto al tratamiento de datos personales con arreglo a las disposiciones del Derecho de la Unión y los Estados miembros y, en particular, no altera las obligaciones ni los derechos establecidos en el presente Reglamento. En concreto, dicha Directiva no debe aplicarse a los documentos a los que no pueda accederse o cuyo acceso esté limitado en virtud de regímenes de acceso por motivos de protección de datos personales, ni a partes de documentos accesibles en virtud de dichos regímenes que contengan datos personales cuya reutilización haya quedado establecida por ley como incompatible con el Derecho relativo a la protección de las personas físicas con respecto al tratamiento de los datos personales.

(155)

El Derecho de los Estados miembros o los convenios colectivos, incluidos los «convenios de empresa», pueden establecer normas específicas relativas al tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular en relación con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contratación, la ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por convenio colectivo, la gestión, planificación y organización del trabajo, la igualdad y seguridad en el lugar de trabajo, la salud y seguridad en el trabajo, así como a los fines del ejercicio y disfrute, sea individual o colectivo, de derechos y prestaciones relacionados con el empleo y a efectos de la rescisión de la relación laboral.

(156)

El tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos debe estar supeditado a unas garantías adecuadas para los derechos y libertades del interesado de conformidad con el presente Reglamento. Esas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos. El tratamiento ulterior de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (como, por ejemplo, la seudonimización de datos). Los Estados miembros deben establecer garantías adecuadas para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. Debe autorizarse que los Estados miembros establezcan, bajo condiciones específicas y a reserva de garantías adecuadas para los interesados, especificaciones y excepciones con respecto a los requisitos de información y los derechos de rectificación, de supresión, al olvido, de limitación del tratamiento, a la portabilidad de los datos y de oposición, cuando se traten datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Las condiciones y garantías en cuestión pueden conllevar procedimientos específicos para que los interesados ejerzan dichos derechos si resulta adecuado a la luz de los fines perseguidos por el tratamiento específico, junto con las medidas técnicas y organizativas destinadas a minimizar el tratamiento de datos personales atendiendo a los principios de proporcionalidad y necesidad. El tratamiento de datos personales con fines científicos también debe observar otras normas pertinentes, como las relativas a los ensayos clínicos.

(157)

Combinando información procedente de registros, los investigadores pueden obtener nuevos conocimientos de gran valor sobre condiciones médicas extendidas, como las enfermedades cardiovasculares, el cáncer y la depresión. Partiendo de registros, los resultados de las investigaciones pueden ser más sólidos, ya que se basan en una población mayor. Dentro de las ciencias sociales, la investigación basada en registros permite que los investigadores obtengan conocimientos esenciales acerca de la correlación a largo plazo, con otras condiciones de vida, de diversas condiciones sociales, como el desempleo y la educación. Los resultados de investigaciones obtenidos de registros proporcionan conocimientos sólidos y de alta calidad que pueden servir de base para la concepción y ejecución de políticas basada en el conocimiento, mejorar la calidad de vida de numerosas personas y mejorar la eficiencia de los servicios sociales. Para facilitar la investigación científica, los datos personales pueden tratarse con fines científicos, a reserva de condiciones y garantías adecuadas establecidas en el Derecho de la Unión o de los Estados miembros.

(158)

El presente Reglamento también debe aplicarse al tratamiento de datos personales realizado con fines de archivo, teniendo presente que no debe se de aplicación a personas fallecidas. Las autoridades públicas o los organismos públicos o privados que llevan registros de interés público deben ser servicios que están obligados, con arreglo al Derecho de la Unión o de los Estados miembros, a adquirir, mantener, evaluar, organizar, describir, comunicar, promover y difundir registros de valor perdurable para el interés público general y facilitar acceso a ellos. Los Estados miembros también debe estar autorizados a establecer el tratamiento ulterior de datos personales con fines de archivo, por ejemplo a fin de ofrecer información específica relacionada con el comportamiento político bajo antiguos regímenes de Estados totalitarios, el genocidio, los crímenes contra la humanidad, en particular el Holocausto, o los crímenes de guerra.

(159)

El presente Reglamento también debe aplicarse al tratamiento datos personales que se realice con fines de investigación científica. El tratamiento de datos personales con fines de investigación científica debe interpretarse, a efectos del presente Reglamento, de manera amplia, que incluya, por ejemplo, el desarrollo tecnológico y la demostración, la investigación fundamental, la investigación aplicada y la investigación financiada por el sector privado. Además, debe tener en cuenta el objetivo de la Unión establecido en el artículo 179, apartado 1, del TFUE de realizar un espacio europeo de investigación. Entre los fines de investigación científica también se deben incluir los estudios realizados en interés público en el ámbito de la salud pública. Para cumplir las especificidades del tratamiento de datos personales con fines de investigación científica deben aplicarse condiciones específicas, en particular en lo que se refiere a la publicación o la comunicación de otro modo de datos personales en el contexto de fines de investigación científica. Si el resultado de la investigación científica, en particular en el ámbito de la salud, justifica otras medidas en beneficio del interesado, las normas generales del presente Reglamento deben aplicarse teniendo en cuenta tales medidas.

(160)

El presente Reglamento debe aplicarse asimismo al tratamiento datos personales que se realiza con fines de investigación histórica. Esto incluye asimismo la investigación histórica y la investigación para fines genealógicos, teniendo en cuenta que el presente Reglamento no es de aplicación a personas fallecidas.

(161)

Al objeto de otorgar el consentimiento para la participación en actividades de investigación científica en ensayos clínicos, deben aplicarse las disposiciones pertinentes del Reglamento (UE) n.o 536/2014 del Parlamento Europeo y del Consejo (15).

(162)

El presente Reglamento debe aplicarse al tratamiento de datos personales con fines estadísticos. El contenido estadístico, el control de accesos, las especificaciones para el tratamiento de datos personales con fines estadísticos y las medidas adecuadas para salvaguardar los derechos y las libertades de los interesados y garantizar la confidencialidad estadística deben ser establecidos, dentro de los límites del presente Reglamento, por el Derecho de la Unión o de los Estados miembros. Por fines estadísticos se entiende cualquier operación de recogida y tratamiento de datos personales necesarios para encuestas estadísticas o para la producción de resultados estadísticos. Estos resultados estadísticos pueden además utilizarse con diferentes fines, incluidos fines de investigación científica. El fin estadístico implica que el resultado del tratamiento con fines estadísticos no sean datos personales, sino datos agregados, y que este resultado o los datos personales no se utilicen para respaldar medidas o decisiones relativas a personas físicas concretas.

(163)

Debe protegerse la información confidencial que las autoridades estadísticas de la Unión y nacionales recojan para la elaboración de las estadísticas oficiales europeas y nacionales. Las estadísticas europeas deben desarrollarse, elaborarse y difundirse con arreglo a los principios estadísticos fijados en el artículo 338, apartado 2, del TFUE, mientras que las estadísticas nacionales deben cumplir asimismo el Derecho de los Estados miembros. El Reglamento (CE) n.o 223/2009 del Parlamento Europeo y del Consejo (16) facilita especificaciones adicionales sobre la confidencialidad estadística aplicada a las estadísticas europeas.

(164)

Por lo que respecta a los poderes de las autoridades de control para obtener del responsable o del encargado del tratamiento acceso a los datos personales y a sus locales, los Estados miembros pueden adoptar por ley, dentro de los límites fijados por el presente Reglamento, normas específicas con vistas a salvaguardar el deber de secreto profesional u obligaciones equivalentes, en la medida necesaria para conciliar el derecho a la protección de los datos personales con el deber de secreto profesional. Lo anterior se entiende sin perjuicio de las obligaciones existentes para los Estados miembros de adoptar normas sobre el secreto profesional cuando así lo exija el Derecho de la Unión.

(165)

El presente Reglamento respeta y no prejuzga el estatuto reconocido en los Estados miembros, en virtud del Derecho constitucional, a las iglesias y las asociaciones o comunidades religiosas, tal como se reconoce en el artículo 17 del TFUE.

(166)

A fin de cumplir los objetivos del presente Reglamento, a saber, proteger los derechos y las libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, y garantizar la libre circulación de los datos personales en la Unión, debe delegarse en la Comisión el poder de adoptar actos de conformidad con el artículo 290 del TFUE. En particular, deben adoptarse actos delegados en relación con los criterios y requisitos para los mecanismos de certificación, la información que debe presentarse mediante iconos normalizados y los procedimientos para proporcionar dichos iconos. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos. Al preparar y redactar los actos delegados, la Comisión debe garantizar la transmisión simultánea, oportuna y apropiada de los documentos pertinentes al Parlamento Europeo y al Consejo.

(167)

A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución cuando así lo establezca el presente Reglamento. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo. En este contexto, la Comisión debe considerar la adopción de medidas específicas para las microempresas y las pequeñas y medianas empresas.

(168)

El procedimiento de examen debe seguirse para la adopción de actos de ejecución sobre cláusulas contractuales tipo entre responsables y encargados del tratamiento y entre responsables del tratamiento; códigos de conducta; normas técnicas y mecanismos de certificación; el nivel adecuado de protección ofrecido por un tercer país, un territorio o un sector específico en ese tercer país, o una organización internacional; cláusulas tipo de protección; formatos y procedimientos para el intercambio de información entre responsables, encargados y autoridades de control respecto de normas corporativas vinculantes; asistencia mutua; y modalidades de intercambio de información por medios electrónicos entre las autoridades de control, y entre las autoridades de control y el Comité.

(169)

La Comisión debe adoptar actos de ejecución inmediatamente aplicables cuando las pruebas disponibles muestren que un tercer país, un territorio o un sector específico en ese tercer país, o una organización internacional no garantizan un nivel de protección adecuado y así lo requieran razones imperiosas de urgencia.

(170)

Dado que el objetivo del presente Reglamento, a saber, garantizar un nivel equivalente de protección de las personas físicas y la libre circulación de datos personales en la Unión Europea, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a las dimensiones o los efectos de la acción, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea (TUE). De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(171)

La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo tratamiento ya iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento. Las decisiones de la Comisión y las autorizaciones de las autoridades de control basadas en la Directiva 95/46/CE permanecen en vigor hasta que sean modificadas, sustituidas o derogadas.

(172)

De conformidad con el artículo 28, apartado 2, del Reglamento (CE) n.o 45/2001, se consultó al Supervisor Europeo de Protección de Datos, y éste emitió su dictamen el 7 de marzo de 2012 (17).

(173)

El presente Reglamento debe aplicarse a todas las cuestiones relativas a la protección de los derechos y las libertades fundamentales en relación con el tratamiento de datos personales que no están sujetas a obligaciones específicas con el mismo objetivo establecidas en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (18), incluidas las obligaciones del responsable del tratamiento y los derechos de las personas físicas. Para aclarar la relación entre el presente Reglamento y la Directiva 2002/58/CE, esta última debe ser modificada en consecuencia. Una vez que se adopte el presente Reglamento, debe revisarse la Directiva 2002/58/CE, en particular con objeto de garantizar la coherencia con el presente Reglamento.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I

Disposiciones generales

Artículo 1

Objeto

1.   El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

2.   El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

3.   La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

Artículo 2

Ámbito de aplicación material

1.   El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2.   El presente Reglamento no se aplica al tratamiento de datos personales:

a)

en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

b)

por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;

c)

efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

d)

por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

3.   El Reglamento (CE) n.o 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.o 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98.

4.   El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15.

Artículo 3

Ámbito territorial

1.   El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

2.   El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

a)

la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

b)

el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

3.   El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Artículo 4

Definiciones

A efectos del presente Reglamento se entenderá por:

1)   «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2)   «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

3)   «limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;

4)   «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

5)   «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

6)   «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

7)   «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

8)   «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

9)   «destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;

10)   «tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;

11)   «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

12)   «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;

13)   «datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;

14)   «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

15)   «datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

16)   «establecimiento principal»:

a)

en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;

b)

en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;

17)   «representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;

18)   «empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;

19)   «grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas controladas;

20)   «normas corporativas vinculantes»: las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta;

21)   «autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51;

22)   «autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datos personales debido a que:

a)

el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control;

b)

los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o

c)

se ha presentado una reclamación ante esa autoridad de control;

23)   «tratamiento transfronterizo»:

a)

el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

b)

el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro;

24)   «objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión;

25)   «servicio de la sociedad de la información»: todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (19);

26)   «organización internacional»: una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

CAPÍTULO II

Principios

Artículo 5

Principios relativos al tratamiento

1.   Los datos personales serán:

a)

tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

b)

recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);

c)

adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

d)

exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);

e)

mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);

f)

tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

2.   El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

Artículo 6

Licitud del tratamiento

1.   El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a)

el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b)

el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c)

el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d)

el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e)

el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f)

el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

2.   Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.

3.   La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

a)

el Derecho de la Unión, o

b)

el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.

4.   Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a)

cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b)

el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c)

la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

d)

las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e)

la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

Artículo 7

Condiciones para el consentimiento

1.   Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

2.   Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

3.   El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

4.   Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

Artículo 8

Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información

1.   Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.

2.   El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

3.   El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.

Artículo 9

Tratamiento de categorías especiales de datos personales

1.   Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

2.   El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a)

el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

b)

el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c)

el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d)

el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e)

el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f)

el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

g)

el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h)

el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

i)

el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,

j)

el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

3.   Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

4.   Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

Artículo 10

Tratamiento de datos personales relativos a condenas e infracciones penales

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1, sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.

Artículo 11

Tratamiento que no requiere identificación

1.   Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.

2.   Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación.

CAPÍTULO III

Derechos del interesado

Sección 1

Transparencia y modalidades

Artículo 12

Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado

1.   El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

2.   El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado.

3.   El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

4.   Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.

5.   La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

a)

cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o

b)

negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

6.   Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.

7.   La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.

8.   La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados.

Sección 2

Información y acceso a los datos personales

Artículo 13

Información que deberá facilitarse cuando los datos personales se obtengan del interesado

1.   Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a)

la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b)

los datos de contacto del delegado de protección de datos, en su caso;

c)

los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d)

cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e)

los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f)

en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

2.   Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a)

el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

b)

la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

c)

cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

d)

el derecho a presentar una reclamación ante una autoridad de control;

e)

si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

f)

la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3.   Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

4.   Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.

Artículo 14

Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado

1.   Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:

a)

la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b)

los datos de contacto del delegado de protección de datos, en su caso;

c)

los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

d)

las categorías de datos personales de que se trate;

e)

los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f)

en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado.

2.   Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:

a)

el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

b)

cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero;

c)

la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

d)

cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada;

e)

el derecho a presentar una reclamación ante una autoridad de control;

f)

la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

g)

la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3.   El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:

a)

dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;

b)

si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o

c)

si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

4.   Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.

5.   Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:

a)

el interesado ya disponga de la información;

b)

la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información;

c)

la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o

d)

cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

Artículo 15

Derecho de acceso del interesado

1.   El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

a)

los fines del tratamiento;

b)

las categorías de datos personales de que se trate;

c)

los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;

d)

de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;

e)

la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f)

el derecho a presentar una reclamación ante una autoridad de control;

g)

cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h)

la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

2.   Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.

3.   El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

4.   El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.

Sección 3

Rectificación y supresión

Artículo 16

Derecho de rectificación

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Artículo 17

Derecho de supresión («el derecho al olvido»)

1.   El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

a)

los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b)

el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

c)

el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

d)

los datos personales hayan sido tratados ilícitamente;

e)

los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

f)

los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

2.   Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

3.   Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:

a)

para ejercer el derecho a la libertad de expresión e información;

b)

para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;

c)

por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;

d)

con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o

e)

para la formulación, el ejercicio o la defensa de reclamaciones.

Artículo 18

Derecho a la limitación del tratamiento

1.   El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:

a)

el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;

b)

el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

c)

el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d)

el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

2.   Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.

3.   Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes del levantamiento de dicha limitación.

Artículo 19

Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento

El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales o limitación del tratamiento efectuada con arreglo al artículo 16, al artículo 17, apartado 1, y al artículo 18 a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.

Artículo 20

Derecho a la portabilidad de los datos

1.   El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a)

el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y

b)

el tratamiento se efectúe por medios automatizados.

2.   Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

3.   El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

4.   El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.

Sección 4

Derecho de oposición y decisiones individuales automatizadas

Artículo 21

Derecho de oposición

1.   El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

2.   Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.

3.   Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.

4.   A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información.

5.   En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.

6.   Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.

Artículo 22

Decisiones individuales automatizadas, incluida la elaboración de perfiles

1.   Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

2.   El apartado 1 no se aplicará si la decisión:

a)

es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;

b)

está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o

c)

se basa en el consentimiento explícito del interesado.

3.   En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

4.   Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

Sección 5

Limitaciones

Artículo 23

Limitaciones

1.   El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

a)

la seguridad del Estado;

b)

la defensa;

c)

la seguridad pública;

d)

la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;

e)

otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

f)

la protección de la independencia judicial y de los procedimientos judiciales;

g)

la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;

h)

una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y g);

i)

la protección del interesado o de los derechos y libertades de otros;

j)

la ejecución de demandas civiles.

2.   En particular, cualquier medida legislativa indicada en el apartado 1 contendrá como mínimo, en su caso, disposiciones específicas relativas a:

a)

la finalidad del tratamiento o de las categorías de tratamiento;

b)

las categorías de datos personales de que se trate;

c)

el alcance de las limitaciones establecidas;

d)

las garantías para evitar accesos o transferencias ilícitos o abusivos;

e)

la determinación del responsable o de categorías de responsables;

f)

los plazos de conservación y las garantías aplicables habida cuenta de la naturaleza alcance y objetivos del tratamiento o las categorías de tratamiento;

g)

los riesgos para los derechos y libertades de los interesados, y

h)

el derecho de los interesados a ser informados sobre la limitación, salvo si puede ser perjudicial a los fines de esta.

CAPÍTULO IV

Responsable del tratamiento y encargado del tratamiento

Sección 1

Obligaciones generales

Artículo 24

Responsabilidad del responsable del tratamiento

1.   Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

2.   Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.

3.   La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

Artículo 25

Protección de datos desde el diseño y por defecto

1.   Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

2.   El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

3.   Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.

Artículo 26

Corresponsables del tratamiento

1.   Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.

2.   El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.

3.   Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables.

Artículo 27

Representantes de responsables o encargados del tratamiento no establecidos en la Unión

1.   Cuando sea de aplicación el artículo 3, apartado 2, el responsable o el encargado del tratamiento designará por escrito un representante en la Unión.

2.   La obligación establecida en el apartado 1 del presente artículo no será aplicable:

a)

al tratamiento que sea ocasional, que no incluyan el manejo a gran escala de categorías especiales de datos indicadas en el artículo 9, apartado 1, o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o

b)

a las autoridades u organismos públicos.

3.   El representante estará establecido en uno de los Estados miembros en que estén los interesados cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado.

4.   El responsable o el encargado del tratamiento encomendará al representante que atienda, junto al responsable o al encargado, o en su lugar, a las consultas, en particular, de las autoridades de control y de los interesados, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en el presente Reglamento.

5.   La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado.

Artículo 28

Encargado del tratamiento

1.   Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

2.   El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

3.   El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

a)

tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;

b)

garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

c)

tomará todas las medidas necesarias de conformidad con el artículo 32;

d)

respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;

e)

asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;

f)

ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;

g)

a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;

h)

pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

4.   Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.

5.   La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.

6.   Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 y 43.

7.   La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 93, apartado 2.

8.   Una autoridad de control podrá adoptar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el mecanismo de coherencia a que se refiere el artículo 63.

9.   El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.

10.   Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.

Artículo 29

Tratamiento bajo la autoridad del responsable o del encargado del tratamiento

El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros.

Artículo 30

Registro de las actividades de tratamiento

1.   Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a)

el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b)

los fines del tratamiento;

c)

una descripción de las categorías de interesados y de las categorías de datos personales;

d)

las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e)

en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f)

cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g)

cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

2.   Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a)

el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;

b)

las categorías de tratamientos efectuados por cuenta de cada responsable;

c)

en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

d)

cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.

3.   Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.

4.   El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.

5.   Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

Artículo 31

Cooperación con la autoridad de control

El responsable y el encargado del tratamiento y, en su caso, sus representantes cooperarán con la autoridad de control que lo solicite en el desempeño de sus funciones.

Sección 2

Seguridad de los datos personales

Artículo 32

Seguridad del tratamiento

1.   Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a)

la seudonimización y el cifrado de datos personales;

b)

la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c)

la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d)

un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2.   Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

3.   La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.

4.   El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.

Artículo 33

Notificación de una violación de la seguridad de los datos personales a la autoridad de control

1.   En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

2.   El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

3.   La notificación contemplada en el apartado 1 deberá, como mínimo:

a)

describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

b)

comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

c)

describir las posibles consecuencias de la violación de la seguridad de los datos personales;

d)

describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

4.   Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

5.   El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

Artículo 34

Comunicación de una violación de la seguridad de los datos personales al interesado

1.   Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

2.   La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d).

3.   La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:

a)

el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;

b)

el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;

c)

suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

4.   Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.

Sección 3

Evaluación de impacto relativa a la protección de datos y consulta previa

Artículo 35

Evaluación de impacto relativa a la protección de datos

1.   Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

2.   El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.

3.   La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:

a)

evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b)

tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o

c)

observación sistemática a gran escala de una zona de acceso público.

4.   La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68.

5.   La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité.

6.   Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control competente aplicará el mecanismo de coherencia contemplado en el artículo 63 si esas listas incluyen actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión.

7.   La evaluación deberá incluir como mínimo:

a)

una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b)

una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c)

una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y

d)

las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

8.   El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.

9.   Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.

10.   Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.

11.   En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.

Artículo 36

Consulta previa

1.   El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

2.   Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 58. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta.

3.   Cuando consulte a la autoridad de control con arreglo al apartado 1, el responsable del tratamiento le facilitará la información siguiente:

a)

en su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial;

b)

los fines y medios del tratamiento previsto;

c)

las medidas y garantías establecidas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento;

d)

en su caso, los datos de contacto del delegado de protección de datos;

e)

la evaluación de impacto relativa a la protección de datos establecida en el artículo 35, y

f)

cualquier otra información que solicite la autoridad de control.

4.   Los Estados miembros garantizarán que se consulte a la autoridad de control durante la elaboración de toda propuesta de medida legislativa que haya de adoptar un Parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que se refiera al tratamiento.

5.   No obstante lo dispuesto en el apartado 1, el Derecho de los Estados miembros podrá obligar a los responsables del tratamiento a consultar a la autoridad de control y a recabar su autorización previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública.

Sección 4

Delegado de protección de datos

Artículo 37

Designación del delegado de protección de datos

1.   El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a)

el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b)

las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c)

las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

2.   Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.

3.   Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

4.   En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.

5.   El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

6.   El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

7.   El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

Artículo 38

Posición del delegado de protección de datos

1.   El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

2.   El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

3.   El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

4.   Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.

5.   El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

6.   El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Artículo 39

Funciones del delegado de protección de datos

1.   El delegado de protección de datos tendrá como mínimo las siguientes funciones:

a)

informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

b)

supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c)

ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

d)

cooperar con la autoridad de control;

e)

actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

2.   El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Sección 5

Códigos de conducta y certificación

Artículo 40

Códigos de conducta

1.   Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas.

2.   Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar dichos códigos con objeto de especificar la aplicación del presente Reglamento, como en lo que respecta a:

a)

el tratamiento leal y transparente;

b)

los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;

c)

la recogida de datos personales;

d)

la seudonimización de datos personales;

e)

la información proporcionada al público y a los interesados;

f)

el ejercicio de los derechos de los interesados;

g)

la información proporcionada a los niños y la protección de estos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño;

h)

las medidas y procedimientos a que se refieren los artículos 24 y 25 y las medidas para garantizar la seguridad del tratamiento a que se refiere el artículo 32;

i)

la notificación de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicación de dichas violaciones a los interesados;

j)

la transferencia de datos personales a terceros países u organizaciones internacionales, o

k)

los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los derechos de los interesados en virtud de los artículos 77 y 79.

3.   Además de la adhesión de los responsables o encargados del tratamiento a los que se aplica el presente Reglamento, los responsables o encargados a los que no se aplica el presente Reglamento en virtud del artículo 3 podrán adherirse también a códigos de conducta aprobados de conformidad con el apartado 5 del presente artículo y que tengan validez general en virtud del apartado 9 del presente artículo, a fin de ofrecer garantías adecuadas en el marco de las transferencias de datos personales a terceros países u organizaciones internacionales a tenor del artículo 46, apartado 2, letra e). Dichos responsables o encargados deberán asumir compromisos vinculantes y exigibles, por vía contractual o mediante otros instrumentos jurídicamente vinculantes, para aplicar dichas garantías adecuadas, incluidas las relativas a los derechos de los interesados.

4.   El código de conducta a que se refiere el apartado 2 del presente artículo contendrá mecanismos que permitan al organismo mencionado en el artículo 41, apartado 1, efectuar el control obligatorio del cumplimiento de sus disposiciones por los responsables o encargados de tratamiento que se comprometan a aplicarlo, sin perjuicio de las funciones y los poderes de las autoridades de control que sean competentes con arreglo al artículo 51 o 56.

5.   Las asociaciones y otros organismos mencionados en el apartado 2 del presente artículo que proyecten elaborar un código de conducta o modificar o ampliar un código existente presentarán el proyecto de código o la modificación o ampliación a la autoridad de control que sea competente con arreglo al artículo 55. La autoridad de control dictaminará si el proyecto de código o la modificación o ampliación es conforme con el presente Reglamento y aprobará dicho proyecto de código, modificación o ampliación si considera suficientes las garantías adecuadas ofrecidas.

6.   Si el proyecto de código o la modificación o ampliación es aprobado de conformidad con el apartado 5 y el código de conducta de que se trate no se refiere a actividades de tratamiento en varios Estados miembros, la autoridad de control registrará y publicará el código.

7.   Si un proyecto de código de conducta guarda relación con actividades de tratamiento en varios Estados miembros, la autoridad de control que sea competente en virtud del artículo 55 lo presentará por el procedimiento mencionado en el artículo 63, antes de su aprobación o de la modificación o ampliación, al Comité, el cual dictaminará si dicho proyecto, modificación o ampliación es conforme con el presente Reglamento o, en la situación indicada en el apartado 3 del presente artículo, ofrece garantías adecuadas.

8.   Si el dictamen a que se refiere el apartado 7 confirma que el proyecto de código o la modificación o ampliación cumple lo dispuesto en el presente Reglamento o, en la situación indicada en el apartado 3, ofrece garantías adecuadas, el Comité presentará su dictamen a la Comisión.

9.   La Comisión podrá, mediante actos de ejecución, decidir que el código de conducta o la modificación o ampliación aprobados y presentados con arreglo al apartado 8 del presente artículo tengan validez general dentro de la Unión. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2.

10.   La Comisión dará publicidad adecuada a los códigos aprobados cuya validez general haya sido decidida de conformidad con el apartado 9.

11.   El Comité archivará en un registro todos los códigos de conducta, modificaciones y ampliaciones que se aprueben, y los pondrá a disposición pública por cualquier medio apropiado.

Artículo 41

Supervisión de códigos de conducta aprobados

1.   Sin perjuicio de las funciones y los poderes de la autoridad de control competente en virtud de los artículos 57 y 58, podrá supervisar el cumplimiento de un código de conducta en virtud del artículo 40 un organismo que tenga el nivel adecuado de pericia en relación con el objeto del código y que haya sido acreditado para tal fin por la autoridad de control competente.

2.   El organismo a que se refiere el apartado 1 podrá ser acreditado para supervisar el cumplimiento de un código de conducta si:

a)

ha demostrado, a satisfacción de la autoridad de control competente, su independencia y pericia en relación con el objeto del código;

b)

ha establecido procedimientos que le permitan evaluar la idoneidad de los responsables y encargados correspondientes para aplicar el código, supervisar el cumplimiento de sus disposiciones y examinar periódicamente su aplicación;

c)

ha establecido procedimientos y estructuras para tratar las reclamaciones relativas a infracciones del código o a la manera en que el código haya sido o esté siendo aplicado por un responsable o encargado del tratamiento, y para hacer dichos procedimientos y estructuras transparentes para los interesados y el público, y

d)

ha demostrado, a satisfacción de la autoridad de control competente, que sus funciones y cometidos no dan lugar a conflicto de intereses.

3.   La autoridad de control competente someterá al Comité, con arreglo al mecanismo de coherencia a que se refiere el artículo 63, el proyecto que fije los criterios de acreditación de un organismo a que se refiere el apartado 1 del presente artículo.

4.   Sin perjuicio de las funciones y los poderes de la autoridad de control competente y de lo dispuesto en el capítulo VIII, un organismo a tenor del apartado 1 del presente artículo deberá, con sujeción a garantías adecuadas, tomar las medidas oportunas en caso de infracción del código por un responsable o encargado del tratamiento, incluida la suspensión o exclusión de este. Informará de dichas medidas y de las razones de las mismas a la autoridad de control competente.

5.   La autoridad de control competente revocará la acreditación de un organismo a tenor del apartado 1 si las condiciones de la acreditación no se cumplen o han dejado de cumplirse, o si la actuación de dicho organismo infringe el presente Reglamento.

6.   El presente artículo no se aplicará al tratamiento realizado por autoridades y organismos públicos.

Artículo 42

Certificación

1.   Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados. Se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas.

2.   Además de la adhesión de los responsables o encargados del tratamiento sujetos al presente Reglamento, podrán establecerse mecanismos de certificación, sellos o marcas de protección de datos aprobados de conformidad con el apartado 5, con objeto de demostrar la existencia de garantías adecuadas ofrecidas por los responsables o encargados no sujetos al presente Reglamento con arreglo al artículo 3 en el marco de transferencias de datos personales a terceros países u organizaciones internacionales a tenor del artículo 46, apartado 2, letra f). Dichos responsables o encargados deberán asumir compromisos vinculantes y exigibles, por vía contractual o mediante otros instrumentos jurídicamente vinculantes, para aplicar dichas garantías adecuadas, incluidas las relativas a los derechos de los interesados.

3.   La certificación será voluntaria y estará disponible a través de un proceso transparente.

4.   La certificación a que se refiere el presente artículo no limitará la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del presente Reglamento y se entenderá sin perjuicio de las funciones y los poderes de las autoridades de control que sean competentes en virtud del artículo 55 o 56.

5.   La certificación en virtud del presente artículo será expedida por los organismos de certificación a que se refiere el artículo 43 o por la autoridad de control competente, sobre la base de los criterios aprobados por dicha autoridad de conformidad con el artículo 58, apartado 3, o por el Comité de conformidad con el artículo 63. Cuando los criterios sean aprobados por el Comité, esto podrá dar lugar a una certificación común: el Sello Europeo de Protección de Datos.

6.   Los responsables o encargados que sometan su tratamiento al mecanismo de certificación dará al organismo de certificación mencionado en el artículo 43, o en su caso a la autoridad de control competente, toda la información y acceso a sus actividades de tratamiento que necesite para llevar a cabo el procedimiento de certificación.

7.   La certificación se expedirá a un responsable o encargado de tratamiento por un período máximo de tres años y podrá ser renovada en las mismas condiciones, siempre y cuando se sigan cumpliendo los requisitos pertinentes. La certificación será retirada, cuando proceda, por los organismos de certificación a que se refiere el artículo 43, o en su caso por la autoridad de control competente, cuando no se cumplan o se hayan dejado de cumplir los requisitos para la certificación.

8.   El Comité archivará en un registro todos los mecanismos de certificación y sellos y marcas de protección de datos y los pondrá a disposición pública por cualquier medio apropiado.

Artículo 43

Organismo de certificación

1.   Sin perjuicio de las funciones y poderes de la autoridad de control competente en virtud de los artículos 57 y 58, los organismos de certificación que tengan un nivel adecuado de pericia en materia de protección de datos expedirán y renovarán las certificaciones una vez informada la autoridad de control, a fin de esta que pueda ejercer, si así se requiere, sus poderes en virtud del artículo 58, apartado 2, letra h). Los Estados miembros garantizarán que dichos organismos de certificación sean acreditados por la autoridad o el organismo indicado a continuación, o por ambos:

a)

la autoridad de control que sea competente en virtud del artículo 55 o 56;

b)

el organismo nacional de acreditación designado de conformidad con el Reglamento (CE) n.o 765/2008 del Parlamento Europeo y del Consejo (20) con arreglo a la norma EN ISO/IEC 17065/2012 y a los requisitos adicionales establecidos por la autoridad de control que sea competente en virtud del artículo 55 o 56.

2.   Los organismos de certificación mencionados en el apartado 1 únicamente serán acreditados de conformidad con dicho apartado si:

a)

han demostrado, a satisfacción de la autoridad de control competente, su independencia y su pericia en relación con el objeto de la certificación;

b)

se han comprometido a respetar los criterios mencionados en el artículo 42, apartado 5, y aprobados por la autoridad de control que sea competente en virtud del artículo 55 o 56, o por el Comité de conformidad con el artículo 63;

c)

han establecido procedimientos para la expedición, la revisión periódica y la retirada de certificaciones, sellos y marcas de protección de datos;

d)

han establecido procedimientos y estructuras para tratar las reclamaciones relativas a infracciones de la certificación o a la manera en que la certificación haya sido o esté siendo aplicada por un responsable o encargado del tratamiento, y para hacer dichos procedimientos y estructuras transparentes para los interesados y el público, y

e)

han demostrado, a satisfacción de la autoridad de control competente, que sus funciones y cometidos no dan lugar a conflicto de intereses.

3.   La acreditación de los organismos de certificación a que se refieren los apartados 1 y 2 del presente artículo se realizará sobre la base de los criterios aprobados por la autoridad de control que sea competente en virtud del artículo 55 o 56, o por el Comité de conformidad con el artículo 63. En caso de acreditación de conformidad con el apartado 1, letra b), del presente artículo, estos requisitos complementarán los contemplados en el Reglamento (CE) n.o 765/2008 y las normas técnicas que describen los métodos y procedimientos de los organismos de certificación.

4.   Los organismos de certificación a que se refiere el apartado 1 serán responsable de la correcta evaluación a efectos de certificación o retirada de la certificación, sin perjuicio de la responsabilidad del responsable o del encargado del tratamiento en cuanto al cumplimiento del presente Reglamento. La acreditación se expedirá por un período máximo de cinco años y podrá ser renovada en las mismas condiciones, siempre y cuando el organismo de certificación cumpla los requisitos establecidos en el presente artículo.

5.   Los organismos de certificación a que se refiere el apartado 1 comunicarán a las autoridades de control competentes las razones de la expedición de la certificación solicitada o de su retirada.

6.   La autoridad de control hará públicos los requisitos a que se refiere el apartado 3 del presente artículo y los criterios a que se a refiere el artículo 42, apartado 5, en una forma fácilmente accesible. Las autoridades de control comunicarán también dichos requisitos y criterios al Comité. El Comité archivará en un registro todos los mecanismos de certificación y sellos de protección de datos y los pondrá a disposición pública por cualquier medio apropiado.

7.   No obstante lo dispuesto en el capítulo VIII, la autoridad de control competente o el organismo nacional de acreditación revocará la acreditación a un organismo de certificación a tenor del apartado 1 del presente artículo si las condiciones de la acreditación no se cumplen o han dejado de cumplirse, o si la actuación de dicho organismo de certificación infringe el presente Reglamento.

8.   La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 92, a fin de especificar las condiciones que deberán tenerse en cuenta para los mecanismos de certificación en materia de protección de datos a que se refiere el artículo 42, apartado 1.

9.   La Comisión podrá adoptar actos de ejecución que establezcan normas técnicas para los mecanismos de certificación y los sellos y marcas de protección de datos, y mecanismos para promover y reconocer dichos mecanismos de certificación, sellos y marcas. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2.

CAPÍTULO V

Transferencias de datos personales a terceros países u organizaciones internacionales

Artículo 44

Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Artículo 45

Transferencias basadas en una decisión de adecuación

1.   Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.

2.   Al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta, en particular, los siguientes elementos:

a)

el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos;

b)

la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros, y

c)

los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales.

3.   La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del presente artículo. El acto de ejecución establecerá un mecanismo de revisión periódica, al menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional. El acto de ejecución especificará su ámbito de aplicación territorial y sectorial, y, en su caso, determinará la autoridad o autoridades de control a que se refiere el apartado 2, letra b), del presente artículo. El acto de ejecución se adoptará con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2.

4.   La Comisión supervisará de manera continuada los acontecimientos en países terceros y organizaciones internacionales que puedan afectar a la efectiva aplicación de las decisiones adoptadas con arreglo al apartado 3 del presente artículo y de las decisiones adoptadas sobre la base del artículo 25, apartado 6, de la Directiva 95/46/CE.

5.   Cuando la información disponible, en particular tras la revisión a que se refiere el apartado 3 del presente artículo, muestre que un tercer país, un territorio o un sector específico de ese tercer país, o una organización internacional ya no garantiza un nivel de protección adecuado a tenor del apartado 2 del presente artículo, la Comisión, mediante actos de ejecución, derogará, modificará o suspenderá, en la medida necesaria y sin efecto retroactivo, la decisión a que se refiere el apartado 3 del presente artículo. Dichos actos de ejecución se adoptarán de acuerdo con el procedimiento de examen a que se refiere el artículo 93, apartado 2.

Por razones imperiosas de urgencia debidamente justificadas, la Comisión adoptará actos de ejecución inmediatamente aplicables de conformidad con el procedimiento a que se refiere el artículo 93, apartado 3.

6   La Comisión entablará consultas con el tercer país u organización internacional con vistas a poner remedio a la situación que dé lugar a la decisión adoptada de conformidad con el apartado 5.

7.   Toda decisión de conformidad con el apartado 5 del presente artículo se entenderá sin perjuicio de las transferencias de datos personales al tercer país, a un territorio o uno o varios sectores específicos de ese tercer país, o a la organización internacional de que se trate en virtud de los artículos 46 a 49.

8.   La Comisión publicará en el Diario Oficial de la Unión Europea y en su página web una lista de terceros países, territorios y sectores específicos en un tercer país, y organizaciones internacionales respecto de los cuales haya decidido que se garantiza, o ya no, un nivel de protección adecuado.

9.   Las decisiones adoptadas por la Comisión en virtud del artículo 25, apartado 6, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas por una decisión de la Comisión adoptada de conformidad con los apartados 3 o 5 del presente artículo.

Artículo 46

Transferencias mediante garantías adecuadas

1.   A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

2.   Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por:

a)

un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;

b)

normas corporativas vinculantes de conformidad con el artículo 47;

c)

cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2;

d)

cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2;

e)

un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o

f)

un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.

3.   Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante:

a)

cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o

b)

disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

4.   La autoridad de control aplicará el mecanismo de coherencia a que se refiere el artículo 63 en los casos indicados en el apartado 3 del presente artículo.

5.   Las autorizaciones otorgadas por un Estado miembro o una autoridad de control de conformidad con el artículo 26, apartado 2, de la Directiva 95/46/CE seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por dicha autoridad de control. Las decisiones adoptadas por la Comisión en virtud del artículo 26, apartado 4, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisión de la Comisión adoptada de conformidad con el apartado 2 del presente artículo.

Artículo 47

Normas corporativas vinculantes

1.   La autoridad de control competente aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el artículo 63, siempre que estas:

a)

sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados;

b)

confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y

c)

cumplan los requisitos establecidos en el apartado 2.

2.   Las normas corporativas vinculantes mencionadas en el apartado 1 especificarán, como mínimo, los siguientes elementos:

a)

la estructura y los datos de contacto del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta y de cada uno de sus miembros;

b)

las transferencias o conjuntos de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamientos y sus fines, el tipo de interesados afectados y el nombre del tercer o los terceros países en cuestión;

c)

su carácter jurídicamente vinculante, tanto a nivel interno como externo;

d)

la aplicación de los principios generales en materia de protección de datos, en particular la limitación de la finalidad, la minimización de los datos, los periodos de conservación limitados, la calidad de los datos, la protección de los datos desde el diseño y por defecto, la base del tratamiento, el tratamiento de categorías especiales de datos personales, las medidas encaminadas a garantizar la seguridad de los datos y los requisitos con respecto a las transferencias ulteriores a organismos no vinculados por las normas corporativas vinculantes;

e)

los derechos de los interesados en relación con el tratamiento y los medios para ejercerlos, en particular el derecho a no ser objeto de decisiones basadas exclusivamente en un tratamiento automatizado, incluida la elaboración de perfiles de conformidad con lo dispuesto en el artículo 22, el derecho a presentar una reclamación ante la autoridad de control competente y ante los tribunales competentes de los Estados miembros de conformidad con el artículo 79, y el derecho a obtener una reparación, y, cuando proceda, una indemnización por violación de las normas corporativas vinculantes;

f)

la aceptación por parte del responsable o del encargado del tratamiento establecidos en el territorio de un Estado miembro de la responsabilidad por cualquier violación de las normas corporativas vinculantes por parte de cualquier miembro de que se trate no establecido en la Unión; el responsable o el encargado solo será exonerado, total o parcialmente, de dicha responsabilidad si demuestra que el acto que originó los daños y perjuicios no es imputable a dicho miembro;

g)

la forma en que se facilita a los interesados la información sobre las normas corporativas vinculantes, en particular en lo que respecta a las disposiciones contempladas en las letras d), e) y f) del presente apartado, además de los artículos 13 y 14;

h)

las funciones de todo delegado de protección de datos designado de conformidad con el artículo 37, o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones;

i)

los procedimientos de reclamación;

j)

los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificación deberían comunicarse a la persona o entidad a que se refiere la letra h) y al consejo de administración de la empresa que controla un grupo empresarial, o de la unión de empresas dedicadas a una actividad económica conjunta, y ponerse a disposición de la autoridad de control competente que lo solicite;

k)

los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las normas y para notificar esas modificaciones a la autoridad de control;

l)

el mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por parte de cualquier miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, en particular poniendo a disposición de la autoridad de control los resultados de las verificaciones de las medidas contempladas en la letra j);

m)

los mecanismos para informar a la autoridad de control competente de cualquier requisito jurídico de aplicación en un país tercero a un miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, que probablemente tengan un efecto adverso sobre las garantías establecidas en las normas corporativas vinculantes, y

n)

la formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.

3.   La Comisión podrá especificar el formato y los procedimientos para el intercambio de información entre los responsables, los encargados y las autoridades de control en relación con las normas corporativas vinculantes a tenor de lo dispuesto en el presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2.

Artículo 48

Transferencias o comunicaciones no autorizadas por el Derecho de la Unión

Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo.

Artículo 49

Excepciones para situaciones específicas

1.   En ausencia de una decisión de adecuación de conformidad con el artículo 45, apartado 3, o de garantías adecuadas de conformidad con el artículo 46, incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes:

a)

el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;

b)

la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;

c)

la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;

d)

la transferencia sea necesaria por razones importantes de interés público;

e)

la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;

f)

la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;

g)

la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Cuando una transferencia no pueda basarse en disposiciones de los artículos 45 o 46, incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para situaciones específicas a que se refiere el párrafo primero del presente apartado, solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales. El responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.

2.   Una transferencia efectuada de conformidad con el apartado 1, párrafo primero, letra g), no abarcará la totalidad de los datos personales ni categorías enteras de datos personales contenidos en el registro. Si la finalidad del registro es la consulta por parte de personas que tengan un interés legítimo, la transferencia solo se efectuará a solicitud de dichas personas o si estas han de ser las destinatarias.

3.   En el apartado 1, el párrafo primero, letras a), b) y c), y el párrafo segundo no serán aplicables a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos.

4.   El interés público contemplado en el apartado 1, párrafo primero, letra d), será reconocido por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.

5.   En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el Derecho de la Unión o de los Estados miembros podrá, por razones importantes de interés público, establecer expresamente límites a la transferencia de categorías específicas de datos a un tercer país u organización internacional. Los Estados miembros notificarán a la Comisión dichas disposiciones.

6.   El responsable o el encargado del tratamiento documentarán en los registros indicados en el artículo 30 la evaluación y las garantías apropiadas a que se refiere el apartado 1, párrafo segundo, del presente artículo.

Artículo 50

Cooperación internacional en el ámbito de la protección de datos personales

En relación con los terceros países y las organizaciones internacionales, la Comisión y las autoridades de control tomarán medidas apropiadas para:

a)

crear mecanismos de cooperación internacional que faciliten la aplicación eficaz de la legislación relativa a la protección de datos personales;

b)

prestarse mutuamente asistencia a escala internacional en la aplicación de la legislación relativa a la protección de datos personales, en particular mediante la notificación, la remisión de reclamaciones, la asistencia en las investigaciones y el intercambio de información, a reserva de las garantías adecuadas para la protección de los datos personales y otros derechos y libertades fundamentales;

c)

asociar a partes interesadas en la materia a los debates y actividades destinados a reforzar la cooperación internacional en la aplicación de la legislación relativa a la protección de datos personales;

d)

promover el intercambio y la documentación de la legislación y las prácticas en materia de protección de datos personales, inclusive en materia de conflictos de jurisdicción con terceros países.

CAPÍTULO VI

Autoridades de control independientes

Sección 1

Independencia

Artículo 51

Autoridad de control

1.   Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante «autoridad de control») supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.

2.   Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión con arreglo a lo dispuesto en el capítulo VII.

3.   Cuando haya varias autoridades de control en un Estado miembro, este designará la autoridad de control que representará a dichas autoridades en el Comité, y establecerá el mecanismo que garantice el cumplimiento por las demás autoridades de las normas relativas al mecanismo de coherencia a que se refiere el artículo 63.

4.   Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad con el presente capítulo a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que afecte a dichas disposiciones.

Artículo 52

Independencia

1.   Cada autoridad de control actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento.

2.   El miembro o los miembros de cada autoridad de control serán ajenos, en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento, a toda influencia externa, ya sea directa o indirecta, y no solicitarán ni admitirán ninguna instrucción.

3.   El miembro o los miembros de cada autoridad de control se abstendrán de cualquier acción que sea incompatible con sus funciones y no participarán, mientras dure su mandato, en ninguna actividad profesional que sea incompatible, remunerada o no.

4.   Cada Estado miembro garantizará que cada autoridad de control disponga en todo momento de los recursos humanos, técnicos y financieros, así como de los locales y las infraestructuras necesarios para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes, incluidos aquellos que haya de ejercer en el marco de la asistencia mutua, la cooperación y la participación en el Comité.

5.   Cada Estado miembro garantizará que cada autoridad de control elija y disponga de su propio personal, que estará sujeto a la autoridad exclusiva del miembro o miembros de la autoridad de control interesada.

6.   Cada Estado miembro garantizará que cada autoridad de control esté sujeta a un control financiero que no afecte a su independencia y que disponga de un presupuesto anual, público e independiente, que podrá formar parte del presupuesto general del Estado o de otro ámbito nacional.

Artículo 53

Condiciones generales aplicables a los miembros de la autoridad de control

1.   Los Estados miembros dispondrán que cada miembro de sus autoridades de control sea nombrado mediante un procedimiento transparente por:

su Parlamento,

su Gobierno,

su Jefe de Estado, o

un organismo independiente encargado del nombramiento en virtud del Derecho de los Estados miembros.

2.   Cada miembro poseerá la titulación, la experiencia y las aptitudes, en particular en el ámbito de la protección de datos personales, necesarias para el cumplimiento de sus funciones y el ejercicio de sus poderes.

3.   Los miembros darán por concluidas sus funciones en caso de terminación del mandato, dimisión o jubilación obligatoria, de conformidad con el Derecho del Estado miembro de que se trate.

4.   Un miembro será destituido únicamente en caso de conducta irregular grave o si deja de cumplir las condiciones exigidas en el desempeño de sus funciones.

Artículo 54

Normas relativas al establecimiento de la autoridad de control

1.   Cada Estado miembro establecerá por ley todos los elementos indicados a continuación:

a)

el establecimiento de cada autoridad de control;

b)

las cualificaciones y condiciones de idoneidad necesarias para ser nombrado miembro de cada autoridad de control;

c)

las normas y los procedimientos para el nombramiento del miembro o miembros de cada autoridad de control;

d)

la duración del mandato del miembro o los miembros de cada autoridad de control, no inferior a cuatro años, salvo el primer nombramiento posterior al 24 de mayo de 2016, parte del cual podrá ser más breve cuando sea necesario para proteger la independencia de la autoridad de control por medio de un procedimiento de nombramiento escalonado;

e)

el carácter renovable o no del mandato del miembro o los miembros de cada autoridad de control y, en su caso, el número de veces que podrá renovarse;

f)

las condiciones por las que se rigen las obligaciones del miembro o los miembros y del personal de cada autoridad de control, las prohibiciones relativas a acciones, ocupaciones y prestaciones incompatibles con el cargo durante el mandato y después del mismo, y las normas que rigen el cese en el empleo.

2.   El miembro o miembros y el personal de cada autoridad de control estarán sujetos, de conformidad con el Derecho de la Unión o de los Estados miembros, al deber de secreto profesional, tanto durante su mandato como después del mismo, con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el cumplimiento de sus funciones o el ejercicio de sus poderes. Durante su mandato, dicho deber de secreto profesional se aplicará en particular a la información recibida de personas físicas en relación con infracciones del presente Reglamento.

Sección 2

Competencia, funciones y poderes

Artículo 55

Competencia

1.   Cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el presente Reglamento en el territorio de su Estado miembro.

2.   Cuando el tratamiento sea efectuado por autoridades públicas o por organismos privados que actúen con arreglo al artículo 6, apartado 1, letras c) o e), será competente la autoridad de control del Estado miembro de que se trate. No será aplicable en tales casos el artículo 56.

3.   Las autoridades de control no serán competentes para controlar las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial.

Artículo 56

Competencia de la autoridad de control principal

1.   Sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado con arreglo al procedimiento establecido en el artículo 60.

2.   No obstante lo dispuesto en el apartado 1, cada autoridad de control será competente para tratar una reclamación que le sea presentada o una posible infracción del presente Reglamento, en caso de que se refiera únicamente a un establecimiento situado en su Estado miembro o únicamente afecte de manera sustancial a interesados en su Estado miembro.

3.   En los casos a que se refiere el apartado 2 del presente artículo, la autoridad de control informará sin dilación al respecto a la autoridad de control principal. En el plazo de tres semanas después de haber sido informada, la autoridad de control principal decidirá si tratará o no el caso de conformidad con el procedimiento establecido en el artículo 60, teniendo presente si existe un establecimiento del responsable o encargado del tratamiento en el Estado miembro de la autoridad de control que le haya informado.

4.   En caso de que la autoridad de control principal decida tratar el caso, se aplicará el procedimiento establecido en el artículo 60. La autoridad de control que haya informado a la autoridad de control principal podrá presentarle un proyecto de decisión. La autoridad de control principal tendrá en cuenta en la mayor medida posible dicho proyecto al preparar el proyecto de decisión a que se refiere el artículo 60, apartado 3.

5.   En caso de que la autoridad de control principal decida no tratar el caso, la autoridad de control que le haya informado lo tratará con arreglo a los artículos 61 y 62.

6.   La autoridad de control principal será el único interlocutor del responsable o del encargado en relación con el tratamiento transfronterizo realizado por dicho responsable o encargado.

Artículo 57

Funciones

1.   Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio:

a)

controlar la aplicación del presente Reglamento y hacerlo aplicar;

b)

promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención;

c)

asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento;

d)

promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento;

e)

previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros;

f)

tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;

g)

cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento;

h)

llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública;

i)

hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales;

j)

adoptar las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);

k)

elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4;

l)

ofrecer asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2;

m)

alentar la elaboración de códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5;

n)

fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5;

o)

llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7;

p)

elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;

q)

efectuar la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;

r)

autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3;

s)

aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47;

t)

contribuir a las actividades del Comité;

u)

llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2, y

v)

desempeñar cualquier otra función relacionada con la protección de los datos personales.

2.   Cada autoridad de control facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra f), mediante medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación.

3.   El desempeño de las funciones de cada autoridad de control será gratuito para el interesado y, en su caso, para el delegado de protección de datos.

4.   Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control.

Artículo 58

Poderes

1.   Cada autoridad de control dispondrá de todos los poderes de investigación indicados a continuación:

a)

ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones;

b)

llevar a cabo investigaciones en forma de auditorías de protección de datos;

c)

llevar a cabo una revisión de las certificaciones expedidas en virtud del artículo 42, apartado 7;

d)

notificar al responsable o al encargado del tratamiento las presuntas infracciones del presente Reglamento;

e)

obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones;

f)

obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho procesal de la Unión o de los Estados miembros.

2.   Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

a)

sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

b)

sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

c)

ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;

d)

ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

e)

ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;

f)

imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

g)

ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a al artículo 17, apartado 2, y al artículo 19;

h)

retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación;

i)

imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

j)

ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.

3.   Cada autoridad de control dispondrá de todos los poderes de autorización y consultivos indicados a continuación:

a)

asesorar al responsable del tratamiento conforme al procedimiento de consulta previa contemplado en el artículo 36;

b)

emitir, por iniciativa propia o previa solicitud, dictámenes destinados al Parlamento nacional, al Gobierno del Estado miembro o, con arreglo al Derecho de los Estados miembros, a otras instituciones y organismos, así como al público, sobre cualquier asunto relacionado con la protección de los datos personales;

c)

autorizar el tratamiento a que se refiere el artículo 36, apartado 5, si el Derecho del Estado miembro requiere tal autorización previa;

d)

emitir un dictamen y aprobar proyectos de códigos de conducta de conformidad con lo dispuesto en el artículo 40, apartado 5;

e)

acreditar los organismos de certificación con arreglo al artículo 43;

f)

expedir certificaciones y aprobar criterios de certificación con arreglo al artículo 42, apartado 5;

g)

adoptar las cláusulas tipo de protección de datos contempladas en el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);

h)

autorizar las cláusulas contractuales indicadas en el artículo 46, apartado 3, letra a);

i)

autorizar los acuerdos administrativos contemplados en el artículo 46, apartado 3, letra b);

j)

aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47.

4.   El ejercicio de los poderes conferidos a la autoridad de control en virtud del presente artículo estará sujeto a las garantías adecuadas, incluida la tutela judicial efectiva y al respeto de las garantías procesales, establecidas en el Derecho de la Unión y de los Estados miembros de conformidad con la Carta.

5.   Cada Estado miembro dispondrá por ley que su autoridad de control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y, si procede, para iniciar o ejercitar de otro modo acciones judiciales, con el fin de hacer cumplir lo dispuesto en el mismo.

6.   Cada Estado miembro podrá establecer por ley que su autoridad de control tenga otros poderes además de los indicadas en los apartados 1, 2 y 3. El ejercicio de dichos poderes no será obstáculo a la aplicación efectiva del capítulo VII.

Artículo 59

Informe de actividad

Cada autoridad de control elaborará un informe anual de sus actividades, que podrá incluir una lista de tipos de infracciones notificadas y de tipos de medidas adoptadas de conformidad con el artículo 58, apartado 2. Los informes se transmitirán al Parlamento nacional, al Gobierno y a las demás autoridades designadas en virtud del Derecho de los Estados miembros. Se pondrán a disposición del público, de la Comisión y del Comité.

CAPÍTULO VII

Cooperación y coherencia

Sección 1

Cooperación y coherencia

Artículo 60

Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas

1.   La autoridad de control principal cooperará con las demás autoridades de control interesadas de acuerdo con el presente artículo, esforzándose por llegar a un consenso. La autoridad de control principal y las autoridades de control interesadas se intercambiarán toda información pertinente.

2.   La autoridad de control principal podrá solicitar en cualquier momento a otras autoridades de control interesadas que presten asistencia mutua con arreglo al artículo 61, y podrá llevar a cabo operaciones conjuntas con arreglo al artículo 62, en particular para realizar investigaciones o supervisar la aplicación de una medida relativa a un responsable o un encargado del tratamiento establecido en otro Estado miembro.

3.   La autoridad de control principal comunicará sin dilación a las demás autoridades de control interesadas la información pertinente a este respecto. Transmitirá sin dilación un proyecto de decisión a las demás autoridades de control interesadas para obtener su dictamen al respecto y tendrá debidamente en cuenta sus puntos de vista.

4.   En caso de que cualquiera de las autoridades de control interesadas formule una objeción pertinente y motivada acerca del proyecto de decisión en un plazo de cuatro semanas a partir de la consulta con arreglo al apartado 3 del presente artículo, la autoridad de control principal someterá el asunto, en caso de que no siga lo indicado en la objeción pertinente y motivada o estime que dicha objeción no es pertinente o no está motivada, al mecanismo de coherencia contemplado en el artículo 63.

5.   En caso de que la autoridad de control principal prevea seguir lo indicado en la objeción pertinente y motivada recibida, presentará a dictamen de las demás autoridades de control interesadas un proyecto de decisión revisado. Dicho proyecto de decisión revisado se someterá al procedimiento indicado en el apartado 4 en un plazo de dos semanas.

6.   En caso de que ninguna otra autoridad de control interesada haya presentado objeciones al proyecto de decisión transmitido por la autoridad de control principal en el plazo indicado en los apartados 4 y 5, se considerará que la autoridad de control principal y las autoridades de control interesadas están de acuerdo con dicho proyecto de decisión y estarán vinculadas por este.

7.   La autoridad de control principal adoptará y notificará la decisión al establecimiento principal o al establecimiento único del responsable o el encargado del tratamiento, según proceda, e informará de la decisión a las autoridades de control interesadas y al Comité, incluyendo un resumen de los hechos pertinentes y la motivación. La autoridad de control ante la que se haya presentado una reclamación informará de la decisión al reclamante.

8.   No obstante lo dispuesto en el apartado 7, cuando se desestime o rechace una reclamación, la autoridad de control ante la que se haya presentado adoptará la decisión, la notificará al reclamante e informará de ello al responsable del tratamiento.

9.   En caso de que la autoridad de control principal y las autoridades de control interesadas acuerden desestimar o rechazar determinadas partes de una reclamación y atender otras partes de ella, se adoptará una decisión separada para cada una de esas partes del asunto. La autoridad de control principal adoptará la decisión respecto de la parte referida a acciones en relación con el responsable del tratamiento, la notificará al establecimiento principal o al único establecimiento del responsable o del encargado en el territorio de su Estado miembro, e informará de ello al reclamante, mientras que la autoridad de control del reclamante adoptará la decisión respecto de la parte relativa a la desestimación o rechazo de dicha reclamación, la notificará a dicho reclamante e informará de ello al responsable o al encargado.

10.   Tras recibir la notificación de la decisión de la autoridad de control principal con arreglo a los apartados 7 y 9, el responsable o el encargado del tratamiento adoptará las medidas necesarias para garantizar el cumplimiento de la decisión en lo tocante a las actividades de tratamiento en el contexto de todos sus establecimientos en la Unión. El responsable o el encargado notificarán las medidas adoptadas para dar cumplimiento a dicha decisión a la autoridad de control principal, que a su vez informará a las autoridades de control interesadas.

11.   En circunstancias excepcionales, cuando una autoridad de control interesada tenga motivos para considerar que es urgente intervenir para proteger los intereses de los interesados, se aplicará el procedimiento de urgencia a que se refiere el artículo 66.

12.   La autoridad de control principal y las demás autoridades de control interesadas se facilitarán recíprocamente la información requerida en el marco del presente artículo por medios electrónicos, utilizando un formulario normalizado.

Artículo 61

Asistencia mutua

1.   Las autoridades de control se facilitarán información útil y se prestarán asistencia mutua a fin de aplicar el presente Reglamento de manera coherente, y tomarán medidas para asegurar una efectiva cooperación entre ellas. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, como las solicitudes para llevar a cabo autorizaciones y consultas previas, inspecciones e investigaciones.

2.   Cada autoridad de control adoptará todas las medidas oportunas requeridas para responder a una solicitud de otra autoridad de control sin dilación indebida y a más tardar en el plazo de un mes a partir de la solicitud. Dichas medidas podrán incluir, en particular, la transmisión de información pertinente sobre el desarrollo de una investigación.

3.   Las solicitudes de asistencia deberán contener toda la información necesaria, entre otras cosas respecto de la finalidad y los motivos de la solicitud. La información que se intercambie se utilizará únicamente para el fin para el que haya sido solicitada.

4.   La autoridad de control requerida no podrá negarse a responder a una solicitud, salvo si:

a)

no es competente en relación con el objeto de la solicitud o con las medidas cuya ejecución se solicita, o

b)

el hecho de responder a la solicitud infringiría el presente Reglamento o el Derecho de la Unión o de los Estados miembros que se aplique a la autoridad de control a la que se dirigió la solicitud.

5.   La autoridad de control requerida informará a la autoridad de control requirente de los resultados obtenidos o, en su caso, de los progresos registrados o de las medidas adoptadas para responder a su solicitud. La autoridad de control requerida explicará los motivos de su negativa a responder a una solicitud al amparo del apartado 4.

6.   Como norma general, las autoridades de control requeridas facilitarán la información solicitada por otras autoridades de control por medios electrónicos, utilizando un formato normalizado.

7.   Las autoridades de control requeridas no cobrarán tasa alguna por las medidas adoptadas a raíz de una solicitud de asistencia mutua. Las autoridades de control podrán convenir normas de indemnización recíproca por gastos específicos derivados de la prestación de asistencia mutua en circunstancias excepcionales.

8.   Cuando una autoridad de control no facilite la información mencionada en el apartado 5 del presente artículo en el plazo de un mes a partir de la recepción de la solicitud de otra autoridad de control, la autoridad de control requirente podrá adoptar una medida provisional en el territorio de su Estado miembro de conformidad con lo dispuesto en el artículo 55, apartado 1. En ese caso, se supondrá que existe la necesidad urgente contemplada en el artículo 66, apartado 1, que exige una decisión urgente y vinculante del Comité en virtud del artículo 66, apartado 2.

9.   La Comisión podrá, mediante actos de ejecución, especificar el formato y los procedimientos de asistencia mutua contemplados en el presente artículo, así como las modalidades del intercambio de información por medios electrónicos entre las autoridades de control y entre las autoridades de control y el Comité, en especial el formato normalizado mencionado en el apartado 6 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2.

Artículo 62

Operaciones conjuntas de las autoridades de control

1.   Las autoridades de control realizarán, en su caso, operaciones conjuntas, incluidas investigaciones conjuntas y medidas de ejecución conjuntas, en las que participen miembros o personal de las autoridades de control de otros Estados miembros.

2.   Si el responsable o el encargado del tratamiento tiene establecimientos en varios Estados miembros o si es probable que un número significativo de interesados en más de un Estado miembro se vean sustancialmente afectados por las operaciones de tratamiento, una autoridad de control de cada uno de esos Estados miembros tendrá derecho a participar en operaciones conjuntas. La autoridad de control que sea competente en virtud del artículo 56, apartados 1 o 4, invitará a la autoridad de control de cada uno de dichos Estados miembros a participar en las operaciones conjuntas y responderá sin dilación a la solicitud de participación presentada por una autoridad de control.

3.   Una autoridad de control podrá, con arreglo al Derecho de su Estado miembro y con la autorización de la autoridad de control de origen, conferir poderes, incluidos poderes de investigación, a los miembros o al personal de la autoridad de control de origen que participen en operaciones conjuntas, o aceptar, en la medida en que lo permita el Derecho del Estado miembro de la autoridad de control de acogida, que los miembros o el personal de la autoridad de control de origen ejerzan sus poderes de investigación de conformidad con el Derecho del Estado miembro de la autoridad de control de origen. Dichos poderes de investigación solo podrán ejercerse bajo la orientación y en presencia de miembros o personal de la autoridad de control de acogida. Los miembros o el personal de la autoridad de control de origen estarán sujetos al Derecho del Estado miembro de la autoridad de control de acogida.

4.   Cuando participe, de conformidad con el apartado 1, personal de la autoridad de control de origen en operaciones en otro Estado miembro, el Estado miembro de la autoridad de control de acogida asumirá la responsabilidad de acuerdo con el Derecho del Estado miembro en cuyo territorio se desarrollen las operaciones, por los daños y perjuicios que haya causado dicho personal en el transcurso de las mismas.

5.   El Estado miembro en cuyo territorio se causaron los daños y perjuicios asumirá su reparación en las condiciones aplicables a los daños y perjuicios causados por su propio personal. El Estado miembro de la autoridad de control de origen cuyo personal haya causado daños y perjuicios a cualquier persona en el territorio de otro Estado miembro le restituirá íntegramente los importes que este último haya abonado a los derechohabientes.

6.   Sin perjuicio del ejercicio de sus derechos frente a terceros y habida cuenta de la excepción establecida en el apartado 5, los Estados miembros renunciarán, en el caso contemplado en el apartado 1, a solicitar de otro Estado miembro el reembolso del importe de los daños y perjuicios mencionados en el apartado 4.

7.   Cuando se prevea una operación conjunta y una autoridad de control no cumpla en el plazo de un mes con la obligación establecida en el apartado 2, segunda frase, del presente artículo, las demás autoridades de control podrán adoptar una medida provisional en el territorio de su Estado miembro de conformidad con el artículo 55. En ese caso, se presumirá la existencia de una necesidad urgente a tenor del artículo 66, apartado 1, y se requerirá dictamen o decisión vinculante urgente del Comité en virtud del artículo 66, apartado 2.

Sección 2

Coherencia

Artículo 63

Mecanismo de coherencia

A fin de contribuir a la aplicación coherente del presente Reglamento en toda la Unión, las autoridades de control cooperarán entre sí y, en su caso, con la Comisión, en el marco del mecanismo de coherencia establecido en la presente sección.

Artículo 64

Dictamen del Comité

1.   El Comité emitirá un dictamen siempre que una autoridad de control competente proyecte adoptar alguna de las medidas enumeradas a continuación. A tal fin, la autoridad de control competente comunicará el proyecto de decisión al Comité, cuando la decisión:

a)

tenga por objeto adoptar una lista de las operaciones de tratamiento supeditadas al requisito de la evaluación de impacto relativa a la protección de datos de conformidad con el artículo 35, apartado 4;

b)

afecte a un asunto de conformidad con el artículo 40, apartado 7, cuyo objeto sea determinar si un proyecto de código de conducta o una modificación o ampliación de un código de conducta es conforme con el presente Reglamento;

c)

tenga por objeto aprobar los criterios aplicables a la acreditación de un organismo con arreglo al artículo 41, apartado 3, o un organismo de certificación conforme al artículo 43, apartado 3;

d)

tenga por objeto determinar las cláusulas tipo de protección de datos contempladas en el artículo 46, apartado 2, letra d), y el artículo 28, apartado 8;

e)

tenga por objeto autorizar las cláusulas contractuales a que se refiere el artículo 46, apartado 3, letra a);

f)

tenga por objeto la aprobación de normas corporativas vinculantes a tenor del artículo 47.

2.   Cualquier autoridad de control, el presidente del Comité o la Comisión podrán solicitar que cualquier asunto de aplicación general o que surta efecto en más de un Estado miembro sea examinado por el Comité a efectos de dictamen, en particular cuando una autoridad de control competente incumpla las obligaciones relativas a la asistencia mutua con arreglo al artículo 61 o las operaciones conjuntas con arreglo al artículo 62.

3.   En los casos a que se refieren los apartados 1 y 2, el Comité emitirá dictamen sobre el asunto que le haya sido presentado siempre que no haya emitido ya un dictamen sobre el mismo asunto. Dicho dictamen se adoptará en el plazo de ocho semanas por mayoría simple de los miembros del Comité. Dicho plazo podrá prorrogarse seis semanas más, teniendo en cuenta la complejidad del asunto. Por lo que respecta al proyecto de decisión a que se refiere el apartado 1 y distribuido a los miembros del Comité con arreglo al apartado 5, todo miembro que no haya presentado objeciones dentro de un plazo razonable indicado por el presidente se considerará conforme con el proyecto de decisión.

4.   Las autoridades de control y la Comisión comunicarán sin dilación por vía electrónica al Comité, utilizando un formato normalizado, toda información útil, en particular, cuando proceda, un resumen de los hechos, el proyecto de decisión, los motivos por los que es necesaria tal medida, y las opiniones de otras autoridades de control interesadas.

5.   La Presidencia del Comité informará sin dilación indebida por medios electrónicos:

a)

a los miembros del Comité y a la Comisión de cualquier información pertinente que le haya sido comunicada, utilizando un formato normalizado. La secretaría del Comité facilitará, de ser necesario, traducciones de la información que sea pertinente, y

b)

a la autoridad de control contemplada, en su caso, en los apartados 1 y 2 y a la Comisión del dictamen, y lo publicará.

6.   La autoridad de control competente no adoptará su proyecto de decisión a tenor del apartado 1 en el plazo mencionado en el apartado 3.

7.   La autoridad de control contemplada en el artículo 1 tendrá en cuenta en la mayor medida posible el dictamen del Comité y, en el plazo de dos semanas desde la recepción del dictamen, comunicará por medios electrónicos al presidente del Comité si va a mantener o modificar su proyecto de decisión y, si lo hubiera, el proyecto de decisión modificado, utilizando un formato normalizado.

8.   Cuando la autoridad de control interesada informe al presidente del Comité, en el plazo mencionado en el apartado 7 del presente artículo, de que no prevé seguir el dictamen del Comité, en todo o en parte, alegando los motivos correspondientes, se aplicará el artículo 65, apartado 1.

Artículo 65

Resolución de conflictos por el Comité

1.   Con el fin de garantizar una aplicación correcta y coherente del presente Reglamento en casos concretos, el Comité adoptará una decisión vinculante en los siguientes casos:

a)

cuando, en un caso mencionado en el artículo 60, apartado 4, una autoridad de control interesada haya manifestado una objeción pertinente y motivada a un proyecto de decisión de la autoridad principal, o esta haya rechazado dicha objeción por no ser pertinente o no estar motivada. La decisión vinculante afectará a todos los asuntos a que se refiera la objeción pertinente y motivada, en particular si hay infracción del presente Reglamento;

b)

cuando haya puntos de vista enfrentados sobre cuál de las autoridades de control interesadas es competente para el establecimiento principal;

c)

cuando una autoridad de control competente no solicite dictamen al Comité en los casos contemplados en el artículo 64, apartado 1, o no siga el dictamen del Comité emitido en virtud del artículo 64. En tal caso, cualquier autoridad de control interesada, o la Comisión, lo pondrá en conocimiento del Comité.

2.   La decisión a que se refiere el apartado 1 se adoptará en el plazo de un mes a partir de la remisión del asunto, por mayoría de dos tercios de los miembros del Comité. Este plazo podrá prorrogarse un mes más, habida cuenta de la complejidad del asunto. La decisión que menciona el apartado 1 estará motivada y será dirigida a la autoridad de control principal y a todas las autoridades de control interesadas, y será vinculante para ellas.

3.   Cuando el Comité no haya podido adoptar una decisión en los plazos mencionados en el apartado 2, adoptará su decisión en un plazo de dos semanas tras la expiración del segundo mes a que se refiere el apartado 2, por mayoría simple de sus miembros. En caso de empate, decidirá el voto del presidente.

4.   Las autoridades de control interesadas no adoptarán decisión alguna sobre el asunto presentado al Comité en virtud del apartado 1 durante los plazos de tiempo a que se refieren los apartados 2 y 3.

5.   El presidente del Comité notificará sin dilación indebida la decisión contemplada en el apartado 1 a las autoridades de control interesadas. También informará de ello a la Comisión. La decisión se publicará en el sitio web del Comité sin demora, una vez que la autoridad de control haya notificado la decisión definitiva a que se refiere el apartado 6.

6.   La autoridad de control principal o, en su caso, la autoridad de control ante la que se presentó la reclamación adoptará su decisión definitiva sobre la base de la decisión contemplada en el apartado 1 del presente artículo, sin dilación indebida y a más tardar un mes tras la notificación de la decisión del Comité. La autoridad de control principal o, en su caso, la autoridad de control ante la que se presentó la reclamación informará al Comité de la fecha de notificación de su decisión definitiva al responsable o al encargado del tratamiento y al interesado, respectivamente. La decisión definitiva de las autoridades de control interesadas será adoptada en los términos establecidos en el artículo 60, apartados 7, 8 y 9. La decisión definitiva hará referencia a la decisión contemplada en el apartado 1 del presente artículo y especificará que esta última decisión se publicará en el sitio web del Comité con arreglo al apartado 5 del presente artículo. La decisión definitiva llevará adjunta la decisión contemplada en el apartado 1 del presente artículo.

Artículo 66

Procedimiento de urgencia

1.   En circunstancias excepcionales, cuando una autoridad de control interesada considere que es urgente intervenir para proteger los derechos y las libertades de interesados, podrá, como excepción al mecanismo de coherencia contemplado en los artículos 63, 64 y 65, o al procedimiento mencionado en el artículo 60, adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio, con un periodo de validez determinado que no podrá ser superior a tres meses. La autoridad de control comunicará sin dilación dichas medidas, junto con los motivos de su adopción, a las demás autoridades de control interesadas, al Comité y a la Comisión.

2.   Cuando una autoridad de control haya adoptado una medida de conformidad con el apartado 1, y considere que deben adoptarse urgentemente medidas definitivas, podrá solicitar con carácter urgente un dictamen o una decisión vinculante urgente del Comité, motivando dicha solicitud de dictamen o decisión.

3.   Cualquier autoridad de control podrá solicitar, motivando su solicitud, y, en particular, la urgencia de la intervención, un dictamen urgente o una decisión vinculante urgente, según el caso, del Comité, cuando una autoridad de control competente no haya tomado una medida apropiada en una situación en la que sea urgente intervenir a fin de proteger los derechos y las libertades de los interesados.

4.   No obstante lo dispuesto en el artículo 64, apartado 3, y en el artículo 65, apartado 2, los dictámenes urgentes o decisiones vinculantes urgentes contemplados en los apartados 2 y 3 del presente artículo se adoptarán en el plazo de dos semanas por mayoría simple de los miembros del Comité.

Artículo 67

Intercambio de información

La Comisión podrá adoptar actos de ejecución de ámbito general para especificar las modalidades de intercambio de información por medios electrónicos entre las autoridades de control, y entre dichas autoridades y el Comité, en especial el formato normalizado contemplado en el artículo 64.

Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2.

Sección 3

Comité europeo de protección de datos

Artículo 68

Comité Europeo de Protección de Datos

1.   Se crea el Comité Europeo de Protección de Datos («Comité»), como organismo de la Unión, que gozará de personalidad jurídica.

2.   El Comité estará representado por su presidente.

3.   El Comité estará compuesto por el director de una autoridad de control de cada Estado miembro y por el Supervisor Europeo de Protección de Datos o sus representantes respectivos.

4.   Cuando en un Estado miembro estén encargados de controlar la aplicación de las disposiciones del presente Reglamento varias autoridades de control, se nombrará a un representante común de conformidad con el Derecho de ese Estado miembro.

5.   La Comisión tendrá derecho a participar en las actividades y reuniones del Comité, sin derecho a voto. La Comisión designará un representante. El presidente del Comité comunicará a la Comisión las actividades del Comité.

6.   En los casos a que se refiere el artículo 65, el Supervisor Europeo de Protección de Datos sólo tendrá derecho a voto en las decisiones relativas a los principios y normas aplicables a las instituciones, órganos y organismos de la Unión que correspondan en cuanto al fondo a las contempladas en el presente Reglamento.

Artículo 69

Independencia

1.   El Comité actuará con total independencia en el desempeño de sus funciones o el ejercicio de sus competencias con arreglo a los artículos 70 y 71.

2.   Sin perjuicio de las solicitudes de la Comisión contempladas en el artículo 70, apartado 1, letra b), y apartado 2, el Comité no solicitará ni admitirá instrucciones de nadie en el desempeño de sus funciones o el ejercicio de sus competencias.

Artículo 70

Funciones del Comité

1.   El Comité garantizará la aplicación coherente del presente Reglamento. A tal efecto, el Comité, a iniciativa propia o, en su caso, a instancia de la Comisión, en particular:

a)

supervisará y garantizará la correcta aplicación del presente Reglamento en los casos contemplados en los artículos 64 y 65, sin perjuicio de las funciones de las autoridades de control nacionales;

b)

asesorará a la Comisión sobre toda cuestión relativa a la protección de datos personales en la Unión, en particular sobre cualquier propuesta de modificación del presente Reglamento;

c)

asesorará a la Comisión sobre el formato y los procedimientos para intercambiar información entre los responsables, los encargados y las autoridades de control en relación con las normas corporativas vinculantes;

d)

emitirá directrices, recomendaciones y buenas prácticas relativas a los procedimientos para la supresión de vínculos, copias o réplicas de los datos personales procedentes de servicios de comunicación a disposición pública a que se refiere el artículo 17, apartado 2;

e)

examinará, a iniciativa propia, a instancia de uno de sus miembros o de la Comisión, cualquier cuestión relativa a la aplicación del presente Reglamento, y emitirá directrices, recomendaciones y buenas prácticas a fin de promover la aplicación coherente del presente Reglamento;

f)

emitirá directrices, recomendaciones y buenas prácticas de conformidad con la letra e) del presente apartado a fin de especificar más los criterios y requisitos de las decisiones basadas en perfiles en virtud del artículo 22, apartado 2;

g)

emitirá directrices, recomendaciones y buenas prácticas con arreglo a la letra e) del presente apartado a fin de constatar las violaciones de la seguridad de los datos y determinar la dilación indebida a tenor del artículo 33, apartados 1 y 2, y con respecto a las circunstancias particulares en las que el responsable o el encargado del tratamiento debe notificar la violación de la seguridad de los datos personales;

h)

emitirá directrices, recomendaciones y buenas prácticas con arreglo a la letra e) del presente apartado con respecto a las circunstancias en las que sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas a tenor del artículo 34, apartado 1;

i)

emitirá directrices, recomendaciones y buenas prácticas con arreglo a la letra e) del presente apartado con el fin de especificar en mayor medida los criterios y requisitos para las transferencias de datos personales basadas en normas corporativas vinculantes a las que se hayan adherido los responsables del tratamiento y en normas corporativas vinculantes a las que se hayan adherido los encargados del tratamiento y en requisitos adicionales necesarios para garantizar la protección de los datos personales de los interesados a que se refiere el artículo 47;

j)

emitirá directrices, recomendaciones y buenas prácticas con arreglo a la letra e) del presente apartado a fin de especificar en mayor medida los criterios y requisitos de las transferencias de datos personales sobre la base del artículo 49, apartado 1;

k)

formulará directrices para las autoridades de control, relativas a la aplicación de las medidas a que se refiere el artículo 58, apartados 1, 2 y 3, y la fijación de multas administrativas de conformidad con el artículo 83;

l)

examinará la aplicación práctica de las directrices, recomendaciones y buenas prácticas a que se refieren las letras e) y f);

m)

emitirá directrices, recomendaciones y buenas prácticas con arreglo a la letra e) del presente apartado a fin de establecer procedimientos comunes de información procedente de personas físicas sobre infracciones del presente Reglamento en virtud del artículo 54, apartado 2;

n)

alentará la elaboración de códigos de conducta y el establecimiento de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos de conformidad con los artículos 40 y 42;

o)

realizará la acreditación de los organismos de certificación y su revisión periódica en virtud del artículo 43, y llevará un registro público de los organismos acreditados en virtud del artículo 43, apartado 6, y de los responsables o los encargados del tratamiento acreditados establecidos en terceros países en virtud del artículo 42, apartado 7;

p)

especificará los requisitos contemplados en el artículo 43, apartado 3, con miras a la acreditación de los organismos de certificación en virtud del artículo 42;

q)

facilitará a la Comisión un dictamen sobre los requisitos de certificación contemplados en el artículo 43, apartado 8;

r)

facilitará a la Comisión un dictamen sobre los iconos a que se refiere el artículo 12, apartado 7;

s)

facilitará a la Comisión un dictamen para evaluar la adecuación del nivel de protección en un tercer país u organización internacional, en particular para evaluar si un tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o una organización internacional, ya no garantizan un nivel de protección adecuado. A tal fin, la Comisión facilitará al Comité toda la documentación necesaria, incluida la correspondencia con el gobierno del tercer país, que se refiera a dicho tercer país, territorio o específico o a dicha organización internacional;

t)

emitirá dictámenes sobre los proyectos de decisión de las autoridades de control en virtud del mecanismo de coherencia mencionado en el artículo 64, apartado 1, sobre los asuntos presentados en virtud del artículo 64, apartado 2, y sobre las decisiones vinculantes en virtud del artículo 65, incluidos los casos mencionados en el artículo 66;

u)

promoverá la cooperación y los intercambios bilaterales y multilaterales efectivos de información y de buenas prácticas entre las autoridades de control;

v)

promoverá programas de formación comunes y facilitará intercambios de personal entre las autoridades de control y, cuando proceda, con las autoridades de control de terceros países o con organizaciones internacionales;

w)

promoverá el intercambio de conocimientos y documentación sobre legislación y prácticas en materia de protección de datos con las autoridades de control encargadas de la protección de datos a escala mundial;

x)

emitirá dictámenes sobre los códigos de conducta elaborados a escala de la Unión de conformidad con el artículo 40, apartado 9, y

y)

llevará un registro electrónico, de acceso público, de las decisiones adoptadas por las autoridades de control y los tribunales sobre los asuntos tratados en el marco del mecanismo de coherencia.

2.   Cuando la Comisión solicite asesoramiento del Comité podrá señalar un plazo teniendo en cuenta la urgencia del asunto.

3.   El Comité transmitirá sus dictámenes, directrices, recomendaciones y buenas prácticas a la Comisión y al Comité contemplado en el artículo 93, y los hará públicos.

4.   Cuando proceda, el Comité consultará a las partes interesadas y les dará la oportunidad de presentar sus comentarios en un plazo razonable. Sin perjuicio de lo dispuesto en el artículo 76, el Comité publicará los resultados del procedimiento de consulta.

Artículo 71

Informes

1.   El Comité elaborará un informe anual en materia de protección de las personas físicas en lo que respecta al tratamiento en la Unión y, si procede, en terceros países y organizaciones internacionales. El informe se hará público y se transmitirá al Parlamento Europeo, al Consejo y a la Comisión.

2.   El informe anual incluirá un examen de la aplicación práctica de las directrices, recomendaciones y buenas prácticas indicadas en el artículo 70, apartado 1, letra l), así como de las decisiones vinculantes indicadas en el artículo 65.

Artículo 72

Procedimiento

1.   El Comité tomará sus decisiones por mayoría simple de sus miembros, salvo que el presente Reglamento disponga otra cosa.

2.   El Comité adoptará su reglamento interno por mayoría de dos tercios de sus miembros y organizará sus disposiciones de funcionamiento.

Artículo 73

Presidencia

1.   El Comité elegirá por mayoría simple de entre sus miembros un presidente y dos vicepresidentes.

2.   El mandato del presidente y de los vicepresidentes será de cinco años de duración y podrá renovarse una vez.

Artículo 74

Funciones del presidente

1.   El presidente desempeñará las siguientes funciones:

a)

convocar las reuniones del Comité y preparar su orden del día;

b)

notificar las decisiones adoptadas por el Comité con arreglo al artículo 65 a la autoridad de control principal y a las autoridades de control interesadas;

c)

garantizar el ejercicio puntual de las funciones del Comité, en particular en relación con el mecanismo de coherencia a que se refiere el artículo 63.

2.   El Comité determinará la distribución de funciones entre el presidente y los vicepresidentes en su reglamento interno.

Artículo 75

Secretaría

1.   El Comité contará con una secretaría, de la que se hará cargo el Supervisor Europeo de Protección de Datos.

2.   La secretaría ejercerá sus funciones siguiendo exclusivamente las instrucciones del presidente del Comité.

3.   El personal del Supervisor Europeo de Protección de Datos que participe en el desempeño de las funciones conferidas al Comité por el presente Reglamento dependerá de un superior jerárquico distinto del personal que desempeñe las funciones conferidas al Supervisor Europeo de Protección de Datos.

4.   El Comité, en consulta con el Supervisor Europeo de Protección de Datos, elaborará y publicará, si procede, un memorando de entendimiento para la puesta en práctica del presente artículo, que determinará los términos de su cooperación y que será aplicable al personal del Supervisor Europeo de Protección de Datos que participe en el desempeño de las funciones conferidas al Comité por el presente Reglamento.

5.   La secretaría prestará apoyo analítico, administrativo y logístico al Comité.

6.   La secretaría será responsable, en particular, de:

a)

los asuntos corrientes del Comité;

b)

la comunicación entre los miembros del Comité, su presidente y la Comisión;

c)

la comunicación con otras instituciones y con el público;

d)

la utilización de medios electrónicos para la comunicación interna y externa;

e)

la traducción de la información pertinente;

f)

la preparación y el seguimiento de las reuniones del Comité;

g)

la preparación, redacción y publicación de dictámenes, decisiones relativas a solución de diferencias entre autoridades de control y otros textos adoptados por el Comité.

Artículo 76

Confidencialidad

1.   Los debates del Comité serán confidenciales cuando el mismo lo considere necesario, tal como establezca su reglamento interno.

2.   El acceso a los documentos presentados a los miembros del Comité, los expertos y los representantes de terceras partes se regirá por el Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo (21).

CAPÍTULO VIII

Recursos, responsabilidad y sanciones

Artículo 77

Derecho a presentar una reclamación ante una autoridad de control

1.   Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.

2.   La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78.

Artículo 78

Derecho a la tutela judicial efectiva contra una autoridad de control

1.   Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.

2.   Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77.

3.   Las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que esté establecida la autoridad de control.

4.   Cuando se ejerciten acciones contra una decisión de una autoridad de control que haya sido precedida de un dictamen o una decisión del Comité en el marco del mecanismo de coherencia, la autoridad de control remitirá al tribunal dicho dictamen o decisión.

Artículo 79

Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento

1.   Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.

2.   Las acciones contra un responsable o encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos.

Artículo 80

Representación de los interesados

1.   El interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación, y ejerza en su nombre los derechos contemplados en los artículos 77, 78 y 79, y el derecho a ser indemnizado mencionado en el artículo 82 si así lo establece el Derecho del Estado miembro.

2.   Cualquier Estado miembro podrán disponer que cualquier entidad, organización o asociación mencionada en el apartado 1 del presente artículo tenga, con independencia del mandato del interesado, derecho a presentar en ese Estado miembro una reclamación ante la autoridad de control que sea competente en virtud del artículo 77 y a ejercer los derechos contemplados en los artículos 78 y 79, si considera que los derechos del interesado con arreglo al presente Reglamento han sido vulnerados como consecuencia de un tratamiento.

Artículo 81

Suspensión de los procedimientos

1.   Cuando un tribunal competente de un Estado miembro tenga información de la pendencia ante un tribunal de otro Estado miembro de un procedimiento relativo a un mismo asunto en relación con el tratamiento por el mismo responsable o encargado, se pondrá en contacto con dicho tribunal de otro Estado miembro para confirmar la existencia de dicho procedimiento.

2.   Cuando un procedimiento relativo a un mismo asunto en relación con el tratamiento por el mismo responsable o encargado esté pendiente ante un tribunal de otro Estado miembro, cualquier tribunal competente distinto de aquel ante el que se ejercitó la acción en primer lugar podrá suspender su procedimiento.

3.   Cuando dicho procedimiento esté pendiente en primera instancia, cualquier tribunal distinto de aquel ante el que se ejercitó la acción en primer lugar podrá también, a instancia de una de las partes, inhibirse en caso de que el primer tribunal sea competente para su conocimiento y su acumulación sea conforme a Derecho.

Artículo 82

Derecho a indemnización y responsabilidad

1.   Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

2.   Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.

3.   El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

4.   Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean, con arreglo a los apartados 2 y 3, responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado.

5.   Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el apartado 2.

6.   Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2.

Artículo 83

Condiciones generales para la imposición de multas administrativas

1.   Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.

2.   Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a)

la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b)

la intencionalidad o negligencia en la infracción;

c)

cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;

d)

el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;

e)

toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f)

el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g)

las categorías de los datos de carácter personal afectados por la infracción;

h)

la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;

i)

cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;

j)

la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y

k)

cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

3.   Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

4.   Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a)

las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;

b)

las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43;

c)

las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4.

5.   Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a)

los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;

b)

los derechos de los interesados a tenor de los artículos 12 a 22;

c)

las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49;

d)

toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX;

e)

el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1.

6.   El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

7.   Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.

8.   El ejercicio por una autoridad de control de sus poderes en virtud del presente artículo estará sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales.

9.   Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, el presente artículo podrá aplicarse de tal modo que la incoación de la multa corresponda a la autoridad de control competente y su imposición a los tribunales nacionales competentes, garantizando al mismo tiempo que estas vías de derecho sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas por las autoridades de control. En cualquier caso, las multas impuestas serán efectivas, proporcionadas y disuasorias. Los Estados miembros de que se trate notificarán a la Comisión las disposiciones legislativas que adopten en virtud del presente apartado a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier ley de modificación o modificación posterior que les sea aplicable.

Artículo 84

Sanciones

1.   Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.

2.   Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que les sea aplicable.

CAPÍTULO IX

Disposiciones relativas a situaciones específicas de tratamiento

Artículo 85

Tratamiento y libertad de expresión y de información

1.   Los Estados miembros conciliarán por ley el derecho a la protección de los datos personales en virtud del presente Reglamento con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria.

2.   Para el tratamiento realizado con fines periodísticos o con fines de expresión académica, artística o literaria, los Estados miembros establecerán exenciones o excepciones de lo dispuesto en los capítulos II (principios), III (derechos del interesado), IV (responsable y encargado del tratamiento), V (transferencia de datos personales a terceros países u organizaciones internacionales), VI (autoridades de control independientes), VII (cooperación y coherencia) y IX (disposiciones relativas a situaciones específicas de tratamiento de datos), si son necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información.

3.   Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 2 y, sin dilación, cualquier modificación posterior, legislativa u otra, de las mismas.

Artículo 86

Tratamiento y acceso del público a documentos oficiales

Los datos personales de documentos oficiales en posesión de alguna autoridad pública o u organismo público o una entidad privada para la realización de una misión en interés público podrán ser comunicados por dicha autoridad, organismo o entidad de conformidad con el Derecho de la Unión o de los Estados miembros que se les aplique a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales en virtud del presente Reglamento.

Artículo 87

Tratamiento del número nacional de identificación

Los Estados miembros podrán determinar adicionalmente las condiciones específicas para el tratamiento de un número nacional de identificación o cualquier otro medio de identificación de carácter general. En ese caso, el número nacional de identificación o cualquier otro medio de identificación de carácter general se utilizará únicamente con las garantías adecuadas para los derechos y las libertades del interesado con arreglo al presente Reglamento.

Artículo 88

Tratamiento en el ámbito laboral

1.   Los Estados miembros podrán, a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.

2.   Dichas normas incluirán medidas adecuadas y específicas para preservar la dignidad humana de los interesados así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo.

3.   Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior de las mismas.

Artículo 89

Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos

1.   El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo.

2.   Cuando se traten datos personales con fines de investigación científica o histórica o estadísticos el Derecho de la Unión o de los Estados miembros podrá establecer excepciones a los derechos contemplados en los artículos 15, 16, 18 y 21, sujetas a las condiciones y garantías indicadas en el apartado 1 del presente artículo, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines.

3.   Cuando se traten datos personales con fines de archivo en interés público, el Derecho de le Unión o de los Estados miembros podrá prever excepciones a los derechos contemplados en los artículos 15, 16, 18, 19, 20 y 21, sujetas a las condiciones y garantías citadas en el apartado 1 del presente artículo, siempre que esos derechos puedan imposibilitar u obstaculizar gravemente el logro de los fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines.

4.   En caso de que el tratamiento a que hacen referencia los apartados 2 y 3 sirva también al mismo tiempo a otro fin, las excepciones solo serán aplicables al tratamiento para los fines mencionados en dichos apartados.

Artículo 90

Obligaciones de secreto

1.   Los Estados miembros podrán adoptar normas específicas para fijar los poderes de las autoridades de control establecidos en el artículo 58, apartado 1, letras e) y f), en relación con los responsables o encargados sujetos, con arreglo al Derecho de la Unión o de los Estados miembros o a las normas establecidas por los organismos nacionales competentes, a una obligación de secreto profesional o a otras obligaciones de secreto equivalentes, cuando sea necesario y proporcionado para conciliar el derecho a la protección de los datos personales con la obligación de secreto. Esas normas solo se aplicarán a los datos personales que el responsable o el encargado del tratamiento hayan recibido como resultado o con ocasión de una actividad cubierta por la citada obligación de secreto.

2.   Cada Estado miembro notificará a la Comisión las normas adoptadas de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior de las mismas.

Artículo 91

Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas

1.   Cuando en un Estado miembro iglesias, asociaciones o comunidades religiosas apliquen, en el momento de la entrada en vigor del presente Reglamento, un conjunto de normas relativas a la protección de las personas físicas en lo que respecta al tratamiento, tales normas podrán seguir aplicándose, siempre que sean conformes con el presente Reglamento.

2.   Las iglesias y las asociaciones religiosas que apliquen normas generales de conformidad con el apartado 1 del presente artículo estarán sujetas al control de una autoridad de control independiente, que podrá ser específica, siempre que cumpla las condiciones establecidas en el capítulo VI del presente Reglamento.

CAPÍTULO X

Actos delegados y actos de ejecución

Artículo 92

Ejercicio de la delegación

1.   Los poderes para adoptar actos delegados otorgados a la Comisión estarán sujetos a las condiciones establecidas en el presente artículo.

2.   La delegación de poderes indicada en el artículo 12, apartado 8, y en el artículo 43, apartado 8, se otorgarán a la Comisión por tiempo indefinido a partir del 24 de mayo de 2016.

3.   La delegación de poderes mencionada en el artículo 12, apartado 8, y el artículo 43, apartado 8, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto al día siguiente de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la misma. No afectará a la validez de los actos delegados que ya estén en vigor.

4.   Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

5.   Los actos delegados adoptados en virtud del artículo 12, apartado 8, y el artículo 43, apartado 8, entrarán en vigor únicamente si, en un plazo de tres meses desde su notificación al Parlamento Europeo y al Consejo, ni el Parlamento Europeo ni el Consejo formulan objeciones o si, antes del vencimiento de dicho plazo, tanto el uno como el otro informan a la Comisión de que no las formularán. El plazo se ampliará en tres meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 93

Procedimiento de comité

1.   La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) n.o 182/2011.

2.   Cuando se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.o 182/2011.

3.   Cuando se haga referencia al presente apartado, se aplicará el artículo 8 del Reglamento (UE) n.o 182/2011, en relación con su artículo 5.

CAPÍTULO XI

Disposiciones finales

Artículo 94

Derogación de la Directiva 95/46/CE

1.   Queda derogada la Directiva 95/46/CE con efecto a partir del 25 de mayo de 2018.

2.   Toda referencia a la Directiva derogada se entenderá hecha al presente Reglamento. Toda referencia al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales establecido por el artículo 29 de la Directiva 95/46/CE se entenderá hecha al Comité Europeo de Protección de Datos establecido por el presente Reglamento.

Artículo 95

Relación con la Directiva 2002/58/CE

El presente Reglamento no impondrá obligaciones adicionales a las personas físicas o jurídicas en materia de tratamiento en el marco de la prestación de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación de la Unión en ámbitos en los que estén sujetas a obligaciones específicas con el mismo objetivo establecidas en la Directiva 2002/58/CE.

Artículo 96

Relación con acuerdos celebrados anteriormente

Los acuerdos internacionales que impliquen la transferencia de datos personales a terceros países u organizaciones internacionales que hubieren sido celebrados por los Estados miembros antes del 24 de mayo de 2016 y que cumplan lo dispuesto en el Derecho de la Unión aplicable antes de dicha fecha, seguirán en vigor hasta que sean modificados, sustituidos o revocados.

Artículo 97

Informes de la Comisión

1.   A más tardar el 25 de mayo de 2020 y posteriormente cada cuatro años, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la evaluación y revisión del presente Reglamento. Los informes se harán públicos.

2.   En el marco de las evaluaciones y revisiones a que se refiere el apartado 1, la Comisión examinará en particular la aplicación y el funcionamiento de:

a)

el capítulo V sobre la transferencia de datos personales a países terceros u organizaciones internacionales, particularmente respecto de las decisiones adoptadas en virtud del artículo 45, apartado 3, del presente Reglamento, y de las adoptadas sobre la base del artículo 25, apartado 6, de la Directiva 95/46/CE;

b)

el capítulo VII sobre cooperación y coherencia.

3.   A los efectos del apartado 1, la Comisión podrá solicitar información a los Estados miembros y a las autoridades de control.

4.   Al llevar a cabo las evaluaciones y revisiones indicadas en los apartados 1 y 2, la Comisión tendrá en cuenta las posiciones y conclusiones del Parlamento Europeo, el Consejo y los demás órganos o fuentes pertinentes.

5.   La Comisión presentará, en caso necesario, las propuestas oportunas para modificar el presente Reglamento, en particular teniendo en cuenta la evolución de las tecnologías de la información y a la vista de los progresos en la sociedad de la información.

Artículo 98

Revisión de otros actos jurídicos de la Unión en materia de protección de datos

La Comisión presentará, si procede, propuestas legislativas para modificar otros actos jurídicos de la Unión en materia de protección de datos personales, a fin de garantizar la protección uniforme y coherente de las personas físicas en relación con el tratamiento. Se tratará en particular de las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento por parte de las instituciones, órganos, y organismos de la Unión y a la libre circulación de tales datos.

Artículo 99

Entrada en vigor y aplicación

1.   El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2.   Será aplicable a partir del 25 de mayo de 2018.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 27 de abril de 2016.

Por el Parlamento Europeo

El Presidente

M. SCHULZ

Por el Consejo

La Presidenta

J.A. HENNIS-PLASSCHAERT


(1)  DO C 229 de 31.7.2012, p. 90.

(2)  DO C 391 de 18.12.2012, p. 127.

(3)  Posición del Parlamento Europeo de 12 de marzo de 2014 (pendiente de publicación en el Diario Oficial) y posición del Consejo en primera lectura de 8 de abril de 2016 (pendiente de publicación en el Diario Oficial). Posición del Parlamento Europeo de 14 de abril de 2016.

(4)  Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

(5)  Recomendación de la Comisión de 6 de mayo de 2003 sobre la definición de microempresas, pequeñas y medianas empresas [C(2003) 1422] (DO L 124 de 20.5.2003, p. 36).

(6)  Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

(7)  Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (véase la página 89 del presente Diario Oficial).

(8)  Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO L 178 de 17.7.2000, p. 1).

(9)  Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45).

(10)  Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores (DO L 95 de 21.4.1993, p. 29).

(11)  Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70).

(12)  Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(13)  Reglamento (UE) n.o 1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012, relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil (DO L 351 de 20.12.2012, p. 1).

(14)  Directiva 2003/98/CE del Parlamento Europeo y del Consejo, de 17 de noviembre de 2003, relativa a la reutilización de la información del sector público (DO L 345 de 31.12.2003, p. 90).

(15)  Reglamento (UE) n.o 536/2014 del Parlamento Europeo y del Consejo, de 16 de abril de 2014, sobre los ensayos clínicos de medicamentos de uso humano, y por el que se deroga la Directiva 2001/20/CE (DO L 158 de 27.5.2014, p. 1).

(16)  Reglamento (CE) n.o 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativo a la estadística europea y por el que se deroga el Reglamento (CE, Euratom) n.o 1101/2008 relativo a la transmisión a la Oficina Estadística de las Comunidades Europeas de las informaciones amparadas por el secreto estadístico, el Reglamento (CE) n.o 322/97 del Consejo sobre la estadística comunitaria y la Decisión 89/382/CEE, Euratom del Consejo por la que se crea un Comité del programa estadístico de las Comunidades Europeas (DO L 87 de 31.3.2009, p. 164).

(17)  DO C 192 de 30.6.2012, p. 7.

(18)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(19)  Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).

(20)  Reglamento (CE) n.o 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos y por el que se deroga el Reglamento (CEE) n.o 339/93 (DO L 218 de 13.8.2008, p. 30).

(21)  Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).

El Fintech y la Privacidad de los Menores #Fintech #Privacidad #Privacy #PDP

Hoy en día, suena muy fuerte la contracción denominada Fintech. Fintech proviene de Financial Technology y básicamente se refiere al uso de las TIC por parte de entidades financieras y similares para mejorar los servicios ya ofrecidos u ofrecer otros que tendrán como objetivo final, la fidelización de toda la familia.

Es una tendencia creciente, y de hecho, en una comunidad colaborativa como hoy en día, supone un verdadero disruptor en el estilo de vida de los más pequeños, los más jóvenes y hasta muchos adultos. Existe un antes y un después de estos años 2015 y 2016 sin dudas.

Sin embargo, el tratamiento y comunicación de los datos personales y con ello, el resguardo de la privacidad de usuarios y titulares, merece especial atención dentro del Fintech, y por ello he aquí algunos puntos que tanto los bancos, los prestadores de seguros, los desarrolladores de apps y hasta terceros involucrados, deben tener en cuenta:

  1. El tratamiento y recolección de datos personales de los usuarios ya no es más local. Es regional y a veces global. Esto significa, que involucra muchas normas referentes a la Protección de Datos Personales. A modo de ejemplo, la Ley 18331 de Uruguay, la FCRA de EEUU y el reglamento de la CE (que deroga la Directiva 95/46/CE).
  2. Dentro de la fidelización bancaria, dentro del FINTECH, aparece un integrante que hasta el momento se ubicaba en otras categorías de usuarios: los chicos, adolescentes y otros menores de edad.
  3. Como tal, entonces, no basta a las entidades financieras con las medidas que hoy aplican, sino que deben adoptar otras más exigentes, ya que estamos hablando de menores de edad y ello significa elevar el tratamiento de sus datos a la categoría de datos sensibles. Tienen especial protección y listo.
  4. Por ello, entran otras normas en juego, como el caso de la Children’s Online Privacy Protection Act, que entre otras exigencias, obliga a las entidades a obtener el previo consentimiento de los padres de un chico, expresamente y claro, antes de poder recolectar la información.
  5. A su vez, las medidas de seguridad deben ser mayores. Como estamos hablando de comunicaciones de datos entre distintos países (y quizá no todos sean adecuados a los estándares y exigencias de la Unión Europea, de Uruguay o similares), lo recomendable es que la información se encripte desde el momento que se recopila, durante las comunicaciones o traslado de las mismas y también en el destino.

Un saludo,

El Agente Protector de Datos Personales (Proyecto de Ley) #URCDP #Uruguay

Éste es otro de los proyectos de ley que perfectamente pueden adaptarse a casi cualquier país de la región con el objeto de garantizar el correcto cumplimiento de las leyes de Protección de Datos y Privacidad por parte de las empresas:

El AGENTE PROTECTOR DE DATOS PERSONALES

Con el objeto de garantizar, por parte de las empresas e instituciones públicas o privadas, el cumplimiento de la Ley 18331 sobre Protección de Datos y Acción de Habeas Data es necesario dotar a la Unidad Reguladora y de Control de Datos Personales con la colaboración de la figura del agente protector, cuya tarea será entre otras, la salvaguarda de la privacidad de las personas frente al tratamiento de los datos personales. Dicho agente tendrá a su cargo la verificación del cumplimiento de la LPDP por parte de los responsables del tratamiento de los mismos.

 

Artículo 1. Creación. Créase la figura del Agente Protector de Datos Personales, quién tendrá a su cargo la verificación del cumplimiento de la Ley 18331 por parte de las empresas, instituciones (públicas o privadas), así como de los responsables del tratamiento de datos personales.

Artículo 2. Idoneidad. Serán aptos para ostentar la figura del Agente Protector de Datos Personales, aquellos abogados que se encuentren en ejercicio de su profesión dentro de la República Oriental del Uruguay y que hayan sido acreditados por la URCDP mediante capacitación o curso para ejercer las funciones, tareas y obligaciones que se detallan en el cuerpo de la presente norma. La Unidad Reguladora y de Control de Datos Personales reglamentará los requisitos necesarios para la capacitación de postulantes y su designación como tales.

Artículo 3. Nómina. La URCDP mantendrá online y pública una nómina actualizada con los datos personales y de contacto de los agentes debidamente acreditados.

Artículo 4. Obligatoriedad. Toda empresa, institución pública o privada, y cualquier persona que tenga a su cargo un número mayor a 20 personas, ya sea en calidad de dependientes, funcionarios, jornaleros, contratados o tercerizados, deberá contar con los servicios de un Agente Protector de Datos Personales, acreditado de acuerdo a lo establecido en la presente Ley. El incumplimiento de la presente norma, será pasible de aplicación del artículo 35 de la Ley 18331.

Artículo 5. Funciones. Son funciones específicas del Agente de Protección de Datos Personales:

a). Informar y asesorar a la empresa o institución acerca de las obligaciones que le exige la Ley 18331 y sus decretos reglamentarios.

  1. b) Documentar e informar a la URCDP sobre lo descrito en el literal a) y sobre las respuestas que se han dado a sus peticiones.

c). Controlar la implementación y aplicación de las políticas de la empresa en relación con la protección de datos personales, incluyendo la asignación de responsabilidades, la capacitación del personal involucrado en los tratamientos, y la realización de auditorías periódicas, así como inscribir todas las bases de datos personales comprendidas en la LPDP y acorde con lo establecido en la misma.

d). Controlar la implementación y aplicación de la Ley 18331 (LPDP), en particular los requisitos relativos a la protección de datos especialmente protegidos, a la seguridad en el tratamiento y almacenamiento de los datos y a las solicitudes de ejercicio de derechos comprendidos en el Capítulo III de la LPDP.

e). Controlar la documentación, notificación y comunicación de fugas de datos personales, así como documentar cada recomendación realizada al responsable del tratamiento de datos personales respecto a la adopción de medidas de seguridad y de contención de fugas de datos, en concordancia con la LPDP.

f). Controlar la aplicación por la empresa de lo establecido en los análisis de impacto sobre protección de datos, y la solicitud de autorización o consulta previa.

g). Actuar como nexo entre la empresa y la Unidad Reguladora y de Control de Datos Personales, y controlar las respuestas que se le ofrezcan, así como colaborar con ésta dentro de su esfera de competencias, ya sea a su solicitud, o por iniciativa propia.

h). Establecer un plan de acción y evolución sobre la adecuada protección de datos personales acorde con la evolución de las tecnologías aplicables.

i). Ofrecer, y en caso de aceptación, elaborar un Código de Conducta sobre la debida Protección de Datos Personales, de acuerdo a lo establecido en la LPDP, así como proceder a su registro en la Web de la URCDP.

j). Establecer, mantener y supervisar el cumplimiento en materia de protección de datos y privacidad.

k). Valorar el impacto sobre el marco de privacidad y la protección de los datos personales de nuevos proyectos o de normas que afecten a la organización.

l). Centralizar las relaciones institucionales de forma interna con todos los departamentos o áreas afectadas: responsables internos de las distintos bases de datos, Departamento de Recursos Humanos, Departamento de TI, Departamento de Seguridad, Departamento Legal, etc.

m). Supervisar la gestión de incidencias.

n). Coordinar los planes de auditoría, ya sea de carácter interno o externo.

o). Impulsar y promover buenas prácticas en protección de datos.

p). Promover e impulsar la formación, educación y concienciación en protección de datos

q). En definitiva, elaborar un plan de acción que permita la ejecución de las siguientes etapas: descubrimiento del ambiente de tratamiento de los datos personales y su intensidad; elaboración de una estrategia adecuada para el correcto tratamiento de los datos personales; comunicación interna sobre la adopción de las políticas de protección de datos, así como externa (publicación de Políticas de Privacidad); evolución en la revisión políticas de protección de datos y ejecución de auditorías periódicas.

Registro Nacional de Llamadas No Deseadas (Proyecto de Ley) #DoNotCall #CIPP #IAPP

Éste perfectamente podrá ser un Proyecto de Ley para presentar en cada Legislación a los efectos de limitar las llamadas no solicitadas de telemarketing y oferta de servicios o productos. Éste es el modelo que se pretende presentar para #Uruguay:

Como consecuencia del avance de la tecnología aplicable a llamadas no solicitadas a personas, así como también el notorio incremento del número de las mismas, es indispensable la creación de un registro que actúe como contralor y limitante de las mismas, a los efectos de proteger el derecho fundamental a la privacidad y la intimidad de los habitantes de la República Oriental del Uruguay, al igual que sucede en otros países dónde se han adoptado medidas[1] para su protección.

  1. Creación y Contralor. Créase el Registro Nacional de Llamadas No Deseadas. El mismo estará a cargo de la Unidad Reguladora y de Control de Datos Personales (URCDP).
  2. Alcance. El Registro Nacional de Llamadas No Deseadas protege a todas las personas que posean y/o utilicen números de telefonía celular así como tambén a quiénes sean propietarios o usuarios de números de telefonía fija operativos en la República Oriental del Uruguay, sin distinción del tipo, género o característica de línea móvil o fija.
  1. Objeto. El objeto del presente registro es limitar la comunicación no solicitada de personas, empresas, compañías, asociaciones y demás (todos ellos con o sin fines de lucro), hacia titulares o usuarios de líneas de telefonía móvil (celular) o fija, que hayan previamente registrado sus respectivas líneas telefónicas en el Registro Nacional de Llamadas No Deseadas. Las comunicaciones abarcan llamadas telefónicas directas, indirectas, en nombre de otro o mediante terceros, mensajes de texto (sms), mensajes multimedia (mms), llamadas y videollamadas mediante VoIP o similar, comunicación a través de apps, software o cualquier tipo similar, llamadas robotizadas, pre grabadas y automatizadas, que impliquen una oferta (sea onerosa o gratuita) o posible oferta por parte de quién se comunica o en nombre de quién se comunica, de un producto o servicio.
  2. Funcionamiento. El titular de una línea móvil o fija de teléfono que no desee recibir ningún tipo de comunicación descrita en el artículo 3, deberá:
    • Ingresar al sitio Web que dispondrá la URCDP a los efectos.
    • Registrar el o los números de teléfono móvil o fijos para evitar recibir las comunicaciones no deseadas.
  3. Consecuencias. Cualquier persona, entidad, compañía no titular de los números registrados, cuya intención es la comunicación descrita en el artículo 3 de la presente ley, deberá ingresar a otra Web o sección Web, creada y mantenida por la URCDP, denominada Telemarketing, dónde:
    • Deberá verificar si determinado número de teléfono móvil o fijo se encuentra registrado, con al menos diez días corridos de antigüedad.
    • En caso de que dicho número telefónico se encuentre registrado en el Registro Nacional de Llamadas No Deseadas, y hayan transcurrido al menos diez días corridos desde su registro, deberá abstenerse de realizar cualquier tipo de comunicación tendiente a ofrecer un producto o servicio, sea éste gratuito o no, en especial, de acuerdo a lo detallado en el artículo 3 de la presente Ley.
  4. Número Único de Registro. Cada organización o titular descrito en el artículo 3 de la presente Ley, en nombre de quién se pretende realizar una comunicación, o que pretenda realizar una comunicación, deberá previamente, registrarse en la Web o espacio Web denominado Telemarketing y así obtener un Número Único de Registro (NUR). Este identificador es intransferible. El NUR es a su vez el nombre de usuario para poder acceder a la Web o espacio Web de Telemarketing a los efectos de cumplir con el artículo 5 de la presente Ley. Para obtener un NUR, los interesados deberán abonar una tasa única de una Unidad Reajustable (UR 1) en moneda nacional.
  5. Telemarketing. Empresas o personas tercerizadas de telemarketing que realicen comunicaciones en nombre de un tercero, podrán hacerlo, utilizando el NUR de su cliente, y deberán cumplir con el artículo 5 para corroborar el registro de números de teléfono inscriptos. Para poder realizar una comunicación, previamente se deberá ingresar al sitio Web o espacio Web de Telemarketing y corroborar que el destinatario de esa comunicación no haya registrado sus números. Las Empresas o personas tercerizadas de telemarketing, para poder realizar las comunicaciones deberán contar con el NUR de sus clientes y deberán comunicarlo a su destinatario a los efectos de que el mismo identifique en nombre de quién se realiza la comunicación. Si la misma es por vía telefónica, el NUR deberá ser “claramente” comunicado en los primeros 5 segundos desde que se el destinatario contesta la llamada. El incumplimiento de las disposiciones descritas en este artículo, será pasible de la aplicación del artículo 8 de la presente Ley.
  6. Incumplimiento y sanciones. Si, a pesar de que un número de teléfono (línea telefónica móvil o fija) se encuentre registrada en el Registro Nacional de Llamadas No Deseadas, además de haber transcurrido al menos diez días corridos desde su inclusión, un tercero incluído en el artículo 3 incumple con lo establecido en esta Ley, será pasible de multa equivalente a 3000 UI (unidades indexadas tres mil) por cada incumplimiento, teniendo en cuenta que cada uno equivale a una nueva comunicación, aunque sea mediante diferentes medios y/o a la misma línea telefónica. En caso de que amerite la aplicación de una o más multas a un destinatario, la URCDP notificará de la misma al destinatario, otorgando una vista de tres días hábiles para los descargos. En caso de que existan los mismos, se habilitará el proceso incidental previsto en el Código General del Proceso, ante los Juzgados Letrados de lo Contencioso Administrativo en Montevideo, y Juzgados Letrados en lo Civil o de materia civil, en el interior del país.
  7. Proceso posterior. Una vez registrada una o más violaciones a la presente ley, el titular de la o las líneas de teléfono afectadas por dicha violación, podrá iniciar juicio ordinario previsto en el Código General del Proceso, por cobro de pesos por daños y perjuicios más daño moral contra quién o quiénes hayan incumplido.
  8. Duración del registro. La duración de los efectos protectores de la presente Ley hacia una línea registrada en el Registro Nacional de Llamadas No Deseadas será permanente, salvo decisión expresa del titular, de dar de baja la misma, mediante mecanismo establecido a los efectos en el mismo sitio Web o sección Web existente para su registro.
  9. Excepciones. A pesar de encontrarse registrada una línea telefónica en el Registro Nacional de Llamadas No Deseadas, la misma no será incluida en la protección de la presente Ley, si al momento de su registro, existe una previa autorización expresa del titular de la misma, para recibir comunicaciones comprendidas en el artículo 3 de la presente norma. Dicha autorización debe cumplir con los requisitos y formalidades de la Ley 18331 sobre Protección de Datos Personales y Acción de Habeas Data. Sin embargo, si el titular decide revocar dicha autorización, bastará con invocar sus derechos establecidos en la Ley 18331 conforme se establece. Una vez invocado cualquiera de los derechos que implique una eliminación total o parcial de los datos personales que incluyan la línea telefónica registrada en el Registro Nacional de Llamadas No Deseadas (esto es, una vez presentada la solicitud), se computarán los diez días corridos fijados en la presente Ley, así como el amparo total de la misma.
  10. Regulaciones transitorias. 1) Se le otorga la potestad a la URCDP para la creación de los sitios Web o secciones Web referentes al Registro Nacional de Llamadas No Deseadas en un plazo de 90 días desde la aplicación de la presente Ley. Uno de los sitios o sección Web será dedicado al registro por parte de los usuarios titulares de las líneas telefónicas. Otro sitio o sección Web será accesible únicamente por aquellas personas o compañías que, incluidas en el artículo 3 de la presente Ley, se registren a los efectos de verificar si existen números telefónicos registrados (denominado Telemarketing). 2) El Poder Ejecutivo fijará el destino de la tasa única aplicable a la obtención de un NUR.

[1] https://www.donotcall.gov , visitado el 20 de marzo de 2016

Recomendaciones del Gobierno de EEUU y de la FTC en materia de Privacidad #BillOfRights #FTC

En el año 2012, aprovechando las recomendaciones de la Unión Europea para actualizar la Directiva 46/95/CE, el Presidente Barack Obama, elaboró el “Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation”.

De este informe, se desprende el “Consumer Privacy Bill Of Rights” que establece unos principios por demás interesantes, promoviendo que los mismos sean adoptados por normas autorreguladoras, mientras se esperan las actualizaciones de las leyes actuales en materia de Protección de Datos:

  1. Control individual. Cada consumidor puede ejercer el control sobre su propia información en manos de terceros.
  2. Transparencia. Los consumidores tienen derecho a que la información sea fácil de acceder y de entender por parte de ellos, en manos de terceros.
  3. Respeto por el contexto. El usuario espera que las compañías y los terceros, colecten datos personales e información, solamente en relación al contexto o al objetivo para los cuales se les solicitó el consentimiento expreso.
  4. Seguridad. Los consumidores tienen derecho a exigir medidas de seguridad y responsabilidad de quiénes tratan sus datos personales.
  5. Acceso y adecuación. Es el derecho de acceso a su propia información por parte de los titulares, a corregir los mismos para que sean adecuados con el grado de sensibilidad y para casos en que existan riesgos de consecuencias adversas por el mal manejo de datos no adecuados.
  6. Colecta dedicada. Solamente se debe recolectar aquella información que sea relevante para el caso. Y además, los consumidores tienen derecho a limitar esa recolección por parte de terceros.
  7. Responsabilidad. Es un derecho de los consumidores de exigir que las compañías o terceros que traten sus datos personales, utilicen mecanismos de seguridad que garanticen que se adaptan a estos “Bill of Rights”.

A su vez, la Federal Trade Commission (FTC) también elaboró un informe en la misma época, que junto con el ya mencionado, fortalecen el derecho fundamental a la privacidad. Del mismo se destacan tres principios aplicables:

  • Privacy by design. Privacidad desde el inicio y no a solicitud de los titulares.
  • Simplified consumer choice. Las compañías deben ofrecer la oportunidad a los titulares de que otorguen su consentimiento previo expreso, en situaciones de 1) utilizar sus datos personales para un objeto diferente del planteado y 2) cuando se recolectan datos sensibles para determinados propósitos.
  • Transparency. Las políticas de privacidad de cada compañía, deben ser claras y basadas en estándares que permitan una mejor comprensión de sus actos por parte de los titulares.

Un saludo

Principios de Interacción entre Robots y Personas. #Privacidad #Privacy

Con la acumulación excesiva de información por parte de los instrumentos automatizados, y su cada vez más autonomía para el tratamiento de los datos personales, estos son algunos de los principios propuestos como parte de trabajo de tesis:

  1. Principio rector. Prevención y control. Los manufactureros, diseñadores, creadores, ensambladores y fabricantes de los instrumentos automatizados, podrán implantar en los mismos a través de software, firmware o hardware, las instrucciones informatizadas que garanticen el respeto de los derechos fundamentales y la adopción de los principios establecidos en este documento con especial atención en el cuidado y protección de los datos personales.  El compilado, software, app, firmware o hardware que contenga las mencionadas instrucciones estandarizadas  contará con un distintivo que lo identifique para considerarse insertado de manera segura en la sociedad de la información.
  2. Principio de desconexión preventiva. Aquellos instrumentos automatizados que sean propiedad de personas podrán contar con un sistema de apagado manual o sistema que permita a su propietario tomar el control del mismo a los solos efectos de evitar la vulneración de los derechos de las personas.
  3. Principio de estandarización de controles. El ensamblaje, funcionamiento y mantenimiento de los instrumentos automatizados se realizará bajo normas estandarizadas a los efectos de evitar daños físicos y lesiones, así como violaciones a los derechos fundamentales, ya sea entre los mismos o para con las personas.
  4. Principio de fácil acceso.  Se deberá garantizar la facilidad de acceso de los titulares de datos personales a los mismos, almacenados en ficheros de titularidad o responsabilidad en manos de instrumentos automatizados, aplicaciones de ordenador y apps para tabletas y móviles inteligentes. Dicho acceso, una vez solicitado personalmente, deberá brindarse en el plazo de 60 minutos de recibida la mencionada solicitud, ya sea verbal o por otros medios identificables.

El National “Do Not Call” Registry en EEUU – Data Privacy #DoNotCallRegistry

En conjunto entre la Federal Communications Commission (FCC) y la Federal Trade Commission (FTC), administran en conjunto el National Do Not Call Registry , creado a través de la Telemarketing Sales Rule (TSR) para evitar el llamado constante que recibimos en nuestro móvil o fijo de parte de los comercios, bancos o empresas tercerizadas ofreciéndonos miles de productos y servicios “atractivos”.

Con este servicio, el titular del número de teléfono ingresa el mismo en la Web y con ello establece “expresamente” su voluntad de no recibir más llamados de marketing y ofertas de servicios.

Acto seguido, las compañías tienen que verificar la lista en la Web cada 31 días para corroborar que el número no se encuentre en la misma, porque si está registrado y violan la prohibición, se exponen a una multa de usd 16000 por llamada.

Por supuesto que hay excepciones, y es para el caso de que exista una previa relación comercial entre una empresa y su cliente (Established Business Relationship o EBR), la misma tiene derecho a enviar ofertas hasta 18 meses posteriores del último contacto o compra.

También la TSR exige que las llamadas de ofertas solo se pueden realizar entre las 08:00 am y las 09:00 pm, evitando así molestias en horarios de descanso familiar.

Un ejemplo más de un servicio que podría ser implementado en otros países a través de los Órganos de Control en Protección de Datos.

 

Diferencias entre Opt In y Opt Out (Publicidad) #OptIn #OptOut

A la hora de comprar algún producto o servicio, casi siempre se nos solicita nuestro email para luego enviarnos ofertas de publicidad y demás. También sucede con los servicios básicos.

Y es aquí dónde debemos estar conscientes del futuro de nuestra privacidad. En EE.UU. existen 2 prácticas que tambien son reconocidas a nivel mundial:

  • Opt In. Cuando se nos avisa de que existe intención de enviarnos publicidad o promociones o newsletters. Para ello, se nos da la opción de decidir o marcar de que sí queremos recibir dicha información. Requiere de una acción positiva nuestra para que se nos envíe publicidad o utilicen nuestros datos personales para esos fines. Generalmente, se implementa para aquellos datos más intrusivos o que rozan los datos sensibles.
  • Opt Out. El proceso es inverso: la opción de que vamos a recibir publicidad ya viene pre marcada. En otras palabras, si no queremos ser invadidos en nuestra privacidad, debemos desmarcarla previamente.

En definitiva, esto es lo que sucede si no hacemos nada ante las dos opciones:

Opt In -> si no hacemos nada, no nos pueden invadir con publicidad y afines (es un No tácito).

Opt Out -> si nada hacemos, recibiremos publicidad y nuestros datos serán compartidos a otras bases de datos (es un consentimiento tácito).

En una Semana (28 de enero) es el Día Internacional de la Protección de Datos Personales #PrivacyAware

El Data Privacy Day, el Día Internacional de la Protección de Datos Personales se acerca: 28 de enero de 2016 (todos los 28 de enero) y por ende, quiero compartir contigo algunas recomendaciones para mejorar nuestra privacidad y evitar problemas de acceso de terceros:

  1. Cuida especialmente el acceso de tus hijos a las redes sociales, Youtube, Whatsapp y a la red en general. Si son muy pequeños, no hay necesidad de que utilicen tanta tecnología. Si lo hacen, que no compartan datos personales o actividades a realizar,  con amigos y mucho menos con extraños. Trata la información de los menores como si fueran datos sensibles: mucho más protección y que nos otorguen el previo consentimiento “por escrito” para usar nuestros datos con terceros.
  2. Habilita el sistema de “doble” o múltiples pasos de comprobación al acceder a nuestras cuentas desde otros dispositivos, ya sea con preguntas personales o mediante confirmación con código por sms (Generalmente, Google lo hace por defecto con Gmail).
  3. Protege la información en tu oficina y trabajo, definiendo a un responsable en el tratamiento de datos personales, estableciendo un protocolo de seguridad (aunque sea mínimo) que garantice que la información de tus clientes o titulares no será filtrada, y si sucede, que no se pueda leer fácilmente. Utiliza un solo pendrive para backups (si es necesario) y que nunca sea utilizado con otros fines.
  4. En las relaciones personales e íntimas, no utilices un smartphone para grabar video o tomar fotos (si lo vas a hacer) porque en la mayoría de los casos, por “razones ajenas”, siempre terminan publicados y viralizados en Internet, provocando un daño al honor del titular de esas imágenes o grabaciones.
  5. Cuando manejes documentos con otras personas, dónde se tratarán datos personales, asegúrate de colocar una cláusula que explique que la información tratada es conforme a la ley local de privacidad, y que en caso de que algún titular quiera ejercer su derecho de protección de datos, que lo haga comunicándose con el responsable, quien tiene la obligación de realizarlo, sin costo para el titular.
  6. Cuando manejes datos personales, deja siempre la opción de sí o no claramente visible para que el titular otorgue o no su previo consentimiento en el tratamiento de esa información (Opt in). Y respeta su decisión.

 

La Global Privacy Enforcement Network #GPEN

La GPEN (Global Privacy Enforcement Network) es una organización internacional que nuclea a las principales instituciones reguladoras de la privacidad y protección de datos (Órganos de Control, Unidades Reguladoras) cuyo objetivo es facilitar y colaborar en la protección de la privacidad en el intercambio de información entre distintos países a través de las mencionadas instituciones.

Muchas son las Unidades Reguladoras que la integran así como también la APEC y el Grupo de trabajo del Artículo 29 de la Directiva Europea 46/95/CE, las cuales se han percatado de que es necesario fortalecer la protección de la privacidad en el aumento de flujo de intercambio de información entre los distintos países.

De acuerdo a su sitio Web, éstos son sus miembros:

Albania: Commissioner for Personal Data Protection (KMDP) of the Republic of Albania

Argentina: Dirección Nacional de Protección de Datos Personales (National Directorate for Personal Data Protection)

Australia: Office of the Australian Information Commissioner; Office of the Commissioner for Privacy and Data Protection (CPDP), Victoria; Office of the Information Commissioner, Queensland; Information and Privacy Commission, New South Wales; Northern Territory Information Commissioner

Belgium: Data Protection Commission

Bulgaria: Bulgarian Commission for Personal Data Protection

Canada: Office of the Privacy Commissioner of Canada; Information and Privacy Commissioner, Alberta; Information and Privacy Commissioner of British Columbia; Office of the Information and Privacy Commissioner for Nova Scotia ; Information and Privacy Commissioner, Ontario; Information and Privacy Commissioner, Saskatchewan

China (Special Administrative Regions): Office for Personal Data Protection, Macau; Privacy Commissioner for Personal Data, Hong Kong

Colombia: Superintendence of Industry and Commerce of Colombia

Czech Republic: Office for Personal Data Protection of the Czech Republic

European Union: European Data Protection Supervisor

Estonia: Estonian Data Protection Inspectorate

France: Commission Nationale de l’Informatique et des Libertés (CNIL)

Germany: Federal Data Protection Commission; Berlin Commissioner for Data Protection and Freedom of Information

Georgia: The Office of the Personal Data Protection Inspector of Georgia

Ghana: Data Protection Commission of Ghana

Gibraltar: Gibraltar Regulatory Authority

Guernsey: Data Protection Office

Hungary: National Authority for Data Protection and Freedom of Information (NAIH)

Ireland: Office of the Data Protection Commissioner

Isle of Man: Data Protection Commissioner

Israel: The Israeli Law, Information and Technology Authority

Italy: Garante Per La Protezione Dei Dati Personali

Jersey: Office of the Privacy Commissioner

Korea: Ministry of Public Administration and Security; Korea Internet Security Agency; Personal Information Protection Commission 

Kosovo: National Agency for Personal Data Protection

Lithuania: The State Data Protection Inspectorate 

Luxembourg: Commission nationale pour la protection des données (CNPD)

Macedonia: Personal Data Protection Directorate of the Republic of Macedonia

Malta: Office of the Information and Data Protection Commissioner

Mauritius: Data Protection Office of the Republic of Mauritius

Mexico: Federal Institute for Access to Information and Data Protection (IFAI)

Moldova: Moldova Data Protection Authority

Monaco: the Commission de Contre le des Informations Nominatives (personal data supervisory commission) of Monaco

Morocco: Commission Nationale de contrôle de la protection des Données à caractère Personnel

Netherlands: Dutch Data Protection Authority

New Zealand: Office of the Privacy Commissioner

Norway: Data Protection Authority

Poland: Office of the Inspector General for the Protection of Personal Data (GIODO)

Singapore: Personal Data Protection Commission

Slovenia: Information Commissioner

Spain: Agencia Española de Protección de Datos; Catalan Data Protection Authority

Switzerland: Federal Data Protection and Information Commissioner

Ukraine: Office of the Parliamentary Commissioner for Human Rights

United Kingdom: Information Commissioner’s Office (ICO)

United States: Federal Communications Commission (FCC), Federal Trade Commission (FTC) 

 

Las Multas Elevadas Desestiman las Violaciones a la Privacidad

Cada órgano de control posee su sistema de penalización aplicable a aquellos que no cumplan con el correcto tratamiento de los datos personales, o directamente, violen la privacidad de las personas. Así lo demuestran la AEPD de España por no cumplir con la LOPD, como también la URCDP de Uruguay a los efectos.

Sin embargo, existe un sistema de multas, que en lo personal considero más efectivo. Es el que se aplica en EEUU. En efecto, los distintos órganos de control (no especializados directamente en Privacidad, pero que sí le son de su competencia) de alcance federal, aplican multas que rondan los 2500 dólares por cada dato que ha sido vulnerado. Y no solo eso: también se les aplica otro tanto por violaciones a las leyes estatales. Y para terminar, se le permite a la víctima, entablar una acción civil por daños y perjuicios.

Estamos hablando de muchísimo dinero por cada vulneración comprobable. Entonces, si una compañía no cumple con su Política de Privacidad y no respeta la protección de datos personales en un estimado de 500 personas, imaginemos cuánto debe desembolsar.

Ejemplos de aplicación de estas multas: la Fair Credit Reporting Act; la propia FTC, así como normas COPPA y CAloPPA enre otras.

La Interacción entre las Personas y los Instrumentos Automatizados (Tratamiento de Datos Personales)

En la década de los años ochenta, las compañías migraron de la fabricación de robots industriales (se siguen fabricando hoy en día pero no es el único rubro) para producir instrumentos automatizados hogareños en masa. De hecho, el primer robot personal producido a gran escala se llamó RB5X y facilitaba algunas tareas hogareñas de sus propietarios. Y de acuerdo a sus fabricantes, el uso de robots de este estilo serviría para ampliar o mejorar las capacidades humanas.

Es importante destacar que tanto a nivel de fabricantes y ensambladores de robots personales como de usuarios dentro de la sociedad de la información, los mismos no eran otra cosa que una extensión de los ordenadores. De hecho, el reconocimiento de la robótica aplicada más allá de lo industrial o ensamblaje surge de los primeros años de la década de los ochenta, al mismo tiempo que se produjera el reconocimiento y masificación de las Personal Computers u ordenadores personales.

Aun así, en sus comienzos, las partes tanto de un instrumento autónomo como de un ordenador eran contadas (ambos llevan chips y microchips). Ello trajo como consecuencia un crecimiento exponencial de desarrollo de software, lo que nuevamente la sociedad de la información analizó con cuidado, en especial el hecho de que se dependiera tanto de unos pocos programadores que podrían manipular los robots a su antojo.

Aquí se debe prestar atención a las voluntades de sus creadores y desarrolladores, tal como surge del instrumento automatizado F.R.E.D. y de B.O.B. debido a que logran procesar la información y, de acuerdo a cada situación, reaccionarían  de manera diferente.

Actualmente, los instrumentos automatizados se han vuelto más listos y con mayor autonomía que los primeros modelos. Ello surge de la incorporación de inteligencia artificial (y también inteligencia asistida).  Muchos de ellos ya solucionan problemas y situaciones difíciles para las personas. El paso siguiente es el de dotar a los instrumentos automatizados de suficiente inteligencia artificial de manera que no solo tomen decisiones y realicen determinadas acciones, sino que estén conscientes de que lo han hecho. En otras palabras: dotarlos de un cerebro que los haga pensar y que iguale o supere a la mente humana.

Es indudable entonces la existencia de una precariedad del ordenamiento jurídico dentro de una sociedad de la información actual frente al avance de estas nuevas tecnologías que ponen en tela de juicio el principio de seguridad aplicado a la defensa de los derechos fundamentales, especialmente en lo relacionado con la autodeterminación informativa hasta la vida, como se verá infra, porque a entendimiento del Tribunal Constitucional y en coincidencia con la afirmación de Ana GARRIGA, estamos además ante un derecho con carácter instrumental cuyo segundo objeto es la garantía de otros derechos fundamentales como lo es la vida o la libertad sindical recogida en la Constitución Española, artículo 28.1 entre otros, con el claro ejemplo del llamado “caso RENFE“ con sentencia 11/1998 de 13 de enero.

¿Cómo lograr que un instrumento automatizado desarrolle sentimientos y logre expresarlos, así como analizar sus actividades a través del pensamiento? Pues no sería basándose en algoritmos y fórmulas matemáticas como se ha trabajado en tiempos remotos, sino a través de la copia meticulosa de cada movimiento y sentimiento de las personas, y de su mapa cerebral, de manera que combinados darán lugar a nuevas situaciones, decisiones y pensamientos que ya no fueron programados ni planificados.

En otras palabras, siendo el Derecho un sistema de signos, se hace evidente la conclusión  de que en verdad, ya es un poco tarde, porque el instrumento automatizado (gracias al desarrollo del propio hombre, cuándo no) ha tomado conciencia de que el Derecho es entonces un lenguaje, y como tal, posee un valiosísimo poder comunicacional que le permite eludir y en ocasiones evadir la norma a su favor o en beneficio de terceros, pero en detrimento de los titulares de los datos personales. Esa “ventaja” en el Derecho que el hombre, ingenuamente le otorga al nuevo “tercero”, le juega en contra, porque ahora, debido a las características del sistema jurídico, que también ha sido elaborado por y exclusivamente para los seres humanos, los instrumentos automatizados han quedado “fuera de regulación”, lo que les permite cometer ilegalidades de cualquier tipo, vulnerando intencionalmente (mala fe) o con dolo, el derecho fundamental de las personas sin que la ley pueda siquiera acercarse a una sanción o prevención de la acción que permita a sus titulares hacer uso pleno de sus derechos recogidos en la Constitución Española, artículo 18.4.

Cuando un instrumento automatizado no respeta la decisión de una persona de no difundir sus datos personales, o directamente de que su información no sea tratada ni recogida para conformar un fichero de datos, e igualmente decide usarlos a su antojo, está violando el derecho fundamental a la autodeterminación informativa y a las disposiciones recogidas en la LOPD, amén de la Directiva 95/46/CE. Sin embargo, el paradigma ante el cual el sistema ha caído, lo deja en jaque para poder continuar: resulta que la función pragmática de la estructura jurídica permite concluir que evidentemente sí, se ha violado una norma, pero evidentemente no, no se ha violado la misma, aunque consecuentemente sí, el daño se ha producido y en la conclusión: una sanción no podría haber (ni mucho menos prevenir la realización de un acto, que no es considerado ilícito, cuando debería serlo).  Si una persona no respeta la decisión de otra persona que es titular de sus datos personales y que no quiere comunicar sus datos, amparada en el artículo 18.4 CE, el daño se produce, se menoscaba el derecho fundamental, se actúa en la ilegalidad, y como consecuencia, se viene la sanción. Ahora, si un instrumento automatizado decide no respetar la decisión de un titular de los datos personales de no comunicar los mismos a terceros, el daño se produce, se menoscaba el derecho fundamental, no se actúa en la ilegalidad y por consiguiente, no se aplica la sanción. En resumen, se está ante un vacío legal muy grave que no permite al derecho avanzar en dirección correcta, ya que nada puede hacer para evitar el daño y tampoco para sancionar un hecho contrario a las libertades fundamentales. Pero además es injusto desde todos los ángulos: se supone que el Derecho debe garantizar la protección de las libertades fundamentales y esa es la esencia de su existencia entre las personas, pero si ello no es posible, entonces ¿Para qué existe el Derecho? Y también es injusta la evidente situación de desventaja de las personas frente a los instrumentos automatizados. Mientras que las primeras son sancionadas al cometer un acto ilícito, los segundos no lo son. Mientras las personas deben soportar que su libertad se viole, a los segundos no les importaría. La construcción hermenéutica debe pronunciarse nuevamente a favor de la persona, si es que se pretende ejercer un Derecho que de verdad, ampare a los hombres.

El Modo “Aprendizaje” de los Robots y los Datos Personales

El ser humano desde que nace hasta que muere padece el Síndrome de Hansel y Gretel cuya argumentación consiste en que en todo momento (incluso cuando una persona duerme o descansa) se dejan rastros (guijarros) que pueden ser recogidos por terceros con distintos fines, sin el consentimiento de su titular o con objetivos que no coinciden con los permisos otorgados con consentimiento expreso de su titular. Estos rastros son datos personales y como tales deben ser respetados en su máximo tenor por el ordenamiento jurídico.

Debemos agregar, que un instrumento automatizado que interactúa con una persona, se encuentra en modo de aprendizaje y recolección de todo tipo de información emanada de ésta. Y ello se demuestra con un tono de voz, un parpadeo, una conversación telefónica, gestos que revelan alegría o enojo y hasta información confidencial y comprometedora. Todo, absolutamente todo es recogido y procesado por el robot amigo que las personas poseen en sus moradas o que en un futuro cercano tendrán junto a ellas, o aquellos instrumentos automatizados con los que se interactúa diariamente, como puede serlo un ATM o un puesto de autoconsulta. Este modo cognitivo incluye a aquellos instrumentos automatizados que recogen información y pueden generar perfiles de las personas, como por ejemplo, los carritos de compras inteligentes que miden y escanean los productos incluidos en el mismo y que, mediante huella digital o reconocimiento facial de sus cámaras pueden identificar al cliente y así elaborar un perfil para saber en un futuro qué productos necesitará el mismo. Toda interacción con aquellos que tratan los datos personales y que no son alcanzados por las normas respectivas supone un peligro y un menoscabo a los derechos fundamentales.

Dos elementos esenciales han sido los implementados para llegar al grado de interacción entre las personas y los instrumentos automatizados con capacidad de toma de decisiones: uno de ellos tiene que ver con la elaboración de sistemas de autonomía capaces de aprender del usuario y de la propia experiencia robótica. El segundo elemento indispensable es el desarrollo de sistemas de percepción de todo el entorno y del usuario. De esta manera se logra avanzar en los niveles de razonamiento y en los de aprendizaje. Pues precisamente sobre la base de estos dos elementos se debió legislar con mayor detenimiento teniendo en cuenta la actualidad vivida, las exigencias de las personas y el entorno de la sociedad de la información, los cuales han sido adoptados por distintos grupos investigadores y desarrolladores de robots, especialmente en España. Pero se llegó tarde.

Sin embargo, aquello no termina con la obtención y tratamiento de los datos personales sin el consentimiento, sino que a este tratamiento operado en contra de la voluntad también puede sumársele el uso de la violencia para concretar los fines comentados. Es que in limine¸ al no hacer referencia la norma a elementos ajenos a la persona, deja en libertad para que los mismos se desempeñen dentro de la sociedad de la información con el uso de la violencia contra la voluntad o consentimiento así como mediante la manipulación y obtención del permiso expreso de su titular mediante dicho engaño.

Como lo je expresado, el instrumento automatizado necesita de los datos e información de quiénes lo rodean para crear un perfil, aprender de las personas, procesar los mismos para así poder arribar a conclusiones y deducciones propias basadas en los rituales de comportamientos de las personas. Para ello, el contacto, la recolección y manejo de la información que “emite” la persona es absorbida en su totalidad por éste. No caben dudas de que el usuario tiene conocimientos de que el robot debe aprender de sus movimientos, gestos y rutinas para conciliar la convivencia entre ambos; sin embargo, ello no significa que éste proceda a informar de todos los datos que recoge y cómo los trata, así como tampoco que le solicite el consentimiento previo de manera  constante para cada situación. A non domino los datos recogidos serán tratados por el robot sin que su titular sea consciente de ello, culminando incluso su control en el olvido de la persona y permitiendo involuntariamente con ello, que los instrumentos automatizados manejen la información sensible de manera arbitraria, sin un contralor basado en las leyes y a disposición de terceros o de decisiones ilícitas.

A lo analizado hasta el momento se le agrega una arista que no es contemplada en su situación  por el sistema jurídico, a pesar de que la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) sí lo regula en su artículo 7. En este caso, si una persona realiza comentarios sobre su afinidad de cualquier género y tipo delante de un instrumento automatizado, se podría interpretar como un consentimiento tácito; sin embargo, el instrumento automatizado recogerá esos datos y los tratará de manera arbitraria con total discordancia con el artículo 7 LOPD. Pero además, este consentimiento tácito no es suficiente para autorizar a un tercero a publicar o tratar los datos especialmente protegidos, algo que no se aplica claramente si quién los recoge y los trata no es una persona. Es aquí donde el ordenamiento jurídico menos puede hacer y justamente dónde el daño a producirse es mayor, a pesar de existir normativa que lo regula de manera correcta a la fecha.

Cuidado: #Uruguay Roza la Ilegalidad con Prácticas Desleales para Obtener Datos Personales

Tres situaciones distintas pero similares en el objetivo, se dieron en la última semana en el centro comercial #PuntaCarretasShopping en #Montevideo #Uruguay:

Hace poco fue mi cumpleaños, y gracias a un servicio de fidelización con tarjeta, llamado #Amigos, el shopping te obsequia descuentos, desayunos, entradas para el cine y otros, para ser utilizados dentro del predio por un tiempo limitado.

  1. Comencé eligiendo algunos, como por ejemplo, una copa de regalo en un restaurante llamado #Blas. Sin embargo no fue posible porque para ello te solicitan que consumas antes algunos de sus productos y luego te la obsequian, previo registro de los datos personales en sus ficheros. En la bonificación que te otorga el Centro Comercial, nada dice de que deba consumirse algo previo, para poder acceder a un trago. Aún así, los chicos del lugar confirmaron de que es cierto que no lo dice, pero…es así.
  2. A mi señora tambien le otorgaron un regalo para hacer uso de un lavado de cabello en la peluquería Belli Capelli #BelliCapelli . Sin embargo, luego de que se lo hizo, le cobraron un precio excesivo por el hecho de “secarle el lavado”, algo insólito, dónde se supone que una persona nunca saldría con el pelo mojado. Al quejarse de la situación, le contestaron “todavía que te regalamos algo”, y esto fue un craso y feo error por parte de la casa.
  3. También, decidí comprar un producto en una casa de indumentaria deportiva llamada #GlobalSports sobre un precio marcado en el calzado. Sin embargo, al querer pagarlo, me cobraron otro precio superior. Les indiqué que el mismo se encuentra a la vista del cliente, y sin embargo, no tuve suerte, porque alegaron que la casa no les permite modificar el precio que les sale en el ordenador (que es diferente al que muestran al público).

Lo peor de todo, es que, en todos los casos, se hacen de nuestros datos personales para luego enviarte publicidad o crear perfiles acorde con nuestras costumbres, sin cumplir con la Ley 18331 sobre Protección de Datos Personales y Acción de Habeas Data, en especial el artículo 8, Principio de Finalidad, ya que, los datos son otorgados y recogidos para un fin determinado, a cambio de brindar un servicio, pero como ese servicio no se cumple, entonces la obtención de esos datos se encuentra viciada de nulidad, y es pasible de sanciones y multas por parte de la #URCDP #AGESIC, involucrando también al propio Punta Carretas Shopping. También se incumple el Principio del Previo Consentimiento informado, para tratar nuestros datos, ya que, nosotros los otorgamos para un fin determinado, que en este caso, no se cumple porque no nos otorgan nuestro derecho previamente pactado.

Esto no es todo. Si estuviéramos en EEUU, las tres prácticas serían consideradas “Deceptive Trade Practices” y traen aparejadas multas severas por parte de la #FTC para quiénes las incumplen.

Hace escasos días, la Apple Store de San Diego, CA, fue multada severamente, y un cartel debió colocarse en sus escaparates, por aumentar los precios al consumidor, en referencia a los que ya tenía fijados en los productos a la vista.

En nuestro país, las tres prácticas son de lo peor y vil que pueden realizar las empresas para obtener unos pocos dólares, además de ser una política engañosa de prácticas desleales para obtener tus datos personales. Existe para ello, la posibilidad de denunciar a través de Defensa al Consumidor (#DefensaAlConsumidor ) en este mismo link, aunque yo también sugiero realizar las acciones correspondientes para solicitar la baja y destrucción inmediata de nuestros datos personales, obtenidos de manera desleal, aquí.

Muchas gracias

El Registro Nacional “Do Not Call” de EEUU. Por qué es un ejemplo a seguir #FTC #FCC #DoNotCallRegistry

En EEUU existe la “Telemarketing Sales Rule” que permite a los consumidores a que se inscriban de manera online y gratuita en el National Do Not Call Registry.

Con este registro nacional, los usuarios de telefonía y móvil se evitarán un número importante de llamadas de telemarketing no deseadas por parte de compañías y servicios.

¿Por qué es importante este modelo?

Porque, más allá de que sea el consumidor quién tenga que inscribirse para ello, el registro obliga a:

  • Las compañías de telemarketing, a revisar cada 31 días el registro y evitar llamar o comunicarse con los que aparecen en la lista.
  • Porque si una compañía desobedece, automáticamente se habilita un proceso al consumidor para iniciar acciones y quejas ante quién corresponda, además de ser pasible de una multa de USD 16000 por cada llamada.
  • Porque en definitiva, evita que se haga un uso indebido y no deseado de nuestra privacidad, ya que las compañías no van a poder utilizar una base de datos que se encuentra protegida.
  • Porque nos ahorra tiempo, dolores de cabeza y dinero.

Si le sumamos a esta regla, la Ley Telephone Consumer Protection Act, dónde una compañía, para poder ofrecer sus servicios pre grabados o automáticos a los usuarios, debe indefectiblemente contar con el previo consentimiento por escrito del consumidor, estamos ante una herramienta muy potente frente al abuso de las compañías.

un saludo

Diferencias entre Privacidad y Autodeterminación Informativa #DataPrivacy #ProteccionDeDatos #IAPP

Dentro del derecho fundamental a la Protección de Datos, podemos encontrar a su vez, dos libertades distintas pero complementarias entre sí.

Una de ellas cuyo origen proviene de los EEUU (Privacy, the right to be alone) y la otra cuyo nacimiento institucionalizado surge a raíz de una sentencia relacionada con el tratamiento de los datos del censo, en Alemania.

Mientras que una de ellas pretende un accionar negativo del Estado (se espera que la privacidad sea protegida y se evite que nuestros datos personales sean vulnerados por terceros, sin nuestro consentimiento), con la autodeterminación informativa, el accionar es positivo, ya que quién decide si comunica o no su información, es el propio titular de los datos personales.

Resumiendo: mientras con la privacidad, se busca que la misma no sea atacada por un agente externo, con la autodeterminación informativa se persigue alcanzar la decisión única por parte de su titular, de comunicar o no comunicar sus datos personales. Ambas se complementan, y una no podría existir sin la otra.

En todos los ámbitos nos encontraremos con ambos derechos: privacidad (e intimidad) o data privacy, así como autodeterminación informativa o self determination si es uno mismo quién decide qué, cómo y a quién comunicar una información.

El origen de la tutela de la intimidad asociada a la vida privada, proviene de ese país, especialmente con la tesis de Samuel Warren y Louis Brandeis (WARREN & BRANDEIS, 1890) buscando soluciones a problemas muy concretos relacionados con la toma de fotografías por parte de periodistas hacia su persona y la de su esposa. Es lo que posteriormente se conoció como “the right to be alone”.

La estructura actual del ordenamiento jurídico en relación a la autodeterminación informativa está marcada por la Sentencia del Tribunal Constitucional Federal sobre la Ley del Censo aprobada por el Bundestag el 04 de marzo de 1982, al poner en tela de juicio que la misma norma vulneraba la dignidad humana y el libre desarrollo de las personas, el derecho a la libertad de expresión y las garantías procesales.

un saludo

Modelo standard de protección de datos (traducción y adaptación del texto de Martin Rost que dió origen al Standard Datenschutz Modell recientemente adoptado por las Autoridades de Protección de Datos alemanas)

En este documento se presenta un modelo standard de protección de datos, fundamentado en seis objetivos básicos de protección, tres componentes procesuales y tres niveles de protección. Partiendo de estos componentes es posible elaborar un catálogo, que contiene 54 medidas genéricas de referencia que permiten controlar cualquier proceso que implique datos personales de forma completa y sistemática.

1. Introducción

La tarea fundamental de cualquier DPO (podría incluso decirse que de cualquier especialista en protección de datos) consiste en controlar procesos, ya sea a nivel de proyecto o en pleno funcionamiento, que implican el tratamiento de datos personales. En un control de procesos de este tipo es necesario valorar criterios basados en exigencias normativas y contractuales, declaraciones de consentimiento, normas internas de la organización controlada y diferentes niveles del sistema informático de esa organización. Un control del nivel de cumplimiento a nivel jurídico, de procesos organizacionales y a nivel técnico, supone una tarea exigente. Todavía más exigente es la tarea cuando debe asimilar los riesgos que se plantean cuando no se respetan los límites de competencias. Este problema se plantea en ocasiones sin que se hayan valorado los posibles problemas, y se toman decisiones de forma arbitraria y no fundamentada, muchas veces haciendo referencia a una presunta mejora de la eficiencia o a la competencia de quien toma las decisiones. El mero hecho de registrar la existencia del mencionado riesgo debería llevar a la organización de un trabajo interdisciplinario correctamente organizado, sin embargo no es así y suele encargarse a alguno de los expertos de forma en cierto modo arbitraria.

Un ejemplo práctico debería bastar para mostrar de forma clara el anteriormente mencionado riesgo. La norma es que la división de poderes constitucionalmente establecida, también podríamos hablar de la división de poderes informacionales, debería reflejarse también en el centro de computación de una administración pública en lo que afecta a la utilización conjunta de sistemas informáticos. La escala para el cumplimiento de la exigencia normativa “separación de procesos” puede ser una separación física de los datos (así como de sistemas informáticos y procesos de tratamiento, administración y seguridad) en edificios separados o en diferentes centros de computación en diferentes regiones o autonomías, o incluso la separación a través de sistemas virtuales con un hardware común o una separación de clientes por medio de diferentes derechos de acceso en una aplicación común. En la práctica también nos encontramos con que los administradores informáticos o los administrativos pura y simplemente aseguran que no entrarán en el sistema ni accederán a los datos, aunque en realidad podrían hacerlo. Debería ser posible aplicar los conocimientos disponible, tanto jurídicos, organizativos como técnicos, para solucionar un problema como el que plantea el encontrar un punto de trabajo adecuado para alcanzar la separación fijada normativamente de forma que todos los especialistas implicados pudieran tomar una decisión común en lo referente a la conformidad en materia de protección de datos del proceso o tratamiento en cuestión.

La única posibilidad para alcanzar la anteriormente mencionada decisión de forma que sea jurídica y técnicamente correcta, es que ninguno de los especialistas implicados se sitúe por encima de los demás, o, expuesto de otra forma, que no se conceda más importancia a una de las especialidades frente a las otras. Aunque el principio expresado es de una lógica aplastante, hay que reconocer que las dos especialidades dominantes en este campo de la protección de datos, el Derecho y la Técnica, desde su propio punto de vista se consideran como la especialidad dominante. El Derecho considera que que la Técnica debe seguirlo debido a que es una manifestación de la voluntad colectiva. La Técnica, por su parte, considera que el Derecho no debería fijar normas que, por establecerse sin valorar las cuestiones prácticas, pueden resultar anticuadas o disfuncionales. La ajenidad a la práctica socava la legitimación. La existencia de este desquilibrio no puede ser solucionada en una sociedad moderna de forma adecuada tomando partido por una de las posiciones. Ambos puntos de vista deben ser capaces de trabajar de forma conjunta en un control de protección de datos, de forma que en puntos concretos de un proceso que implique datos personales sean capaces de demostrar de forma transparente como se debe valorar una característica de ese proceso y de explicar como se debe suprimir un defecto de ese mismo proceso. El conseguir alcanzar esa situación es una de las funciones esenciales del modelo que presentamos en este documento.

Además de lo ya comentado, el modelo que presentamos mejora la integridad de los controles en materia de protección de datos, ya que los hace más fácilmente valorables tanto para las personas afectadas como para autoridades de protección de datos, sin olvidar a los tribunales o al legislador, lo cual permite que sean sometidos a los controles previstos por el Estado de Derecho. En lo sucesivo, un control de protección de datos o un Privacy Impact Assessment que sea efectuado sin seguir los principios aquí presentados, precisaría de un esfuerzo especial para justificar su ejecución.

2. Componentes del modelo standard de protección de datos

Las actividades en materia de seguridad de los datos y de protección de datos generan confianza en las actividades y comunicaciones entre organizaciones y personas. Ambas actividades, y sus respectivos puntos de vista, empujan a las organizaciones a ser capaces de demostrar que controlan sus procesos en materia de tratamiento de datos personales y que los llevan a cabo de forma justa1. Pero hay que recordar que la protección de datos y la seguridad de los datos, actúan desde perspectivas diferentes: para las seguridad de los datos el objetivo es garantizar la seguridad de la organización y su funcionamiento frente a posibles atacantes como antiguos trabajadores que la quieran perjudicar, personajes turbios, clientes faudulentos o hackers. Por su parte, la protección de datos actúa en la dirección contraria, considerando a las organizaciones como posibles atacantes contra la integridad de las personas. Las organizaciones suponen una amenaza latentes contra la promesa de soberanía efectuada por el estado de derecho,a los ciudadanos, clientes, mandantes, personas, sujetos e individuos en general. La protección de datos centra su tarea en conseguir que las organizaciones actúen de manera digna de confianza respecto a las personas afectadas. Para conseguir esa meta, las organizaciones deben ser capaces de demostrar de forma transparente que controlan todos sus procesos de tratamiento de datos personales y que estos cumplen la normativa vigente. Los receptores de esa demostración son las mismas organizaciones, las personas afectadas y las autoridades de protección de datos, que representan los intereses de la sociedad en su conjunto2.

La diferencia existente entre los enfoques y funciones de la seguridad de los datos y de la protección de datos, que hemos presentado de forma breve, se manifiesta en que los tres objetivos de protección típicos de la seguridad (disponibilidad, integridad y confidencialidad) deben ser tenidos en cuenta junto con los objetivos típicos de la protección de datos, la transparencia, la intervenabilidad y la no encadenabilidad de las actividades de la organización. Las organizaciones deben ser capaces de demostrar la seguridad de estos seis objetivos de protección mediante las medidas de seguridad adecuadas. Pese a estos intereses en ocasiones contrarios en lo que afecta a los intereses de la seguridad y protección de datos, se pueden utilizar mecanismos y métodos como los del BSI-Grundschutz3 para controles de protección de datos estandarizados4.

Los seis objetivos básicos de protección constituyen un catálogo de criterios, en el que se incluyen tanto las consideraciones jurídicas sobre un tratamiento de datos personales como la elección de las medidas técnicas y de organización a tomar para conseguir la protección adecuada. La estructura de los objetivos de protección facilita la relación entre técnica y derecho a los efectos de controlar un proceso o método. Un proceso está formado por tres componentes, datos, un sistema para el tratamiento de datos, que hoy en día está basado en un sistema informático, y procesos que suponen diferentes tratamientos. Cada uno de estos tres componentes pueden ordenarse en base a tres niveles de protección, normal, alto y muy alto.

Partiendo de los seis objetivos de protección, los tres componentes del método/proceso y los tres niveles de protección se puede elaborar un catálogo de 54 medidas tipo que suponen los deberes genéricos a cumplir por la organización, y que permiten una comparación con la situación real del modelo/proceso a controlar y las medidas de protección de datos adoptadas.

2.1 Schutzziele

El concepto de los objetivos de protección asegura que contiene la exigencias jurídicas ( mantenimiento del principio de calidad, del de necesidad, así como del respeto a los derechos de las personas afectadas y la posibilidad de control por medio de la transparencia) que un metodo o proceso que cumple la normativa de protección de datos debe respetar5. Los objetivos mencionados son al mismo tiempo parte de la exigencia normativa y un aspecto de toda regulación de procesos, así como una finalidad del sistema técnico. Por eso es posible, en base a objetivos comunes, que diferentes especialidades lleven a cabo un control con objetivos comunes, siempre que los implicados los asuman como comunes y no surja ningún conflicto6.

Los seis objetivos de protección aquí mencionados pueden encontrarse en los apartados dedicados las medidas técnico organizativas de seguridad de las leyes de los Länder (los seis “objetivos elementales” en la Ley de Protección de datos de Schleswig-Holstein-LDSG-SH- o al menos en parte en las leyes de Protección de Datos de los nuevos Länder, así como Berlin, Hamburgo y Renania del Norte/Westfalia) o pueden extraerse de la Ley Federal de Protección de Datos (BDSG), especialmente en el anexo al §9, o en el nuevo proyecto de Reglamento Europeo de Protección de Datos. Los objetivos de protección encajan en el concepto estratégico de “Privacy by Design”7. También permiten concretar y sistematizar los “Privacy-Principles” del Privacy Framework de ISO29100/ ISO29101, y en su formulación como objetivos de protección son útiles para un Privacy Impact Assessment8. Aparte de su inclusión en la normativa de protección de datos, los objetivos de protección dirigen las medidas técnico-organizativas de protección de esa normativa, entre las que cabe resaltar las Privacy-Enhancing-Technologies (PET).

Para cada objetivo de protección hay un catálogo de medidas de protección paradigmáticas, que aquí nos limitaremos a mencionar de forma breve: la disponibilidad de procesos se asegura mediante la redundancia de los mismos, la integridad mediante el control y la regulación de procesos así como mediante la comparación de Fingerprint de datos, la confidencialidad mediante conceptos de derechos de acceso y mediante encriptación. La protección de la transparencia de un proceso o método tiene como objetivo la controlabilidad, y se garantiza sobre todo mediante la documentación y el seguimiento de protocolos de los procesos de tratamiento en el sistema informático. La protección de la intervenabilidad de un proceso/método supone que la organización pueda demostrar que dispone de un procedimiento controlado y regulado de Changemanagement, de forma que su estructura sea conforme con la normativa vigente y permita en cualquier momento el completo cumplimiento de los derechos de las personas afectadas (acceso, rectificación y cancelación). Para el control de la no encadenabilidad la organización debe actuar por medio de separación de tratamientos de datos, establecimiento de límites dentro del sistema, así como en relación con los datos personales mediante el uso de pseudonimización y anonimización, o mediante el uso de las especialmente eficaces credenciales anónimas. Estas medidas pueden aplicarse de forma escalada, en función del nivel de protección necesario.

Desde el punto de vista metodológico es importante recordar que el sistema de los seis objetivos de protección básicos permite llevar a cabo el típico proceso de sopesar los pros y contras planteados por la normativa de protección de datos, debido a que los objetivos de protección fueron desarrollados en base a tres ejes dobles: disponibilidad-confidencialidad, integridad-intervenabilidad, transparencia-no encadenabilidad. En estos tres ejes no se puede intentar maximizar los objetivos de protección en los dos polos del eje sin caer en una contradicción. Pretender alcanzar una disponibilidad controlada y una no disponibilidad controlada al mismo tiempo plantea un conflicto, que al mismo tiempo permite ponderar sus efectos. Un dual califica a una relación que es al mismo tiempo complementaria de forma inevitable y contradictoria. Esta dualidad, especialmente aplicada a tres ejes, es una característica problemática, cuando se intenta tratar la protección de datos con el mismo nivel de formalidad con que se trata la seguridad de los datos. Pero al mismo tiempo se trata de una característica esencial para poder llevar a cabo una ponderación jurídica entre las diferentes exigencias justificadas que debe cumplir un sistema informático.

Los objetivos de protección constituyen no sólo el medio o canon para establecer las bases para la realización de la ponderación jurídica, así como para fijar la intensidad de las medidas técnicas de seguridad, sino que también permiten dirigir el sistema de gestión de datos de una organización y hacen que sea controlable. Este último aspecto permitiría, por ejemplo,controlar si una organización ha establecido procesos que permiten un Controlling adecuado y, en relación con el mismo, una dirección de tratamientos de datos que permiten alcanzar un grado de transparencia que garantiza la separación de grupos de datos, sistemas informáticos y procesos, así como un implementación controlable de los derechos de las personas afectadas. Por ejemplo, un sistema de gestión de protección de datos que requiera un nivel de protección muy alto debe implementar una interfaz de gestión de identidades para los afectados, así como una estructura de control standarizada para posibles auditorías y para posibles controles externos.

De los seis objetivos elementales de protección se pueden extraer objetivos adicionales, de forma que en base al modelo aquí presentado se pueden buscar objetivos específicos para procesos especiales o para partes de esos procesos que puedan requerir objetivos diseñados específicamente para ellos9.

2.2 Componentes del tratamiento: datos, sistemas, procesos

Para conseguir una organización adecuada de los procesos de tratamiento de datos personales que se ajuste a la normativa vigente en la materia es preciso que cada uno de los componentes expuestos a continuación sean observados de forma específica y que se establezcan las medidas de protección adecuadas para cada uno de ellos:

  • Datos, en sus diferentes formatos

  • Sistema informático y sus diferentes interfaces

  • Procesos y diferentes roles/direcciones

Los datos suponen la entrada de hechos reales en el modelo. Por medio de los roles, que son exigidos por los procesos organizativos, se incluye la responsabilidad jurídica en el modelo. El sistema informático ofrece el medio de proyección universal y de automatización específica.

Una vez establecido lo anterior podríamos exponer, por ejemplo, como podríamos alcanzar en una organización escogida como modelo de referencia el objetivo de protección de la transparencia. En relación con los datos,asegurar la transparencia puede suponer que los campos de un banco de datos sean elaborados de forma correcta (de acuerdo con la funcionalidad prevista y con la exigencias semánticas) y que eso se pueda demostrar desde el punto de vista técnico y jurídico, siendo posible documentar la estructura semántica de los datos10. Los sistemas informáticos son los componentes que deben ser sometidos a inventario y las interfaces incluidas en los mismos deben ser documentadas de forma correcta. En lo referente a los procesos, se deben tener en cuenta su inicio y final, así como los límites existentes entre ellos y el Changemanagement y la documentación referente a los diferentes roles con sus correspondientes derechos de acceso e interfaces organizativas. Para los procesos es especialmente importante el fijar de forma previa los valores exigibles, que tengan un fundamento legal, una configuración técnica clara y estén regulados a nivel organizativo. La situación del sistema debe estar protocolizada, de forma que la “foto” de la situación constituya la base para la controlabilidad y la intervenabilidad de los posibles vaivenes de los procesos en él incluidos. Sobre los tres componentes es posible protocolizar los flujos de datos en base a las actividades del sistema informático y a los roles establecidos. El fin perseguido con todos los protocolos y documentos mencionados es poder presentar los valores exigibles y los reales, de forma que se pueda llevar a cabo el proceso de control a implementar en el marco del modelo de gestión de protección de datos aquí planteado.

2.3 Necesidades de protección: normal, alto , muy alto.

La necesidad de protección de un tratamiento de datos personales y sus componentes puede fijarse en base a una escala de tres niveles, normal, alto y muy alto. El origen de esta escala está en el método de seguridad de los datos según el BSI-Grundschutz11. La definición de cada uno de los niveles no puede ser equivalente al del BSI-Grundschutz, debido a los diferentes modelos de posibles atacantes que tienen la seguridad de los datos y la protección de datos. Por eso es necesario definir la escala de niveles de protección de datos desde el punto de vista de la persona afectada:

  • El nivel de protección normal supone que los posibles daños son limitados y calculables y sus posibles efectos sobre la persona afectada serían fáciles de solucionar.

  • El nivel de protección alto cuando los posibles daños pueden ser significativos, por ejemplo cuando pueden suponer la interrupcioón de una servicio garantizado por una organización, como la corriente eléctrica o los servicios telefónicos, que suponen un condición material necesaria para el ejercicio de la autodeterminación informativa en una sociedad moderna, y cuya ausencia supondría una alteración significativa de la vida normal de la persona afectada y la haría depender de ayuda adicional.

Los efectos sobre una persona o una comunidad pueden valorarse en función de escenarios típicos, algunos ejemplos: infracciones de normas (leyes/contratos), perjuicios en lo referente al desarrollo de una vida normal, perjucios sobre la relación de confianza con una organización, problemas financieros u otro tipo de problemas que pueden afectar a la persona en su condición de ciudadano o de cliente, o incluso problemas que puedan afectar a la salud de esa persona.

En lo que afecta a los objetivos de protección de integridad y transparencia, el establecimiento de un nivel de protección normal supondría por ejemplo que los protocolos referentes a los datos utilizados en las aplicaciones y en el sistema operativo fueran controlados regularmente por medio de un procedimiento automatizado. Si por el contrario se estableciera un nivel de protección muy alto para esos dos objetivos, eso supondría que también deberían existir protocolos sobre las actividades de lectura de los empleados de una organización en un servidor específico , que no estaría incluido en los derechos de acceso del administrador del sistema informático de producción de un tratamiento específico. Esta sería una medida de referencia demostrable. Si, una vez establecido el nivel de protección como muy alto, se utilizara una medida diferente, especialmente para la transparencia, la instancia responsable debería demostrar que esa medida es equivalente en su funcionalidad.

El nivel de protección se fija en base a un análisis de riesgos, que debería basarse en los objetivos de protección típicos de la protección de datos. Una pregunta clave sería, por ejemplo, qué tipo de riesgo supone para la persona afectada un tratamiento sin transparencia y no controlable. El tratamiento en cuestión debe organizarse de acuerdo con el nivel de protección establecido y aplicándole las medidas de protección y los controles adecuados, y valorando un tratamiento adecuado para un posible riesgo residual.

De la normativa vigente en materia de protección de datos puede deducirse fácilmente que los datos referentes a las creencias religiosas o los datos de salud deben recibir como mínimo un nivel de protección alto, lo cual hace innecesaria cualquier discusión sobre las medidas de protección aplicables al sistema informático de una clínica. Sería deseable que en el futuro la normativa fijara los niveles de protección adecuados para cada tipo de tratamiento de datos.

3. Trabajar con el modelo

Qué utilidad tiene el SDM en el trabajo diario de un especialista en protección de datos?

Los objetivos de protección sirven para la conciliación entre normas jurídicas para tratamientos de datos personales por una parte y las medidas técnicas, organizativas y de protección por la otra. El modelo standard de protección de datos permite unir estas dos partes en un único modelo sin que una de las dos perspectivas se imponga sobre la otra. Ambas partes son relacionadas de forma controlable en este modelo y toman decisiones sobre posibles medidas y sus consecuencias de forma conjunta.

Los dictámenes o informes en materia jurídica se ocupan de las características en esa materia que pueden afectar a un tratamiento y a todos los implicados en él. Se deben fijar las regulaciones aplicables, tanto en materia legal como contractual, los posibles códigos de conducta acuerdos internos de las organizaciones implicadas o los contratos de encargo de tratamiento. También se deben registrar la estructura de la organización con los roles fijados y las responsabilidades que implican, así como los aspectos esenciales del tratamiento, especificando los datos o campos de datos que deben recogerse para el funcionamiento de las aplicaciones utilizadas. También debe tenerse en cuenta la valoración de la finalidad del tratamiento y de la necesidad de su utilización, así como consideraciones sobre las posibilidades de aplicar una minimización de los datos utilizados y la posibilidad de llevar a cabo un borrado de los mismos lo antes posible, sin olvidar controlar si es imprescindible que la persona afectada se identifique plenamente. Todas esas consideraciones deben ser valoradas profesionalmente, sin que sea imperativo hacerlo únicamente desde un punto de vista técnico o jurídico. Una vez aclaradas las consideraciones legales, pueden efectuarse las ponderaciones normativas las decisiones necesarias en el marco de los objetivos de protección, siempre que esas ponderaciones no hayan sido ya efectuadas previamente en ese marco y las decisiones puedan ser tomadas directamente12. Con esta presentación de los objetivos de protección se puede modelar el tratamiento, de forma que se pueda comprender mejor su funcionamiento y se puedan extraer las medidas de protección aplicables.

El dictamen o informe técnico y organizativo se ocupa de las características de los tres componentes del tratamiento. Estas características se recopilan y posteriormente se unen a paquetes de medidas, que garantizan la seguridad y la protección de datos. Al mismo tiempo se verifica la intensidad de la protección que aportan las mencionadas medidas.

El registro de la situación del funcionamiento de un tratamiento, así como de las medidas de protección aplicadas permite establecer la relación con las medidas previstas en función del modelo basado en los objetivos de protección. Este procedimiento permite establecer un balance entre el debe y el haber, que hará posible fundamentar de forma transparente si el tratamiento en cuestión se lleva a cabo correctamente en lo que afecta a la protección de datos y si se aplican las medidas de protección adecuadas. Además, en base al modelo de medidas previstas puede proponerse medidas adecuadas para solventar las carencias que puedan aparecer. (Figura 1).

Para registrar de forma adecuada las características de un tratamiento, tanto técnicas como jurídicas, es preciso actuar de forma transparente, cosa que a menudo no sucede en las prácticas habituales de control. Si no es posible comprobar las bases jurídicas, las distribución de responsabilidades y las caracterísiticas técnicas de un tratamiento, ese mero hecho ya hace que haya que considerarlo como falto de transparencia y por tanto no puede ser conforme con los criterios de la protección de datos.

4. Modelo de riesgos

Para finalizar proporcionaremos una lista de cinco riesgos en materia de protección de datos que se pueden deducir de este modelo y que por ejemplo serían aplicables a un PIA llevado a cabo de forma consistente13.

El riesgo originado por el tratamiento, aquí se hace referencia al posible riesgo para la persona afectada que la existencia de ese tratamiento supone. Desde el punto de vista de la protección de datos, la existencia de una base legal y de un sistema informático con las medidas de seguridad adecuadas no permiten afirmar que el tratamiento es conforme a los criterios de la protección de datos.

El modelado de riesgos describe un concepto insuficientemente fundamentado de control de protección de datos o de PIA cuando se declara que se ha llevado a cabo una actividad de ese tipo pese a que a) sólo se tiene en cuenta una parte de los objetivos de protección, normalmente la seguridad de los datos basada en la asimilación directa de las definiciones del BSI, o b) no se han comprobado todos los componentes del tratamiento, o c) se establecen niveles de protección demasiado bajos.

El riesgo de las medidas de protección hace referencia a los problemas para los que no se aplican medidas de protección o a los que se aplican medidas de protección inadecuadas.

El riesgo de competencia describe la situación que se origina cuando no se dispone de suficiente personal, o cuando ese personal no dispone de la capacidad y motivación necesarias para que el control que efectúan se lleve a cabo de forma sistemática e íntegra.

Para finalizar hay que mencionar el riesgo legal y de control, que radica en que los ciudadanos, clientes, pacientes y empleados piensan que la mera existencia de una legislación en materia de protección de datos y la posible existencia de un DPO en la organización, es suficiente para que se garantice la protección de datos y se lleven a cabo los controles adecuados, especialmente en lo que afecta a organizaciones especialmente comprometidas, como servicios secretos, seguridad social y redes sociales. Los afectados también suelen creer que la legislación de protección de datos, en la que se basan los controles en la materia, es suficiente para garantizar una protección de datos efectiva en la práctica.

Los especialistas en protección de datos son responsables de hacer evidentes estos riesgos y de tratarlos no sólo desde el punto de vista jurídico, sino también político, conceptual e investigador y de hacer lo necesario para reducir el riesgo existente.

5. Conclusiones

Los objetivos de protección forman un canon de criterios para la ponderación de exigencias jurídicas a los tratamientos de datos de carácter personal, permitiendo que esa ponderación pueda efectuarse de forma operativa. En la combinación de objetivos de protección, establecimiento de niveles de protección para datos, sistemas informáticos y procesos, es posible calcular el nivel de riesgo y la intensidad de las medidas aplicables en un modelo completo. El modelo básico fundamentado en esos componentes ofrece un marco de control de referencia que ofrece teóricamente 54 medidas standard de protección.

La utilización de un modelo genérico de este tipo en si misma no genera una coherencia aplicable a cualquier valoración en materia de protección de datos. Pero sí que ayuda a fijar las discrepancias en la determinación de las posibles carencias, y en su caso a presentarlas ante un tribunal para que tome una decisión o para ayudar a originar un cambio en los fundamentos legales en la materia.

1 La controlabilidad es exigida de forma explícita en el § 7 Abs. 3 Niedersächsisches Datenschutzgesetz (Ley de Protección de Datos del Land Niedersachsen).

2 Por ese motivo, la solución adoptada para el nuevo documento de identidad alemán, que supone la utilización de un certificado de habilitación que supone la autenticación mutua entre organización y sujeto después de que la Administración Federal haya controlado la finalidad del tratamiento de datos personales, presenta una solución óptima en lo que afecta a la protección de datos.

4 Las medidas a tomar para un sistema informático o para un proceso en concreto pueden ser controladas de forma transparente, ya que pueden implementarse en el sistema de gestión de seguridad informática según ISO27001, en el sistema de gestión de riesgos según ISO27005, o en el sistema ITIL o COBIT, siendo calculables también desde el punto de vista empresarial.

5 Rost, Martin; Pfitzmann, Andreas, 2009: Datenschutz-Schutzziele – revisi-

ted; in: DuD – Datenschutz und Datensicherheit, 33. Jahrgang, Heft 6: 353-358.

Inzwischen wurde die Nützlichkeit dieses Ansatzes mit mehreren Studien belegt

(bis auf (5) sind die Studien aktuell per Internet zugänglich): (1) ULD, 2011: Juristi-

sche Fragen im Bereich altersgerechter Assistenzsysteme, Vorstudie im Auftrag

des VDI/VDE-IT im Rahmen des BMBF-Förderungsschwerpunkte „Altersgerechte

Assistenzsysteme für ein gesundes und unabhängiges Leben – AAL“; (2) VDE,

2012: Die deutsche Normungs-Roadmap AAL, N.N., 2012: (3) Usecases „Smart-Me-

tering“, Papier der Datenschutzbeauftragten (im Erscheinen); (4) Geisberger, Eva

/ Broy, Manfred (Hrsg.), 2012: > agendaCPS, Integrierte Forschungsagenda Cyber-

Physical Systems, acatech Studie, Deutsche Akademie der Technikwissenschaf-

ten; (5) Zwingelberg, Harald / Hansen, Marit, 2012: „Privacy Protection Goals and

Their Implications for eID Systems“, in Jan Camenisch, Bruno Crispo, Simone

Fischer- Hübner Ronald Leenes, Giovanni Russello (Eds). “Privacy and Identity

Management for Life – 7th IFIP WG 9.2, 9.6/11.7, 11.4, 11.6 International Summer

School Trento, Italy, September 2011 Revised Selected Papers“, Springer Boston,

to appear 2012.

6 No existe ninguna instancia que permita confirmar la identidad entre lo dicho por el emisor y lo comprendido por el receptor. La posible instancia que debería proporcionar la confirmación es también una instancia, que sufre el mismo problema. La función de los objetivos reside en la focalización. Los principios también pueden ser utilizados por diferentes especialidades o puntos de vista para obtener una coordinación, sin que en caso de conflicto tenga consecuencia alguna para los actores implicados, salvo que se puedan acusar de irracionalidad. En ese sentido, los principios, que tienen su papel en los intentos de alcanzar un mayor grado de coherencia en el ámbito de la protección de datos, son en realidad un indicador de falta de madurez conceptual.

7 Al mismo tiempo permiten superar algunas debilidades, por ejemplo concretando que significa realmente el concepto „Privacy by Default“, cfr Rost, Martin/ Bock, Kirsten, 2011 Privacy by Design und di Neuen Schutzziele-Grundsätze, Ziele und Anforderungen; in DuD- Datencschutz und Datensicherheit; 35. Jahrgang, Heft 1: 30-34.

8 Es importante que en la realización de un PIA se tenga en cuenta la perspectiva de riesgo de la persona afectada y se trate separadamente de la perspectiva de riesgo de la organización. De forma especialmente clara desde la perspectiva de la protección de datos se muestra una preferencia erronea por la perspectiva de la organización en ICO 2009: Privacy Impact Assessment Handbook, versión 2.0: http://www.ico.gov.uk/upload/documents/pia_handbook_html_v2/html/1-Chap2-2.html, así como en “Privacy Impact Assessment Guidelines” elaborado en 2011 por el BSI en colaboración con WU-Wien/Spiekermann. En ambos casos se muestra en realidad un Security-Impact-Assessment.

9 El modelo completo de los objetivos de protección incluye ocho objetivos adicionales que se extraen de los seis elementales:responsabilidad, anonimato, contingencia, imputabilidad, localizabilidad, comprobabilidad, ocultabilidad, no observabilidad.

10 En la Administración Pública en Alemania este proceso está mejorando de forma manifiesta, mediante procesos de garantía de calidad en el marco del IT-Plannungsrat de los standares XÖV implementados por el KOSIT.

12 La tesis aquí presentada es que la aplicación de las normas en objetivos de protección no sólo no supone ningún riesgo o pérdida, sino que las normas consiguen mediante esa aplicación ganar en claridad y en capacidad de diferenciación.

13 La definición tradicional de riesgo lo considera como el producto de su frecuencia o probabilidad y sus consecuencias o posibles perjuicios. Aquí hablaremos del riesgo de forma abstracta, basándonos en unos criterios estableceremos diferencias y obtendremos informaciones que nos permitiran en base a unos peligros indefinidos establecer unos riesgos determinados. Los objetivos de protección generan una certeza, que permiten calcular los posibles efectos negativos para las personas afectadas de los acontecimientos en una organización.

Los Semáforos y Nuestra Privacidad. Uso de Nuestro WiFi y Bluetooth Para Identificarnos

Hace poco, se publicó una noticia sobre la adopción de semáforos inteligentes que multarán a los coches que crucen en rojo o a altas velocidades. Hasta ahí, todo transcurre dentro de la normalidad.

Pero ¿cómo harán para calcular la velocidad? Muy sencillo: estos semáforos contarán con rastreadores de Wifi y Bluetooth que detectan nuestros móviles o tablets y a continuación calculan el tiempo de transcurrido entre un semáforo y otro, para aplicar la multa.

En otras palabras: a partir de ahora, un gobierno puede rastrear nuestros movimientos y establecer una hoja de ruta y perfil de nuestras rutinas de traslado, para fiscalizarnos, gracias a que, sin nuestro consentimiento, se conectan de manera intrusiva con nuestros dispositivos, mediante Wifi y/o Bluetooth.

¿Y qué sucede entonces si estos “detectores” instalados en los semáforos, además de identificar un mismo dispositivo, también ingresan y extraen nuestros datos personales y sensibles, a través de sus conectores inalámbricos, sin nuestro consentimiento (o nuestro conocimiento)?

Ésto ya sucedió hace muchos años con Google Street View, y fue solo el comienzo.

Demasiados datos y demasiada información disponible en manos del Estado y de manera no muy clara.

@MunicipalesUy #IMM #Montevideo #IAPP #DataPrivacyDay #ProteccionDeDatos

Las Tres Leyes de la Robótica y los Tiempos de Smartphones Actuales

Primera Ley: Un robot no puede hacer daño a un ser humano o, por inacción, permitir que un ser humano sufra daño.

Segunda Ley: Un robot debe obedecer las órdenes dadas por los seres humanos, excepto si estas órdenes entrasen en conflicto con la Primera Ley.

Tercera Ley: Un robot debe proteger su propia existencia en la medida en que esta protección no entre en conflicto con la Primera o la Segunda Ley.

Estas tres leyes de la robótica, elaboradas por Isaac Asimov y que vieran la luz por primera vez en un el relato Runaround (1942), servirían como preámbulo de lo que la sociedad espera de una relación fructífera entre las personas y los instrumentos automatizados, las aplicaciones inteligentes y los robots, y serían precargadas en la memoria de los mismos (especialmente los robots) a los efectos de que fueran acatadas sin opción a su desobediencia. Existe además la Zero Law, la cual hace referencia al derecho colectivo y a la humanidad en sí como objeto de protección.

Lo cierto es que al realizar un paralelismo de la primera ley con el artículo 18.4 de la Constitución Española, podemos apreciar que el objeto de ambas es el mismo: evitar el daño causado por un tercero, solo que en este caso no es un ser humano. La referencia es correcta, y más aún al considerar la violación a los datos personales por lo que es: un daño producido con nefastas consecuencias.

Las tres “Leyes de la Robótica”, denominadas así por su creador ASIMOV demuestran a las claras el potencial que ya ejercían estos instrumentos automatizados y los llamados robots, así como aquellas máquinas que (sin ser robots) se basan en el uso de la inteligencia artificial o inteligencia asistida (en un menor grado de autonomía) al ejecutar sus acciones en contacto con personas, titulares de derechos y obligaciones. También se quiso demostrar con ello, la realidad que ya se vivía en esa época, la evolución hasta estos días y lo que le depara a la sociedad de la información para el futuro muy cercano acerca de convivir con estos seres automatizados, que se parecen más a un humano (por su forma de proceder, de concluir y por las tareas que realizan) que a un electrodoméstico. De hecho, ese es el comienzo de todo: estos seres demostrarán que la legislación actual no fue pensada para ellos y por tanto se produce una verdadera situación dónde las personas padecen una vulneración de los Derechos Fundamentales, especialmente en la protección de la intimidad (CE artículo 18.1) y en la autodeterminación informativa (18.4). Una vez que el vínculo entre la compañía que ensambla, o la que vende y entrega el “producto” se diluye, el respeto por las libertades fundamentales debe ser enseñado desde el propietario a su instrumento electrónico, o de lo contrario no existirán excusas ni impedimentos legales suficientes para los nuevos integrantes de la sociedad de la información y el conocimiento, los cuales mediante su propio razonamiento pueden recolectar todo tipo de información sensible y datos considerados personales sin el consentimiento de sus titulares y realizar con ellos, cualquier actividad que de por sí ya es considerada ilícita sin que las leyes les alcancen y por ende, sin poder tomar acciones que impidan la violación de las libertades fundamentales por un robot. ¿Cómo detenerlos? Quizá la más ocurrente opción sería negarse a utilizar esta tecnología e intentar detener en el tiempo el avance de la robótica, las TIC y la informática asociada a la sociedad de la información. Sin embargo ello no será posible, ya que el sistema termina por “atrapar” al usuario y lo obliga a depender de las nuevas TIC, o de lo contrario podría terminar aislado como un indigente digital.

Tomando a la persona desde una perspectiva netamente humanista, surge que la congruencia de la inteligencia artificial con los instrumentos automatizados no es beneficiosa para su propia intimidad y otras libertades fundamentales recogidas en la Constitución.

El problema que se plantea deviene de un origen variado que desemboca en el avanzado estado de la robótica hoy en día:

  1. Por un lado, el instrumento se vuelve interactivo, con capacidades avanzadas de inteligencia artificial y poderes de decisión que pueden afectar los derechos de las titulares que le rodean.
  2. Además, se corta el lazo de responsabilidad que une al instrumento automatizado con su empresa ensambladora, lo que deja toda la responsabilidad y cuidado en manos de sus propietarios, amén de la garantía limitada de dos años o más que las propias empresas ofrecen por tratarse de desperfectos naturales (no ocasionados por la mano del hombre).
  3. El avance de las tecnologías de la información y comunicación es real e irreversible. Esto quiere decir que, cada vez más las personas dependen exclusivamente de lo que puedan brindar la informática, la telemática y la robótica en materia de servicios.
  4. Las decisiones que puedan tomar los instrumentos automatizados en relación a la información personal recogida no está debidamente regulada. Esa información puede ir a parar a manos inescrupulosas ya sean de personas u otros instrumentos automatizados capaces de manipular y lucrar con dicha información de carácter personal y sensible.
  5. La falta de control sobre la información recopilada por los instrumentos automatizados que conviven con total aceptación cotidiana por parte del hombre es real. ¿Dónde se encuentra el límite? Si los instrumentos automatizados son inteligentes, entonces ¿pueden diferenciar entre los datos comunes y aquellos de carácter personal que no fueron otorgados con el consentimiento? ¿Qué sucede hoy en día con esos datos? ¿Se respeta la decisión de las personas de no dar a conocer datos de carácter personal (artículo 18.4 CE)?
  6. La legislación actual no se adapta a la sociedad de la información del siglo XXI.

Concluyendo: Solamente se puede garantizar el respeto por los derechos fundamentales si se aplican las normas actuales de manera extensiva a los instrumentos automatizados. Para ello es fundamental el aporte de la autorregulación. Y por tanto, la sociedad de la información deberá visualizar a los instrumentos automatizados como si de sujetos de derecho se tratara, a los efectos jurídicos de poder aplicar la regulación vigente en términos de derechos y obligaciones.

¿Qué Pasaría Si Utilizan tus Datos Personales para Cometer un Fraude…o un Acto de Terrorismo?

Supongamos que estás por viajar. Ya has pasado por seguridad del aeropuerto, así que mientras esperas para abordar, te conectas a la red Wifi del recinto, o decides cargar tu móvil en una estación de carga, y luego subes al avión y te conectas al router del mismo durante el vuelo.

Durante ese tiempo, un script malicioso, un software contaminado o la acción de un cracker se introduce en tu smartphone o tablet, y luego, en el avión, desde el mismo router, casi 300 personas también se contaminan.

Acto siguiente: cuando descienden en el próximo aeropuerto, cuando se conecten a la red de datos, pueden pasar tres cosas:

  1. Pueden, con tus datos personales y tus tarjetas de crédito y cuentas bancarias, producirte un daño monetario importante, al cargar compras que nunca hiciste. Esto es algo que puede tener su punto de retorno, ya que generalmente, los bancos y tarjetas, conocen el perfil del titular y se hacen cargo del fraude.
  2. Pueden utilizar tus datos personales para chantajearte, o para publicar información que te compromete. El daño es aquí mayor, y su recuperación mucho más difícil.
  3. O pueden utilizar tu smartphone para hacer anular la red Wifi del avión, para tomar el control de su sistema de navegación, y para hacerlo estrellar contra un objetivo como una reivindicación terrorista. Al final, si éste es el caso, seguramente, tus datos personales afloren en la investigación y toda tu familia y seres que te rodean pasarán a ser sospechosos de apoyar o trabajar con un terrorista.

Imagina la última de las situaciones y tu reputación (quizá estés vivo porque fue otro avión que hicieron caer, pero con tus datos personales) totalmente arruinada, y quizá tú en una prisión por el resto de tus días, además de que toda tu información personal ha ido a parar a toda la red.

¿Cómo actuar en ese caso? ¿Existe manera de revertir todo esto? ¿Se puede prevenir? Quizá ésta última de las actitudes sea la que te salve, pero para ello hay que ser cuidadosos y tomar medidas acordes con las normas sobre protección de datos y seguridad informática.

Un saludo

Cuando el Estado Malgasta Nuestra Información Personal (y Nuestros Recursos)

Cualquier gobierno en la actualidad posee una vasta (y peligrosa) recopilación de datos personales de cada uno de nosotros. Algunos por razones de seguridad y otros por prevención o administración. Lo cierto es que todos nuestros datos, desde el nacimiento hasta la defunción, pasando por los antecedentes judiciales, todo se encuentra electrónicamente accesible (aunque sea sólo entre funcionarios) desde cualquier oficina estatal.

Justamente, uno de los puntos que tratamos hoy tiene que ver con la solicitud de partidas o certificados de Estado Civil, por parte del gobierno, para realizar cualquier trámite. Y es aquí dónde el Estado malgasta nuestro tiempo, nuestra información personal, los recursos administrativos, y por supuesto, nuestros recursos monetarios, porque cualquier trámite hay que pagarlo.

Veamos el ejemplo de solicitar el pasaporte de un menor de edad en Uruguay:

Para ello, es necesario, de acuerdo a lo que expresa el Ministerio del Interior en el portal de trámites en línea, presentar la Partida de Nacimiento (certificado) del menor a la hora de comenzar los trámites y posteriormente.

¿Qué sucede con ello y qué no está bien?

  • Primero, para poder realizar un trámite (aunque éste lo haga en un portal de Gobierno Electrónico), debo previamente realizar otro trámite estatal.
  • Segundo, debo retirar un documento del Estado, para llevarlo…al Estado (nuevamente). Esta tarea debería ser interna, digital, electrónica o entre oficinas estatales ¿Para qué yo sacaría del custodio del Gobierno, algo, para luego llevárselo nuevamente? No tiene sentido.
  • Tercero, forzosamente se nos hace custodios a nosotros, de un documento oficial.
  • Cuarto, el costo. Todo ello tiene un costo que en este caso conlleva a un doble tributo por parte del ciudadano: debe pagar por la partida y debe volver a pagar por el trámite de solicitud del pasaporte. Si el ánimo es el recaudador, no hace falta realizar todo lo anterior. Perfectamente se puede cargar el costo fijo de una partida electrónica a la cuenta telefónica, bancaria o tarjeta de crédito/débito.
  • Quinto, afecta al medio ambiente. Imprimir papeles que ya están digitalizados y en poder del Estado, es un gasto innecesario y además significa un derroche importante de papel y tala de árboles. No es el momento para ello.
  • Sexto, todos los procesos y personas o personal involucrados en un simple trámite: 1) solicitamos la partida por Internet; 2) debemos pagar la solicitud en un servicio de cobro; 3) el correo estatal nos lleva la partida a nuestra casa; 4) nosotros debemos llevar la partida para solicitar hora para el pasaporte; 5) debemos concurrir nuevamente con la partida el día y hora fijados a los efectos.

Si la idea de simplificar trámites, rapidez y costos significa un proceso doble, híbrido y que además involucre tener que retirar un documento del Gobierno, para devolverlo, entonces no es éste el camino. Podemos tomar como ejemplo, la solicitud de trámites en España, dónde todo pasa por lo digital, acompañado de la firma electrónica como certificación, y que solamente se emiten certificados, a pedido expreso del titular y solo para uso personal privado, porque los trámites internos del Estado, son eso: trámites internos. Para ello se usa y abusa de nuestros datos personales y de nuestra privacidad.

Pasos Necesarios Para que el Responsable de Tratamiento de una Base de Datos Personales Cumpla con la Ley

Estos son los pasos necesarios que un responsable de una base de datos personales (de una empresa o institución) adopte en concordancia con las leyes vigentes y con el objeto de evitar sanciones:

  1. Informar a los titulares cuándo se les solicitan sus datos.
  2. Explicar para qué se les solicitan los datos.
  3. Obtener el consentimiento previo de los titulares de los datos personales para poder tratarlos (OPT-IN).
  4. Inscribir la base de datos en la agencia u órgano de control para que la misma sea legal.
  5. Adoptar las medidas de seguridad que protejan los datos de tratamiento externo o de fuga de información.
  6. Informar al titular de los datos personales recogidos, de su derecho a ejercer la supresión o cancelación de los mismos (OPT-OUT).
  7. En caso de que un titular invoque un derecho, se debe ejecutar en el plazo establecido en cada ley.

La doctrina de los objetivos de protección: Seguridad Informática y Protección de Datos

Los objetivos de protección han jugado un papel básico en la organización de sistemas técnicos cuya seguridad debe ser garantizada desde finales de los años 80. Los objetivos de protección clásicos de la seguridad de los datos son:

Disponibilidad, este objetivo refleja la exigencia de que los datos personales estén disponibles para ser utilizados de forma adecuada en el proceso para ellos previsto. Para ello deben ser accesibles para las personas previstas y se les deben poder aplicar los métodos previstos para su tratamiento, eso incluye, entre otras cosas, que los metodos sean aplicable al formato en el que los datos están disponibles. La disponibilidad incluye que los datos sean localizables, que los sistemas implicados los puedan presentar de forma adecuada y que esa presentación sea semánticamente comprensible.

Integridad, en este caso el objetivo de protección resalta como exigencia que los procesos y sistemas informáticos sean capaces de mantener las características que son esenciales para la realización de las funciones imprescindibles para alcanzar la finalidad establecida y, al mismo tiempo, que los datos tratados permanezcan indemnes, completos y actuales. Posibles efectos secundarios deben ser evitados o tenidos en cuenta y tratados. Este objetivo de protección exige que entre las exigencias y la realidad haya una garantía suficiente, tanto en los detalles técnicos como en lo que afecta al tratamiento en general y su ajuste a las finalidades establecidas.

Confidencialidad, este objetivo de protección recoge como exigencia que nadie pueda acceder a los datos personales sin autorización. En ocasiones el acceso a los datos permite que el sujeto afectado sea identificado porque el contexto en el que los datos son almacenados permite sacar conclusiones sobre ese sujeto. Cuando nos referimos a personas no autorizadas, eso no significa que se trate necesariamente de terceros ajenos a la organización, que pueden actuar con intenciones criminales o de otro tipo, sino que puede tratarse también de empleados de servicios técnicos que para prestar esos servicios no precisan de acceso a los datos personales, o de personas activas en departamentos de la organización que no tienen ninguna relación con un determinado proceso o con el sujeto afectado.

Estos tres objetivos de protección han sido aceptados por los responsables por iniciativa propia, ya que los consideraban como necesarios para su propia protección sin que existiera una normativa legal que les obligara a aplicarlos. En un principio fueron formulados para su aplicación en el ámbito de la seguridad informática y describe exigencias para un operativo seguro, especialmente en lo que afecta a procesos en el marco de organizaciones y en relación con su negocio o administración. Esas organizaciones tienen que que proteger sus procesos, independientemente de que los posibles atacantes sean personas ajenas a ellas miembros de las mismas.

En función de la normativa aplicable, el nivel de exigencia en lo que afecta a estos objetivos de protección es variable. Por ejemplo, en el ámbito privado el objetivo de la disponibilidad se cumple siempre que los datos no sean destruidos ni se pierdan.

Aparte de los ya mencionados objetivos de protección originados en el campo de la seguridad informática, se han desarrollado otros objetivos cuyo interés se centra en la Protección de Datos basados en normativa existente en la materia y a partir de los cuales se pueden derivar medidas técnicas y organizativas. Desde el punto de vista de la normativa de Protección de Datos, las organizaciones deben proteger sus procesos de posibles ataques, siempre que esos procesos afecten a datos de carácter personal. Los objetivos de protección de la Protección de Datos precisan, en comparación con los objetivos de protección de la seguridad informática, de un grado de comprensión más amplio, ya que la Protección de Datos tiene en cuenta una perspectiva de protección adicional, al tener en cuenta los riesgos que las actividades de la organización en sí mismas pueden originar para el sujeto afectado, tanto en el ambito de sus procesos de negocio/administración como fuera de ellos. Desde el punto de vista metodológico eso significa que no sólo una persona debe demostrar ante una organización que es de confianza, sino que la organización debe ser capaz de demostrar frente a una persona que es de confianza. Por ese motivo es preciso establecer objetivos de protección que garanticen la protección de los sujetos afectados frente a diferentes tipos de organizaciones.

Estos objetivos de protección específicos de la Protección de Datos, cuya finalidad es la protección del sujeto afectado, son:

No encadenabilidad, refleja la exigencia de que los datos sólo sean tratados y valorados para la finalidad para la que fueron recogidos.

Transparencia, requiere que, aunque en diferentes niveles, tanto el sujeto afectado, como el responsable de los sistemas y posibles autoridades de control puedan reconocer qué datos y para qué finalidad han sido recogidos y tratados en un proceso, que sistemas y procesos han sido utilizados, en qué dirección y para qué fines fluyen los datos y quien es el responsable legal de los datos y sistemas en las diferentes fases de un tratamiento de datos. La transferencia es imprescindible para el control y dirección de los datos, procesos y sistemas desde su inicio hasta su cancelación, y un requisito previo para que un tratamiento de datos sea legítimo y, en caso de necesidad, los sujetos afectados puedan otorgar su consentimiento.

La transparencia de un tratamiento de datos en su conjunto y de las partes implicadas puede permitir que especialmente los sujetos afectados y las autoridades de control puedan detectar posibles fallos y exigir que se lleven a cabo las modificaciones necesarias para suprimirlos.

Capacidad de intervenir, exige que el sujeto afectado pueda ejercer de forma efectiva sus derechos ARCO en cualquier momento, y que el responsable está obligado a tomar las medidas necesarias para hacer efectivos esos derechos. Para alcanzar este objetivo debe ser posible modificar el tratamiento de datos en cualquier momento y en cualquiera de sus fases, desde la recogida de los datos hasta su cancelación.

En principio conjuntos o paquetes de datos son adecuados para ser utilizados para otros fines y para ser combinados con otros datos, posiblemente de acceso público. Cuanto mayores son esos paquetes de datos y cuanto más información aporten, mayor es el interés que despiertan. Desde el punto de vista legal, esas combinaciones sólo son aceptables en condiciones muy especiales y estrictamente fijadas. La normativa de Protección de Datos exige que el tratamiento sea separado en función de las finalidades y/o que los datos sean almacenados de forma separada en función de la finalidad para la que son tratados-

Al igual que sucede con los objetivos de protección clásicos, los de la Protección de Datos también están influenciados por la normativa que les es aplicable y por el ámbito en el que deben ser aplicados. Por ejemplo, en el ámbito privado la transparencia no es imprescindible en cada caso de uso de los datos en el campo de actuación de un responsable, salvo que ese uso suponga una modificación de los datos.

Órganos de Control e Instituciones Importantes en materia de Protección de Datos

En varios países existen órganos de control así como instituciones que influyen en el tratamiento y protección de datos personales y privacidad. Es por ello que listamos las seis más renombradas a la fecha debido a su alto grado de efectividad y comunicación internacional de datos:

Agencia Española de Protección de Datos. Ubicada en la calle Jorge Juan, 6. 28001 – Madrid, es la encargada de fiscalizar y hacer cumplir la Ley Orgánica de Protección de Datos (LOPD) 15/1999.

Federal Trade Comission (FTC). A pesar de basarse en el área comercial y privada, no nos dejemos engañar por su nombre: es la gran protectora y ejecutora de sanciones que permiten resguardar los datos personales, conocidos en EEUU como “data privacy”. Sus oficinas principales se encuentran en 600 Pennsylvania Avenue, NW, Washington, DC 20580.

Federal Communications Commission (FCC). Esta oficina gubernamental no es oficialmente el órgano de control como podría serlo la FTC. Sin embargo, debido a que su labor es la regulación de las comunicaciones en EEUU, muchas de las acciones que realiza repercuten directamente en el beneficio de los ciudadanos en cuanto a la protección de datos personales. Se encuentra ubicada en 445 12th Street SW, Washington, DC 20554.

Unidad Reguladora y de Control de Datos Personales (URCDP). Es el órgano de control y fiscalización de Uruguay. su labor es muy importante y ha dictado normas que se alinean con España y con la Unión Europea. En el ámbito de comunicaciones internacionales de datos personales, la URCDP es el primer país no europeo en ratificar y unirse al Convenio 108 de Europa sobre la Protección de las Personas frente al Tratamiento Automatizado de Datos Personales. Su dirección es Andes 1365 piso 7, 11100 Montevideo, Uruguay.

Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (IFAI). El IFAI es el órgano de control del tratamiento de datos personales (entre otras actividades) de México. Su labor es importante, porque en un estado tan grande, ha sabido actuar con diligencia y también ha marcado el terreno con iniciativas a copiar por otros países. Su dirección es Insurgentes Sur No. 3211 Col. Insurgentes Cuicuilco, Delegación Coyoacán, C.P. 04530.

Grupo de Estudio de Protección de Datos del Artículo 29. Referido al artículo 29 de la Directiva Europea 95/46/CE, es un órgano consultivo europeo independiente dedicado a la protección de datos y de la intimidad. Se encuentra ubicado en la Dirección C (Derechos Fundamentales y Ciudadanía de la Unión) de la ComisiónEuropea, Dirección General de Justicia, B-1049 Bruselas, Bélgica, Despacho MO59 06/036.

#AEPD #LOPD #FTC #FCC #IFAI #URCDP #ARTICLE29 #ProteccionDeDatos #DataPrivacy

El Hackeo a un Jeep es Más Importante de lo que Parece

En el día de hoy, se publicó la noticia de que un grupo de expertos en seguridad informática habían hackeado un Jeep Cherokee y tomaron el control del mismo de manera remota logrando conducirlo con su propietario dentro.

¿Por qué esto es importante para la privacidad? Por tres razones:

La primera de ellas, es que en la actualidad, el uso de tecnologÍa de control externo o el uso de coches enlazados a Internet crece a pasos agigantados y ello significa que, además de los smartphones y smartwatches, los autos serán cada vez más vulnerables a los ataques de terceros, como todos los instrumentos que forman parte del universo de Internet de las Cosas.

La segunda razón tiene que ver conque, además del peligro que significa que que un delincuente tome el control de tu coche y cometa con él un crimen o provoque un accidente, evidentemente, cualquiera que hackee un automóvil, tiene acceso a todo y ello signifca también, que tiene oídos y tiene vista, lo que implica el acceso a información personal e incluso a datos sensibles, y puede que tome estos datos sin el conocimiento de su titular.

La tercera y última se refiere al control y manejo de los datos personales por parte de un instrumento automatizado, o sea, sin intervención de humanos y con un grado suficiente de inteñigencia artificial. El hecho de que un robot, app o autómata tome las deciciones de compartir o comunicar datos personales a terceros, sin consentimiento y sin que la ley pueda protegerlos al no poder aplicarse a los que no son personas, le agrega más peligro de daño a todo el entramado, y confirma que estamos ante una autodeterminación informativa limitada, dentro del Síndrome de Hansel & Gretel.

¿Qué pasará cuando nos hackeen la cámara que vigila a nuestro bebé, o se encienda cualquier dispositivo que capture lo que una pareja hace en la intimidad, o cuando los malos o los instrumentos automatizados hackeen un ejército completo y decida atacar desde un ordenador, a toda una nación porque se les entoja? Será la era de #Skynet?

Por qué los Datos Personales relacionados con la Salud Deben ser Datos Sensibles

Hace poco cuando una persona conocida debió realizarse unos exámenes muy importantes y delicados, se le hizo firmar previamente una autorización por escrito para que sus datos y su historia clínica pasaran a integrar la base de datos de ese laboratorio. Antes de que la firmara el titular, el responsable le comunicó que ello era necesario porque existía una ley que prohibía que se vendieran las bases de datos.

En verdad, esa no es la explicación que se debió otorgar, así como tampoco la realidad de la norma.

En verdad, y debido a la gravedad de la información manipulada, los datos relativos a la salud de cada persona son considerados sensibles y por ende tienen una especial protección, porque su tratamiento no autorizado o para fines que no sean los autorizados, puede traer consecuencias desastrosas e irreversibles al titular.

Es por ello que se consideran sensibles, y es por ello que para poder ser tratados (y solamente para el objetivo que tiene que ver con la mejora de la salud del paciente), su titular debe otorgar el previo, inequívoco y expreso consentimiento, el cual debe realizarse por escrito.

El tratamiento no autorizado de los datos sensibles relacionados con la salud de un titular, puede acarrear las siguientes situaciones:

  1. Ser objeto de discriminación laboral o social si se conocen las patologías del mismo.
  2. Ser objeto de tratamiento de salud para otros fines que no sean los correctos, incluyendo el arribo a la muerte del paciente.
  3. Ser objeto de extorsiones o chantajes del paciente o grupo familiar.
  4. Ser objeto de comercialización y marketing despiadado tomando como rehén a la salud de la persona.
  5. Ser atacado directamente en su honor, intimidad y privacidad de manera irreversible.

Y éstos son solo algunos de los hechos a suscitarse de no tratarse adecuadamente y protegerse adecuadamente los datos sensibles relacionados con la salud de un paciente.

Principios Aplicables para las Relaciones entre las Personas y los Robots en Materia de Privacidad

Conforme avanza el Estado del Arte de la tecnología, de la robótica, de Internet de las Cosas, de las Apps, y de acuerdo al alto grado de inteligencia artificial y sofisticación que ya poseen, es necesario establecer una serie de principios que podrán determinar el correcto tratamiento de los datos personales por parte de los instrumentos automatizados, y lo que es mejor…respetar una decisión, cuando la misma significa que el titular no desea que sus datos se publiquen o se traten en una base de datos o fichero.

A continuación, algunos de los pilares:

  1. Seguridad y control. Tanto para el diseño como para el ensamblado de un instrumento automatizado, se deberán tomar medidas y precauciones que permitan a las autoridades tomar el control de los mismos así como limitar su interacción en aquellos escenarios que no revistan garantía alguna para las personas y para ellos mismos.
  2. Llave de control. Se deberá contar con una llave de control o software equivalente que evite el uso ilegal de los instrumentos automatizados.
  3. Rastreabilidad. Los instrumentos automatizados contarán con un sistema de trazabilidad o seguimiento similar al utilizado en las aeronaves comerciales, denominadas “cajas negras”.
  4. Autorregulación. A los efectos de garantizar la privacidad de las personas, se velará por la adopción de un código de buenas prácticas en todos sus términos.
  5. Interacción entre personas e instrumentos automatizados. Los Estados Miembros de la Unión Europea, los países signatarios del Convenio 108, así como la FTC (EEUU) podrán adoptar medidas necesarias para realizar o proponer la realización de controles de salud a aquellas personas que poseen instrumentos automatizados a su cuidado a los efectos de prevenir daños físicos y mentales o garantizar asistencia inmediata en caso de percatarse los mismos.
  6. Principio de desconexión preventiva. Aquellos instrumentos automatizados que sean propiedad de personas podrán contar con un sistema de apagado manual o sistema que permita a su propietario tomar el control del mismo a los solos efectos de evitar la vulneración de los derechos de las personas.
  7. Principio de estandarización de controles. El ensamblaje, funcionamiento y mantenimiento de los instrumentos automatizados se realizará bajo normas estandarizadas a los efectos de evitar daños físicos y lesiones, así como violaciones a los derechos fundamentales, ya sea entre los mismos o para con las personas.

Guía Para Disuadir a los Espectadores Pasivos y Activos en el #Bullying y #Cyberbullying

Tanto en el acoso escolar tradicional (Bullying) como en los ataques realizados por niños y adolescentes a otros pares a través de medios electrónicos (Cyberbullying) siempre se repite una constante que fortalece al agresor y que es parte indivisible del problema: el público espectador. Sin este público, el agresor ni siquiera atacaría a la víctima, porque necesita de una platea o de otros que lo alienten o le festejen lo que hace. Es en el fondo un problema grave de autoestima disimulado por la “aparente” popularidad o fortaleza del chico agresor. Curiosamente, en el Curso de “Stop Bullying y Cyberbullying“que brindamos a través de la plataforma educativa #UDEMY, llegamos a la conclusión de que estos niños o adolescentes que son meros espectadores (pasivos) o que se ríen y festejan los ataques de los agresores a la víctima (activos) son tan culpables y responsables como el propio agresor. De hecho, en los casos de denuncia penal, se les imputa perfectamente como cómplices o coautores de delitos de lesiones, injurias, violencia privada, ayuda al suicidio y otros.

Y digo curiosamente, porque hace muy poco, accedí a un material que explica un método muy bueno utilizado en Dinamarca para la disminución de los ataques escolares, con una cifra récord de casi un 80% de casos anuales menos que años anteriores.

Este método se basa en prevenir el bullying y cyberbullying, desarticulando previamente a los espectadores o posibles espectadores mediante charlas educativas y trabajos de concientización en todas las clases escolares. Al no contar el agresor con un público que le festeje lo que hace, o el daño que causa, éste pierde interés en hacerlo, y la posibilidad de agredir a la víctima disminuye muchísimo.

Este método se denomina KiVa, que es una contracción de la frase “Kiusaamista Vastaan (contra el acoso escolar).

Pues basado en ese método, he elaborado esta pequeña guía que puede se utilizada tanto por educadores, instituciones como por alumnos y padres para desactivar un ataque o posible ataque de bullying o cyberbullying:

  1. Identificar al tridente Agresor – Víctima – Espectadores
  2. Fijar especial atención en los espectadores o posibles espectadores
  3. Explicarles que reírse, festejar o simplemente mirar sin hacer nada, los hace cómplices directos de los agresores y que por ende pueden ser objeto de sanciones institucionales, como también sanciones criminales y sus padres llevados a juicio económico de daños.
  4. Convencerlos, de que en caso de presenciar un ataque, deben actuar de la siguiente manera:
    1. No reirse o festejar. Enfrentar al agresor y decirle “Basta de Acosar”.
    2. Defender a la víctima o ponerse de su lado, en ese momento, y también posteriormente, explicándole que “no es su culpa”.
    3. Retirarse o disolverse en caso de ataques. Bloquear al agresor
    4. Los puntos anteriores, realizarlos simultáneamente o en cadena. O al menos, comenzar con retirarse o disolverse como grupo y luego apoyar a la víctima en privado.
    5. Se puede a su vez, disuadir aún más al agresor con la Guía de Stop Bullying y Cyberbullying

Un saludo

Privacidad. Como Cerrar el Círculo de Información en #Facebook y #Twitter

Muchas veces, nos encontramos en nuestra red social favorita, y por alguna razón aparece cierta información, contacto o noticia que nos desvía la atención. Lo hace porque nos llega algo que nos es familiar o porque se han contactado con nosotros cuando no conocemos a esa persona.
Lo que sucede es que tenemos una fuga de información que perjudica notoriamente nuestra privacidad y ataca nuestra protección de datos.

En el caso de Facebook, la razón pasa por lo siguiente:

  • Nuestra configuración de “Privacidad” se encuentra abierta a “amigos de amigos” o al “público”, lo que significa que otros terceros pueden acceder a nuestros datos privados e intimidad así como leer lo que publicamos en el muro.
  • Porque somos muy compulsivos con el botón Me Gusta (Me Mola) y ello conlleva a que del otro lado del mismo, cada vez que lo pulsamos, se llevan nuestros datos personales para crear perfiles comerciales o con otros fines.
  • Porque tenemos más de 200 “amigos”

Para proteger nuestra privacidad e intimidad en Facebook, ésto es lo que debemos hacer:

  1. Configurar el apartado privacidad para que nuestros datos y publicaciones solamente sean accesibles a “Amigos”.
  2. No pulsar tantas veces el botón “Me Gusta”, en especial cuando se trata de publicidad, eventos, tiendas, servicios y otros ajenos a un comentario de genuino de algún “amigo”.
  3. Eliminar y bloquear aquellos amigos que en realidad, no son “tan amigos” y reducir la lista de los mismos. Con ello, reducimos el riesgo de ser víctimas de ataques, acosos, grooming y fraudes.

Con Twitter, sucede algo diferente. Generalmente podemos tener en peligro nuestra información más sensible y privada a través de Twitter porque:

  • Cuando un seguidor nuestro o alguien a quien seguimos se comunica con nosotros, y a pesar de no tener referencias del mismo, le contestamos de todas maneras.
  • Porque utilizamos muchas veces el @nombredeusuario o retwiteamos incluyendo nombres de usuarios que no conocemos.

La solución para disminuir ataques y violaciones a nuestra privacidad en Twitter es la siguiente:

  1. No retwitear los nombres de usuarios que no seguimos o no conocemos, o tenemos dudas de su seriedad.
  2. En vez de usar nombres de usuarios en nuestros tweets, mejor usar hashtags de eventos o situaciones con el símbolo #.
  3. Cuidado: si un usuario al que no conocemos nos ataca o presiona, debemos bloquearlo y evitar que nos siga. Si este usuario proviene a través de otro al cual seguimos, debemos dejar de seguir a ese también.
  4. Ser cuidadosos con los mensajes privados (MP).
  5. Desenlazar las cuentas de Twitter y Facebook con nuestro perfil de #Instagram.
  6. Bajo ningún concepto, utilizar #Snapchat.

un saludo

#R2D2 Ya Protegía Nuestra Intimidad. #StarWars

Y no es raro que en la ficción, un androide perteneciente al ejército de los buenos (Rogue Squadron) se alíe con un personaje místico con deseos de justicia, como lo es un #Jedi. Ambos poseen aquello que a la sociedad muchas veces le cuesta promover: buenos valores y un código de honor. Gracias a ello, en la Saga Star Wars (La Guerra de las Galaxias), su asociación para combatir el mal (bajo el mando de Darth Vader) fue obra del destino. Entonces, toda la sociedad, incluyendo quiénes leen este trabajo y por supuesto quién lo escribe pueden ser amigos de R2d2 (Ar-tu-ri-to), un instrumento automatizado que a todos les dio clases de buenos valores, por encima de las actitudes de muchos hombres, allá por 1977, cuando se proyectó por primera vez La Guerra de las Galaxias, Episodio IV, Una Nueva Esperanza (el primero de ellos en ir a la pantalla grande). Pero ¿quién es R2D2? Es un androide de baja estatura, con dos ruedas adelante y una trasera que lo mantienen inclinado 45 grados hacia atrás y que ha sido el fiel servidor y confidente de la Princesa Leia, quién en la Saga de Star Wars, fuera perseguida por el Imperio de los Sith, con el apoyo del malvado Darth Vader (quién fuera su padre) para asesinarla ya que ella era la heredera directa al gobierno de la República, derrocado por el Imperio. Cuando finalmente dan con la Princesa Leia, la hacen prisionera, pero no sin que ella previamente, le entregue a R2D2, información digitalizada sobre la ubicación de la base de los rebeldes y sobre las vulneraciones del sistema de defensa del Imperio, por si los primeros decidían perpetrar un ataque que los pudiera conducir a la libertad de varias sociedades planetarias. Las instrucciones de la Princesa fueron claras: solamente podría acceder a dicho mensaje, su tío Obi-Wan-Kenobi, antiguo Jedi y defensor de la República. Por así decirlo, la misión de R2D2 era la de dar con el paradero de Obi-Wan y entregar el mensaje, pero también debía proteger dicho legado de las ambiciones de los soldados del Imperio (y del propio Darth Vader) y de oportunistas que querrían vender la información en el mercado negro, pero sobre todo, proteger su integridad. Si los datos caían en manos equivocadas, podría significar el fin de la república y la matanza de todos los rebeldes allegados a la princesa Leia. Ahora, lo destacable de esta historia es que R2D2, siendo un instrumento automatizado, a través de su conjunto de valores, logra determinar quién es bueno y quién es malo, hasta dar con Obi-Wan-Kenobi para enseñarle el mensaje de la princesa. La determinación de la conducta de este androide es digna de copiar hasta por parte de los humanos, y el mensaje que este filme le deja a la sociedad, es que tanto las personas como los instrumentos automatizados, pueden tomar las decisiones correctas, basados en valores pre establecidos, en sus propios códigos de honor y en los principios. Incluso, a pesar de que la princesa Leia le ordenara a R2D2 que le mostrara el mensaje a su tío y solamente a él, lo cierto es que, el androide, por su propia convicción y por sus valores, decide por sí mismo, compartir la misma con una segunda persona: el aprendiz de Jedi, Luke Skywalker, el héroe de la saga. Un ejemplo digno de seguir, que seguramente se podrá aprovechar gracias a la incorporación de un código de conducta entre las relaciones de las personas y los instrumentos automatizados, que garantice una “autodeterminación informativa In Totum”.

El Camino Exitoso del Smartwatch. Tecnología Disruptiva

Me atrevo a vaticinar que en los próximos años, así cómo sucedió en el 2007 con la llegada del #iPhone y luego en el 2013 con la masificación de #WhatsApp, todos llevaremos un #smartwatch (teléfono inteligente, conectado a nuestro móvil) en la muñeca y dependeremos de él para las tareas más sencillas del quehacer cotidiano. Y ésto es así porque su uso es tan, pero tan sencillo, que produce adicción. No importa la marca o el modelo. Si usamos un smartwatch, veremos cómo se simplifica notablemente atender una llamada, verificar el sms o el mensaje de WhatsApp que nos envían, recibir un aviso del Calendario o de las Tareas, o hasta leer el encabezado de nuestros e-mails ¿Por qué? Porque nos acostumbraremos a hacer todo eso sin necesidad de retirar el celular de nuestro bolsillo o cartera. Entonces, esa simplicidad de uso, se impondrá definitivamente en nuestras vidas. Es lo que se denomina “Tecnología Disruptiva” (Disruptive Technology), porque llega para “romper” con los paradigmas anteriores y provoca que todas nuestras costumbres de vida ya aceitadas, se adapten nuevamente a esta nueva forma. Así como todo el mundo ahora aprovecha un tiempito libre para mandar y recibir material por WhatsApp (en vez de salir a fumar), lo mismo sucederá cuando tengamos el smartwatch con nosotros. De hecho, cuando no lo tengamos y estemos utilizando un reloj convencional, nos pasará que giraremos la muñeca para ver quién nos envía un mensaje, cada vez que suena nuestro smartphone. A ello debemos sumarle el hecho de que las grandes compañías han invertido muchísimo dinero en toda una maquinaria comercial de nuevas Apps dedicadas en exclusiva a los smartwatches, y que se ha visto potenciado con la llegada del Apple Watch al mercado.

Pero ello también modifica otros parámetros de la vida misma. A modo de ejemplo, lo que sucede en #Uruguay con las normas de #RENAEMSE (RE.NA.EM.SE), que prohíben el uso de celulares y otros medios de comunicación dentro de instituciones bancarias se verá totalmente afectado por el uso de smartwatches, ya que es muchísimo más difícil pedirle a una persona que “apague” su reloj, se lo quite o no mire la hora dentro de una institución. Por ello, las normas de dudosa efectividad como la que acabamos de mencionar, se volverán inaplicables ipso facto.

Pero modificará también los modus operandi de sectores como la enseñanza. En efecto, ahora los colegios y universidades deberán adoptar medidas para que los alumnos no se distraigan constantemente mirando su reloj frente a la avalancha de mensajes de #WhatsApp por ser más fácil y tentativo que estar operando el móvil en cada momento. Toda una futura adicción.

Cómo Limpiar Los Datos Personales de Nuestros Hijos que Pululan en Internet

Si bien, eliminar nuestros datos de la web es una tarea difícil, con los menores de edad existen otros parámetros que pueden jugar a favor: al ser menores de edad, al tratarse de un mayor amparo del Estado y al tener una mayor protección de las leyes de protección de datos, los efectos pueden ser mayores y más rápidos.

Éstos son algunos puntos recomendables para disminuir o eliminar el tráfico indiscriminado de los datos de nuestros hijos en la Web y las redes sociales:

  1. Realizar una búsqueda en Google y otros buscadores del nombre completo de nuestros hijos y anotar los sitios dónde se encuentran.
  2. Solicitar vía web la eliminación de los datos personales o de la información dañina.
  3. Solicitar vía carta postal la misma eliminación y enviarla a la oficina regional del servicio o web dónde se encuentra. Con ello, evitamos que se amparen en que no recibieron la solicitud.
  4. Visitar sitios como JustDeleteMe para aprender el grado de dificultad que podemos tener al querer eliminar un dato o cuenta de un sitio Web. Además, se nos muestra cómo realizarlo en la mayoría de los casos.
  5. Visitar AccountKiller para solicitar también por este medio la baja de nuestra cuenta de un sitio o red social.
  6. En caso de que continúe la información, iniciar acción de protcción de datos y de habeas data ante los tribunales correspondientes.

La Especial Protección de los Niños Frente al Tratamiento de los Datos Personales

Los menores de edad merecen especial protección de las leyes en cuanto al tratamiento de datos y sería muy acertado que los mismos sean considerados datos sensibles, ya que su vulnerabilidad es mayor, como se expresa a continuación:

  1. Desconocen el acto de “otorgar o no otorgar” el previo consentimiento informado.
  2. Pueden sentirse intimidados ante la solicitud de datos por parte de un tercero y con ello no atreverse a negar la entrega de los mismos.
  3. Desconocen el alcance de lo que es un “dato personal” ya que muchas veces no sabrían relacionar que una imagen, un vídeo, una información de verdad los identifica.
  4. Al ser niños o menores, son más proclives a ser “embaucados” por terceros en cuanto a la entrega involuntaria de datos personales, datos sensibles y otra información relativa a su persona, su familia o sus bienes.
  5. Se encuentran totalmente desprotegidos ante depredadores sexuales, acoso escolar y ataques a través de Internet, smartphones o redes sociales.

Por lo pronto, las consecuencias del tratamiento no autorizado o sin el previo consentimiento de un adulto, de datos personales recogidos de los menores, son devastadoras y su daño es mayor en todo el grupo familiar que le rodea. La no protección adecuada por parte del Estado, de aquellos a los que les recae las obligaciones inherentes a la Patria Potestad significa la vulneración de otros derechos fundamentales como la integridad física, la integridad moral y hasta la vida.

Es muy importante que los responsables de la recogida de datos de menores, informen previamente a los mismos y a los mayores a su cargo de manera simultánea, claramente, solicitando el previo consentimiento de ambos y además, especificando concretamente el objeto o para qué se utilizan los mismos (ejemplo: subirlos a Internet, redes sociales, publicidad, venta de datos) y ofreciendo sencillos mecanismos y voluntades para que sus titulares ejerzan sus derechos ARCO en caso de que así lo entiendan, en especial, la cancelación (supresión) de los mismos, cumpliendo así con la LPDP, la LOPD, la Directiva 95/46/CE y la Data Privacy Act entre otras.

RFID, NFC y la Violación de la Protección de Datos Personales y Sensibles

RFID es la sigla de Radio Frequency IDentification, (en español identificación por radiofrecuencia), mientras que NFC significa Near-Field Communication o Comunicación de Campo Cercano, ambos conceptos definidos en Wikipedia.

¿Qué significan? Refiere a los dispositivos, sistemas, etiquetas y campos que permiten identificar o comunicar a dos dispositivos electrónicos para transmitirse información sin necesidad de “tocarse”. Solamente hace falta estar cerca uno del otro y que se identifiquen. Este tipo de tecnología es muy utilizado, por ejemplo en tarjetas de transporte público, dónde el usuario acerca una de ellas a un lector que emite el boleto, le descuenta el pago y además le avisa del saldo cargado en esa cuenta. Otro uso común, referente a las RFID, es el de las tiendas de ropa que poseen detectores de etiquetas activadas en las prendas, las cuales son identificadas cuando una persona traspasa su campo invisible y avisa de un posible robo.

Sin embargo, el problema surge debido al “desconocimiento” por parte de los usuarios, de la existencia de este tipo de etiquetas o tecnologías, que permiten identificar los movimientos del usuario, el tiempo en que se encuentran en un espacio y también recopilar información que permite establecer un perfil, que en manos inescrupulosas se presta para violar nuestra privacidad e intimidad (una vez más, sufrimos El Síndrome de Hansel & Gretel).

En base a ésto, la senadora del estado de California Debra Bowen preguntó en una audiencia: “¿Cómo se sentiría usted si, por ejemplo, un día se diera cuenta de que su ropa interior permite revelar su paradero?”.

Y a ello se le suma una mayor amenaza a nuestro derecho fundamental, ya que se han creado nuevos modelos de etiquetas de RFID que ahora son activas respecto a la recogida de datos. La mayoría de las preocupaciones giran alrededor del hecho de que las etiquetas RFID puestas en los productos siguen siendo funcionales incluso después de que se hayan comprado los productos y se hayan llevado a casa, y esto puede utilizarse para vigilancia y otros propósitos cuestionables sin relación alguna con sus funciones de inventario en la cadena de suministro.

Evidentemente, mientras no exista una normativa que las regule, siguen siendo una amenaza a nuestros datos personales y sensibles.

El Análisis del “Big Data”: todo lo que busques en Amazon…te será ofrecido luego en Facebook

Es increíble, pero no ilógico y quizá a otros no sorprende. Sin embargo, el análisis del Big Data con tecnología e inteligencia artificial tan avanzada permiten a las grandes compañías, prever (si, saber con casi certeza) que queremos o vamos a comprar o aquello que buscamos y luego nos olvidamos…para volvernos a ofrecer.

Esto sucede normalmente en las búsquedas de productos o servicios a través de los buscadores como Google, Bing, Yahoo y similares, sin embargo, un buen ejemplo “verificable” involucra a Amazon y Facebook. En efecto, solo basta hacer la prueba de buscar un producto, ropa, calzado o gadget en el portal de Amazon y no comprarlo, sino esperar. Al cabo de unas semanas, en el sector derecho de Facebook, dónde se nos muestra la publicidad teledirigida a nosotros, aparecerá una oferta del mismo producto, o…lo más increíble aún…de la competencia, y hasta más barato. Aquellos que buscamos en Amazon y no adquirimos, vuelve a nuestras vidas ¿cómo es posible? Pues ello es así gracias a que padecemos el Síndrome de Hansel & Gretel, y como tal, cada vez que vivimos, cada día, dejamos guijarros, rastros para que otros, con la tecnología adecuada puedan rastrear nuestros datos personales, cruzar la información y predecir una línea de acción de nuestra vida, incluyendo aquello que queremos, pero que no pudimos comprar en su momento, y por ello…nos tientan nuevamente a hacerlo…sin importar nuestra privacidad e intimidad. Es evidente que terceros saben más de nuestra vida y comportamiento (y padecimientos, intimidades) que nosotros mismos. Ello es un peligro para nuestros derechos fundamentales y debe ser regulado de manera inmediata.

El Origen de la Privacidad: the “Right to be Alone”

El origen de la tutela de la intimidad asociada a la vida privada, proviene de EEUU, especialmente con la tesis de Samuel Warren y Louis Brandeis (WARREN & BRANDEIS, 1890) buscando soluciones a problemas muy concretos relacionados con la toma de fotografías por parte de periodistas hacia su persona y la de su esposa. Como consecuencia de ello, los periodistas obviaban el consentimiento del titular de la imagen, pero además el propio Warren no tenía conocimiento sobre el verdadero tratamiento de las mismas sumándole el hecho de que previamente era observado para ser fotografiado. Como bien lo expresa Ana GARRIGA, lo que se relaciona con la intimidad es la noción de aislamiento físico.

Siguiendo con la evolución de la intimidad, se llega al concepto de privacidad no visto solo como una facultad para ejercer un control más allá de ocultar el dato personal o volverlo secreto, sino como la posibilidad de que ese control sea ejercido frente al responsable del tratamiento de la información existente sobre uno mismo, tanto desde un punto de vista negativo como positivo. Como podemos apreciar, el derecho norteamericano de la mano de Warren y Brandeis (WARREN & BRANDEIS, 1890) ha evolucionado hasta presentar un concepto unificado de protección del derecho a la intimidad junto con la autodeterminación informativa al otorgarle el ordenamiento, la facultad al ciudadano de determinar qué información ventilará y cuál no. Que sea un concepto único, no significa ello que se ha caído en la desgracia de olvidarnos del derecho a decidir qué hacer con nuestras imágenes, con nuestros vídeos, con nuestra información personal, porque lo que estos pioneros han marcado, justamente es el comienzo de la separación entre el derecho a defender la privacidad de ataques exteriores, de la propia autodeterminación respecto a si comunico o no parte de mi vida para que se haga pública, y en definitiva me convierta en un esclavo de las opiniones de las demás personas, siendo incluso víctima de ataques por parte de terceros y del mismísimo gobierno.

Luego de lo ocurrido con el caso Brandeis y Warren, la legislación norteamericana ha tomado cartas en el asunto. Así, en 1966 se aprobaría la Freedom of Information Act (FOIA) entrando en vigor el 05 de julio de 1967, la cual reconoce el derecho de cualquier persona a acceder a la información almacenada en las oficinas federales de gobierno, salvo que las mismas estuviesen protegidas o reservadas por leyes federales o por mandato justificado, ambos pertenecientes a una lista taxativa. Cualquier persona, dentro de los EEUU puede solicitar información al gobierno, determinando qué agencia deberá entregársela y ésta tendrá la obligación de hacerlo en un plazo prudencial. De acuerdo a lo que dice el portal de FOIA, es la ley que permite al ciudadano estar “a sabiendas“ de lo que sucede en el Estado. Claro que existe un listado de las agencias a las que se aplica el derecho de acceso a la información pública, así como también aquellas oficinas o poderes que quedan exceptuados de otorgar cualquier tipo de datos. De todas formas, ello es muy positivo en el ámbito de contralor de la información por parte de cualquier persona que en su derecho de acceso, puede solicitar se le comunique qué información maneja el Estado sobre sí misma, para determinar hasta dónde tiene comprometida su privacidad, su intimidad, y si acaso alguna agencia federal ha violado su derecho a la autodeterminación informativa.

Curso de Stop Cyberbullying Online y con Descuento

Todos conocemos el daño que produce el acoso escolar en las redes sociales y en las TIC, incluyendo smartphones, Whatsapp, Snapchat y similares, al punto de que niños que no llegan a los 10 años de edad han terminado por suicidarse.

Para ayudar a los padres, tutores, amigos, niños, adolescentes y familias, he elaborado un curso online dentro de la plataforma #Udemy que entregará las herramientas necesarias para terminar con el bullying y cyberbullying.

Para los lectores de esta revista y a los primeros que se anoten, hay disponible un descuento directo, accediendo a este link o escaneando el código QR más abajo.

Muchas gracias,
Un saludo

IMG_1315