Acto del Consejo de 12 de marzo de 1999
Acto del Consejo de 12 de marzo de 1999 por el que se fijan las normas para la transmisión por Europol de datos personales a Estados y organismos terceros
EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Convenio, basado en el Artículo K.3 del Tratado de la Unión Europea, por el que se crea una Oficina Europea de Policía (Convenio Europol) (1) y, en particular, el apartado 2 de su artículo 18,
Visto el proyecto preparado por el Consejo de administración previa consulta a la Autoridad común de control contemplada en el artículo 24 del Convenio Europol,
Considerando que corresponde al Consejo fijar por unanimidad las normas generales para la transmisión por Europol de datos personales a Estados y organismos terceros, teniendo en cuenta las circunstancias contempladas en el apartado 3 del artículo 18 del Convenio Europol,
FIJA LAS SIGUIENTES NORMAS:
Artículo 1 . Definiciones
A efectos de las presentes normas se entenderá por:
a) «terceros Estados»: los Estados que no son miembros de la Unión Europea aludidos en el punto 4) del apartado 4 del artículo 10 del Convenio Europol;
b) «organismos terceros»: los organismos mencionados en los puntos 1 a 3 y 5 a 7 del apartado 4 del artículo 10 del Convenio Europol, denominados en lo sucesivo:
– «organismos relacionados con la Unión Europea», los mencionados en los puntos 1 a 3 del apartado 4 del artículo 10 del Convenio Europol,
– «organismos no relacionados con la Unión Europea», los mencionados en los puntos 5 a 7 del apartado 4 del artículo 10 del Convenio Europol;
c) «acuerdo»: un acuerdo conforme a lo establecido en el artículo 3 del presente acto;
d) «datos personales»: toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante un número de identificación o a través de una o varias de sus características individuales físicas, fisiológicas, psicológicas, económicas, culturales o sociales;
e) «tratamiento de datos personales»: cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o no y aplicadas a datos personales, como la recogida, registro, organización, almacenamiento, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión u otra forma de habilitación de acceso, cotejo o interconexión, así como su bloqueo, eliminación o destrucción;
f) «autoridades competentes»: las autoridades mencionadas en el apartado 1 del artículo 5 del presente acto.
Artículo 2 . Transmisión de datos personales
1. En las condiciones establecidas en el artículo 18 del Convenio Europol, Europol podrá transmitir datos personales a un Estado u organismo tercero cuando medie alguna de las circunstancias siguientes:
a) un acuerdo entre Europol y un tercer Estado u organismo tal como se contempla en el artículo 3 del presente acto;
b) excepcionalmente, en caso de que el director considere que la transmisión de datos resulta absolutamente necesaria:
– para salvaguardar los intereses fundamentales de los Estados miembros de que se trate dentro del ámbito de los objetivos de Europol,
– a fin de prevenir un peligro inminente de comisión de delito.
2. En la aplicación del apartado 1, se tendrán en cuenta la legislación y la práctica administrativa en materia de protección de datos del tercer Estado u organismo no relacionado con la Unión Europea, también en lo referente a la autoridad responsable de las cuestiones relativas a la protección de los datos.
3. Para la transmisión de datos personales clasificados Europol 1, 2 o 3, será necesario un acuerdo según lo estipulado en el apartado 6 del artículo 18 del Convenio Europol; en dicho acuerdo habrán de tomarse en consideración las disposiciones contenidas en las normas sobre protección del secreto aplicables a la información de Europol.
Artículo 3 . Acuerdos relativos a la transmisión de datos personales por Europol
1. Con el fin de cumplir los objetivos previstos en el artículo 2 del Convenio Europol, Europol podrá celebrar acuerdos con terceros Estados y con organismos terceros. Estos acuerdos habrán de contener disposiciones relativas al receptor de los datos, el tipo de datos que se han de transmitir y el fin para el que se han de transmitir o utilizar dichos datos.
2. El Consejo podrá decidir por unanimidad los terceros Estados u organismos no relacionados con la Unión Europea con los que deberán negociarse acuerdos.
El Consejo de administración podrá decidir los organismos relacionados con la Unión Europea con los que deberán negociarse acuerdos.
3. Una vez obtenido el dictamen del Consejo de administración y previa autorización unánime del Consejo, el director de Europol entablará negociaciones relativas a los acuerdos con terceros Estados u organismos no relacionados con la Unión Europea. Al tomar una decisión sobre la autorización, el Consejo tendrá en cuenta la condición mencionada en el apartado 2 del artículo 2. Además de las condiciones contempladas en el apartado 1, el Consejo podrá imponer otras condiciones.
Los acuerdos sólo podrán celebrarse previa aprobación unánime del Consejo. La aprobación sólo podrá concederse una vez obtenido el dictamen de la Autoridad común de control, a través del Consejo de administración. Una decisión del Consejo podrá referirse a uno o más terceros Estados u organismos no relacionados con la Unión Europea.
4. El director de Europol, previa autorización del Consejo de administración, entablará negociaciones sobre los acuerdos con organismos relacionados con la Unión Europea. Además de las condiciones contempladas en el apartado 1, el Consejo de administración podrá imponer otras condiciones.
El acuerdo sólo podrá celebrarse previa aprobación del Consejo de administración. La aprobación sólo podrá concederse una vez que el Consejo de administración haya obtenido el dictamen de la Autoridad común de control.
Artículo 4 . Transmisión de datos personales bajo la autoridad del director
El director informará al Consejo de administración y a la Autoridad común de control lo antes posible de cualquier decisión relativa a la transmisión de datos personales efectuada en virtud de lo dispuesto en la letra b) del apartado 1 del artículo 2 y de las razones para adoptarla.
Previa solicitud, transmitirá al Consejo de administración o a la Autoridad común de control más información, como los elementos en que se base para su evaluación de que, vistas las circunstancias de la transmisión y teniendo en cuenta sus objetivos, así como el tipo de datos que debe transmitirse y la finalidad de su transmisión, el nivel de protección de los datos ofrecido por el tercer Estado o los terceros Estados o por el organismo u organismos no relacionados con la Unión Europea receptores es satisfactorio.
Artículo 5 . Autoridades competentes
1. La transmisión de datos personales por parte de Europol a terceros Estados y su posterior transmisión dentro de dichos Estados estará limitada a las autoridades competentes responsables, según la legislación nacional, de la prevención de los delitos penales y la lucha contra ellos.
2. En la negociación de los acuerdos, Europol velará por que, en lo posible, un tercer Estado designe una autoridad competente (el «primer receptor») para actuar como centro de enlace nacional entre Europol y las demás autoridades competentes de ese tercer Estado.
3. Al transmitir los datos personales, Europol velará por que el receptor se comprometa a que la transmisión posterior de dichos datos se limite a las autoridades competentes y se efectúe en las mismas condiciones que se aplican a la transmisión original.
4. Cuando un tercer Estado no esté en condiciones de designar una autoridad competente central para actuar como centro de enlace nacional, los acuerdos podrán contemplar, excepcionalmente, la transmisión directa de información de Europol a una o más autoridades competentes del tercer Estado afectado.
5. Europol sólo transmitirá datos a la autoridad competente de un tercer Estado u organismo en el caso de que dicha autoridad u organismo consienta en no comunicar estos datos a otros terceros Estados u organismos.
6. En todo acuerdo que se celebre se aclarará la competencia del receptor de los datos respecto de la prevención de los delitos penales y la lucha contra ellos.
Artículo 6 . Finalidad de la transmisión de datos personales
1. Los datos personales solicitados no se transmitirán si en la solicitud no constare su finalidad y su motivo.
La transmisión de datos personales que revelen el origen racial, las opiniones políticas o religiosas u otras creencias, o de datos personales relacionados con la salud o la vida sexual, tal como se mencionan en el artículo 6 del Convenio del Consejo de Europa de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, se limitará a los casos de absoluta necesidad, con arreglo a lo dispuesto en el artículo 4.
2. Cuando Europol transmita datos personales a un tercer Estado o a un organismo tercero, deberá velar por que el receptor se comprometa a que dichos datos se utilicen únicamente para los fines que motivaron su transmisión.
Artículo 7 . Corrección y supresión de datos personales
1. Cuando Europol transmita datos personales a un tercer Estado o a un organismo tercero, deberá asegurarse de que el receptor se compromete a corregir o suprimir dichos datos personales en caso de que los mismos resulten ser incorrectos o inexactos, hayan perdido actualidad o no debieran haber sido transmitidos. En caso de que Europol observe que los datos personales son incorrectos o inexactos, que han perdido actualidad o que no debían haber sido transmitidos, se informará inmediatamente de ello al tercer Estado o al organismo tercero receptor, al que se solicitará que comunique a Europol que los datos serán corregidos o suprimidos. El director de Europol informará al Consejo de administración y a la Autoridad común de control de sus actividades al respecto.
2. En todos los acuerdos celebrados se estipulará la obligación de corrección o supresión de conformidad con el apartado 1 del presente artículo.
3. Cuando Europol transmita datos personales, deberá asegurarse de que el receptor se compromete a que los datos se supriman en caso de que ya no sean necesarios para los fines que motivaran su transmisión.
Artículo 8 . Responsabilidad
Todos los acuerdos celebrados deberán contener disposiciones apropiadas en materia de responsabilidad en caso de tratamiento no autorizado o incorrecto de los datos.
Artículo 9 . Entrada en vigor
Las presentes normas entrarán en vigor el día siguiente al de su adopción.
Hecho en Bruselas, el 12 de marzo de 1999.
Por el Consejo
El Presidente
O. SCHILY
————————————————————————————————
(1) DO C 316 de 27.11.1995, p. 1.
————————————————————————————————-