DECISIÓN (UE) 2016/2220 DEL CONSEJO
(Actos no legislativos)
ACUERDOS INTERNACIONALES
DECISIÓN (UE) 2016/2220 DEL CONSEJO
de 2 de diciembre de 2016
relativa a la celebración, en nombre de la Unión Europea, del Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la protección de los datos personales en relación con la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales
EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16, en relación con su artículo 218, apartado 6, letra a),
Vista la propuesta de la Comisión Europea, Vista la aprobación del Parlamento Europeo (1), Considerando lo siguiente:
(1) De conformidad con la Decisión (UE) 2016/920 del Consejo (2), el Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la protección de los datos personales en relación con la prevención, investigación, detección y enjuiciamiento de infracciones penales (en lo sucesivo, «Acuerdo») se firmó el 2 xx xxxxx de 2016, a reserva de su celebración en una fecha posterior.
(2) El Acuerdo persigue establecer un marco general de principios y salvaguardias de la protección de los datos personales cuando dichos datos se transfieren a efectos policiales y judiciales en materia penal entre los Estados Unidos de América (en lo sucesivo, «Estados Unidos»), por una parte, y la Unión Europea y sus Estados miembros, por otra. El objetivo es garantizar un alto nivel de protección de los datos y, de este modo, reforzar la cooperación entre las Partes. Aunque no constituya en sí mismo la base jurídica para todas las transferencias de datos personales a los Estados Unidos, el Acuerdo complementa, en caso necesario, las garantías de protección de datos previstas en los acuerdos en materia de transferencia de datos actuales y futuros o las disposiciones nacionales que autorizan tales transferencias.
(3) La Unión tiene competencia sobre todas las disposiciones del Acuerdo. En particular, la Unión ha adoptado la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (3) relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos. El artículo 37, apartado 1, letra a), de la citada Directiva prevé transferencias por los Estados miembros a reserva de las garantías apropiadas.
(1) Aprobación de 1 de diciembre de 2016 (pendiente de publicación en el Diario Oficial).
(2) Decisión (UE) 2016/920 del Consejo, de 20 xx xxxx de 2016, sobre la firma, en nombre de la Unión Europea, del Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la protección de los datos personales en relación con la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales (DO L 154 de 11.6.2016, p. 1).
(3) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativa a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos, y por la que se deroga la Decisión 2008/977/JAI (DO L 119 de 4.5.2016, p. 89).
(4) De conformidad con el artículo 6 bis del Protocolo n.o 21 sobre la posición del Reino Unido y xx Xxxxxxx respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea (TUE) y al Tratado de Funciona miento de la Unión Europea (TFUE), el Xxxxx Unido e Irlanda no están obligados por las normas establecidas en el acuerdo que se refieran al tratamiento de los datos personales por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación de la tercera parte, título V, capítulo 4 o 5, del TFUE en los casos en que el Xxxxx Unido e Irlanda no estén obligados por las normas que regulan las formas de cooperación judicial en materia penal o de cooperación policial que requieran el cumplimiento de las disposiciones que figuran en el acuerdo.
(5) De conformidad con los artículos 2 y 2 bis del Protocolo n.o 22 sobre la posición de Dinamarca anejo al TUE y al TFUE, Dinamarca no está obligada por las normas establecidas en el acuerdo ni sujeta a su aplicación, cuando se refieran al tratamiento de los datos personales por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación de la tercera parte, título V, capítulo 4 o 5, del TFUE.
(6) Toda notificación con arreglo al artículo 27 del acuerdo, en lo que se refiere al Xxxxx Unido, Xxxxxxx x Xxxxxxxxx, debe efectuarse de conformidad con el estatuto de esos Estados miembros en virtud de las corres pondientes disposiciones del Derecho de la Unión y en estrecha consulta con ellos.
(7) El Supervisor Europeo de Protección de Datos ha emitido un dictamen el 12 de febrero de 2016 (1).
(8) Debe aprobarse el acuerdo en nombre de la Unión.
ha aDOPTaDO La PRESENTE DECISIÓN:
Artículo 1
Queda aprobado, en nombre de la Unión Europea, el acuerdo entre los Estados Unidos de américa y la Unión Europea sobre la protección de los datos personales en relación con la prevención, investigación, detección y enjuiciamiento de infracciones penales.
El texto del acuerdo se adjunta a la presente Decisión.
Artículo 2
El presidente del Consejo procederá, en nombre de la Unión, a la notificación prevista en el artículo 29, apartado 1, del acuerdo (2).
Artículo 3
La presente Decisión entrará en vigor el día de su publicación en el Diario Oficial de la Unión Europea.
hecho en Bruselas, el 2 de diciembre de 2016.
Por el Consejo El Presidente
X. XxXXXX
(1) DO C 186 de 25.2.2016, p. 4.
(2) La Secretaría General del Consejo se encargará de publicar en el Diario Oficial de la Unión Europea la fecha de entrada en vigor del acuerdo.
[TRADUCCIÓN]
ACUERDO
entre los Estados Unidos de América y la Unión Europea sobre la protección de datos personales relativa a la prevención, investigación, detección o enjuiciamiento de infracciones penales
ÍNDICE
Preámbulo
Artículo 1: Objeto del Acuerdo Artículo 2: Definiciones
Artículo 3: Ámbito de aplicación Artículo 4: No discriminación Artículo 5: Efecto del Acuerdo
Artículo 6: Limitación de los fines y de la utilización Artículo 7: Transferencia ulterior
Artículo 8: Mantener la calidad y la integridad de la información Artículo 9: Seguridad de la información
Artículo 10: Notificación de incidentes de seguridad de la información Artículo 11: Llevanza de registros
Artículo 12: Periodo de conservación
Artículo 13: Categorías especiales de datos personales Artículo 14: Rendición de cuentas
Artículo 15: Decisiones automatizadas Artículo 16: Acceso
Artículo 17: Rectificación
Artículo 18: Recursos administrativos Artículo 19: Recursos judiciales Artículo 20: Transparencia
Artículo 21: Supervisión efectiva
Artículo 22: Cooperación entre autoridades de supervisión Artículo 23: Revisión conjunta
Artículo 24: Notificación
Artículo 25: Consultas
Artículo 26: Suspensión
Artículo 27: Aplicación territorial Artículo 28: Duración del Acuerdo Artículo 29: Entrada en vigor y resolución
CONSCIENTES de que los Estados Unidos y la Unión Europea se han comprometido a garantizar un alto nivel de protección de los datos personales intercambiados en el contexto de la prevención, investigación, detección y enjuicia miento de infracciones penales, incluido el terrorismo;
PROPONIÉNDOSE crear un marco jurídico duradero para facilitar el intercambio de información, algo que es esencial para prevenir, investigar, detectar o perseguir infracciones penales, incluido el terrorismo, como medio para proteger sus respectivas sociedades democráticas y valores comunes;
DECIDIDOS, en particular, a adoptar normas de protección de los intercambios de datos personales sobre la base de los acuerdos existentes y futuros entre los Estados Unidos y la Unión Europea y sus Estados miembros, en el ámbito de la prevención, investigación, detección y enjuiciamiento de infracciones penales, incluido el terrorismo;
RECONOCIENDO que algunos acuerdos vigentes entre las Partes sobre el tratamiento de datos personales demuestra que esos acuerdos ofrecen un nivel adecuado de protección de datos en el ámbito de la aplicación de dichos acuerdos, las Partes afirman que el presente acuerdo no debe interpretarse como que modifica, condiciona o deroga dichos acuerdos; constatando, no obstante, que las obligaciones establecidas en el artículo 19 del presente acuerdo sobre recursos judiciales se aplicaría con respecto a todas las transferencias que entran en el ámbito de aplicación del presente acuerdo, y que esto se entiende sin perjuicio de cualquier futura revisión o modificación de tales acuerdos con arreglo a sus propios términos;
RECONOCIENDO que ambas partes tienen una larga tradición de respeto de la vida privada tal como se refleja en los principios de la vida privada y la protección de datos personales con fines policiales y judiciales elaborados por el Grupo de Contacto de alto Nivel entre la UE y los EE. UU. sobre el intercambio de información y la protección de la vida privada y los datos personales, la Carta de los Derechos Fundamentales de la Unión Europea y la legislación aplicable de la UE, la Constitución de Estados Unidos y la legislación estadounidense aplicable, así como los principios sobre prácticas informativas leales de la Organización para la Cooperación y el Desarrollo Económico, y
RECONOCIENDO los principios de proporcionalidad y necesidad, pertinencia y carácter razonable conforme a lo establecido por las Partes en sus respectivos xxxxxx jurídicos,
LOS ESTaDOS UNIDOS DE aMÉRICa Y La UNIÓN EUROPEa haN CONVENIDO EN LO SIGUIENTE:
Artículo 1
Objeto del Acuerdo
1. El presente acuerdo tiene por objeto garantizar un elevado nivel de protección de los datos personales y reforzar la cooperación entre los Estados Unidos y la Unión Europea y sus Estados miembros, en relación con la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales, incluido el terrorismo.
2. Con este fin, el presente acuerdo establece el marco para la protección de los datos personales cuando se transfieren entre los Estados Unidos, por una parte, y la Unión Europea y sus Estados miembros, por otra.
3. El acuerdo en sí mismo no constituirá la base jurídica para todas las transferencias de datos personales. Siempre se exigirá una base jurídica para tales transferencias.
Artículo 2
Definiciones
a los efectos del presente acuerdo:
1) Se entenderá por «datos personales» toda información referida a una persona física identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante referencia, en particular, a un número de identificación o a uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.
2) Se entenderá por «tratamiento de datos personales» cualquier operación o conjunto de operaciones relativas a la recogida, conservación, utilización, modificación, organización o estructuración, difusión o divulgación, o disposición de los datos.
3) Se entenderá por «Partes» a la Unión Europea y a los Estados Unidos de américa.
4) Se entenderá por «Estado miembro» un Estado miembro de la Unión Europea.
5) Se entenderá por «autoridad competente», en el caso de los Estados Unidos, los cuerpos y fuerzas de seguridad y los órganos jurisdiccionales nacionales de los Estados Unidos responsables de la prevención, investigación, detección o enjuiciamiento de infracciones penales, incluido el terrorismo y, en el caso de la Unión Europea, una autoridad de la Unión Europea y una autoridad de un Estado miembro, responsables de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales, incluido el terrorismo.
Artículo 3
Ámbito de aplicación
1. El presente acuerdo se aplicará a los datos personales transferidos entre las autoridades competentes de una Parte y las autoridades competentes de la otra Parte, o que hayan sido transferidos en virtud de un acuerdo entre los Estados Unidos y la Unión Europea y sus Estados miembros, para la prevención, detección, investigación y enjuiciamiento de infracciones penales, incluido el terrorismo.
2. El presente acuerdo no afecta a las transferencias u otras formas de colaboración, y se entiende además sin perjuicio de las mismas, entre las autoridades de los Estados miembros y de los Estados Unidos, distintas de las mencionadas en el artículo 2, apartado 5, responsables de velar por la seguridad nacional.
Artículo 4
No discriminación
Cada Parte cumplirá las obligaciones que le incumben en virtud del presente acuerdo con el fin de proteger los datos personales de los propios nacionales y de los nacionales de la otra Parte, independientemente de su nacionalidad y sin discriminación arbitraria e injustificable.
Artículo 5
Efecto del Acuerdo
1. Este acuerdo complementa, según proceda, pero no sustituye, las disposiciones relativas a la protección de datos personales recogidas en los acuerdos internacionales entre las Partes, o entre los Estados Unidos y los Estados miembros, que aborden cuestiones correspondientes al ámbito del presente acuerdo.
2. Las Partes adoptarán todas las medidas necesarias para la aplicación del presente acuerdo, incluidas, en particular, sus respectivas obligaciones en materia de acceso, de rectificación y de recurso administrativo y judicial de los particulares que hayan sido previstas en las mismas. Las medidas de protección y los recursos recogidos en el presente acuerdo beneficiarán a las personas físicas y entidades en las condiciones aplicadas en las leyes nacionales aplicables de cada Parte. En el caso de los Estados Unidos, sus obligaciones se aplicarán de forma coherente con los principios fundamentales del federalismo que le son propios.
3. al dar efecto a lo dispuesto en el apartado 2, el tratamiento de datos personales por los Estados Unidos o la Unión
Europea y sus Estados miembros con respecto a los aspectos que entran en el ámbito de aplicación del presente acuerdo se considerarán conformes con su respectiva legislación sobre protección de datos por la que se restringe o condiciona las transferencias internacionales de datos personales, y no será necesaria ninguna otra autorización con arreglo a dicha legislación.
Limitación de los fines y de la utilización
1. La transferencia de datos personales se destinará a fines específicos autorizados por la base jurídica de la transfe rencia según lo establecido en el artículo 1.
2. El tratamiento ulterior de datos personales por una Parte no será incompatible con los fines para los que se transfi rieron. El tratamiento compatible supone su tratamiento de conformidad con los términos de los acuerdos interna cionales vigentes y los xxxxxx internacionales escritos en materia de prevención, detección, investigación o enjuicia miento de delitos graves. Dicho tratamiento de datos personales por otras autoridades nacionales policiales, judiciales, reguladoras o administrativas deberán respetar las otras disposiciones del presente acuerdo.
3. El presente artículo se entenderá sin perjuicio de la capacidad de la autoridad de transferencia para imponer condiciones adicionales en un caso específico en la medida en que el marco legal aplicable a la transferencia así lo permita. Dichas condiciones no incluirán condiciones de protección de datos genéricas, es decir, condiciones impuestas no relacionadas con los hechos específicos del caso. Cuando la información esté sujeta a condiciones, la autoridad competente receptora deberá atenerse a los mismos. La autoridad competente que facilite la información podrá, asimismo, exigir al receptor que proporcione información sobre el uso que se haga de la información transferida.
4. En el caso de que los Estados Unidos de américa, por una parte, y la Unión Europea o un Estado miembro, por otra, celebren un acuerdo sobre la transferencia de datos personales, excepto en relación con casos específicos, investiga ciones o actuaciones judiciales, los fines para los que se transfieran y traten serán también establecidos en dicho acuerdo.
5. Las Partes garantizarán, en el marco de sus legislaciones respectivas, que los datos personales sean tratados de una manera que sea directamente pertinente y no excesiva o demasiado amplia en relación a los fines de dicho tratamiento.
Artículo 7
Transferencia ulterior
1. Cuando una autoridad competente de una Parte le haya transferido los datos personales relativos a un caso específico a una autoridad competente de la otra Parte, dicha información podrá transferirse a un Estado que no esté obligado por el presente acuerdo o a un organismo internacional únicamente cuando se haya obtenido el consenti miento previo de la autoridad competente que envió inicialmente los datos.
2. a la hora de dar su consentimiento a una transferencia en virtud del apartado 1, la autoridad competente que transfiere la información en primer lugar tendrá debidamente en cuenta todos los factores pertinentes, entre ellos la gravedad de la infracción, el objetivo para el cual se transfirieron inicialmente los datos y si el Estado no sujeto al presente acuerdo u organismo internacional de que se trate garantiza un nivel adecuado de protección de los datos personales. También podrá someter la transferencia a determinadas condiciones.
3. En caso de que los Estados Unidos de américa, por una parte, y la Unión Europea o un Estado miembro, por otra, celebren un acuerdo sobre la transferencia de datos personales, excepto en relación con casos, investigaciones o actuaciones judiciales específicos, la transferencia ulterior de datos personales podrá sólo producirse de acuerdo con unas condiciones específicas fijadas en el acuerdo en el que se motiva la transferencia ulterior. El acuerdo deberá prever mecanismos de información adecuados entre las autoridades competentes.
4. Nada de lo dispuesto en el presente artículo se interpretará en el sentido de que afecta a un requisito, obligación o práctica en virtud del cual el consentimiento previo de la autoridad competente que transmite inicialmente los datos debe obtenerse antes de que dichos datos se transfieran a un Estado u organismo que esté vinculado por el presente acuerdo a condición de que el nivel de protección de los datos en dicho Estado u organismo no sea la base para denegar la autorización o imponer condiciones a tales transferencias.
Artículo 8
Mantener la calidad y la integridad de la información
Las Partes adoptarán todas las medidas razonables para garantizar que los datos personales se conservan con la exactitud, pertinencia, puntualidad y exhaustividad necesaria y adecuada para el tratamiento lícito de los datos. a tal fin, las autoridades competentes dispondrán de procedimientos cuyo objeto es garantizar la calidad y la integridad de los datos personales, entre los que se incluyen los siguientes:
a) las medidas contempladas en el artículo 17;
b) en los casos en que la autoridad competente de transferencia tenga conocimiento de la existencia de serias dudas en cuanto a la pertinencia, puntualidad, exhaustividad y exactitud de estos datos o sobre una evaluación que haya transferido, procederá, cuando sea factible, a asesorar a la autoridad competente receptora al respecto;
c) en los casos en que la autoridad competente receptora tenga conocimiento de la existencia de serias dudas en cuanto a la pertinencia, puntualidad, exhaustividad y exactitud de los datos personales recibidos de un organismo estatal, o en el caso de una evaluación realizada por la autoridad competente de transferencia, de la exactitud de los datos y la fiabilidad de su fuente, procurarán, siempre que sea viable, asesorar a la autoridad competente de transferencia al respecto.
Artículo 9
Seguridad de la información
Las Partes garantizarán que han previsto las medidas técnicas, de seguridad y organizativas necesarias para la protección de los datos personales en relación con los siguientes aspectos:
a) la destrucción accidental o ilícita;
b) la pérdida accidental, y
c) la difusión, alteración, acceso, u otro tipo de tratamiento no autorizado.
Dichas medidas deberán incluir las salvaguardias adecuadas en relación con la autorización necesaria para acceder a los datos personales.
Artículo 10
Notificación de un incidente de seguridad de la información
1. Tras el descubrimiento de un incidente que suponga la pérdida o destrucción accidental, o el acceso no autorizado, la divulgación o la alteración no autorizados de los datos personales, en los que existiese un riesgo importante de menoscabo, la autoridad competente receptora evaluará con prontitud la probabilidad y la magnitud de los daños causados a las personas y a la integridad del programa de la autoridad competente de transferencia, y adoptará rápidamente las medidas oportunas para atenuar los daños.
2. Las medidas destinadas a mitigar los daños incluirán la notificación a la autoridad competente de transferencia. No obstante, la notificación puede:
a) incluir las oportunas restricciones en cuanto a la transferencia posterior de la notificación;
b) aplazarse u omitirse cuando dicha notificación pueda poner en peligro la seguridad del Estado;
c) aplazarse cuando dicha notificación pueda poner en peligro las operaciones en materia de seguridad pública.
3. Las medidas destinadas a mitigar los daños también incluirán la notificación a la persona, en su caso, habida cuenta de las circunstancias del incidente, salvo que dicha notificación pueda poner en peligro:
a) la seguridad pública o nacional;
b) las pesquisas, investigaciones o procedimientos oficiales;
c) la prevención, detección, investigación o enjuiciamiento de infracciones penales;
d) los derechos y libertades de terceros, en particular, la protección de las víctimas y testigos.
4. Las autoridades competentes que participan en la transferencia de datos personales podrán realizar consultas sobre el incidente y la respuesta al mismo.
Llevanza de registros
1. Las Partes dispondrán de métodos eficaces para demostrar la licitud del tratamiento de datos personales, que puede incluir la utilización de registros diarios o de otro tipo.
2. Las autoridades competentes podrán utilizar dichos registros diarios o de otro tipo para mantener el correcto funcionamiento de las bases de datos o expedientes de que se trate, con el fin de garantizar la integridad y seguridad de los datos y, en caso necesario, atenerse a los procedimientos de copia de seguridad.
Artículo 12
Periodo de conservación
1. Las Partes establecerán en sus xxxxxx jurídicos específicos aplicables los períodos de conservación de documentos que contengan datos personales cuyo objeto sea garantizar que los datos personales no se conservan durante más tiempo del necesario y apropiado. Estos periodos de conservación deberán tener en cuenta la finalidad del tratamiento, la naturaleza de los datos y la autoridad que la tramita, la repercusión sobre los derechos e intereses de las personas afectadas, y otras consideraciones jurídicas aplicables.
2. En caso de que los Estados Unidos de américa, por una parte, y la Unión Europea o un Estado miembro, por otra, celebren un acuerdo sobre la transferencia de datos personales, excepto en relación con casos, investigaciones o actuaciones judiciales específicos, dicho acuerdo incluirá una disposición específica redactada de mutuo acuerdo sobre el período de conservación.
3. Las Partes establecerán procedimientos para la revisión periódica del período de conservación con vistas a determinar si las nuevas circunstancias requieren más modificaciones en el plazo aplicable.
4. Las Partes publicarán o pondrán a disposición del público de otro modo tales períodos de conservación.
Artículo 13
Categorías especiales de datos personales
1. Sólo podrá llevarse a cabo el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas o religiosas u otras creencias, la pertenencia a un sindicato o datos personales relativos a la salud o la vida sexual con las garantías adecuadas de conformidad con la ley. Tales garantías apropiadas pueden incluir: restringir los fines para los cuales los datos podrán ser tratados, como permitir que el tratamiento se lleve a cabo solo caso por caso; ocultar, eliminar o bloquear los datos tras haber procedido a los fines para los que fueron tratados; restringir el personal autorizado a acceder a la información; exigir una formación especializada al personal que accede a la información; exigir la aprobación de una autoridad de supervisión previa al acceso a la información; u otras medidas de protección. Estas garantías deberán tener debidamente en cuenta la naturaleza de la información, la particular sensibilidad de la información, así como los fines para los que la información es tratada.
2. En caso de que los Estados Unidos de américa, por una parte, y la Unión Europea o un Estado miembro, por otra, celebren un acuerdo sobre la transferencia de datos personales, excepto en relación con casos, investigaciones o actuaciones judiciales específicos, dicho acuerdo preverá más detalladamente las normas y condiciones en las que tales datos personales puedan ser tratados, teniendo debidamente en cuenta la naturaleza de la información y la finalidad para la que se utiliza.
Artículo 14
Rendición de cuentas
1. Las Partes preverán medidas destinadas a promover la rendición de cuentas en relación con el tratamiento de datos personales por parte de sus autoridades competentes en el ámbito de aplicación del presente acuerdo, así como por parte de cualquier otra de las autoridades a las que se hayan transferido los datos personales. Dichas medidas incluirán la notificación de las garantías aplicables a las transferencias de datos personales en virtud del presente acuerdo y las condiciones que se hayan impuesto por la autoridad competente de transferencia con arreglo a lo dispuesto en el artículo 6, apartado 3. Toda falta grave será abordada mediante sanciones penales, civiles o administrativas adecuadas y disuasorias.
2. Las medidas previstas en el apartado 1 incluirán, en su caso, el abandono de la transferencia de datos personales a las autoridades de las entidades territoriales de las Partes no cubiertos por el presente acuerdo que no hayan protegido eficazmente los datos personales, teniendo en cuenta la finalidad de dicho acuerdo y, en particular, las disposiciones sobre limitación de los fines y de la utilización y la transferencia ulterior.
3. En caso de que se presenten alegaciones por la ejecución defectuosa del presente artículo, una Parte podrá solicitar a la otra Parte que proporcione información útil, incluidas, cuando proceda, las medidas adoptadas de conformidad con el presente artículo.
Artículo 15
Decisiones automatizadas
Las decisiones que den lugar a actuaciones adversas significativas contra los intereses de las personas no podrán basarse exclusivamente en el tratamiento automatizado de datos personales sin intervención humana, a menos que haya sido autorizado con arreglo al Derecho nacional y con las salvaguardias adecuadas, incluida la posibilidad de obtener la intervención humana.
Artículo 16
Acceso
1. Las Partes velarán por que toda persona pueda solicitar el acceso a sus datos personales y, sin perjuicio de las restricciones previstas en el apartado 2, para que se le conceda. Dicho acceso se solicitará y obtendrá de una autoridad competente de conformidad con el marco jurídico aplicable en el Estado en el que se solicite la información.
2. La obtención de dicha información en un caso concreto puede estar sujeta a restricciones razonables previstas en la legislación nacional, teniendo en cuenta los intereses legítimos de la persona de que se trate, con el fin de:
a) proteger los derechos y libertades de los demás, incluida su privacidad;
b) velar por la seguridad pública y nacional;
c) proteger información sensible a efectos policiales y judiciales;
d) evitar que se obstaculicen pesquisas, investigaciones o procedimientos jurídicos u oficiales;
e) evitar que se prejuzgue la prevención, detección, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales;
f) proteger intereses previstos en la legislación en materia de libertad de información y acceso a los documentos.
3. No se impondrán los gastos excesivos a la persona como condición para acceder a sus datos personales.
4. Cuando así lo autorice la legislación nacional aplicable, una persona podrá autorizar a una autoridad de supervisión u otro representante para que solicite acceso en su nombre.
5. Si se deniega o se restringe el acceso, la autoridad competente requerida, sin demora indebida, facilitará a la persona o a su representante debidamente autorizado, según lo establecido en el apartado 4, los motivos de la denegación o de la restricción del acceso.
Artículo 17
Rectificación
1. Las Partes velarán por que cualquier persona afectada pueda solicitar la corrección o la rectificación de sus datos personales cuando estime que son inexactos o han sido incorrectamente tratados. La corrección o rectificación podrán suponer completar, suprimir, bloquear o bien adoptar cualquier otra medida o método para abordar las inexactitudes o el tratamiento incorrecto de los datos. Dicha corrección o rectificación se solicitará y obtendrá de una autoridad competente de conformidad con el marco jurídico aplicable en el Estado en el que se soliciten.
2. Si la autoridad competente receptora concluye, a raíz de:
a) una solicitud presentada de conformidad con el apartado 1;
b) la notificación por el proveedor; o bien
c) sus propias investigaciones o exámenes,
que la información que ha recibido en virtud del presente acuerdo es inexacta o ha sido tratada incorrectamente, adoptará medidas para completar, suprimir, bloquear o bien cualquier otro método de corrección o rectificación, según xxxxxxx.
3. Cuando así lo autorice la legislación nacional aplicable, una persona podrá autorizar a una autoridad de supervisión u otro representante para que solicite la corrección o rectificación en su nombre.
4. Si se deniega o se restringe la corrección o la rectificación, la autoridad competente requerida, sin demora indebida, ofrecerá a la persona o a su representante debidamente autorizado, según lo establecido en el apartado 3, una respuesta indicando los motivos de la denegación o restricción de la corrección o rectificación.
Artículo 18
Recursos administrativos
1. Las Partes velarán por que cualquier persona pueda solicitar recurso administrativo en caso de que ésta considere que su solicitud de acceso de conformidad con el artículo 16 o de rectificación de datos inexactos o debido a un tratamiento incorrecto en virtud del artículo 17 ha sido indebidamente denegada. Dicho recurso se solicitará y obtendrá de una autoridad competente de conformidad con el marco jurídico aplicable en el Estado en el que se solicite.
2. Cuando así lo autorice la legislación nacional aplicable, una persona podrá autorizar a una autoridad de supervisión u otro representante para que solicite un recurso administrativo en su nombre.
3. La autoridad competente ante la que se presente el recurso llevará a cabo las investigaciones y verificaciones adecuadas y responderá sin demora indebida por escrito, incluso por medios electrónicos, con los resultados obtenidos, incluida las medidas de mejora o correctoras adoptadas, cuando proceda. El anuncio del procedimiento para la interpo sición de cualquier otro recurso administrativo será el establecido en el artículo 20.
Artículo 19
Recursos judiciales
1. Las Partes establecerán en sus xxxxxx jurídicos aplicables que, con sujeción al requisito de que se agote previamente la vía de recurso administrativo, cualquier ciudadano de una Parte está legitimado a interponer un recurso judicial con respecto a:
a) la denegación, por una autoridad competente, del acceso a registros que contienen sus datos personales;
b) la denegación por una autoridad competente de la modificación de los registros que contengan datos de carácter personal que le conciernan, y
c) la divulgación ilícita de tal información de manera intencionada o deliberada, lo que deberá incluir la posibilidad de una indemnización compensatoria.
2. Dicho recurso judicial se presentará y obtendrá de conformidad con el marco jurídico aplicable en el Estado en el que se solicite.
3. Los apartados 1 y 2 se entenderán sin perjuicio de cualquier otro recurso judicial disponible con respecto al tratamiento de datos personales con arreglo a la legislación del Estado en el que se presenta.
4. En caso de suspensión o rescisión del acuerdo, ni el artículo 26, apartado 2, ni el artículo 29, apartado 3, podrán servir de base para un recurso judicial que ya no sea posible con arreglo a la legislación de la Parte afectada.
Artículo 20
Transparencia
1. Las Partes deberán informar a toda persona concernida en relación con sus datos personales, información que podrá ser efectuada por las autoridades competentes mediante la publicación de información de carácter general o mediante información concreta, en el formato y en el plazo previsto por la legislación aplicable a la autoridad que facilita la información, en relación con:
a) el objeto del tratamiento de dicha información por parte de la autoridad correspondiente;
b) la finalidad para la cual podría compartirse la información con otras autoridades;
c) las leyes o normas en virtud de las cuales se lleva a cabo el tratamiento;
d) terceros a los que se divulga dicha información, y
e) el acceso, corrección o rectificación, y las vías de recurso disponibles.
2. Dicha información está sujeta a las restricciones razonables con arreglo al Derecho nacional en lo que se refiere a los elementos contemplados en el artículo 16, apartado 2, letra a), en relación con la letra f).
Artículo 21
Supervisión efectiva
1. Las Partes dispondrán de una o más autoridades responsables de la supervisión pública, las cuales:
a) ejercerán funciones y competencias de supervisión independientes, incluida la revisión, investigación e intervención, cuando xxxxxxx, a iniciativa propia;
b) tendrán la facultad de aceptar e intervenir en reclamaciones presentadas por particulares relativas a las medidas de aplicación del presente acuerdo, y
c) tendrán la facultad de someter las infracciones de la legislación relacionadas con el presente acuerdo para su enjuicia miento o acción disciplinaria, según proceda.
2. La Unión Europea llevará a cabo la supervisión en virtud del presente artículo por medio de sus autoridades de protección de datos y las de los Estados miembros.
3. Los Estados Unidos realizarán tareas de supervisión con arreglo al presente artículo de forma acumulativa a través de más de una autoridad, entre las cuales, inspectores generales, responsables en materia de protección de la privacidad, departamentos de rendición de cuentas de la administración, consejos de supervisión de la vida privada y de las libertades civiles, y otros organismos ejecutivos y legislativos pertinentes de control en relación con las libertades civiles y la protección de la privacidad.
Artículo 22
Cooperación entre autoridades de supervisión
1. Las consultas entre las autoridades de supervisión en virtud del artículo 21 se llevarán a cabo, en su caso, con respecto a la realización de funciones en relación con el presente acuerdo, con el fin de garantizar la aplicación efectiva de las disposiciones de los artículos 16, 17 y 18.
2. Las Partes establecerán puntos de contacto nacionales que ayuden a la identificación de la autoridad de supervisión a la que dirigirse en un caso concreto.
Artículo 23
Revisión conjunta
1. Las Partes llevarán a cabo revisiones conjuntas periódicas de las políticas y los procedimientos por los que se aplican el presente acuerdo así como de su eficacia. Se prestará especial atención en las revisiones conjuntas a la aplicación efectiva de la protección en virtud del artículo 14 sobre la rendición de cuentas, el artículo 16 sobre el acceso, el artículo 17 sobre la rectificación, el artículo 18 sobre recursos administrativos, y el artículo 19 relativo a los recursos judiciales.
2. La primera revisión conjunta se realizará a más tardar tres años a partir de la fecha de entrada en vigor del presente acuerdo y, en adelante, de forma periódica. Las Partes determinarán conjuntamente las modalidades y condiciones con antelación y se comunicarán la composición de sus delegaciones respectivas, en las que estarán presentes representantes de las autoridades responsables de la supervisión pública a que se refiere el artículo 21 sobre supervisión eficaz, y de autoridades policiales y judiciales. Las conclusiones de la revisión conjunta se harán públicas.
3. En los casos en que las Partes o los Estados Unidos y un Estado miembro hubieran celebrado un acuerdo cuyo objeto entre también en el ámbito de aplicación del presente acuerdo que prevea revisiones conjuntas, tales revisiones conjuntas no se repetirán y, en la medida en que corresponda, sus conclusiones se integrarán en los resultados de la revisión conjunta del presente acuerdo.
Artículo 24
Notificación
1. Los Estados Unidos informarán a la Unión Europea acerca de toda designación efectuada por las autoridades de los EE.UU. en relación con el artículo 19 y sobre cualquier modificación al respecto.
2. Las Partes harán esfuerzos razonables para comunicar entre sí la aprobación de cualquier ley o la adopción de normas que afecten significativamente a la ejecución del presente acuerdo en la medida de lo posible antes de que se hagan efectivas.
Artículo 25
Consultas
Todo conflicto que se derive de la interpretación o de la aplicación del presente acuerdo, dará lugar a consultas entre las Partes con vistas a alcanzar una solución de mutuo acuerdo.
Artículo 26
Suspensión
1. En caso de incumplimiento grave del presente acuerdo, cualquiera de las Partes podrá suspenderlo en su totalidad o en parte mediante notificación escrita a la otra Parte por vía diplomática. Dicha notificación por escrito no podrá efectuarse hasta después de que las Partes hayan abierto un período razonable de consulta sin llegar a una resolución, y la suspensión entrará en vigor veinte días después de la fecha de recepción de dicha notificación. La suspensión podrá ser levantada por la Parte que la haya realizado previa notificación escrita a la otra Parte. El levantamiento de la suspensión tendrá lugar inmediatamente después de la recepción de la citada notificación.
2. No obstante la suspensión del presente acuerdo, los datos personales que entren en el ámbito de su aplicación y hayan sido transferidos con anterioridad a su suspensión seguirán tratándose de conformidad con el mismo.
Artículo 27
Aplicación territorial
1. El presente acuerdo sólo se aplicará a Dinamarca, el Xxxxx Unido o Irlanda si la Comisión Europea notifica por escrito a los Estados Unidos que Dinamarca, el Xxxxx Unido o Irlanda han decidido que se les aplique.
2. Si la Comisión Europea notifica a los Estados Unidos, antes de la entrada en vigor del presente acuerdo, que éste se aplica a Dinamarca, el Xxxxx Unido o Irlanda, el presente acuerdo se aplicará a dichos Estados desde la fecha de entrada en vigor del presente acuerdo.
3. Si la Comisión Europea notifica a los Estados Unidos, después de la entrada en vigor del presente acuerdo que éste se aplica a Dinamarca, el Xxxxx Unido o Irlanda, el presente acuerdo se aplicará al Estado de que se trate a partir del primer día del mes siguiente a la recepción de la notificación por los Estados Unidos.
Artículo 28
Duración del acuerdo
El presente acuerdo se celebra por un plazo indeterminado.
Artículo 29
Entrada en vigor y rescisión
1. El presente acuerdo entrará en vigor el primer día del mes siguiente a la fecha en que las Partes se hayan notificado la conclusión de los procedimientos internos necesarios para su entrada en vigor.
2. Cualquiera de las Partes podrá resolver el presente acuerdo mediante notificación escrita a la otra Parte por vía diplomática. Dicha resolución surtirá efecto treinta días después de la fecha de recepción de dicha notificación.
3. No obstante la rescisión del presente acuerdo, los datos personales que entren en su ámbito de aplicación y hayan sido transferidos con anterioridad a su rescisión seguirán tratándose de conformidad con el mismo.
EN FE DE LO CUaL, los plenipotenciarios abajo firmantes suscriben el presente acuerdo.
hecho en Ámsterdam, el dos xx xxxxx de dos mil dieciséis, en doble ejemplar en lengua inglesa. Con arreglo al Derecho de la UE, el presente acuerdo se redactará asimismo en las lenguas alemana, búlgara, checa, croata, danesa, eslovaca, eslovena, española, estonia, finesa, francesa, griega, húngara, italiana, letona, lituana, maltesa, neerlandesa, polaca, portuguesa, rumana y sueca. Estas versiones lingüísticas adicionales pueden ser autenticadas mediante un canje de notas diplomáticas entre los Estados Unidos y la Unión Europea. En caso de discrepancia entre las versiones autenticadas, prevalecerá el texto en inglés.
Por la Unión Europea Por los Estados Unidos de América