Este artículo recoge la estructura general de Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente. Las preguntas asociadas tratan sobre la estructura, organización o aspectos transversales de esta norma cuando no se localizan en un artículo concreto.
Tema 5: El secreto profesional
Actualizado a 10 de julio de 2026. Regístrate para recibir actualizaciones cuando la legislación cambie.
LAP
Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente
Ámbito de aplicación
La presente Ley tiene por objeto la regulación de los derechos y obligaciones de los pacientes, usuarios y profesionales, así como de los centros y servicios sanitarios, públicos y privados, en materia de autonomía del paciente y de información y documentación clínica.
Principios básicos
-
La dignidad de la persona humana, el respeto a la autonomía de su voluntad y a su intimidad orientarán toda la actividad encaminada a obtener, utilizar, archivar, custodiar y transmitir la información y la documentación clínica.
-
Toda actuación en el ámbito de la sanidad requiere, con carácter general, el previo consentimiento de los pacientes o usuarios. El consentimiento, que debe obtenerse después de que el paciente reciba una información adecuada, se hará por escrito en los supuestos previstos en la Ley.
-
El paciente o usuario tiene derecho a decidir libremente, después de recibir la información adecuada, entre las opciones clínicas disponibles.
-
Todo paciente o usuario tiene derecho a negarse al tratamiento, excepto en los casos determinados en la Ley. Su negativa al tratamiento constará por escrito.
-
Los pacientes o usuarios tienen el deber de facilitar los datos sobre su estado físico o sobre su salud de manera leal y verdadera, así como el de colaborar en su obtención, especialmente cuando sean necesarios por razones de interés público o con motivo de la asistencia sanitaria.
-
Todo profesional que interviene en la actividad asistencial está obligado no sólo a la correcta prestación de sus técnicas, sino al cumplimiento de los deberes de información y de documentación clínica, y al respeto de las decisiones adoptadas libre y voluntariamente por el paciente.
-
La persona que elabore o tenga acceso a la información y la documentación clínica está obligada a guardar la reserva debida.
Las definiciones legales
A efectos de esta Ley se entiende por:
Centro sanitario: el conjunto organizado de profesionales, instalaciones y medios técnicos que realiza actividades y presta servicios para cuidar la salud de los pacientes y usuarios.
Certificado médico: la declaración escrita de un médico que da fe del estado de salud de una persona en un determinado momento.
Consentimiento informado: la conformidad libre, voluntaria y consciente de un paciente, manifestada en el pleno uso de sus facultades después de recibir la información adecuada, para que tenga lugar una actuación que afecta a su salud.
Documentación clínica: el soporte de cualquier tipo o clase que contiene un conjunto de datos e informaciones de carácter asistencial.
Historia clínica: el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial.
Información clínica: todo dato, cualquiera que sea su forma, clase o tipo, que permite adquirir o ampliar conocimientos sobre el estado físico y la salud de una persona, o la forma de preservarla, cuidarla, mejorarla o recuperarla.
Informe de alta médica: el documento emitido por el médico responsable en un centro sanitario al finalizar cada proceso asistencial de un paciente, que especifica los datos de éste, un resumen de su historial clínico, la actividad asistencial prestada, el diagnóstico y las recomendaciones terapéuticas.
Intervención en el ámbito de la sanidad: toda actuación realizada con fines preventivos, diagnósticos, terapéuticos, rehabilitadores o de investigación.
Libre elección: la facultad del paciente o usuario de optar, libre y voluntariamente, entre dos o más alternativas asistenciales, entre varios facultativos o entre centros asistenciales, en los términos y condiciones que establezcan los servicios de salud competentes, en cada caso.
Médico responsable: el profesional que tiene a su cargo coordinar la información y la asistencia sanitaria del paciente o del usuario, con el carácter de interlocutor principal del mismo en todo lo referente a su atención e información durante el proceso asistencial, sin perjuicio de las obligaciones de otros profesionales que participan en las actuaciones asistenciales.
Paciente: la persona que requiere asistencia sanitaria y está sometida a cuidados profesionales para el mantenimiento o recuperación de su salud.
Servicio sanitario: la unidad asistencial con organización propia, dotada de los recursos técnicos y del personal cualificado para llevar a cabo actividades sanitarias.
Usuario: la persona que utiliza los servicios sanitarios de educación y promoción de la salud, de prevención de enfermedades y de información sanitaria.
Derecho a la información asistencial
-
Los pacientes tienen derecho a conocer, con motivo de cualquier actuación en el ámbito de su salud, toda la información disponible sobre la misma, salvando los supuestos exceptuados por la Ley. Además, toda persona tiene derecho a que se respete su voluntad de no ser informada. La información, que como regla general se proporcionará verbalmente dejando constancia en la historia clínica, comprende, como mínimo, la finalidad y la naturaleza de cada intervención, sus riesgos y sus consecuencias.
-
La información clínica forma parte de todas las actuaciones asistenciales, será verdadera, se comunicará al paciente de forma comprensible y adecuada a sus necesidades y le ayudará a tomar decisiones de acuerdo con su propia y libre voluntad.
-
El médico responsable del paciente le garantiza el cumplimiento de su derecho a la información. Los profesionales que le atiendan durante el proceso asistencial o le apliquen una técnica o un procedimiento concreto también serán responsables de informarle.
Titular del derecho a la información asistencial
-
El titular del derecho a la información es el paciente. También serán informadas las personas vinculadas a él, por razones familiares o de hecho, en la medida que el paciente lo permita de manera expresa o tácita.
-
El paciente será informado, incluso en caso de incapacidad, de modo adecuado a sus posibilidades de comprensión, cumpliendo con el deber de informar también a su representante legal.
-
Cuando el paciente, según el criterio del médico que le asiste, carezca de capacidad para entender la información a causa de su estado físico o psíquico, la información se pondrá en conocimiento de las personas vinculadas a él por razones familiares o de hecho.
-
El derecho a la información sanitaria de los pacientes puede limitarse por la existencia acreditada de un estado de necesidad terapéutica. Se entenderá por necesidad terapéutica la facultad del médico para actuar profesionalmente sin informar antes al paciente, cuando por razones objetivas el conocimiento de su propia situación pueda perjudicar su salud de manera grave.
Llegado este caso, el médico dejará constancia razonada de las circunstancias en la historia clínica y comunicará su decisión a las personas vinculadas al paciente por razones familiares o de hecho.
Derecho a la información epidemiológica
Los ciudadanos tienen derecho a conocer los problemas sanitarios de la colectividad cuando impliquen un riesgo para la salud pública o para su salud individual, y el derecho a que esta información se difunda en términos verdaderos, comprensibles y adecuados para la protección de la salud, de acuerdo con lo establecido por la Ley.
El derecho a la intimidad
-
Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley.
-
Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.
Consentimiento informado
-
Toda actuación en el ámbito de la salud de un paciente necesita el consentimiento libre y voluntario del afectado, una vez que, recibida la información prevista en el artículo 4, haya valorado las opciones propias del caso.
-
El consentimiento será verbal por regla general.
Sin embargo, se prestará por escrito en los casos siguientes: intervención quirúrgica, procedimientos diagnósticos y terapéuticos invasores y, en general, aplicación de procedimientos que suponen riesgos o inconvenientes de notoria y previsible repercusión negativa sobre la salud del paciente.
-
El consentimiento escrito del paciente será necesario para cada una de las actuaciones especificadas en el punto anterior de este artículo, dejando a salvo la posibilidad de incorporar anejos y otros datos de carácter general, y tendrá información suficiente sobre el procedimiento de aplicación y sobre sus riesgos.
-
Todo paciente o usuario tiene derecho a ser advertido sobre la posibilidad de utilizar los procedimientos de pronóstico, diagnóstico y terapéuticos que se le apliquen en un proyecto docente o de investigación, que en ningún caso podrá comportar riesgo adicional para su salud.
-
El paciente puede revocar libremente por escrito su consentimiento en cualquier momento.
Límites del consentimiento informado y consentimiento por representación
-
La renuncia del paciente a recibir información está limitada por el interés de la salud del propio paciente, de terceros, de la colectividad y por las exigencias terapéuticas del caso. Cuando el paciente manifieste expresamente su deseo de no ser informado, se respetará su voluntad haciendo constar su renuncia documentalmente, sin perjuicio de la obtención de su consentimiento previo para la intervención.
-
Los facultativos podrán llevar a cabo las intervenciones clínicas indispensables en favor de la salud del paciente, sin necesidad de contar con su consentimiento, en los siguientes casos:
a) Cuando existe riesgo para la salud pública a causa de razones sanitarias establecidas por la Ley. En todo caso, una vez adoptadas las medidas pertinentes, de conformidad con lo establecido en la Ley Orgánica 3/1986, se comunicarán a la autoridad judicial en el plazo máximo de 24 horas siempre que dispongan el internamiento obligatorio de personas.
b) Cuando existe riesgo inmediato grave para la integridad física o psíquica del enfermo y no es posible conseguir su autorización, consultando, cuando las circunstancias lo permitan, a sus familiares o a las personas vinculadas de hecho a él.
- Se otorgará el consentimiento por representación en los siguientes supuestos:
a) Cuando el paciente no sea capaz de tomar decisiones, a criterio del médico responsable de la asistencia, o su estado físico o psíquico no le permita hacerse cargo de su situación. Si el paciente carece de representante legal, el consentimiento lo prestarán las personas vinculadas a él por razones familiares o de hecho.
b) Cuando el paciente tenga la capacidad modificada judicialmente y así conste en la sentencia.
c) Cuando el paciente menor de edad no sea capaz intelectual ni emocionalmente de comprender el alcance de la intervención. En este caso, el consentimiento lo dará el representante legal del menor, después de haber escuchado su opinión, conforme a lo dispuesto en el artículo 9 de la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.
- Cuando se trate de menores emancipados o mayores de 16 años que no se encuentren en los supuestos b) y c) del apartado anterior, no cabe prestar el consentimiento por representación.
No obstante lo dispuesto en el párrafo anterior, cuando se trate de una actuación de grave riesgo para la vida o salud del menor, según el criterio del facultativo, el consentimiento lo prestará el representante legal del menor, una vez oída y tenida en cuenta la opinión del mismo.
-
La práctica de ensayos clínicos y la práctica de técnicas de reproducción humana asistida se rigen por lo establecido con carácter general sobre la mayoría de edad y por las disposiciones especiales de aplicación.
-
En los casos en los que el consentimiento haya de otorgarlo el representante legal o las personas vinculadas por razones familiares o de hecho en cualquiera de los supuestos descritos en los apartados 3 a 5, la decisión deberá adoptarse atendiendo siempre al mayor beneficio para la vida o salud del paciente. Aquellas decisiones que sean contrarias a dichos intereses deberán ponerse en conocimiento de la autoridad judicial, directamente o a través del Ministerio Fiscal, para que adopte la resolución correspondiente, salvo que, por razones de urgencia, no fuera posible recabar la autorización judicial, en cuyo caso los profesionales sanitarios adoptarán las medidas necesarias en salvaguarda de la vida o salud del paciente, amparados por las causas de justificación de cumplimiento de un deber y de estado de necesidad.
-
La prestación del consentimiento por representación será adecuada a las circunstancias y proporcionada a las necesidades que haya que atender, siempre en favor del paciente y con respeto a su dignidad personal. El paciente participará en la medida de lo posible en la toma de decisiones a lo largo del proceso sanitario. Si el paciente es una persona con discapacidad, se le ofrecerán las medidas de apoyo pertinentes, incluida la información en formatos adecuados, siguiendo las reglas marcadas por el principio del diseño para todos de manera que resulten accesibles y comprensibles a las personas con discapacidad, para favorecer que pueda prestar por sí su consentimiento.
Condiciones de la información y consentimiento por escrito
- El facultativo proporcionará al paciente, antes de recabar su consentimiento escrito, la información básica siguiente:
a) Las consecuencias relevantes o de importancia que la intervención origina con seguridad.
b) Los riesgos relacionados con las circunstancias personales o profesionales del paciente.
c) Los riesgos probables en condiciones normales, conforme a la experiencia y al estado de la ciencia o directamente relacionados con el tipo de intervención.
d) Las contraindicaciones.
- El médico responsable deberá ponderar en cada caso que cuanto más dudoso sea el resultado de una intervención más necesario resulta el previo consentimiento por escrito del paciente.
Instrucciones previas
-
Por el documento de instrucciones previas, una persona mayor de edad, capaz y libre, manifiesta anticipadamente su voluntad, con objeto de que ésta se cumpla en el momento en que llegue a situaciones en cuyas circunstancias no sea capaz de expresarlos personalmente, sobre los cuidados y el tratamiento de su salud o, una vez llegado el fallecimiento, sobre el destino de su cuerpo o de los órganos del mismo. El otorgante del documento puede designar, además, un representante para que, llegado el caso, sirva como interlocutor suyo con el médico o el equipo sanitario para procurar el cumplimiento de las instrucciones previas.
-
Cada servicio de salud regulará el procedimiento adecuado para que, llegado el caso, se garantice el cumplimiento de las instrucciones previas de cada persona, que deberán constar siempre por escrito.
-
No serán aplicadas las instrucciones previas contrarias al ordenamiento jurídico, a la «lex artis», ni las que no se correspondan con el supuesto de hecho que el interesado haya previsto en el momento de manifestarlas. En la historia clínica del paciente quedará constancia razonada de las anotaciones relacionadas con estas previsiones.
-
Las instrucciones previas podrán revocarse libremente en cualquier momento dejando constancia por escrito.
-
Con el fin de asegurar la eficacia en todo el territorio nacional de las instrucciones previas manifestadas por los pacientes y formalizadas de acuerdo con lo dispuesto en la legislación de las respectivas Comunidades Autónomas, se creará en el Ministerio de Sanidad y Consumo el Registro nacional de instrucciones previas que se regirá por las normas que reglamentariamente se determinen, previo acuerdo del Consejo Interterritorial del Sistema Nacional de Salud.
Información en el Sistema Nacional de Salud
-
Además de los derechos reconocidos en los artículos anteriores, los pacientes y los usuarios del Sistema Nacional de Salud tendrán derecho a recibir información sobre los servicios y unidades asistenciales disponibles, su calidad y los requisitos de acceso a ellos.
-
Los servicios de salud dispondrán en los centros y servicios sanitarios de una guía o carta de los servicios en la que se especifiquen los derechos y obligaciones de los usuarios, las prestaciones disponibles, las características asistenciales del centro o del servicio, y sus dotaciones de personal, instalaciones y medios técnicos.
Se facilitará a todos los usuarios información sobre las guías de participación y sobre sugerencias y reclamaciones.
- Cada servicio de salud regulará los procedimientos y los sistemas para garantizar el efectivo cumplimiento de las previsiones de este artículo.
Derecho a la información para la elección de médico y de centro
Los usuarios y pacientes del Sistema Nacional de Salud, tanto en la atención primaria como en la especializada, tendrán derecho a la información previa correspondiente para elegir médico, e igualmente centro, con arreglo a los términos y condiciones que establezcan los servicios de salud competentes.
Definición y archivo de la historia clínica
-
La historia clínica comprende el conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro.
-
Cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información.
-
Las Administraciones sanitarias establecerán los mecanismos que garanticen la autenticidad del contenido de la historia clínica y de los cambios operados en ella, así como la posibilidad de su reproducción futura.
-
Las Comunidades Autónomas aprobarán las disposiciones necesarias para que los centros sanitarios puedan adoptar las medidas técnicas y organizativas adecuadas para archivar y proteger las historias clínicas y evitar su destrucción o su pérdida accidental.
Contenido de la historia clínica de cada paciente
-
La historia clínica incorporará la información que se considere trascendental para el conocimiento veraz y actualizado del estado de salud del paciente. Todo paciente o usuario tiene derecho a que quede constancia, por escrito o en el soporte técnico más adecuado, de la información obtenida en todos sus procesos asistenciales, realizados por el servicio de salud tanto en el ámbito de atención primaria como de atención especializada.
-
La historia clínica tendrá como fin principal facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan el conocimiento veraz y actualizado del estado de salud.
El contenido mínimo de la historia clínica será el siguiente:
a) La documentación relativa a la hoja clínicoestadística.
b) La autorización de ingreso.
c) El informe de urgencia.
d) La anamnesis y la exploración física.
e) La evolución.
f) Las órdenes médicas.
g) La hoja de interconsulta.
h) Los informes de exploraciones complementarias.
i) El consentimiento informado.
j) El informe de anestesia.
k) El informe de quirófano o de registro del parto.
l) El informe de anatomía patológica.
m) La evolución y planificación de cuidados de enfermería.
n) La aplicación terapéutica de enfermería.
ñ) El gráfico de constantes.
o) El informe clínico de alta.
Los párrafos b), c), i), j), k), l), ñ) y o) sólo serán exigibles en la cumplimentación de la historia clínica cuando se trate de procesos de hospitalización o así se disponga.
-
Cuando se trate del nacimiento, la historia clínica incorporará, además de la información a la que hace referencia este apartado, los resultados de las pruebas biométricas, médicas o analíticas que resulten, en su caso, necesarias para determinar el vínculo de filiación con la madre, en los términos que se establezcan reglamentariamente.
-
La historia clínica se llevará con criterios de unidad y de integración, en cada institución asistencial como mínimo, para facilitar el mejor y más oportuno conocimiento por los facultativos de los datos de un determinado paciente en cada proceso asistencial.
-
Cuando la atención sanitaria prestada lo sea a consecuencia de violencia ejercida contra personas menores de edad, la historia clínica especificará esta circunstancia, además de la información a la que hace referencia este apartado.
Usos de la historia clínica
-
La historia clínica es un instrumento destinado fundamentalmente a garantizar una asistencia adecuada al paciente. Los profesionales asistenciales del centro que realizan el diagnóstico o el tratamiento del paciente tienen acceso a la historia clínica de éste como instrumento fundamental para su adecuada asistencia.
-
Cada centro establecerá los métodos que posibiliten en todo momento el acceso a la historia clínica de cada paciente por los profesionales que le asisten.
-
El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales, y en la Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clinicoasistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.
Se exceptúan los supuestos de investigación previstos en el apartado 2 de la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.
Asimismo se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clinicoasistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.
Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las Administraciones sanitarias a las que se refiere la Ley 33/2011, de 4 de octubre, General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos.
-
El personal de administración y gestión de los centros sanitarios sólo puede acceder a los datos de la historia clínica relacionados con sus propias funciones.
-
El personal sanitario debidamente acreditado que ejerza funciones de inspección, evaluación, acreditación y planificación, tiene acceso a las historias clínicas en el cumplimiento de sus funciones de comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración sanitaria.
-
El personal que accede a los datos de la historia clínica en el ejercicio de sus funciones queda sujeto al deber de secreto.
-
Las Comunidades Autónomas regularán el procedimiento para que quede constancia del acceso a la historia clínica y de su uso.
La conservación de la documentación clínica
- Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial.
No obstante, los datos de la historia clínica relacionados con el nacimiento del paciente, incluidos los resultados de las pruebas biométricas, médicas o analíticas que en su caso resulten necesarias para determinar el vínculo de filiación con la madre, no se destruirán, trasladándose una vez conocido el fallecimiento del paciente, a los archivos definitivos de la Administración correspondiente, donde se conservarán con las debidas medidas de seguridad a los efectos de la legislación de protección de datos.
- La documentación clínica también se conservará a efectos judiciales de conformidad con la legislación vigente. Se conservará, asimismo, cuando existan razones epidemiológicas, de investigación o de organización y funcionamiento del Sistema Nacional de Salud. Su tratamiento se hará de forma que se evite en lo posible la identificación de las personas afectadas.
Sin perjuicio del derecho al que se refiere el artículo siguiente, los datos de la historia clínica relacionados con las pruebas biométricas, médicas o analíticas que resulten necesarias para determinar el vínculo de filiación con la madre del recién nacido, sólo podrán ser comunicados a petición judicial, dentro del correspondiente proceso penal o en caso de reclamación o impugnación judicial de la filiación materna.
-
Los profesionales sanitarios tienen el deber de cooperar en la creación y el mantenimiento de una documentación clínica ordenada y secuencial del proceso asistencial de los pacientes.
-
La gestión de la historia clínica por los centros con pacientes hospitalizados, o por los que atiendan a un número suficiente de pacientes bajo cualquier otra modalidad asistencial, según el criterio de los servicios de salud, se realizará a través de la unidad de admisión y documentación clínica, encargada de integrar en un solo archivo las historias clínicas. La custodia de dichas historias clínicas estará bajo la responsabilidad de la dirección del centro sanitario.
-
Los profesionales sanitarios que desarrollen su actividad de manera individual son responsables de la gestión y de la custodia de la documentación asistencial que generen.
-
Son de aplicación a la documentación clínica las medidas técnicas de seguridad establecidas por la legislación reguladora de la conservación de los ficheros que contienen datos de carácter personal y, en general, por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.
Derechos de acceso a la historia clínica
-
El paciente tiene el derecho de acceso, con las reservas señaladas en el apartado 3 de este artículo, a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella. Los centros sanitarios regularán el procedimiento que garantice la observancia de estos derechos.
-
El derecho de acceso del paciente a la historia clínica puede ejercerse también por representación debidamente acreditada.
-
El derecho al acceso del paciente a la documentación de la historia clínica no puede ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en ella recogidos en interés terapéutico del paciente, ni en perjuicio del derecho de los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas.
-
Los centros sanitarios y los facultativos de ejercicio individual sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes. No se facilitará información que afecte a la intimidad del fallecido ni a las anotaciones subjetivas de los profesionales, ni que perjudique a terceros.
Derechos relacionados con la custodia de la historia clínica
El paciente tiene derecho a que los centros sanitarios establezcan un mecanismo de custodia activa y diligente de las historias clínicas. Dicha custodia permitirá la recogida, la integración, la recuperación y la comunicación de la información sometida al principio de confidencialidad con arreglo a lo establecido por el artículo 16 de la presente Ley.
Informe de alta
Todo paciente, familiar o persona vinculada a él, en su caso, tendrá el derecho a recibir del centro o servicio sanitario, una vez finalizado el proceso asistencial, un informe de alta con los contenidos mínimos que determina el artículo 3. Las características, requisitos y condiciones de los informes de alta se determinarán reglamentariamente por las Administraciones sanitarias autonómicas.
El alta del paciente
- En caso de no aceptar el tratamiento prescrito, se propondrá al paciente o usuario la firma del alta voluntaria. Si no la firmara, la dirección del centro sanitario, a propuesta del médico responsable, podrá disponer el alta forzosa en las condiciones reguladas por la Ley.
El hecho de no aceptar el tratamiento prescrito no dará lugar al alta forzosa cuando existan tratamientos alternativos, aunque tengan carácter paliativo, siempre que los preste el centro sanitario y el paciente acepte recibirlos. Estas circunstancias quedarán debidamente documentadas.
- En el caso de que el paciente no acepte el alta, la dirección del centro, previa comprobación del informe clínico correspondiente, oirá al paciente y, si persiste en su negativa, lo pondrá en conocimiento del juez para que confirme o revoque la decisión.
Emisión de certificados médicos
Todo paciente o usuario tiene derecho a que se le faciliten los certificados acreditativos de su estado de salud. Éstos serán gratuitos cuando así lo establezca una disposición legal o reglamentaria.
Obligaciones profesionales de información técnica, estadística y administrativa
Los profesionales sanitarios, además de las obligaciones señaladas en materia de información clínica, tienen el deber de cumplimentar los protocolos, registros, informes, estadísticas y demás documentación asistencial o administrativa, que guarden relación con los procesos clínicos en los que intervienen, y los que requieran los centros o servicios de salud competentes y las autoridades sanitarias, comprendidos los relacionados con la investigación médica y la información epidemiológica.
LEY DE AUTONOMÍA DEL PACIENTE ENF
LEY DE AUTONOMÍA DEL PACIENTE ENF (2024)
LEY DE AUTONOMÍA DEL PACIENTE ENF
⏳ Teoría pendiente (contenedor enfermería).
Preguntas Tribunal Canarias T5 ENF CAN
Preguntas Tribunal Canarias T5 ENF CAN (2024)
Preguntas Tribunal Canarias T5 ENF CAN
⏳ Teoría pendiente (contenedor enfermería).
RGPD UE 2016/679
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo — Reglamento General de Protección de Datos
Objeto
-
El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
-
El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
-
La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
Ámbito de aplicación material
-
El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
-
El presente Reglamento no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
-
El Reglamento (CE) n.o 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.o 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98.
-
El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en particular de las normas en materia de responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15.
Ámbito territorial
-
El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
-
El presente Reglamento se aplica al tratamiento de datos personales de interesados que se encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
- El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.
Definiciones
A efectos del presente Reglamento se entenderá por:
-
«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
-
«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
-
«limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;
-
«elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;
-
«seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;
-
«fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
-
«responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;
-
«encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
-
«destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero;
-
«tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;
-
«consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;
-
«violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
-
«datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;
-
«datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
-
«datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;
-
«establecimiento principal»: en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal; en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;
-
«representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;
-
«empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;
-
«grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas controladas;
-
«normas corporativas vinculantes»: las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta;
-
«autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51;
-
«autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datos personales debido a que el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control, o los interesados que residen en ese Estado miembro se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento;
-
«tratamiento transfronterizo»: el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro;
-
«objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión;
-
«servicio de la sociedad de la información»: todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535;
-
«organización internacional»: una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.
Principios relativos al tratamiento
- Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
- El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).
Licitud del tratamiento
- El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
-
Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo.
-
La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por el Derecho de la Unión o por el Derecho de los Estados miembros que se aplique al responsable del tratamiento.
-
Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;
b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;
d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.
Condiciones para el consentimiento
-
Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
-
Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
-
El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
-
Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.
Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información
- Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.
Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.
-
El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
-
El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.
Tratamiento de categorías especiales de datos personales
-
Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
-
El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social;
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical;
e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
g) el tratamiento es necesario por razones de un interés público esencial;
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social;
i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública;
j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
-
Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional.
-
Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.
Tratamiento de datos personales relativos a condenas e infracciones penales
El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1, solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.
Tratamiento que no requiere identificación
-
Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.
-
Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación.
Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado
-
El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.
-
El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado.
-
El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
-
Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
-
La información facilitada en virtud de los artículos 13 y 14, así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá cobrar un canon razonable en función de los costes administrativos afrontados o negarse a actuar respecto de la solicitud.
-
Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.
-
La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.
-
La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92, a fin de especificar la información que se presentará a través de iconos y los procedimientos para proporcionar iconos normalizados.
Información que deberá facilitarse cuando los datos personales se obtengan del interesado
- Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional.
- Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos;
f) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
-
Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
-
Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.
Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado
- Cuando los datos personales no se hayan obtenido del interesado, el responsable del tratamiento le facilitará la siguiente información:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;
d) las categorías de datos personales de que se trate;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional.
- Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:
a) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;
b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero;
c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
d) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento;
e) el derecho a presentar una reclamación ante una autoridad de control;
f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;
g) la existencia de decisiones automatizadas, incluida la elaboración de perfiles.
- El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:
a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes;
b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o
c) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
-
Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.
-
Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:
a) el interesado ya disponga de la información;
b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado;
c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros;
d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros.
Derecho de acceso del interesado
- El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, e información significativa sobre la lógica aplicada.
-
Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.
-
El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
-
El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.
Derecho de rectificación
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
Derecho de supresión («el derecho al olvido»)
- El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.
-
Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
-
Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:
a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
e) para la formulación, el ejercicio o la defensa de reclamaciones.
Derecho a la limitación del tratamiento
- El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
-
Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.
-
Todo interesado que haya obtenido la limitación del tratamiento conforme al apartado 1 será informado por el responsable antes del levantamiento de dicha limitación.
Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento
El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales o limitación del tratamiento efectuada con arreglo al artículo 16, el artículo 17, apartado 1, y el artículo 18 a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.
Derecho a la portabilidad de los datos
- El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
b) el tratamiento se efectúe por medios automatizados.
-
Al ejercer su derecho a la portabilidad de los datos de conformidad con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
-
El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
-
El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.
Derecho de oposición
-
El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
-
Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
-
Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.
-
A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información.
-
En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
-
Cuando los datos personales se traten con fines de investigación científica o histórica o con fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
Decisiones individuales automatizadas, incluida la elaboración de perfiles
-
Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
-
El apartado 1 no se aplicará si la decisión:
a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
c) se basa en el consentimiento explícito del interesado.
-
En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
-
Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
Limitaciones
- El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y en el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:
a) la seguridad del Estado;
b) la defensa;
c) la seguridad pública;
d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;
e) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;
f) la protección de la independencia judicial y de los procedimientos judiciales;
g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;
h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y g);
i) la protección del interesado o de los derechos y libertades de otros;
j) la ejecución de demandas civiles.
- En particular, cualquier medida legislativa contemplada en el apartado 1 contendrá como mínimo, en su caso, disposiciones específicas relativas a la finalidad del tratamiento, las categorías de datos personales, el alcance de las limitaciones establecidas, las garantías para evitar accesos o transferencias ilícitos o abusivos, la determinación del responsable o de categorías de responsables, los plazos de conservación y las garantías aplicables habida cuenta de la naturaleza, alcance y fines del tratamiento o las categorías de tratamiento, así como los riesgos para los derechos y libertades de los interesados, y el derecho de los interesados a ser informados sobre la limitación, salvo que resulte perjudicial a los fines de esta.
Responsabilidad del responsable del tratamiento
-
Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
-
Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
-
La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.
Protección de datos desde el diseño y por defecto
-
Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
-
El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
-
Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.
Corresponsables del tratamiento
-
Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus obligaciones respectivas de suministro de información a que se refieren los artículos 13 y 14, salvo que, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique. Dicho acuerdo podrá designar un punto de contacto para los interesados.
-
El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.
-
Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables.
Representantes de responsables o encargados del tratamiento no establecidos en la Unión
-
Cuando sea de aplicación el artículo 3, apartado 2, el responsable o el encargado del tratamiento designará por escrito un representante en la Unión.
-
La obligación establecida en el apartado 1 del presente artículo no será aplicable:
a) al tratamiento que sea ocasional, que no incluya el manejo a gran escala de categorías especiales de datos indicadas en el artículo 9, apartado 1, o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o
b) a las autoridades u organismos públicos.
-
El representante estará establecido en uno de los Estados miembros en los que estén los interesados cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado.
-
El responsable o el encargado del tratamiento encomendará al representante que sea el destinatario, además de, o en lugar del responsable o del encargado, en particular de las autoridades de control y los interesados, de todas las cuestiones relativas al tratamiento, a los efectos de garantizar el cumplimiento del presente Reglamento.
-
La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado del tratamiento.
Encargado del tratamiento
-
Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
-
El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
-
El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
-
Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado.
-
La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.
-
Sin perjuicio de que el responsable y el encargado del tratamiento puedan celebrar un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 y 43.
-
La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo.
-
Una autoridad de control podrá adoptar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo.
-
El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.
-
Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.
Tratamiento bajo la autoridad del responsable o del encargado del tratamiento
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros.
Registro de las actividades de tratamiento
- Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.
-
Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable.
-
Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.
-
El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.
-
Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.
Cooperación con la autoridad de control
El responsable y el encargado del tratamiento y, en su caso, sus representantes cooperarán con la autoridad de control que lo solicite en el desempeño de sus funciones.
Seguridad del tratamiento
- Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
-
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
-
La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
-
El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
Notificación de una violación de la seguridad de los datos personales a la autoridad de control
-
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
-
El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
-
La notificación contemplada en el apartado 1 deberá, como mínimo:
a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;
d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
-
Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
-
El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.
Comunicación de una violación de la seguridad de los datos personales al interesado
-
Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
-
La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d).
-
La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;
c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
- Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.
Evaluación de impacto relativa a la protección de datos
-
Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
-
El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
-
La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público.
-
La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68.
-
La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité.
-
La evaluación deberá incluir como mínimo:
a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y
d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.
-
El cumplimiento, por parte de los responsables o encargados de que se trate, de los códigos de conducta aprobados a que se refiere el artículo 40 se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados.
-
El responsable del tratamiento recabará, cuando proceda, la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
-
Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación.
-
En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.
Consulta previa
-
El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.
-
Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 58. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación.
-
Cuando el responsable del tratamiento consulte a la autoridad de control en virtud del apartado 1, le facilitará la información a que se refiere el artículo 35, apartados 7 y 8, así como cualquier otra información que la autoridad de control solicite.
-
Los Estados miembros consultarán a la autoridad de control en el proceso de elaboración de una propuesta de medida legislativa que haya de adoptar un parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que se refiera al tratamiento.
Designación del delegado de protección de datos
- El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
-
Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.
-
Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de dichas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
-
En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o de encargados podrán designar un delegado de protección de datos o deberán hacerlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de dichas asociaciones y otros organismos que representen a responsables o encargados.
-
El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.
-
El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
-
El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.
Posición del delegado de protección de datos
-
El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
-
El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
-
El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
-
Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
-
El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
-
El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.
Funciones del delegado de protección de datos
- El delegado de protección de datos tendrá como mínimo las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
- El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
Códigos de conducta
-
Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas.
-
Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta, o modificar o ampliar dichos códigos, con objeto de especificar la aplicación del presente Reglamento.
-
Además de la adhesión por los responsables o encargados sujetos al presente Reglamento, los códigos de conducta aprobados en virtud del apartado 5 del presente artículo y que sean de validez general con arreglo al apartado 9 del presente artículo también podrán ser objeto de adhesión por responsables o encargados del tratamiento no sujetos al presente Reglamento con arreglo al artículo 3, con el fin de ofrecer garantías adecuadas en el marco de las transferencias de datos personales a terceros países u organizaciones internacionales en las condiciones mencionadas en el artículo 46, apartado 2, letra e).
Supervisión de los códigos de conducta aprobados
-
Sin perjuicio de las funciones de las autoridades de control competentes con arreglo a los artículos 57 y 58, el control del cumplimiento de un código de conducta en virtud del artículo 40 podrá ser efectuado por un organismo que tenga el nivel adecuado de pericia en relación con el objeto del código y que haya sido acreditado para tal fin por la autoridad de control competente.
-
El organismo a que se refiere el apartado 1 podrá ser acreditado para supervisar el cumplimiento de un código de conducta siempre y cuando:
a) haya demostrado, a satisfacción de la autoridad de control competente, su independencia y pericia en relación con el objeto del código;
b) haya establecido procedimientos que le permitan evaluar la idoneidad de los responsables y encargados del tratamiento en cuestión para aplicar el código, supervisar el cumplimiento de sus disposiciones y revisar periódicamente su funcionamiento;
c) haya establecido procedimientos y estructuras para tratar las reclamaciones relativas a infracciones del código o al modo en que el código haya sido o esté siendo aplicado por un responsable o encargado del tratamiento, y para hacer dichos procedimientos y estructuras transparentes para los interesados y el público, y
d) haya demostrado, a satisfacción de la autoridad de control competente, que sus funciones y cometidos no dan lugar a conflicto de intereses.
-
La autoridad de control competente presentará el proyecto de criterios para la acreditación de un organismo a que se refiere el apartado 1 del presente artículo al Comité con arreglo al mecanismo de coherencia a que se refiere el artículo 63.
-
Sin perjuicio de las funciones y los poderes de la autoridad de control competente y de las disposiciones del capítulo VIII, un organismo como el mencionado en el apartado 1 del presente artículo, tomará, con sujeción a las garantías apropiadas, las medidas oportunas en caso de infracción del código por un responsable o un encargado del tratamiento, incluida la suspensión o exclusión del responsable o encargado del código.
-
La autoridad de control competente revocará la acreditación de un organismo a que se refiere el apartado 1 si no se cumplen o han dejado de cumplirse las condiciones para la acreditación, o las medidas tomadas por el organismo infringen el presente Reglamento.
-
El presente artículo no se aplicará al tratamiento efectuado por autoridades y organismos públicos.
Certificación
-
Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a escala de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados del tratamiento. Se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas.
-
Además de la adhesión por los responsables o los encargados del tratamiento sujetos al presente Reglamento, los mecanismos de certificación, sellos o marcas de protección de datos aprobados con arreglo al apartado 5 del presente artículo podrán establecerse a efectos de demostrar la existencia de garantías apropiadas ofrecidas por los responsables o encargados no sujetos al presente Reglamento con arreglo al artículo 3 en el marco de las transferencias de datos personales a terceros países u organizaciones internacionales en las condiciones mencionadas en el artículo 46, apartado 2, letra f).
-
La certificación será voluntaria y estará disponible a través de un proceso transparente.
-
La certificación con arreglo al presente artículo no limitará la responsabilidad del responsable o del encargado del tratamiento en cuanto al cumplimiento del presente Reglamento y se entenderá sin perjuicio de las funciones y los poderes de las autoridades de control que sean competentes en virtud de los artículos 55 o 56.
-
La certificación en virtud del presente artículo será emitida por los organismos de certificación a que se refiere el artículo 43 o por la autoridad de control competente, sobre la base de los criterios aprobados por dicha autoridad de control competente con arreglo al artículo 58, apartado 3, o por el Comité con arreglo al artículo 63.
-
La certificación se emitirá al responsable o encargado del tratamiento por un período máximo de tres años y podrá ser renovada en las mismas condiciones, siempre y cuando se sigan cumpliendo los requisitos pertinentes.
-
La certificación será retirada, en su caso, por los organismos de certificación a que se refiere el artículo 43, o por la autoridad de control competente, cuando no se cumplan o se hayan dejado de cumplir los requisitos para la certificación.
-
El Comité tomará en consideración todos los mecanismos de certificación y sellos y marcas de protección de datos y podrá publicar un registro de los mismos accesible públicamente por cualquier medio apropiado.
Organismos de certificación
-
Sin perjuicio de las funciones y los poderes de la autoridad de control competente con arreglo a los artículos 57 y 58, los organismos de certificación que posean el nivel adecuado de pericia en materia de protección de datos expedirán y renovarán las certificaciones, previa información a la autoridad de control para que esta pueda ejercer sus competencias en virtud del artículo 58, apartado 2, letra h), cuando sea necesario.
-
Los organismos de certificación a que se refiere el apartado 1 serán acreditados con arreglo al presente artículo por:
a) la autoridad de control que sea competente en virtud de los artículos 55 o 56;
b) el organismo nacional de acreditación designado de conformidad con el Reglamento (CE) n.o 765/2008 del Parlamento Europeo y del Consejo, con arreglo a la norma EN-ISO/IEC 17065/2012 y a los requisitos adicionales establecidos por la autoridad de control que sea competente en virtud de los artículos 55 o 56.
-
La acreditación de los organismos de certificación a que se refieren los apartados 1 y 2 del presente artículo se efectuará con arreglo a los criterios aprobados por la autoridad de control que sea competente en virtud del artículo 55 o 56, o por el Comité en virtud del artículo 63.
-
Los organismos de certificación a que se refiere el apartado 1 serán los responsables de la evaluación pertinente que dé lugar a la certificación o a la retirada de esta, sin perjuicio de la responsabilidad del responsable o del encargado del tratamiento en cuanto al cumplimiento del presente Reglamento.
-
La acreditación a que se refiere el presente artículo se emitirá por un período máximo de cinco años y podrá renovarse en las mismas condiciones siempre que el organismo de certificación reúna los requisitos establecidos en el presente artículo.
-
Los organismos de certificación a que se refiere el apartado 1 comunicarán a las autoridades de control competentes los motivos de la concesión o la retirada de la certificación solicitada.
-
Los requisitos del presente artículo y los criterios de certificación aprobados por las autoridades de control competentes de conformidad con los artículos 55 o 56 o por el Comité de conformidad con el artículo 63 serán publicados por dicha autoridad de control o por el Comité en un formato fácilmente accesible.
-
Las autoridades de control y el Comité comunicarán a la Comisión y entre sí los requisitos y criterios a que se refiere el apartado 3 del presente artículo. La Comisión los publicará de forma fácilmente accesible.
-
La Comisión podrá adoptar actos delegados de conformidad con el artículo 92 a fin de especificar los requisitos que han de tenerse en cuenta para los mecanismos de certificación en materia de protección de datos a que se refiere el artículo 42, apartado 1.
Principio general de las transferencias
Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.
Transferencias basadas en una decisión de adecuación
-
Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.
-
Al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta, en particular, los siguientes elementos:
a) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida en materia de seguridad pública, defensa, seguridad nacional y legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad;
b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional;
c) los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate.
-
La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado.
-
La Comisión supervisará de manera continuada la evolución en terceros países y organizaciones internacionales que pueda afectar al funcionamiento de las decisiones adoptadas con arreglo al apartado 3.
-
Cuando la información disponible revele, en particular tras la revisión a que se refiere el apartado 3 del presente artículo, que un tercer país, un territorio o un sector específico de un tercer país, o una organización internacional ya no garantiza un nivel de protección adecuado, la Comisión, mediante actos de ejecución, derogará, modificará o suspenderá la decisión a que se refiere el apartado 3.
-
La Comisión entablará consultas con el tercer país o la organización internacional con vistas a remediar la situación.
-
Las decisiones adoptadas al amparo del apartado 5 del presente artículo se entenderán sin perjuicio de las transferencias de datos personales al tercer país, el territorio o el sector específico de ese tercer país, o la organización internacional de que se trate realizadas en virtud de los artículos 46 a 49.
-
La Comisión publicará en el Diario Oficial de la Unión Europea y en su sitio web una lista de los terceros países, territorios y sectores específicos de un tercer país, y organizaciones internacionales respecto de los cuales haya decidido que se garantiza o no un nivel de protección adecuado.
-
Las decisiones adoptadas por la Comisión en virtud del artículo 25, apartado 6, de la Directiva 95/46/CE seguirán en vigor hasta que sean modificadas, sustituidas o derogadas por una decisión de la Comisión adoptada de conformidad con el apartado 3 o el apartado 5 del presente artículo.
Transferencias mediante garantías adecuadas
-
A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
-
Las garantías adecuadas contempladas en el apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por:
a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
b) normas corporativas vinculantes de conformidad con el artículo 47;
c) cláusulas tipo de protección de datos adoptadas por la Comisión;
d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión;
e) un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado en el tercer país;
f) un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado en el tercer país.
- Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante:
a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o
b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
Normas corporativas vinculantes
- La autoridad de control competente aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el artículo 63, siempre que estas:
a) sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados;
b) confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y
c) cumplan los requisitos establecidos en el apartado 2.
- Las normas corporativas vinculantes a que se refiere el apartado 1 especificarán, como mínimo:
a) la estructura y los datos de contacto del grupo empresarial o de la unión de empresas y de cada uno de sus miembros;
b) las transferencias o conjuntos de transferencias de datos;
c) su carácter jurídicamente vinculante, tanto a nivel interno como externo;
d) la aplicación de los principios generales en materia de protección de datos;
e) la aplicación de los derechos de los interesados;
f) la aceptación por parte del responsable o del encargado del tratamiento establecido en el territorio de un Estado miembro de la responsabilidad por cualquier violación de las normas corporativas vinculantes por parte de cualquier miembro de que se trate no establecido en la Unión;
g) los mecanismos establecidos dentro del grupo empresarial para garantizar la verificación del cumplimiento de las normas corporativas vinculantes;
h) los mecanismos de información y registro de las modificaciones de las normas y su notificación a la autoridad de control;
i) los mecanismos de cooperación con la autoridad de control;
j) los mecanismos para informar a la autoridad de control de cualquier requisito jurídico aplicable a un miembro del grupo empresarial en un tercer país;
k) la formación adecuada en materia de protección de datos al personal que tenga acceso permanente o habitual a datos personales.
- La Comisión podrá especificar el formato y los procedimientos para el intercambio de información entre los responsables, los encargados del tratamiento y las autoridades de control en relación con las normas corporativas vinculantes.
Transferencias o comunicaciones no autorizadas por el Derecho de la Unión
Ninguna resolución o sentencia de un órgano jurisdiccional o de una autoridad administrativa de un tercer país que exija a un responsable o encargado del tratamiento que transfiera o comunique datos personales será reconocida o ejecutable en modo alguno, sin perjuicio de los acuerdos internacionales vigentes entre el tercer país requirente y la Unión o un Estado miembro.
Excepciones para situaciones específicas
- En ausencia de una decisión de adecuación de conformidad con el artículo 45, apartado 3, o de garantías adecuadas de conformidad con el artículo 46, incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes:
a) el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él;
b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
c) la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
d) la transferencia sea necesaria por razones importantes de interés público;
e) la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;
f) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;
g) la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero solo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.
-
Una transferencia de conformidad con el apartado 1, párrafo primero, letra g), no abarcará la totalidad de los datos personales ni categorías enteras de datos personales contenidos en el registro.
-
En ausencia de una decisión de adecuación, el Derecho de la Unión o de los Estados miembros podrá, por razones importantes de interés público, establecer expresamente límites a la transferencia de categorías específicas de datos personales a un tercer país u organización internacional.
-
Las transferencias de conformidad con el apartado 1, párrafo primero, letras b), c) y d), y el párrafo segundo, solo podrán tener lugar cuando la transferencia no sea repetitiva, afecte solo a un número limitado de interesados, sea necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento haya evaluado todas las circunstancias concurrentes en la transferencia de datos.
-
El responsable del tratamiento informará a la autoridad de control de las transferencias contempladas en el apartado 1, párrafo segundo.
-
Las transferencias contempladas en el apartado 1, párrafo segundo, y el apartado 4 no serán aplicables a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos.
Cooperación internacional en el ámbito de la protección de datos personales
En relación con los terceros países y las organizaciones internacionales, la Comisión y las autoridades de control tomarán medidas apropiadas para:
a) crear mecanismos de cooperación internacional que faciliten la aplicación eficaz de la legislación relativa a la protección de datos personales;
b) prestarse mutuamente asistencia internacional en la aplicación de la legislación relativa a la protección de datos personales;
c) hacer partícipes a los interesados, incluidos los del sector privado y la sociedad civil, en los debates y actividades encaminados a promover la cooperación internacional en la aplicación de la legislación relativa a la protección de datos personales;
d) promover el intercambio y la documentación de las legislaciones y las prácticas en materia de protección de datos personales, inclusive en materia de conflictos de jurisdicción con terceros países.
Autoridad de control
-
Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en lo sucesivo, «autoridad de control») supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.
-
Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión con arreglo al capítulo VII.
-
Cuando exista más de una autoridad de control en un Estado miembro, este designará la autoridad de control que representará a dichas autoridades en el Comité y establecerá el mecanismo que garantice el cumplimiento por las demás autoridades de las normas relativas al mecanismo de coherencia a que se refiere el artículo 63.
-
Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad con el presente capítulo a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que les afecte.
Independencia
-
Cada autoridad de control actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento.
-
El miembro o los miembros de cada autoridad de control serán ajenos, en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento, a toda influencia externa, ya sea directa o indirecta, y no solicitarán ni admitirán ninguna instrucción.
-
El miembro o los miembros de cada autoridad de control se abstendrán de cualquier acción que sea incompatible con sus funciones y no participarán, mientras dure su mandato, en ninguna actividad profesional que sea incompatible, ya sea o no remunerada.
-
Cada Estado miembro garantizará que cada autoridad de control disponga de los recursos humanos, técnicos y financieros, así como de los locales e infraestructuras, necesarios para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes, incluidos aquellos que haya de ejercer en el marco de la asistencia mutua, la cooperación y la participación en el Comité.
-
Cada Estado miembro garantizará que cada autoridad de control seleccione y disponga de su propio personal, que estará bajo la dirección exclusiva del miembro o miembros de la autoridad de control interesada.
-
Cada Estado miembro garantizará que cada autoridad de control esté sujeta a un control financiero que no afecte a su independencia y que disponga de presupuestos anuales, propios e independientes, que podrán formar parte del presupuesto general estatal o nacional.
Condiciones generales aplicables a los miembros de la autoridad de control
-
Los Estados miembros dispondrán que cada miembro de sus autoridades de control sea nombrado mediante un procedimiento transparente por su parlamento, su Gobierno, su jefe de Estado, o un organismo independiente encargado de efectuar el nombramiento en virtud del Derecho del Estado miembro.
-
Cada miembro poseerá la titulación, la experiencia y las aptitudes, en particular en el ámbito de la protección de datos personales, necesarias para el cumplimiento de sus funciones y el ejercicio de sus poderes.
-
Las funciones de cada miembro finalizarán al término de su mandato, en caso de dimisión o de cese, de conformidad con el Derecho del Estado miembro de que se trate.
-
Un miembro solo será cesado cuando haya incurrido en falta grave o cuando haya dejado de cumplir las condiciones exigidas para el ejercicio de sus funciones.
Normas relativas al establecimiento de la autoridad de control
- Cada Estado miembro establecerá por ley todos los aspectos que se indican a continuación:
a) el establecimiento de cada autoridad de control;
b) las cualificaciones y condiciones de idoneidad exigidas para ser nombrado miembro de cada autoridad de control;
c) las normas y procedimientos para el nombramiento del miembro o miembros de cada autoridad de control;
d) la duración del mandato del miembro o miembros de cada autoridad de control, que no será inferior a cuatro años, salvo para el primer nombramiento tras el 24 de mayo de 2016, que podrá ser de período más breve cuando ello sea necesario para proteger la independencia de la autoridad de control mediante un procedimiento de nombramientos escalonados;
e) si el miembro o miembros de cada autoridad de control pueden ser renovados en su mandato y, en tal caso, durante cuántos mandatos;
f) las condiciones que regulan las obligaciones del miembro o miembros y del personal de cada autoridad de control;
g) las normas y los procedimientos comunes aplicables al cese de las funciones del miembro o miembros de cada autoridad de control.
- El miembro o miembros y el personal de cada autoridad de control estarán sujetos, de conformidad con el Derecho de la Unión o de los Estados miembros, al deber de secreto profesional tanto durante su mandato como después del mismo, sobre toda información confidencial a que hayan tenido acceso en el cumplimiento de sus funciones o el ejercicio de sus poderes.
Competencia
-
Cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el presente Reglamento en el territorio de su propio Estado miembro.
-
Cuando el tratamiento sea efectuado por autoridades públicas o por organismos privados que actúen de conformidad con el artículo 6, apartado 1, letras c) o e), será competente la autoridad de control del Estado miembro de que se trate. En ese caso, no será de aplicación el artículo 56.
-
Las autoridades de control no serán competentes para controlar las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial.
Competencia de la autoridad de control principal
-
Sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal de las operaciones de tratamiento transfronterizo realizadas por dicho responsable o encargado de conformidad con el procedimiento establecido en el artículo 60.
-
No obstante lo dispuesto en el apartado 1, cada autoridad de control será competente para conocer de las reclamaciones presentadas o de las posibles infracciones del presente Reglamento, si su objeto se refiere únicamente a un establecimiento en su Estado miembro o afecta sustancialmente a interesados en su Estado miembro únicamente.
-
En los casos a que se refiere el apartado 2 del presente artículo, la autoridad de control informará de ello sin demora a la autoridad de control principal. En el plazo de tres semanas a partir de la fecha en que se le haya informado, la autoridad de control principal decidirá si se ocupa o no del caso de conformidad con el procedimiento establecido en el artículo 60, teniendo en cuenta si hay un establecimiento del responsable o del encargado del tratamiento en el Estado miembro del que le haya informado la autoridad de control.
-
Cuando la autoridad de control principal decida ocuparse del caso, será de aplicación el procedimiento establecido en el artículo 60. La autoridad de control que haya informado a la autoridad de control principal podrá presentarle un proyecto de decisión. La autoridad de control principal tendrá en cuenta en la mayor medida posible dicho proyecto al preparar el proyecto de decisión a que se refiere el artículo 60, apartado 3.
-
Cuando la autoridad de control principal decida no ocuparse del caso, se ocupará del mismo la autoridad de control que le haya informado, de conformidad con los artículos 61 y 62.
-
La autoridad de control principal será el único interlocutor del responsable o del encargado del tratamiento en cuestión en relación con el tratamiento transfronterizo efectuado por dicho responsable o encargado.
Funciones
- Sin perjuicio de otras funciones previstas en el presente Reglamento, cada autoridad de control, en su territorio:
a) controlará la aplicación del presente Reglamento y la hará cumplir;
b) promoverá la sensibilización y el conocimiento del público en relación con los riesgos, las normas, las garantías y los derechos en relación con el tratamiento;
c) asesorará, de conformidad con el Derecho del Estado miembro, al parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento;
d) promoverá la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento;
e) atenderá las reclamaciones de cualquier interesado o de cualquier organismo, organización o asociación de conformidad con el artículo 80, e investigará, en la medida oportuna, el motivo de la reclamación e informará al reclamante sobre el curso y el resultado de la investigación en un plazo razonable;
f) tratará con otras autoridades de control y cooperará con ellas con vistas a garantizar la coherencia de la aplicación y ejecución del presente Reglamento;
g) llevará a cabo investigaciones sobre la aplicación del presente Reglamento;
h) hará un seguimiento de las novedades que revistan interés, en la medida en que tengan incidencia en la protección de datos personales;
i) adoptará las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);
j) elaborará y mantendrá una lista relativa al requisito de evaluación de impacto relativa a la protección de datos, de conformidad con el artículo 35, apartado 4;
k) contribuirá a las actividades del Comité;
l) llevará un registro interno de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2;
m) cumplirá cualquier otra función relacionada con la protección de datos personales.
-
Cada autoridad de control facilitará la presentación de reclamaciones a que se refiere el apartado 1, letra f), mediante medidas como la puesta a disposición de un formulario de presentación de reclamaciones que pueda cumplimentarse también de forma electrónica, sin excluir otros medios de comunicación.
-
Cada autoridad de control desempeñará sus funciones sin coste alguno para el interesado y, en su caso, para el delegado de protección de datos.
-
Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá cobrar un canon razonable basado en los costes administrativos o negarse a actuar respecto de la solicitud.
Poderes
- Cada autoridad de control dispondrá de los siguientes poderes de investigación:
a) ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones;
b) llevar a cabo investigaciones en forma de auditorías de protección de datos;
c) llevar a cabo una revisión de las certificaciones expedidas en virtud del artículo 42, apartado 7;
d) notificar al responsable o al encargado del tratamiento las presuntas infracciones del presente Reglamento;
e) obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el desempeño de sus funciones;
f) obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho procesal de la Unión o de los Estados miembros.
- Cada autoridad de control dispondrá de todos los siguientes poderes correctivos:
a) advertir a un responsable o encargado del tratamiento que las operaciones de tratamiento previstas pueden infringir las disposiciones del presente Reglamento;
b) sancionar con apercibimiento a todo responsable o encargado del tratamiento que haya infringido las disposiciones del presente Reglamento;
c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, indicando, en su caso, la forma y el plazo;
e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;
f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;
g) ordenar la rectificación o supresión de datos personales o la limitación del tratamiento con arreglo a los artículos 16, 17 y 18;
h) retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43;
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;
j) ordenar la suspensión de los flujos de datos hacia un destinatario en un tercer país o hacia una organización internacional.
- Cada autoridad de control dispondrá de todos los siguientes poderes de autorización y consultivos:
a) asesorar al responsable del tratamiento conforme al procedimiento de consulta previa a que se refiere el artículo 36;
b) emitir, por iniciativa propia o previa solicitud, dictámenes destinados al parlamento nacional, al gobierno del Estado miembro o, con arreglo al Derecho del Estado miembro, a otras instituciones y organismos, así como al público, sobre cualquier asunto relacionado con la protección de datos personales;
c) autorizar el tratamiento a que se refiere el artículo 36, apartado 5, si el Derecho del Estado miembro requiere dicha autorización previa;
d) emitir un dictamen y aprobar los proyectos de códigos de conducta de conformidad con el artículo 40, apartado 5;
e) acreditar organismos de certificación con arreglo al artículo 43;
f) emitir las certificaciones y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5;
g) adoptar las cláusulas tipo de protección de datos a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);
h) autorizar las cláusulas contractuales a que se refiere el artículo 46, apartado 3, letra a);
i) autorizar los acuerdos administrativos a que se refiere el artículo 46, apartado 3, letra b);
j) aprobar normas corporativas vinculantes de conformidad con el artículo 47.
-
El ejercicio de los poderes conferidos a la autoridad de control en virtud del presente artículo estará sujeto a garantías adecuadas, incluida la tutela judicial efectiva y las garantías de un proceso justo, establecidas en el Derecho de la Unión y en el Derecho de los Estados miembros de conformidad con la Carta.
-
Cada Estado miembro dispondrá por ley que su autoridad de control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y, en su caso, para iniciar procedimientos judiciales o intervenir de otro modo en ellos, con el fin de hacer cumplir las disposiciones del presente Reglamento.
-
Cada Estado miembro podrá disponer por ley que su autoridad de control tenga poderes adicionales a los mencionados en los apartados 1, 2 y 3. El ejercicio de dichos poderes no afectará al funcionamiento efectivo del capítulo VII.
Informes de actividad
Cada autoridad de control elaborará un informe anual de sus actividades, que podrá incluir una lista de los tipos de infracciones notificadas y de los tipos de medidas adoptadas de conformidad con el artículo 58, apartado 2. Dichos informes se transmitirán al parlamento nacional, al Gobierno y a otras autoridades designadas por el Derecho del Estado miembro. Se pondrán a disposición del público, de la Comisión y del Comité.
Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas
-
La autoridad de control principal cooperará con las demás autoridades de control interesadas de conformidad con el presente artículo, esforzándose por llegar a un consenso. La autoridad de control principal y las autoridades de control interesadas se intercambiarán mutuamente toda la información pertinente.
-
La autoridad de control principal podrá solicitar en todo momento a las demás autoridades de control interesadas que presten asistencia mutua de conformidad con el artículo 61 y podrá llevar a cabo operaciones conjuntas de conformidad con el artículo 62, en particular para llevar a cabo investigaciones o para supervisar la aplicación de una medida relativa a un responsable o encargado del tratamiento establecido en otro Estado miembro.
-
La autoridad de control principal comunicará sin demora la información pertinente sobre el asunto a las demás autoridades de control interesadas. Presentará sin demora un proyecto de decisión a las demás autoridades de control interesadas para recabar su dictamen y tendrá debidamente en cuenta sus puntos de vista.
-
Cuando cualquiera de las demás autoridades de control interesadas formule una objeción pertinente y motivada al proyecto de decisión en un plazo de cuatro semanas después de haber sido consultada de conformidad con el apartado 3 del presente artículo, la autoridad de control principal, en caso de no seguir la objeción pertinente y motivada o de considerar que la objeción no es pertinente o no está motivada, someterá el asunto al mecanismo de coherencia a que se refiere el artículo 63.
Asistencia mutua
-
Las autoridades de control se facilitarán la información pertinente y se prestarán asistencia mutua a fin de aplicar y hacer cumplir el presente Reglamento de forma coherente, y tomarán medidas para cooperar de forma efectiva entre sí. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, como las solicitudes de autorización y consulta previas, y las solicitudes de inspecciones e investigaciones.
-
Cada autoridad de control tomará todas las medidas oportunas que se requieran para responder a una solicitud de otra autoridad de control sin dilación indebida y, a más tardar, un mes después de haber recibido la solicitud.
-
Las solicitudes de asistencia incluirán toda la información necesaria, incluida la finalidad y los motivos de la solicitud. La información intercambiada se utilizará exclusivamente para el fin para el que se solicitó.
-
La autoridad de control requerida no se negará a dar curso a la solicitud, salvo que no sea competente en relación con el objeto de la solicitud o las medidas cuya ejecución se solicite, o que dar curso a la solicitud infrinja el presente Reglamento o el Derecho de la Unión o del Estado miembro al que esté sujeta la autoridad de control que reciba la solicitud.
-
La autoridad de control requerida informará a la autoridad de control solicitante de los resultados obtenidos o, según el caso, del curso de las medidas tomadas para responder a la solicitud.
-
Las autoridades de control requeridas facilitarán, por medios electrónicos y sin dilación indebida, la información solicitada por otras autoridades de control, utilizando un formulario normalizado.
-
Las medidas adoptadas en respuesta a una solicitud de asistencia mutua no darán lugar a gastos. Las autoridades de control podrán acordar normas para la indemnización recíproca por gastos específicos resultantes de la prestación de asistencia mutua en circunstancias excepcionales.
-
Cuando una autoridad de control no facilite la información a que se refiere el apartado 5 del presente artículo en el plazo de un mes a partir de la recepción de la solicitud de otra autoridad de control, la autoridad de control solicitante podrá adoptar una medida provisional en el territorio de su Estado miembro de conformidad con el artículo 55, apartado 1.
-
La Comisión podrá especificar, mediante actos de ejecución, el formato y los procedimientos de la asistencia mutua a que se refiere el presente artículo y las modalidades del intercambio de información por medios electrónicos entre las autoridades de control y entre las autoridades de control y el Comité.
Operaciones conjuntas de las autoridades de control
-
Cuando proceda, las autoridades de control llevarán a cabo operaciones conjuntas, que incluyan investigaciones conjuntas y medidas de ejecución conjuntas, en las que participen miembros o personal de las autoridades de control de otros Estados miembros.
-
En caso de que el responsable o el encargado del tratamiento tenga establecimientos en varios Estados miembros o de que las operaciones de tratamiento puedan afectar sustancialmente a un número significativo de interesados en más de un Estado miembro, una autoridad de control de cada uno de esos Estados miembros tendrá derecho a participar en las operaciones conjuntas. La autoridad de control que sea competente de conformidad con el artículo 55, apartado 1, o el artículo 56, apartados 1 o 4, invitará a la autoridad de control de cada uno de esos Estados miembros a participar en las operaciones conjuntas de que se trate y responderá sin demora a la solicitud de un miembro o del personal de una autoridad de control en relación con su participación en operaciones conjuntas.
-
Una autoridad de control podrá, de conformidad con el Derecho del Estado miembro, y con la autorización de la autoridad de control que actúe como anfitriona, conferir poderes, incluidos poderes de investigación, a los miembros o al personal de la autoridad de control que participe en las operaciones conjuntas, o permitir que los miembros o el personal de la autoridad de control que participe en las operaciones conjuntas ejerzan sus poderes de investigación de conformidad con el Derecho del Estado miembro de la autoridad de control que actúe como anfitriona.
-
Cuando, de conformidad con el apartado 1, el personal de una autoridad de control que actúe como participante opere en otro Estado miembro, el Estado miembro de la autoridad de control que actúe como anfitriona asumirá la responsabilidad de sus actos, incluida la responsabilidad por los daños que cause durante las operaciones, de conformidad con el Derecho del Estado miembro en cuyo territorio esté operando.
-
El Estado miembro en cuyo territorio se causen los daños reparará estos según las condiciones aplicables a los daños causados por su propio personal. El Estado miembro de la autoridad de control que actúe como participante cuyo personal haya causado daños a una persona en el territorio de otro Estado miembro reembolsará íntegramente a este último las sumas que haya abonado a los derechohabientes en nombre de dicha persona.
-
Sin perjuicio del ejercicio de sus derechos frente a terceros y a excepción de lo dispuesto en el apartado 5, cada Estado miembro renunciará, en el supuesto previsto en el apartado 1, a solicitar a otro Estado miembro el reembolso de los daños a que se refiere el apartado 4.
-
Cuando se prevea una operación conjunta y una autoridad de control no cumpla en el plazo de un mes la obligación establecida en el apartado 2, segunda frase, del presente artículo, las demás autoridades de control podrán adoptar una medida provisional en el territorio de su Estado miembro de conformidad con el artículo 55.
-
La Comisión podrá especificar, mediante actos de ejecución, el formato y los procedimientos de las operaciones conjuntas en virtud del presente artículo.
Mecanismo de coherencia
Con el fin de contribuir a la aplicación coherente del presente Reglamento en toda la Unión, las autoridades de control cooperarán entre sí y, en su caso, con la Comisión a través del mecanismo de coherencia establecido en la presente sección.
Dictamen del Comité
- El Comité emitirá un dictamen en todos los casos en que una autoridad de control competente proyecte adoptar cualquiera de las medidas que se indican a continuación. A tal efecto, la autoridad de control competente comunicará el proyecto de decisión al Comité, cuando dicha decisión:
a) tenga por objeto adoptar una lista de las operaciones de tratamiento supeditadas al requisito de evaluación de impacto relativa a la protección de datos, de conformidad con el artículo 35, apartado 4;
b) afecte a un asunto de conformidad con el artículo 40, apartado 7, relativo a si un proyecto de código de conducta, o una modificación o ampliación de un código de conducta, es conforme con el presente Reglamento;
c) tenga por objeto aprobar los criterios de acreditación de un organismo con arreglo al artículo 41, apartado 3, o un organismo de certificación con arreglo al artículo 43, apartado 3;
d) tenga por objeto determinar las cláusulas tipo de protección de datos a que se refieren el artículo 46, apartado 2, letra d), y el artículo 28, apartado 8;
e) tenga por objeto autorizar las cláusulas contractuales a que se refiere el artículo 46, apartado 3, letra a), o
f) tenga por objeto aprobar normas corporativas vinculantes a tenor del artículo 47.
-
Cualquier autoridad de control, el presidente del Comité o la Comisión podrá solicitar que cualquier asunto de aplicación general o que produzca efectos en más de un Estado miembro sea examinado por el Comité con el fin de obtener un dictamen.
-
El Comité emitirá un dictamen sobre el asunto que se le presente de conformidad con los apartados 1 y 2, en un plazo de ocho semanas por mayoría simple de sus miembros. Dicho plazo podrá prorrogarse seis semanas más, teniendo en cuenta la complejidad del asunto.
-
Cuando el Comité no haya podido emitir un dictamen en los plazos a que se refiere el apartado 3, adoptará su dictamen en el plazo de dos semanas por mayoría simple de sus miembros.
-
El presidente del Comité informará sin dilación indebida al destinatario del dictamen emitido de conformidad con los apartados 1 y 2 y lo hará público.
-
La autoridad de control competente tendrá en cuenta en la mayor medida posible el dictamen del Comité y comunicará a su presidente, en el plazo de dos semanas desde la recepción de dicho dictamen, por medios electrónicos y utilizando un formulario normalizado, si va a mantener o a modificar su proyecto de decisión y, en su caso, el proyecto de decisión modificado.
Resolución de conflictos por el Comité
- Con el fin de garantizar la aplicación correcta y coherente del presente Reglamento en casos individuales, el Comité adoptará una decisión vinculante en los siguientes casos:
a) cuando, en un caso contemplado en el artículo 60, apartado 4, una autoridad de control interesada haya formulado una objeción pertinente y motivada al proyecto de decisión de la autoridad principal o la autoridad principal haya rechazado tal objeción por no pertinente o no motivada;
b) cuando haya opiniones contradictorias sobre cuál de las autoridades de control afectadas es competente para el establecimiento principal;
c) cuando una autoridad de control competente no solicite el dictamen del Comité en los casos a que se refiere el artículo 64, apartado 1, o no siga el dictamen del Comité emitido con arreglo al artículo 64.
-
La decisión a que se refiere el apartado 1 se adoptará en el plazo de un mes a partir de la remisión del asunto, por mayoría de dos tercios de los miembros del Comité.
-
Cuando el Comité no haya podido adoptar una decisión dentro del plazo contemplado en el apartado 2, adoptará su decisión en el plazo de dos semanas a partir de la expiración de dicho plazo por mayoría simple de sus miembros.
-
Las autoridades de control interesadas no adoptarán ninguna decisión sobre el asunto presentado al Comité de conformidad con el apartado 1 durante los plazos a que se refieren los apartados 2 y 3.
-
El presidente del Comité notificará sin dilación indebida a las autoridades de control interesadas la decisión a que se refiere el apartado 1, informará de ella a la Comisión y la hará pública.
Procedimiento de urgencia
-
En circunstancias excepcionales, cuando una autoridad de control interesada considere que es urgente intervenir para proteger los derechos y las libertades de los interesados, podrá, no obstante lo dispuesto en el mecanismo de coherencia a que se refieren los artículos 63, 64 y 65, o el procedimiento a que se refiere el artículo 60, adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio con un período de validez determinado que no será superior a tres meses. La autoridad de control comunicará sin demora dichas medidas y los motivos de su adopción a las demás autoridades de control interesadas, al Comité y a la Comisión.
-
Cuando una autoridad de control haya adoptado una medida en virtud del apartado 1 y considere que es preciso adoptar urgentemente medidas definitivas, podrá solicitar un dictamen urgente o una decisión vinculante urgente del Comité, motivando la solicitud de dicho dictamen o decisión.
-
Cualquier autoridad de control podrá solicitar un dictamen urgente o una decisión vinculante urgente, según proceda, del Comité cuando una autoridad de control competente no haya adoptado una medida adecuada en una situación en la que hay necesidad urgente de actuar, a fin de proteger los derechos y libertades de los interesados, motivando la solicitud de dicho dictamen o decisión, en particular la necesidad urgente de actuar.
-
No obstante lo dispuesto en el artículo 64, apartado 3, y en el artículo 65, apartado 2, los dictámenes urgentes y las decisiones vinculantes urgentes a que se refieren los apartados 2 y 3 del presente artículo serán adoptados en el plazo de dos semanas por mayoría simple de los miembros del Comité.
Intercambio de información
La Comisión podrá adoptar actos de ejecución de alcance general para especificar las modalidades del intercambio de información por medios electrónicos entre las autoridades de control y entre estas y el Comité, en particular el formulario normalizado a que se refiere el artículo 64.
Comité Europeo de Protección de Datos
-
Se crea el Comité Europeo de Protección de Datos como organismo de la Unión con personalidad jurídica.
-
El Comité estará representado por su presidente.
-
El Comité estará compuesto por el director de una autoridad de control de cada Estado miembro y por el Supervisor Europeo de Protección de Datos, o sus representantes respectivos.
-
Cuando en un Estado miembro haya más de una autoridad de control responsable de la supervisión de la aplicación de las disposiciones del presente Reglamento, se nombrará a un representante común de conformidad con la legislación de ese Estado miembro.
-
La Comisión tendrá derecho a participar en las actividades y reuniones del Comité sin derecho a voto. La Comisión designará a un representante. El presidente del Comité comunicará a la Comisión las actividades del Comité.
-
En los casos a que se refiere el artículo 65, el Supervisor Europeo de Protección de Datos solo tendrá derecho a voto en relación con las decisiones relativas a los principios y normas aplicables a las instituciones, órganos y organismos de la Unión que se correspondan, en cuanto al fondo, con los del presente Reglamento.
Independencia
-
El Comité actuará con independencia en el desempeño de sus funciones o en el ejercicio de sus poderes de conformidad con los artículos 70 y 71.
-
Sin perjuicio de las solicitudes de la Comisión a que se refiere el artículo 70, apartado 1, letra b), y el artículo 70, apartado 2, el Comité no solicitará ni admitirá instrucciones de nadie en el desempeño de sus funciones o el ejercicio de sus poderes.
Funciones del Comité
- El Comité garantizará la aplicación coherente del presente Reglamento. A tal efecto, el Comité, de oficio o, en su caso, a petición de la Comisión:
a) supervisará y garantizará la correcta aplicación del presente Reglamento;
b) asesorará a la Comisión sobre cualquier asunto relativo a la protección de datos personales en la Unión, incluida cualquier propuesta de modificación del presente Reglamento;
c) asesorará a la Comisión sobre el formato y los procedimientos para el intercambio de información entre los responsables, los encargados y las autoridades de control en relación con las normas corporativas vinculantes;
d) emitirá directrices, recomendaciones y buenas prácticas sobre los procedimientos de supresión de enlaces, copias o réplicas de datos personales procedentes de servicios de comunicación accesibles al público a que se refiere el artículo 17, apartado 2;
e) examinará, por iniciativa propia o a solicitud de uno de sus miembros o de la Comisión, cualquier cuestión relativa a la aplicación del presente Reglamento y emitirá directrices, recomendaciones y buenas prácticas con el fin de promover la aplicación coherente del presente Reglamento;
f) emitirá directrices, recomendaciones y buenas prácticas de conformidad con la letra e) del presente apartado para determinar con mayor precisión los criterios y condiciones de las decisiones basadas en la elaboración de perfiles en virtud del artículo 22, apartado 2;
g) emitirá directrices, recomendaciones y buenas prácticas de conformidad con la letra e) del presente apartado para establecer las violaciones de la seguridad de los datos personales y determinar la dilación indebida a que se refiere el artículo 33, apartados 1 y 2, y para las circunstancias particulares en las que el responsable o el encargado del tratamiento están obligados a notificar la violación de la seguridad de los datos personales;
h) emitirá directrices, recomendaciones y buenas prácticas de conformidad con la letra e) del presente apartado sobre las circunstancias en que una violación de la seguridad de los datos personales puede entrañar un alto riesgo para los derechos y libertades de las personas físicas a que se refiere el artículo 34, apartado 1;
i) emitirá directrices, recomendaciones y buenas prácticas de conformidad con la letra e) del presente apartado a fin de especificar los criterios y requisitos de las transferencias de datos personales basadas en normas corporativas vinculantes aplicadas por los responsables del tratamiento y por los encargados del tratamiento y otros requisitos necesarios para asegurar la protección de los datos personales de los interesados de que se trate a que se refiere el artículo 47;
j) emitirá directrices, recomendaciones y buenas prácticas de conformidad con la letra e) del presente apartado a fin de especificar los criterios y requisitos de las transferencias de datos personales basadas en el artículo 49, apartado 1;
k) elaborará directrices para las autoridades de control relativas a la aplicación de las medidas a que se refiere el artículo 58, apartados 1, 2 y 3, y a la fijación de multas administrativas de conformidad con el artículo 83;
l) revisará la aplicación práctica de las directrices, recomendaciones y buenas prácticas a que se refieren las letras e) y f);
m) emitirá directrices, recomendaciones y buenas prácticas de conformidad con la letra e) del presente apartado para establecer procedimientos comunes para la comunicación por personas físicas de infracciones del presente Reglamento de conformidad con el artículo 54, apartado 2;
n) fomentará la elaboración de códigos de conducta y la creación de mecanismos de certificación de protección de datos y de sellos y marcas de protección de datos de conformidad con los artículos 40 y 42;
o) llevará a cabo la acreditación de organismos de certificación y su revisión periódica de conformidad con el artículo 43, y mantendrá un registro público de los organismos acreditados de conformidad con el artículo 43, apartado 6, y de los responsables o encargados del tratamiento acreditados, establecidos en terceros países, de conformidad con el artículo 42, apartado 7;
p) especificará los requisitos mencionados en el artículo 43, apartado 3, con vistas a la acreditación de los organismos de certificación con arreglo al artículo 42;
q) facilitará a la Comisión un dictamen sobre los requisitos de certificación a que se refiere el artículo 43, apartado 8;
r) facilitará a la Comisión un dictamen sobre los iconos a que se refiere el artículo 12, apartado 7;
s) facilitará a la Comisión un dictamen para evaluar la adecuación del nivel de protección en un tercer país u organización internacional;
t) facilitará a la Comisión un dictamen para evaluar si un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional, ha dejado de garantizar un nivel de protección adecuado;
u) emitirá dictámenes sobre los proyectos de decisión de las autoridades de control con arreglo al mecanismo de coherencia a que se refiere el artículo 64, apartado 1, sobre asuntos planteados con arreglo al artículo 64, apartado 2, y emitirá decisiones vinculantes con arreglo al artículo 65, incluidos los casos a que se refiere el artículo 66;
v) promoverá la cooperación y el intercambio bilateral y multilateral efectivo de información y buenas prácticas entre las autoridades de control;
w) promoverá los programas de formación conjunta y facilitará el intercambio de personal entre las autoridades de control;
x) promoverá el intercambio de conocimientos e información sobre legislación y prácticas en materia de protección de datos con las autoridades de control de protección de datos de todo el mundo;
y) emitirá dictámenes sobre los códigos de conducta elaborados a escala de la Unión con arreglo al artículo 40, apartado 9, y
z) mantendrá un registro electrónico de decisiones adoptadas por las autoridades de control y los tribunales en relación con cuestiones tramitadas en el marco del mecanismo de coherencia, que será accesible al público.
-
Cuando la Comisión solicite asesoramiento al Comité, podrá indicar un plazo, en función de la urgencia del asunto.
-
El Comité transmitirá sus dictámenes, directrices, recomendaciones y buenas prácticas a la Comisión y al comité a que se refiere el artículo 93, y los hará públicos.
-
El Comité consultará, en su caso, a las partes interesadas y les dará la oportunidad de formular observaciones en un plazo razonable. El Comité hará públicos, sin perjuicio del artículo 76, los resultados del procedimiento de consulta.
Informes
-
El Comité elaborará un informe anual sobre la protección de las personas físicas en lo que respecta al tratamiento en la Unión y, en su caso, en terceros países y organizaciones internacionales. El informe se hará público y se transmitirá al Parlamento Europeo, al Consejo y a la Comisión.
-
El informe anual incluirá una revisión de la aplicación práctica de las directrices, recomendaciones y buenas prácticas a que se refiere el artículo 70, apartado 1, letra l), así como de las decisiones vinculantes a que se refiere el artículo 65.
Procedimiento
-
El Comité tomará sus decisiones por mayoría simple de sus miembros, salvo disposición en contrario del presente Reglamento.
-
El Comité adoptará su propio reglamento interno por mayoría de dos tercios de sus miembros y organizará sus propios procedimientos operativos.
Presidente
-
El Comité elegirá a un presidente y a dos vicepresidentes de entre sus miembros por mayoría simple.
-
El mandato del presidente y de los vicepresidentes será de cinco años y será renovable una vez.
Funciones del presidente
- Las funciones del presidente serán las siguientes:
a) convocar las reuniones del Comité y preparar el orden del día;
b) notificar las decisiones adoptadas por el Comité en virtud del artículo 65 a la autoridad de control principal y a las autoridades de control interesadas;
c) asegurar la ejecución puntual de las funciones del Comité, en particular en relación con el mecanismo de coherencia a que se refiere el artículo 63.
- El Comité establecerá en su reglamento interno la distribución de funciones entre el presidente y los vicepresidentes.
Secretaría
-
El Comité dispondrá de una secretaría, que será proporcionada por el Supervisor Europeo de Protección de Datos.
-
La secretaría desempeñará sus funciones exclusivamente bajo las instrucciones del presidente del Comité.
-
El personal del Supervisor Europeo de Protección de Datos que participe en el ejercicio de las funciones atribuidas al Comité por el presente Reglamento estará sujeto a un régimen de jerarquía funcional independiente del personal del Supervisor Europeo de Protección de Datos y rendirá cuentas ante el presidente del Comité.
-
Cuando proceda, el Comité y el Supervisor Europeo de Protección de Datos establecerán y publicarán un memorando de entendimiento en aplicación del presente artículo, en el que se determinen los términos de su cooperación y que se aplicará al personal del Supervisor Europeo de Protección de Datos que participe en el ejercicio de las funciones atribuidas al Comité por el presente Reglamento.
-
La secretaría proporcionará apoyo analítico, administrativo y logístico al Comité.
-
La secretaría se encargará en particular:
a) del trabajo diario del Comité;
b) de la comunicación entre los miembros del Comité, su presidente y la Comisión;
c) de la comunicación con otras instituciones y el público;
d) de la utilización de medios electrónicos para la comunicación interna y externa;
e) de la traducción de la información pertinente;
f) de la preparación y el seguimiento de las reuniones del Comité;
g) de la preparación, redacción y publicación de dictámenes, decisiones sobre la resolución de conflictos entre autoridades de control y otros textos adoptados por el Comité.
Confidencialidad
-
Los debates del Comité serán confidenciales cuando el Comité lo considere necesario, conforme a lo dispuesto en su reglamento interno.
-
El acceso a los documentos presentados a los miembros del Comité, los expertos y los representantes de terceros se regirá por el Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo.
Derecho a presentar una reclamación ante una autoridad de control
-
Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la presunta infracción, si considera que el tratamiento de datos personales que le concierne infringe el presente Reglamento.
-
La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de accionar judicialmente en virtud del artículo 78.
Derecho a la tutela judicial efectiva contra una autoridad de control
-
Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.
-
Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente con arreglo a los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77.
-
Las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que la autoridad de control esté establecida.
-
Cuando se ejercite una acción contra una decisión de una autoridad de control que haya sido precedida de un dictamen o una decisión del Comité en el mecanismo de coherencia, la autoridad de control transmitirá al tribunal dicho dictamen o decisión.
Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento
-
Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales no conforme con el presente Reglamento.
-
Las acciones contra un responsable o un encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en el ejercicio de sus poderes públicos.
Representación de los interesados
-
El interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación, para que ejerza en su nombre los derechos contemplados en los artículos 77, 78 y 79, y para que ejerza en su nombre el derecho a ser indemnizado contemplado en el artículo 82, si así lo establece el Derecho de los Estados miembros.
-
Los Estados miembros podrán disponer que cualquier entidad, organización o asociación a las que se refiere el apartado 1 del presente artículo, con independencia de cualquier mandato de un interesado, tenga derecho a presentar en dicho Estado miembro una reclamación ante la autoridad de control que sea competente en virtud del artículo 77, y a ejercer los derechos mencionados en los artículos 78 y 79, cuando considere que los derechos de un interesado en virtud del presente Reglamento se han vulnerado como consecuencia del tratamiento.
Suspensión de los procedimientos
-
Cuando un tribunal competente de un Estado miembro tenga información de que se está tramitando un procedimiento sobre el mismo objeto en relación con un tratamiento por el mismo responsable o encargado del tratamiento ante un tribunal de otro Estado miembro, contactará con dicho tribunal del otro Estado miembro para confirmar la existencia de tal procedimiento.
-
Cuando se esté tramitando un procedimiento sobre el mismo objeto en relación con un tratamiento por el mismo responsable o encargado del tratamiento ante un tribunal de otro Estado miembro, cualquier tribunal competente distinto del que conoció del asunto en primer lugar podrá suspender el procedimiento.
-
Cuando tal procedimiento se encuentre en primera instancia, cualquier tribunal competente, distinto del que conoció del asunto en primer lugar, podrá también inhibirse a instancia de una de las partes, a condición de que el tribunal que conoció del asunto en primer lugar sea competente para conocer de las acciones de que se trate y su Derecho permita la acumulación de estas.
Derecho a indemnización y responsabilidad
-
Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
-
Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.
-
El responsable o el encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
-
Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean, con arreglo a los apartados 2 y 3, responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado.
-
Cuando un responsable o encargado del tratamiento haya pagado, con arreglo al apartado 4, la totalidad de la indemnización por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en la misma operación de tratamiento la parte de la indemnización correspondiente a la parte de la responsabilidad de la que cada uno sea responsable del daño causado por el tratamiento de conformidad con las condiciones fijadas en el apartado 2.
-
Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro a que se refiere el artículo 79, apartado 2.
Condiciones generales para la imposición de multas administrativas
-
Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo en relación con las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.
-
Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados en virtud del artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.
-
Si un responsable o un encargado del tratamiento vulnera, de forma intencionada o negligente, varias disposiciones del presente Reglamento en el mismo tratamiento o en tratamientos vinculados, la cuantía total de la multa administrativa no será superior a la establecida para la infracción más grave.
-
Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;
b) las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43;
c) las obligaciones de los organismos de supervisión a tenor del artículo 41, apartado 4.
- Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;
b) los derechos de los interesados a tenor de los artículos 12 a 22;
c) las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49;
d) toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX;
e) el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1.
-
El incumplimiento de una resolución de la autoridad de control a que se refiere el artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
-
Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.
-
El ejercicio por parte de la autoridad de control de sus poderes en virtud del presente artículo estará sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y de los Estados miembros, incluidos la tutela judicial efectiva y las garantías de un proceso justo.
-
Cuando el ordenamiento jurídico del Estado miembro no establezca multas administrativas, podrá aplicarse el presente artículo de manera que la multa sea incoada por la autoridad de control competente e impuesta por los órganos jurisdiccionales nacionales competentes, garantizando al mismo tiempo que estas vías de recurso sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas por las autoridades de control.
Sanciones
-
Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular en relación con las infracciones que no se sancionen con multas administrativas en virtud del artículo 83, y tomarán todas las medidas necesarias para garantizar su aplicación. Dichas sanciones serán efectivas, proporcionadas y disuasorias.
-
Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que les afecte.
Tratamiento y libertad de expresión y de información
-
Los Estados miembros conciliarán por ley el derecho a la protección de los datos personales en virtud del presente Reglamento con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria.
-
Para el tratamiento realizado con fines periodísticos o con fines de expresión académica, artística o literaria, los Estados miembros establecerán exenciones o excepciones de lo dispuesto en los capítulos II (principios), III (derechos del interesado), IV (responsable y encargado del tratamiento), V (transferencia de datos personales a terceros países u organizaciones internacionales), VI (autoridades de control independientes), VII (cooperación y coherencia) y IX (disposiciones relativas a situaciones específicas de tratamiento de datos), si resultan necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión y de información.
-
Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad con el apartado 2 y, sin dilación, cualquier modificación posterior que les afecte.
Tratamiento y acceso del público a documentos oficiales
Los datos personales de documentos oficiales en posesión de alguna autoridad pública o u organismo público o una entidad privada para la realización de una misión en interés público podrán ser comunicados por dicha autoridad u organismo de conformidad con el Derecho de la Unión o de los Estados miembros aplicable a los mismos, a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales en virtud del presente Reglamento.
Tratamiento del número nacional de identificación
Los Estados miembros podrán determinar adicionalmente las condiciones específicas para el tratamiento de un número nacional de identificación o cualquier otro medio de identificación de carácter general. En ese caso, el número nacional de identificación o cualquier otro medio de identificación de carácter general se utilizará únicamente con las garantías adecuadas para los derechos y las libertades del interesado con arreglo al presente Reglamento.
Tratamiento en el ámbito laboral
-
Los Estados miembros podrán, a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.
-
Dichas normas incluirán medidas adecuadas y específicas para preservar la dignidad humana de los interesados así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo.
-
Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que les afecte.
Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos
-
El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo.
-
Cuando los datos personales se traten con fines de investigación científica o histórica o con fines estadísticos, el Derecho de la Unión o de los Estados miembros podrá establecer excepciones a los derechos contemplados en los artículos 15, 16, 18 y 21, sujetas a las condiciones y garantías indicadas en el apartado 1 del presente artículo, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y que tales excepciones sean necesarias para alcanzar esos fines.
-
Cuando los datos personales se traten con fines de archivo en interés público, el Derecho de la Unión o de los Estados miembros podrá establecer excepciones a los derechos contemplados en los artículos 15, 16, 18, 19, 20 y 21, sujetas a las condiciones y garantías indicadas en el apartado 1 del presente artículo, siempre que esos derechos puedan imposibilitar u obstaculizar gravemente el logro de los fines específicos, y que tales excepciones sean necesarias para alcanzar esos fines.
-
Cuando el tratamiento a que se refieren los apartados 2 y 3 sirva al mismo tiempo a otro fin, las excepciones solo se aplicarán al tratamiento para los fines mencionados en dichos apartados.
Obligaciones de secreto
-
Los Estados miembros podrán adoptar normas específicas para fijar los poderes de las autoridades de control establecidos en el artículo 58, apartado 1, letras e) y f), en relación con los responsables o encargados del tratamiento sujetos, con arreglo al Derecho de la Unión o de los Estados miembros o a las normas establecidas por los organismos nacionales competentes, a la obligación de secreto profesional o a otras obligaciones de secreto equivalentes, cuando sea necesario y proporcionado para conciliar el derecho a la protección de los datos personales con la obligación de secreto.
-
Cada Estado miembro notificará a la Comisión las normas que adopte de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que les afecte.
Normas vigentes en materia de protección de datos de las iglesias y asociaciones religiosas
-
Cuando en un Estado miembro, en el momento de la entrada en vigor del presente Reglamento, las iglesias y asociaciones o comunidades religiosas apliquen un conjunto de normas completo relativo a la protección de las personas físicas en lo que respecta al tratamiento, tales normas podrán seguir aplicándose, siempre que se adapten al presente Reglamento.
-
Las iglesias y asociaciones religiosas que apliquen las normas completas a que se refiere el apartado 1 del presente artículo estarán sujetas al control de una autoridad de control independiente, que podrá ser específica, siempre que cumpla las condiciones establecidas en el capítulo VI del presente Reglamento.
Ejercicio de la delegación
-
Los poderes para adoptar actos delegados otorgados a la Comisión estarán sujetos a las condiciones establecidas en el presente artículo.
-
Los poderes para adoptar actos delegados mencionados en el artículo 12, apartado 8, y en el artículo 43, apartado 8, se otorgarán a la Comisión por un período de tiempo indefinido a partir del 24 de mayo de 2016.
-
La delegación de poderes mencionada en el artículo 12, apartado 8, y en el artículo 43, apartado 8, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la misma. No afectará a la validez de los actos delegados que ya estén en vigor.
-
Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.
-
Los actos delegados adoptados en virtud del artículo 12, apartado 8, y del artículo 43, apartado 8, entrarán en vigor únicamente si, en un plazo de tres meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.
Procedimiento de comité
-
La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) n.o 182/2011.
-
En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.o 182/2011.
-
En los casos en que se haga referencia al presente apartado, se aplicará el artículo 8 del Reglamento (UE) n.o 182/2011, en relación con su artículo 5.
Derogación de la Directiva 95/46/CE
-
Queda derogada la Directiva 95/46/CE con efecto a partir del 25 de mayo de 2018.
-
Las referencias a la Directiva derogada se entenderán hechas al presente Reglamento. Las referencias al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales establecido en virtud del artículo 29 de la Directiva 95/46/CE se entenderán hechas al Comité Europeo de Protección de Datos establecido en virtud del presente Reglamento.
Relación con la Directiva 2002/58/CE
El presente Reglamento no impondrá obligaciones adicionales a las personas físicas o jurídicas en relación con el tratamiento en el ámbito de la prestación de servicios públicos de comunicaciones electrónicas en redes públicas de comunicaciones en la Unión, en relación con aquellos asuntos en los que estén sujetas a obligaciones específicas con el mismo objetivo establecidas en la Directiva 2002/58/CE.
Relación con los acuerdos celebrados anteriormente
Los acuerdos internacionales que impliquen la transferencia de datos personales a terceros países u organizaciones internacionales celebrados por los Estados miembros con anterioridad al 24 de mayo de 2016 y conformes con el Derecho de la Unión en su versión aplicable antes de dicha fecha seguirán en vigor hasta que sean modificados, sustituidos o derogados.
Informes de la Comisión
-
A más tardar el 25 de mayo de 2020, y a continuación cada cuatro años, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la evaluación y revisión del presente Reglamento. Los informes se harán públicos.
-
En el contexto de las evaluaciones y revisiones a que se refiere el apartado 1, la Comisión examinará, en particular, la aplicación y funcionamiento de:
a) el capítulo V, relativo a la transferencia de datos personales a terceros países u organizaciones internacionales, en particular con respecto a las decisiones adoptadas en virtud del artículo 45, apartado 3, del presente Reglamento, y las decisiones adoptadas sobre la base del artículo 25, apartado 6, de la Directiva 95/46/CE;
b) el capítulo VII, relativo a la cooperación y coherencia.
-
A los efectos del apartado 1, la Comisión podrá solicitar información de los Estados miembros y las autoridades de control.
-
Al llevar a cabo las evaluaciones y revisiones a que se refieren los apartados 1 y 2, la Comisión tendrá en cuenta las posiciones y conclusiones del Parlamento Europeo, del Consejo y de otros organismos o fuentes pertinentes.
-
La Comisión presentará, si es necesario, las propuestas oportunas de modificación del presente Reglamento, teniendo en cuenta, en particular, la evolución de las tecnologías de la información y a la luz del estado de los avances de la sociedad de la información.
Revisión de otros actos jurídicos de la Unión en materia de protección de datos
La Comisión presentará, si procede, propuestas legislativas para modificar otros actos jurídicos de la Unión en materia de protección de datos personales, a fin de garantizar una protección uniforme y coherente de las personas físicas en lo que respecta al tratamiento. Ello se referirá en particular a las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento por las instituciones, órganos y organismos de la Unión y a la libre circulación de esos datos.
Entrada en vigor y aplicación
-
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
-
Será aplicable a partir del 25 de mayo de 2018.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada uno de los Estados miembros.