Reglamento_UE_2016-679_Proteccion_datos_DOUE Grupo ESOC by Legitec

Canal público / Protección datos

Thanks for your subscription!
131 vistas
0 Gustos
0 0
Reglamente Europeo de Protección de Datos

Compartir en redes sociales

Compartir enlace

Use permanent link to share in social media

Compartir con un amigo

Por favor iniciar sesión para enviar esto document ¡por correo!

Incrustar en su sitio web

Seleccionar página de inicio

5. (23) Con el fin de g arantizar que las personas físicas no se vean pr ivadas de la protección a la que tienen derech o en vir tud del presente Reg lamento, el tratamiento de datos personales de inter esados que residen en la Unión por un responsable o un encarga do no establecido en la U nión debe regirse por el present e Reg lamento si las actividades de tratamiento se refie ren a la of er ta de bienes o ser vicios a dicho s inter esados, independientem ente de que medie pago. Para det er minar si dic ho responsable o encarg ado ofrece bienes o ser vicios a inter esados que residan en la U nión, debe deter minarse si es evidente que el responsable o el encargado pro y ecta ofrecer ser vicios a int eresados en uno o var ios de los Estados miembros de la U nión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un interm ediar io en la U nión, de una dirección de cor reo electrónico u otros datos de contact o, o el uso de una lengua g eneralmente utilizada en el te rcer país donde resida el responsable del tratamiento, no basta para det er minar dic ha intenc ión, ha y fa ctores, como el uso de una lengua o una moneda utilizada g eneralmente en uno o var ios Estados miembros con la posibilidad de encarg ar bienes y ser vicios en esa otra lengua, o la mención de clientes o usuar ios que residen en la Uni ón, que pueden revelar que el responsable del tratamient o pro yecta ofrecer bienes o ser vicios a interesados en la Unión. (24) El tratamient o de datos personales de los inte resados que residen en la U nión por un responsable o encarg ado no establecido en la U nión debe ser también objeto del present e Reg lamento cuando esté relacionado con la obser vación del compo r tamient o de dichos inter esados en la medida en que este compo r tamient o ten ga lugar en la Unión. Para det er minar si se puede considerar que una actividad de tratamiento controla el compo r tamient o de los inter esados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el poten cial uso post er ior de técn icas de tratamient o de dat os personales que consistan en la elaboración de un perf il de una persona física con el fin, en par ticular , de adoptar decisiones sobre él o de analizar o predecir sus prefe rencias personales, compo r tamient os y actitudes. (25) Cuando sea de aplicación el Derecho de los Estados miembros en vir tud del Derecho internacional público, el present e Reg lamento debe aplicarse también a todo responsable del tratamient o no establecido en la Unión, como en una misión diplomática u oficina consular de un Estado miembro. (26) Los pr incipios de la prot ección de datos deben aplicarse a toda la inf or mación relativa a una persona física identificad a o identificable. Los dat os personales seudonimizados, que cabría atr ibuir a una persona física mediante la utilización de inf or mación adicional, deben considerarse inf or mación sobre una persona física identi ­ ficable. P ara deter minar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singular ización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectament e a la persona física. P ara determi nar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los fact ores objetivos, como los costes y el tiempo necesar ios para la identificación, ten iendo en cuenta tanto la tecn ología disponible en el momento del tratamiento como los av ances te cnológicos. P or lo tanto los pr incipios de prote cción de datos no deben aplicarse a la inf or mación anónima, es decir inf or mación que no guarda relación con una persona física identificad a o identif icable, ni a los datos conver tidos en anónimos de f or ma que el inter esado no sea identi ­ ficable, o deje de serlo. En consecuencia, el present e Reg lamento no af ecta al tratamiento de dicha inf or mación anónima, inclusive con fi nes estadísticos o de inv estigación. (27) El present e Reg lamento no se aplica a la prot ección de datos personales de personas f allecidas. Los Estados miembros son compet ent es para establecer nor mas relativas al tratamient o de los datos personales de estas. (28) La aplicación de la seudonimización a los datos personales puede reducir los r iesgos para los inte resados af ectados y a yudar a los responsables y a los encarga dos del tratamient o a cumpli r sus oblig aciones de protección de los dat os. Así pues, la introducción explícita de la «seudonimización» en el presente Reg lamento no pret ende excl uir ninguna otra medida relativa a la prote cción de los datos. (29) P ara incentivar la aplicación de la seudonimización en el tratamient o de datos personales, debe ser posible establecer medidas de seudonimización, per mitiendo al mismo tiempo un análisis g eneral, por par te del mismo responsable del tratamiento, cuando este ha ya adop tado las medidas técnicas y organizativas necesar ias para g arantizar que se aplique el presente Reg lamento al tratamient o cor respondiente y que se manten ga por separado la inf or mación adicional para la atr ibución de los datos personales a una persona concreta. El responsable que trat e dat os personales debe indicar cuáles son sus personas autorizadas. 4.5.2016 L 119/5 Diar io Oficial de la U nión Europea ES

7. considerarse el establecimiento pr incipal. El establecimiento pr incipal de un responsable en la Unión debe det er minarse en función de cr iter ios objetivos y debe implicar el ejercicio ef ectivo y real de actividades de g estión que det er minen las pr incipales decisiones en cuanto a los fine s y medios del tratamiento a través de modalidades estables. Dic ho cr ite r io no debe depender de si el tratamiento de los datos personales se realiza en dicho lugar . La presencia y utilización de medios técn icos y tecnologías para el tratamient o de dat os personales o las actividades de tratamient o no constituyen, en sí mismas, establecimiento pr incipal y no son, por lo tanto , cr it er ios determi ­ nante s de un establecimiento pr incipal. El establecimiento pr incipal del encarg ado del tratamiento debe ser el lugar de su administración central en la U nión o, si careciese de administración central en la Unión, el luga r en el que se llevan a cabo las pr incipales actividades de tratamiento en la Unión. En los casos que impliquen tanto al responsable como al encarg ado, la autor idad de control pr incipal compet ent e debe seguir siendo la autoridad de control del Estado miembro en el que el responsable ten ga su establecimiento pr incipal, pero la autor idad de control del encarga do debe considerarse autor idad de control interesada y par ticipar en el procedimiento de cooperación establecido en el presente Reg lamento. En cualquier caso, las autor idades de control del Estado miembro o los Estados miembros en los que el encarg ado ten ga uno o var ios establecimiento s no deben considerarse autori dades de control interesadas cuando el pro y ecto de decisión afect e únicamente al responsable. Cuando el tratamiento lo realice un gr upo em presar ial, el establecimiento pr incipal de la empr esa que ejerce el control debe considerarse el establecimiento pr incipal del gr upo empresari al, excep to cuando los fi nes y medios del tratamiento los deter mine otra empresa. (37) U n gr upo em presar ial debe estar constituido por una em presa que ejerce el control y las emp resas controladas, debiendo ser la empr esa que ejerce el control la que pueda ejercer una inf luencia dominante en las otras emp resas, por razones, por ejemplo, de propiedad, par ticipación fi nanciera, nor mas por las que se r ige, o poder de hacer cumplir las nor mas de protección de datos personales. U na empresa que controle el tratamiento de los dat os personales en las empr esas que est én afiliadas debe considerarse, junto con dichas empresas, «gr upo emp resar ial». (38) Los niños merecen una protección específi ca de sus dat os personales, ya que pueden ser menos conscient es de los r iesgos, consecuencias, garan tías y derechos concer niente s al tratamient o de datos personales. Dic ha prot ección específi ca debe aplicarse en par ticular , a la utilización de datos personales de niños con fi nes de mercadote cnia o elaboración de perf iles de personalidad o de usuar io, y a la obtención de dat os personales relativ os a niños cuando se utilicen ser vicios ofrecidos directament e a un niño. El consentimient o del titular de la patr ia potest ad o tutela no debe ser necesar io en el context o de los ser vicios preventivos o de asesoramiento ofrecidos directamente a los niños. (39) T odo tratamiento de datos personales debe ser lícit o y leal. Para las personas físicas debe quedar totalment e claro que se están recogiendo, utilizando, consultando o tratando de otra manera dat os personales que les concier nen, así como la medida en que dic hos datos son o serán tratados. El pr incipio de transparencia exige que toda inf or mación y comunicación relativa al tratamiento de dic hos datos sea f ácilmente accesible y f ácil de entender , y que se utilice un lengua je sencillo y claro. Dic ho pr incipio se ref iere en par ticular a la inf or mación de los inter esados sobre la identidad del responsable del tratamiento y los fi nes del mismo y a la inf or mación añadida para garant izar un tratamiento leal y transparent e con respecto a las personas físicas af ectadas y a su derecho a obtener confir mación y comunicación de los datos personales que les concier nan que sean objeto de tratamient o. Las personas físicas deben tener conocimient o de los r iesgos, las nor mas, las salvaguardias y los derechos relativ os al tratamient o de datos personales así como del modo de hacer valer sus derechos en relación con el tratamient o. En par ticular , los fi nes específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben deter minarse en el momento de su recogida. Los datos personales deben ser adecuados, per tinentes y limitados a lo necesar io para los fi nes para los que sean tratados. Ello requiere, en par ticular , g arantizar que se limite a un mínimo estr icto su plazo de conser vación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablement e por otros medios. Para g arantizar que los datos personales no se conser van más tiempo del necesar io, el responsable del tratamiento ha de establecer plazos para su supresión o revisión per iódica. Deben tomar se todas las medidas razonables para garant izar que se rectifiq uen o supr iman los dat os personales que sean inexact os. Los datos personales deben tratarse de un modo que g arantice una segur idad y conf idencialidad adecuadas de los dat os personales, inclusive para im pedir el acceso o uso no autori zados de dic hos dat os y del equipo utilizado en el tratamiento. (40) P ara que el tratamient o sea lícito, los datos personales deben ser tratados con el consentimient o del inte resado o sobre alguna otra base legítima establecida conf or me a Derec ho, ya sea en el present e Reg lamento o en vir tud de 4.5.2016 L 119/7 Diar io Oficial de la U nión Europea ES

9. deben tratarse sobre la base del interés vital de otra persona física cuando el tratamient o no pueda basarse manifiestamente en una base jurídica diferent e. Cier tos tipos de tratamient o pueden responder tanto a motivos im por tantes de inte rés público como a los inter eses vitales del inter esado, como por ejem plo cuando el tratamient o es necesar io para fi nes humanitar ios, incluido el control de epidemias y su propagaci ón, o en situaciones de emergencia humanitar ia, sobre tod o en caso de catástrofe s naturales o de or igen humano. (47) El inte rés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar dat os personales, o de un tercero, puede constituir una base jurídica para el tratamient o, siempre que no prevalezcan los inter eses o los derech os y liber tades del inter esado, ten iendo en cuenta las expectativas razonables de los int eresados basadas en su relación con el responsable. T al inter és legítimo podría darse, por ejemplo, cuando existe una relación per tinente y apropiada entre el interesado y el responsable, como en situaciones en las que el inter esado es cliente o está al ser vicio del responsable. En cualquier caso, la existen cia de un inter és legítimo requer iría una evaluación meticulosa, inclusive si un inte resado puede prever de f or ma razonable, en el momento y en el cont exto de la recogida de dat os personales, que pueda producirse el tratamiento con tal fi n. En par ticular , los intereses y los derechos fundamentales del inter esado podrían prevalecer sobre los inter eses del responsable del tratamiento cuando se proceda al tratamient o de los datos personales en circunstancias en las que el inter esado no espere razonablement e que se realice un tratamient o ult er ior . Dado que cor responde al legislador establecer por ley la base jurídica para el tratamiento de datos personales por par te de las autor idades públicas, esta base jurídica no debe aplicarse al tratamiento ef ectuado por las autoridades públicas en el ejercicio de sus funciones. El tratamiento de datos de caráct er personal estr ictament e necesar io para la prevención del fraude constituye también un inter és legítimo del responsable del tratamient o de que se trat e. El tratamiento de datos personales con fi nes de mercadote cnia directa puede considerarse realizado por inter és legítimo. (48) Los responsables que f or man par te de un gr upo em presar ial o de entidades afi liadas a un org anismo central pueden tener un interés legítimo en transmitir datos personales dentro del gr upo empresari al para fi nes adminis ­ trativ os internos, incluido el tratamient o de dat os personales de cliente s o empleados. Los pr incipios ge nerales aplicables a la transmisión de dat os personales, dentro de un gr upo emp resar ial, a una em presa situada en un país ter cero no se ven afectados. (49) Constituy e un interés legítimo del responsable del tratamiento interesado el tratamient o de dat os personales en la medida estr ictament e necesar ia y proporcionada para garant izar la segur idad de la red y de la inf or mación, es decir la capacidad de una red o de un siste ma inf or mación de resistir , en un nivel deter minado de conf ianza, a acont ecimientos accidentales o acciones ilícitas o malint encionadas que comprom etan la disponibilidad, autenti cidad, inte gr idad y conf idencialidad de los datos personales conser vados o transmitidos, y la segur idad de los ser vicios conex os ofrecidos por , o accesibles a través de, estos sistemas y redes, por par te de autor idades públicas, equipos de respuesta a emerge ncias inf or máticas (CER T), equipos de respuesta a incident es de segur idad inf or mática (CSIRT), pro veedores de redes y ser vicios de comunicaciones electrónicas y pro veedores de tecn ologías y ser vicios de segur idad. En lo anter ior cabría incluir , por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distr ibución malint encionada de códigos, y frenar ataques de «denega ción de ser vicio» y daños a los sistemas inf or máticos y de comunicaciones electrónicas. (50) El tratamiento de datos personales con fines distint os de aquellos para los que ha yan sido recogidos inicialmente solo debe per mitirse cuando sea compat ible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica apar te, distinta de la que per mitió la obtenc ión de los datos personales. Si el tratamiento es necesar io para el cumplimient o de una misión realizada en inter és público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los cometidos y los fi nes para los cuales se debe considerar compati ble y lícit o el tratamient o ult er ior se pueden deter minar y especifi car de acuerdo con el Derecho de la Unión o de los Estados miembros. Las operaciones de tratamient o ult er ior con fine s de archiv o en interés público, fines de inv estigación científ ica e histó r ica o fi nes estadísticos deben considerarse operaciones de tratamient o lícitas compati bles. La base jurídica establecida en el Derecho de la Unión o de los Estados miembros para el tratamient o de datos personales también puede ser vir de base jurídica para el tratamiento ult er ior . Con objeto de det er minar si el fin del tratamient o ult er ior es compatib le con el fi n de la recogida inicial de los dat os personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento or iginal, debe tener en cuenta, entre otras cosas, cualquier relación entre estos fi nes y los fi nes del tratamiento ult er ior previsto, el context o en el que se recogieron los dat os, en par ticular las expectativas razonables del interesado 4.5.2016 L 119/9 Diar io Oficial de la U nión Europea ES

10. basadas en su relación con el responsable en cuant o a su uso posteri or , la naturaleza de los datos personales, las consecuencias para los interesados del tratamient o ulteri or previsto y la existencia de garant ías adecuadas tanto en la operación de tratamiento or iginal como en la operación de tratamiento ult er ior prevista. Si el interesado dio su consentimiento o el tratamient o se basa en el Derecho de la U nión o de los Estados miembros que constituye una medida necesar ia y proporcionada en una sociedad democrática para salvaguardar , en par ticular , objetivos impor tantes de inte rés público g eneral, el responsable debe estar f acultado para el tratamient o ulteri or de los dat os personales, con independencia de la compati bilidad de los fines. En todo caso, se debe garant izar la aplicación de los pr incipios establecidos por el present e Reg lamento y , en par ticular , la inf or mación del interesado sobre esos otros fi nes y sobre sus derech os, incluido el derecho de oposición. La indicación de posibles actos delictivos o amenazas para la segur idad pública por par te del responsable del tratamient o y la transmisión a la autori dad compet ent e de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la segur idad pública debe considerarse que es en interés legítimo del responsable. Con todo, debe prohibirse esa transmisión en inter és legítimo del responsable o el tratamient o ult er ior de datos personales si el tratamient o no es compati ble con una obligación de secreto leg al, profesio nal o vinculante por otro concept o. (51) Especial prot ección merecen los datos personales que, por su naturaleza, son par ticular mente sensibles en relación con los derechos y las liber tades fundamentales, ya que el conte xto de su tratamient o podría entrañar im por tantes r iesgos para los derechos y las liber tades fundamentales. Debe incluirse entre tales datos personales los dat os de carácte r personal que revelen el or igen racial o étnico, ent endiéndose que el uso del térm ino «or ige n racial» en el presente Reg lamento no im plica la acepta ción por par te de la U nión de teor ías que trat en de det er minar la existencia de razas humanas separadas. El tratamiento de f oto grafías no debe considerarse sistem áti ­ camente tratamient o de catego rías especiales de dat os personales, pues únicamente se encuentran compr endidas en la def inición de dat os biométr icos cuando el hecho de ser tratadas con medios técn icos específi cos per mita la identificación o la autenti cación unív ocas de una persona física. T ales datos personales no deben ser tratados, a menos que se per mita su tratamient o en situaciones específi cas cont empladas en el present e Reg lamento, habida cuenta de que los Estados miembros pueden establecer disposiciones específic as sobre prote cción de datos con objeto de adaptar la aplicación de las nor mas del present e Reg lamento al cumpli miento de una oblig ación lega l o al cumpli miento de una misión realizada en inter és público o en el ejercicio de poderes públicos conferi dos al responsable del tratamiento. A demás de los requisit os específicos de ese tratamient o, deben aplicarse los pr incipios ge nerales y otras nor mas del present e Reg lamento, sobre todo en lo que se ref iere a las condiciones de licitud del tratamient o. Se deben establecer de f or ma explícita excep ciones a la prohibición g eneral de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específi cas, en par ticular cuando el tratamient o sea realizado en el marco de actividades legítimas por deter minadas asociaciones o fundaciones cuy o objetivo sea per mitir el ejercicio de las liber tades fundamentales. (52) Asimismo deben autor izarse excepciones a la prohibición de tratar catego rías especiales de dat os personales cuando lo establezca el Derec ho de la U nión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteg er datos personales y otros derech os fundamentales, cuando sea en interés público, en par ticular el tratamient o de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fi nes de segur idad, super visión y aler ta sanitar ia, la prevención o control de enf er medades transmisibles y otras amenazas grav es para la salud. T al excepci ón es posible para fi nes en el ámbito de la salud, incluidas la sanidad pública y la ge stión de los ser vicios de asiste ncia sanitar ia, especialmente con el fi n de g arantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclama ­ ciones de prestaciones y de ser vicios en el régimen del seguro de enfer medad, o con fi nes de archiv o en inter és público, fines de inv estigación científi ca e histó r ica o fines estadísticos. Debe autori zarse asimismo a título excepci onal el tratamiento de dichos datos personales cuando sea necesar io para la f or mulación, el ejercicio o la defe nsa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial. (53) Las cate gorías especiales de dat os personales que merecen ma y or prote cción únicamente deben tratarse con fi nes relacionados con la salud cuando sea necesar io para lograr dic hos fi nes en benefi cio de las personas físicas y de la sociedad en su conjunto, en par ticular en el cont exto de la ges tión de los ser vicios y sistem as sanitar ios o de prot ección social, incluido el tratamiento de esos datos por las autor idades ge storas de la sanidad y las autori dades sanitar ias nacionales centrales con fines de control de calidad, gestión de la inf or mación y super visión g eneral nacional y local del sistema sanitar io o de prote cción social, y g arantía de la continuidad de la asisten cia sanitar ia o la prote cción social y la asisten cia sanitar ia transfronteri za o fi nes de segur idad, super visión y aler ta sanitar ia, o con fi nes de archiv o en interés público, fi nes de inve stigación científi ca o histó r ica o fi nes estadísticos, basados en el Derecho de la Uni ón o del Estado miembro que ha de cumplir un objetiv o de inter és público, así como para estudios realizados en inter és público en el ámbito de la salud pública. P or tanto , el present e Reg lamento debe establecer condiciones ar monizadas para el tratamiento de cate gorías especiales de dat os personales relativ os a la salud, en relación con necesidades específicas, en par ticular si el tratamient o de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la oblig ación legal de secreto 4.5.2016 L 119/10 Diar io Oficial de la U nión Europea ES

2. (4) El tratamient o de datos personales debe estar concebido para ser vir a la humanidad. El derecho a la prote cción de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y manten er el equilibr io con otros derechos fundamentales, con ar reg lo al pr incipio de proporcionalidad. El present e Reg lamento respeta todos los derechos fundamentales y obser va las liber tades y los pr incipios reconocidos en la Car ta conf or me se consagran en los T ratados, en par ticular el respeto de la vida pr ivada y f amiliar , del domicilio y de las comunicaciones, la protección de los datos de carácte r personal, la liber tad de pensamient o, de conciencia y de religión, la liber tad de expresión y de inf or mación, la liber tad de empresa, el derecho a la tutela judicial ef ectiva y a un juicio just o, y la diversidad cultural, religiosa y lingüística. (5) La integra ción económica y social resultante del funcionamient o del mercado interi or ha llevado a un aumento sustancial de los f lujos transfronteri zos de datos personales. En toda la U nión se ha incrementado el inter cambio de datos personales entre los operadores públicos y pr ivados, incluidas las personas físicas, las asociaciones y las emp resas. El Derec ho de la Unión insta a las autor idades nacionales de los Estados miembros a que cooperen e inter cambien datos personales a fi n de poder cumplir sus funciones o desempeñar otras por cuenta de una autori dad de otro Estado miembro. (6) La rápida evolución te cnológica y la g lobalización han plante ado nuevos ret os para la prot ección de los datos personales. La magnitud de la recogida y del inte rcambio de datos personales ha aumentado de manera signifi ­ cativa. La te cnología per mite que tanto las empresas pr ivadas como las autor idades públicas utilicen datos personales en una escala sin precedente s a la hora de realizar sus actividades. Las personas físicas difunden un v olumen cada vez ma y or de inf or mación personal a escala mundial. La tecnología ha transf or mado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la U nión y la transfer encia a ter ceros países y org anizaciones intern acionales, garant izando al mismo tiempo un elevado nivel de protección de los dat os personales. (7) Estos ava nces requieren un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estr icta, dada la im por tancia de ge nerar la conf ianza que per mita a la economía digital desar rollarse en tod o el mercado interior . Las personas físicas deben te ner el control de sus propios datos personales. Ha y que ref orzar la segur idad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas. (8) En los casos en que el present e Reg lamento establece que sus nor mas sean especifi cadas o restr ingidas por el Derech o de los Estados miembros, estos, en la medida en que sea necesar io por razones de coherencia y para que las disposiciones nacionales sean compr ensibles para sus destinatar ios, pueden incor porar a su Derecho nacional element os del presente Reg lamento. (9) A unque los objetivos y pr incipios de la Directiva 95/46/CE siguen siendo válidos, ello no ha im pedido que la prot ección de los dat os en el terr itorio de la U nión se aplique de manera fragmentada, ni la insegur idad jurídica ni una percepción g eneralizada entre la opinión pública de que existen r iesgos im por tantes para la prote cción de las personas físicas, en par ticular en relación con las actividades en línea. Las dif erencias en el nivel de prote cción de los derechos y liber tades de las personas físicas, en par ticular del derecho a la protección de los datos de caráct er personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden impedi r la libre circulación de los datos de carácter personal en la Unión. Estas dif erencias pueden constituir , por lo tanto , un obstáculo al ejercicio de las actividades económicas a nivel de la U nión, f alsear la compet encia e im pedir que las autor idades cumplan las funciones que les incumben en vir tud del Derecho de la Unión. Esta dif erencia en los niveles de protección se debe a la existe ncia de divergencias en la ejecución y aplicación de la Directiva 95/46/CE. (10) P ara ga rantizar un nivel unif or me y elevado de prot ección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de prote cción de los derech os y liber tades de las personas físicas por lo que se refie re al tratamient o de dic hos dat os debe ser equivalent e en tod os los Estados miembros. Debe garant izarse en tod a la U nión que la aplicación de las nor mas de prot ección de los derechos y liber tades fundamentales de las personas físicas en relación con el tratamiento de datos de carácte r personal sea coherent e y homogénea. En lo que respecta al tratamient o de datos personales para el cumplimient o de una oblig ación leg al, para el cumplimient o de una misión realizada en inte rés público o en el ejercicio de poderes públicos confe r idos al responsable del tratamient o, los Estados miembros deben estar f acultados para manten er o adopt ar disposiciones nacionales a fi n de especifi car en ma y or grado la aplicación de las nor mas del present e Reg lamento. Junto con la nor mativa general y hor izontal sobre protección de datos por la que se aplica la Directiva 95/46/CE, los Estados miembros cuentan con distintas nor mas sectoriales específic as en ámbitos que precisan disposiciones más específi cas. El presente Reg lamento reconoce también un margen de maniobra para que los Estados miembros especifique n sus nor mas, inclusive para el tratamiento de catego rías especiales de datos personales («dat os sensibles»). En este sentido, el present e Reg lamento no excl uy e el Derecho de los Estados miembros que det er mina las circunstancias relativas a situaciones específicas de tratamient o, incluida la indicación por menor izada de las condiciones en las que el tratamiento de dat os personales es lícit o. 4.5.2016 L 119/2 Diar io Oficial de la U nión Europea ES

12. (60) Los pr incipios de tratamiento leal y transparente exigen que se inf or me al inter esado de la existencia de la operación de tratamiento y sus fine s. El responsable del tratamiento debe f acilitar al inter esado cuanta inf or mación complementari a sea necesar ia para g arantizar un tratamiento leal y transparent e, habida cuenta de las circunstancias y del cont exto específi cos en que se trat en los datos personales. Se debe además inf or mar al inter esado de la existencia de la elaboración de per files y de las consecuencias de dic ha elaboración. Si los datos personales se obtienen de los inte resados, también se les debe inf or mar de si están oblig ados a f acilitarlos y de las consecuencias en caso de que no lo hicieran. Dic ha inf or mación puede transmitirse en combinación con unos iconos nor malizados que ofrezcan, de f or ma f ácilmente visible, inte ligible y claramente legible, una adecuada visión de conjunto del tratamient o previsto. Los iconos que se presentan en f or mato electrónico deben ser legibles mecánicament e. (61) Se debe facilitar a los interesados la inf or mación sobre el tratamiento de sus datos personales en el momento en que se obteng an de ellos o, si se obtienen de otra fuente , en un plazo razonable, dependiendo de las circuns ­ tancias del caso. Si los datos personales pueden ser comunicados legítimament e a otro destinatar io, se debe inf or mar al inter esado en el momento en que se comunican al destinatar io por pr imera vez. El responsable del tratamient o que pro ye cte tratar los datos para un fi n que no sea aquel para el que se recogieron debe proporcionar al interesado, ant es de dic ho tratamient o ulteri or , inf or mación sobre ese otro fi n y otra inf or mación necesar ia. Cuando el or igen de los datos personales no pueda f acilitarse al inte resado por haberse utilizado var ias fuent es, debe facilita rse inf or mación ge neral. (62) Sin embargo, no es necesar io im poner la oblig ación de proporcionar inf or mación cuando el interesado ya posea la inf or mación, cuando el registro o la comunicación de los datos personales esté n expresamente establecidos por ley , o cuando facilitar la inf or mación al inte resado result e impos ible o exi ja un esfuerzo desproporcionado. T al podría ser par ticular mente el caso cuando el tratamiento se realice con fines de arch ivo en inter és público, fi nes de inve stigación científi ca o histó r ica o fi nes estadísticos. A este respecto, debe tomarse en consideración el número de interesados, la antigüedad de los datos y las garant ías adecuadas adopt adas. (63) Los inte resados deben ten er derecho a acceder a los dat os personales recogidos que le concier nan y a ejercer dic ho derecho con f acilidad y a inter valos razonables, con el fi n de conocer y ver if icar la licitud del tratamiento. Ello incluye el derecho de los interesados a acceder a dat os relativ os a la salud, por ejemplo los datos de sus histo r ias clínicas que cont engan inf or mación como diagnósticos, resultados de exámenes, evaluaciones de f acultativos y cualesquiera tratamientos o inter venciones practicadas. T odo inter esado debe, por tanto , te ner el derecho a conocer y a que se le comuniquen, en par ticular , los fi nes para los que se tratan los datos personales, su plazo de tratamiento, sus destinatar ios, la lógica implícita en todo tratamiento automático de dat os personales y , por lo menos cuando se base en la elaboración de perf iles, las consecuencias de dicho tratamiento. Si es posible, el responsable del tratamiento debe estar f acultado para f acilitar acceso remot o a un sistema seguro que ofrezca al inter esado un acceso direct o a sus dat os personales. Este derech o no debe af ectar negativament e a los derechos y liber tades de terce ros, incluidos los secretos comerciales o la propiedad intelectual y , en par ticular , los derechos de propiedad inte lectual que prot egen programas inf or máticos. No obstante, estas consideraciones no deben tener como resultado la negat iva a prestar toda la inf or mación al inter esado. Si trata una gran cantidad de inf or mación relativa al inter esado, el responsable del tratamiento debe estar facultado para solicitar que, ant es de f acilitarse la inf or mación, el inter esado especifi que la inf or mación o actividades de tratamiento a que se refiere la solicitud. (64) El responsable del tratamient o debe utilizar toda s las medidas razonables para ver ificar la identidad de los inter esados que soliciten acceso, en par ticular en el context o de los ser vicios en línea y los identif icadores en línea. El responsable no debe conser var datos personales con el único propósito de poder responder a posibles solicitudes. (65) Los inter esados deben ten er derecho a que se rectifiq uen los datos personales que le concier nen y un «derec ho al olvido» si la retención de tales dat os infr inge el present e Reg lamento o el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento. En par ticular , los inter esados deben tener derecho a que sus dat os personales se supr iman y dejen de tratarse si ya no son necesar ios para los fi nes para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamient o o se oponen al tratamiento de datos personales que les concier nen, o si el tratamient o de sus dat os personales incumple de otro modo el present e Reg lamento. Este derech o es per tinente en par ticular si el interesado dio su 4.5.2016 L 119/12 Diar io Oficial de la U nión Europea ES

13. consentimient o siendo niño y no se es plenamente conscient e de los r iesgos que implica el tratamiento, y más tarde quiere supr imir tales datos personales, especialmente en internet. El inter esado debe poder ejercer est e derecho aunque ya no sea un niño. Sin embargo, la retenció n ulter ior de los dat os personales debe ser lícita cuando sea necesar ia para el ejercicio de la liber tad de expresión e inf or mación, para el cumplimient o de una oblig ación leg al, para el cumplimient o de una misión realizada en inte rés público o en el ejercicio de poderes públicos confe r idos al responsable del tratamiento, por razones de inter és público en el ámbito de la salud pública, con fines de arch ivo en inter és público, fi nes de investig ación científica o histór ica o fines estadísticos, o para la f or mulación, el ejercicio o la defensa de reclamaciones. (66) A fin de ref orzar el «derecho al olvido» en el ent or no en línea, el derecho de supresión debe ampliarse de tal f or ma que el responsable del tratamiento que ha ya hecho públicos datos personales esté oblig ado a indicar a los responsables del tratamiento que esté n tratando tales dat os personales que supr iman todo enlace a ellos, o las copias o réplicas de tales datos. Al proceder así, dic ho responsable debe toma r medidas razonables, ten iendo en cuenta la tecn ología y los medios a su disposición, incluidas las medidas técnicas, para inf or mar de la solicitud del inter esado a los responsables que est én tratando los datos personales. (67) Entre los mét odos para limitar el tratamient o de datos personales cabría incluir los consist entes en trasladar tem poralment e los dat os seleccionados a otro sistema de tratamient o, en im pedir el acceso de usuar ios a los datos personales seleccionados o en retirar tem poralmente los datos publicados de un sitio internet. En los ficheros automat izados la limitación del tratamient o debe realizarse, en pr incipio, por medios técn icos, de f or ma que los dat os personales no sean objeto de operaciones de tratamient o ult er ior ni puedan modificarse. El hech o de que el tratamient o de los datos personales est é limitado debe indicarse clarament e en el sistem a. (68) P ara ref orzar aún más el control sobre sus propios datos, cuando el tratamiento de los dat os personales se ef ectúe por medios automatizados, debe per mitirse asimismo que los interesados que hubieran facilitado dat os personales que les concier nan a un responsable del tratamient o los reciban en un f or mato estr ucturado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamient o. Debe alentarse a los responsables a crear f or matos inter operables que per mitan la por tabilidad de datos. Dic ho derecho debe aplicarse cuando el inte resado ha ya f acilitado los dat os personales dando su consentimient o o cuando el tratamiento sea necesar io para la ejecución de un contrato. No debe aplicarse cuando el tratamient o tiene una base jurídica distinta del consentimiento o el contrato. P or su propia naturaleza, dicho derecho no debe ejercerse en contra de responsables que trat en datos personales en el ejercicio de sus funciones públicas. P or lo tanto , no debe aplicarse, cuando el tratamiento de los dat os personales sea necesar io para cumpli r una oblig ación leg al aplicable al responsable o para el cumplimient o de una misión realizada en inte rés público o en el ejercicio de poderes públicos conferidos al responsable. El derecho del interesado a transmitir o recibir dat os personales que lo concier nan no debe oblig ar al responsable a adop tar o manten er sistemas de tratamiento que sean técnicament e compati bles. Cuando un conjunt o de dat os personales deter minado concier na a más de un inter esado, el derecho a recibir tales dat os se debe ent ender sin menoscabo de los derechos y liber tades de otros inter esados de conf or midad con el presente Reg lamento. P or otra par te, ese derech o no debe menoscabar el derecho del inter esado a obtener la supresión de los datos personales y las limitaciones de ese derecho recogidas en el present e Reg lamento, y en par ticular no debe implicar la supresión de los datos personales concer nientes al inter esado que este ha ya f acilitado para la ejecución de un contrato, en la medida y durante el tiempo en que los dat os personales sean necesar ios para la ejecución de dic ho contrato. El interesado debe ten er derecho a que los dat os personales se transmitan directamente de un responsable del tratamient o a otro, cuando sea técnicament e posible. (69) En los casos en que los datos personales puedan ser tratados lícitamente porque el tratamient o es necesar io para el cumplimient o de una misión realizada en inter és público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento o por motiv os de intereses legítimos del responsable o de un ter cero, el inter esado debe, sin embargo, tener derech o a oponerse al tratamiento de cualquier dato personal relativ o a su situación par ticular . Debe ser el responsable el que demuestre que sus inte reses legítimos im per iosos prevalecen sobre los inter eses o los derechos y liber tades fundamentales del inter esado. (70) Si los dat os personales son tratados con fines de mercadotecnia directa, el interesado debe te ner derecho a oponerse a dicho tratamient o, inclusive a la elaboración de perf iles en la medida en que est é relacionada con dic ha mercadote cnia directa, ya sea con respecto a un tratamiento inicial o ult er ior , y ello en cualquier momento y sin coste alguno. Dicho derecho debe comunicarse explícitamente al interesado y presentarse claramente y al marge n de cualquier otra inf or mación. 4.5.2016 L 119/13 Diar io Oficial de la U nión Europea ES

14. (71) El inte resado debe ten er derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspect os personales relativ os a él, y que se base únicamente en el tratamiento automatizad o y produzca ef ectos jurídicos en él o le afect e signif icativamente de modo similar , como la denegación automática de una solicitud de crédit o en línea o los ser vicios de contratación en red en los que no medie inte r vención humana alguna. Este tipo de tratamiento incluye la elaboración de perf iles consistent e en cualquier f or ma de tratamient o de los datos personales que evalúe aspectos personales relativ os a una persona física, en par ticular para analizar o predecir aspect os relacionados con el rendimiento en el traba jo, la situación económica, la salud, las preferencias o inter eses personales, la fiabilidad o el compo r tamient o, la situación o los mo vimient os del inte resado, en la medida en que produzca ef ectos jurídicos en él o le af ecte significativamente de modo similar . Sin embargo, se deben per mitir las decisiones basadas en tal tratamiento, incluida la elaboración de perf iles, si lo autor iza expresamente el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento, incluso con fi nes de control y prevención del fraude y la evasión fi scal, realizada de conf or midad con las reg lamen ­ taciones, nor mas y recomendaciones de las instituciones de la Unión o de los órga nos de super visión nacionales y para g arantizar la segur idad y la fi abilidad de un ser vicio prestado por el responsable del tratamiento, o necesar io para la conclusión o ejecución de un contrato entre el inte resado y un responsable del tratamient o, o en los casos en los que el inter esado ha ya dado su consentimiento explícito. En cualquier caso, dicho tratamiento debe estar sujeto a las garan tías apropiadas, entre las que se deben incluir la inf or mación específica al inte resado y el derech o a obtener inter vención humana, a expresar su punt o de vista, a recibir una explicación de la decisión tomad a después de tal evaluación y a impugnar la decisión. T al medida no debe af ectar a un menor . A fi n de ga rantizar un tratamiento leal y transparent e respecto del inter esado, ten iendo en cuenta las circuns ­ tancias y cont exto específic os en los que se tratan los dat os personales, el responsable del tratamient o debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perf iles, aplicar medidas técn icas y organizativas apropiadas para g arantizar , en par ticular , que se cor r igen los f actores que introducen inexactitudes en los datos personales y se reduce al máximo el r iesgo de er ror , asegurar los datos personales de f or ma que se ten gan en cuenta los posibles r iesgos para los inte reses y derechos del inter esado y se impidan, entre otras cosas, ef ectos discr iminato r ios en las personas físicas por motivos de raza u or igen étnico, opiniones políticas, religión o creencias, afi liación sindical, condición g enética o estado de salud u or ientación sexual, o que den lugar a medidas que produzcan tal ef ecto. Las decisiones automatizadas y la elaboración de perf iles sobre la base de catego rías par ticulares de datos personales únicamente deben per mitirse en condiciones específic as. (72) La elaboración de perf iles está sujeta a las nor mas del presente Reg lamento que r ige n el tratamiento de datos personales, como los fundament os jurídicos del tratamiento o los pr incipios de la prot ección de datos. El Comit é Europeo de Prot ección de Dat os establecido por el present e Reg lamento (en lo sucesivo, el «Comit é») debe ten er la posibilidad de f or mular or ientaciones en est e cont exto. (73) El Derecho de la U nión o de los Estados miembros puede imponer restr icciones a det er minados pr incipios y a los derechos de inf or mación, acceso, rectifi cación o supresión de dat os personales, al derecho a la por tabilidad de los dat os, al derecho de oposición, a las decisiones basadas en la elaboración de perf iles, así como a la comunicación de una violación de la segur idad de los datos personales a un inte resado y a determi nadas oblig aciones conexas de los responsables del tratamient o, en la medida en que sea necesar io y proporcionado en una sociedad democrática para salvaguardar la segur idad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de or ige n humano, la prevención, investig ación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la prote cción frente a las amenazas contra la segur idad pública o de violaciones de nor mas deontol ógicas en las profesio nes reguladas, y su prevención, otros objetivos im por tantes de inter és público g eneral de la Uni ón o de un Estado miembro, en par ticular un im por tante inter és económico o financiero de la U nión o de un Estado miembro, la llevanza de registros públicos por razones de interés público general, el tratamient o ulteri or de dat os personales archiv ados para ofrecer inf or mación específic a relacionada con el compor tamient o político durante los regímenes de antiguos Estados totali tar ios, o la prote cción del interesado o de los derechos y liber tades de otros, incluida la protección social, la salud pública y los fi nes humanitar ios. Dichas restr icciones deben ajustarse a lo dispuesto en la Car ta y en el Conv enio Europeo para la Protecci ón de los Derec hos Humanos y de las Liber tades Fundamentales. (74) Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En par ticular , el responsable debe estar oblig ado a aplicar medidas opor tunas y eficaces y ha de poder demostrar la conf or midad de las actividades de tratamient o con el present e Reg lamento, incluida la eficacia de las medidas. Dic has medidas deben ten er en cuenta la naturaleza, el ámbito, el context o y los fi nes del tratamiento así como el r iesgo para los derechos y liber tades de las personas físicas. 4.5.2016 L 119/14 Diar io Oficial de la U nión Europea ES

15. (75) Los r iesgos para los derechos y liber tades de las personas físicas, de grave dad y probabilidad var iables, pueden deberse al tratamiento de datos que pudieran pro vocar daños y per juicios físicos, mater iales o inmater iales, en par ticular en los casos en los que el tratamient o pueda dar lugar a problemas de discr iminación, usur pación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de conf idencialidad de dat os sujetos al secreto profesional, reversión no autori zada de la seudonimización o cualquier otro per juicio económico o social significativo; en los casos en los que se pr ive a los inter esados de sus derech os y liber tades o se les impida ejercer el control sobre sus dat os personales; en los casos en los que los datos personales tratados revelen el or igen étnico o racial, las opiniones políticas, la religión o creencias fil osóficas, la militancia en sindicatos y el tratamient o de dat os ge néticos, dat os relativ os a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de segur idad conexas; en los casos en los que se evalúen aspectos personales, en par ticular el análisis o la predicción de aspect os refer idos al rendimient o en el traba jo, situación económica, salud, pref erencias o intereses personales, fiabilidad o compo r tamient o, situación o mo vimient os, con el fi n de crear o utilizar perf iles personales; en los casos en los que se trat en datos personales de personas vulnerables, en par ticular niños; o en los casos en los que el tratamiento im plique una gran cantidad de datos personales y af ecte a un gran número de interesados. (76) La probabilidad y la grave dad del r iesgo para los derech os y liber tades del interesado debe det er minarse con refe rencia a la naturaleza, el alcance, el cont exto y los fines del tratamiento de datos. El r iesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se det er mine si las operaciones de tratamiento de datos suponen un r iesgo o si el r iesgo es alto. (77) Se podrían proporcionar directr ices para la aplicación de medidas opor tunas y para demostrar el cumplimient o por par te del responsable o del encarg ado del tratamiento, especialment e con respecto a la identif icación del r iesgo relacionado con el tratamient o, a su evaluación en térm inos de or igen , naturaleza, probabilidad y grave dad y a la identif icación de buenas prácticas para mitig ar el r iesgo, que revistan, en par ticular , la f or ma de códigos de conducta aprobados, cer tificacione s aprobadas, directr ices dadas por el Comité o indicaciones proporcionadas por un delegad o de prote cción de datos. El Comité también puede emitir directr ices sobre operaciones de tratamient o que se considere improbable supongan un alto r iesgo para los derechos y liber tades de las personas físicas, e indicar qué medidas pueden ser sufic ient es en dic hos casos para afrontar el r iesgo en cuestión. (78) La prot ección de los derech os y liber tades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas té cnicas y org anizativas apropiadas con el f in de g arantizar el cumplimient o de los requisitos del present e Reg lamento. A fi n de poder demostrar la conf or midad con el presente Reg lamento, el responsable del tratamiento debe adoptar políticas intern as y aplicar medidas que cumplan en par ticular los pr incipios de prote cción de dat os desde el diseño y por defect o. Dic has medidas podrían consistir , entre otras, en reducir al máximo el tratamient o de datos personales, seudonimizar lo ant es posible los datos personales, dar transparencia a las funciones y el tratamient o de dat os personales, per mitiendo a los inter esados super visar el tratamient o de datos y al responsable del tratamiento crear y mejorar elementos de segur idad. Al desar rollar , diseñar , seleccionar y usar aplicaciones, ser vicios y product os que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los product ores de los product os, ser vicios y aplicaciones a que ten gan en cuenta el derecho a la protección de datos cuando desar rollan y diseñen estos product os, ser vicios y aplicaciones, y que se aseguren, con la debida atenci ón al estado de la técn ica, de que los responsables y los encarg ados del tratamient o están en condiciones de cumplir sus oblig aciones en mat er ia de prote cción de dat os. Los pr incipios de la prote cción de dat os desde el diseño y por defe cto también deben te nerse en cuenta en el conte xto de los contratos públicos. (79) La protección de los derechos y liber tades de los inter esados, así como la responsabilidad de los responsables y encarg ados del tratamient o, también en lo que respecta a la super visión por par te de las autori dades de control y a las medidas adoptadas por ellas, requieren una atr ibución clara de las responsabilidades en vir tud del present e Reg lamento, incluidos los casos en los que un responsable determi ne los fines y medios del tratamiento de f or ma conjunta con otros responsables, o en los que el tratamiento se lleve a cabo por cuenta de un responsable. (80) El responsable o el encarga do del tratamiento no establecido en la U nión que est é tratando dat os personales de inter esados que residan en la U nión y cuyas actividades de tratamiento están relacionadas con la of er ta de bienes o ser vicios a dichos inte resados en la U nión, independiente mente de si se requiere un pago por par te de estos, o con el control de su compor tamiento en la medida en que est e ten ga lugar en la Uni ón, debe designar a un representante , a menos que el tratamiento sea ocasional, no incluya el tratamiento a gran escala de cate gorías especiales de dat os personales o el tratamiento de datos personales relativos a condenas e infracciones penales, y sea im probable que entrañe un r iesgo para los derechos y liber tades de las personas físicas, vista la naturaleza, el 4.5.2016 L 119/15 Diar io Oficial de la U nión Europea ES

16. cont exto, el ámbito y los fines del tratamiento, o si el responsable del tratamient o es una autori dad u org anismo público. El representante debe actuar por cuenta del responsable o el encarg ado y puede ser contactado por cualquier autoridad de control. El representante debe ser designado expresamente por mandato escr ito del responsable o del encarga do para que actúe en su nombre con respecto a las oblig aciones que les incumben en vir tud del present e Reg lamento. La designación de dic ho representante no afecta a la responsabilidad del responsable o del encargado en vir tud del present e Reg lamento. Dic ho representante debe desempeñar sus funciones conf or me al mandato recibido del responsable o del encargado, incluida la cooperación con las autori dades de control compet ent es en relación con cualquier medida que se tome para garantizar el cumpli miento del present e Reg lamento. El representante designado debe estar sujeto a medidas coercitivas en caso de incumpli miento por par te del responsable o del encargado. (81) P ara ga rantizar el cumpli miento de las disposiciones del present e Reg lamento respecto del tratamient o que lleve a cabo el encarg ado por cuenta del responsable, este, al encomendar actividades de tratamient o a un encargado, debe recur r ir únicamente a encarg ados que ofrezcan sufi cient es garantías, en par ticular en lo que respecta a conocimientos especializados, fi abilidad y recursos, de cara a la aplicación de medidas té cnicas y organizativas que cumplan los requisitos del present e Reg lamento, incluida la segur idad del tratamiento. La adhesión del encarg ado a un código de conducta aprobado o a un mecanismo de cer tif icación aprobado puede ser vir de element o para demostrar el cumplimient o de las obligac iones por par te del responsable. El tratamient o por un encarg ado debe regirse por un contrato u otro acto jurídico con ar reg lo al Derec ho de la U nión o de los Estados miembros que vincule al encargado con el responsable, que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las cate gorías de inte resados, habida cuenta de las funciones y responsabilidades específicas del encargado en el cont exto del tratamient o que ha de llevarse a cabo y del r iesgo para los derechos y liber tades del inter esado. El responsable y el encarga do pueden op tar por basarse en un contrato individual o en cláusulas contractuales tipo que adopt e directament e la Comisión o que pr imero adopt e una autori dad de control de conf or midad con el mecanismo de coherencia y posteri or mente la Comisión. U na vez finalizado el tratamient o por cuenta del responsable, el encargado debe, a elección de aquel, devol ver o supr imir los datos personales, salvo que el Derech o de la U nión o de los Estados miembros aplicable al encarg ado del tratamiento obligue a conser var los datos. (82) P ara demostrar la conf or midad con el present e Reg lamento, el responsable o el encarg ado del tratamiento debe manten er registros de las actividades de tratamient o baj o su responsabilidad. T odos los responsables y encargados están obligados a cooperar con la autori dad de control y a poner a su disposición, previa solicitud, dic hos registros, de modo que puedan ser vir para super visar las operaciones de tratamiento. (83) A fin de manten er la segur idad y evitar que el tratamient o infr inja lo dispuesto en el present e Reg lamento, el responsable o el encarg ado deben evaluar los r iesgos inherentes al tratamiento y aplicar medidas para mitig arlos, como el cifrado. Estas medidas deben g arantizar un nivel de segur idad adecuado, incluida la conf idencialidad, ten iendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los r iesgos y la naturaleza de los datos personales que deban prot egerse. Al evaluar el r iesgo en relación con la segur idad de los datos, se deben ten er en cuenta los r iesgos que se der ivan del tratamiento de los dat os personales, como la destr ucción, pérdida o alter ación accidental o ilícita de datos personales transmitidos, conser vados o tratados de otra f or ma, o la comunicación o acceso no autorizados a dic hos datos, suscep tibles en par ticular de ocasionar daños y per juicios físicos, mater iales o inmat er iales. (84) A fi n de mejorar el cumplimient o del presente Reg lamento en aquellos casos en los que sea probable que las operaciones de tratamient o entrañen un alto r iesgo para los derechos y liber tades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de im pacto relativa a la prot ección de dat os, que evalúe, en par ticular , el or igen , la naturaleza, la par ticular idad y la gravedad de dicho r iesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomar se con el fi n de demostrar que el tratamient o de los datos personales es conf or me con el presente Reg lamento. Si una evaluación de imp acto relativa a la prote cción de datos muestra que las operaciones de tratamient o entrañan un alto r iesgo que el responsable no puede mitigar con medidas adecuadas en térm inos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control ant es del tratamient o. (85) Si no se toman a tiempo medidas adecuadas, las violaciones de la segur idad de los datos personales pueden entrañar daños y per juicios físicos, mate r iales o inmate r iales para las personas físicas, como pérdida de control sobre sus datos personales o restr icción de sus derechos, discr iminación, usur pación de identidad, pérdidas financieras, reversión no autori zada de la seudonimización, daño para la reputación, pérdida de confidencialidad de dat os sujetos al secreto profesional, o cualquier otro per juicio económico o social signif icativo para la persona 4.5.2016 L 119/16 Diar io Oficial de la U nión Europea ES

17. física en cuestión. P or consiguiente , tan pronto como el responsable del tratamiento teng a conocimiento de que se ha producido una violación de la segur idad de los dat os personales, el responsable debe, sin dilación indebida y , de ser posible, a más tardar 72 horas después de que ha ya ten ido constancia de ella, notifi car la violación de la segur idad de los datos personales a la autori dad de control compet ent e, a menos que el responsable pueda demostrar , atendi endo al pr incipio de responsabilidad proactiva, la im probabilidad de que la violación de la segur idad de los datos personales entrañe un r iesgo para los derechos y las liber tades de las personas físicas. Si dic ha notificación no es posible en el plazo de 72 horas, debe acompañ arse de una indicación de los motiv os de la dilación, pudiendo facilita rse inf or mación por fases sin más dilación indebida. (86) El responsable del tratamiento debe comunicar al inter esado sin dilación indebida la violación de la segur idad de los datos personales en caso de que puede entrañar un alto r iesgo para sus derechos y liber tades, y per mitirle tomar las precauciones necesar ias. La comunicación debe descr ibir la naturaleza de la violación de la segur idad de los datos personales y las recomendaciones para que la persona física af ectada mitigue los poten ciales ef ectos adversos resultante s de la violación. Dic has comunicaciones a los inter esados deben realizarse tan pronto como sea razonablement e posible y en estrecha cooperación con la autoridad de control, siguiendo sus or ientaciones o las de otras autori dades compe tent es, como las autoridades policiales. Así, por ejem plo, la necesidad de mitig ar un r iesgo de daños y per juicios inmediatos justif icaría una rápida comunicación con los interesados, mientras que cabe justificar que la comunicación lleve más tiempo por la necesidad de aplicar medidas adecuadas para impedi r violaciones de la segur idad de los dat os personales continuas o similares. (87) Debe ver if icarse si se ha aplicado toda la protección tecn ológica adecuada y se han tomado las medidas organi ­ zativas opor tunas para det er minar de inmediat o si se ha producido una violación de la segur idad de los datos personales y para inf or mar sin dilación a la autori dad de control y al interesado. Debe ver if icarse que la notificación se ha realizado sin dilación indebida te niendo en cuenta, en par ticular , la naturaleza y grave dad de la violación de la segur idad de los datos personales y sus consecuencias y efect os adversos para el int eresado. Dic ha notificación puede resultar en una inter vención de la autoridad de control de conf or midad con las funciones y poderes que establece el present e Reg lamento. (88) Al establecer disposiciones de aplicación sobre el f or mato y los procedimiento s aplicables a la notificación de las violaciones de la segur idad de los dat os personales, ha y que ten er debidament e en cuenta las circunstancias de tal violación, inclusive si los datos personales habían sido protegidos mediante las medidas té cnicas de protección adecuadas, limitando efic azment e la probabilidad de usur pación de identidad u otras f or mas de uso indebido. Asimismo, estas nor mas y procedimiento s deben te ner en cuenta los inte reses legítimos de las autoridades policiales en caso de que una comunicación prematura pueda obstaculizar innecesar iament e la inv estigación de las circunstancias de una violación de la segur idad de los datos personales. (89) La Directiva 95/46/CE estableció la oblig ación general de notifi car el tratamiento de dat os personales a las autori dades de control. P ese a im plicar carg as administrativas y fi nancieras, dicha obligación, sin embargo, no contr ibuy ó en todos los casos a mejorar la prote cción de los datos personales. P or tanto, estas oblig aciones g enerales de notifi cación indiscr iminada deben eliminarse y sustituirse por procedimiento s y mecanismos eficaces que se centren, en su lugar , en los tipos de operaciones de tratamient o que, por su naturaleza, alcance, conte xto y fines, entrañen probablement e un alto r iesgo para los derechos y liber tades de las personas físicas. Estos tipos de operaciones de tratamient o pueden ser , en par ticular , las que im plican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamient o no ha realizado previamente una evaluación de im pacto relativa a la prot ección de datos, o si resultan necesar ias visto el tiempo transcur r ido desde el tratamient o inicial. (90) En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una evaluación de imp acto relativa a la prot ección de dat os con el fi n de valorar la par ticular grave dad y probabilidad del alto r iesgo, ten iendo en cuenta la naturaleza, ámbito, cont exto y fines del tratamiento y los oríge nes del r iesgo. Dic ha evaluación de impact o debe incluir , en par ticular , las medidas, garantías y mecanismos previstos para mitig ar el r iesgo, garantizar la prot ección de los datos personales y demostrar la conf or midad con el presente Reg lamento. (91) Lo ant er ior debe aplicarse, en par ticular , a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían af ectar a un gran número de interesados y entrañen probablement e un alto r iesgo, por ejem plo, debido a su sensibilidad, cuando, en función del nivel de conocimient os técn icos alcanzado, se ha ya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamient o que entrañan un alto r iesgo para los derechos y liber tades de los inter esados, en par ticular cuando estas operaciones hace más difícil para los inter esados el ejercicio de sus 4.5.2016 L 119/17 Diar io Oficial de la U nión Europea ES

18. derechos. La evaluación de im pacto relativa a la protección de datos debe realizarse también en los casos en los que se tratan dat os personales para adoptar decisiones relativas a personas físicas concretas a raíz de una evaluación sistemática y exhaustiva de aspectos personales propios de personas físicas, basada en la elaboración de perf iles de dichos datos o a raíz del tratamiento de cate gorías especiales de datos personales, datos biométr icos o dat os sobre condenas e infracciones penales o medidas de segur idad conexas. T ambién es necesar ia una evaluación de impact o relativa a la prot ección de datos para el control de zonas de acceso público a gran escala, en par ticular cuando se utilicen dispositivo s opt oelectrónicos o para cualquier otro tipo de operación cuando la autori dad de control compet ente considere que el tratamiento entrañe probablemente un alto r iesgo para los derechos y liber tades de los inter esados, en par ticular porque imp ida a los inter esados ejercer un derecho o utilizar un ser vicio o ejecutar un contrato, o porque se efectúe sistemá ticamente a gran escala. El tratamiento de dat os personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes , un solo médico, otro profesional de la salud o abog ado. En estos casos, la evaluación de im pacto de la prot ección de datos no debe ser oblig atori a. (92) Ha y circunstancias en las que puede ser razonable y económico que una evaluación de impact o relativa a la prot ección de datos abarque más de un único pro ye cto, por ejem plo, en el caso de que las autori dades u org anismos públicos prevean crear una aplicación o plataf or ma común de tratamiento, o si var ios responsables pro y ecten introducir una aplicación o un ent or no de tratamiento común en un sector o segmento empr esar ial o para una actividad hor izontal de uso g eneralizado. (93) Los Estados miembros, al adoptar el Derecho en el que se basa el desempe ño de las funciones de la autoridad pública o el organismo público y que regula la operación o el conjunt o de operaciones de tratamiento en cuestión, pueden considerar necesar io llevar a cabo dic ha evaluación con caráct er previo a las actividades de tratamient o. (94) Debe consultarse a la autoridad de control ant es de iniciar las actividades de tratamiento si una evaluación de im pacto relativa a la prot ección de datos muestra que, en ausencia de g arantías, medidas de segur idad y mecanismos destinados a mitig ar los r iesgos, el tratamiento entrañaría un alto r iesgo para los derechos y liber tades de las personas físicas, y el responsable del tratamiento considera que el r iesgo no puede mitig arse por medios razonables en cuanto a tecn ología disponible y costes de aplicación. Existe la probabilidad de que ese alto r iesgo se deba a determi nados tipos de tratamient o y al alcance y frecuencia de est e, lo que también puede ocasionar daños y per juicios o una injerencia en los derechos y liber tades de la persona física. La autori dad de control debe responder a la solicitud de consulta dentro de un plazo det er minado. Sin embargo, la ausencia de respuesta de la autori dad de control dentro de dic ho plazo no debe obstar a cualquier inter vención de dic ha autori dad basada en las funciones y poderes que le atr ibuye el present e Reg lamento, incluido el poder de prohibir operaciones de tratamiento. Como par te de dicho proceso de consulta, se puede presentar a la autori dad de control el resultado de una evaluación de im pacto relativa a la protección de dat os ef ectuada en relación con el tratamient o en cuestión, en par ticular las medidas previstas para mitig ar los r iesgos para los derechos y liber tades de las personas físicas. (95) El encargado del tratamient o debe asistir al responsable cuando sea necesar io y a petición suya, a fin de asegurar que se cumplen las oblig aciones que se der ivan de la realización de las evaluaciones de imp acto relativas a la prot ección de datos y de la consulta previa a la autori dad de control. (96) Deben llevarse también a cabo consultas con la autor idad de control en el curso de la tramitación de una medida legislativa o reg lamentar ia que establezca el tratamient o de datos personales, a fin de garant izar la conf or midad del tratamient o previsto con el present e Reg lamento y , en par ticular , de mitig ar el r iesgo que implique el tratamient o para el inter esado. (97) Al super visar la obser vancia intern a del presente Reg lamento, el responsable o el encarga do del tratamiento debe contar con la a yuda de una persona con conocimientos especializados del Derecho y la práctica en mater ia de prot ección de dat os si el tratamiento lo realiza una autori dad pública, a excepci ón de los tr ibunales u otras autori dades judiciales independiente s en el ejercicio de su función judicial, si el tratamient o lo realiza en el sect or pr ivado un responsable cuyas actividades pr incipales consisten en operaciones de tratamient o a gran escala que requieren un seguimiento habitual y siste mático de los inte resados, o si las actividades pr incipales del responsable o del encarg ado consiste n en el tratamiento a gran escala de catego rías especiales de datos personales y de datos relativ os a condenas e infracciones penales. En el sector pr ivado, las actividades pr incipales de un responsable están relacionadas con sus actividades pr imar ias y no están relacionadas con el tratamiento de datos personales 4.5.2016 L 119/18 Diar io Oficial de la U nión Europea ES

19. como actividades auxiliares. El nivel de conocimient os especializados necesar io se debe det er minar , en par ticular , en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los dat os personales tratados por el responsable o el encargado. T ales delegados de protección de datos, sean o no emp leados del responsable del tratamiento, deben estar en condiciones de desemp eñar sus funciones y cometidos de manera independiente. (98) Se debe incitar a las asociaciones u otros org anismos que represente n a cate gorías de responsables o encarga dos a que elaboren códigos de conducta, dentro de los límites fijados por el present e Reg lamento, con el fin de f acilitar su aplicación ef ectiva, ten iendo en cuenta las caract erísticas específi cas del tratamiento llevado a cabo en det er minados sectores y las necesidades específicas de las microempresas y las pequeñas y medianas empresas. Dic hos códigos de conducta podrían en par ticular establecer las oblig aciones de los responsables y encarg ados, ten iendo en cuenta el r iesgo probable para los derechos y liber tades de las personas físicas que se der ive del tratamient o. (99) Al elaborar un código de conducta, o al modifi car o ampliar dicho código, las asociaciones y otros org anismos que representan a catego rías de responsables o encargados deben consultar a las par tes inte resadas, incluidos los inter esados cuando sea posible, y ten er en cuenta las consideraciones transmitidas y las opiniones manifest adas en respuesta a dic has consultas. (100) A fi n de aumentar la transparencia y el cumpli miento del present e Reg lamento, debe f omentarse el estableci ­ mient o de mecanismos de cer tificación y sellos y marcas de prote cción de datos, que per mitan a los interesados evaluar con ma y or rapidez el nivel de protección de datos de los productos y ser vicios cor respondientes. (101) Los f lujos transfronterizos de datos personales a, y desde, países no per ten ecientes a la Unión y org anizaciones internacionales son necesar ios para la expansión del comercio y la cooperación internacionales. El aumento de est os f lujos plant ea nuevos ret os e inquietudes en lo que respecta a la prote cción de los datos de carácte r personal. No obstante, si los datos personales se transf ieren de la Unión a responsables, encarg ados u otros destinatar ios en ter ceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de prot ección de las personas físicas garantizado en la Unión por el presente Reg lamento, ni siquiera en las transfe ­ rencias ult er iores de datos personales desde el te rcer país u org anización intern acional a responsables y encarg ados en el mismo u otro ter cer país u org anización internacional. En todo caso, las transferencias a ter ceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conf or midad con el presente Reg lamento. U na transferencia solo podría ten er lugar si, a reser va de las demás disposiciones del present e Reg lamento, el responsable o encargado cumple las disposiciones del present e Reg lamento relativas a la transfe ­ rencia de datos personales a ter ceros países u org anizaciones intern acionales. (102) El present e Reg lamento se entiende sin per juicio de los acuerdos intern acionales celebrados entre la Uni ón y ter ceros países que regulan la transfe rencia de dat os personales, incluidas las opor tunas garan tías para los inter esados. Los Estados miembros pueden celebrar acuerdos internacionales que imp liquen la transfer encia de dat os personales a ter ceros países u orga nizaciones intern acionales siempr e que dichos acuerdos no af ecten al present e Reg lamento ni a ninguna otra disposición del Derecho de la U nión e incluyan un nivel adecuado de prot ección de los derechos fundamentales de los interesados. (103) La Comisión puede decidir , con ef ectos para tod a la U nión, que un ter cer país, un terr it or io o un sector específi co de un tercer país, o una organización intern acional ofrece un nivel de prot ección de datos adecuado, apor tando de esta f or ma en toda la U nión segur idad y unif or midad jurídicas en lo que se ref iere al ter cer país u org anización internacional que se considera ofrece tal nivel de protección. En estos casos, se pueden realizar transfer encias de datos personales a estos países sin que se requiera obtener otro tipo de autorización. La Comisión también puede decidir revocar esa decisión, previo aviso y completa declaración motivada al te rcer país u org anización intern acional. (104) En consonancia con los valores fundamentales en los que se basa la Unión, en par ticular la prot ección de los derechos humanos, la Comisión, en su evaluación del tercer país, o de un terr itorio o un sector específico de un ter cer país, debe ten er en cuenta de qué manera respeta un det er minado tercer país respeta el Estado de Derec ho, el acceso a la justicia y las nor mas y cr iter ios inte r nacionales en mate r ia de derechos humanos y su Derecho g eneral y sect or ial, incluida la legislación relativa a la segur idad pública, la defensa y la segur idad nacional, así como el orden público y el Derecho penal. En la adopción de una decisión de adecuación con respecto a un terr it or io o un sector específico de un te rcer país se deben ten er en cuenta cr ite r ios claros y objetivos , como las actividades concretas de tratamient o y el alcance de las nor mas jurídicas aplicables y la legislación vige nte en el 4.5.2016 L 119/19 Diar io Oficial de la U nión Europea ES

21. incluyan las cláusulas tipo de prote cción de dat os en un contrato más amplio, como un contrato entre dos encarg ados, o a que añadan otras cláusulas o garan tías adicionales, siempre que no contradig an, directa o indirec ­ tamente , las cláusulas contractuales tipo adoptadas por la Comisión o por una autoridad de control, ni mer men los derech os o las liber tades fundamentales de los inter esados. Se debe alentar a los responsables y encarg ados del tratamient o a ofrecer garantías adicionales mediante compromisos contractuales que compl ementen las cláusulas tipo de protección de dat os. (110) T odo gr upo empresari al o unión de empr esas dedicadas a una actividad económica conjunta debe te ner la posibilidad de inv ocar nor mas cor porativas vinculante s autori zadas para sus transferencias internacionales de la U nión a org anizaciones dentro del mismo gr upo empr esar ial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales nor mas cor porativas incor poren todos los pr incipios esenciales y derechos aplicables con el f in de ofrecer garant ías adecuadas para las transferencias o catego rías de transfer encias de datos de carácte r personal. (111) Se debe establecer la posibilidad de realizar transferencias en deter minadas circunstancias, de mediar el consenti ­ mient o explícito del inter esado, si la transfe rencia es ocasional y necesar ia en relación con un contrato o una reclamación, independientement e de tratarse de un procedimiento judicial o un procedimiento administrativo o extra judicial, incluidos los procedimiento s ante org anismos reguladores. T ambién se debe establecer la posibilidad de realizar transferencias cuando así lo requieran razones impor tantes de interés público establecidas por el Derech o de la Unión o de los Estados miembros, o cuando la transfe rencia se hag a a par tir de un registro establecido por ley y se destine a consulta por el público o por personas que ten gan un interés legítimo. En est e último caso la transferencia no debe afectar a la totali dad de los datos personales o de las catego rías de datos incluidos en el registro y , cuando el registro est é destinado a su consulta por personas que teng an un inter és legítimo, la transfer encia solo debe efectuarse a petición de dic has personas o, si estas van a ser las destinatar ias, ten iendo plenamente en cuenta los inte reses y los derechos fundamentales del inter esado. (112) Dic has excepci ones deben aplicarse en par ticular a las transferencias de datos requer idas y necesar ias por razones im por tantes de inter és público, por ejemplo en caso de inte rcambios intern acionales de datos entre autor idades en el ámbito de la compet encia, administraciones fiscales o aduaneras, entre autori dades de super visión financiera, entre ser vicios compet ent es en mater ia de segur idad social o de sanidad pública, por ejemplo en caso contact os destinados a localizar enfe r medades contagiosas o para reducir y/o eliminar el dopaje en el depor te. La transfer encia de datos personales también debe considerarse lícita en caso de que sea necesar ia para prot eger un inter és esencial para los inter eses vitales del inte resado o de otra persona, incluida la integr idad física o la vida, si el inter esado no está en condiciones de dar su consentimiento. En ausencia de una decisión de adecuación, el Derech o de la Unión o de los Estados miembros puede limitar expresament e, por razones im por tantes de inter és público, la transfer encia de categorías específi cas de dat os a un tercer país o a una org anización inte r nacional. Los Estados miembros deben notificar esas disposiciones a la Comisión. Puede considerarse necesar ia, por una razón im por tante de inter és público o por ser de inte rés vital para el inte resado, toda transferencia a una org anización internacional humanitar ia de dat os personales de un inte resado que no teng a capacidad física o jurídica para dar su consentimiento, con el fin de desempe ñar un cometido basado en las Conv enciones de Ginebra o de conf or marse al Derech o intern acional humanitar io aplicable en caso de conf lictos ar mados. (113) Las transfer encias que pueden calif icarse de no repetitivas y sólo se ref ieren a un número limitado de int eresados, también han de ser posibles en caso de ser vir a inte reses legítimos im per iosos del responsable del tratamient o, si no prevalecen sobre ellos los inter eses o los derechos y liber tades del inter esado y el responsable ha evaluado toda s las circunstancias concur rentes en la transfe rencia de datos. El responsable debe prestar especial atención a la naturaleza de los datos personales, la finalidad y la duración de la operación o las operaciones de tratamiento propuestas, así como la situación en el país de or igen , el terce r país y el país de destino fi nal, y ofrecer , garantías apropiadas para prote ger los derechos fundamentales y las liber tades de las personas físicas con respecto al tratamient o de sus dat os personales. Dic has transfer encias sólo deben ser posibles en casos aislados, cuando ninguno de los otros motivos para la transfe rencia sean aplicables. Las legítimas expectativas de la sociedad en un aumento del conocimiento se deben tener en cuenta para fi nes de investig ación científica o histó r ica o fi nes estadísticos. El responsable debe inf or mar de la transferencia a la autori dad de control y al inte resado. (114) En cualquier caso, cuando la Comisión no ha ya tomado ninguna decisión sobre el nivel adecuado de la prot ección de datos en un terce r país, el responsable o el encargado del tratamiento deben arbitrar soluciones que g aranticen a los inter esados derechos exigibles y ef ectivos con respecto al tratamiento de sus datos en la Unión, una vez transferidos est os, de f or ma que sigan benefi ciándose de derechos fundamentales y garant ías. 4.5.2016 L 119/21 Diar io Oficial de la U nión Europea ES

22. (115) Algunos países te rceros adop tan ley es, reg lamentaciones y otros actos jurídicos con los que se pretende regular directament e las actividades de tratamient o de personas físicas y jurídicas baj o jur isdicción de los Estados miembros. Est o puede incluir sentencias de órg anos jur isdiccionales o decisiones de autori dades administrativas de ter ceros países que obliguen a un responsable o un encarg ado del tratamient o a transferir o comunicar datos personales, y que no se basen en un acuerdo intern acional, como un tratado de asisten cia judicial mutua, en vigor entre el tercer país requirente y la Uni ón o un Estado miembro. La aplicación extrat er r itorial de dic has ley es, reg lamentaciones y otros actos jurídicos puede ser contrar ia al Derech o intern acional e impedi r la prot ección de las personas físicas garantizada en la Uni ón en vir tud del present e Reg lamento. Las transferencias solo deben autori zarse cuando se cumplan las condiciones del present e Reg lamento relativas a las transferencias a ter ceros países. T al puede ser el caso, entre otros, cuando la comunicación sea necesar ia por una razón impor tante de inter és público reconocida por el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamient o. (116) Cuando los datos personales circulan a través de las fronteras hacia el ext er ior de la U nión se puede poner en ma y or r iesgo la capacidad de las personas físicas para ejercer los derechos de prot ección de dat os, en par ticular con el fin de prote gerse contra la utilización o comunicación ilícitas de dicha inf or mación. Al mismo tiempo, es posible que las autori dades de control se vean en la im posibilidad de tramitar reclamaciones o realizar inv estiga ­ ciones relativas a actividades desar rolladas fuera de sus front eras. Sus esfuerzos por colaborar en el context o transfronterizo también pueden verse obstaculizados por poderes preventivos o cor rectivos insufi cient es, regímenes jurídicos incoherentes y obstáculos prácticos, como la escasez de recursos. P or consiguiente , es necesar io f omentar una cooperación más estrecha entre las autori dades de control encarg adas de la prot ección de dat os para a yudarlas a interca mbiar inf or mación y a llevar a cabo investig aciones con sus homólogos int er na ­ cionales. A fi n de desar rollar mecanismos de cooperación intern acional que facilit en y proporcionen asisten cia internacional mutua en la ejecución de legislación en mater ia de protección de datos personales, la Comisión y las autoridades de control deben inter cambiar inf or mación y cooperar en actividades relativas al ejercicio de sus compet encias con las autori dades compet ent es de te rceros países, sobre la base de la reciprocidad y de conf or midad con el present e Reg lamento. (117) El establecimiento en los Estados miembros de autori dades de control capacitadas para desempeñar sus funciones y ejercer sus compet encias con plena independencia constituye un elemento esencial de la protección de las personas físicas con respecto al tratamiento de dat os de carácter personal. Los Estados miembros deben tener la posibilidad de establecer más de una autor idad de control, a fin de ref lejar su estr uctura constitucional, org anizativa y administrativa. (118) La independencia de las autor idades de control no debe signif icar que dichas autor idades puedan quedar exen tas de mecanismos de control o super visión en relación con sus g astos financie ros, o de control judicial. (119) Si un Estado miembro establece var ias autoridades de control, debe disponer por ley mecanismos que g aranticen la par ticipación ef ectiva de dic has autori dades de control en el mecanismo de coherencia. T al Estado miembro debe, en par ticular , designar a la autori dad de control que actuará como punt o de contacto único de cara a la par ticipación ef ectiva de dichas autoridades en el citado mecanismo, ga rantizando así una cooperación rápida y f luida con otras autori dades de control, el Comité y la Comisión. (120) T odas las autoridades de control deben estar dotadas de los recursos fi nancieros y humanos, los locales y las infraestr ucturas que sean necesar ios para la realización eficaz de sus funciones, en par ticular las relacionadas con la asisten cia recíproca y la cooperación con otras autori dades de control de la Unión. Cada autori dad de control debe disponer de un presupuesto anual público propio, que podrá f or mar par te del presupuesto ge neral del Estado o de otro ámbito nacional. (121) Las condiciones g enerales aplicables al miembro o los miembros de la autori dad de control deben establecerse por ley en cada Estado miembro y disponer , en par ticular , que dichos miembros han de ser nombrados, por un procedimiento transparent e, por el P arlamento, el Gobier no o el jef e de Estado del Estado miembro, a propuesta del Gobier no, de un miembro del Gobier no o del P arlamento o una de sus cámaras, o por un org anismo indepen ­ dient e encarg ado del nombramiento en vir tud del Derech o de los Estados miembros. A fi n de ga rantizar la independencia de la autor idad de control, sus miembros deben actuar con integridad, abstenerse de cualquier acción que sea incompat ible con sus funciones y no par ticipar , mientras dure su mandat o, en ninguna actividad profesio nal incompatible, sea o no remunerada. La autori dad de control debe te ner su propio personal, seleccionado por esta o por un orga nismo independient e establecido por el Derecho de los Estados miembros, que est é subordinado exclusivament e al miembro o los miembros de la autoridad de control. (122) Cada autori dad de control debe ser compet ent e, en el terr it or io de su Estado miembro, para ejercer los poderes y desempe ñar las funciones que se le conf ieran de conf or midad con el presente Reg lamento. Lo anter ior debe 4.5.2016 L 119/22 Diar io Oficial de la U nión Europea ES

23. abarcar , en par ticular , el tratamient o en el context o de las actividades de un establecimiento del responsable o del encarg ado en el terr it or io de su Estado miembro, el tratamient o de dat os personales realizado por autori dades públicas o por org anismos pr ivados que actúen en inter és público, el tratamiento que af ecte a inter esados en su terr it or io, o el tratamiento realizado por un responsable o un encarg ado que no est é establecido en la U nión cuando sus destinatar ios sean inter esados residente s en su te r r it or io. Debe incluirse el examen de reclamaciones presentadas por un inte resado, la realización de inve stigaciones sobre la aplicación del present e Reg lamento y el f omento de la sensibilización del público acerca de los r iesgos, las nor mas, las garant ías y los derechos en relación con el tratamiento de dat os personales. (123) A fi n de proteg er a las personas físicas con respecto al tratamiento de sus dat os personales y de facilitar la libre circulación de los datos personales en el mercado interi or , las autoridades de control deben super visar la aplicación de las disposiciones adop tadas de conf or midad con el present e Reg lamento y contr ibuir a su aplicación coherent e en toda la U nión. A tal ef ecto, las autor idades de control deben cooperar entre ellas y con la Comisión, sin necesidad de acuerdo alguno entre Estados miembros sobre la prestación de asistencia mutua ni sobre dic ha cooperación. (124) Si el tratamiento de datos personales se realiza en el cont exto de las actividades de un establecimiento de un responsable o un encargado en la Unión y el responsable o el encarg ado está establecido en más de un Estado miembro, o si el tratamiento en el conte xto de las actividades de un único establecimiento de un responsable o un encargado en la U nión af ecta o es probable que af ecte sustancialment e a interesados en más de un Estado miembro, la autori dad de control del establecimiento pr incipal o del único establecimiento del responsable o del encarg ado debe actuar como autor idad pr incipal. Dic ha autoridad debe cooperar con las demás autori dades inter esadas, ya sea porque el responsable o el encarg ado ten ga un establecimiento en el terr it or io de su Estado miembro, porque afect e sustancialmente a interesados que residen en su terr it or io, o porque se ha ya presentado una reclamación ant e ellas. Asimismo, cuando un interesado que no resida en ese Estado miembro ha ya presentado una reclamación, la autori dad de control ant e la que se ha ya presentado esta también debe ser autori dad de control inter esada. En el marco de sus funciones de f or mulación de directr ices sobre cualquier cuestión relacionada con la aplicación del present e Reg lamento, el Comité debe estar f acultado para f or mular directr ices, en par ticular sobre los cr ite r ios que han de tenerse en cuenta para determi nar si el tratamient o en cuestión afecta sustancialmente a interesados de más de un Estado miembro y sobre lo que constituya una objeción per tinente y motivada. (125) La autori dad pr incipal debe ser compet ent e para adoptar decisiones vinculante s relativas a las medidas de aplicación de los poderes conferi dos con ar reg lo al present e Reg lamento. En su calidad de autor idad pr incipal, la autori dad de control debe imp licar estrechament e y coordinar a las autori dades de control inter esadas en el proceso de toma de decisiones. En los casos en los que la decisión consista en rechazar total o parcialmente la reclamación del interesado, esa decisión debe ser adopta da por la autori dad de control ant e la que se ha ya presentado la reclamación. (126) La decisión debe ser acordada conjuntamente por la autor idad de control pr incipal y las autor idades de control inter esadas y debe dir igirse al establecimiento pr incipal o único del responsable o del encargado del tratamient o y ser vinculante para ambos. El responsable o el encarg ado deben toma r las medidas necesar ias para garant izar el cumpli miento del presente Reg lamento y la aplicación de la decisión notifi cada por la autoridad de control pr incipal al establecimiento pr incipal del responsable o del encarg ado en lo que se refiere a las actividades de tratamient o en la Uni ón. (127) Cada autori dad de control que no actúa como autor idad pr incipal debe ser compet ent e para tratar asuntos locales en los que, si bien el responsable o el encarg ado del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento específi co se refiere excl usivamente al tratamiento ef ectuado en un único Estado miembro y afecta excl usivamente a inte resados de ese único Estado miembro, por ejemplo cuando el tratamient o tiene como objeto datos personales de empleado s en el context o específi co de em pleo de un Estado miembro. En tales casos, la autoridad de control debe inf or mar sin dilación al respecto a la autor idad de control pr incipal. Una vez inf or mada, la autori dad de control pr incipal debe decidir si tratará el asunt o de acuerdo con la disposición aplicable a la cooperación entre la autoridad de control pr incipal y otras autor idades de control inter esadas («mecanismo de ventanilla única»), o si lo debe tratar localment e la autori dad de control que le ha ya inf or mado. Al decidir si trata el asunt o, la autori dad de control pr incipal debe considerar si existe un establecimiento del responsable o del encargado en el Estado miembro de la autoridad de control que le ha ya inf or mado, con el fin de garantizar la ejecución ef ectiva de la decisión respecto del responsable o encargado del tratamiento. Si la autori dad de control pr incipal decide tratar el asunt o, se debe ofrecer a la autori dad de control inf or mante la 4.5.2016 L 119/23 Diar io Oficial de la U nión Europea ES

24. posibilidad de presentar un pro y ecto de decisión, que la autori dad de control pr incipal ha de te ner en cuenta en la ma y or medida posible al preparar su pro ye cto de decisión al ampar o del mecanismo de ventanilla única. (128) Las nor mas sobre la autoridad de control pr incipal y el mecanismo de ventanilla única no deben aplicarse cuando el tratamiento sea realizado por autoridades públicas u orga nismos pr ivados en interés público. En tales casos, la única autoridad de control compet ent e para ejercer los poderes conferi dos con ar reg lo al present e Reg lamento debe ser la autor idad de control del Estado miembro en el que est én establecidos la autori dad pública o el org anismo pr ivado. (129) P ara garant izar la super visión y ejecución coherentes del present e Reg lamento en toda la U nión, las autoridades de control deben te ner en todos los Estados miembros las mismas funciones y poderes efectiv os, incluidos poderes de inv estigación, poderes cor rectiv os y sancionadores, y poderes de autori zación y consultiv os, especialmente en casos de reclamaciones de personas físicas, y sin per juicio de las compet encias de las autori dades encargadas de la persecución de los delitos con ar reg lo al Derecho de los Estados miembros para poner en conocimiento de las autori dades judiciales las infracciones del present e Reg lamento y ejercitar acciones judiciales. Dichos poderes deben incluir también el poder de im poner una limitación tem poral o def initiva al tratamient o, incluida su prohibición. Los Estados miembros pueden especifi car otras funciones relacionadas con la prote cción de dat os personales con ar reg lo al present e Reg lamento. Los poderes de las autoridades de control deben ejercerse de conf or midad con garant ías procesales adecuadas establecidas en el Derecho de la U nión y los Estados miembros, de f or ma imparcial, equitativa y en un plazo razonable. En par ticular , toda medida debe ser adecuada, necesar ia y proporcionada con vistas a g arantizar el cumpli miento del present e Reg lamento, ten iendo en cuenta las circunstancias de cada caso concreto, respetar el derecho de todas las personas a ser oídas ant es de que se adopt e cualquier medida que las af ecte negativa mente y evitar coste s superf luos y molestias excesivas para las personas afectadas. Los poderes de inv estiga ción en lo que se refiere al acceso a instalaciones deben ejercerse de conf or midad con los requisit os específi cos del Derecho procesal de los Estados miembros, como el de la autori zación judicial previa. T oda medida jurídicamente vinculante de la autori dad de control debe constar por escr it o, ser clara e inequívoca, indicar la autoridad de control que dict ó la medida y la f echa en que se dict ó, llevar la fi r ma del direct or o de un miembro de la autori dad de control autori zado por este, especificar los motivos de la medida y mencionar el derech o a la tute la judicial efectiva. Esto no debe obstar a que se im pongan requisitos adicionales con ar reg lo al Derecho procesal de los Estados miembros. La adopción de una decisión jurídicament e vinculante im plica que puede ser objeto de control judicial en el Estado miembro de la autoridad de control que adopt ó la decisión. (130) Cuando la autori dad de control ant e la cual se ha ya presentado la reclamación no sea la autor idad de control pr incipal, esta última debe cooperar estrechament e con la pr imera con ar reg lo a las disposiciones sobre cooperación y coherencia establecidas en el present e Reg lamento. En tales casos, la autori dad de control pr incipal, al tomar medidas concebidas para producir ef ectos jurídicos, incluida la imp osición de multas administrativas, debe tener en cuenta en la ma y or medida posible la opinión de la autori dad de control ante la cual se ha ya presentado la reclamación y la cual debe seguir siendo compet ente para realizar cualquier inv estigación en el terr it or io de su propio Estado miembro en enlace con la autori dad de control compet ent e. (131) En casos en los que otra autoridad de control deba actuar como autori dad de control pr incipal para las actividades de tratamiento del responsable o del encargado pero el objeto concreto de una reclamación o la posible infracción af ecta únicamente a las actividades de tratamiento del responsable o del encarg ado en el Estado miembro en el que se ha ya presentado la reclamación o det ectado la posible infracción y el asunt o no af ecta sustancialment e ni es probable que af ecte sustancialmente a interesados de otros Estados miembros, la autori dad de control que reciba una reclamación o que det ecte situaciones que conlleven posibles infracciones del present e Reg lamento o reciba de otra manera inf or mación sobre estas debe tratar de llega r a un ar reg lo amistoso con el responsable del tratamient o y , si no prospera, ejercer todos sus poderes. En lo anter ior se debe incluir el tratamient o específico realizado en el terr itori o del Estado miembro de la autoridad de control o con respecto a inter esados en el terr itorio de dic ho Estado miembro; el tratamiento efectuado en el conte xto de una ofer ta de bienes o ser vicios destinada específi camente a inte resados en el terr itori o del Estado miembro de la autoridad de control; o el tratamient o que deba evaluarse ten iendo en cuenta las oblig aciones leg ales per tinentes en vir tud del Derech o de los Estados miembros. (132) Entre las actividades de sensibilización del público por par te de las autoridades de control deben incluirse medidas específicas dir igidas a los responsables y los encarg ados del tratamient o, incluidas las microempr esas y las pequeñas y medianas empr esas, así como las personas físicas, en par ticular en el context o educativ o. 4.5.2016 L 119/24 Diar io Oficial de la U nión Europea ES

25. (133) Las autori dades de control se deben a yudar una a otra en el desempe ño de sus funciones y prestar asisten cia mutua, con el fin de garantizar la aplicación y ejecución coherente s del present e Reg lamento en el mercado interior . U na autori dad de control que solicite asistencia mutua puede adoptar una medida pro visional si no recibe respuesta a su solicitud de asisten cia en el plazo de un mes a par tir de su recepción por la otra autori dad de control. (134) Cada autor idad de control debe par ticipar , cuando proceda, en operaciones conjuntas con otras autori dades de control. La autor idad de control a la que se solicite a yuda debe te ner la oblig ación de responder a la solicitud en un plazo de tiempo determi nado. (135) A fin de garan tizar la aplicación coherente del present e Reg lamento en tod a la Unión, debe establecerse un mecanismo de coherencia para la cooperación entre las autori dades de control. Est e mecanismo debe aplicarse en par ticular cuando una autori dad de control prevea adopta r una medida dir igida a producir ef ectos jurídicos en lo que se ref iere a operaciones de tratamiento que af ecten sustancialment e a un número signif icativ o de inte resados en var ios Estados miembros. T ambién debe aplicarse cuando cualquier autor idad de control interesada o la Comisión soliciten que dicho asunt o se trat e al am paro del mecanismo de coherencia. Dicho mecanismo debe ent enderse sin per juicio de cualesquiera medidas que la Comisión pueda adoptar en el ejercicio de sus poderes con ar reg lo a los T ratados. (136) En aplicación del mecanismo de coherencia, el Comité debe, en un plazo det er minado, emitir un dictamen, si así lo decide una ma y oría de sus miembros o si así lo solicita cualquier autori dad de control interesada o la Comisión. El Comité también debe estar fa cultado para adoptar decisiones jurídicament e vinculantes en caso de dif erencias entre autori dades de control. A tal ef ecto debe dictar , en pr incipio por ma y oría de dos te rcios de sus miembros, decisiones jurídicamente vinculante s en casos clarament e especific ados en los que exista conf lict o de opiniones entre las autor idades de control, en par ticular en el mecanismo de cooperación entre la autori dad de control pr incipal y las autori dades de control interesadas sobre el f ondo del asunt o, especialmente en caso de infracción del present e Reg lamento. (137) La necesidad urg ent e de actuar puede obedecer a la necesidad de proteg er los derechos y liber tades de los inter esados, en par ticular cuando exista el r iesgo de que pueda verse considerablemente obstaculizado el reconoci ­ mient o de alguno de sus derech os. P or lo tanto , una autoridad de control debe poder adoptar en su terr itori o medidas pro visionales, debidamente justif icadas, con un plazo de validez det er minado no super ior a tres meses. (138) La aplicación de tal mecanismo debe ser una condición para la licitud de una medida de una autor idad de control destinada a producir efect os jurídicos, en aquellos casos en los que su aplicación sea oblig atori a. En otros casos de relevancia transfronteri za, la autori dad de control pr incipal y las autor idades de control interesadas deben aplicar entre sí el mecanismo de cooperación, y las autor idades de control inter esadas pueden prestarse asisten cia mutua y realizar entre sí operaciones conjuntas, sobre una base bilateral o multilat eral, sin ten er que aplicarlo. (139) A fin de f omentar la aplicación coherente del present e Reg lamento, el Comité debe constituirse como org anismo independiente de la Unión. P ara cumplir sus objetivos, el Comité debe te ner personalidad jurídica. Su presidente debe ostentar su representación. El Comit é debe sustituir al Gr upo de protección de las personas en lo que respecta al tratamient o de datos personales creado por la Directiva 95/46/CE. Debe estar compuest o por el direct or de una autori dad de control de cada Estado miembro y el Super visor Europeo de Protección de Datos, o por sus respectivos representantes. La Comisión debe par ticipar en las actividades del Comit é sin derecho a vot o y se deben reconocer derechos de v oto específicos al Super visor Europeo de Protección de Datos . El Comité debe contr ibuir a la aplicación coherente del present e Reg lamento en toda la U nión, entre otras cosas asesorando a la Comisión, en par ticular sobre el nivel de protección en ter ceros países u org anizaciones inte r nacionales, y f omentando la cooperación de las autori dades de control en toda la U nión. El Comité debe actuar con indepen ­ dencia en el cumplimient o de sus funciones. (140) El Comit é debe contar con una secretaría, a cargo el Super visor Europeo de Prot ección de Datos. El personal del Super visor Europeo de Prote cción de Datos que par ticipe en la realización de las funciones conferidas al Comité por el present e Reg lamento debe desempeñar sus funciones siguiendo excl usivamente las instr ucciones del president e del Comité y responder ante él. (141) T odo inter esado debe ten er derech o a presentar una reclamación ant e una autori dad de control única, en par ticular en el Estado miembro de su residencia habitual, y derecho a la tute la judicial ef ectiva de conf or midad 4.5.2016 L 119/25 Diar io Oficial de la U nión Europea ES

26. con el ar tículo 47 de la Car ta si considera que se vulneran sus derechos con ar reg lo al present e Reg lamento o en caso de que la autor idad de control no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesar io para proteg er los derechos del inter esado. La inv estigación a raíz de una reclamación debe llevarse a cabo, baj o control judicial, si procede en el caso concreto. La autoridad de control debe inf or mar al interesado de la ev olución y el resultado de la reclamación en un plazo razonable. Si el asunt o requiere una ma y or investig ación o coordinación con otra autori dad de control, se debe facilita r inf or mación inte r media al inter esado. Para facilitar la presentación de reclamaciones, cada autoridad de control debe adoptar medidas como el suministro de un f or mular io de reclamaciones, que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación. (142) El inte resado que considere vulnerados los derechos reconocidos por el present e Reg lamento debe ten er derecho a conferir mandato a una entidad, org anización o asociación sin ánimo de lucro que est é constituida con ar reg lo al Derech o de un Estado miembro, teng a objetivos estatutar ios que sean de inte rés público y actúe en el ámbito de la protección de los dat os personales, para que present e en su nombre una reclamación ant e la autori dad de control, ejerza el derecho a la tutela judicial en nombre de los interesados o, si así lo establece el Derecho del Estado miembro, ejerza el derecho a recibir una indemnización en nombre de estos. U n Estado miembro puede reconocer a tal entidad, orga nización o asociación el derecho a presentar en él una reclamación con indepen ­ dencia del mandat o de un inter esado y el derecho a la tutela judicial ef ectiva, cuando existan motivos para creer que se han vulnerado los derechos de un interesado como consecuencia de un tratamient o de dat os personales que sea contrar io al present e Reg lamento. Esa entidad, org anización o asociación no puede estar autori zada a reclamar una indemnización en nombre de un interesado al margen del mandat o de este último. (143) T oda persona física o jurídica tiene derecho a interponer ant e el T r ibunal de Justicia recurso de anulación de decisiones del Comité , en las condiciones establecidas en el ar tículo 263 del TFUE. Como destinatar ias de dichas decisiones, las autoridades de control inter esadas que quieran imp ugnarlas tienen que inte r poner recurso en el plazo de dos meses a par tir del momento en que les fueron notificadas, de conf or midad con el ar tículo 263 del TFUE. En caso de que las decisiones del Comité af ecten directa e individualment e a un responsable, un encarg ado o al reclamant e, est os pueden inte r poner recurso de anulación de dichas decisiones en el plazo de dos meses a par tir de su publicación en el sitio web del Comité, de conf or midad con el ar tículo 263 del TFUE. Sin per juicio de lo dispuest o en el ar tículo 263 del TFUE, tod a persona física o jurídica debe tener derech o a la tutela judicial efectiva ante el tr ibunal nacional compet ente contra las decisiones de una autoridad de control que produzcan efect os jurídicos que le af ecten. T ales decisiones se refie ren en par ticular al ejercicio de los poderes de inv estigación, cor rección y autorización por par te de la autori dad de control o a la desestimación o recha zo de reclamaciones. No obstante , el derecho a la tutela judicial efectiva no incluy e medidas adoptadas por las autori dades de control que no sean jurídicament e vinculant es, como los dictámenes publicados o el asesoramient o f acilitado por ellas. Las acciones contra una autori dad de control deben ejercitarse ant e los tr ibunales del Estado miembro en el que est é establecida y tramitarse con ar reg lo al Derecho procesal de dic ho Estado miembro. Dic hos tr ibunales deben ten er plena jur isdicción, incluida la compet encia para examinar todos los element os de hech o y de Derecho relativ os a la causa de la que conozcan. Si una autor idad de control rech aza o desestima una reclamación, el reclamante puede ejercitar una acción ant e los tr ibunales del mismo Estado miembro. En el context o de las acciones judiciales relacionadas con la aplicación del present e Reg lamento, los tr ibunales nacionales que estimen necesar ia una decisión al respecto para poder emitir su f allo pueden, o en el caso establecido en el ar tículo 267 del TFUE, deben solicitar al T r ibunal de Justicia que se pronuncie con caráct er prejudicial sobre la interpretaci ón del Derecho de la Uni ón, incluido el present e Reg lamento. Además, si una decisión de una autoridad de control por la que se ejecuta una decisión del Comité se im pugna ante un tr ibunal nacional y se cuestiona la validez de la decisión del Comité , dicho tr ibunal nacional no es compet ente para declarar inválida la decisión del Comité, sino que, si la considera inv álida, tiene que remitir la cuestión de la validez al T r ibunal de Justicia de conf or midad con el ar tículo 267 del TFUE, según la interpretación de est e. No obstante, un tr ibunal nacional puede no remitir la cuestión de la validez de la decisión del Comité a instancia de una persona física o jurídica que, habiendo tenido la opor tunidad de interpon er recurso de anulación de dic ha decisión, en par ticular si dic ha decisión la af ectaba directa e individualmente, no lo hizo en el plazo establecido en el ar tículo 263 del TFUE. (144) Si un tr ibunal ante el cual se ejercitaron acciones contra una decisión de una autoridad de control tiene motivos para creer que se ejercitaron acciones ant e un tr ibunal compet ent e de otro Estado miembro relativas al mismo tratamient o, como tener el mismo asunto con respecto a un tratamient o por el mismo responsable o encargado, o la misma causa de la acción, debe ponerse en contacto con ese tr ibunal para confir mar la existen cia de tales acciones conexas. Si dic has acciones conexas están pendient es ant e un tr ibunal de otro Estado miembro, 4.5.2016 L 119/26 Diar io Oficial de la U nión Europea ES

29. físicas con respecto al tratamient o de datos personales con ar reg lo a las disposiciones del Derecho de la Unión y los Estados miembros y , en par ticular , no alter a las oblig aciones ni los derechos establecidos en el present e Reg lamento. En concreto, dicha Directiva no debe aplicarse a los documentos a los que no pueda accederse o cuy o acceso esté limitado en vir tud de regímenes de acceso por motivos de protección de datos personales, ni a par te s de documentos accesibles en vir tud de dichos regímenes que conteng an dat os personales cuya reutilización ha ya quedado establecida por ley como incompati ble con el Derecho relativo a la protección de las personas físicas con respecto al tratamient o de los datos personales. (155) El Derecho de los Estados miembros o los conven ios colectivos, incluidos los «con venios de empresa», pueden establecer nor mas específicas relativas al tratamiento de datos personales de los trabajadores en el ámbito laboral, en par ticular en relación con las condiciones en las que los datos personales en el cont exto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del traba jador , los fi nes de la contratación, la ejecución del contrato laboral, incluido el cumpli miento de las oblig aciones establecidas por la ley o por convenio colectivo, la gestión, planificación y organización del traba jo, la igualdad y segur idad en el lugar de traba jo, la salud y segur idad en el trabajo, así como a los fine s del ejercicio y disfr ute, sea individual o colectivo, de derechos y prestaciones relacionados con el empleo y a ef ectos de la rescisión de la relación laboral. (156) El tratamiento de dat os personales con f ines de arch ivo en inter és público, fines de inv estigación científi ca o histó r ica o fine s estadísticos debe estar supeditado a unas ga rantías adecuadas para los derechos y liber tades del inter esado de conf or midad con el present e Reg lamento. Esas garant ías deben asegurar que se aplican medidas técn icas y org anizativas para que se obser ve, en par ticular , el pr incipio de minimización de los datos. El tratamient o ult er ior de datos personales con fi nes de archiv o en interés público, fine s de inve stigación científi ca o histó r ica o fi nes estadísticos ha de ef ectuarse cuando el responsable del tratamiento ha ya evaluado la viabilidad de cumpli r esos fine s mediante un tratamiento de dat os que no per mita identif icar a los inter esados, o que ya no lo per mita, siempre que existan las garantías adecuadas (como, por ejem plo, la seudonimización de dat os). Los Estados miembros deben establecer garantías adecuadas para el tratamiento de datos personales con fi nes de arch ivo en inter és público, fi nes de inve stigación científi ca o histó r ica o fine s estadísticos. Debe autorizarse que los Estados miembros establezcan, baj o condiciones específicas y a reser va de g arantías adecuadas para los inter esados, especificaciones y excepci ones con respecto a los requisitos de inf or mación y los derechos de rectifi ­ cación, de supresión, al olvido, de limitación del tratamiento, a la por tabilidad de los dat os y de oposición, cuando se trat en datos personales con fines de archiv o en interés público, fines de inv estigación científica e histó r ica o fines estadísticos. Las condiciones y ga rantías en cuestión pueden conllevar procedimiento s específicos para que los inte resados ejerzan dichos derechos si resulta adecuado a la luz de los fi nes perseguidos por el tratamient o específi co, junto con las medidas técn icas y org anizativas destinadas a minimizar el tratamient o de dat os personales atendi endo a los pr incipios de proporcionalidad y necesidad. El tratamient o de datos personales con fi nes científ icos también debe obser var otras nor mas per tinentes, como las relativas a los ensa y os clínicos. (157) Combinando inf or mación procedente de registros, los investig adores pueden obte ner nuevos conocimientos de gran valor sobre condiciones médicas exte ndidas, como las enf er medades cardio vasculares, el cáncer y la depresión. P ar tiendo de registros, los resultados de las inve stigaciones pueden ser más sólidos, ya que se basan en una población ma y or . Dentro de las ciencias sociales, la investig ación basada en registros per mit e que los investi ­ g adores obteng an conocimientos esenciales acerca de la cor relación a largo plazo, con otras condiciones de vida, de diversas condiciones sociales, como el desempleo y la educación. Los resultados de inve stigaciones obte nidos de registros proporcionan conocimientos sólidos y de alta calidad que pueden ser vir de base para la concepción y ejecución de políticas basada en el conocimiento, mejorar la calidad de vida de numerosas personas y mejorar la eficiencia de los ser vicios sociales. P ara fa cilitar la inv estigación científica, los dat os personales pueden tratarse con fi nes científicos, a reser va de condiciones y g arantías adecuadas establecidas en el Derech o de la U nión o de los Estados miembros. (158) El presente Reg lamento también debe aplicarse al tratamiento de datos personales realizado con fines de arc hivo, ten iendo present e que no debe se de aplicación a personas f allecidas. Las autor idades públicas o los org anismos públicos o pr ivados que llevan registros de inter és público deben ser ser vicios que están oblig ados, con ar reg lo al Derech o de la U nión o de los Estados miembros, a adquir ir , manten er , evaluar , org anizar , descr ibir , comunicar , promo ver y difundir registros de valor perdurable para el inte rés público g eneral y f acilitar acceso a ellos. Los Estados miembros también debe estar autor izados a establecer el tratamient o ult er ior de datos personales con fines de archiv o, por ejemplo a fin de ofrecer inf or mación específica relacionada con el compo r tamiento político baj o antiguos regímenes de Estados totali tar ios, el g enocidio, los crímenes contra la humanidad, en par ticular el Holocausto, o los crímenes de guer ra. 4.5.2016 L 119/29 Diar io Oficial de la U nión Europea ES

34. puedan recibir datos personales en el marco de una investig ación concreta de conf or midad con el Derec ho de la Unión o de los Estados miembros; el tratamient o de tales datos por dichas autori dades públicas será conf or me con las nor mas en mater ia de prote cción de dat os aplicables a los fi nes del tratamient o; 10) «tercero»: persona física o jurídica, autori dad pública, ser vicio u organismo distinto del inter esado, del responsable del tratamient o, del encargado del tratamient o y de las personas autori zadas para tratar los datos personales baj o la autor idad directa del responsable o del encarg ado; 11) «consentimiento del inte resado»: toda manifestación de v oluntad libre, específica, inf or mada e inequívoca por la que el interesado acep ta, ya sea mediante una declaración o una clara acción afi r mativa, el tratamiento de datos personales que le concier nen; 12) «violación de la segur idad de los datos personales»: toda violación de la segur idad que ocasione la destr ucción, pérdida o alte ración accidental o ilícita de datos personales transmitidos, conser vados o tratados de otra f or ma, o la comunicación o acceso no autori zados a dichos datos; 13) «datos genéticos»: datos personales relativos a las caract erísticas ge néticas heredadas o adquir idas de una persona física que proporcionen una inf or mación única sobre la fi siología o la salud de esa persona, obtenidos en par ticular del análisis de una muestra biológica de tal persona; 14) «datos biométr icos»: datos personales obte nidos a par tir de un tratamient o té cnico específico, relativos a las caracte ­ rísticas físicas, fisiológicas o conductuales de una persona física que per mitan o conf ir men la identif icación única de dicha persona, como imágenes f aciales o dat os dactiloscópicos; 15) «datos relativ os a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de ser vicios de atención sanitar ia, que revelen inf or mación sobre su estado de salud; 16) «establecimiento pr incipal»: a) en lo que se refiere a un responsable del tratamiento con establecimiento s en más de un Estado miembro, el lugar de su administración central en la Uni ón, salv o que las decisiones sobre los fi nes y los medios del tratamiento se tome n en otro establecimiento del responsable en la U nión y este último establecimiento ten ga el poder de hacer aplicar tales decisiones, en cuy o caso el establecimiento que ha ya adop tado tales decisiones se considerará establecimiento pr incipal; b) en lo que se refiere a un encarga do del tratamiento con establecimiento s en más de un Estado miembro, el luga r de su administración central en la U nión o, si careciera de esta, el establecimiento del encarg ado en la U nión en el que se realicen las pr incipales actividades de tratamiento en el context o de las actividades de un estableci ­ miento del encargado en la medida en que el encarga do est é sujeto a oblig aciones específi cas con ar reg lo al presente Reg lamento; 17) «representante»: persona física o jurídica establecida en la U nión que, habiendo sido designada por escr it o por el responsable o el encarg ado del tratamiento con ar reg lo al ar tículo 27, represent e al responsable o al encarg ado en lo que respecta a sus respectivas obligac iones en vir tud del presente Reg lamento; 18) «empresa»: persona física o jurídica dedicada a una actividad económica, independiente mente de su f or ma jurídica, incluidas las sociedades o asociaciones que desempeñen regular mente una actividad económica; 19) «gr upo empresari al»: gr upo constituido por una empr esa que ejerce el control y sus empr esas controladas; 20) «nor mas cor porativas vinculantes»: las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el terr itorio de un Estado miembro para transferencias o un conjunt o de transferencias de dat os personales a un responsable o encarg ado en uno o más países terceros, dentro de un gr upo empresari al o una unión de empr esas dedicadas a una actividad económica conjunta; 21) «autori dad de control»: la autori dad pública independient e establecida por un Estado miembro con ar reg lo a lo dispuesto en el ar tículo 51; 4.5.2016 L 119/34 Diar io Oficial de la U nión Europea ES

42. f) en su caso, la inte nción del responsable de transferi r dat os personales a un destinatar io en un te rcer país u org anización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los ar tículos 46 o 47 o el ar tículo 49, apar tado 1, pár raf o segundo, referen cia a las g arantías adecuadas o apropiadas y a los medios para obte ner una copia de ellas o al hecho de que se ha yan prestado. 2. A demás de la inf or mación mencionada en el apar tado 1, el responsable del tratamiento facilitará al inter esado la siguient e inf or mación necesar ia para garantizar un tratamiento de dat os leal y transparent e respecto del inter esado: a) el plazo durante el cual se conser varán los datos personales o, cuando eso no sea posible, los cr iter ios utilizados para det er minar este plazo; b) cuando el tratamiento se base en el ar tículo 6, apar tado 1, letra f), los inte reses legítimos del responsable del tratamient o o de un te rcero; c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los dat os personales relativos al inter esado, y su rectifi cación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la por tabilidad de los dat os; d) cuando el tratamiento esté basado en el ar tículo 6, apar tado 1, letra a), o el ar tículo 9, apar tado 2, letra a), la existen cia del derecho a retirar el consentimiento en cualquier momento, sin que ello afect e a la licitud del tratamient o basada en el consentimient o antes de su retirada; e) el derech o a presentar una reclamación ant e una autori dad de control; f) la fuent e de la que proceden los dat os personales y , en su caso, si proceden de fuentes de acceso público; g) la existencia de decisiones automat izadas, incluida la elaboración de perf iles, a que se refiere el ar tículo 22, apar tados 1 y 4, y , al menos en tales casos, inf or mación signif icativa sobre la lógica aplicada, así como la im por tancia y las consecuencias previstas de dic ho tratamiento para el interesado. 3. El responsable del tratamient o facilitará la inf or mación indicada en los apar tados 1 y 2: a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específi cas en las que se traten dichos datos; b) si los datos personales han de utilizarse para comunicación con el inter esado, a más tardar en el moment o de la pr imera comunicación a dic ho inte resado, o c) si está previsto comunicarlos a otro destinatar io, a más tardar en el momento en que los datos personales sean comunicados por pr imera vez. 4. Cuando el responsable del tratamiento pro ye cte el tratamiento ult er ior de los datos personales para un fi n que no sea aquel para el que se obtuvieron, proporcionará al inte resado, ant es de dicho tratamiento ult er ior , inf or mación sobre ese otro fi n y cualquier otra inf or mación per tinente indicada en el apar tado 2. 5. Las disposiciones de los apar tados 1 a 4 no serán aplicables cuando y en la medida en que: a) el int eresado ya disponga de la inf or mación; b) la comunicación de dicha inf or mación resulte imposible o suponga un esfuerzo desproporcionado, en par ticular para el tratamient o con fi nes de arc hivo en inte rés público, fi nes de investig ación científica o histór ica o fines estadísticos, a reser va de las condiciones y ga rantías indicadas en el ar tículo 89, apar tado 1, o en la medida en que la obligación mencionada en el apar tado 1 del present e ar tículo pueda im posibilitar u obstaculizar grave mente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adop tará medidas adecuadas para prote ger los derechos, liber tades e intereses legítimos del interesado, inclusive haciendo pública la inf or mación; c) la obtención o la comunicación esté expresamente establecida por el Derecho de la U nión o de los Estados miembros que se aplique al responsable del tratamient o y que establezca medidas adecuadas para proteg er los intereses legítimos del inter esado, o d) cuando los datos personales deban seguir teniendo carácte r confidencial sobre la base de una oblig ación de secreto profesio nal regulada por el Derecho de la U nión o de los Estados miembros, incluida una oblig ación de secreto de naturaleza estatutar ia. 4.5.2016 L 119/42 Diar io Oficial de la U nión Europea ES

57. b) los inte reses legítimos perseguidos por los responsables del tratamiento en context os específicos; c) la recogida de datos personales; d) la seudonimización de dat os personales; e) la inf or mación proporcionada al público y a los interesados; f) el ejercicio de los derechos de los interesados; g) la inf or mación proporcionada a los niños y la protección de estos, así como la manera de obtener el consentimiento de los titulares de la patr ia potest ad o tute la sobre el niño; h) las medidas y procedimiento s a que se ref ieren los ar tículos 24 y 25 y las medidas para garan tizar la segur idad del tratamient o a que se ref iere el ar tículo 32; i) la notificación de violaciones de la segur idad de los datos personales a las autori dades de control y la comunicación de dic has violaciones a los inte resados; j) la transfe rencia de dat os personales a te rceros países u organizaciones internacionales, o k) los procedimiento s extra judiciales y otros procedimiento s de resolución de conf lictos que per mitan resolver las contro versias entre los responsables del tratamiento y los interesados relativas al tratamient o, sin per juicio de los derechos de los interesados en vir tud de los ar tículos 77 y 79. 3. A demás de la adhesión de los responsables o encarg ados del tratamiento a los que se aplica el presente Reg lamento, los responsables o encarg ados a los que no se aplica el present e Reg lamento en vir tud del ar tículo 3 podrán adher irse también a códigos de conducta aprobados de conf or midad con el apar tado 5 del present e ar tículo y que ten gan validez g eneral en vir tud del apar tado 9 del present e ar tículo, a fin de ofrecer garantías adecuadas en el marco de las transfer encias de datos personales a ter ceros países u organizaciones internacionales a ten or del ar tículo 46, apar tado 2, letra e). Dichos responsables o encargados deberán asumir compr omisos vinculantes y exigibles, por vía contractual o mediante otros instr umentos jurídicamente vinculante s, para aplicar dichas garan tías adecuadas, incluidas las relativas a los derech os de los interesados. 4. El código de conducta a que se ref iere el apar tado 2 del present e ar tículo conte ndrá mecanismos que per mitan al org anismo mencionado en el ar tículo 41, apar tado 1, ef ectuar el control obligat or io del cumplimient o de sus disposi ­ ciones por los responsables o encarg ados de tratamiento que se compromet an a aplicarlo, sin per juicio de las funciones y los poderes de las autori dades de control que sean compet ent es con ar reg lo al ar tículo 51 o 56. 5. Las asociaciones y otros org anismos mencionados en el apar tado 2 del present e ar tículo que pro yect en elaborar un código de conducta o modificar o ampli ar un código existen te presentarán el pro ye cto de código o la modificación o ampli ación a la autoridad de control que sea compet ent e con ar reg lo al ar tículo 55. La autori dad de control dictaminará si el pro ye cto de código o la modific ación o ampliación es conf or me con el present e Reg lamento y aprobará dicho pro ye cto de código, modificación o amplia ción si considera suficie nt es las garantías adecuadas ofrecidas. 6. Si el pro y ecto de código o la modifi cación o am pliación es aprobado de conf or midad con el apar tado 5 y el código de conducta de que se trat e no se refiere a actividades de tratamient o en var ios Estados miembros, la autori dad de control registrará y publicará el código. 7. Si un pro y ecto de código de conducta guarda relación con actividades de tratamiento en var ios Estados miembros, la autor idad de control que sea compet ent e en vir tud del ar tículo 55 lo presentará por el procedimiento mencionado en el ar tículo 63, ant es de su aprobación o de la modificación o amplia ción, al Comité , el cual dictaminará si dic ho pro ye cto, modifi cación o amplia ción es conf or me con el present e Reg lamento o, en la situación indicada en el apar tado 3 del present e ar tículo, ofrece garantías adecuadas. 8. Si el dictamen a que se refie re el apar tado 7 conf ir ma que el pro yect o de código o la modifi cación o ampliación cumple lo dispuest o en el present e Reg lamento o, en la situación indicada en el apar tado 3, ofrece ga rantías adecuadas, el Comit é presentará su dictamen a la Comisión. 9. La Comisión podrá, mediante actos de ejecución, decidir que el código de conducta o la modifi cación o am pliación aprobados y presentados con ar reg lo al apar tado 8 del present e ar tículo ten gan validez g eneral dentro de la Unión. Dic hos actos de ejecución se adop tarán con ar reg lo al procedimiento de examen a que se refie re el ar tículo 93, apar tado 2. 4.5.2016 L 119/57 Diar io Oficial de la U nión Europea ES

63. b) confieran expresamente a los interesados derech os exigibles en relación con el tratamiento de sus datos personales, y c) cumplan los requisitos establecidos en el apar tado 2. 2. Las nor mas cor porativas vinculantes mencionadas en el apar tado 1 especifi carán, como mínimo, los siguient es elementos : a) la estr uctura y los datos de contact o del gr upo empresari al o de la unión de empr esas dedicadas a una actividad económica conjunta y de cada uno de sus miembros; b) las transfer encias o conjuntos de transfer encias de dat os, incluidas las cate gorías de dat os personales, el tipo de tratamient os y sus fines, el tipo de inte resados af ectados y el nombre del ter cer o los terce ros países en cuestión; c) su carácter jurídicament e vinculante , tanto a nivel inte r no como exte r no; d) la aplicación de los pr incipios g enerales en mater ia de prot ección de datos, en par ticular la limitación de la finalidad, la minimización de los datos, los per iodos de conser vación limitados, la calidad de los datos, la prot ección de los dat os desde el diseño y por defect o, la base del tratamiento, el tratamiento de catego rías especiales de datos personales, las medidas encaminadas a ga rantizar la segur idad de los dat os y los requisitos con respecto a las transfe ­ rencias ult er iores a org anismos no vinculados por las nor mas cor porativas vinculantes; e) los derechos de los interesados en relación con el tratamient o y los medios para ejercerlos, en par ticular el derecho a no ser objeto de decisiones basadas excl usivamente en un tratamient o automa tizado, incluida la elaboración de perf iles de conf or midad con lo dispuest o en el ar tículo 22, el derecho a presentar una reclamación ant e la autori dad de control compet ent e y ante los tr ibunales compet entes de los Estados miembros de conf or midad con el ar tículo 79, y el derecho a obtener una reparación, y , cuando proceda, una indemnización por violación de las nor mas cor porativas vinculante s; f) la acep tación por par te del responsable o del encarg ado del tratamiento establecidos en el terr itorio de un Estado miembro de la responsabilidad por cualquier violación de las nor mas cor porativas vinculantes por par te de cualquier miembro de que se trat e no establecido en la Unión; el responsable o el encargado solo será ex onerado, total o parcialmente, de dic ha responsabilidad si demuestra que el acto que or iginó los daños y per juicios no es im putable a dic ho miembro; g) la f or ma en que se f acilita a los inter esados la inf or mación sobre las nor mas cor porativas vinculantes, en par ticular en lo que respecta a las disposiciones contem pladas en las letras d), e) y f) del present e apar tado, además de los ar tículos 13 y 14; h) las funciones de todo delegado de prote cción de dat os designado de conf or midad con el ar tículo 37, o de cualquier otra persona o entidad encarg ada de la super visión del cumplim iento de las nor mas cor porativas vinculantes dentro del gr upo empresari al o de la unión de empr esas dedicadas a una actividad económica conjunta, así como de la super visión de la f or mación y de la tramitación de las reclamaciones; i) los procedimiento s de reclamación; j) los mecanismos establecidos dentro del gr upo empr esar ial o de la unión de empr esas dedicadas a una actividad económica conjunta para g arantizar la ver ificaci ón del cumplimient o de las nor mas cor porativas vinculante s. Dic hos mecanismos incluirán auditorías de prot ección de dat os y métodos para garant izar acciones cor rectivas para proteg er los derechos del inter esado. Los resultados de dicha ver if icación deberían comunicarse a la persona o entidad a que se refiere la letra h) y al consejo de administración de la em presa que controla un gr upo empresari al, o de la unión de empresas dedicadas a una actividad económica conjunta, y ponerse a disposición de la autori dad de control compet ent e que lo solicite; k) los mecanismos establecidos para comunicar y registrar las modifi caciones introducidas en las nor mas y para notificar esas modificaciones a la autori dad de control; l) el mecanismo de cooperación con la autori dad de control para g arantizar el cumplimient o por par te de cualquier miembro del gr upo empr esar ial o de la unión de empresas dedicadas a una actividad económica conjunta, en par ticular poniendo a disposición de la autori dad de control los resultados de las ver if icaciones de las medidas cont empladas en la letra j); m) los mecanismos para inf or mar a la autori dad de control compet ent e de cualquier requisito jurídico de aplicación en un país tercero a un miembro del gr upo empr esar ial o de la unión de empresas dedicadas a una actividad económica conjunta, que probablement e teng an un ef ecto adverso sobre las g arantías establecidas en las nor mas cor porativas vinculante s, y n) la f or mación en prote cción de dat os per tinente para el personal que ten ga acceso per manente o habitual a datos personales. 4.5.2016 L 119/63 Diar io Oficial de la U nión Europea ES

77. b) asesorará a la Comisión sobre toda cuestión relativa a la prote cción de datos personales en la U nión, en par ticular sobre cualquier propuesta de modifi cación del present e Reg lamento; c) asesorará a la Comisión sobre el f or mato y los procedimientos para intercambiar inf or mación entre los responsables, los encarg ados y las autori dades de control en relación con las nor mas cor porativas vinculantes ; d) emitirá directr ices, recomendaciones y buenas prácticas relativas a los procedimiento s para la supresión de vínculos, copias o réplicas de los datos personales procedent es de ser vicios de comunicación a disposición pública a que se refiere el ar tículo 17, apar tado 2; e) examinará, a iniciativa propia, a instancia de uno de sus miembros o de la Comisión, cualquier cuestión relativa a la aplicación del present e Reg lamento, y emitirá directr ices, recomendaciones y buenas prácticas a fi n de promo ver la aplicación coherente del presente Reg lamento; f) emitirá directr ices, recomendaciones y buenas prácticas de conf or midad con la letra e) del present e apar tado a fin de especificar más los cr iter ios y requisitos de las decisiones basadas en perf iles en vir tud del ar tículo 22, apar tado 2; g) emitirá directr ices, recomendaciones y buenas prácticas con ar reg lo a la letra e) del present e apar tado a fin de constatar las violaciones de la segur idad de los dat os y det er minar la dilación indebida a ten or del ar tículo 33, apar tados 1 y 2, y con respecto a las circunstancias par ticulares en las que el responsable o el encarg ado del tratamient o debe notificar la violación de la segur idad de los datos personales; h) emitirá directr ices, recomendaciones y buenas prácticas con ar reg lo a la letra e) del present e apar tado con respecto a las circunstancias en las que sea probable que la violación de la segur idad de los dat os personales entrañe un alto r iesgo para los derechos y liber tades de las personas físicas a ten or del ar tículo 34, apar tado 1; i) emitirá directr ices, recomendaciones y buenas prácticas con ar reg lo a la letra e) del presente apar tado con el fi n de especificar en ma y or medida los cr it er ios y requisit os para las transfer encias de datos personales basadas en nor mas cor porativas vinculantes a las que se ha yan adher ido los responsables del tratamiento y en nor mas cor porativas vinculante s a las que se ha yan adher ido los encarg ados del tratamiento y en requisitos adicionales necesar ios para g arantizar la prot ección de los datos personales de los interesados a que se refiere el ar tículo 47; j) emitirá directr ices, recomendaciones y buenas prácticas con ar reg lo a la letra e) del present e apar tado a fin de especificar en ma y or medida los cr iter ios y requisit os de las transferencias de dat os personales sobre la base del ar tículo 49, apar tado 1; k) f or mulará directr ices para las autori dades de control, relativas a la aplicación de las medidas a que se ref iere el ar tículo 58, apar tados 1, 2 y 3, y la fijación de multas administrativas de conf or midad con el ar tículo 83; l) examinará la aplicación práctica de las directr ices, recomendaciones y buenas prácticas a que se refieren las letras e) y f); m) emitirá directr ices, recomendaciones y buenas prácticas con ar reg lo a la letra e) del present e apar tado a fin de establecer procedimiento s comunes de inf or mación procedent e de personas físicas sobre infracciones del present e Reg lamento en vir tud del ar tículo 54, apar tado 2; n) alentará la elaboración de códigos de conducta y el establecimiento de mecanismos de cer tificación de la prote cción de datos y de sellos y marcas de protección de dat os de conf or midad con los ar tículos 40 y 42; o) realizará la acreditación de los org anismos de cer tif icación y su revisión per iódica en vir tud del ar tículo 43, y llevará un registro público de los org anismos acreditados en vir tud del ar tículo 43, apar tado 6, y de los responsables o los encarg ados del tratamient o acreditados establecidos en ter ceros países en vir tud del ar tículo 42, apar tado 7; p) especificará los requisitos conte mplados en el ar tículo 43, apar tado 3, con miras a la acreditación de los orga nismos de cer tificación en vir tud del ar tículo 42; q) f acilitará a la Comisión un dictamen sobre los requisitos de cer tif icación conte mplados en el ar tículo 43, apar tado 8; r) f acilitará a la Comisión un dictamen sobre los iconos a que se refiere el ar tículo 12, apar tado 7; s) f acilitará a la Comisión un dictamen para evaluar la adecuación del nivel de protección en un te rcer país u org anización inte r nacional, en par ticular para evaluar si un terce r país, un te r r it or io o uno o var ios sector es específicos de ese tercer país, o una organización internacional, ya no garantizan un nivel de prot ección adecuado. A tal fi n, la Comisión facilitará al Comité tod a la documentación necesar ia, incluida la cor respondencia con el gobier no del ter cer país, que se refie ra a dicho tercer país, terr itorio o específic o o a dic ha org anización intern a ­ cional; 4.5.2016 L 119/77 Diar io Oficial de la U nión Europea ES

33. 2. El present e Reg lamento se aplica al tratamient o de datos personales de inte resados que residan en la U nión por par te de un responsable o encarg ado no establecido en la U nión, cuando las actividades de tratamiento esté n relacionadas con: a) la of er ta de bienes o ser vicios a dicho s inter esados en la Unión, independiente mente de si a estos se les requiere su pago, o b) el control de su compor tamient o, en la medida en que este teng a lugar en la U nión. 3. El presente Reg lamento se aplica al tratamiento de dat os personales por par te de un responsable que no est é establecido en la Uni ón sino en un lugar en que el Derech o de los Estados miembros sea de aplicación en vir tud del Derecho intern acional público. Ar tículo 4 Def iniciones A efect os del presente Reg lamento se entenderá por : 1) «datos personales»: toda inf or mación sobre una persona física identif icada o identif icable («el inte resado»); se considerará persona física identif icable tod a persona cuya identidad pueda determi narse, directa o indirectament e, en par ticular mediante un identificador , como por ejem plo un nombre, un número de identif icación, datos de localización, un identif icador en línea o uno o var ios elementos propios de la identidad física, fi siológica, genética, psíquica, económica, cultural o social de dicha persona; 2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre dat os personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, org anización, estr uctu ­ ración, conser vación, adap tación o modifi cación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra f or ma de habilitación de acceso, cot ejo o interconexión, limitación, supresión o destr ucción; 3) «limitación del tratamient o»: el marcado de los dat os de carácte r personal conser vados con el fin de limitar su tratamiento en el futuro; 4) «elaboración de perf iles»: toda f or ma de tratamient o automatizad o de dat os personales consistent e en utilizar datos personales para evaluar det er minados aspectos personales de una persona física, en par ticular para analizar o predecir aspect os relativ os al rendimient o profesio nal, situación económica, salud, pref erencias personales, inte reses, fi abilidad, compo r tamient o, ubicación o mo vimient os de dicha persona física; 5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atr ibuirse a un interesado sin utilizar inf or mación adicional, siempre que dic ha inf or mación adicional figure por separado y esté sujeta a medidas técn icas y orga nizativas destinadas a garant izar que los dat os personales no se atr ibuyan a una persona física identif icada o identificable; 6) «f iche ro»: todo conjunt o estr ucturado de datos personales, accesibles con ar reg lo a cr it er ios det er minados, ya sea centralizado, descentralizado o repar tido de f or ma funcional o geográfica; 7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, ser vicio u otro organismo que, solo o junto con otros, determi ne los fines y medios del tratamiento; si el Derecho de la U nión o de los Estados miembros determi na los fi nes y medios del tratamient o, el responsable del tratamient o o los cr ite r ios específi cos para su nombramiento podrá establecerlos el Derecho de la U nión o de los Estados miembros; 8) «encargado del tratamient o» o «encargado»: la persona física o jurídica, autoridad pública, ser vicio u otro org anismo que trate datos personales por cuenta del responsable del tratamient o; 9) «destinatar io»: la persona física o jurídica, autori dad pública, ser vicio u otro organismo al que se comuniquen datos personales, se trat e o no de un terce ro. No obstante, no se considerarán destinatar ios las autori dades públicas que 4.5.2016 L 119/33 Diar io Oficial de la U nión Europea ES

36. e) manten idos de f or ma que se per mita la identif icación de los inte resados durant e no más tiempo del necesar io para los fines del tratamient o de los datos personales; los dat os personales podrán conser varse durante períodos más largos siempre que se trat en excl usivamente con fi nes de archiv o en interés público, fi nes de investig ación científic a o histó r ica o f ines estadísticos, de conf or midad con el ar tículo 89, apar tado 1, sin per juicio de la aplicación de las medidas técn icas y orga nizativas apropiadas que im pone el presente Reg lamento a fi n de proteg er los derechos y liber tades del inter esado («limitación del plazo de conser vación»); f) tratados de tal manera que se garantice una segur idad adecuada de los dat os personales, incluida la protección contra el tratamiento no autori zado o ilícito y contra su pérdida, destr ucción o daño accidental, mediante la aplicación de medidas té cnicas u org anizativas apropiadas («inte gr idad y conf idencialidad»). 2. El responsable del tratamiento será responsable del cumplimient o de lo dispuesto en el apar tado 1 y capaz de demostrarlo («responsabilidad proactiva»). Ar tículo 6 Licitud del trata mient o 1. El tratamient o solo será lícit o si se cumple al menos una de las siguient es condiciones: a) el int eresado dio su consentimiento para el tratamient o de sus dat os personales para uno o var ios fi nes específicos; b) el tratamient o es necesar io para la ejecución de un contrato en el que el inte resado es par te o para la aplicación a petición de este de medidas precontractuales; c) el tratamient o es necesar io para el cumplimient o de una oblig ación leg al aplicable al responsable del tratamiento; d) el tratamient o es necesar io para prot eger intereses vitales del inter esado o de otra persona física; e) el tratamiento es necesar io para el cumplim iento de una misión realizada en inter és público o en el ejercicio de poderes públicos conferi dos al responsable del tratamiento; f) el tratamient o es necesar io para la satisf acción de inter eses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos inte reses no prevalezcan los inter eses o los derech os y liber tades fundamentales del interesado que requieran la protección de dat os personales, en par ticular cuando el inter esado sea un niño. Lo dispuesto en la letra f) del pár raf o pr imero no será de aplicación al tratamiento realizado por las autori dades públicas en el ejercicio de sus funciones. 2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las nor mas del presente Reg lamento con respecto al tratamiento en cumplimient o del apar tado 1, letras c) y e), fijando de manera más precisa requisit os específi cos de tratamiento y otras medidas que garanticen un tratamiento lícit o y equitativ o, con inclusión de otras situaciones específicas de tratamient o a ten or del capítulo IX. 3. La base del tratamiento indicado en el apar tado 1, letras c) y e), deberá ser establecida por : a) el Derec ho de la Uni ón, o b) el Derec ho de los Estados miembros que se aplique al responsable del tratamiento. La fi nalidad del tratamient o deberá quedar det er minada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apar tado 1, letra e), será necesar ia para el cumplim iento de una misión realizada en interés público o en el ejercicio de poderes públicos conferi dos al responsable del tratamiento. Dic ha base jurídica podrá cont ener disposiciones específicas para adapt ar la aplicación de nor mas del present e Reg lamento, entre otras: las condiciones general es que r igen la licitud del tratamiento por par te del responsable; los tipos de datos objeto de tratamient o; los inte resados af ectados; las entidades a las que se pueden comunicar datos personales y los fine s de tal comunicación; la limitación de la fi nalidad; los plazos de conser vación de los dat os, así como las operaciones y los procedimientos del tratamient o, 4.5.2016 L 119/36 Diar io Oficial de la U nión Europea ES

38. 2. El responsable del tratamient o hará esfuerzos razonables para ver ificar en tales casos que el consentimiento fue dado o autori zado por el titular de la patr ia potestad o tutela sobre el niño, ten iendo en cuenta la tecnología disponible. 3. El apar tado 1 no af ectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las nor mas relativas a la validez, f or mación o ef ectos de los contratos en relación con un niño. Ar tículo 9 T ratamiento de categorías especiales de datos personales 1. Quedan prohibidos el tratamiento de datos personales que revelen el or igen étnico o racial, las opiniones políticas, las convicci ones religiosas o fi losóficas, o la afi liación sindical, y el tratamient o de datos genéticos, datos biométr icos dir igidos a identificar de manera unív oca a una persona física, datos relativos a la salud o dat os relativ os a la vida sexual o las or ientación sexuales de una persona física. 2. El apar tado 1 no será de aplicación cuando concur ra una de las circunstancias siguient es: a) el inter esado dio su consentimiento explícito para el tratamiento de dic hos dat os personales con uno o más de los fines especificados, excep to cuando el Derecho de la U nión o de los Estados miembros establezca que la prohibición mencionada en el apar tado 1 no puede ser levantada por el interesado; b) el tratamiento es necesar io para el cumplimient o de oblig aciones y el ejercicio de derechos específi cos del responsable del tratamient o o del inte resado en el ámbito del Derecho laboral y de la segur idad y protección social, en la medida en que así lo autor ice el Derech o de la Unión de los Estados miembros o un conven io colectivo con ar reg lo al Derech o de los Estados miembros que establezca garant ías adecuadas del respeto de los derechos fundamentales y de los inte reses del interesado; c) el tratamiento es necesar io para prote ger intereses vitales del inte resado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimient o; d) el tratamient o es efectuado, en el ámbito de sus actividades legítimas y con las debidas g arantías, por una fundación, una asociación o cualquier otro org anismo sin ánimo de lucro, cuya finalidad sea política, fi losófica, religiosa o sindical, siempr e que el tratamient o se refie ra excl usivament e a los miembros actuales o antiguos de tales org anismos o a personas que manten gan contact os regulares con ellos en relación con sus fine s y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los inte resados; e) el tratamiento se ref iere a dat os personales que el inte resado ha hec ho manif iestament e públicos; f) el tratamiento es necesar io para la f or mulación, el ejercicio o la defe nsa de reclamaciones o cuando los tr ibunales actúen en ejercicio de su función judicial; g) el tratamient o es necesar io por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la prot ección de dat os y establecer medidas adecuadas y específicas para proteg er los inter eses y derechos fundamentales del inter esado; h) el tratamiento es necesar io para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del traba jador , diagnóstico médico, prestación de asisten cia o tratamiento de tipo sanitar io o social, o g estión de los sistem as y ser vicios de asistencia sanitar ia y social, sobre la base del Derecho de la Unión o de los Estados miembros o en vir tud de un contrato con un profesional sanitar io y sin per juicio de las condiciones y g arantías conte mpladas en el apar tado 3; i) el tratamient o es necesar io por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas grav es para la salud, o para g arantizar elevados niveles de calidad y de segur idad de la asisten cia sanitar ia y de los medicament os o product os sanitar ios, sobre la base del Derecho de la U nión o de los Estados miembros que establezca medidas adecuadas y específicas para proteg er los derech os y liber tades del inte resado, en par ticular el secreto profesio nal, 4.5.2016 L 119/38 Diar io Oficial de la U nión Europea ES

6. (30) Las personas físicas pueden ser asociadas a identificad ores en línea f acilitados por sus dispositivos, aplicaciones, her ramientas y protocolos, como direcciones de los protocolo s de inte r net, identificad ores de sesión en f or ma de «cookies» u otros identif icadores, como etiquetas de identificación por radiofrecuencia. Est o puede dejar huellas que, en par ticular , al ser combinadas con identificadores únicos y otros datos recibidos por los ser vidores, pueden ser utilizadas para elaborar per files de las personas físicas e identificarlas. (31) Las autori dades públicas a las que se comunican datos personales en vir tud de una obligac ión leg al para el ejercicio de su misión of icial, como las autori dades fi scales y aduaneras, las unidades de inv estigación financiera, las autori dades administrativas independientes o los org anismos de super visión de los mercados financieros encarg ados de la reg lamentación y super visión de los mercados de valores, no deben considerarse destinatar ios de dat os si reciben datos personales que son necesar ios para llevar a cabo una investig ación concreta de interés g eneral, de conf or midad con el Derech o de la Unión o de los Estados miembros. Las solicitudes de comunicación de las autoridades públicas siempr e deben presentarse por escr ito, de f or ma motivada y con carácter ocasional, y no deben refer irse a la totalidad de un f ic hero ni dar lugar a la int erconexión de var ios fi c heros. El tratamiento de dat os personales por dic has autoridades públicas debe ser conf or me con la nor mativa en mat er ia de protección de datos que sea de aplicación en función de la finalidad del tratamiento. (32) El consentimient o debe darse mediante un acto afir mativo claro que ref leje una manifest ación de volun tad libre, específica, inf or mada, e inequív oca del int eresado de aceptar el tratamient o de datos de caráct er personal que le concier nen, como una declaración por escr it o, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en inte r net, escog er parámetros té cnicos para la utilización de ser vicios de la sociedad de la inf or mación, o cualquier otra declaración o conducta que indique claramente en est e cont exto que el int eresado acept a la propuesta de tratamiento de sus dat os personales. P or tanto , el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para toda s las actividades de tratamient o realizadas con el mismo o los mismos f ines. Cuando el tratamiento ten ga var ios fi nes, debe darse el consentimient o para tod os ellos. Si el consentimient o del inter esado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no per turbar innecesar iamente el uso del ser vicio para el que se presta. (33) Con frecuencia no es posible det er minar totalme nte la fi nalidad del tratamiento de los datos personales con fi nes de inv estigación científica en el momento de su recogida. P or consiguiente, debe per mitirse a los inte resados dar su consentimiento para deter minados ámbitos de inve stigación científica que respeten las nor mas éticas reconocidas para la investig ación científica. Los interesados deben tener la opor tunidad de dar su consentimient o solamente para det er minadas áreas de inv estigación o par tes de pro yect os de inv estigación, en la medida en que lo per mita la fi nalidad perseguida. (34) Debe ent enderse por datos genéticos los datos personales relacionados con características genéticas, heredadas o adquir idas, de una persona física, pro venientes del análisis de una muestra biológica de la persona física en cuestión, en par ticular a tra vés de un análisis cromosómico, un análisis del ácido deso xir r ibonucleico (ADN) o del ácido r ibonucleico (ARN), o del análisis de cualquier otro elemento que per mita obte ner inf or mación equivalent e. (35) Entre los datos personales relativos a la salud se deben incluir todos los datos relativ os al estado de salud del inter esado que dan inf or mación sobre su estado de salud física o mental pasado, presente o futuro. Se incluye la inf or mación sobre la persona física recogida con ocasión de su inscr ipción a efect os de asisten cia sanitar ia, o con ocasión de la prestación de tal asiste ncia, de conf or midad con la Directiva 2011/24/UE del P arlamento Europeo y del Consejo ( 1 ); todo número, símbolo o dat o asignado a una persona física que la identifique de manera unívoca a efect os sanitar ios; la inf or mación obtenid a de pr uebas o exámenes de una par te del cuer po o de una sustancia cor poral, incluida la procedent e de datos g enéticos y muestras biológicas, y cualquier inf or mación relativa, a título de ejemplo, a una enfe r medad, una discapacidad, el r iesgo de padecer enf er medades, el histor ial médico, el tratamient o clínico o el estado fi siológico o biomédico del inte resado, independientement e de su fuent e, por ejemplo un médico u otro profesional sanitar io, un hospital, un dispositivo médico, o una pr ueba diagnóstica in vitro. (36) El establecimiento pr incipal de un responsable del tratamient o en la U nión debe ser el lugar de su administración central en la U nión, salv o que las decisiones relativas a los fines y medios del tratamiento de los dat os personales se tomen en otro establecimiento del responsable en la U nión, en cuy o caso, ese otro establecimiento debe 4.5.2016 L 119/6 Diar io Oficial de la U nión Europea ES ( 1 ) Directiva 2011/24/UE del P arlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacient es en la asist encia sanitar ia transfronteriza (DO L 88 de 4.4.2011, p. 45).

8. otro Derech o de la U nión o de los Estados miembros a que se refiera el presente Reg lamento, incluida la necesidad de cumpli r la oblig ación leg al aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea par te el interesado o con objeto de tomar medidas a instancia del inte resado con ant er ior idad a la conclusión de un contrato. (41) Cuando el presente Reg lamento hace referen cia a una base jurídica o a una medida legislativa, esto no exige necesar iament e un acto legislativo adoptado por un parlamento, sin per juicio de los requisit os de conf or midad del ordenamiento constitucional del Estado miembro de que se trate. Sin embargo, dicha base jurídica o medida legislativa debe ser clara y precisa y su aplicación previsible para sus destinatar ios, de conf or midad con la jur ispr udencia del T r ibunal de Justicia de la U nión Europea (en lo sucesiv o, «T r ibunal de Justicia») y del T r ibunal Europeo de Derechos Humanos. (42) Cuando el tratamiento se lleva a cabo con el consentimiento del inte resado, el responsable del tratamient o debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En par ticular en el cont exto de una declaración por escr it o ef ectuada sobre otro asunt o, debe haber g arantías de que el inter esado es conscient e del hech o de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo ( 1 ), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamient o con una f or mulación inteli gible y de fácil acceso que emplee un lenguaj e claro y sencillo, y que no cont enga cláusulas abusivas. P ara que el consentimient o sea inf or mado, el inter esado debe conocer como mínimo la identidad del responsable del tratamient o y los fi nes del tratamient o a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el inter esado no goza de verdadera o libre elección o no puede denegar o retirar su consentimient o sin sufr ir per juicio alguno. (43) P ara garantizar que el consentimient o se ha ya dado libremente , est e no debe constituir un fundament o jurídico válido para el tratamient o de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el inter esado y el responsable del tratamiento, en par ticular cuando dicho responsable sea una autori dad pública y sea por lo tanto im probable que el consentimient o se ha ya dado libremente en todas las circunstancias de dicha situación par ticular . Se presume que el consentimient o no se ha dado libremente cuando no per mita autori zar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumpli miento de un contrato, incluida la prestación de un ser vicio, sea dependiente del consentimient o, aún cuando este no sea necesar io para dic ho cumplimient o. (44) El tratamient o debe ser lícit o cuando sea necesar io en el context o de un contrato o de la intenc ión de concluir un contrato. (45) Cuando se realice en cumpli miento de una oblig ación legal aplicable al responsable del tratamiento, o si es necesar io para el cumpli miento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamient o debe te ner una base en el Derec ho de la U nión o de los Estados miembros. El present e Reg lamento no requiere que cada tratamient o individual se r i ja por una nor ma específica. Una nor ma puede ser suficie nt e como base para var ias operaciones de tratamiento de dat os basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamient o es necesar io para el cumpli miento de una misión realizada en inter és público o en el ejercicio de poderes públicos. La fi nalidad del tratamiento también debe deter minase en vir tud del Derecho de la Unión o de los Estados miembros. Además, dic ha nor ma podría especificar las condiciones g enerales del presente Reg lamento por las que se r ige la licitud del tratamiento de datos personales, establecer especifi caciones para la det er minación del responsable del tratamient o, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la fi nalidad, el plazo de conser vación de los datos y otras medidas para ga rantizar un tratamient o lícito y leal. Debe det er minarse también en vir tud del Derec ho de la U nión o de los Estados miembros si el responsable del tratamient o que realiza una misión en interés público o en el ejercicio de poderes públicos debe ser una autor idad pública u otra persona física o jurídica de Derecho público, o, cuando se haga en inter és público, incluidos fines sanitar ios como la salud pública, la prote cción social y la ge stión de los ser vicios de sanidad, de Derecho pr ivado, como una asociación profesional. (46) El tratamient o de datos personales también debe considerarse lícit o cuando sea necesar io para prote ger un inter és esencial para la vida del inte resado o la de otra persona física. En pr incipio, los dat os personales únicamente 4.5.2016 L 119/8 Diar io Oficial de la U nión Europea ES ( 1 ) Directiva 93/13/CEE del Consejo, de 5 de abr il de 1993, sobre las cláusulas abusivas en los contrat os celebrados con consumidores (DO L 95 de 21.4.1993, p. 29).

41. d) cuando el tratamiento se base en el ar tículo 6, apar tado 1, letra f), los intereses legítimos del responsable o de un ter cero; e) los destinatar ios o las catego rías de destinatar ios de los datos personales, en su caso; f) en su caso, la intenc ión del responsable de transferi r datos personales a un ter cer país u organización internacional y la existen cia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transfe rencias indicadas en los ar tículos 46 o 47 o el ar tículo 49, apar tado 1, pár raf o segundo, referen cia a las garan tías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se ha yan prestado. 2. A demás de la inf or mación mencionada en el apar tado 1, el responsable del tratamiento facilita rá al interesado, en el momento en que se obteng an los datos personales, la siguient e inf or mación necesar ia para garant izar un tratamiento de datos leal y transparent e: a) el plazo durante el cual se conser varán los datos personales o, cuando no sea posible, los cr iter ios utilizados para det er minar este plazo; b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los dat os personales relativos al inter esado, y su rectificación o supresión, o la limitación de su tratamient o, o a oponerse al tratamient o, así como el derecho a la por tabilidad de los dat os; c) cuando el tratamiento esté basado en el ar tículo 6, apar tado 1, letra a), o el ar tículo 9, apar tado 2, letra a), la existen cia del derecho a retirar el consentimiento en cualquier momento, sin que ello afect e a la licitud del tratamient o basado en el consentimient o previo a su retirada; d) el derech o a presentar una reclamación ant e una autori dad de control; e) si la comunicación de datos personales es un requisito leg al o contractual, o un requisito necesar io para suscr ibir un contrato, y si el interesado está obligado a facilitar los dat os personales y está inf or mado de las posibles consecuencias de que no facilitar tales dat os; f) la existencia de decisiones automatizas, incluida la elaboración de perf iles, a que se ref iere el ar tículo 22, apar tados 1 y 4, y , al menos en tales casos, inf or mación signif icativa sobre la lógica aplicada, así como la imp or tancia y las consecuencias previstas de dic ho tratamiento para el interesado. 3. Cuando el responsable del tratamient o pro ye cte el tratamient o ult er ior de dat os personales para un fin que no sea aquel para el que se recogieron, proporcionará al inte resado, con ant er ior idad a dic ho tratamiento ulteri or , inf or mación sobre ese otro fi n y cualquier inf or mación adicional per tinente a ten or del apar tado 2. 4. Las disposiciones de los apar tados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la inf or mación. Ar tículo 14 Informa ción que deberá facilita rse cuando los datos personales no se hay an obtenido del interesado 1. Cuando los dat os personales no se ha yan obtenid os del interesado, el responsable del tratamiento le f acilitará la siguient e inf or mación: a) la identidad y los datos de contact o del responsable y , en su caso, de su representante; b) los dat os de contacto del delegad o de protección de datos, en su caso; c) los fines del tratamiento a que se destinan los dat os personales, así como la base jurídica del tratamiento; d) las categorías de dat os personales de que se trate; e) los destinatar ios o las catego rías de destinatar ios de los datos personales, en su caso; 4.5.2016 L 119/41 Diar io Oficial de la U nión Europea ES

44. b) el inte resado retire el consentimient o en que se basa el tratamiento de conf or midad con el ar tículo 6, apar tado 1, letra a), o el ar tículo 9, apar tado 2, letra a), y est e no se base en otro fundament o jurídico; c) el inte resado se opong a al tratamient o con ar reg lo al ar tículo 21, apar tado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el inter esado se opong a al tratamiento con ar reg lo al ar tículo 21, apar tado 2; d) los dat os personales ha yan sido tratados ilícitament e; e) los datos personales deban supr imirse para el cumpli miento de una obligación lega l establecida en el Derech o de la U nión o de los Estados miembros que se aplique al responsable del tratamiento; f) los datos personales se ha yan obteni do en relación con la ofer ta de ser vicios de la sociedad de la inf or mación mencionados en el ar tículo 8, apar tado 1. 2. Cuando ha ya hecho públicos los datos personales y esté obligado, en vir tud de lo dispuest o en el apar tado 1, a supr imir dic hos datos, el responsable del tratamient o, te niendo en cuenta la tecnología disponible y el coste de su aplicación, adop tará medidas razonables, incluidas medidas técn icas, con miras a inf or mar a los responsables que esté n tratando los datos personales de la solicitud del inter esado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos. 3. Los apar tados 1 y 2 no se aplicarán cuando el tratamiento sea necesar io: a) para ejercer el derecho a la liber tad de expresión e inf or mación; b) para el cumplimient o de una oblig ación legal que requiera el tratamient o de dat os impuesta por el Derech o de la U nión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimient o de una misión realizada en inte rés público o en el ejercicio de poderes públicos confe r idos al responsable; c) por razones de inter és público en el ámbito de la salud pública de conf or midad con el ar tículo 9, apar tado 2, letras h) e i), y apar tado 3; d) con fines de arc hivo en inte rés público, fi nes de investig ación científ ica o histór ica o fi nes estadísticos, de conf or midad con el ar tículo 89, apar tado 1, en la medida en que el derecho indicado en el apar tado 1 pudiera hacer im posible u obstaculizar gravement e el logro de los objetivos de dic ho tratamiento, o e) para la f or mulación, el ejercicio o la defensa de reclamaciones. Ar tículo 18 Derecho a la limita ción del tratamiento 1. El inter esado tendrá derecho a obtener del responsable del tratamient o la limitación del tratamient o de los datos cuando se cumpla alguna de las condiciones siguient es: a) el interesado im pugne la exactitud de los datos personales, durante un plazo que per mita al responsable ver if icar la exactitud de los mismos; b) el tratamiento sea ilícito y el inte resado se opong a a la supresión de los datos personales y solicite en su lugar la limitación de su uso; c) el responsable ya no necesit e los dat os personales para los fines del tratamient o, pero el interesado los necesit e para la f or mulación, el ejercicio o la defensa de reclamaciones; d) el inte resado se ha ya opuest o al tratamiento en vir tud del ar tículo 21, apar tado 1, mientras se ver if ica si los motivos legítimos del responsable prevalecen sobre los del interesado. 2. Cuando el tratamient o de dat os personales se ha ya limitado en vir tud del apar tado 1, dic hos dat os solo podrán ser objeto de tratamient o, con excepci ón de su conser vación, con el consentimiento del inte resado o para la f or mulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derech os de otra persona física o jurídica o por razones de interés público impor tante de la U nión o de un det er minado Estado miembro. 4.5.2016 L 119/44 Diar io Oficial de la U nión Europea ES

49. 3. El representante estará establecido en uno de los Estados miembros en que est én los inte resados cuy os datos personales se traten en el context o de una ofe r ta de bienes o ser vicios, o cuy o compo r tamient o esté siendo controlado. 4. El responsable o el encarg ado del tratamiento encomendará al representant e que atienda, junto al responsable o al encarg ado, o en su lugar , a las consultas, en par ticular , de las autoridades de control y de los interesados, sobre todos los asunt os relativ os al tratamient o, a fin de garantizar el cumplimient o de lo dispuesto en el presente Reg lamento. 5. La designación de un representante por el responsable o el encargado del tratamiento se ent enderá sin per juicio de las acciones que pudieran em prenderse contra el propio responsable o encarg ado. Ar tículo 28 Encargado del tratamiento 1. Cuando se va ya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encarg ado que ofrezca garant ías suficientes para aplicar medidas técn icas y org anizativas apropiados, de manera que el tratamient o sea conf or me con los requisitos del present e Reg lamento y g arantice la prot ección de los derech os del inter esado. 2. El encarg ado del tratamient o no recur r irá a otro encarg ado sin la autori zación previa por escr it o, específica o ge neral, del responsable. En este último caso, el encargado inf or mará al responsable de cualquier cambio previsto en la incor poración o sustitución de otros encarg ados, dando así al responsable la opor tunidad de oponerse a dic hos cambios. 3. El tratamient o por el encarg ado se regirá por un contrato u otro acto jurídico con ar reg lo al Derecho de la U nión o de los Estados miembros, que vincule al encarg ado respecto del responsable y establezca el objeto , la duración, la naturaleza y la fi nalidad del tratamient o, el tipo de datos personales y catego rías de inter esados, y las oblig aciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en par ticular , que el encarg ado: a) tratará los dat os personales únicamente siguiendo instr ucciones documentadas del responsable, inclusive con respecto a las transfer encias de dat os personales a un ter cer país o una org anización intern acional, salv o que est é obligado a ello en vir tud del Derecho de la Unión o de los Estados miembros que se aplique al encarga do; en tal caso, el encarg ado inf or mará al responsable de esa exige ncia leg al previa al tratamiento, salvo que tal Derecho lo prohíba por razones im por tantes de interés público; b) g arantizará que las personas autori zadas para tratar dat os personales se ha yan compr ometido a respetar la confiden ­ cialidad o est én sujetas a una obligación de confidencialidad de naturaleza estatutar ia; c) tomar á todas las medidas necesar ias de conf or midad con el ar tículo 32; d) respetará las condiciones indicadas en los apar tados 2 y 4 para recur r ir a otro encarga do del tratamiento; e) asistirá al responsable, ten iendo cuenta la naturaleza del tratamiento, a tra vés de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumpli r con su oblig ación de responder a las solicitudes que ten gan por objeto el ejercicio de los derech os de los inter esados establecidos en el capítulo III; f) a yudará al responsable a g arantizar el cumpli miento de las oblig aciones establecidas en los ar tículos 32 a 36, ten iendo en cuenta la naturaleza del tratamiento y la inf or mación a disposición del encarg ado; g) a elección del responsable, supr imirá o devol verá todos los dat os personales una vez finalice la prestación de los ser vicios de tratamiento, y supr imirá las copias existent es a menos que se requiera la conser vación de los datos personales en vir tud del Derecho de la U nión o de los Estados miembros; h) pondrá a disposición del responsable tod a la inf or mación necesar ia para demostrar el cumpli miento de las oblig aciones establecidas en el present e ar tículo, así como para per mitir y contr ibuir a la realización de auditorí as, incluidas inspecciones, por par te del responsable o de otro auditor autorizado por dicho responsable. 4.5.2016 L 119/49 Diar io Oficial de la U nión Europea ES

54. 7. La evaluación deberá incluir como mínimo: a) una descr ipción sistemá tica de las operaciones de tratamient o previstas y de los fines del tratamiento, inclusive, cuando proceda, el inter és legítimo perseguido por el responsable del tratamiento; b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamient o con respecto a su finalidad; c) una evaluación de los r iesgos para los derechos y liber tades de los inter esados a que se refie re el apar tado 1, y d) las medidas previstas para afrontar los r iesgos, incluidas g arantías, medidas de segur idad y mecanismos que g aranticen la prot ección de datos personales, y a demostrar la conf or midad con el present e Reg lamento, ten iendo en cuenta los derechos e inte reses legítimos de los interesados y de otras personas afectadas . 8. El cumplimient o de los códigos de conducta aprobados a que se ref iere el ar tículo 40 por los responsables o encarg ados cor respondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamient o realizadas por dichos responsables o encarg ados, en par ticular a ef ectos de la evaluación de im pacto relativa a la protección de datos . 9. Cuando proceda, el responsable recabará la opinión de los inter esados o de sus representantes en relación con el tratamient o previsto, sin per juicio de la prot ección de intereses públicos o comerciales o de la segur idad de las operaciones de tratamient o. 10. Cuando el tratamient o de conf or midad con el ar tículo 6, apar tado 1, letras c) o e), ten ga su base jurídica en el Derecho de la U nión o en el Derech o del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específi ca de tratamient o o conjunt o de operaciones en cuestión, y ya se ha ya realizado una evaluación de impact o relativa a la protección de datos como par te de una evaluación de im pacto general en el conte xto de la adopción de dic ha base jurídica, los apar tados 1 a 7 no serán de aplicación excep to si los Estados miembros consideran necesar io proceder a dic ha evaluación previa a las actividades de tratamiento. 11. En caso necesar io, el responsable examinará si el tratamiento es conf or me con la evaluación de im pacto relativa a la prot ección de datos, al menos cuando exista un cambio del r iesgo que representen las operaciones de tratamient o. Ar tículo 36 Consult a previa 1. El responsable consultará a la autori dad de control ant es de proceder al tratamiento cuando una evaluación de im pacto relativa a la protección de los dat os en vir tud del ar tículo 35 muestre que el tratamiento entrañaría un alto r iesgo si el responsable no toma medidas para para mitig arlo. 2. Cuando la autori dad de control considere que el tratamiento previsto a que se refiere el apar tado 1 podría infr ingir el present e Reg lamento, en par ticular cuando el responsable no ha ya identif icado o mitigado sufi ciente mente el r iesgo, la autori dad de control deberá, en un plazo de oc ho semanas desde la solicitud de la consulta, asesorar por escr it o al responsable, y en su caso al encarg ado, y podrá utilizar cualquiera de sus poderes mencionados en el ar tículo 58. Dic ho plazo podrá pror rog arse seis semanas, en función de la compl ejidad del tratamient o previsto. La autor idad de control inf or mará al responsable y , en su caso, al encarga do de tal prór rog a en el plazo de un mes a par tir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autor idad de control ha ya obtenid o la inf or mación solicitada a los fi nes de la consulta. 3. Cuando consulte a la autoridad de control con ar reg lo al apar tado 1, el responsable del tratamiento le facilita rá la inf or mación siguiente: a) en su caso, las responsabilidades respectivas del responsable, los cor responsables y los encargados im plicados en el tratamient o, en par ticular en caso de tratamient o dentro de un gr upo empr esar ial; b) los fines y medios del tratamient o previsto; c) las medidas y g arantías establecidas para proteg er los derechos y liber tades de los inter esados de conf or midad con el present e Reg lamento; d) en su caso, los dat os de contacto del delegad o de protección de datos ; 4.5.2016 L 119/54 Diar io Oficial de la U nión Europea ES

28. indicar las infracciones así como el límite máximo y los cr iter ios para fijar las cor respondientes multas adminis ­ trativas, que la autori dad de control compet ent e debe det er minar en cada caso individual ten iendo en cuenta toda s las circunstancias concur rent es en él, atendiendo en par ticular a la naturaleza, grav edad y duración de la infracción y sus consecuencias y a las medidas tomadas para g arantizar el cumpli miento de las oblig aciones im puestas por el presente Reg lamento e impedi r o mitigar las consecuencias de la infracción. Si las multas administrativas se imponen a una empresa, por tal debe ent enderse una empresa con ar reg lo a los ar tículos 101 y 102 del TFUE. Si las multas administrativas se imponen a personas que no son una em presa, la autor idad de control debe te ner en cuenta al valorar la cuantía apropiada de la multa el nivel general de ingresos prevalecient e en el Estado miembro así como la situación económica de la persona. El mecanismo de coherencia también puede emplearse para f omentar una aplicación coherente de las multas administrativas. Debe cor responder a los Estados miembros determi nar si y en qué medida se debe im poner multas administrativas a las autoridades públicas. La imposición de una multa administrativa o de una adver ten cia no afecta al ejercicio de otras compet encias de las autori dades de control ni a la aplicación de otras sanciones al amparo del present e Reg lamento. (151) Los ordenamientos jurídicos de Dinamarca y Eston ia no per miten las multas administrativas según lo dispuesto en el presente Reg lamento. Las nor mas sobre multas administrativas pueden ser aplicadas en Dinamarca de tal manera que la multa sea im puesta por los tr ibunales nacionales compet ent es en cuant o sanción penal, y en Eston ia de tal manera que la multa sea im puesta por la autor idad de control en el marco de un juicio de fa ltas, siempr e que tal aplicación de las nor mas en dic hos Estados miembros ten ga un ef ecto equivalent e a las multas administrativas imp uestas por las autori dades de control. P or lo tanto los tr ibunales nacionales compet ent es deben tener en cuenta la recomendación de la autoridad de control que incoe la multa. En todo caso, las multas im puestas deben ser efectivas, proporcionadas y disuasor ias. (152) En los casos en que el present e Reg lamento no ar moniza las sanciones administrativas, o en otros casos en que se requiera, por ejemplo en casos de infracciones grave s del present e Reg lamento, los Estados miembros deben aplicar un sistema que establezca sanciones ef ectivas, proporcionadas y disuasor ias. La naturaleza de dic has sanciones, ya sea penal o administrativa, debe ser det er minada por el Derecho de los Estados miembros. (153) El Derecho de los Estados miembros debe conciliar las nor mas que r igen la liber tad de expresión e inf or mación, incluida la expresión per iodística, académica, ar tística o lite rar ia, con el derecho a la protección de los datos personales con ar reg lo al present e Reg lamento. El tratamiento de datos personales con fine s excl usivamente per iodísticos o con fines de expresión académica, ar tística o lite rar ia debe estar sujeto a excepci ones o exen ciones de det er minadas disposiciones del presente Reg lamento si así se requiere para conciliar el derecho a la prote cción de los datos personales con el derecho a la liber tad de expresión y de inf or mación consagrado en el ar tículo 11 de la Car ta. Esto debe aplicarse en par ticular al tratamiento de datos personales en el ámbito audio visual y en los arch ivos de noticias y hemerotecas . P or tanto , los Estados miembros deben adop tar medidas legislativas que establezcan las exe nciones y excepci ones necesar ias para equilibrar estos derechos fundamentales. Los Estados miembros deben adop tar tales exen ciones y exce pciones con relación a los pr incipios g enerales, los derechos del inter esado, el responsable y el encarga do del tratamient o, la transferencia de datos personales a te rceros países u org anizaciones inte r nacionales, las autoridades de control independient es, la cooperación y la coherencia, y las situaciones específicas de tratamiento de dat os. Si dichas exenciones o excepciones difi eren de un Estado miembro a otro debe regir el Derech o del Estado miembro que sea aplicable al responsable del tratamient o. A fin de tener present e la impor tancia del derech o a la liber tad de expresión en toda sociedad democrática, es necesar io que nociones relativas a dic ha liber tad, como el per iodismo, se inte r preten en sentido am plio. (154) El present e Reg lamento per mit e que, al aplicarlo, se te nga en cuenta el pr incipio de acceso del público a los documentos ofi ciales. El acceso del público a documentos ofi ciales puede considerarse de inte rés público. Los dat os personales de document os que se encuentren en poder de una autori dad pública o un org anismo público deben poder ser comunicados públicament e por dicha autori dad u org anismo si así lo establece el Derec ho de la U nión o los Estados miembros aplicable a dic ha autoridad u org anismo. Ambos Derech os deben conciliar el acceso del público a document os ofi ciales y la reutilización de la inf or mación del sector público con el derecho a la protección de los datos personales y , por tanto , pueden establecer la necesar ia conciliación con el derech o a la prot ección de los dat os personales de conf or midad con el presente Reg lamento. La referencia a autor idades y org anismos públicos debe incluir , en est e cont exto, a todas las autori dades u otros orga nismos a los que se aplica el Derecho de los Estados miembros sobre el acceso del público a documentos. La Directiva 2003/98/CE del P arlamento Europeo y del Consejo ( 1 ) no alter a ni af ecta en modo alguno al nivel de protección de las personas 4.5.2016 L 119/28 Diar io Oficial de la U nión Europea ES ( 1 ) Directiva 2003/98/CE del Parlament o Europeo y del Consejo, de 17 de no viembre de 2003, relativa a la reutilización de la inf or mación del secto r público (DO L 345 de 31.12.2003, p. 90).

40. 2. El responsable del tratamiento facilitará al inte resado el ejercicio de sus derechos en vir tud de los ar tículos 15 a 22. En los casos a que se ref iere el ar tículo 11, apar tado 2, el responsable no se negará a actuar a petición del inter esado con el fin de ejercer sus derechos en vir tud de los ar tículos 15 a 22, salv o que pueda demostrar que no está en condiciones de identif icar al inte resado. 3. El responsable del tratamient o f acilitará al interesado inf or mación relativa a sus actuaciones sobre la base de una solicitud con ar reg lo a los ar tículos 15 a 22, y , en cualquier caso, en el plazo de un mes a par tir de la recepción de la solicitud. Dicho plazo podrá pror rog arse otros dos meses en caso necesar io, ten iendo en cuenta la compl ejidad y el número de solicitudes. El responsable inf or mará al inte resado de cualquiera de dic has prór rogas en el plazo de un mes a par tir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado present e la solicitud por medios electrónicos, la inf or mación se fa cilitará por medios electrónicos cuando sea posible, a menos que el inter esado solicite que se f acilite de otro modo. 4. Si el responsable del tratamiento no da curso a la solicitud del inter esado, le inf or mará sin dilación, y a más tardar transcur r ido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ant e una autori dad de control y de ejercitar acciones judiciales. 5. La inf or mación facilitada en vir tud de los ar tículos 13 y 14 así como tod a comunicación y cualquier actuación realizada en vir tud de los ar tículos 15 a 22 y 34 serán a título gratuito. Cuando las solicitudes sean manif iestamente infundadas o excesivas , especialmente debido a su caráct er repetitiv o, el responsable del tratamient o podrá: a) cobrar un canon razonable en función de los costes administrativos afrontados para f acilitar la inf or mación o la comunicación o realizar la actuación solicitada, o b) negar se a actuar respecto de la solicitud. El responsable del tratamient o sopor tará la carga de demostrar el caráct er manif iestamente infundado o excesiv o de la solicitud. 6. Sin per juicio de lo dispuest o en el ar tículo 11, cuando el responsable del tratamiento ten ga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refie ren los ar tículos 15 a 21, podrá solicitar que se facilit e la inf or mación adicional necesar ia para confir mar la identidad del inter esado. 7. La inf or mación que deberá f acilitarse a los interesados en vir tud de los ar tículos 13 y 14 podrá transmitirse en combinación con iconos nor malizados que per mitan proporcionar de f or ma f ácilmente visible, inteligible y claramente legible una adecuada visión de conjunt o del tratamiento previsto. Los iconos que se present en en f or mato electrónico serán legibles mecánicamente. 8. La Comisión estará f acultada para adoptar actos delegad os de conf or midad con el ar tículo 92 a fi n de especificar la inf or mación que se ha de presentar a través de iconos y los procedimiento s para proporcionar iconos nor malizados. Sección 2 Infor mación y acceso a los datos personales Ar tículo 13 Informa ción que deberá facilita rse cuando los datos personales se obtengan del interesado 1. Cuando se obteng an de un inte resado datos personales relativ os a él, el responsable del tratamient o, en el momento en que est os se obteng an, le f acilitará toda la inf or mación indicada a continuación: a) la identidad y los datos de contact o del responsable y , en su caso, de su representante; b) los dat os de contacto del delegad o de protección de datos, en su caso; c) los fines del tratamiento a que se destinan los dat os personales y la base jurídica del tratamient o; 4.5.2016 L 119/40 Diar io Oficial de la U nión Europea ES

68. 4. En caso de que la autori dad de control pr incipal decida tratar el caso, se aplicará el procedimiento establecido en el ar tículo 60. La autor idad de control que ha ya inf or mado a la autor idad de control pr incipal podrá presentarle un pro ye cto de decisión. La autori dad de control pr incipal te ndrá en cuenta en la ma y or medida posible dic ho pro y ecto al preparar el pro y ecto de decisión a que se refiere el ar tículo 60, apar tado 3. 5. En caso de que la autoridad de control pr incipal decida no tratar el caso, la autori dad de control que le ha ya inf or mado lo tratará con ar reg lo a los ar tículos 61 y 62. 6. La autori dad de control pr incipal será el único inter locutor del responsable o del encarg ado en relación con el tratamient o transfronteri zo realizado por dicho responsable o encarg ado. Ar tículo 57 F unciones 1. Sin per juicio de otras funciones en vir tud del present e Reg lamento, incumbirá a cada autoridad de control, en su terr itorio: a) controlar la aplicación del present e Reg lamento y hacerlo aplicar; b) promo ver la sensibilización del público y su comprensi ón de los r iesgos, nor mas, g arantías y derechos en relación con el tratamient o. Las actividades dir igidas específi camente a los niños deberán ser objeto de especial atención; c) asesorar , con ar reg lo al Derecho de los Estados miembros, al P arlamento nacional, al Gobier no y a otras instituciones y org anismos sobre las medidas legislativas y administrativas relativas a la prot ección de los derechos y liber tades de las personas físicas con respecto al tratamiento; d) promo ver la sensibilización de los responsables y encarga dos del tratamient o acerca de las oblig aciones que les incumben en vir tud del present e Reg lamento; e) previa solicitud, facilitar inf or mación a cualquier interesado en relación con el ejercicio de sus derechos en vir tud del present e Reg lamento y , en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros; f) tratar las reclamaciones presentadas por un inter esado o por un org anismo, org anización o asociación de conf or midad con el ar tículo 80, e inve stigar , en la medida opor tuna, el motivo de la reclamación e inf or mar al reclamant e sobre el curso y el resultado de la inve stigación en un plazo razonable, en par ticular si fueran necesar ias nuevas inv estigaciones o una coordinación más estrecha con otra autori dad de control; g) cooperar , en par ticular compar tiendo inf or mación, con otras autoridades de control y prestar asistencia mutua con el fi n de garantizar la coherencia en la aplicación y ejecución del present e Reg lamento; h) llevar a cabo inve stigaciones sobre la aplicación del present e Reg lamento, en par ticular basándose en inf or mación recibida de otra autoridad de control u otra autoridad pública; i) hacer un seguimiento de cambios que sean de interés, en la medida en que te ngan incidencia en la prot ección de dat os personales, en par ticular el desar rollo de las tecn ologías de la inf or mación y la comunicación y las prácticas comerciales; j) adopt ar las cláusulas contractuales tipo a que se refieren el ar tículo 28, apar tado 8, y el ar tículo 46, apar tado 2, letra d); k) elaborar y mantener una lista relativa al requisit o de la evaluación de impact o relativa a la protección de datos , en vir tud del ar tículo 35, apar tado 4; l) ofrecer asesoramient o sobre las operaciones de tratamiento conte mpladas en el ar tículo 36, apar tado 2; m) alentar la elaboración de códigos de conducta con ar reg lo al ar tículo 40, apar tado 1, y dictaminar y aprobar los códigos de conducta que den suficie nt es garantías con ar reg lo al ar tículo 40, apar tado 5; n) f omentar la creación de mecanismos de cer tificación de la protección de datos y de sellos y marcas de prot ección de dat os con ar reg lo al ar tículo 42, apar tado 1, y aprobar los cr it er ios de cer tif icación de conf or midad con el ar tículo 42, apar tado 5; o) llevar a cabo, si procede, una revisión per iódica de las cer tificacione s expedidas en vir tud del ar tículo 42, apar tado 7; 4.5.2016 L 119/68 Diar io Oficial de la U nión Europea ES

69. p) elaborar y publicar los cr ite r ios para la acreditación de org anismos de super visión de los códigos de conducta con ar reg lo al ar tículo 41 y de org anismos de cer tificació n con ar reg lo al ar tículo 43; q) ef ectuar la acreditación de org anismos de super visión de los códigos de conducta con ar reg lo al ar tículo 41 y de org anismos de cer tificaci ón con ar reg lo al ar tículo 43; r) autorizar las cláusulas contractuales y disposiciones a que se ref iere el ar tículo 46, apar tado 3; s) aprobar nor mas cor porativas vinculantes de conf or midad con lo dispuest o en el ar tículo 47; t) contr ibuir a las actividades del Comité ; u) llevar registros inte r nos de las infracciones del presente Reg lamento y de las medidas adopta das de conf or midad con el ar tículo 58, apar tado 2, y v) desempe ñar cualquier otra función relacionada con la protección de los dat os personales. 2. Cada autori dad de control fa cilitará la presentación de las reclamaciones contem pladas en el apar tado 1, letra f), mediante medidas como un f or mular io de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación. 3. El desempeño de las funciones de cada autoridad de control será gratuit o para el inter esado y , en su caso, para el delegad o de protección de datos. 4. Cuando las solicitudes sean manif iestament e infundadas o excesiva s, especialmente debido a su carácter repetitiv o, la autoridad de control podrá establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carg a de demostrar el carácter manif iestamente infundado o exces ivo de la solicitud recaerá en la autoridad de control. Ar tículo 58 P oderes 1. Cada autori dad de control dispondrá de tod os los poderes de inv estigación indicados a continuación: a) ordenar al responsable y al encarg ado del tratamiento y , en su caso, al representante del responsable o del encargado, que f aciliten cualquier inf or mación que requiera para el desempeño de sus funciones; b) llevar a cabo inv estigaciones en f or ma de auditorí as de prote cción de datos; c) llevar a cabo una revisión de las cer tif icaciones expedidas en vir tud del ar tículo 42, apar tado 7; d) notificar al responsable o al encarg ado del tratamiento las presuntas infracciones del present e Reg lamento; e) obtener del responsable y del encarg ado del tratamiento el acceso a todos los dat os personales y a toda la inf or mación necesar ia para el ejercicio de sus funciones; f) obtener el acceso a todos los locales del responsable y del encarg ado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conf or midad con el Derecho procesal de la U nión o de los Estados miembros. 2. Cada autori dad de control dispondrá de tod os los siguiente s poderes cor rectiv os indicados a continuación: a) sancionar a todo responsable o encarg ado del tratamiento con una adver ten cia cuando las operaciones de tratamient o previstas puedan infr ingir lo dispuest o en el present e Reg lamento; b) sancionar a todo responsable o encarg ado del tratamiento con apercibimient o cuando las operaciones de tratamiento ha yan infr ingido lo dispuesto en el present e Reg lamento; c) ordenar al responsable o encarg ado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del inte resado en vir tud del present e Reg lamento; 4.5.2016 L 119/69 Diar io Oficial de la U nión Europea ES

70. d) ordenar al responsable o encargado del tratamient o que las operaciones de tratamient o se aj usten a las disposiciones del present e Reg lamento, cuando proceda, de una det er minada manera y dentro de un plazo especifi cado; e) ordenar al responsable del tratamiento que comunique al inter esado las violaciones de la segur idad de los datos personales; f) im poner una limitación tem poral o def initiva del tratamient o, incluida su prohibición; g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con ar reg lo a los ar tículos 16, 17 y 18 y la notificación de dic has medidas a los destinatar ios a quienes se ha yan comunicado dat os personales con ar reg lo a al ar tículo 17, apar tado 2, y al ar tículo 19; h) retirar una cer tif icación u ordenar al org anismo de cer tif icación que retire una cer tif icación emitida con ar reg lo a los ar tículos 42 y 43, u ordenar al orga nismo de cer tif icación que no se emita una cer tif icación si no se cumplen o dejan de cumplir se los requisitos para la cer tificación; i) im poner una multa administrativa con ar reg lo al ar tículo 83, además o en lug ar de las medidas mencionadas en el present e apar tado, según las circunstancias de cada caso par ticular; j) ordenar la suspensión de los f lujos de datos hacia un destinatar io situado en un ter cer país o hacia una org anización inte r nacional. 3. Cada autori dad de control dispondrá de tod os los poderes de autorización y consultiv os indicados a continuación: a) asesorar al responsable del tratamiento conf or me al procedimiento de consulta previa contem plado en el ar tículo 36; b) emitir , por iniciativa propia o previa solicitud, dictámenes destinados al P arlamento nacional, al Gobier no del Estado miembro o, con ar reg lo al Derecho de los Estados miembros, a otras instituciones y organismos, así como al público, sobre cualquier asunt o relacionado con la protección de los dat os personales; c) autorizar el tratamiento a que se refiere el ar tículo 36, apar tado 5, si el Derech o del Estado miembro requiere tal autorización previa; d) emitir un dictamen y aprobar pro y ectos de códigos de conducta de conf or midad con lo dispuest o en el ar tículo 40, apar tado 5; e) acreditar los orga nismos de cer tificación con ar reg lo al ar tículo 43; f) expedir cer tif icaciones y aprobar cr it er ios de cer tif icación con ar reg lo al ar tículo 42, apar tado 5; g) adopt ar las cláusulas tipo de prot ección de datos conte mpladas en el ar tículo 28, apar tado 8, y el ar tículo 46, apar tado 2, letra d); h) autorizar las cláusulas contractuales indicadas en el ar tículo 46, apar tado 3, letra a); i) autorizar los acuerdos administrativos cont emplados en el ar tículo 46, apar tado 3, letra b); j) aprobar nor mas cor porativas vinculantes de conf or midad con lo dispuest o en el ar tículo 47. 4. El ejercicio de los poderes conferidos a la autoridad de control en vir tud del presente ar tículo estará sujeto a las ga rantías adecuadas, incluida la tutela judicial ef ectiva y al respeto de las ga rantías procesales, establecidas en el Derecho de la U nión y de los Estados miembros de conf or midad con la Car ta. 5. Cada Estado miembro dispondrá por ley que su autoridad de control esté facultada para poner en conocimient o de las autor idades judiciales las infracciones del present e Reg lamento y , si procede, para iniciar o ejercitar de otro modo acciones judiciales, con el fin de hacer cumplir lo dispuesto en el mismo. 6. Cada Estado miembro podrá establecer por ley que su autor idad de control te nga otros poderes además de los indicadas en los apar tados 1, 2 y 3. El ejercicio de dicho s poderes no será obstáculo a la aplicación ef ectiva del capítulo VII. Ar tículo 59 Informe de actividad Cada autoridad de control elaborará un inf or me anual de sus actividades, que podrá incluir una lista de tipos de infracciones notifi cadas y de tipos de medidas adopt adas de conf or midad con el ar tículo 58, apar tado 2. Los inf or mes se transmitirán al P arlamento nacional, al Gobier no y a las demás autor idades designadas en vir tud del Derecho de los Estados miembros. Se pondrán a disposición del público, de la Comisión y del Comité . 4.5.2016 L 119/70 Diar io Oficial de la U nión Europea ES

53. 2. La comunicación al inter esado cont emplada en el apar tado 1 del present e ar tículo descr ibirá en un lenguaj e claro y sencillo la naturaleza de la violación de la segur idad de los dat os personales y conte ndrá como mínimo la inf or mación y las medidas a que se ref iere el ar tículo 33, apar tado 3, letras b), c) y d). 3. La comunicación al inter esado a que se refie re el apar tado 1 no será necesar ia si se cumple alguna de las condiciones siguiente s: a) el responsable del tratamiento ha adoptado medidas de protección técn icas y org anizativas apropiadas y estas medidas se han aplicado a los datos personales af ectados por la violación de la segur idad de los datos personales, en par ticular aquellas que hag an ininteli gibles los datos personales para cualquier persona que no esté autor izada a acceder a ellos, como el cifrado; b) el responsable del tratamient o ha tomad o medidas ult er iores que garant icen que ya no exista la probabilidad de que se concretice el alto r iesgo para los derechos y liber tades del interesado a que se refiere el apar tado 1; c) suponga un esfuerzo desproporcionado. En est e caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se inf or me de manera igualmente ef ectiva a los inter esados. 4. Cuando el responsable toda vía no ha ya comunicado al inte resado la violación de la segur idad de los datos personales, la autor idad de control, una vez considerada la probabilidad de que tal violación entrañe un alto r iesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apar tado 3. Sección 3 Evaluación de impacto relativa a la protección de dat os y consulta previa Ar tículo 35 Evaluación de impact o relativa a la protección de datos 1. Cuando sea probable que un tipo de tratamiento, en par ticular si utiliza nuevas tecn ologías, por su naturaleza, alcance, context o o f ines, entrañe un alto r iesgo para los derechos y liber tades de las personas físicas, el responsable del tratamient o realizará, antes del tratamient o, una evaluación del im pacto de las operaciones de tratamiento en la prote cción de dat os personales. U na única evaluación podrá abordar una ser ie de operaciones de tratamiento similares que entrañen altos r iesgos similares. 2. El responsable del tratamiento recabará el asesoramient o del delegad o de protección de datos, si ha sido nombrado, al realizar la evaluación de im pacto relativa a la protección de dat os. 3. La evaluación de im pacto relativa a la prote cción de los datos a que se refie re el apar tado 1 se requer irá en par ticular en caso de: a) evaluación sistemática y exhaustiva de aspect os personales de personas físicas que se base en un tratamiento automat izado, como la elaboración de perf iles, y sobre cuya base se tomen decisiones que produzcan ef ectos jurídicos para las personas físicas o que les afect en signif icativamente de modo similar; b) tratamient o a gran escala de las categorías especiales de datos a que se refiere el ar tículo 9, apar tado 1, o de los datos personales relativ os a condenas e infracciones penales a que se refiere el ar tículo 10, o c) obser vación sistemática a gran escala de una zona de acceso público. 4. La autori dad de control establecerá y publicará una lista de los tipos de operaciones de tratamient o que requieran una evaluación de im pacto relativa a la prote cción de dat os de conf or midad con el apar tado 1. La autor idad de control comunicará esas listas al Comité a que se ref iere el ar tículo 68. 5. La autori dad de control podrá asimismo establecer y publicar la lista de los tipos de tratamient o que no requieren evaluaciones de im pacto relativas a la prote cción de dat os. La autoridad de control comunicará esas listas al Comit é. 6. Ante s de adoptar las listas a que se refieren los apar tados 4 y 5, la autori dad de control compet ente aplicará el mecanismo de coherencia contem plado en el ar tículo 63 si esas listas incluyen actividades de tratamiento que guarden relación con la of er ta de bienes o ser vicios a interesados o con la obser vación del compo r tamient o de est os en var ios Estados miembros, o actividades de tratamiento que puedan af ectar sustancialmente a la libre circulación de datos personales en la U nión. 4.5.2016 L 119/53 Diar io Oficial de la U nión Europea ES

74. c) ten ga por objeto aprobar los cr it er ios aplicables a la acreditación de un org anismo con ar reg lo al ar tículo 41, apar tado 3, o un org anismo de cer tificació n conf or me al ar tículo 43, apar tado 3; d) ten ga por objeto det er minar las cláusulas tipo de prot ección de dat os contem pladas en el ar tículo 46, apar tado 2, letra d), y el ar tículo 28, apar tado 8; e) ten ga por objeto autori zar las cláusulas contractuales a que se ref iere el ar tículo 46, apar tado 3, letra a); f) ten ga por objeto la aprobación de nor mas cor porativas vinculantes a ten or del ar tículo 47. 2. Cualquier autoridad de control, el presidente del Comité o la Comisión podrán solicitar que cualquier asunt o de aplicación ge neral o que sur ta efect o en más de un Estado miembro sea examinado por el Comité a ef ectos de dictamen, en par ticular cuando una autor idad de control compet ent e incumpla las oblig aciones relativas a la asisten cia mutua con ar reg lo al ar tículo 61 o las operaciones conjuntas con ar reg lo al ar tículo 62. 3. En los casos a que se ref ieren los apar tados 1 y 2, el Comité emitirá dictamen sobre el asunt o que le ha ya sido presentado siempre que no ha ya emitido ya un dictamen sobre el mismo asunt o. Dicho dictamen se adopta rá en el plazo de oc ho semanas por ma y oría simp le de los miembros del Comité . Dic ho plazo podrá pror rogarse seis semanas más, te niendo en cuenta la compl ejidad del asunt o. P or lo que respecta al pro ye cto de decisión a que se refiere el apar tado 1 y distr ibuido a los miembros del Comit é con ar reg lo al apar tado 5, todo miembro que no ha ya presentado objeciones dentro de un plazo razonable indicado por el presidente se considerará conf or me con el pro ye cto de decisión. 4. Las autoridades de control y la Comisión comunicarán sin dilación por vía electrónica al Comité , utilizando un f or mato nor malizado, toda inf or mación útil, en par ticular , cuando proceda, un resumen de los hech os, el pro ye cto de decisión, los motivos por los que es necesar ia tal medida, y las opiniones de otras autori dades de control interesadas. 5. La Presidencia del Comité inf or mará sin dilación indebida por medios electrónicos: a) a los miembros del Comité y a la Comisión de cualquier inf or mación per tinente que le ha ya sido comunicada, utilizando un f or mato nor malizado. La secretaría del Comité f acilitará, de ser necesar io, traducciones de la inf or mación que sea per tinente, y b) a la autori dad de control contem plada, en su caso, en los apar tados 1 y 2 y a la Comisión del dictamen, y lo publicará. 6. La autori dad de control compet ente no adoptará su pro y ecto de decisión a ten or del apar tado 1 en el plazo mencionado en el apar tado 3. 7. La autor idad de control contem plada en el ar tículo 1 ten drá en cuenta en la ma y or medida posible el dictamen del Comité y , en el plazo de dos semanas desde la recepción del dictamen, comunicará por medios electrónicos al presidente del Comit é si va a mantener o modificar su pro ye cto de decisión y , si lo hubiera, el pro yect o de decisión modificado, utilizando un f or mato nor malizado. 8. Cuando la autoridad de control inte resada inf or me al president e del Comité, en el plazo mencionado en el apar tado 7 del present e ar tículo, de que no prevé seguir el dictamen del Comité , en todo o en par te, alegando los motivos cor respondiente s, se aplicará el ar tículo 65, apar tado 1. Ar tículo 65 Resolución de conf lict os por el Comité 1. Con el fi n de g arantizar una aplicación cor recta y coherente del present e Reg lamento en casos concretos, el Comité adopta rá una decisión vinculante en los siguient es casos: a) cuando, en un caso mencionado en el ar tículo 60, apar tado 4, una autoridad de control inte resada ha ya manife stado una objeción per tinente y motivada a un pro ye cto de decisión de la autoridad pr incipal, o esta ha ya rech azado dicha objeción por no ser per tinente o no estar motivada. La decisión vinculante af ectará a todos los asuntos a que se refiera la objeción per tinente y motivada, en par ticular si ha y infracción del present e Reg lamento; 4.5.2016 L 119/74 Diar io Oficial de la U nión Europea ES

75. b) cuando ha ya puntos de vista enfrentados sobre cuál de las autori dades de control interesadas es compet ent e para el establecimiento pr incipal; c) cuando una autori dad de control compet ent e no solicite dictamen al Comité en los casos contem plados en el ar tículo 64, apar tado 1, o no siga el dictamen del Comité emitido en vir tud del ar tículo 64. En tal caso, cualquier autori dad de control inte resada, o la Comisión, lo pondrá en conocimient o del Comit é. 2. La decisión a que se refiere el apar tado 1 se adopt ará en el plazo de un mes a par tir de la remisión del asunt o, por ma y oría de dos ter cios de los miembros del Comité . Este plazo podrá pror rogarse un mes más, habida cuenta de la compl ejidad del asunt o. La decisión que menciona el apar tado 1 estará motivada y será dir igida a la autoridad de control pr incipal y a todas las autori dades de control interesadas, y será vinculante para ellas. 3. Cuando el Comité no ha ya podido adoptar una decisión en los plazos mencionados en el apar tado 2, adoptará su decisión en un plazo de dos semanas tras la expiración del segundo mes a que se refiere el apar tado 2, por ma y oría sim ple de sus miembros. En caso de empat e, decidirá el vot o del presidente . 4. Las autori dades de control inter esadas no adoptarán decisión alguna sobre el asunt o presentado al Comité en vir tud del apar tado 1 durante los plazos de tiempo a que se refieren los apar tados 2 y 3. 5. El presidente del Comit é notificará sin dilación indebida la decisión cont emplada en el apar tado 1 a las autor idades de control interesadas. T ambién inf or mará de ello a la Comisión. La decisión se publicará en el sitio web del Comité sin demora, una vez que la autori dad de control ha ya notifi cado la decisión def initiva a que se refiere el apar tado 6. 6. La autori dad de control pr incipal o, en su caso, la autor idad de control ante la que se present ó la reclamación adopta rá su decisión def initiva sobre la base de la decisión contem plada en el apar tado 1 del present e ar tículo, sin dilación indebida y a más tardar un mes tras la notifi cación de la decisión del Comit é. La autori dad de control pr incipal o, en su caso, la autor idad de control ant e la que se present ó la reclamación inf or mará al Comité de la fe cha de notificación de su decisión def initiva al responsable o al encarg ado del tratamiento y al interesado, respectivamente . La decisión definitiva de las autori dades de control inte resadas será adoptada en los térm inos establecidos en el ar tículo 60, apar tados 7, 8 y 9. La decisión definit iva hará referencia a la decisión cont emplada en el apar tado 1 del present e ar tículo y especificará que esta última decisión se publicará en el sitio web del Comité con ar reg lo al apar tado 5 del present e ar tículo. La decisión def initiva llevará adjunta la decisión contem plada en el apar tado 1 del present e ar tículo. Ar tículo 66 Procedimiento de urgencia 1. En circunstancias excepci onales, cuando una autor idad de control inter esada considere que es urgent e inter venir para proteg er los derech os y las liber tades de inte resados, podrá, como excepción al mecanismo de coherencia conte mplado en los ar tículos 63, 64 y 65, o al procedimiento mencionado en el ar tículo 60, adop tar inmediatament e medidas pro visionales destinadas a producir ef ectos jurídicos en su propio terr itori o, con un per iodo de validez det er minado que no podrá ser super ior a tres meses. La autor idad de control comunicará sin dilación dic has medidas, junto con los motivos de su adopción, a las demás autor idades de control inter esadas, al Comité y a la Comisión. 2. Cuando una autori dad de control ha ya adoptado una medida de conf or midad con el apar tado 1, y considere que deben adoptarse urg ent emente medidas definitivas, podrá solicitar con carácter urg ent e un dictamen o una decisión vinculante urgent e del Comité , motivando dicha solicitud de dictamen o decisión. 3. Cualquier autor idad de control podrá solicitar , motivando su solicitud, y , en par ticular , la urg encia de la inter vención, un dictamen urgent e o una decisión vinculante urg ent e, según el caso, del Comité, cuando una autori dad de control compe tent e no ha ya tomad o una medida apropiada en una situación en la que sea urg ent e inte r venir a fin de prote ger los derechos y las liber tades de los interesados. 4. No obstante lo dispuest o en el ar tículo 64, apar tado 3, y en el ar tículo 65, apar tado 2, los dictámenes urg ent es o decisiones vinculante s urg ent es contem plados en los apar tados 2 y 3 del present e ar tículo se adop tarán en el plazo de dos semanas por ma y oría simp le de los miembros del Comité. 4.5.2016 L 119/75 Diar io Oficial de la U nión Europea ES

61. Ar tículo 45 T ransferencias basadas en una decisión de adecuación 1. P odrá realizarse una transfe rencia de dat os personales a un ter cer país u org anización internacional cuando la Comisión ha ya decidido que el terce r país, un terr itori o o uno o var ios sectores específico s de ese ter cer país, o la org anización inte r nacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requer irá ninguna autorización específic a. 2. Al evaluar la adecuación del nivel de protección, la Comisión ten drá en cuenta, en par ticular , los siguient es elementos : a) el Estado de Derecho, el respeto de los derechos humanos y las liber tades fundamentales, la legislación per tinente, tanto g eneral como sect or ial, incluida la relativa a la segur idad pública, la defensa, la segur idad nacional y la legislación penal, y el acceso de las autori dades públicas a los datos personales, así como la aplicación de dic ha legislación, las nor mas de prot ección de dat os, las nor mas profes ionales y las medidas de segur idad, incluidas las nor mas sobre transferencias ult er iores de dat os personales a otro ter cer país u organización internacional obser vadas en ese país u org anización internacional, la jur ispr udencia, así como el reconocimiento a los interesados cuy os datos personales est én siendo transferi dos de derechos ef ectivos y exigibles y de recursos administrativos y acciones judiciales que sean ef ectivos; b) la existen cia y el funcionamient o ef ectivo de una o var ias autor idades de control independient es en el terce r país o a las cuales esté sujeta una organización internacional, con la responsabilidad de ga rantizar y hacer cumplir las nor mas en mater ia de prot ección de dat os, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derech os, y de cooperar con las autori dades de control de la Unión y de los Estados miembros, y c) los compromisos internacionales asumidos por el ter cer país u organización intern acional de que se trat e, u otras oblig aciones der ivadas de acuerdos o instr umentos jurídicamente vinculantes, así como de su par ticipación en sistema s multilat erales o regionales, en par ticular en relación con la protección de los dat os personales. 3. La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir , mediante un acto de ejecución, que un terce r país, un terr it or io o uno o var ios sect ores específico s de un terce r país, o una org anización internacional garantizan un nivel de prot ección adecuado a ten or de lo dispuesto en el apar tado 2 del presente ar tículo. El acto de ejecución establecerá un mecanismo de revisión per iódica, al menos cada cuatro años, que teng a en cuenta todos los acont ecimientos relevantes en el te rcer país o en la organización inte r nacional. El acto de ejecución especifi cará su ámbito de aplicación terr it or ial y sectorial , y , en su caso, det er minará la autoridad o autori dades de control a que se refiere el apar tado 2, letra b), del presente ar tículo. El acto de ejecución se adoptará con ar reg lo al procedimiento de examen a que se ref iere el ar tículo 93, apar tado 2. 4. La Comisión super visará de manera continuada los acontecimient os en países terceros y org anizaciones int er na ­ cionales que puedan afectar a la ef ectiva aplicación de las decisiones adop tadas con ar reg lo al apar tado 3 del present e ar tículo y de las decisiones adopt adas sobre la base del ar tículo 25, apar tado 6, de la Directiva 95/46/CE. 5. Cuando la inf or mación disponible, en par ticular tras la revisión a que se ref iere el apar tado 3 del presente ar tículo, muestre que un ter cer país, un te r r it or io o un sect or específi co de ese tercer país, o una organización inte r nacional ya no garantiza un nivel de prote cción adecuado a ten or del apar tado 2 del presente ar tículo, la Comisión, mediante actos de ejecución, derogar á, modificará o suspenderá, en la medida necesar ia y sin ef ecto retroactivo, la decisión a que se refiere el apar tado 3 del present e ar tículo. Dic hos actos de ejecución se adop tarán de acuerdo con el procedimiento de examen a que se ref iere el ar tículo 93, apar tado 2. P or razones imper iosas de urg encia debidament e justificad as, la Comisión adoptará actos de ejecución inmediatament e aplicables de conf or midad con el procedimiento a que se refiere el ar tículo 93, apar tado 3. 6 La Comisión entablará consultas con el ter cer país u org anización internacional con vistas a poner remedio a la situación que dé lugar a la decisión adoptada de conf or midad con el apar tado 5. 7. T oda decisión de conf or midad con el apar tado 5 del present e ar tículo se entenderá sin per juicio de las transfe ­ rencias de dat os personales al terce r país, a un te r r it or io o uno o var ios sectores específi cos de ese ter cer país, o a la org anización inte r nacional de que se trate en vir tud de los ar tículos 46 a 49. 8. La Comisión publicará en el Diar io Oficial de la Unión Eur opea y en su página web una lista de te rceros países, terr itorios y sector es específi cos en un ter cer país, y org anizaciones inte r nacionales respecto de los cuales ha ya decidido que se garantiza, o ya no, un nivel de protección adecuado. 4.5.2016 L 119/61 Diar io Oficial de la U nión Europea ES

82. 6. Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ant e los tr ibunales compe tent es con ar reg lo al Derecho del Estado miembro que se indica en el ar tículo 79, apar tado 2. Ar tículo 83 Condiciones generales para la imposición de mult as administ rativas 1. Cada autoridad de control g arantizará que la imposición de las multas administrativas con ar reg lo al present e ar tículo por las infracciones del present e Reg lamento indicadas en los apar tados 4, 5 y 6 sean en cada caso individual ef ectivas, proporcionadas y disuasor ias. 2. Las multas administrativas se im pondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contem pladas en el ar tículo 58, apar tado 2, letras a) a h) y j). Al decidir la im posición de una multa administrativa y su cuantía en cada caso individual se ten drá debidament e en cuenta: a) la naturaleza, grav edad y duración de la infracción, ten iendo en cuenta la naturaleza, alcance o propósito de la operación de tratamient o de que se trat e así como el número de inter esados af ectados y el nivel de los daños y per juicios que ha yan sufr ido; b) la inte ncionalidad o neg ligencia en la infracción; c) cualquier medida tom ada por el responsable o encarg ado del tratamiento para paliar los daños y per juicios sufr idos por los inter esados; d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técn icas u org anizativas que ha yan aplicado en vir tud de los ar tículos 25 y 32; e) toda infracción ant er ior cometida por el responsable o el encarg ado del tratamiento; f) el grado de cooperación con la autoridad de control con el fi n de poner remedio a la infracción y mitig ar los posibles efect os adversos de la infracción; g) las categorías de los datos de caráct er personal af ectados por la infracción; h) la f or ma en que la autori dad de control tuv o conocimiento de la infracción, en par ticular si el responsable o el encarg ado notificó la infracción y , en tal caso, en qué medida; i) cuando las medidas indicadas en el ar tículo 58, apar tado 2, ha yan sido ordenadas previamente contra el responsable o el encargado de que se trat e en relación con el mismo asunt o, el cumplimient o de dichas medidas; j) la adhesión a códigos de conducta en vir tud del ar tículo 40 o a mecanismos de cer tificación aprobados con ar reg lo al ar tículo 42, y k) cualquier otro fact or agrav ante o ate nuante aplicable a las circunstancias del caso, como los beneficios financie ros obteni dos o las pérdidas evitadas, directa o indirectament e, a través de la infracción. 3. Si un responsable o un encarg ado del tratamient o incumplie ra de f or ma intenc ionada o neg ligent e, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reg lamento, la cuantía total de la multa administrativa no será super ior a la cuantía prevista para las infracciones más grav es. 4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apar tado 2, con multas adminis ­ trativas de 10 000 000 EUR como máximo o, tratándose de una emp resa, de una cuantía equivalent e al 2 % como máximo del volumen de negocio total anual g lobal del ejercicio financiero ant er ior , op tándose por la de ma y or cuantía: a) las obligaciones del responsable y del encarg ado a te nor de los ar tículos 8, 11, 25 a 39, 42 y 43; b) las obligaciones de los orga nismos de cer tificación a ten or de los ar tículos 42 y 43; c) las obligaciones de la autori dad de control a ten or del ar tículo 41, apar tado 4. 4.5.2016 L 119/82 Diar io Oficial de la U nión Europea ES

37. incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamient o a te nor del capítulo IX. El Derecho de la U nión o de los Estados miembros cumplirá un objetivo de inter és público y será proporcional al fin legítimo perseguido. 4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los dat os personales no est é basado en el consentimiento del inte resado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesar ia y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el ar tículo 23, apar tado 1, el responsable del tratamiento, con objeto de det er minar si el tratamient o con otro fin es compati ble con el fin para el cual se recogieron inicialmente los datos personales, te ndrá en cuenta, entre otras cosas: a) cualquier relación entre los fine s para los cuales se ha yan recogido los dat os personales y los fine s del tratamiento ult er ior previsto; b) el cont exto en que se ha yan recogido los datos personales, en par ticular por lo que respecta a la relación entre los inter esados y el responsable del tratamiento; c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conf or midad con el ar tículo 9, o dat os personales relativ os a condenas e infracciones penales, de conf or midad con el ar tículo 10; d) las posibles consecuencias para los inte resados del tratamiento ult er ior previsto; e) la existen cia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización. Ar tículo 7 Condiciones para el consentimient o 1. Cuando el tratamiento se base en el consentimient o del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales. 2. Si el consentimient o del inter esado se da en el cont exto de una declaración escr ita que también se ref iera a otros asunt os, la solicitud de consentimiento se presentará de tal f or ma que se disting a claramente de los demás asuntos, de f or ma inteligible y de f ácil acceso y utilizando un lenguaj e claro y sencillo. No será vinculante ninguna par te de la declaración que constituya infracción del presente Reg lamento. 3. El inter esado te ndrá derecho a retirar su consentimient o en cualquier momento. La retirada del consentimient o no af ectará a la licitud del tratamient o basada en el consentimient o previo a su retirada. Ante s de dar su consentimient o, el inter esado será inf or mado de ello. Será tan f ácil retirar el consentimient o como darlo. 4. Al evaluar si el consentimient o se ha dado libremente, se tendrá en cuenta en la ma y or medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un ser vicio, se supedita al consentimiento al tratamient o de dat os personales que no son necesar ios para la ejecución de dicho contrato. Ar tículo 8 Condiciones aplicables al consentimient o del niño en relación con los ser vicios de la sociedad de la inf or mación 1. Cuando se aplique el ar tículo 6, apar tado 1, letra a), en relación con la of er ta directa a niños de ser vicios de la sociedad de la inf or mación, el tratamient o de los dat os personales de un niño se considerará lícit o cuando teng a como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícit o si el consentimient o lo dio o autori zó el titular de la patr ia potestad o tutela sobre el niño, y solo en la medida en que se dio o autor izó. Los Estados miembros podrán establecer por ley una edad inf er ior a tales fi nes, siempre que esta no sea inf er ior a 13 años. 4.5.2016 L 119/37 Diar io Oficial de la U nión Europea ES

50. En relación con lo dispuest o en la letra h) del pár raf o pr imero, el encarga do inf or mará inmediatamente al responsable si, en su opinión, una instr ucción infr ing e el present e Reg lamento u otras disposiciones en mat er ia de protección de datos de la U nión o de los Estados miembros. 4. Cuando un encarg ado del tratamiento recur ra a otro encarg ado para llevar a cabo determi nadas actividades de tratamient o por cuenta del responsable, se im pondrán a este otro encarg ado, mediante contrato u otro acto jurídico establecido con ar reg lo al Derecho de la Unión o de los Estados miembros, las mismas oblig aciones de prote cción de dat os que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encarg ado a que se refie re el apar tado 3, en par ticular la prestación de garantías suficie nt es de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conf or me con las disposiciones del present e Reg lamento. Si ese otro encarg ado incumple sus oblig aciones de protección de datos , el encarg ado inicial seguirá siendo plenamente responsable ant e el responsable del tratamient o por lo que respecta al cumplim iento de las oblig aciones del otro encargado. 5. La adhesión del encarg ado del tratamiento a un código de conducta aprobado a ten or del ar tículo 40 o a un mecanismo de cer tificación aprobado a te nor del ar tículo 42 podrá utilizarse como elemento para demostrar la existen cia de las garantías suficientes a que se ref ieren los apar tados 1 y 4 del presente ar tículo. 6. Sin per juicio de que el responsable y el encarg ado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apar tados 3 y 4 del presente ar tículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apar tados 7 y 8 del presente ar tículo, inclusive cuando f or men par te de una cer tificación concedida al responsable o encarg ado de conf or midad con los ar tículos 42 y 43. 7. La Comisión podrá fijar cláusulas contractuales tipo para los asunt os a que se ref ieren los apar tados 3 y 4 del present e ar tículo, de acuerdo con el procedimiento de examen a que se refiere el ar tículo 93, apar tado 2. 8. U na autori dad de control podrá adopt ar cláusulas contractuales tipo para los asunt os a que se refie ren los apar tados 3 y 4 del present e ar tículo, de acuerdo con el mecanismo de coherencia a que se refie re el ar tículo 63. 9. El contrato u otro acto jurídico a que se refieren los apar tados 3 y 4 constará por escr ito, inclusive en f or mato electrónico. 10. Sin per juicio de lo dispuest o en los ar tículos 82, 83 y 84, si un encarg ado del tratamiento infr ing e el present e Reg lamento al det er minar los fine s y medios del tratamiento, será considerado responsable del tratamient o con respecto a dic ho tratamient o. Ar tículo 29 T ratamien to bajo la autori dad del responsable o del encargado del tratamiento El encargado del tratamient o y cualquier persona que actúe baj o la autor idad del responsable o del encargado y ten ga acceso a dat os personales solo podrán tratar dic hos datos siguiendo instr ucciones del responsable, a no ser que esté n oblig ados a ello en vir tud del Derec ho de la Uni ón o de los Estados miembros. Ar tículo 30 Registro de las actividades de tratamiento 1. Cada responsable y , en su caso, su representant e llevarán un registro de las actividades de tratamiento ef ectuadas baj o su responsabilidad. Dic ho registro deberá contener tod a la inf or mación indicada a continuación: a) el nombre y los datos de contact o del responsable y , en su caso, del cor responsable, del representante del responsable, y del delegad o de protección de datos; b) los fines del tratamiento; c) una descr ipción de las categorías de inte resados y de las cate gorías de dat os personales; 4.5.2016 L 119/50 Diar io Oficial de la U nión Europea ES

88. El present e Reg lamento será oblig ator io en todos sus elementos y directament e aplicable en cada Estado miembro. Hec ho en Br uselas, el 27 de abr il de 2016. P or el P arlamento Eur opeo El Presid ente M. SCH ULZ P or el Consejo La Presid enta J.A. HENNIS-PL ASSC HAERT 4.5.2016 L 119/88 Diar io Oficial de la U nión Europea ES

52. b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia per manentes de los sistemas y ser vicios de tratamient o; c) la capacidad de restaurar la disponibilidad y el acceso a los dat os personales de f or ma rápida en caso de incident e físico o técn ico; d) un proceso de ver ificación, evaluación y valoración regulares de la efic acia de las medidas té cnicas y org anizativas para garan tizar la segur idad del tratamient o. 2. Al evaluar la adecuación del nivel de segur idad se ten drán par ticular mente en cuenta los r iesgos que present e el tratamient o de datos, en par ticular como consecuencia de la destr ucción, pérdida o alteración accidental o ilícita de dat os personales transmitidos, conser vados o tratados de otra f or ma, o la comunicación o acceso no autori zados a dic hos dat os. 3. La adhesión a un código de conducta aprobado a ten or del ar tículo 40 o a un mecanismo de cer tificació n aprobado a ten or del ar tículo 42 podrá ser vir de element o para demostrar el cumpli miento de los requisit os establecidos en el apar tado 1 del present e ar tículo. 4. El responsable y el encarg ado del tratamiento tomarán medidas para ga rantizar que cualquier persona que actúe baj o la autor idad del responsable o del encarg ado y te nga acceso a datos personales solo pueda tratar dic hos datos siguiendo instr ucciones del responsable, salvo que est é obligada a ello en vir tud del Derecho de la Unión o de los Estados miembros. Ar tículo 33 Notif icación de una violación de la segur idad de los dato s personales a la auto r idad de control 1. En caso de violación de la segur idad de los datos personales, el responsable del tratamiento la notifi cará a la autori dad de control compet ente de conf or midad con el ar tículo 55 sin dilación indebida y , de ser posible, a más tardar 72 horas después de que ha ya ten ido constancia de ella, a menos que sea im probable que dic ha violación de la segur idad constituya un r iesgo para los derechos y las liber tades de las personas físicas. Si la notifi cación a la autor idad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañ ada de indicación de los motiv os de la dilación. 2. El encarg ado del tratamient o notifi cará sin dilación indebida al responsable del tratamiento las violaciones de la segur idad de los datos personales de las que ten ga conocimiento. 3. La notificación conte mplada en el apar tado 1 deberá, como mínimo: a) descr ibir la naturaleza de la violación de la segur idad de los datos personales, inclusive, cuando sea posible, las catego rías y el número apro ximado de interesados afectados, y las cate gorías y el número apro ximado de registros de dat os personales afectados; b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtener se más inf or mación; c) descr ibir las posibles consecuencias de la violación de la segur idad de los datos personales; d) descr ibir las medidas adop tadas o propuestas por el responsable del tratamient o para poner remedio a la violación de la segur idad de los dat os personales, incluye ndo, si procede, las medidas adoptadas para mitig ar los posibles efect os negat ivos. 4. Si no fuera posible f acilitar la inf or mación simultáneamente, y en la medida en que no lo sea, la inf or mación se f acilitará de manera gradual sin dilación indebida. 5. El responsable del tratamiento documentará cualquier violación de la segur idad de los dat os personales, incluidos los hechos relacionados con ella, sus efect os y las medidas cor rectivas adopt adas. Dic ha documentación per mitirá a la autori dad de control ver if icar el cumplimient o de lo dispuesto en el presente ar tículo. Ar tículo 34 Comunicación de una violación de la segur idad de los datos personales al interesado 1. Cuando sea probable que la violación de la segur idad de los dat os personales entrañe un alto r iesgo para los derechos y liber tades de las personas físicas, el responsable del tratamiento la comunicará al inter esado sin dilación indebida. 4.5.2016 L 119/52 Diar io Oficial de la U nión Europea ES

58. 10. La Comisión dará publicidad adecuada a los códigos aprobados cuya validez general ha ya sido decidida de conf or midad con el apar tado 9. 11. El Comité archivará en un registro tod os los códigos de conducta, modifi caciones y ampliaciones que se apr ueben, y los pondrá a disposición pública por cualquier medio apropiado. Ar tículo 41 Super visión de códigos de conduct a aprobados 1. Sin per juicio de las funciones y los poderes de la autor idad de control compe tent e en vir tud de los ar tículos 57 y 58, podrá super visar el cumplimient o de un código de conducta en vir tud del ar tículo 40 un org anismo que ten ga el nivel adecuado de per icia en relación con el objeto del código y que ha ya sido acreditado para tal fin por la autor idad de control compet ent e. 2. El orga nismo a que se ref iere el apar tado 1 podrá ser acreditado para super visar el cumplim iento de un código de conducta si: a) ha demostrado, a satisf acción de la autori dad de control compet ent e, su independencia y per icia en relación con el objeto del código; b) ha establecido procedimiento s que le per mitan evaluar la idoneidad de los responsables y encarg ados cor respon ­ dient es para aplicar el código, super visar el cumplimient o de sus disposiciones y examinar per iódicamente su aplicación; c) ha establecido procedimiento s y estr ucturas para tratar las reclamaciones relativas a infracciones del código o a la manera en que el código ha ya sido o est é siendo aplicado por un responsable o encargado del tratamiento, y para hacer dic hos procedimiento s y estr ucturas transparentes para los inter esados y el público, y d) ha demostrado, a satisfa cción de la autori dad de control compet ente, que sus funciones y cometidos no dan lugar a conf licto de inter eses. 3. La autoridad de control compet ent e somet erá al Comité , con ar reg lo al mecanismo de coherencia a que se refiere el ar tículo 63, el pro y ecto que fije los cr it er ios de acreditación de un org anismo a que se refiere el apar tado 1 del present e ar tículo. 4. Sin per juicio de las funciones y los poderes de la autori dad de control compet ente y de lo dispuest o en el capítulo VIII, un org anismo a ten or del apar tado 1 del present e ar tículo deberá, con sujeción a ga rantías adecuadas, tomar las medidas opor tunas en caso de infracción del código por un responsable o encarg ado del tratamiento, incluida la suspensión o exclusión de este. Inf or mará de dic has medidas y de las razones de las mismas a la autoridad de control compet ent e. 5. La autor idad de control compet ent e revocará la acreditación de un orga nismo a te nor del apar tado 1 si las condiciones de la acreditación no se cumplen o han dejado de cumplir se, o si la actuación de dic ho org anismo infr inge el present e Reg lamento. 6. El present e ar tículo no se aplicará al tratamiento realizado por autori dades y org anismos públicos. Ar tículo 42 Cer tif icación 1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promo verán, en par ticular a nivel de la U nión, la creación de mecanismos de cer tif icación en mate r ia de prote cción de dat os y de sellos y marcas de protección de datos a fin de demostrar el cumpli miento de lo dispuesto en el present e Reg lamento en las operaciones de tratamient o de los responsables y los encargados. Se ten drán en cuenta las necesidades específi cas de las microempr esas y las pequeñas y medianas empr esas. 4.5.2016 L 119/58 Diar io Oficial de la U nión Europea ES

4. profesio nal o comercial. Entre las actividades personales o domésticas cabe incluir la cor respondencia y la llevanza de un reper torio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el cont exto de las citadas actividades. No obstante, el present e Reg lamento se aplica a los responsables o encarga dos del tratamient o que proporcionen los medios para tratar dat os personales relacionados con tales actividades personales o domésticas. (19) La protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por par te de las autori dades compe tent es a ef ectos de la prevención, inv estigación, det ección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la prote cción frente a las amenazas contra la segur idad pública y la libre circulación de estos datos y su prevención, es objeto de un acto jurídico específi co a nivel de la U nión. El present e Reg lamento no debe, por lo tanto, aplicarse a las actividades de tratamient o destinadas a tales fines. No obstante, los datos personales tratados por las autori dades públicas en aplicación del present e Reg lamento deben, si se destinan a tales fi nes, regirse por un acto jurídico de la U nión más específi co, concre ­ tamente la Directiva (UE) 2016/680 del P arlamento Europeo y del Consejo ( 1 ). Los Estados miembros pueden encomendar a las autori dades compet ent es, tal como se definen en la Directiva (UE) 2016/680, funciones que no se lleven a cabo necesar iament e con fine s de prevención, inve stigación, detec ción o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluida la protección frente a las amenazas a la segur idad pública y su prevención, de tal f or ma que el tratamiento de datos personales para est os otros fines, en la medida en que esté incluido en el ámbito del Derecho de la Unión, entra en el ámbito de aplicación del present e Reg lamento. En lo que respecta al tratamiento de dat os personales por par te de dic has autoridades compet entes con fi nes que entren en el ámbito de aplicación del present e Reg lamento, los Estados miembros deben ten er la posibilidad de manten er o introducir disposiciones más específicas para adap tar la aplicación de las nor mas del present e Reg lamento. T ales disposiciones pueden establecer de f or ma más precisa requisit os concretos para el tratamiento de dat os personales con otros fi nes por par te de dic has autor idades compet ent es, toman do en consideración la estr uctura constitucional, org anizativa y administrativa del Estado miembro en cuestión. Cuando el tratamiento de dat os personales por org anismos pr ivados entre en el ámbito de aplicación del presente Reg lamento, este debe disponer que los Estados miembros puedan, en condiciones específi cas, limitar conf or me a Derec ho det er minadas oblig aciones y derech os siempre que dicha limitación sea una medida necesar ia y proporcionada en una sociedad democrática para proteg er intereses específicos imp or tantes, entre ellos la segur idad pública y la prevención, la inv estigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, inclusive la protección frente a las amenazas contra la segur idad pública y su prevención. Esto se aplica, por ejemplo, en el marco de la lucha contra el blanqueo de capitales o de las actividades de los laborat or ios de policía científica. (20) A unque el present e Reg lamento se aplica, entre otras, a las actividades de los tr ibunales y otras autor idades judiciales, en vir tud del Derecho de la U nión o de los Estados miembros pueden especificarse las operaciones de tratamient o y los procedimientos de tratamient o en relación con el tratamiento de datos personales por los tr ibunales y otras autor idades judiciales. A f in de preser var la independencia del poder judicial en el desempeño de sus funciones, incluida la toma de decisiones, la compet encia de las autor idades de control no debe abarcar el tratamient o de datos personales cuando los tr ibunales actúen en ejercicio de su función judicial. El control de esas operaciones de tratamient o de dat os ha de poder encomendarse a org anismos específi cos establecidos dentro del sistema judicial del Estado miembro, los cuales deben, en par ticular , g arantizar el cumpli miento de las nor mas del presente Reg lamento, concienciar más a los miembros del poder judicial acerca de sus oblig aciones en vir tud de este y atender las reclamaciones en relación con tales operaciones de tratamiento de datos. (21) El present e Reg lamento debe ent enderse sin per juicio de la aplicación de la Directiva 2000/31/CE del P arlamento Europeo y del Consejo ( 2 ), en par ticular de las nor mas en mate r ia de responsabilidad de los prestadores de ser vicios interm ediar ios establecidas en sus ar tículos 12 a 15. El objetivo de dic ha Directiva es contr ibuir al cor recto funcionamient o del mercado interior g arantizando la libre circulación de los ser vicios de la sociedad de la inf or mación entre los Estados miembros. (22) T odo tratamiento de datos personales en el cont exto de las actividades de un establecimiento de un responsable o un encarg ado del tratamient o en la Unión debe llevarse a cabo de conf or midad con el present e Reg lamento, independiente mente de que el tratamiento teng a lugar en la U nión. Un establecimiento imp lica el ejercicio de manera ef ectiva y real de una actividad a través de modalidades estables. La f or ma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el f actor det er minante al respecto. 4.5.2016 L 119/4 Diar io Oficial de la U nión Europea ES ( 1 ) Directiva (UE) 2016/680 del Pa rlamento Europeo y del Consejo, de 27 de abr il de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por par te de las auto r idades compet entes para f ines de prevención, investig ación, detecc ión o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (véase la página 89 del presente Diar io Oficial). ( 2 ) Directiva 2000/31/CE del Parlament o Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los ser vicios de la sociedad de la inf or mación, en par ticular el comercio electrónico en el mercado inter ior (Directiva sobre el comercio electrónico) (DO L 178 de 17.7.2000, p. 1).

46. 4. A más tardar en el momento de la pr imera comunicación con el interesado, el derech o indicado en los apar tados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al marge n de cualquier otra inf or mación. 5. En el context o de la utilización de ser vicios de la sociedad de la inf or mación, y no obstante lo dispuest o en la Directiva 2002/58/CE, el inter esado podrá ejercer su derech o a oponerse por medios automat izados que apliquen especi ­ ficaciones técn icas. 6. Cuando los datos personales se traten con fi nes de investig ación científi ca o histó r ica o fines estadísticos de conf or midad con el ar tículo 89, apar tado 1, el interesado tendrá derecho, por motivos relacionados con su situación par ticular , a oponerse al tratamient o de datos personales que le concier nan, salvo que sea necesar io para el cumplim iento de una misión realizada por razones de int erés público. Ar tículo 22 Decisiones individuales auto matizadas, incluida la elaboración de perf iles 1. T odo interesado tendrá derech o a no ser objeto de una decisión basada únicamente en el tratamiento automat izado, incluida la elaboración de perf iles, que produzca ef ectos jurídicos en él o le af ecte signif icativamente de modo similar . 2. El apar tado 1 no se aplicará si la decisión: a) es necesar ia para la celebración o la ejecución de un contrato entre el inter esado y un responsable del tratamiento; b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derech os y liber tades y los intereses legítimos del inter esado, o c) se basa en el consentimiento explícito del inte resado. 3. En los casos a que se refiere el apar tado 2, letras a) y c), el responsable del tratamient o adop tará las medidas adecuadas para salvaguardar los derech os y liber tades y los inter eses legítimos del inter esado, como mínimo el derecho a obtener inte r vención humana por par te del responsable, a expresar su punto de vista y a impugn ar la decisión. 4. Las decisiones a que se refiere el apar tado 2 no se basarán en las catego rías especiales de datos personales conte mpladas en el ar tículo 9, apar tado 1, salv o que se aplique el ar tículo 9, apar tado 2, letra a) o g), y se ha yan tomado medidas adecuadas para salvaguardar los derechos y liber tades y los inte reses legítimos del inter esado. Sección 5 Limit aciones Ar tículo 23 Limita ciones 1. El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encarg ado del tratamiento podrá limitar , a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los ar tículos 12 a 22 y el ar tículo 34, así como en el ar tículo 5 en la medida en que sus disposiciones se cor respondan con los derechos y obligaciones contem plados en los ar tículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y liber tades fundamentales y sea una medida necesar ia y proporcionada en una sociedad democrática para salvaguardar: a) la segur idad del Estado; b) la def ensa; c) la segur idad pública; 4.5.2016 L 119/46 Diar io Oficial de la U nión Europea ES

47. d) la prevención, inv estigación, det ección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la prot ección frente a amenazas a la segur idad pública y su prevención; e) otros objetivos impor tantes de int erés público general de la U nión o de un Estado miembro, en par ticular un inter és económico o financiero impor tante de la U nión o de un Estado miembro, inclusive en los ámbitos fi scal, presupuestar io y monetar io, la sanidad pública y la segur idad social; f) la prot ección de la independencia judicial y de los procedimiento s judiciales; g) la prevención, la inv estigación, la detección y el enjuiciamiento de infracciones de nor mas deontológicas en las profes iones reguladas; h) una función de super visión, inspección o reg lamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos conte mplados en las letras a) a e) y g); i) la prot ección del interesado o de los derech os y liber tades de otros; j) la ejecución de demandas civiles. 2. En par ticular , cualquier medida legislativa indicada en el apar tado 1 conte ndrá como mínimo, en su caso, disposi ­ ciones específi cas relativas a: a) la finalidad del tratamiento o de las categorías de tratamient o; b) las categorías de datos personales de que se trate; c) el alcance de las limitaciones establecidas; d) las garantías para evitar accesos o transfer encias ilícitos o abusiv os; e) la det er minación del responsable o de cate gorías de responsables; f) los plazos de conser vación y las garantías aplicables habida cuenta de la naturaleza alcance y objetivos del tratamient o o las catego rías de tratamient o; g) los r iesgos para los derechos y liber tades de los interesados, y h) el derecho de los inter esados a ser inf or mados sobre la limitación, salvo si puede ser per judicial a los fi nes de esta. CAPÍTULO IV Responsable del tr atamiento y encarg ado del tr atamiento Sección 1 Obligaciones generales Ar tículo 24 Responsabilidad del responsable del tratamiento 1. T eniendo en cuenta la naturaleza, el ámbito, el cont exto y los fi nes del tratamiento así como los r iesgos de diversa probabilidad y grav edad para los derech os y liber tades de las personas físicas, el responsable del tratamient o aplicará medidas té cnicas y organizativas apropiadas a fin de g arantizar y poder demostrar que el tratamiento es conf or me con el present e Reg lamento. Dic has medidas se revisarán y actualizarán cuando sea necesar io. 2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apar tado 1 se incluirá la aplicación, por par te del responsable del tratamient o, de las opor tunas políticas de protección de datos. 3. La adhesión a códigos de conducta aprobados a te nor del ar tículo 40 o a un mecanismo de cer tif icación aprobado a ten or del ar tículo 42 podrán ser utilizados como elementos para demostrar el cumpli miento de las oblig aciones por par te del responsable del tratamient o. 4.5.2016 L 119/47 Diar io Oficial de la U nión Europea ES

62. 9. Las decisiones adopt adas por la Comisión en vir tud del ar tículo 25, apar tado 6, de la Directiva 95/46/CE per manecerán en vigor hasta que sean modifi cadas, sustituidas o derog adas por una decisión de la Comisión adop tada de conf or midad con los apar tados 3 o 5 del present e ar tículo. Ar tículo 46 T ransfe rencias mediante garantías adecuadas 1. A falta de decisión con ar reg lo al ar tículo 45, apar tado 3, el responsable o el encarg ado del tratamiento solo podrá transmitir dat os personales a un terce r país u org anización internacional si hubiera ofrecido garantías adecuadas y a condición de que los inte resados cuent en con derechos exigibles y acciones legale s ef ectivas. 2. Las garantías adecuadas con ar reg lo al apar tado 1 podrán ser apor tadas, sin que se requiera ninguna autori zación expresa de una autori dad de control, por : a) un instr umento jurídicament e vinculante y exigible entre las autor idades u org anismos públicos; b) nor mas cor porativas vinculantes de conf or midad con el ar tículo 47; c) cláusulas tipo de protección de dat os adopt adas por la Comisión de conf or midad con el procedimiento de examen a que se ref iere el ar tículo 93, apar tado 2; d) cláusulas tipo de protección de datos adopt adas por una autori dad de control y aprobadas por la Comisión con ar reg lo al procedimiento de examen a que se refiere en el ar tículo 93, apar tado 2; e) un código de conducta aprobado con ar reg lo al ar tículo 40, junt o con compromisos vinculantes y exigibles del responsable o el encargado del tratamient o en el ter cer país de aplicar garant ías adecuadas, incluidas la relativas a los derechos de los interesados, o f) un mecanismo de cer tificación aprobado con ar reg lo al ar tículo 42, junt o con comprom isos vinculantes y exigibles del responsable o el encarg ado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados. 3. Siempr e que exista autori zación de la autor idad de control compet ent e, las garantías adecuadas contem pladas en el apar tado 1 podrán igualmente ser apor tadas, en par ticular , mediante : a) cláusulas contractuales entre el responsable o el encarg ado y el responsable, encargado o destinatar io de los datos personales en el te rcer país u organización intern acional, o b) disposiciones que se incor poren en acuerdos administrativos entre las autoridades u org anismos públicos que incluyan derechos ef ectivos y exigibles para los inte resados. 4. La autori dad de control aplicará el mecanismo de coherencia a que se refie re el ar tículo 63 en los casos indicados en el apar tado 3 del present e ar tículo. 5. Las autori zaciones oto rgadas por un Estado miembro o una autori dad de control de conf or midad con el ar tículo 26, apar tado 2, de la Directiva 95/46/CE seguirán siendo válidas hasta que ha yan sido modifi cadas, sustituidas o derogad as, en caso necesar io, por dicha autori dad de control. Las decisiones adopt adas por la Comisión en vir tud del ar tículo 26, apar tado 4, de la Directiva 95/46/CE per manecerán en vigor hasta que sean modif icadas, sustituidas o derogad as, en caso necesar io, por una decisión de la Comisión adop tada de conf or midad con el apar tado 2 del present e ar tículo. Ar tículo 47 Nor mas cor porativas vinculantes 1. La autoridad de control compet ente aprobará nor mas cor porativas vinculantes de conf or midad con el mecanismo de coherencia establecido en el ar tículo 63, siempr e que estas: a) sean jurídicament e vinculantes y se apliquen y sean cumplidas por todos los miembros cor respondientes del gr upo empr esar ial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus emple ados; 4.5.2016 L 119/62 Diar io Oficial de la U nión Europea ES

64. 3. La Comisión podrá especific ar el f or mato y los procedimiento s para el intercambio de inf or mación entre los responsables, los encargados y las autoridades de control en relación con las nor mas cor porativas vinculant es a te nor de lo dispuesto en el present e ar tículo. Dichos actos de ejecución se adop tarán con ar reg lo al procedimiento de examen a que se ref iere el ar tículo 93, apar tado 2. Ar tículo 48 T ransferencias o comunicaciones no autor izadas por el Derecho de la Unión Cualquier sentencia de un órg ano jur isdiccional o decisión de una autor idad administrativa de un terce r país que exi jan que un responsable o encarg ado del tratamiento transf iera o comunique dat os personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo intern acional, como un tratado de asisten cia jurídica mutua, vig ente entre el país ter cero requirente y la Unión o un Estado miembro, sin per juicio de otros motivos para la transfe ­ rencia al ampa ro del presente capítulo. Ar tículo 49 Ex cepciones para situaciones específ icas 1. En ausencia de una decisión de adecuación de conf or midad con el ar tículo 45, apar tado 3, o de garant ías adecuadas de conf or midad con el ar tículo 46, incluidas las nor mas cor porativas vinculante s, una transfe rencia o un conjunt o de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguiente s: a) el inter esado ha ya dado explícitament e su consentimiento a la transferencia propuesta, tras haber sido inf or mado de los posibles r iesgos para él de dichas transfer encias debido a la ausencia de una decisión de adecuación y de garantías adecuadas; b) la transferencia sea necesar ia para la ejecución de un contrato entre el inte resado y el responsable del tratamient o o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado; c) la transferencia sea necesar ia para la celebración o ejecución de un contrato, en interés del inter esado, entre el responsable del tratamiento y otra persona física o jurídica; d) la transfer encia sea necesar ia por razones imp or tantes de interés público; e) la transfer encia sea necesar ia para la f or mulación, el ejercicio o la defensa de reclamaciones; f) la transfer encia sea necesar ia para prot eger los intereses vitales del interesado o de otras personas, cuando el inter esado esté física o jurídicamente incapacitado para dar su consentimiento; g) la transfer encia se realice desde un registro público que, con ar reg lo al Derecho de la Unión o de los Estados miembros, ten ga por objeto facilitar inf or mación al público y esté abier to a la consulta del público en ge neral o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso par ticular , las condiciones que establece el Derecho de la U nión o de los Estados miembros para la consulta. Cuando una transferencia no pueda basarse en disposiciones de los ar tículos 45 o 46, incluidas las disposiciones sobre nor mas cor porativas vinculantes , y no sea aplicable ninguna de las exce pciones para situaciones específicas a que se refiere el pár raf o pr imero del presente apar tado, solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de inter esados, es necesar ia a los fi nes de intereses legítimos imp er iosos perseguidos por el responsable del tratamient o sobre los que no prevalezcan los int ereses o derechos y liber tades del inter esado, y el responsable del tratamient o evaluó todas las circunstancias concur rent es en la transferencia de datos y , basándose en esta evaluación, ofreció g arantías apropiadas con respecto a la protección de datos personales. El responsable del tratamient o inf or mará a la autoridad de control de la transfe rencia. Ad emás de la inf or mación a que hacen referen cia los ar tículos 13 y 14, el responsable del tratamient o inf or mará al inte resado de la transfer encia y de los inte reses legítimos imperios os perseguidos. 2. U na transfer encia efectuada de conf or midad con el apar tado 1, pár raf o pr imero, letra g), no abarcará la totali dad de los datos personales ni catego rías enteras de datos personales conteni dos en el registro. Si la fi nalidad del registro es la consulta por par te de personas que ten gan un inte rés legítimo, la transfer encia solo se ef ectuará a solicitud de dic has personas o si estas han de ser las destinatar ias. 4.5.2016 L 119/64 Diar io Oficial de la U nión Europea ES

11. profesio nal. El Derecho de la Unión o de los Estados miembros debe establecer medidas específi cas y adecuadas para prote ger los derechos fundamentales y los datos personales de las personas físicas. Los Estados miembros deben estar f acultados para mante ner o introducir otras condiciones, incluidas limitaciones, con respecto al tratamient o de dat os genéticos, dat os biométr icos o dat os relativ os a la salud. No obstante, est o no ha de suponer un obstáculo para la libre circulación de datos personales dentro de la Uni ón cuando tales condiciones se apliquen al tratamient o transfronterizo de esos dat os. (54) El tratamient o de categorías especiales de dat os personales, sin el consentimiento del inter esado, puede ser necesar io por razones de int erés público en el ámbito de la salud pública. Ese tratamient o debe estar sujeto a medidas adecuadas y específi cas a fi n de prot eger los derechos y liber tades de las personas físicas. En ese cont exto, «salud pública» debe interpretar se en la definición del Reg lamento (CE) n. o 1338/2008 del P arlamento Europeo y del Consejo ( 1 ), es decir , tod os los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determi nante s que inf luy en en dic ho estado de salud, las necesidades de asisten cia sanitar ia, los recursos asignados a la asisten cia sanitar ia, la puesta a disposición de asisten cia sanitar ia y el acceso universal a ella, así como los gast os y la fi nanciación de la asistencia sanitar ia, y las causas de mor talidad. Este tratamient o de datos relativos a la salud por razones de inter és público no debe dar lugar a que ter ceros, como em presar ios, compañías de seguros o entidades bancar ias, trat en los datos personales con otros fi nes. (55) Se realiza además por razones de inter és público el tratamient o de dat os personales por las autori dades públicas con el f in de alcanzar los objetivos, establecidos en el Derecho constitucional o en el Derecho intern acional público, de asociaciones religiosas reconocidas ofi cialment e. (56) Si, en el marco de actividades elector ales, el funcionamient o del sistema democrático exige en un Estado miembro que los par tidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autori zarse el tratamient o de estos datos por razones de inter és público, siempr e que se ofrezcan garantías adecuadas. (57) Si los datos personales tratados por un responsable no le per mit en identif icar a una persona física, el responsable no debe estar oblig ado a obtener inf or mación adicional para identificar al inte resado con la única fi nalidad de cumpli r cualquier disposición del presente Reg lamento. No obstante, el responsable del tratamiento no debe negar se a recibir inf or mación adicional facilitada por el interesado a fi n de respaldarle en el ejercicio de sus derechos. La identif icación debe incluir la identif icación digital de un interesado, por ejemplo mediante un mecanismo de autentica ción, como las mismas credenciales, empleadas por el interesado para abr ir una sesión en el ser vicio en línea ofrecido por el responsable. (58) El pr incipio de transparencia exige que toda inf or mación dir igida al público o al int eresado sea concisa, f ácilmente accesible y f ácil de ent ender , y que se utilice un lenguaj e claro y sencillo, y , además, en su caso, se visualice. Esta inf or mación podría f acilitarse en f or ma electrónica, por ejemplo, cuando est é dir igida al público, mediante un sitio web. Ello es especialmente per tinente en situaciones en las que la proliferación de ag entes y la compl ejidad tecnológica de la práctica hag an que sea difícil para el inter esado saber y comprende r si se están recogiendo, por quién y con qué fi nalidad, datos personales que le concier nen, como es en el caso de la publicidad en línea. Dado que los niños merecen una prote cción específica, cualquier inf or mación y comunicación cuy o tratamiento les afect e debe f acilitarse en un lenguaje claro y sencillo que sea f ácil de ent ender . (59) Deben arbitrarse f ór mulas para facilitar al inter esado el ejercicio de sus derechos en vir tud del present e Reg lamento, incluidos los mecanismos para solicitar y , en su caso, obtener de f or ma gratuita, en par ticular , el acceso a los dat os personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se present en por medios electrónicos, en par ticular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamient o debe estar oblig ado a responder a las solicitudes del inter esado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderl as. 4.5.2016 L 119/11 Diar io Oficial de la U nión Europea ES ( 1 ) Reg lamento (CE) n. o 1338/2008 del P arlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitar ias de salud pública y de salud y segur idad en el trabajo (DO L 354 de 31.12.2008, p. 70).

20. ter cer país. El ter cer país debe ofrecer garantías que aseguren un nivel adecuado de protección equivalent e en lo esencial al ofrecido en la Unión, en par ticular cuando los datos personales son objeto de tratamient o en uno o var ios sector es específi cos. En par ticular , el ter cer país debe garantizar que ha ya un control verdaderamente independiente de la prot ección de dat os y establecer mecanismos de cooperación con las autori dades de prot ección de datos de los Estados miembros, así como reconocer a los inter esados derechos efectiv os y exigibles y acciones administrativas y judiciales ef ectivas. (105) Apar te de los compr omisos inte r nacionales adquir idos por el tercer país u organización int er nacional, la Comisión debe ten er en cuenta las obligaciones resultant es de la par ticipación del tercer país u org anización internacional en sistemas multilat erales o regionales, en par ticular en relación con la protección de los dat os personales, y el cumplimient o de esas oblig aciones. En par ticular , debe ten erse en cuenta la adhesión del país al Conv enio del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamient o automatizado de dat os de carácte r personal y su Protocolo adicional. La Comisión debe consultar al Comité al evaluar el nivel de protección existen te en te rceros países u organizaciones internacionales. (106) La Comisión debe super visar la aplicación de las decisiones sobre el nivel de protección en un país te rcero, un terr it or io o un sector específico de un país ter cero, o una organización inte r nacional, y la aplicación las decisiones adoptadas sobre la base del ar tículo 25, apar tado 6, o el ar tículo 26, apar tado 4, de la Directiva 95/46/CE. En sus decisiones de adecuación, la Comisión debe establecer un mecanismo para la revisión per iódica de su aplicación. Dic ha revisión per iódica debe realizarse en colaboración con el te rcer país u org anización internacional de que se trate y ten er en cuenta todos los cambios en la mater ia que se produzcan en dic ho terce r país u org anización internacional. A ef ectos de la super visión y realización de las revisiones per iódicas, la Comisión debe tomar en consideración las opiniones y conclusiones del P arlamento Europeo y del Consejo, así como de otros organismos y fuent es per tinentes. La Comisión debe evaluar , en un plazo razonable, la aplicación de dichas decisiones e inf or mar de cualquier conclusión per tinente al Comit é que, en el sentido del Reg lamento (UE) n. o 182/2011 del Parlament o Europeo y del Consejo ( 1 ), establece el present e Reg lamento, y al P arlamento Europeo y el Consejo. (107) La Comisión puede reconocer que un te rcer país, un te r r it or io o sector específico en un terce r país, o una org anización intern acional ya no g arantiza un nivel de protección de datos adecuado. En consecuencia, debe prohibirse la transfer encia de datos personales a dic ho ter cer país u org anización internacional, salv o que se cumplan los requisit os del present e Reg lamento relativ os a las transfe rencias basadas en garantías adecuadas, incluidas las nor mas cor porativas vinculante s, y a las excepciones aplicadas a situaciones específicas. En ese caso, debe establecerse la celebración de consultas entre la Comisión y esos ter ceros países u org anizaciones inte r na ­ cionales. La Comisión debe inf or mar en tiempo opor tuno al terce r país u organización internacional de las razones y entablar consultas a fi n de subsanar la situación. (108) En ausencia de una decisión por la que se constat e la adecuación de la prot ección de los dat os, el responsable o el encarg ado del tratamiento deben tomar medidas para compen sar la f alta de protección de datos en un te rcer país mediante garan tías adecuadas para el inter esado. T ales garantías adecuadas pueden consistir en el recurso a nor mas cor porativas vinculantes, a cláusulas tipo de protección de datos adoptadas por la Comisión o por una autori dad de control, o a cláusulas contractuales autori zadas por una autori dad de control. Esas garantías deben asegurar la obser vancia de requisit os de prot ección de dat os y derech os de los inte resados adecuados al tratamient o dentro de la U nión, incluida la disponibilidad por par te de los inter esados de derechos exigibles y de acciones legale s ef ectivas, lo que incluy e el derecho a obtener una reparación administrativa o judicial ef ectiva y a reclamar una indemnización, en la U nión o en un tercer país. En par ticular , deben ref er irse al cumpli miento de los pr incipios ge nerales relativos al tratamiento de los datos personales y los pr incipios de la prote cción de datos desde el diseño y por defect o. Las transferencias también pueden realizarlas autor idades o entidades públicas con entidades o autori dades públicas de terceros países o con org anizaciones inte r nacionales con compet encias o funciones cor respondientes, igualmente sobre la base de disposiciones incor poradas a acuerdos administrativ os, como un memorando de ent endimiento, que reconozcan derechos exigibles y efectiv os a los inter esados. Si las g arantías figuran en acuerdos administrativos que no sean jurídicamente vinculante s se debe recabar la autori zación de la autori dad de control compet ent e. (109) La posibilidad de que el responsable o el encarg ado del tratamient o recur ran a cláusulas tipo de protección de dat os adopt adas por la Comisión o una autoridad de control no debe obstar a que los responsables o encarg ados 4.5.2016 L 119/20 Diar io Oficial de la U nión Europea ES ( 1 ) Reg lamento (UE) n. o 182/2011 del Parlament o Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las nor mas y los pr incipios generales relativos a las modalidades de control por par te de los Estados miembros del ejercicio de las compet encias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

51. d) las categorías de destinatar ios a quienes se comunicaron o comunicarán los datos personales, incluidos los destina ­ tar ios en ter ceros países u org anizaciones internacionales; e) en su caso, las transfer encias de datos personales a un te rcer país o una org anización internacional, incluida la identi ­ ficación de dicho te rcer país u org anización internacional y , en el caso de las transfer encias indicadas en el ar tículo 49, apar tado 1, pár raf o segundo, la documentación de g arantías adecuadas; f) cuando sea posible, los plazos previstos para la supresión de las diferent es catego rías de datos; g) cuando sea posible, una descr ipción g eneral de las medidas técn icas y organizativas de segur idad a que se refiere el ar tículo 32, apar tado 1. 2. Cada encarg ado y , en su caso, el representante del encarg ado, llevará un registro de todas las catego rías de actividades de tratamient o ef ectuadas por cuenta de un responsable que cont enga: a) el nombre y los datos de contact o del encarg ado o encarg ados y de cada responsable por cuenta del cual actúe el encarg ado, y , en su caso, del representante del responsable o del encarg ado, y del delegado de prote cción de dat os; b) las categorías de tratamient os ef ectuados por cuenta de cada responsable; c) en su caso, las transferencias de dat os personales a un te rcer país u org anización internacional, incluida la identifi ­ cación de dicho tercer país u org anización intern acional y , en el caso de las transferencias indicadas en el ar tículo 49, apar tado 1, pár raf o segundo, la documentación de g arantías adecuadas; d) cuando sea posible, una descr ipción g eneral de las medidas técn icas y organizativas de segur idad a que se refiere el ar tículo 30, apar tado 1. 3. Los registros a que se refie ren los apar tados 1 y 2 constarán por escr ito, inclusive en f or mato electrónico. 4. El responsable o el encargado del tratamient o y , en su caso, el representante del responsable o del encarg ado pondrán el registro a disposición de la autoridad de control que lo solicite. 5. Las obligaciones indicadas en los apar tados 1 y 2 no se aplicarán a ninguna empr esa ni org anización que emplee a menos de 250 personas, a menos que el tratamient o que realice pueda entrañar un r iesgo para los derechos y liber tades de los interesados, no sea ocasional, o incluya catego rías especiales de dat os personales indicadas en el ar tículo 9, apar tado 1, o datos personales relativ os a condenas e infracciones penales a que se refiere el ar tículo 10. Ar tículo 31 Cooperación con la autori dad de control El responsable y el encarg ado del tratamiento y , en su caso, sus representantes cooperarán con la autor idad de control que lo solicite en el desempeño de sus funciones. Sección 2 Segur idad de los datos personales Ar tículo 32 Segur idad del tratamiento 1. T eniendo en cuenta el estado de la técn ica, los costes de aplicación, y la naturaleza, el alcance, el context o y los fine s del tratamiento, así como r iesgos de probabilidad y grave dad var iables para los derechos y liber tades de las personas físicas, el responsable y el encarg ado del tratamiento aplicarán medidas técn icas y organizativas apropiadas para ga rantizar un nivel de segur idad adecuado al r iesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; 4.5.2016 L 119/51 Diar io Oficial de la U nión Europea ES

55. e) la evaluación de im pacto relativa a la protección de datos establecida en el ar tículo 35, y f) cualquier otra inf or mación que solicite la autor idad de control. 4. Los Estados miembros garan tizarán que se consulte a la autori dad de control durante la elaboración de toda propuesta de medida legislativa que ha ya de adopta r un Parlament o nacional, o de una medida reg lamentar ia basada en dic ha medida legislativa, que se refiera al tratamient o. 5. No obstante lo dispuesto en el apar tado 1, el Derecho de los Estados miembros podrá oblig ar a los responsables del tratamiento a consultar a la autor idad de control y a recabar su autori zación previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en inter és público, en par ticular el tratamiento en relación con la protección social y la salud pública. Sección 4 Delegado de protección de dat os Ar tículo 37 Designación del delegado de protección de datos 1. El responsable y el encarg ado del tratamiento designarán un delegad o de protección de datos siempre que: a) el tratamient o lo lleve a cabo una autori dad u org anismo público, excep to los tr ibunales que actúen en ejercicio de su función judicial; b) las actividades pr incipales del responsable o del encargado consistan en operaciones de tratamient o que, en razón de su naturaleza, alcance y/o fines, requieran una obser vación habitual y sistemát ica de inter esados a gran escala, o c) las actividades pr incipales del responsable o del encarga do consistan en el tratamient o a gran escala de catego rías especiales de datos personales con ar reg lo al ar tículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el ar tículo 10. 2. U n gr upo emp resar ial podrá nombrar un único delegado de prote cción de datos siempre que sea fácilment e accesible desde cada establecimiento . 3. Cuando el responsable o el encarg ado del tratamiento sea una autori dad u org anismo público, se podrá designar un único delegad o de prote cción de datos para var ias de estas autor idades u org anismos, te niendo en cuenta su estr uctura org anizativa y tamaño. 4. En casos distintos de los cont emplados en el apar tado 1, el responsable o el encargado del tratamiento o las asociaciones y otros org anismos que representen a cate gorías de responsables o encarg ados podrán designar un delegad o de protección de datos o deberán designarlo si así lo exige el Derecho de la U nión o de los Estados miembros. El delegad o de protección de datos podrá actuar por cuenta de estas asociaciones y otros org anismos que represente n a responsables o encarg ados. 5. El delegad o de protección de datos será designado ate ndiendo a sus cualidades profesionales y , en par ticular , a sus conocimientos especializados del Derecho y la práctica en mat er ia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el ar tículo 39. 6. El delegado de prot ección de datos podrá f or mar par te de la plantilla del responsable o del encarg ado del tratamient o o desempeñar sus funciones en el marco de un contrato de ser vicios. 7. El responsable o el encarg ado del tratamient o publicarán los dat os de contact o del delegado de prot ección de datos y los comunicarán a la autori dad de control. Ar tículo 38 P osición del delegado de protección de datos 1. El responsable y el encarga do del tratamiento g arantizarán que el delegad o de prote cción de datos par ticipe de f or ma adecuada y en tiempo opor tuno en toda s las cuestiones relativas a la prot ección de datos personales. 4.5.2016 L 119/55 Diar io Oficial de la U nión Europea ES

56. 2. El responsable y el encarg ado del tratamient o respaldarán al delegado de protección de dat os en el desemp eño de las funciones mencionadas en el ar tículo 39, f acilitando los recursos necesar ios para el desempe ño de dic has funciones y el acceso a los dat os personales y a las operaciones de tratamiento, y para el mante nimiento de sus conocimientos especializados. 3. El responsable y el encarg ado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instr ucción en lo que respecta al desempeño de dic has funciones. No será destituido ni sancionado por el responsable o el encarg ado por desempeñar sus funciones. El delegad o de protección de dat os rendirá cuentas directament e al más alto nivel jerárquico del responsable o encarg ado. 4. Los inter esados podrán ponerse en contacto con el delegado de protección de dat os por lo que respecta a todas las cuestiones relativas al tratamiento de sus dat os personales y al ejercicio de sus derechos al ampa ro del presente Reg lamento. 5. El delegado de prot ección de dat os estará oblig ado a mantener el secreto o la conf idencialidad en lo que respecta al desempeño de sus funciones, de conf or midad con el Derecho de la U nión o de los Estados miembros. 6. El delegad o de prote cción de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamient o garantizará que dichas funciones y cometidos no den lugar a conf licto de inter eses. Ar tículo 39 F unciones del delegado de protección de datos 1. El delega do de protección de dat os ten drá como mínimo las siguient es funciones: a) inf or mar y asesorar al responsable o al encarg ado del tratamiento y a los em pleados que se ocupen del tratamiento de las oblig aciones que les incumben en vir tud del present e Reg lamento y de otras disposiciones de prot ección de dat os de la Unión o de los Estados miembros; b) super visar el cumplimient o de lo dispuest o en el presente Reg lamento, de otras disposiciones de protección de datos de la U nión o de los Estados miembros y de las políticas del responsable o del encarg ado del tratamiento en mate r ia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y f or mación del personal que par ticipa en las operaciones de tratamiento, y las auditorí as cor respondientes; c) ofrecer el asesoramient o que se le solicite acerca de la evaluación de im pacto relativa a la protección de dat os y super visar su aplicación de conf or midad con el ar tículo 35; d) cooperar con la autori dad de control; e) actuar como punt o de contacto de la autori dad de control para cuestiones relativas al tratamient o, incluida la consulta previa a que se refiere el ar tículo 36, y realizar consultas, en su caso, sobre cualquier otro asunt o. 2. El delegad o de prot ección de dat os desempeñará sus funciones prestando la debida atención a los r iesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el context o y fi nes del tratamiento. Sección 5 Códigos de conduct a y cer tif icación Ar tículo 40 Códigos de conduct a 1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promo verán la elaboración de códigos de conducta destinados a contr ibuir a la cor recta aplicación del present e Reg lamento, te niendo en cuenta las caracte ­ rísticas específicas de los distintos sector es de tratamient o y las necesidades específicas de las microempr esas y las pequeñas y medianas empresas. 2. Las asociaciones y otros org anismos representativ os de cate gorías de responsables o encarga dos del tratamiento podrán elaborar códigos de conducta o modifi car o amplia r dichos códigos con objeto de especificar la aplicación del present e Reg lamento, como en lo que respecta a: a) el tratamiento leal y transparent e; 4.5.2016 L 119/56 Diar io Oficial de la U nión Europea ES

60. b) se han comprometido a respetar los cr it er ios mencionados en el ar tículo 42, apar tado 5, y aprobados por la autori dad de control que sea compet ent e en vir tud del ar tículo 55 o 56, o por el Comité de conf or midad con el ar tículo 63; c) han establecido procedimiento s para la expedición, la revisión per iódica y la retirada de cer tif icaciones, sellos y marcas de prote cción de datos; d) han establecido procedimiento s y estr ucturas para tratar las reclamaciones relativas a infracciones de la cer tificación o a la manera en que la cer tificación ha ya sido o esté siendo aplicada por un responsable o encarg ado del tratamiento, y para hacer dic hos procedimiento s y estr ucturas transparent es para los interesados y el público, y e) han demostrado, a satisf acción de la autoridad de control compet ent e, que sus funciones y cometidos no dan lugar a conf licto de inter eses. 3. La acreditación de los org anismos de cer tificación a que se ref ieren los apar tados 1 y 2 del present e ar tículo se realizará sobre la base de los cr iter ios aprobados por la autori dad de control que sea compet ent e en vir tud del ar tículo 55 o 56, o por el Comité de conf or midad con el ar tículo 63. En caso de acreditación de conf or midad con el apar tado 1, letra b), del presente ar tículo, est os requisit os compl ementarán los conte mplados en el Reg lamento (CE) n. o 765/2008 y las nor mas técn icas que descr iben los métod os y procedimiento s de los org anismos de cer tif icación. 4. Los org anismos de cer tificaci ón a que se ref iere el apar tado 1 serán responsable de la cor recta evaluación a ef ectos de cer tif icación o retirada de la cer tificación, sin per juicio de la responsabilidad del responsable o del encarga do del tratamient o en cuanto al cumplimient o del presente Reg lamento. La acreditación se expedirá por un período máximo de cinco años y podrá ser reno vada en las mismas condiciones, siempre y cuando el orga nismo de cer tif icación cumpla los requisitos establecidos en el present e ar tículo. 5. Los organismos de cer tificación a que se refie re el apar tado 1 comunicarán a las autori dades de control compet ent es las razones de la expedición de la cer tificación solicitada o de su retirada. 6. La autori dad de control hará públicos los requisit os a que se ref iere el apar tado 3 del present e ar tículo y los cr ite r ios a que se a ref iere el ar tículo 42, apar tado 5, en una f or ma f ácilmente accesible. Las autori dades de control comunicarán también dic hos requisitos y cr iter ios al Comité. El Comit é arc hivará en un registro todos los mecanismos de cer tificación y sellos de prot ección de datos y los pondrá a disposición pública por cualquier medio apropiado. 7. No obstante lo dispuesto en el capítulo VIII, la autor idad de control compet ent e o el organismo nacional de acreditación revocará la acreditación a un organismo de cer tificación a tenor del apar tado 1 del present e ar tículo si las condiciones de la acreditación no se cumplen o han dejado de cumpli rse, o si la actuación de dic ho org anismo de cer tifi ­ cación infr inge el present e Reg lamento. 8. La Comisión estará f acultada para adoptar actos delegad os, de conf or midad con el ar tículo 92, a fi n de especificar las condiciones que deberán te nerse en cuenta para los mecanismos de cer tificación en mater ia de protección de datos a que se ref iere el ar tículo 42, apar tado 1. 9. La Comisión podrá adoptar actos de ejecución que establezcan nor mas técnicas para los mecanismos de cer tifi ­ cación y los sellos y marcas de protección de datos , y mecanismos para promo ver y reconocer dic hos mecanismos de cer tificación, sellos y marcas. Dic hos actos de ejecución se adop tarán con ar reg lo al procedimiento de examen a que se refiere el ar tículo 93, apar tado 2. CA PÍTULO V T r ansf er encias de datos personales a ter cer os países u org anizaciones inter nacionales Ar tículo 44 Pr incipio general de las transferencias Solo se realizarán transfer encias de datos personales que sean objeto de tratamiento o va yan a serlo tras su transferencia a un terce r país u org anización intern acional si, a reser va de las demás disposiciones del presente Reg lamento, el responsable y el encarg ado del tratamiento cumplen las condiciones establecidas en el present e capítulo, incluidas las relativas a las transferencias ult er iores de datos personales desde el tercer país u org anización internacional a otro te rcer país u otra organización intern acional. T odas las disposiciones del presente capítulo se aplicarán a fi n de asegurar que el nivel de prote cción de las personas físicas garant izado por el presente Reg lamento no se vea menoscabado. 4.5.2016 L 119/60 Diar io Oficial de la U nión Europea ES

71. CA PÍTULO VII Cooper ación y coher encia Sección 1 Cooperación y coherencia Ar tículo 60 Cooperación entre la autor idad de control pr incipal y las demás auto r idades de control interesadas 1. La autoridad de control pr incipal cooperará con las demás autor idades de control inter esadas de acuerdo con el present e ar tículo, esf orzándose por llegar a un consenso. La autor idad de control pr incipal y las autor idades de control inter esadas se interca mbiarán toda inf or mación per tinente. 2. La autoridad de control pr incipal podrá solicitar en cualquier momento a otras autori dades de control inter esadas que presten asiste ncia mutua con ar reg lo al ar tículo 61, y podrá llevar a cabo operaciones conjuntas con ar reg lo al ar tículo 62, en par ticular para realizar investig aciones o super visar la aplicación de una medida relativa a un responsable o un encarg ado del tratamiento establecido en otro Estado miembro. 3. La autoridad de control pr incipal comunicará sin dilación a las demás autoridades de control inter esadas la inf or mación per tinente a est e respecto. T ransmitirá sin dilación un pro yect o de decisión a las demás autori dades de control inter esadas para obtener su dictamen al respecto y ten drá debidamente en cuenta sus puntos de vista. 4. En caso de que cualquiera de las autori dades de control interesadas f or mule una objeción per tinente y motivada acerca del pro yect o de decisión en un plazo de cuatro semanas a par tir de la consulta con ar reg lo al apar tado 3 del present e ar tículo, la autori dad de control pr incipal somet erá el asunto, en caso de que no siga lo indicado en la objeción per tinente y motivada o estime que dic ha objeción no es per tinente o no está motivada, al mecanismo de coherencia conte mplado en el ar tículo 63. 5. En caso de que la autoridad de control pr incipal prevea seguir lo indicado en la objeción per tinente y motivada recibida, presentará a dictamen de las demás autori dades de control interesadas un pro y ecto de decisión revisado. Dic ho pro ye cto de decisión revisado se somet erá al procedimiento indicado en el apar tado 4 en un plazo de dos semanas. 6. En caso de que ninguna otra autoridad de control inter esada ha ya presentado objeciones al pro yect o de decisión transmitido por la autori dad de control pr incipal en el plazo indicado en los apar tados 4 y 5, se considerará que la autori dad de control pr incipal y las autori dades de control inte resadas están de acuerdo con dic ho pro y ecto de decisión y estarán vinculadas por este. 7. La autori dad de control pr incipal adop tará y notificará la decisión al establecimiento pr incipal o al establecimiento único del responsable o el encarg ado del tratamiento, según proceda, e inf or mará de la decisión a las autor idades de control interesadas y al Comité , incluyendo un resumen de los hechos per tinente s y la motivación. La autor idad de control ant e la que se ha ya presentado una reclamación inf or mará de la decisión al reclamante. 8. No obstante lo dispuest o en el apar tado 7, cuando se desestime o rechace una reclamación, la autor idad de control ant e la que se ha ya presentado adoptará la decisión, la notificará al reclamante e inf or mará de ello al responsable del tratamient o. 9. En caso de que la autori dad de control pr incipal y las autor idades de control inte resadas acuerden desestimar o rech azar deter minadas par tes de una reclamación y atende r otras par tes de ella, se adoptará una decisión separada para cada una de esas par te s del asunt o. La autoridad de control pr incipal adoptará la decisión respecto de la par te refe r ida a acciones en relación con el responsable del tratamient o, la notificará al establecimiento pr incipal o al único estableci ­ mient o del responsable o del encarg ado en el te r r it or io de su Estado miembro, e inf or mará de ello al reclamante , mientras que la autori dad de control del reclamante adoptará la decisión respecto de la par te relativa a la desestimación o rec hazo de dic ha reclamación, la notifi cará a dic ho reclamante e inf or mará de ello al responsable o al encarg ado. 10. T ras recibir la notificación de la decisión de la autoridad de control pr incipal con ar reg lo a los apar tados 7 y 9, el responsable o el encarg ado del tratamient o adop tará las medidas necesar ias para garant izar el cumpli miento de la decisión en lo toc ant e a las actividades de tratamient o en el conte xto de todos sus establecimiento s en la U nión. El responsable o el encarg ado notifi carán las medidas adoptadas para dar cumplimient o a dicha decisión a la autori dad de control pr incipal, que a su vez inf or mará a las autori dades de control inte resadas. 4.5.2016 L 119/71 Diar io Oficial de la U nión Europea ES

72. 11. En circunstancias excepcionales, cuando una autori dad de control inter esada te nga motivos para considerar que es urg ente inter venir para prote ger los inte reses de los inter esados, se aplicará el procedimiento de urgencia a que se refiere el ar tículo 66. 12. La autoridad de control pr incipal y las demás autoridades de control interesadas se f acilitarán recíprocament e la inf or mación requer ida en el marco del present e ar tículo por medios electrónicos, utilizando un f or mular io nor malizado. Ar tículo 61 Asistencia mutua 1. Las autori dades de control se facilitarán inf or mación útil y se prestarán asisten cia mutua a fi n de aplicar el present e Reg lamento de manera coherente, y tomarán medidas para asegurar una ef ectiva cooperación entre ellas. La asisten cia mutua abarcará, en par ticular , las solicitudes de inf or mación y las medidas de control, como las solicitudes para llevar a cabo autorizaciones y consultas previas, inspecciones e inv estigaciones. 2. Cada autori dad de control adoptará todas las medidas opor tunas requer idas para responder a una solicitud de otra autori dad de control sin dilación indebida y a más tardar en el plazo de un mes a par tir de la solicitud. Dichas medidas podrán incluir , en par ticular , la transmisión de inf or mación per tinente sobre el desar rollo de una inv estigación. 3. Las solicitudes de asiste ncia deberán conte ner toda la inf or mación necesar ia, entre otras cosas respecto de la finalidad y los motivos de la solicitud. La inf or mación que se intercambie se utilizará únicamente para el fi n para el que ha ya sido solicitada. 4. La autoridad de control requer ida no podrá negarse a responder a una solicitud, salvo si: a) no es compet ente en relación con el objeto de la solicitud o con las medidas cuya ejecución se solicita, o b) el hecho de responder a la solicitud infr ingiría el present e Reg lamento o el Derec ho de la Unión o de los Estados miembros que se aplique a la autori dad de control a la que se dir igió la solicitud. 5. La autori dad de control requer ida inf or mará a la autori dad de control requirente de los resultados obtenidos o, en su caso, de los progresos registrados o de las medidas adop tadas para responder a su solicitud. La autori dad de control requer ida explicará los motivos de su negativa a responder a una solicitud al amparo del apar tado 4. 6. Como nor ma g eneral, las autoridades de control requer idas f acilitarán la inf or mación solicitada por otras autori dades de control por medios electrónicos, utilizando un f or mato nor malizado. 7. Las autori dades de control requer idas no cobrarán tasa alguna por las medidas adopta das a raíz de una solicitud de asisten cia mutua. Las autori dades de control podrán convenir nor mas de indemnización recíproca por g astos específicos der ivados de la prestación de asistencia mutua en circunstancias excepci onales. 8. Cuando una autori dad de control no f acilite la inf or mación mencionada en el apar tado 5 del present e ar tículo en el plazo de un mes a par tir de la recepción de la solicitud de otra autori dad de control, la autori dad de control requirente podrá adoptar una medida pro visional en el terr itori o de su Estado miembro de conf or midad con lo dispuest o en el ar tículo 55, apar tado 1. En ese caso, se supondrá que existe la necesidad urg ente conte mplada en el ar tículo 66, apar tado 1, que exige una decisión urg ent e y vinculante del Comité en vir tud del ar tículo 66, apar tado 2. 9. La Comisión podrá, mediante actos de ejecución, especifi car el f or mato y los procedimientos de asistencia mutua conte mplados en el present e ar tículo, así como las modalidades del inte rcambio de inf or mación por medios electrónicos entre las autoridades de control y entre las autor idades de control y el Comité, en especial el f or mato nor malizado mencionado en el apar tado 6 del presente ar tículo. Dic hos actos de ejecución se adopt arán con ar reg lo al procedimiento de examen a que se refiere el ar tículo 93, apar tado 2. Ar tículo 62 Operaciones conjuntas de las auto r idades de control 1. Las autori dades de control realizarán, en su caso, operaciones conjuntas, incluidas inve stigaciones conjuntas y medidas de ejecución conjuntas, en las que par ticipen miembros o personal de las autori dades de control de otros Estados miembros. 4.5.2016 L 119/72 Diar io Oficial de la U nión Europea ES

48. Ar tículo 25 Protección de datos desde el diseño y por defect o 1. T eniendo en cuenta el estado de la técn ica, el coste de la aplicación y la naturaleza, ámbito, context o y fines del tratamient o, así como los r iesgos de diversa probabilidad y grav edad que entraña el tratamiento para los derechos y liber tades de las personas físicas, el responsable del tratamient o aplicará, tanto en el momento de det er minar los medios de tratamiento como en el momento del propio tratamient o, medidas técnicas y org anizativas apropiadas, como la seudonimización, concebidas para aplicar de f or ma ef ectiva los pr incipios de prote cción de dat os, como la minimización de datos, e integrar las garant ías necesar ias en el tratamient o, a fin de cumplir los requisitos del presente Reg lamento y prote ger los derechos de los inte resados. 2. El responsable del tratamiento aplicará las medidas técn icas y orga nizativas apropiadas con miras a garantizar que, por defect o, solo sean objeto de tratamient o los dat os personales que sean necesar ios para cada uno de los fi nes específicos del tratamiento. Esta oblig ación se aplicará a la cantidad de dat os personales recogidos, a la extensión de su tratamient o, a su plazo de conser vación y a su accesibilidad. T ales medidas g arantizarán en par ticular que, por defect o, los dat os personales no sean accesibles, sin la inte r vención de la persona, a un número indeter minado de personas físicas. 3. P odrá utilizarse un mecanismo de cer tif icación aprobado con ar reg lo al ar tículo 42 como elemento que acredit e el cumplim iento de las oblig aciones establecidas en los apar tados 1 y 2 del presente ar tículo. Ar tículo 26 Cor responsables del tratamiento 1. Cuando dos o más responsables det er minen conjuntamente los objetivos y los medios del tratamiento serán considerados cor responsables del tratamiento. Los cor responsables det er minarán de modo transparent e y de mutuo acuerdo sus responsabilidades respectivas en el cumplim iento de las obligaciones impuestas por el presente Reg lamento, en par ticular en cuanto al ejercicio de los derech os del inter esado y a sus respectivas oblig aciones de suministro de inf or mación a que se ref ieren los ar tículos 13 y 14, salv o, y en la medida en que, sus responsabilidades respectivas se r ijan por el Derecho de la U nión o de los Estados miembros que se les aplique a ellos. Dic ho acuerdo podrá designar un punt o de contacto para los inte resados. 2. El acuerdo indicado en el apar tado 1 ref lejará debidament e las funciones y relaciones respectivas de los cor respon ­ sables en relación con los interesados. Se pondrán a disposición del inte resado los aspect os esenciales del acuerdo. 3. Independient emente de los térm inos del acuerdo a que se ref iere el apar tado 1, los inte resados podrán ejercer los derechos que les reconoce el presente Reg lamento frente a, y en contra de, cada uno de los responsables. Ar tículo 27 Representantes de responsables o encargados del tratamiento no est ablecidos en la Unión 1. Cuando sea de aplicación el ar tículo 3, apar tado 2, el responsable o el encargado del tratamiento designará por escr it o un representante en la U nión. 2. La oblig ación establecida en el apar tado 1 del present e ar tículo no será aplicable: a) al tratamiento que sea ocasional, que no incluyan el manejo a gran escala de cate gorías especiales de datos indicadas en el ar tículo 9, apar tado 1, o de datos personales relativ os a condenas e infracciones penales a que se refiere el ar tículo 10, y que sea improbable que entrañe un r iesgo para los derech os y liber tades de las personas físicas, ten iendo en cuenta la naturaleza, cont exto, alcance y objetivos del tratamient o, o b) a las autori dades u orga nismos públicos. 4.5.2016 L 119/48 Diar io Oficial de la U nión Europea ES

67. b) las cualif icaciones y condiciones de idoneidad necesar ias para ser nombrado miembro de cada autori dad de control; c) las nor mas y los procedimientos para el nombramient o del miembro o miembros de cada autori dad de control; d) la duración del mandato del miembro o los miembros de cada autoridad de control, no infer ior a cuatro años, salvo el pr imer nombramient o posterior al 24 de ma y o de 2016, par te del cual podrá ser más breve cuando sea necesar io para proteg er la independencia de la autor idad de control por medio de un procedimiento de nombramiento escalonado; e) el carácter reno vable o no del mandato del miembro o los miembros de cada autori dad de control y , en su caso, el número de veces que podrá reno varse; f) las condiciones por las que se r igen las oblig aciones del miembro o los miembros y del personal de cada autori dad de control, las prohibiciones relativas a acciones, ocupaciones y prestaciones incompat ibles con el cargo durante el mandato y después del mismo, y las nor mas que r igen el cese en el emple o. 2. El miembro o miembros y el personal de cada autor idad de control estarán sujetos, de conf or midad con el Derecho de la U nión o de los Estados miembros, al deber de secreto profe sional, tanto durante su mandato como después del mismo, con relación a las inf or maciones conf idenciales de las que ha yan ten ido conocimiento en el cumplim iento de sus funciones o el ejercicio de sus poderes. Durante su mandato, dic ho deber de secreto profes ional se aplicará en par ticular a la inf or mación recibida de personas físicas en relación con infracciones del present e Reg lamento. Sección 2 Competencia, funciones y poderes Ar tículo 55 Competencia 1. Cada autoridad de control será compet ent e para desem peñar las funciones que se le asignen y ejercer los poderes que se le conf ieran de conf or midad con el present e Reg lamento en el terr it or io de su Estado miembro. 2. Cuando el tratamiento sea ef ectuado por autori dades públicas o por orga nismos pr ivados que actúen con ar reg lo al ar tículo 6, apar tado 1, letras c) o e), será compet ent e la autori dad de control del Estado miembro de que se trate. No será aplicable en tales casos el ar tículo 56. 3. Las autoridades de control no serán compet entes para controlar las operaciones de tratamient o efectuadas por los tr ibunales en el ejercicio de su función judicial. Ar tículo 56 Competencia de la autor idad de control pr incipal 1. Sin per juicio de lo dispuest o en el ar tículo 55, la autoridad de control del establecimiento pr incipal o del único establecimiento del responsable o del encargado del tratamiento será compet ent e para actuar como autori dad de control pr incipal para el tratamiento transfronterizo realizado por par te de dic ho responsable o encarg ado con ar reg lo al procedimiento establecido en el ar tículo 60. 2. No obstante lo dispuesto en el apar tado 1, cada autori dad de control será compet ent e para tratar una reclamación que le sea presentada o una posible infracción del present e Reg lamento, en caso de que se refie ra únicamente a un establecimiento situado en su Estado miembro o únicamente afect e de manera sustancial a inter esados en su Estado miembro. 3. En los casos a que se refiere el apar tado 2 del present e ar tículo, la autori dad de control inf or mará sin dilación al respecto a la autori dad de control pr incipal. En el plazo de tres semanas después de haber sido inf or mada, la autori dad de control pr incipal decidirá si tratará o no el caso de conf or midad con el procedimiento establecido en el ar tículo 60, ten iendo presente si existe un establecimiento del responsable o encargado del tratamient o en el Estado miembro de la autori dad de control que le ha ya inf or mado. 4.5.2016 L 119/67 Diar io Oficial de la U nión Europea ES

73. 2. Si el responsable o el encargado del tratamient o tiene establecimientos en var ios Estados miembros o si es probable que un número signif icativ o de inte resados en más de un Estado miembro se vean sustancialmente afectados por las operaciones de tratamiento, una autor idad de control de cada uno de esos Estados miembros ten drá derecho a par ticipar en operaciones conjuntas. La autoridad de control que sea compe tent e en vir tud del ar tículo 56, apar tados 1 o 4, invitará a la autori dad de control de cada uno de dichos Estados miembros a par ticipar en las operaciones conjuntas y responderá sin dilación a la solicitud de par ticipación presentada por una autoridad de control. 3. U na autor idad de control podrá, con ar reg lo al Derech o de su Estado miembro y con la autori zación de la autori dad de control de or igen, confe r ir poderes, incluidos poderes de inve stigación, a los miembros o al personal de la autori dad de control de or igen que par ticipen en operaciones conjuntas, o acep tar , en la medida en que lo per mita el Derecho del Estado miembro de la autoridad de control de acogida, que los miembros o el personal de la autor idad de control de or igen ejerzan sus poderes de inv estigación de conf or midad con el Derech o del Estado miembro de la autori dad de control de or igen. Dic hos poderes de investig ación solo podrán ejercerse baj o la or ientación y en presencia de miembros o personal de la autori dad de control de acogida. Los miembros o el personal de la autori dad de control de or igen estarán sujetos al Derecho del Estado miembro de la autori dad de control de acogida. 4. Cuando par ticipe, de conf or midad con el apar tado 1, personal de la autoridad de control de or igen en operaciones en otro Estado miembro, el Estado miembro de la autori dad de control de acogida asumirá la responsabilidad de acuerdo con el Derech o del Estado miembro en cuy o terr itori o se desar rollen las operaciones, por los daños y per juicios que ha ya causado dicho personal en el transcurso de las mismas. 5. El Estado miembro en cuy o te r r it or io se causaron los daños y per juicios asumirá su reparación en las condiciones aplicables a los daños y per juicios causados por su propio personal. El Estado miembro de la autori dad de control de or igen cuy o personal ha ya causado daños y per juicios a cualquier persona en el terr itori o de otro Estado miembro le restituirá íntegram ente los impor te s que este último ha ya abonado a los derechoh abientes. 6. Sin per juicio del ejercicio de sus derechos frente a te rceros y habida cuenta de la excepci ón establecida en el apar tado 5, los Estados miembros renunciarán, en el caso contem plado en el apar tado 1, a solicitar de otro Estado miembro el reembolso del im por te de los daños y per juicios mencionados en el apar tado 4. 7. Cuando se prevea una operación conjunta y una autoridad de control no cumpla en el plazo de un mes con la oblig ación establecida en el apar tado 2, segunda frase, del present e ar tículo, las demás autoridades de control podrán adopta r una medida pro visional en el terr itori o de su Estado miembro de conf or midad con el ar tículo 55. En ese caso, se presumirá la existencia de una necesidad urg ent e a ten or del ar tículo 66, apar tado 1, y se requer irá dictamen o decisión vinculante urg ente del Comit é en vir tud del ar tículo 66, apar tado 2. Sección 2 Coherencia Ar tículo 63 Mecanismo de coherencia A fi n de contr ibuir a la aplicación coherent e del present e Reg lamento en tod a la Unión, las autoridades de control cooperarán entre sí y , en su caso, con la Comisión, en el marco del mecanismo de coherencia establecido en la presente sección. Ar tículo 64 Dictamen del Comité 1. El Comit é emitirá un dictamen siempre que una autor idad de control compet ent e pro y ecte adopt ar alguna de las medidas enumeradas a continuación. A tal fin, la autori dad de control compet ent e comunicará el pro yect o de decisión al Comité , cuando la decisión: a) ten ga por objeto adoptar una lista de las operaciones de tratamiento supeditadas al requisit o de la evaluación de im pacto relativa a la protección de datos de conf or midad con el ar tículo 35, apar tado 4; b) af ecte a un asunt o de conf or midad con el ar tículo 40, apar tado 7, cuy o objeto sea det er minar si un pro ye cto de código de conducta o una modificación o ampli ación de un código de conducta es conf or me con el present e Reg lamento; 4.5.2016 L 119/73 Diar io Oficial de la U nión Europea ES

43. Ar tículo 15 Derecho de acceso del interesado 1. El inter esado te ndrá derecho a obtener del responsable del tratamiento conf ir mación de si se están tratando o no dat os personales que le concier nen y , en tal caso, derech o de acceso a los dat os personales y a la siguient e inf or mación: a) los fines del tratamiento; b) las categorías de datos personales de que se trate; c) los destinatar ios o las cate gorías de destinatar ios a los que se comunicaron o serán comunicados los datos personales, en par ticular destinatar ios en terceros u org anizaciones internacional es; d) de ser posible, el plazo previsto de conser vación de los dat os personales o, de no ser posible, los cr it er ios utilizados para det er minar este plazo; e) la existen cia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamient o de datos personales relativ os al inte resado, o a oponerse a dicho tratamiento; f) el derecho a presentar una reclamación ant e una autori dad de control; g) cuando los dat os personales no se ha yan obtenido del inte resado, cualquier inf or mación disponible sobre su or igen; h) la existencia de decisiones automatizad as, incluida la elaboración de perf iles, a que se ref iere el ar tículo 22, apar tados 1 y 4, y , al menos en tales casos, inf or mación significativa sobre la lógica aplicada, así como la im por tancia y las consecuencias previstas de dic ho tratamiento para el interesado. 2. Cuando se transfieran dat os personales a un te rcer país o a una organización internacional, el inte resado te ndrá derecho a ser inf or mado de las g arantías adecuadas en vir tud del ar tículo 46 relativas a la transfe rencia. 3. El responsable del tratamient o facilitará una copia de los dat os personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el inte resado un canon razonable basado en los costes adminis ­ trativ os. Cuando el interesado present e la solicitud por medios electrónicos, y a menos que est e solicite que se fa cilite de otro modo, la inf or mación se fa cilitará en un f or mato electrónico de uso común. 4. El derecho a obtener copia mencionado en el apar tado 3 no afectará negativamen te a los derechos y liber tades de otros. Sección 3 Rectif icación y supresión Ar tículo 16 Derecho de rectif icación El inte resado ten drá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los dat os personales inexact os que le concier nan. T eniendo en cuenta los fi nes del tratamiento, el interesado ten drá derecho a que se complet en los datos personales que sean incomplet os, inclusive mediante una declaración adicional. Ar tículo 17 Derecho de supresión («el derecho al olvido») 1. El inter esado tendrá derecho a obte ner sin dilación indebida del responsable del tratamient o la supresión de los dat os personales que le concier nan, el cual estará obligado a supr imir sin dilación indebida los dat os personales cuando concur ra alguna de las circunstancias siguiente s: a) los datos personales ya no sean necesar ios en relación con los fine s para los que fueron recogidos o tratados de otro modo; 4.5.2016 L 119/43 Diar io Oficial de la U nión Europea ES

66. Ar tículo 52 Independencia 1. Cada autoridad de control actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes de conf or midad con el present e Reg lamento. 2. El miembro o los miembros de cada autoridad de control serán aj enos, en el desempeño de sus funciones y en el ejercicio de sus poderes de conf or midad con el present e Reg lamento, a tod a inf luencia extern a, ya sea directa o indirecta, y no solicitarán ni admitirán ninguna instr ucción. 3. El miembro o los miembros de cada autori dad de control se abst endrán de cualquier acción que sea incompati ble con sus funciones y no par ticiparán, mientras dure su mandato, en ninguna actividad profesio nal que sea incompati ble, remunerada o no. 4. Cada Estado miembro garantizará que cada autori dad de control disponga en tod o momento de los recursos humanos, técn icos y fi nancieros, así como de los locales y las infraestr ucturas necesar ios para el cumplimient o ef ectivo de sus funciones y el ejercicio de sus poderes, incluidos aquellos que ha ya de ejercer en el marco de la asisten cia mutua, la cooperación y la par ticipación en el Comité. 5. Cada Estado miembro garantizará que cada autor idad de control elija y disponga de su propio personal, que estará sujeto a la autori dad excl usiva del miembro o miembros de la autori dad de control inter esada. 6. Cada Estado miembro garant izará que cada autori dad de control esté sujeta a un control fi nanciero que no afect e a su independencia y que disponga de un presupuesto anual, público e independiente, que podrá f or mar par te del presupuesto g eneral del Estado o de otro ámbito nacional. Ar tículo 53 Condiciones generales aplicables a los miembros de la auto r idad de control 1. Los Estados miembros dispondrán que cada miembro de sus autori dades de control sea nombrado mediante un procedimiento transparent e por: — su Parlament o, — su Gobier no, — su Jefe de Estado, o — un org anismo independiente encarg ado del nombramient o en vir tud del Derec ho de los Estados miembros. 2. Cada miembro poseerá la titulación, la exper iencia y las aptitudes, en par ticular en el ámbito de la prot ección de dat os personales, necesar ias para el cumpli miento de sus funciones y el ejercicio de sus poderes. 3. Los miembros darán por concluidas sus funciones en caso de te r minación del mandato, dimisión o jubilación oblig atori a, de conf or midad con el Derecho del Estado miembro de que se trat e. 4. U n miembro será destituido únicamente en caso de conducta ir regular grave o si deja de cumplir las condiciones exigidas en el desempeño de sus funciones. Ar tículo 54 Nor mas relativas al est ablecimiento de la autor idad de control 1. Cada Estado miembro establecerá por ley todos los element os indicados a continuación: a) el establecimiento de cada autori dad de control; 4.5.2016 L 119/66 Diar io Oficial de la U nión Europea ES

35. 22) «autori dad de control interesada»: la autori dad de control a la que af ecta el tratamiento de dat os personales debido a que: a) el responsable o el encargado del tratamiento está establecido en el te r r it or io del Estado miembro de esa autor idad de control; b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamient o, o c) se ha presentado una reclamación ant e esa autori dad de control; 23) «tratamiento transfronteri zo»: a) el tratamiento de dat os personales realizado en el context o de las actividades de establecimiento s en más de un Estado miembro de un responsable o un encarga do del tratamiento en la U nión, si el responsable o el encarg ado está establecido en más de un Estado miembro, o b) el tratamient o de dat os personales realizado en el cont exto de las actividades de un único establecimiento de un responsable o un encargado del tratamient o en la U nión, pero que afecta sustancialment e o es probable que afect e sustancialmente a inter esados en más de un Estado miembro; 24) «objeción per tinente y motivada»: la objeción a una propuesta de decisión sobre la existencia o no de infracción del presente Reg lamento, o sobre la conf or midad con el present e Reg lamento de acciones previstas en relación con el responsable o el encarg ado del tratamiento, que demuestre clarament e la im por tancia de los r iesgos que entraña el pro y ecto de decisión para los derechos y liber tades fundamentales de los inter esados y , en su caso, para la libre circulación de dat os personales dentro de la Unión; 25) «ser vicio de la sociedad de la inf or mación»: todo ser vicio conf or me a la def inición del ar tículo 1, apar tado 1, letra b), de la Directiva (UE) 2015/1535 del P arlamento Europeo y del Consejo ( 1 ); 26) «organización internacional»: una organización intern acional y sus ent es subordinados de Derecho inte r nacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en vir tud de tal acuerdo. CA PÍTULO II Pr incipios Ar tículo 5 Pr incipios relativ os al tratamiento 1. Los dat os personales serán: a) tratados de manera lícita, leal y transparent e en relación con el inter esado («licitud, lealtad y transparencia»); b) recogidos con fine s det er minados, explícitos y legítimos, y no serán tratados ult er ior mente de manera incompati ble con dic hos fi nes; de acuerdo con el ar tículo 89, apar tado 1, el tratamiento ult er ior de los dat os personales con fi nes de archiv o en inte rés público, fi nes de investig ación científica e histó r ica o f ines estadísticos no se considerará incompati ble con los fine s iniciales («limitación de la finalidad »); c) adecuados, per tinentes y limitados a lo necesar io en relación con los fine s para los que son tratados («minimización de datos») ; d) exactos y , si fuera necesar io, actualizados; se adop tarán tod as las medidas razonables para que se supr iman o rectifiq uen sin dilación los dat os personales que sean inexactos con respecto a los fi nes para los que se tratan («exactitud»); 4.5.2016 L 119/35 Diar io Oficial de la U nión Europea ES ( 1 ) Directiva (UE) 2015/1535 del P arlamento Europeo y del Consejo, de 9 de sep tiembre de 2015, por la que se establece un procedimiento de inf or mación en mat er ia de reg lamentaciones técn icas y de reg las relativas a los ser vicios de la sociedad de la inf or mación (DO L 241 de 17.9.2015, p. 1).

79. Ar tículo 74 F unciones del presidente 1. El president e desempe ñará las siguient es funciones: a) conv ocar las reuniones del Comité y preparar su orden del día; b) notificar las decisiones adoptadas por el Comité con ar reg lo al ar tículo 65 a la autoridad de control pr incipal y a las autori dades de control interesadas; c) g arantizar el ejercicio puntual de las funciones del Comité, en par ticular en relación con el mecanismo de coherencia a que se refie re el ar tículo 63. 2. El Comité det er minará la distr ibución de funciones entre el president e y los vicepresidentes en su reg lamento interno. Ar tículo 75 Secretaría 1. El Comit é contará con una secretaría, de la que se hará cargo el Super visor Europeo de Protecci ón de Dat os. 2. La secretaría ejercerá sus funciones siguiendo exclusivament e las instr ucciones del presidente del Comité. 3. El personal del Super visor Europeo de Protección de Dat os que par ticipe en el desemp eño de las funciones conferidas al Comité por el present e Reg lamento dependerá de un super ior jerárquico distint o del personal que desempeñe las funciones conferi das al Super visor Europeo de Prote cción de Datos. 4. El Comité, en consulta con el Super visor Europeo de Prot ección de Datos, elaborará y publicará, si procede, un memorando de ent endimiento para la puesta en práctica del presente ar tículo, que det er minará los térm inos de su cooperación y que será aplicable al personal del Super visor Europeo de Prote cción de Dat os que par ticipe en el desempeño de las funciones conferidas al Comité por el present e Reg lamento. 5. La secretaría prestará apo y o analítico, administrativo y logístico al Comité . 6. La secretaría será responsable, en par ticular , de: a) los asunt os cor r ientes del Comité; b) la comunicación entre los miembros del Comité , su presidente y la Comisión; c) la comunicación con otras instituciones y con el público; d) la utilización de medios electrónicos para la comunicación inte r na y extern a; e) la traducción de la inf or mación per tinente; f) la preparación y el seguimiento de las reuniones del Comit é; g) la preparación, redacción y publicación de dictámenes, decisiones relativas a solución de diferencias entre autoridades de control y otros text os adop tados por el Comit é. Ar tículo 76 Conf idencialidad 1. Los debates del Comité serán confidenciales cuando el mismo lo considere necesar io, tal como establezca su reg lamento interno . 4.5.2016 L 119/79 Diar io Oficial de la U nión Europea ES

27. cualquier otro tr ibunal distinto de aquel ant e el cual se ejercitó la acción en pr imer lugar puede suspender el procedimiento o, a instancia de una de las par tes, inhibirse a fa v or del tr ibunal ant e el cual se ejercitó la acción en pr imer luga r si este último es compet ente para su conocimiento y su acumulación es conf or me a Derech o. Se consideran conexas las acciones vinculadas entre sí por una relación tan estrecha que procede tramitarlas y resolverlas conjuntamente a fi n de evitar resoluciones que podrían ser incompatibles si se sustanciaran como causas separadas. (145) P or lo que respecta a las acciones contra los responsables o encarg ados del tratamiento, el reclamant e debe ten er la opción de ejercitarlas ant e los tr ibunales de los Estados miembros en los que el responsable o el encarg ado ten ga un establecimiento o resida el inter esado, a menos que el responsable sea una autori dad pública de un Estado miembro que actúe en el ejercicio de poderes públicos. (146) El responsable o el encarg ado del tratamient o debe indemnizar cualesquiera daños y per juicios que pueda sufr ir una persona como consecuencia de un tratamient o en infracción del present e Reg lamento. El responsable o el encarg ado deben quedar exen tos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y per juicios. El concept o de daños y per juicios debe interpretar se en sentido am plio a la luz de la jur ispr u ­ dencia del T r ibunal de Justicia, de tal modo que se respeten plenamente los objetivos del present e Reg lamento. Lo ant er ior se entiende sin per juicio de cualquier reclamación por daños y per juicios der ivada de la vulneración de otras nor mas del Derecho de la U nión o de los Estados miembros. Un tratamient o en infracción del present e Reg lamento también incluye aquel tratamiento que infr inge actos delegad os y de ejecución adoptado s de conf or midad con el presente Reg lamento y el Derecho de los Estados miembros que especifique las nor mas del present e Reg lamento. Los interesados deben recibir una indemnización total y efectiva por los daños y per juicios sufr idos. Si los responsables o encargados par ticipan en el mismo tratamient o, cada responsable o encarg ado debe ser considerado responsable de la totalidad de los daños y per juicios. No obstante, si se acumulan en la misma causa de conf or midad con el Derech o de los Estados miembros, la indemnización puede pror rate arse en función de la responsabilidad de cada responsable o encargado por los daños y per juicios causados por el tratamient o, siempre que se garantice la indemnización total y efectiva del inter esado que sufr ió los daños y per juicios. T odo responsable o encarg ado que ha ya abonado la totalidad de la indemnización puede interponer recurso post er ior mente contra otros responsables o encargados que ha yan par ticipado en el mismo tratamiento. (147) En los casos en que el present e Reg lamento contiene nor mas específicas sobre compet encia judicial, en par ticular por lo que respecta a las acciones que tratan de obtener satisfacción por la vía judicial, incluida la indemnización, contra un responsable o encarg ado del tratamiento, las nor mas generales de compet encia judicial como las establecidas en el Reg lamento (UE) n. o 1215/2012 del P arlamento Europeo y del Consejo ( 1 ) deben ent enderse sin per juicio de la aplicación de dichas nor mas específicas. (148) A fi n de ref orzar la aplicación de las nor mas del present e Reg lamento, cualquier infracción de este debe ser castiga da con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autori dad de control en vir tud del presente Reg lamento, o en sustitución de estas. En caso de infracción leve, o si la multa que probablement e se impus iera constituyes e una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede im ponerse un apercibimient o. Debe no obstante prestarse especial ate nción a la naturaleza, grav edad y duración de la infracción, a su caráct er intenc ional, a las medidas tomad as para paliar los daños y per juicios sufr idos, al grado de responsabilidad o a cualquier infracción ant er ior per tinente, a la f or ma en que la autori dad de control ha ya te nido conocimient o de la infracción, al cumpli miento de medidas ordenadas contra el responsable o encarga do, a la adhesión a códigos de conducta y a cualquier otra circunstancia agrav ant e o atenuant e. La im posición de sanciones, incluidas las multas administrativas, debe estar sujeta a g arantías procesales sufi cient es conf or me a los pr incipios generales del Derecho de la Unión y de la Car ta, entre ellas el derech o a la tute la judicial efectiva y a un proceso con todas las garant ías. (149) Los Estados miembros deben ten er la posibilidad de establecer nor mas en mater ia de sanciones penales por infracciones del presente Reg lamento, incluidas las infracciones de nor mas nacionales adop tadas con ar reg lo a él y dentro de sus límites . Dic has sanciones penales pueden asimismo autor izar la pr ivación de los benefi cios obteni dos en infracción del presente Reg lamento. No obstante, la imposición de sanciones penales por infracciones de dic has nor mas nacionales y de sanciones administrativas no debe entrañar la vulneración del pr incipio ne bis in idem , según la inte r pretación del T r ibunal de Justicia. (150) A fin de ref orzar y ar monizar las sanciones administrativas por infracción del present e Reg lamento, cada autori dad de control debe estar facultada para im poner multas administrativas. El presente Reg lamento debe 4.5.2016 L 119/27 Diar io Oficial de la U nión Europea ES ( 1 ) Reg lamento (UE) n. o 1215/2012 del P arlamento Europeo y del Consejo, de 12 de diciembre de 2012, relativo a la compet encia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil (DO L 351 de 20.12.2012, p. 1).

45. 3. T odo inter esado que ha ya obtenido la limitación del tratamient o con ar reg lo al apar tado 1 será inf or mado por el responsable ant es del levantamiento de dic ha limitación. Ar tículo 19 Obligación de notif icación relativa a la rectif icación o supresión de datos personales o la limit ación del trata mient o El responsable del tratamient o comunicará cualquier rectifi cación o supresión de datos personales o limitación del tratamient o efectuada con ar reg lo al ar tículo 16, al ar tículo 17, apar tado 1, y al ar tículo 18 a cada uno de los destina ­ tar ios a los que se ha yan comunicado los dat os personales, salv o que sea im posible o exija un esfuerzo despropor ­ cionado. El responsable inf or mará al inte resado acerca de dichos destinatar ios, si est e así lo solicita. Ar tículo 20 Derecho a la por tabilid ad de los datos 1. El inter esado ten drá derecho a recibir los datos personales que le incumban, que ha ya f acilitado a un responsable del tratamient o, en un f or mato estr ucturado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamient o sin que lo im pida el responsable al que se los hubiera fa cilitado, cuando: a) el tratamiento est é basado en el consentimiento con ar reg lo al ar tículo 6, apar tado 1, letra a), o el ar tículo 9, apar tado 2, letra a), o en un contrato con ar reg lo al ar tículo 6, apar tado 1, letra b), y b) el tratamient o se efectúe por medios automatizados. 2. Al ejercer su derecho a la por tabilidad de los datos de acuerdo con el apar tado 1, el inte resado tendrá derecho a que los dat os personales se transmitan directamente de responsable a responsable cuando sea técn icamente posible. 3. El ejercicio del derecho mencionado en el apar tado 1 del present e ar tículo se entenderá sin per juicio del ar tículo 17. T al derecho no se aplicará al tratamient o que sea necesar io para el cumpli miento de una misión realizada en inter és público o en el ejercicio de poderes públicos conferidos al responsable del tratamient o. 4. El derech o mencionado en el apar tado 1 no af ectará negat ivamente a los derechos y liber tades de otros. Sección 4 Derecho de oposición y decisiones individuales automatizadas Ar tículo 21 Derecho de oposición 1. El interesado ten drá derecho a oponerse en cualquier momento, por motivos relacionados con su situación par ticular , a que dat os personales que le concier nan sean objeto de un tratamient o basado en lo dispuesto en el ar tículo 6, apar tado 1, letras e) o f), incluida la elaboración de perf iles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los dat os personales, salv o que acredit e motivos legítimos im per iosos para el tratamient o que prevalezcan sobre los inte reses, los derechos y las liber tades del inte resado, o para la f or mulación, el ejercicio o la defensa de reclamaciones. 2. Cuando el tratamiento de datos personales teng a por objeto la mercadot ecnia directa, el inte resado ten drá derecho a oponerse en tod o momento al tratamient o de los datos personales que le concier nan, incluida la elaboración de perf iles en la medida en que est é relacionada con la citada mercadotecnia. 3. Cuando el inter esado se opong a al tratamiento con f ines de mercadotecnia directa, los datos personales dejarán de ser tratados para dic hos fines. 4.5.2016 L 119/45 Diar io Oficial de la U nión Europea ES

81. Ar tículo 80 Representación de los interesados 1. El inter esado te ndrá derecho a dar mandat o a una entidad, organización o asociación sin ánimo de lucro que ha ya sido cor rectamente constituida con ar reg lo al Derecho de un Estado miembro, cuy os objetiv os estatutar ios sean de inter és público y que actúe en el ámbito de la prote cción de los derech os y liber tades de los interesados en mater ia de prote cción de sus datos personales, para que present e en su nombre la reclamación, y ejerza en su nombre los derechos conte mplados en los ar tículos 77, 78 y 79, y el derecho a ser indemnizado mencionado en el ar tículo 82 si así lo establece el Derecho del Estado miembro. 2. Cualquier Estado miembro podrán disponer que cualquier entidad, organización o asociación mencionada en el apar tado 1 del presente ar tículo teng a, con independencia del mandat o del interesado, derecho a presentar en ese Estado miembro una reclamación ant e la autor idad de control que sea compet ent e en vir tud del ar tículo 77 y a ejercer los derechos cont emplados en los ar tículos 78 y 79, si considera que los derech os del inter esado con ar reg lo al present e Reg lamento han sido vulnerados como consecuencia de un tratamiento. Ar tículo 81 Suspensión de los procedimientos 1. Cuando un tr ibunal compet ente de un Estado miembro ten ga inf or mación de la pendencia ant e un tr ibunal de otro Estado miembro de un procedimiento relativ o a un mismo asunto en relación con el tratamiento por el mismo responsable o encarg ado, se pondrá en contact o con dicho tr ibunal de otro Estado miembro para confir mar la existen cia de dic ho procedimiento . 2. Cuando un procedimiento relativ o a un mismo asunt o en relación con el tratamiento por el mismo responsable o encarg ado esté pendiente ant e un tr ibunal de otro Estado miembro, cualquier tr ibunal compet ent e distinto de aquel ante el que se ejercitó la acción en pr imer lugar podrá suspender su procedimiento . 3. Cuando dic ho procedimiento esté pendiente en pr imera instancia, cualquier tr ibunal distinto de aquel ante el que se ejercitó la acción en pr imer lug ar podrá también, a instancia de una de las par te s, inhibirse en caso de que el pr imer tr ibunal sea compet ent e para su conocimiento y su acumulación sea conf or me a Derech o. Ar tículo 82 Derecho a indemnización y responsabilidad 1. T oda persona que ha ya sufr ido daños y per juicios mater iales o inmater iales como consecuencia de una infracción del presente Reg lamento ten drá derecho a recibir del responsable o el encarga do del tratamient o una indemnización por los daños y per juicios sufr idos. 2. Cualquier responsable que par ticipe en la operación de tratamient o responderá de los daños y per juicios causados en caso de que dic ha operación no cumpla lo dispuesto por el present e Reg lamento. Un encargado únicamente responderá de los daños y per juicios causados por el tratamient o cuando no ha ya cumplid o con las oblig aciones del present e Reg lamento dir igidas específi camente a los encarg ados o ha ya actuado al margen o en contra de las instr uc ­ ciones legales del responsable. 3. El responsable o encargado del tratamient o estará exen to de responsabilidad en vir tud del apar tado 2 si demuestra que no es en modo alguno responsable del hecho que ha ya causado los daños y per juicios. 4. Cuando más de un responsable o encarg ado del tratamiento, o un responsable y un encargado ha yan par ticipado en la misma operación de tratamiento y sean, con ar reg lo a los apar tados 2 y 3, responsables de cualquier daño o per juicio causado por dicho tratamient o, cada responsable o encarg ado será considerado responsable de todos los daños y per juicios, a fi n de garantizar la indemnización ef ectiva del interesado. 5. Cuando, de conf or midad con el apar tado 4, un responsable o encarg ado del tratamiento ha ya pagado una indemni ­ zación total por el per juicio ocasionado, dicho responsable o encargado te ndrá derecho a reclamar a los demás responsables o encargados que ha yan par ticipado en esa misma operación de tratamiento la par te de la indemnización cor respondiente a su par te de responsabilidad por los daños y per juicios causados, de conf or midad con las condiciones fijadas en el apar tado 2. 4.5.2016 L 119/81 Diar io Oficial de la U nión Europea ES

83. 5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apar tado 2, con multas adminis ­ trativas de 20 000 000 EUR como máximo o, tratándose de una emp resa, de una cuantía equivalent e al 4 % como máximo del volumen de negocio total anual g lobal del ejercicio financiero ant er ior , op tándose por la de ma y or cuantía: a) los pr incipios básicos para el tratamient o, incluidas las condiciones para el consentimient o a te nor de los ar tículos 5, 6, 7 y 9; b) los derechos de los interesados a ten or de los ar tículos 12 a 22; c) las transferencias de datos personales a un destinatar io en un ter cer país o una org anización internacional a ten or de los ar tículos 44 a 49; d) toda obligación en vir tud del Derecho de los Estados miembros que se adopt e con ar reg lo al capítulo IX; e) el incumpli miento de una resolución o de una limitación te mporal o def initiva del tratamiento o la suspensión de los f lujos de datos por par te de la autoridad de control con ar reg lo al ar tículo 58, apar tado 2, o el no f acilitar acceso en incumpli miento del ar tículo 58, apar tado 1. 6. El incumplimient o de las resoluciones de la autori dad de control a ten or del ar tículo 58, apar tado 2, se sancionará de acuerdo con el apar tado 2 del present e ar tículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del v olumen de negocio total anual g lobal del ejercicio financiero ant er ior , op tándose por la de ma y or cuantía. 7. Sin per juicio de los poderes cor rectivos de las autori dades de control en vir tud del ar tículo 58, apar tado 2, cada Estado miembro podrá establecer nor mas sobre si se puede, y en qué medida, im poner multas administrativas a autori dades y org anismos públicos establecidos en dicho Estado miembro. 8. El ejercicio por una autori dad de control de sus poderes en vir tud del present e ar tículo estará sujeto a g arantías procesales adecuadas de conf or midad con el Derecho de la U nión y de los Estados miembros, entre ellas la tutela judicial ef ectiva y el respeto de las garantías procesales. 9. Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, el present e ar tículo podrá aplicarse de tal modo que la incoación de la multa cor responda a la autoridad de control compet ent e y su im posición a los tr ibunales nacionales compe tent es, garant izando al mismo tiempo que estas vías de derecho sean ef ectivas y teng an un ef ecto equivalente a las multas administrativas im puestas por las autoridades de control. En cualquier caso, las multas impuestas serán efectivas, proporcionadas y disuasor ias. Los Estados miembros de que se trat e notificarán a la Comisión las disposiciones legislativas que adop ten en vir tud del present e apar tado a más tardar el 25 de ma y o de 2018 y , sin dilación, cualquier ley de modificación o modific ación post er ior que les sea aplicable. Ar tículo 84 Sanciones 1. Los Estados miembros establecerán las nor mas en mater ia de otras sanciones aplicables a las infracciones del present e Reg lamento, en par ticular las infracciones que no se sancionen con multas administrativas de conf or midad con el ar tículo 83, y adopta rán tod as las medidas necesar ias para g arantizar su obser vancia. Dic has sanciones serán ef ectivas, proporcionadas y disuasor ias. 2. Cada Estado miembro notifi cará a la Comisión las disposiciones legislativas que adopt e de conf or midad con el apar tado 1 a más tardar el 25 de ma y o de 2018 y , sin dilación, cualquier modific ación poste r ior que les sea aplicable. CAPÍTULO IX Disposiciones r elativ as a situaciones específicas de tr atamiento Ar tículo 85 T ratamiento y liber tad de expresión y de informa ción 1. Los Estados miembros conciliarán por ley el derecho a la prot ección de los datos personales en vir tud del present e Reg lamento con el derech o a la liber tad de expresión y de inf or mación, incluido el tratamient o con fi nes per iodísticos y fine s de expresión académica, ar tística o lite rar ia. 4.5.2016 L 119/83 Diar io Oficial de la U nión Europea ES

78. t) emitirá dictámenes sobre los pro y ectos de decisión de las autor idades de control en vir tud del mecanismo de coherencia mencionado en el ar tículo 64, apar tado 1, sobre los asunt os presentados en vir tud del ar tículo 64, apar tado 2, y sobre las decisiones vinculante s en vir tud del ar tículo 65, incluidos los casos mencionados en el ar tículo 66; u) promo verá la cooperación y los inter cambios bilate rales y multilat erales ef ectivos de inf or mación y de buenas prácticas entre las autori dades de control; v) promo verá programas de f or mación comunes y f acilitará inter cambios de personal entre las autoridades de control y , cuando proceda, con las autori dades de control de ter ceros países o con orga nizaciones inte r nacionales; w) promo verá el intercambio de conocimientos y documentación sobre legislación y prácticas en mate r ia de protección de datos con las autori dades de control encarg adas de la protección de dat os a escala mundial; x) emitirá dictámenes sobre los códigos de conducta elaborados a escala de la U nión de conf or midad con el ar tículo 40, apar tado 9, y y) llevará un registro electrónico, de acceso público, de las decisiones adopt adas por las autori dades de control y los tr ibunales sobre los asunt os tratados en el marco del mecanismo de coherencia. 2. Cuando la Comisión solicite asesoramiento del Comité podrá señalar un plazo ten iendo en cuenta la urg encia del asunt o. 3. El Comité transmitirá sus dictámenes, directr ices, recomendaciones y buenas prácticas a la Comisión y al Comité conte mplado en el ar tículo 93, y los hará públicos. 4. Cuando proceda, el Comité consultará a las par tes inte resadas y les dará la opor tunidad de presentar sus comentar ios en un plazo razonable. Sin per juicio de lo dispuesto en el ar tículo 76, el Comité publicará los resultados del procedimiento de consulta. Ar tículo 71 Inf or mes 1. El Comité elaborará un inf or me anual en mater ia de protección de las personas físicas en lo que respecta al tratamient o en la U nión y , si procede, en te rceros países y org anizaciones inte r nacionales. El inf or me se hará público y se transmitirá al P arlament o Europeo, al Consejo y a la Comisión. 2. El inf or me anual incluirá un examen de la aplicación práctica de las directr ices, recomendaciones y buenas prácticas indicadas en el ar tículo 70, apar tado 1, letra l), así como de las decisiones vinculante s indicadas en el ar tículo 65. Ar tículo 72 Procedimiento 1. El Comit é tomar á sus decisiones por ma y oría sim ple de sus miembros, salv o que el present e Reg lamento disponga otra cosa. 2. El Comité adop tará su reg lamento interno por ma y oría de dos ter cios de sus miembros y org anizará sus disposi ­ ciones de funcionamiento. Ar tículo 73 Presidencia 1. El Comit é elegirá por ma y oría sim ple de entre sus miembros un president e y dos vicepresidentes. 2. El mandat o del president e y de los vicepresidentes será de cinco años de duración y podrá reno varse una vez. 4.5.2016 L 119/78 Diar io Oficial de la U nión Europea ES

65. 3. En el apar tado 1, el pár raf o pr imero, letras a), b) y c), y el pár raf o segundo no serán aplicables a las actividades llevadas a cabo por las autori dades públicas en el ejercicio de sus poderes públicos. 4. El inter és público contem plado en el apar tado 1, pár raf o pr imero, letra d), será reconocido por el Derech o de la U nión o de los Estados miembros que se aplique al responsable del tratamiento. 5. En ausencia de una decisión por la que se constat e la adecuación de la prot ección de los datos, el Derecho de la U nión o de los Estados miembros podrá, por razones impor tantes de inte rés público, establecer expresamente límites a la transferencia de catego rías específi cas de datos a un tercer país u organización inte r nacional. Los Estados miembros notificarán a la Comisión dic has disposiciones. 6. El responsable o el encarg ado del tratamiento documentarán en los registros indicados en el ar tículo 30 la evaluación y las ga rantías apropiadas a que se ref iere el apar tado 1, pár raf o segundo, del presente ar tículo. Ar tículo 50 Cooperación inter nacional en el ámbito de la protección de datos personales En relación con los ter ceros países y las organizaciones intern acionales, la Comisión y las autori dades de control tomar án medidas apropiadas para: a) crear mecanismos de cooperación internacional que facilit en la aplicación eficaz de la legislación relativa a la prote cción de datos personales; b) prestarse mutuament e asisten cia a escala internacional en la aplicación de la legislación relativa a la prote cción de dat os personales, en par ticular mediante la notificación, la remisión de reclamaciones, la asistencia en las inv estiga ­ ciones y el inte rcambio de inf or mación, a reser va de las garant ías adecuadas para la prot ección de los dat os personales y otros derechos y liber tades fundamentales; c) asociar a par tes inter esadas en la mater ia a los debates y actividades destinados a ref orzar la cooperación intern acional en la aplicación de la legislación relativa a la prot ección de datos personales; d) promo ver el intercambio y la documentación de la legislación y las prácticas en mate r ia de protección de datos personales, inclusive en mate r ia de conf lictos de jur isdicción con terceros países. CA PÍTULO VI Autor idades de control independientes Sección 1 Independencia Ar tículo 51 Autori dad de control 1. Cada Estado miembro establecerá que sea responsabilidad de una o var ias autor idades públicas independient es (en adelante «autoridad de control») super visar la aplicación del present e Reg lamento, con el fi n de proteg er los derechos y las liber tades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de dat os personales en la U nión. 2. Cada autori dad de control contr ibuirá a la aplicación coherente del presente Reg lamento en toda la U nión. A tal fin, las autori dades de control cooperarán entre sí y con la Comisión con ar reg lo a lo dispuesto en el capítulo VII. 3. Cuando ha ya var ias autori dades de control en un Estado miembro, este designará la autor idad de control que representará a dichas autoridades en el Comité, y establecerá el mecanismo que garan tice el cumplimient o por las demás autori dades de las nor mas relativas al mecanismo de coherencia a que se ref iere el ar tículo 63. 4. Cada Estado miembro notifi cará a la Comisión las disposiciones legales que adopt e de conf or midad con el present e capítulo a más tardar el 25 de ma y o de 2018 y , sin dilación, cualquier modificación posterior que af ecte a dic has disposi ­ ciones. 4.5.2016 L 119/65 Diar io Oficial de la U nión Europea ES

31. g arantizar la libre circulación de los datos personales en la U nión, debe delegarse en la Comisión el poder de adopt ar actos de conf or midad con el ar tículo 290 del TFUE. En par ticular , deben adopta rse actos delegados en relación con los cr iter ios y requisitos para los mecanismos de cer tificación, la inf or mación que debe presentarse mediante iconos nor malizados y los procedimientos para proporcionar dichos iconos. Revist e especial im por tancia que la Comisión lleve a cabo las consultas opor tunas durante la fase preparat or ia, en par ticular con exper tos. Al preparar y redactar los actos delega dos, la Comisión debe garantizar la transmisión simultánea, opor tuna y apropiada de los document os per tinentes al P arlamento Europeo y al Consejo. (167) A fi n de garant izar condiciones unif or mes de ejecución del presente Reg lamento, deben conferirse a la Comisión compet encias de ejecución cuando así lo establezca el presente Reg lamento. Dic has compet encias deben ejercerse de conf or midad con el Reg lamento (UE) n. o 182/2011 del P arlamento Europeo y del Consejo. En este conte xto, la Comisión debe considerar la adopción de medidas específicas para las microempr esas y las pequeñas y medianas emp resas. (168) El procedimiento de examen debe seguirse para la adopción de actos de ejecución sobre cláusulas contractuales tipo entre responsables y encargados del tratamiento y entre responsables del tratamient o; códigos de conducta; nor mas técn icas y mecanismos de cer tificación; el nivel adecuado de protección ofrecido por un te rcer país, un terr it or io o un sector específico en ese terce r país, o una org anización internacional; cláusulas tipo de protección; f or matos y procedimientos para el inte rcambio de inf or mación entre responsables, encarg ados y autoridades de control respecto de nor mas cor porativas vinculantes; asistencia mutua; y modalidades de intercambio de inf or mación por medios electrónicos entre las autori dades de control, y entre las autor idades de control y el Comité . (169) La Comisión debe adoptar actos de ejecución inmediatament e aplicables cuando las pr uebas disponibles muestren que un te rcer país, un te r r it or io o un sector específi co en ese ter cer país, o una org anización internacional no g arantizan un nivel de prote cción adecuado y así lo requieran razones im per iosas de urgencia. (170) Dado que el objetivo del present e Reg lamento, a saber , g arantizar un nivel equivalente de prote cción de las personas físicas y la libre circulación de datos personales en la U nión Europea, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a las dimensiones o los ef ectos de la acción, puede lograrse mejor a escala de la U nión, esta puede adoptar medidas, de acuerdo con el pr incipio de subsidiar iedad establecido en el ar tículo 5 del T ratado de la Unión Europea (TUE). De conf or midad con el pr incipio de proporcionalidad establecido en el mismo ar tículo, el present e Reg lamento no exced e de lo necesar io para alcanzar dic ho objetivo. (171) La Directiva 95/46/CE debe ser derogada por el present e Reg lamento. T odo tratamiento ya iniciado en la f echa de aplicación del presente Reg lamento debe aj ustarse al presente Reg lamento en el plazo de dos años a par tir de la f echa de su entrada en vigor . Cuando el tratamiento se base en el consentimient o de conf or midad con la Directiva 95/46/CE, no es necesar io que el inte resado dé su consentimiento de nuev o si la f or ma en que se dio el consentimient o se aj usta a las condiciones del presente Reg lamento, a fin de que el responsable pueda continuar dic ho tratamient o tras la f echa de aplicación del presente Reg lamento. Las decisiones de la Comisión y las autori ­ zaciones de las autoridades de control basadas en la Directiva 95/46/CE per manecen en vigor hasta que sean modificadas, sustituidas o derogadas. (172) De conf or midad con el ar tículo 28, apar tado 2, del Reg lamento (CE) n. o 45/2001, se consultó al Super visor Europeo de Protecci ón de Dat os, y éste emitió su dictamen el 7 de marzo de 2012 ( 1 ). (173) El present e Reg lamento debe aplicarse a tod as las cuestiones relativas a la prote cción de los derech os y las liber tades fundamentales en relación con el tratamiento de datos personales que no están sujetas a oblig aciones específicas con el mismo objetivo establecidas en la Directiva 2002/58/CE del P arlamento Europeo y del Consejo ( 2 ), incluidas las oblig aciones del responsable del tratamiento y los derechos de las personas físicas. Para aclarar la relación entre el present e Reg lamento y la Directiva 2002/58/CE, esta última debe ser modificada en consecuencia. U na vez que se adopt e el presente Reg lamento, debe revisarse la Directiva 2002/58/CE, en par ticular con objeto de garan tizar la coherencia con el present e Reg lamento. 4.5.2016 L 119/31 Diar io Oficial de la U nión Europea ES ( 1 ) DO C 192 de 30.6.2012, p. 7. ( 2 ) Directiva 2002/58/CE del P arlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la prot ección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la pr ivacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

39. j) el tratamiento es necesar io con fine s de archiv o en inte rés público, fines de inv estigación científica o histó r ica o f ines estadísticos, de conf or midad con el ar tículo 89, apar tado 1, sobre la base del Derecho de la U nión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de dat os y establecer medidas adecuadas y específicas para prot eger los intereses y derechos fundamentales del inte resado. 3. Los dat os personales a que se refiere el apar tado 1 podrán tratarse a los fine s citados en el apar tado 2, letra h), cuando su tratamiento sea realizado por un profesio nal sujeto a la oblig ación de secreto profesio nal, o baj o su responsa ­ bilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las nor mas establecidas por los org anismos nacionales compet entes, o por cualquier otra persona sujeta también a la oblig ación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las nor mas establecidas por los org anismos nacionales compet ent es. 4. Los Estados miembros podrán manten er o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamient o de datos g enéticos, datos biométr icos o datos relativ os a la salud. Ar tículo 10 T rat amiento de dato s personales relativ os a condenas e infracciones penales El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de segur idad conexas sobre la base del ar tículo 6, apar tado 1, sólo podrá llevarse a cabo bajo la super visión de las autori dades públicas o cuando lo autori ce el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y liber tades de los inter esados. Solo podrá llevarse un registro complet o de condenas penales bajo el control de las autori dades públicas. Ar tículo 11 T ratamien t o que no requiere identif icación 1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un inter esado por el responsable, este no estará obligado a manten er , obtener o tratar inf or mación adicional con vistas a identificar al inter esado con la única fi nalidad de cumpli r el presente Reg lamento. 2. Cuando, en los casos a que se refiere el apar tado 1 del present e ar tículo, el responsable sea capaz de demostrar que no está en condiciones de identif icar al inter esado, le inf or mará en consecuencia, de ser posible. En tales casos no se aplicarán los ar tículos 15 a 20, exce pt o cuando el inte resado, a efect os del ejercicio de sus derechos en vir tud de dic hos ar tículos, f acilite inf or mación adicional que per mita su identificación. CA PÍTULO III Der echos del inter esado Sección 1 T ransparencia y modalidades Ar tículo 12 T ransparencia de la inf or mación, comunicación y modalidades de ejercicio de los derechos del interesado 1. El responsable del tratamiento tomar á las medidas opor tunas para f acilitar al inte resado toda inf or mación indicada en los ar tículos 13 y 14, así como cualquier comunicación con ar reg lo a los ar tículos 15 a 22 y 34 relativa al tratamient o, en f or ma concisa, transparente, inteligible y de f ácil acceso, con un lenguaj e claro y sencillo, en par ticular cualquier inf or mación dir igida específicamente a un niño. La inf or mación será f acilitada por escr ito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el inte resado, la inf or mación podrá f acilitarse verbalmente siempre que se demuestre la identidad del inter esado por otros medios. 4.5.2016 L 119/39 Diar io Oficial de la U nión Europea ES

85. ga rantizar el respeto del pr incipio de minimización de los datos personales. T ales medidas podrán incluir la seudonimi ­ zación, siempre que de esa f or ma puedan alcanzarse dichos fi nes. Siempre que esos fine s pueden alcanzarse mediante un tratamient o ulteri or que no per mita o ya no per mita la identificación de los interesados, esos fi nes se alcanzarán de ese modo. 2. Cuando se trat en datos personales con fi nes de inve stigación científi ca o histó r ica o estadísticos el Derech o de la U nión o de los Estados miembros podrá establecer excepci ones a los derechos cont emplados en los ar tículos 15, 16, 18 y 21, sujetas a las condiciones y g arantías indicadas en el apar tado 1 del present e ar tículo, siempre que sea probable que esos derechos impos ibiliten u obstaculicen gravement e el logro de los fines científicos y cuanto esas excepci ones sean necesar ias para alcanzar esos fines. 3. Cuando se trat en dat os personales con fines de arch ivo en interés público, el Derech o de le Unión o de los Estados miembros podrá prever excepci ones a los derechos conte mplados en los ar tículos 15, 16, 18, 19, 20 y 21, sujetas a las condiciones y garant ías citadas en el apar tado 1 del presente ar tículo, siempre que esos derechos puedan im posibilitar u obstaculizar grav emente el logro de los fines científi cos y cuant o esas excepci ones sean necesar ias para alcanzar esos fine s. 4. En caso de que el tratamient o a que hacen ref erencia los apar tados 2 y 3 sir va también al mismo tiempo a otro fin, las excepci ones solo serán aplicables al tratamiento para los fines mencionados en dicho s apar tados. Ar tículo 90 Obligaciones de secreto 1. Los Estados miembros podrán adoptar nor mas específi cas para fijar los poderes de las autoridades de control establecidos en el ar tículo 58, apar tado 1, letras e) y f), en relación con los responsables o encarga dos sujetos, con ar reg lo al Derecho de la U nión o de los Estados miembros o a las nor mas establecidas por los org anismos nacionales compet ent es, a una oblig ación de secreto profesional o a otras oblig aciones de secreto equivalent es, cuando sea necesar io y proporcionado para conciliar el derecho a la protección de los dat os personales con la oblig ación de secreto. Esas nor mas solo se aplicarán a los datos personales que el responsable o el encargado del tratamiento ha yan recibido como resultado o con ocasión de una actividad cubier ta por la citada oblig ación de secreto. 2. Cada Estado miembro notific ará a la Comisión las nor mas adoptadas de conf or midad con el apar tado 1 a más tardar el 25 de ma y o de 2018 y , sin dilación, cualquier modifi cación poste r ior de las mismas. Ar tículo 91 Nor mas vigentes sobre protección de dato s de las iglesias y asociaciones religiosas 1. Cuando en un Estado miembro ig lesias, asociaciones o comunidades religiosas apliquen, en el momento de la entrada en vigor del presente Reg lamento, un conjunto de nor mas relativas a la protección de las personas físicas en lo que respecta al tratamiento, tales nor mas podrán seguir aplicándose, siempre que sean conf or mes con el present e Reg lamento. 2. Las ig lesias y las asociaciones religiosas que apliquen nor mas general es de conf or midad con el apar tado 1 del present e ar tículo estarán sujetas al control de una autori dad de control independiente, que podrá ser específic a, siempre que cumpla las condiciones establecidas en el capítulo VI del present e Reg lamento. CA PÍTULO X Actos deleg ados y actos de ejecución Ar tículo 92 Ejercicio de la delegación 1. Los poderes para adop tar actos delegad os oto rg ados a la Comisión estarán sujetos a las condiciones establecidas en el present e ar tículo. 4.5.2016 L 119/85 Diar io Oficial de la U nión Europea ES

76. Ar tículo 67 Intercambio de inf or mación La Comisión podrá adopt ar actos de ejecución de ámbito ge neral para especificar las modalidades de inte rcambio de inf or mación por medios electrónicos entre las autor idades de control, y entre dichas autor idades y el Comit é, en especial el f or mat o nor malizado contem plado en el ar tículo 64. Dic hos actos de ejecución se adop tarán con ar reg lo al procedimiento de examen a que se refie re el ar tículo 93, apar tado 2. Sección 3 Comité europeo de protección de datos Ar tículo 68 Comité Europeo de Protección de Dat os 1. Se crea el Comité Europeo de Protección de Datos («Comité»), como org anismo de la U nión, que gozará de personalidad jurídica. 2. El Comit é estará representado por su presidente. 3. El Comité estará compuest o por el director de una autor idad de control de cada Estado miembro y por el Super visor Europeo de Prote cción de Dat os o sus representantes respectivos. 4. Cuando en un Estado miembro est én encargados de controlar la aplicación de las disposiciones del present e Reg lamento var ias autor idades de control, se nombrará a un representante común de conf or midad con el Derecho de ese Estado miembro. 5. La Comisión tendrá derech o a par ticipar en las actividades y reuniones del Comit é, sin derecho a vot o. La Comisión designará un representante. El presidente del Comit é comunicará a la Comisión las actividades del Comité. 6. En los casos a que se refiere el ar tículo 65, el Super visor Europeo de Prote cción de Dat os sólo ten drá derecho a v oto en las decisiones relativas a los pr incipios y nor mas aplicables a las instituciones, órga nos y orga nismos de la U nión que cor respondan en cuanto al f ondo a las cont empladas en el present e Reg lamento. Ar tículo 69 Independencia 1. El Comit é actuará con tota l independencia en el desempe ño de sus funciones o el ejercicio de sus compet encias con ar reg lo a los ar tículos 70 y 71. 2. Sin per juicio de las solicitudes de la Comisión cont empladas en el ar tículo 70, apar tado 1, letra b), y apar tado 2, el Comité no solicitará ni admitirá instr ucciones de nadie en el desempeño de sus funciones o el ejercicio de sus compet encias. Ar tículo 70 F unciones del Comité 1. El Comit é g arantizará la aplicación coherent e del present e Reg lamento. A tal ef ecto, el Comité, a iniciativa propia o, en su caso, a instancia de la Comisión, en par ticular: a) super visará y garantizará la cor recta aplicación del present e Reg lamento en los casos contem plados en los ar tículos 64 y 65, sin per juicio de las funciones de las autori dades de control nacionales; 4.5.2016 L 119/76 Diar io Oficial de la U nión Europea ES

84. 2. P ara el tratamient o realizado con fine s per iodísticos o con fine s de expresión académica, ar tística o lite rar ia, los Estados miembros establecerán exen ciones o excepciones de lo dispuest o en los capítulos II (pr incipios), III (derechos del inter esado), IV (responsable y encarg ado del tratamient o), V (transf erencia de dat os personales a terceros países u org ani ­ zaciones inte r nacionales), VI (auto r idades de control independiente s), VII (cooperación y coherencia) y IX (disposiciones relativas a situaciones específicas de tratamiento de datos), si son necesar ias para conciliar el derecho a la prot ección de los dat os personales con la liber tad de expresión e inf or mación. 3. Cada Estado miembro notifi cará a la Comisión las disposiciones legislativas que adopt e de conf or midad con el apar tado 2 y , sin dilación, cualquier modificación posteri or , legislativa u otra, de las mismas. Ar tículo 86 T ratamiento y acceso del público a document os of iciales Los datos personales de documentos oficiales en posesión de alguna autori dad pública o u org anismo público o una entidad pr ivada para la realización de una misión en inter és público podrán ser comunicados por dic ha autor idad, org anismo o entidad de conf or midad con el Derecho de la Unión o de los Estados miembros que se les aplique a fi n de conciliar el acceso del público a documentos ofi ciales con el derecho a la prote cción de los datos personales en vir tud del presente Reg lamento. Ar tículo 87 T ratamien to del número nacional de identif icación Los Estados miembros podrán det er minar adicionalmente las condiciones específicas para el tratamient o de un número nacional de identif icación o cualquier otro medio de identificación de carácte r g eneral. En ese caso, el número nacional de identif icación o cualquier otro medio de identif icación de carácte r general se utilizará únicamente con las garantías adecuadas para los derechos y las liber tades del inter esado con ar reg lo al present e Reg lamento. Ar tículo 88 T ratamiento en el ámbito laboral 1. Los Estados miembros podrán, a través de disposiciones legislativas o de conven ios colectivos, establecer nor mas más específicas para garantizar la prote cción de los derechos y liber tades en relación con el tratamient o de datos personales de los trabajadores en el ámbito laboral, en par ticular a efect os de contratación de personal, ejecución del contrato laboral, incluido el cumpli miento de las obligaciones establecidas por la ley o por el convenio colectivo, ge stión, planifi cación y org anización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y segur idad en el traba jo, prot ección de los bienes de empleado s o cliente s, así como a ef ectos del ejercicio y disfr ute, individual o colectivo, de los derech os y prestaciones relacionados con el empleo y a ef ectos de la extinción de la relación laboral. 2. Dic has nor mas incluirán medidas adecuadas y específicas para preser var la dignidad humana de los inter esados así como sus inter eses legítimos y sus derech os fundamentales, prestando especial atención a la transparencia del tratamient o, a la transfer encia de los datos personales dentro de un gr upo empr esar ial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de super visión en el lugar de trabajo. 3. Cada Estado miembro notifi cará a la Comisión las disposiciones leg ales que adopt e de conf or midad con el apar tado 1 a más tardar el 25 de ma y o de 2018 y , sin dilación, cualquier modific ación poste r ior de las mismas. Ar tículo 89 Garantías y ex cepciones aplicables al tratamiento con f ines de archiv o en interés público, f ines de inv estigación científ ica o histór ica o f ines est adís ticos 1. El tratamiento con fines de arc hivo en inte rés público, fi nes de inv estigación científica o histór ica o fi nes estadísticos estará sujeto a las garantías adecuadas, con ar reg lo al present e Reg lamento, para los derech os y las liber tades de los inter esados. Dic has garant ías harán que se disponga de medidas técn icas y org anizativas, en par ticular para 4.5.2016 L 119/84 Diar io Oficial de la U nión Europea ES

59. 2. A demás de la adhesión de los responsables o encarg ados del tratamient o sujetos al presente Reg lamento, podrán establecerse mecanismos de cer tif icación, sellos o marcas de protección de dat os aprobados de conf or midad con el apar tado 5, con objeto de demostrar la existencia de g arantías adecuadas ofrecidas por los responsables o encargados no sujetos al presente Reg lamento con ar reg lo al ar tículo 3 en el marco de transferencias de datos personales a terceros países u org anizaciones intern acionales a te nor del ar tículo 46, apar tado 2, letra f). Dic hos responsables o encarg ados deberán asumir compromisos vinculante s y exigibles, por vía contractual o mediante otros instr umentos jurídicamente vinculantes , para aplicar dic has g arantías adecuadas, incluidas las relativas a los derech os de los inter esados. 3. La cer tificación será voluntari a y estará disponible a través de un proceso transparente. 4. La cer tif icación a que se refie re el presente ar tículo no limitará la responsabilidad del responsable o encargado del tratamient o en cuant o al cumplimient o del present e Reg lamento y se entenderá sin per juicio de las funciones y los poderes de las autori dades de control que sean compet ent es en vir tud del ar tículo 55 o 56. 5. La cer tificación en vir tud del present e ar tículo será expedida por los organismos de cer tif icación a que se refie re el ar tículo 43 o por la autor idad de control compet ent e, sobre la base de los cr it er ios aprobados por dicha autori dad de conf or midad con el ar tículo 58, apar tado 3, o por el Comité de conf or midad con el ar tículo 63. Cuando los cr ite r ios sean aprobados por el Comité, esto podrá dar luga r a una cer tif icación común: el Sello Europeo de Prote cción de Dat os. 6. Los responsables o encarg ados que sometan su tratamient o al mecanismo de cer tificació n dará al org anismo de cer tificación mencionado en el ar tículo 43, o en su caso a la autoridad de control compet ente, toda la inf or mación y acceso a sus actividades de tratamiento que necesit e para llevar a cabo el procedimiento de cer tificación. 7. La cer tificación se expedirá a un responsable o encarg ado de tratamient o por un período máximo de tres años y podrá ser reno vada en las mismas condiciones, siempre y cuando se sig an cumpliendo los requisit os per tinentes. La cer tificación será retirada, cuando proceda, por los org anismos de cer tificació n a que se refie re el ar tículo 43, o en su caso por la autor idad de control compet ent e, cuando no se cumplan o se ha yan dejado de cumplir los requisit os para la cer tificación. 8. El Comité archivará en un registro todos los mecanismos de cer tif icación y sellos y marcas de prot ección de dat os y los pondrá a disposición pública por cualquier medio apropiado. Ar tículo 43 Organismo de cer tif icación 1. Sin per juicio de las funciones y poderes de la autori dad de control compet ent e en vir tud de los ar tículos 57 y 58, los org anismos de cer tificación que teng an un nivel adecuado de per icia en mat er ia de protección de dat os expedirán y reno varán las cer tificacione s una vez inf or mada la autori dad de control, a fi n de esta que pueda ejercer , si así se requiere, sus poderes en vir tud del ar tículo 58, apar tado 2, letra h). Los Estados miembros g arantizarán que dic hos organismos de cer tificación sean acreditados por la autoridad o el org anismo indicado a continuación, o por ambos: a) la autoridad de control que sea compet ent e en vir tud del ar tículo 55 o 56; b) el organismo nacional de acreditación designado de conf or midad con el Reg lamento (CE) n. o 765/2008 del P arlamento Europeo y del Consejo ( 1 ) con ar reg lo a la nor ma EN ISO/IEC 17065/2012 y a los requisit os adicionales establecidos por la autori dad de control que sea compet ent e en vir tud del ar tículo 55 o 56. 2. Los organismos de cer tificaci ón mencionados en el apar tado 1 únicamente serán acreditados de conf or midad con dic ho apar tado si: a) han demostrado, a satisf acción de la autor idad de control compet ent e, su independencia y su per icia en relación con el objeto de la cer tif icación; 4.5.2016 L 119/59 Diar io Oficial de la U nión Europea ES ( 1 ) Reg lamento (CE) n. o 765/2008 del P arlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisit os de acreditación y vigilancia del mercado relativos a la comercialización de los productos y por el que se deroga el Reg lamento (CEE) n. o 339/93 (DO L 218 de 13.8.2008, p. 30).

32. HAN ADOPT ADO EL PRESENTE REGL AMENTO: CA PÍTULO I Disposiciones g ener ales Ar tículo 1 Objet o 1. El present e Reg lamento establece las nor mas relativas a la protección de las personas físicas en lo que respecta al tratamient o de los datos personales y las nor mas relativas a la libre circulación de tales dat os. 2. El present e Reg lamento proteg e los derechos y liber tades fundamentales de las personas físicas y , en par ticular , su derecho a la protección de los dat os personales. 3. La libre circulación de los dat os personales en la U nión no podrá ser restr ingida ni prohibida por motivos relacionados con la prote cción de las personas físicas en lo que respecta al tratamiento de dat os personales. Ar tículo 2 Ámbit o de aplicación mater ial 1. El present e Reg lamento se aplica al tratamiento total o parcialmente automatizad o de datos personales, así como al tratamient o no automa tizado de datos personales cont enidos o destinados a ser incluidos en un fichero. 2. El present e Reg lamento no se aplica al tratamient o de datos personales: a) en el ejercicio de una actividad no compr endida en el ámbito de aplicación del Derecho de la U nión; b) por par te de los Estados miembros cuando lleven a cabo actividades compre ndidas en el ámbito de aplicación del capítulo 2 del título V del TUE; c) ef ectuado por una persona física en el ejercicio de actividades exclusivament e personales o domésticas; d) por par te de las autori dades compe tent es con fines de prevención, inv estigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de prote cción frente a amenazas a la segur idad pública y su prevención. 3. El Reg lamento (CE) n. o 45/2001 es de aplicación al tratamient o de datos de caráct er personal por par te de las instituciones, órg anos y org anismos de la U nión. El Reg lamento (CE) n. o 45/2001 y otros actos jurídicos de la U nión aplicables a dic ho tratamient o de dat os de caráct er personal se adapt arán a los pr incipios y nor mas del present e Reg lamento de conf or midad con su ar tículo 98. 4. El present e Reg lamento se entenderá sin per juicio de la aplicación de la Directiva 2000/31/CE, en par ticular sus nor mas relativas a la responsabilidad de los prestadores de ser vicios inte r mediar ios establecidas en sus ar tículos 12 a 15. Ar tículo 3 Ámbito ter r ito r ial 1. El presente Reg lamento se aplica al tratamiento de dat os personales en el conte xto de las actividades de un estable ­ cimiento del responsable o del encargado en la Unión, independientement e de que el tratamiento ten ga lugar en la U nión o no. 4.5.2016 L 119/32 Diar io Oficial de la U nión Europea ES

87. Ar tículo 96 Relación con acuerdos celebrados anter ior mente Los acuerdos internacionales que im pliquen la transferencia de dat os personales a te rceros países u organizaciones internacionales que hubieren sido celebrados por los Estados miembros ant es del 24 de ma y o de 2016 y que cumplan lo dispuest o en el Derecho de la U nión aplicable ant es de dic ha fec ha, seguirán en vigor hasta que sean modificados, sustituidos o revocados. Ar tículo 97 Inf or mes de la Comisión 1. A más tardar el 25 de ma y o de 2020 y posterior mente cada cuatro años, la Comisión presentará al P arlamento Europeo y al Consejo un inf or me sobre la evaluación y revisión del presente Reg lamento. Los inf or mes se harán públicos. 2. En el marco de las evaluaciones y revisiones a que se ref iere el apar tado 1, la Comisión examinará en par ticular la aplicación y el funcionamiento de: a) el capítulo V sobre la transfer encia de datos personales a países terceros u org anizaciones inte r nacionales, par ticu ­ lar mente respecto de las decisiones adopt adas en vir tud del ar tículo 45, apar tado 3, del presente Reg lamento, y de las adopt adas sobre la base del ar tículo 25, apar tado 6, de la Directiva 95/46/CE; b) el capítulo VII sobre cooperación y coherencia. 3. A los efect os del apar tado 1, la Comisión podrá solicitar inf or mación a los Estados miembros y a las autori dades de control. 4. Al llevar a cabo las evaluaciones y revisiones indicadas en los apar tados 1 y 2, la Comisión tendrá en cuenta las posiciones y conclusiones del P arlamento Europeo, el Consejo y los demás órg anos o fuentes per tinente s. 5. La Comisión presentará, en caso necesar io, las propuestas opor tunas para modificar el presente Reg lamento, en par ticular te niendo en cuenta la ev olución de las tecnologías de la inf or mación y a la vista de los progresos en la sociedad de la inf or mación. Ar tículo 98 Revisión de otros actos jurídicos de la Unión en mater ia de protección de dato s La Comisión presentará, si procede, propuestas legislativas para modificar otros actos jurídicos de la U nión en mat er ia de prot ección de datos personales, a fin de g arantizar la prot ección unif or me y coherente de las personas físicas en relación con el tratamiento. Se tratará en par ticular de las nor mas relativas a la protección de las personas físicas en lo que respecta al tratamient o por par te de las instituciones, órganos, y org anismos de la Uni ón y a la libre circulación de tales datos. Ar tículo 99 Entrada en vigor y aplicación 1. El present e Reg lamento entrará en vigor a los veinte días de su publicación en el Diar io Ofi cial de la Unión Europea . 2. Será aplicable a par tir del 25 de ma y o de 2018. 4.5.2016 L 119/87 Diar io Oficial de la U nión Europea ES

3. (11) La prote cción efectiva de los dat os personales en la U nión exige que se refuercen y especifique n los derechos de los interesados y las oblig aciones de quienes tratan y det er minan el tratamient o de los datos de caráct er personal, y que en los Estados miembros se reconozcan poderes equivalentes para super visar y ga rantizar el cumplimient o de las nor mas relativas a la prot ección de los datos de caráct er personal y las infracciones se castiguen con sanciones equivalentes. (12) El ar tículo 16, apar tado 2, del TFUE encomienda al Parlament o Europeo y al Consejo que establezcan las nor mas sobre prot ección de las personas físicas respecto del tratamiento de dat os de carácter personal y las nor mas relativas a la libre circulación de dic hos dat os. (13) P ara garant izar un nivel coherente de protección de las personas físicas en toda la Unión y evitar diverge ncias que dificu lten la libre circulación de dat os personales dentro del mercado interior , es necesar io un reg lamento que proporcione segur idad jurídica y transparencia a los operadores económicos, incluidas las microempr esas y las pequeñas y medianas empresas, y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y oblig aciones exigibles y de responsabilidades para los responsables y encarg ados del tratamient o, con el fin de g arantizar una super visión coherent e del tratamiento de datos personales y sanciones equivalent es en todos los Estados miembros, así como la cooperación ef ectiva entre las autor idades de control de los dife rentes Estados miembros. El buen funcionamiento del mercado interi or exige que la libre circulación de los dat os personales en la U nión no sea restr ingida ni prohibida por motivos relacionados con la prote cción de las personas físicas en lo que respecta al tratamiento de dat os personales. Con objeto de ten er en cuenta la situación específica de las microempr esas y las pequeñas y medianas empresas, el presente Reg lamento incluye una ser ie de excepci ones en mat er ia de llevanza de registros para org anizaciones con menos de 250 em pleados. Además, alienta a las instituciones y órg anos de la Uni ón y a los Estados miembros y a sus autoridades de control a ten er en cuenta las necesidades específi cas de las microem presas y las pequeñas y medianas empresas en la aplicación del present e Reg lamento. El concept o de microemp resas y pequeñas y medianas emp resas debe extraerse del ar tículo 2 del anex o de la Recomendación 2003/361/CE de la Comisión ( 1 ). (14) La protección oto rg ada por el presente Reg lamento debe aplicarse a las personas físicas, independient emente de su nacionalidad o de su lugar de residencia, en relación con el tratamient o de sus datos personales. El present e Reg lamento no regula el tratamiento de datos personales relativos a personas jurídicas y en par ticular a empresas constituidas como personas jurídicas, incluido el nombre y la f or ma de la persona jurídica y sus datos de contact o. (15) A fi n de evitar que ha ya un grave r iesgo de elusión, la prote cción de las personas físicas debe ser tecn ológi ­ camente neutra y no debe depender de las técnicas utilizadas. La prot ección de las personas físicas debe aplicarse al tratamient o automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él. Los fi c heros o conjuntos de ficheros, así como sus por tadas, que no estén estr ucturados con ar reg lo a cr ite r ios específi cos, no deben entrar en el ámbito de aplicación del presente Reg lamento. (16) El present e Reg lamento no se aplica a cuestiones de protección de los derechos y las liber tades fundamentales o la libre circulación de datos personales relacionadas con actividades excluidas del ámbito de del Derec ho de la U nión, como las actividades relativas a la segur idad nacional. T ampoco se aplica al tratamiento de datos de caráct er personal por los Estados miembros en el ejercicio de las actividades relacionadas con la política exte r ior y de segur idad común de la U nión. (17) El Reg lamento (CE) n. o 45/2001 del P arlamento Europeo y del Consejo ( 2 ) se aplica al tratamiento de datos de caráct er personal por las instituciones, órg anos y org anismos de la Unión. El Reg lamento (CE) n. o 45/2001 y otros actos jurídicos de la U nión aplicables a dic ho tratamiento de dat os de carácte r personal deben adap tarse a los pr incipios y nor mas establecidos en el present e Reg lamento y aplicarse a la luz del mismo. A fi n de establecer un marco sólido y coherente en mat er ia de prot ección de datos en la Unión, una vez adopt ado el present e Reg lamento deben introducirse las adapta ciones necesar ias del Reg lamento (CE) n. o 45/2001, con el fi n de que pueda aplicarse al mismo tiempo que el presente Reg lamento. (18) El present e Reg lamento no se aplica al tratamiento de datos de caráct er personal por una persona física en el curso de una actividad excl usivamente personal o doméstica y , por tanto , sin conexión alguna con una actividad 4.5.2016 L 119/3 Diar io Oficial de la U nión Europea ES ( 1 ) Recomendación de la Comisión de 6 de ma y o de 2003 sobre la definición de microempresas, pequeñas y medianas empresas [C(2003) 1422] (DO L 124 de 20.5.2003, p. 36). ( 2 ) Reg lamento (CE) n. o 45/2001 del Parlament o Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los org anismos comunitar ios y a la libre circulación de est os datos (DO L 8 de 12.1.2001, p. 1).

30. (159) El present e Reg lamento también debe aplicarse al tratamiento datos personales que se realice con fi nes de investi ­ g ación científi ca. El tratamiento de dat os personales con fines de inv estigación científi ca debe interpretarse, a ef ectos del present e Reg lamento, de manera amplia, que incluya, por ejem plo, el desar rollo tecnológico y la demostración, la inv estigación fundamental, la inve stigación aplicada y la investig ación fi nanciada por el sect or pr ivado. A demás, debe ten er en cuenta el objetivo de la U nión establecido en el ar tículo 179, apar tado 1, del TFUE de realizar un espacio europeo de inv estigación. Entre los fi nes de inv estigación científi ca también se deben incluir los estudios realizados en inte rés público en el ámbito de la salud pública. P ara cumplir las especifi ­ cidades del tratamient o de dat os personales con fine s de inv estigación científica deben aplicarse condiciones específicas, en par ticular en lo que se ref iere a la publicación o la comunicación de otro modo de dat os personales en el context o de fine s de investig ación científic a. Si el resultado de la investig ación científic a, en par ticular en el ámbito de la salud, justifica otras medidas en beneficio del interesado, las nor mas ge nerales del present e Reg lamento deben aplicarse ten iendo en cuenta tales medidas. (160) El presente Reg lamento debe aplicarse asimismo al tratamiento datos personales que se realiza con fines de inv estigación histór ica. Esto incluye asimismo la inv estigación histó r ica y la investig ación para fi nes genealógicos, ten iendo en cuenta que el present e Reg lamento no es de aplicación a personas fallecidas. (161) Al objeto de oto rgar el consentimient o para la par ticipación en actividades de inv estigación científi ca en ensa y os clínicos, deben aplicarse las disposiciones per tinente s del Reg lamento (UE) n. o 536/2014 del P arlamento Europeo y del Consejo ( 1 ). (162) El presente Reg lamento debe aplicarse al tratamient o de datos personales con fine s estadísticos. El conte nido estadístico, el control de accesos, las especifi caciones para el tratamiento de datos personales con fi nes estadísticos y las medidas adecuadas para salvaguardar los derechos y las liber tades de los inter esados y g arantizar la conf idencialidad estadística deben ser establecidos, dentro de los límites del present e Reg lamento, por el Derech o de la U nión o de los Estados miembros. P or fi nes estadísticos se entiende cualquier operación de recogida y tratamiento de dat os personales necesar ios para encuestas estadísticas o para la producción de resultados estadísticos. Estos resultados estadísticos pueden además utilizarse con dif erentes fi nes, incluidos fi nes de inve stigación científi ca. El fin estadístico im plica que el resultado del tratamient o con fi nes estadísticos no sean dat os personales, sino dat os agreg ados, y que est e resultado o los datos personales no se utilicen para respaldar medidas o decisiones relativas a personas físicas concretas. (163) Debe prot egerse la inf or mación conf idencial que las autoridades estadísticas de la U nión y nacionales recojan para la elaboración de las estadísticas oficiales europeas y nacionales. Las estadísticas europeas deben desar ro ­ llarse, elaborarse y difundirse con ar reg lo a los pr incipios estadísticos fijados en el ar tículo 338, apar tado 2, del TFUE, mientras que las estadísticas nacionales deben cumplir asimismo el Derecho de los Estados miembros. El Reg lamento (CE) n. o 223/2009 del Parlament o Europeo y del Consejo ( 2 ) f acilita especificaciones adicionales sobre la confidencialidad estadística aplicada a las estadísticas europeas. (164) P or lo que respecta a los poderes de las autoridades de control para obtener del responsable o del encarg ado del tratamient o acceso a los dat os personales y a sus locales, los Estados miembros pueden adop tar por ley , dentro de los límites fijados por el present e Reg lamento, nor mas específi cas con vistas a salvaguardar el deber de secreto profesio nal u obligaciones equivalent es, en la medida necesar ia para conciliar el derech o a la prote cción de los dat os personales con el deber de secreto profesio nal. Lo ant er ior se entiende sin per juicio de las oblig aciones existen tes para los Estados miembros de adoptar nor mas sobre el secreto profesio nal cuando así lo exija el Derech o de la Unión. (165) El present e Reg lamento respeta y no prejuzga el estatut o reconocido en los Estados miembros, en vir tud del Derech o constitucional, a las ig lesias y las asociaciones o comunidades religiosas, tal como se reconoce en el ar tículo 17 del TFUE. (166) A fin de cumpli r los objetivos del present e Reg lamento, a saber , proteg er los derechos y las liber tades fundamentales de las personas físicas y , en par ticular , su derecho a la prote cción de los dat os personales, y 4.5.2016 L 119/30 Diar io Oficial de la U nión Europea ES ( 1 ) Reg lamento (UE) n. o 536/2014 del P arlamento Europeo y del Consejo, de 16 de abr il de 2014, sobre los ensa y os clínicos de medicamento s de uso humano, y por el que se deroga la Directiva 2001/20/CE (DO L 158 de 27.5.2014, p. 1). ( 2 ) Reg lamento (CE) n. o 223/2009 del Parlament o Europeo y del Consejo, de 11 de marzo de 2009, relativo a la estadística europea y por el que se deroga el Reg lament o (CE, Eurato m) n. o 1101/2008 relativo a la transmisión a la Oficin a Estadística de las Comunidades Europeas de las inf or maciones ampar adas por el secreto estadístico, el Reg lament o (CE) n. o 322/97 del Consejo sobre la estadística comunitar ia y la Decisión 89/382/CEE, Eurato m del Consejo por la que se crea un Comité del programa estadístico de las Comunidades Europeas (DO L 87 de 31.3.2009, p. 164).

86. 2. La delega ción de poderes indicada en el ar tículo 12, apar tado 8, y en el ar tículo 43, apar tado 8, se oto rg arán a la Comisión por tiempo indefini do a par tir del 24 de ma y o de 2016. 3. La delegación de poderes mencionada en el ar tículo 12, apar tado 8, y el ar tículo 43, apar tado 8, podrá ser revocada en cualquier moment o por el P arlamento Europeo o por el Consejo. La decisión de revocación pondrá térm ino a la delegaci ón de los poderes que en ella se especifiquen. La decisión sur tirá ef ecto al día siguiente de su publicación en el Diar io Oficial de la Unión Europea o en una f echa poste r ior indicada en la misma. No afectará a la validez de los actos delegad os que ya estén en vigor . 4. T an pronto como la Comisión adopt e un acto delegad o lo notifi cará simultáneamente al P arlamento Europeo y al Consejo. 5. Los actos deleg ados adoptados en vir tud del ar tículo 12, apar tado 8, y el ar tículo 43, apar tado 8, entrarán en vigor únicamente si, en un plazo de tres meses desde su notificación al Parlament o Europeo y al Consejo, ni el P arlamento Europeo ni el Consejo f or mulan objeciones o si, antes del vencimient o de dic ho plazo, tanto el uno como el otro inf or man a la Comisión de que no las f or mularán. El plazo se ampliará en tres meses a iniciativa del P arlamento Europeo o del Consejo. Ar tículo 93 Procedimiento de comité 1. La Comisión estará asistida por un comit é. Dic ho comit é será un comit é en el sentido del Reg lamento (UE) n. o 182/2011. 2. Cuando se haga referencia al present e apar tado, se aplicará el ar tículo 5 del Reg lamento (UE) n. o 182/2011. 3. Cuando se hag a referen cia al presente apar tado, se aplicará el ar tículo 8 del Reg lamento (UE) n. o 182/2011, en relación con su ar tículo 5. CA PÍTULO XI Disposiciones finales Ar tículo 94 Derogación de la Directiva 95/46/CE 1. Queda deroga da la Directiva 95/46/CE con efect o a par tir del 25 de ma y o de 2018. 2. T oda refe rencia a la Directiva derog ada se entenderá hecha al present e Reg lamento. T oda referencia al Gr upo de prote cción de las personas en lo que respecta al tratamiento de datos personales establecido por el ar tículo 29 de la Directiva 95/46/CE se ent enderá hecha al Comit é Europeo de Prote cción de Dat os establecido por el present e Reg lamento. Ar tículo 95 Relación con la Directiva 2002/58/CE El present e Reg lamento no im pondrá obligaciones adicionales a las personas físicas o jurídicas en mate r ia de tratamiento en el marco de la prestación de ser vicios públicos de comunicaciones electrónicas en redes públicas de comunicación de la U nión en ámbitos en los que est én sujetas a oblig aciones específicas con el mismo objetivo establecidas en la Directiva 2002/58/CE. 4.5.2016 L 119/86 Diar io Oficial de la U nión Europea ES

1. I (A ctos legislativos ) REGL AMENTOS REGL AMENTO (UE) 2016/679 DEL P ARL AMENTO EUR OPEO Y DEL CONSEJO de 27 de abr il de 2016 relativ o a la protección de las personas físicas en lo que respect a al trata mient o de datos personales y a la libre circulación de estos dato s y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (T exto per tinente a ef ectos del EEE) EL P ARL AMENTO EUR OPEO Y EL CONSEJO DE L A UNIÓN EUR OPEA, Vist o el T ratado de Funcionamiento de la Uni ón Europea, y en par ticular su ar tículo 16, Vista la propuesta de la Comisión Europea, Previa transmisión del pro y ecto de text o legislativo a los P arlamentos nacionales, Vist o el dictamen del Comité Económico y Social Europeo ( 1 ), Vist o el dictamen del Comité de las Regiones ( 2 ), De conf or midad con el procedimiento legislativ o ordinar io ( 3 ), Considerando lo siguient e: (1) La prot ección de las personas físicas en relación con el tratamiento de dat os personales es un derecho fundamental. El ar tículo 8, apar tado 1, de la Car ta de los Derechos Fundamentales de la U nión Europea («la Car ta») y el ar tículo 16, apar tado 1, del T ratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derech o a la prote cción de los datos de caráct er personal que le concier nan. (2) Los pr incipios y nor mas relativos a la prote cción de las personas físicas en lo que respecta al tratamiento de sus dat os de carácter personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus liber tades y derechos fundamentales, en par ticular el derecho a la protección de los dat os de carácter personal. El present e Reg lamento pret ende contr ibuir a la plena realización de un espacio de liber tad, segur idad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la converg encia de las economías dentro del mercado interi or , así como al bienestar de las personas físicas. (3) La Directiva 95/46/CE del P arlamento Europeo y del Consejo ( 4 ) trata de ar monizar la prot ección de los derechos y las liber tades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de caráct er personal y g arantizar la libre circulación de estos dat os entre los Estados miembros. 4.5.2016 L 119/1 Diar io Oficial de la U nión Europea ES ( 1 ) DO C 229 de 31.7.2012, p. 90. ( 2 ) DO C 391 de 18.12.2012, p. 127. ( 3 ) P osición del Pa rlamento Europeo de 12 de marzo de 2014 (pendiente de publicación en el Diar io Oficial) y posición del Consejo en pr imera lectura de 8 de abr il de 2016 (pendiente de publicación en el Diar io Oficial). P osición del Parlament o Europeo de 14 de abr il de 2016. ( 4 ) Directiva 95/46/CE del P arlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la prot ección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

80. 2. El acceso a los documentos presentados a los miembros del Comité, los exper tos y los representantes de ter ceras par te s se regirá por el Reg lamento (CE) n. o 1049/2001 del P arlamento Europeo y del Consejo ( 1 ). CAPÍTULO VIII Recursos, r esponsabilidad y sanciones Ar tículo 77 Derecho a presentar una reclamación ante una autor idad de control 1. Sin per juicio de cualquier otro recurso administrativo o acción judicial, todo inte resado ten drá derecho a presentar una reclamación ante una autori dad de control, en par ticular en el Estado miembro en el que teng a su residencia habitual, lugar de traba jo o lugar de la supuesta infracción, si considera que el tratamiento de dat os personales que le concier nen infr ing e el presente Reg lamento. 2. La autori dad de control ante la que se ha ya presentado la reclamación inf or mará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en vir tud del ar tículo 78. Ar tículo 78 Derecho a la tutela judicial efectiva contra una auto r idad de control 1. Sin per juicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica ten drá derecho a la tutela judicial ef ectiva contra una decisión jurídicament e vinculante de una autoridad de control que le concier na. 2. Sin per juicio de cualquier otro recurso administrativ o o extra judicial, todo inte resado ten drá derecho a la tutela judicial ef ectiva en caso de que la autoridad de control que sea compet ent e en vir tud de los ar tículos 55 y 56 no dé curso a una reclamación o no inf or me al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en vir tud del ar tículo 77. 3. Las acciones contra una autori dad de control deberán ejercitarse ant e los tr ibunales del Estado miembro en que esté establecida la autori dad de control. 4. Cuando se ejerciten acciones contra una decisión de una autori dad de control que ha ya sido precedida de un dictamen o una decisión del Comité en el marco del mecanismo de coherencia, la autoridad de control remitirá al tr ibunal dicho dictamen o decisión. Ar tículo 79 Derecho a la tutela judicial ef ectiva contra un responsable o encargado del trata mient o 1. Sin per juicio de los recursos administrativ os o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ant e una autoridad de control en vir tud del ar tículo 77, todo inter esado ten drá derecho a la tutela judicial ef ectiva cuando considere que sus derechos en vir tud del present e Reg lamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales. 2. Las acciones contra un responsable o encarg ado del tratamient o deberán ejercitarse ant e los tr ibunales del Estado miembro en el que el responsable o encargado ten ga un establecimiento. Alter nativamente , tales acciones podrán ejercitarse ante los tr ibunales del Estado miembro en que el inte resado ten ga su residencia habitual, a menos que el responsable o el encarg ado sea una autori dad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos. 4.5.2016 L 119/80 Diar io Oficial de la U nión Europea ES ( 1 ) Reg lamento (CE) n. o 1049/2001 del Pa rlamento Europeo y del Consejo, de 30 de ma y o de 2001, relativo al acceso del público a los document os del Pa rlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).

Vistas

  • 131 Vistas totales
  • 108 Vistas del sitio web
  • 23 Embedded Views

Acciones

  • 0 Social Shares
  • 0 Me gusta
  • 0 No me gusta
  • 0 Comentarios

Veces compartido

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+