interactive GDPR 2016/0679 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- datos personales
- tratamiento
- limitación del tratamiento
- elaboración de perfiles
- seudonimización
- fichero
- responsable del tratamiento
- encargado del tratamiento
- destinatario
- tercero
- consentimiento del interesado
- violación de la seguridad de los datos personales
- datos genéticos
- datos biométricos
- datos relativos a la salud
- establecimiento principal
- representante
- empresa
- grupo empresarial
- normas corporativas vinculantes
- autoridad de control
- autoridad de control interesada
- tratamiento transfronterizo
- objeción pertinente y motivada
- servicio de la sociedad de la información
- organización internacional
- tratamiento 87
- artículo 70
- responsable 54
- apartado 53
- para 46
- encargado 38
- presente 33
- autoridad_de_control 29
- datos_personales 29
- arreglo 27
- miembros 22
- conformidad 21
- protección 21
- datos 20
- reglamento 20
- estados 19
- interesado 19
- garantías 18
- derecho 18
- comité 17
- certificación 16
- transferencia 15
- otro 15
- medidas 14
- particular 13
- unión 13
- derechos 13
- información 13
- refiere 13
- público 12
- decisión 12
- cláusulas 12
- objeto 12
- ejercicio 11
- podrá 11
- necesaria 11
- cuando 11
- interés 11
- otras 11
- dictamen 11
- virtud 11
- artículo 11
- disposiciones 10
- comisión 10
- sobre 10
- adecuadas 10
- caso 10
- aplicación 10
- contrato 10
- entre 10
Artículo 6
Licitud del tratamiento
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
| a) | el interesado dio su consentimiento para el tratamiento de sus datos_personales para uno o varios fines específicos; |
| b) | el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
| c) | el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; |
| d) | el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; |
| e) | el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; |
| f) | el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos_personales, en particular cuando el interesado sea un niño. |
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.
3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:
| a) | el Derecho de la Unión, o |
| b) | el Derecho de los Estados miembros que se aplique al responsable del tratamiento. |
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos_personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.
4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos_personales no esté basado en el consentimiento_del_interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos_personales, tendrá en cuenta, entre otras cosas:
| a) | cualquier relación entre los fines para los cuales se hayan recogido los datos_personales y los fines del tratamiento ulterior previsto; |
| b) | el contexto en que se hayan recogido los datos_personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento; |
| c) | la naturaleza de los datos_personales, en concreto cuando se traten categorías especiales de datos_personales, de conformidad con el artículo 9, o datos_personales relativos a condenas e infracciones penales, de conformidad con el artículo 10; |
| d) | las posibles consecuencias para los interesados del tratamiento ulterior previsto; |
| e) | la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización. |
Artículo 28
Encargado del tratamiento
1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.
2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos_personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
| a) | tratará los datos_personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos_personales a un tercer país o una organización_internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público; |
| b) | garantizará que las personas autorizadas para tratar datos_personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria; |
| c) | tomará todas las medidas necesarias de conformidad con el artículo 32; |
| d) | respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento; |
| e) | asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III; |
| f) | ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado; |
| g) | a elección del responsable, suprimirá o devolverá todos los datos_personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos_personales en virtud del Derecho de la Unión o de los Estados miembros; |
| h) | pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. |
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
5. La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.
6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 y 43.
7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 93, apartado 2.
8. Una autoridad_de_control podrá adoptar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el mecanismo de coherencia a que se refiere el artículo 63.
9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.
10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.
Artículo 46
Transferencias mediante garantías adecuadas
1. A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos_personales a un tercer país u organización_internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad_de_control, por:
| a) | un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos; |
| b) | normas_corporativas_vinculantes de conformidad con el artículo 47; |
| c) | cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2; |
| d) | cláusulas tipo de protección de datos adoptadas por una autoridad_de_control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2; |
| e) | un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o |
| f) | un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados. |
3. Siempre que exista autorización de la autoridad_de_control competente, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante:
| a) | cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos_personales en el tercer país u organización_internacional, o |
| b) | disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados. |
4. La autoridad_de_control aplicará el mecanismo de coherencia a que se refiere el artículo 63 en los casos indicados en el apartado 3 del presente artículo.
5. Las autorizaciones otorgadas por un Estado miembro o una autoridad_de_control de conformidad con el artículo 26, apartado 2, de la Directiva 95/46/CE seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por dicha autoridad_de_control. Las decisiones adoptadas por la Comisión en virtud del artículo 26, apartado 4, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisión de la Comisión adoptada de conformidad con el apartado 2 del presente artículo.
Artículo 49
Excepciones para situaciones específicas
1. En ausencia de una decisión de adecuación de conformidad con el artículo 45, apartado 3, o de garantías adecuadas de conformidad con el artículo 46, incluidas las normas_corporativas_vinculantes, una transferencia o un conjunto de transferencias de datos_personales a un tercer país u organización_internacional únicamente se realizará si se cumple alguna de las condiciones siguientes:
| a) | el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas; |
| b) | la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado; |
| c) | la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica; |
| d) | la transferencia sea necesaria por razones importantes de interés público; |
| e) | la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones; |
| f) | la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento; |
| g) | la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta. |
Cuando una transferencia no pueda basarse en disposiciones de los artículos 45 o 46, incluidas las disposiciones sobre normas_corporativas_vinculantes, y no sea aplicable ninguna de las excepciones para situaciones específicas a que se refiere el párrafo primero del presente apartado, solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos_personales. El responsable del tratamiento informará a la autoridad_de_control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.
2. Una transferencia efectuada de conformidad con el apartado 1, párrafo primero, letra g), no abarcará la totalidad de los datos_personales ni categorías enteras de datos_personales contenidos en el registro. Si la finalidad del registro es la consulta por parte de personas que tengan un interés legítimo, la transferencia solo se efectuará a solicitud de dichas personas o si estas han de ser las destinatarias.
3. En el apartado 1, el párrafo primero, letras a), b) y c), y el párrafo segundo no serán aplicables a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos.
4. El interés público contemplado en el apartado 1, párrafo primero, letra d), será reconocido por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.
5. En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el Derecho de la Unión o de los Estados miembros podrá, por razones importantes de interés público, establecer expresamente límites a la transferencia de categorías específicas de datos a un tercer país u organización_internacional. Los Estados miembros notificarán a la Comisión dichas disposiciones.
6. El responsable o el encargado del tratamiento documentarán en los registros indicados en el artículo 30 la evaluación y las garantías apropiadas a que se refiere el apartado 1, párrafo segundo, del presente artículo.
Artículo 57
Funciones
1. Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad_de_control, en su territorio:
| a) | controlar la aplicación del presente Reglamento y hacerlo aplicar; |
| b) | promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención; |
| c) | asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento; |
| d) | promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento; |
| e) | previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros; |
| f) | tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad_de_control; |
| g) | cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento; |
| h) | llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad_de_control u otra autoridad pública; |
| i) | hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos_personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales; |
| j) | adoptar las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d); |
| k) | elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4; |
| l) | ofrecer asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2; |
| m) | alentar la elaboración de códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5; |
| n) | fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5; |
| o) | llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7; |
| p) | elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43; |
| q) | efectuar la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43; |
| r) | autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3; |
| s) | aprobar normas_corporativas_vinculantes de conformidad con lo dispuesto en el artículo 47; |
| t) | contribuir a las actividades del Comité; |
| u) | llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2, y |
| v) | desempeñar cualquier otra función relacionada con la protección de los datos_personales. |
2. Cada autoridad_de_control facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra f), mediante medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación.
3. El desempeño de las funciones de cada autoridad_de_control será gratuito para el interesado y, en su caso, para el delegado de protección de datos.
4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad_de_control podrá establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad_de_control.
Artículo 58
Poderes
1. Cada autoridad_de_control dispondrá de todos los poderes de investigación indicados a continuación:
| a) | ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones; |
| b) | llevar a cabo investigaciones en forma de auditorías de protección de datos; |
| c) | llevar a cabo una revisión de las certificaciones expedidas en virtud del artículo 42, apartado 7; |
| d) | notificar al responsable o al encargado del tratamiento las presuntas infracciones del presente Reglamento; |
| e) | obtener del responsable y del encargado del tratamiento el acceso a todos los datos_personales y a toda la información necesaria para el ejercicio de sus funciones; |
| f) | obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho procesal de la Unión o de los Estados miembros. |
2. Cada autoridad_de_control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
| a) | sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento; |
| b) | sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento; |
| c) | ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento; |
| d) | ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado; |
| e) | ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos_personales; |
| f) | imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición; |
| g) | ordenar la rectificación o supresión de datos_personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos_personales con arreglo a al artículo 17, apartado 2, y al artículo 19; |
| h) | retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación; |
| i) | imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular; |
| j) | ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización_internacional. |
3. Cada autoridad_de_control dispondrá de todos los poderes de autorización y consultivos indicados a continuación:
| a) | asesorar al responsable del tratamiento conforme al procedimiento de consulta previa contemplado en el artículo 36; |
| b) | emitir, por iniciativa propia o previa solicitud, dictámenes destinados al Parlamento nacional, al Gobierno del Estado miembro o, con arreglo al Derecho de los Estados miembros, a otras instituciones y organismos, así como al público, sobre cualquier asunto relacionado con la protección de los datos_personales; |
| c) | autorizar el tratamiento a que se refiere el artículo 36, apartado 5, si el Derecho del Estado miembro requiere tal autorización previa; |
| d) | emitir un dictamen y aprobar proyectos de códigos de conducta de conformidad con lo dispuesto en el artículo 40, apartado 5; |
| e) | acreditar los organismos de certificación con arreglo al artículo 43; |
| f) | expedir certificaciones y aprobar criterios de certificación con arreglo al artículo 42, apartado 5; |
| g) | adoptar las cláusulas tipo de protección de datos contempladas en el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d); |
| h) | autorizar las cláusulas contractuales indicadas en el artículo 46, apartado 3, letra a); |
| i) | autorizar los acuerdos administrativos contemplados en el artículo 46, apartado 3, letra b); |
| j) | aprobar normas_corporativas_vinculantes de conformidad con lo dispuesto en el artículo 47. |
4. El ejercicio de los poderes conferidos a la autoridad_de_control en virtud del presente artículo estará sujeto a las garantías adecuadas, incluida la tutela judicial efectiva y al respeto de las garantías procesales, establecidas en el Derecho de la Unión y de los Estados miembros de conformidad con la Carta.
5. Cada Estado miembro dispondrá por ley que su autoridad_de_control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y, si procede, para iniciar o ejercitar de otro modo acciones judiciales, con el fin de hacer cumplir lo dispuesto en el mismo.
6. Cada Estado miembro podrá establecer por ley que su autoridad_de_control tenga otros poderes además de los indicadas en los apartados 1, 2 y 3. El ejercicio de dichos poderes no será obstáculo a la aplicación efectiva del capítulo VII.
Artículo 64
Dictamen del Comité
1. El Comité emitirá un dictamen siempre que una autoridad_de_control competente proyecte adoptar alguna de las medidas enumeradas a continuación. A tal fin, la autoridad_de_control competente comunicará el proyecto de decisión al Comité, cuando la decisión:
| a) | tenga por objeto adoptar una lista de las operaciones de tratamiento supeditadas al requisito de la evaluación de impacto relativa a la protección de datos de conformidad con el artículo 35, apartado 4; |
| b) | afecte a un asunto de conformidad con el artículo 40, apartado 7, cuyo objeto sea determinar si un proyecto de código de conducta o una modificación o ampliación de un código de conducta es conforme con el presente Reglamento; |
| c) | tenga por objeto aprobar los criterios aplicables a la acreditación de un organismo con arreglo al artículo 41, apartado 3, o un organismo de certificación conforme al artículo 43, apartado 3; |
| d) | tenga por objeto determinar las cláusulas tipo de protección de datos contempladas en el artículo 46, apartado 2, letra d), y el artículo 28, apartado 8; |
| e) | tenga por objeto autorizar las cláusulas contractuales a que se refiere el artículo 46, apartado 3, letra a); |
| f) | tenga por objeto la aprobación de normas_corporativas_vinculantes a tenor del artículo 47. |
2. Cualquier autoridad_de_control, el presidente del Comité o la Comisión podrán solicitar que cualquier asunto de aplicación general o que surta efecto en más de un Estado miembro sea examinado por el Comité a efectos de dictamen, en particular cuando una autoridad_de_control competente incumpla las obligaciones relativas a la asistencia mutua con arreglo al artículo 61 o las operaciones conjuntas con arreglo al artículo 62.
3. En los casos a que se refieren los apartados 1 y 2, el Comité emitirá dictamen sobre el asunto que le haya sido presentado siempre que no haya emitido ya un dictamen sobre el mismo asunto. Dicho dictamen se adoptará en el plazo de ocho semanas por mayoría simple de los miembros del Comité. Dicho plazo podrá prorrogarse seis semanas más, teniendo en cuenta la complejidad del asunto. Por lo que respecta al proyecto de decisión a que se refiere el apartado 1 y distribuido a los miembros del Comité con arreglo al apartado 5, todo miembro que no haya presentado objeciones dentro de un plazo razonable indicado por el presidente se considerará conforme con el proyecto de decisión.
4. Las autoridades de control y la Comisión comunicarán sin dilación por vía electrónica al Comité, utilizando un formato normalizado, toda información útil, en particular, cuando proceda, un resumen de los hechos, el proyecto de decisión, los motivos por los que es necesaria tal medida, y las opiniones de otras autoridades de control interesadas.
5. La Presidencia del Comité informará sin dilación indebida por medios electrónicos:
| a) | a los miembros del Comité y a la Comisión de cualquier información pertinente que le haya sido comunicada, utilizando un formato normalizado. La secretaría del Comité facilitará, de ser necesario, traducciones de la información que sea pertinente, y |
| b) | a la autoridad_de_control contemplada, en su caso, en los apartados 1 y 2 y a la Comisión del dictamen, y lo publicará. |
6. La autoridad_de_control competente no adoptará su proyecto de decisión a tenor del apartado 1 en el plazo mencionado en el apartado 3.
7. La autoridad_de_control contemplada en el artículo 1 tendrá en cuenta en la mayor medida posible el dictamen del Comité y, en el plazo de dos semanas desde la recepción del dictamen, comunicará por medios electrónicos al presidente del Comité si va a mantener o modificar su proyecto de decisión y, si lo hubiera, el proyecto de decisión modificado, utilizando un formato normalizado.
8. Cuando la autoridad_de_control interesada informe al presidente del Comité, en el plazo mencionado en el apartado 7 del presente artículo, de que no prevé seguir el dictamen del Comité, en todo o en parte, alegando los motivos correspondientes, se aplicará el artículo 65, apartado 1.
whereas
dal 2004 diritto e informatica