Archivos de la etiqueta: Datos biométricos

04Ago/24

Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo de 14 de mayo de 2024

Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo de 14 de mayo de 2024, sobre la creación del sistema «Eurodac» para la comparación de datos biométricos a efectos de la aplicación efectiva de los Reglamentos (UE) 2024/1351 y (UE) 2024/1350 del Parlamento Europeo y del Consejo y de la Directiva 2001/55/CE del Consejo y de la identificación de nacionales de terceros países y apátridas en situación irregular, y sobre las solicitudes de comparación con los datos de Eurodac presentadas por los servicios de seguridad de los Estados miembros y Europol a efectos de aplicación de la ley, por el que se modifican los Reglamentos (UE) 2018/1240 y (UE) 2019/818 del Parlamento Europeo y del Consejo y se deroga el Reglamento (UE) nº 603/2013 del Parlamento Europeo y del Consejo

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 78, apartado 2, letras c), d), e) y g), su artículo 79, apartado 2, letra c), su artículo 87, apartado 2, letra a), y su artículo 88, apartado 2, letra a),

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Vistos los dictámenes del Comité Económico y Social Europeo (1),

Vistos los dictámenes del Comité de las Regiones (2),

De conformidad con el procedimiento legislativo ordinario (3),

Considerando lo siguiente:

(1)

Una política común en materia de asilo, incluido un Sistema Europeo Común de Asilo, es uno de los elementos constitutivos del objetivo de la Unión de establecer progresivamente un espacio de libertad, seguridad y justicia abierto a quienes, obligados por las circunstancias, busquen protección internacional en la Unión.

(2)

A efectos de la aplicación del Reglamento (UE) 2024/1351 del Parlamento Europeo y del Consejo (4), resulta necesario determinar la identidad de los solicitantes de protección internacional y de las personas aprehendidas con ocasión del cruce irregular de las fronteras exteriores de los Estados miembros. Con el fin de aplicar eficazmente dicho Reglamento, es conveniente asimismo que cada Estado miembro pueda comprobar si los nacionales de terceros países o los apátridas que se encuentran en situación irregular en su territorio han solicitado protección internacional en otro Estado miembro.

(3)

Además, a los efectos de la aplicación efectiva del Reglamento (UE) 2024/1351, es necesario registrar claramente en Eurodac que se ha producido un traspaso de la responsabilidad entre Estados miembros, también en casos de reubicación.

(4)

Con el fin de aplicar eficazmente el Reglamento (UE) 2024/1351 y para detectar cualquier movimiento secundario dentro de la Unión, es necesario asimismo que cada Estado miembro pueda comprobar si a los nacionales de terceros países o los apátridas que se encuentran en situación irregular en su territorio o que han solicitado protección internacional se les ha concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional por otro Estado miembro de conformidad con el Reglamento (UE) 2024/1350 del Parlamento Europeo y del Consejo (5) o en virtud de un programa de reasentamiento nacional. Para ello, los datos biométricos de las personas registradas con objeto de tramitar un procedimiento de admisión se deben conservarse en Eurodac tan pronto como se conceda la protección internacional o el estatuto humanitario con arreglo al Derecho nacional, y a más tardar, en las 72 horas siguientes.

(5)

Con el fin de aplicar eficazmente el Reglamento (UE) 2024/1350, es necesario que cada Estado miembro pueda comprobar si a los nacionales de terceros países o los apátridas se les ha concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional en virtud de dicho Reglamento por otro Estado miembro o han sido admitidos en el territorio de un Estado miembro en virtud de un programa de reasentamiento nacional. Con el fin de poder aplicar los correspondientes motivos de denegación establecidos en dicho Reglamento en el contexto de un nuevo procedimiento de admisión, los Estados miembros también necesitan información sobre la conclusión de los procedimientos de admisión anteriores e información sobre cualquier decisión de concesión de protección internacional o estatuto humanitario con arreglo al Derecho nacional. Además, la información sobre una decisión relativa a la concesión de protección internacional o estatuto humanitario con arreglo al Derecho nacional es necesaria para determinar el Estado miembro que concluyó el procedimiento y, de este modo, permitir a otros Estados miembros solicitar información complementaria a dicho Estado.

(6)

Asimismo, con el fin de reflejar con precisión las obligaciones que tienen los Estados miembros, en virtud del Derecho internacional, de realizar operaciones de búsqueda y salvamento y con el fin de obtener una imagen más precisa de la composición de los flujos migratorios en la Unión, también es necesario registrar en Eurodac si los nacionales de terceros países o apátridas han sido desembarcados tras una operación de búsqueda y salvamento, también con fines estadísticos. Sin perjuicio de la aplicación del Reglamento (UE) 2024/1351, el registro de este hecho no debe dar lugar a ninguna diferencia de trato de las personas registradas en Eurodac tras ser aprehendidas con ocasión del cruce irregular de una frontera exterior. Esto debe entenderse sin perjuicio de las normas del Derecho de la Unión aplicables a los nacionales de terceros países o apátridas que desembarquen después de operaciones de búsqueda y salvamento.

(7)

Asimismo, a los efectos de apoyar el sistema de asilo mediante la aplicación de los Reglamentos (UE) 2024/1351, (UE) 2024/1348 (6) y (UE) 2024/1347 (7) del Parlamento Europeo y del Consejo y de la Directiva (UE) 2024/1346 del Parlamento Europeo y del Consejo (8), es necesario registrar si, tras las inspecciones de seguridad a que se refiere el presente Reglamento, se considera que la persona podría ser una amenaza para la seguridad interior. Dicho registro debe realizarlo el Estado miembro de origen. La existencia de dicho registro en Eurodac se entiende sin perjuicio del requisito de un examen del caso concreto en virtud de los Reglamentos (UE) 2024/1346 y (UE) 2024/1347. El registro debe suprimirse si la investigación muestra que no hay motivos suficientes para pensar que la persona en cuestión supone una amenaza para la seguridad interior.

(8)

Tras las inspecciones de seguridad a que se refiere el presente Reglamento, el hecho de que una persona pueda suponer una amenaza para la seguridad interior (en lo sucesivo, «alerta de seguridad») se debe registrar en Eurodac solo si la persona es violenta o está armada ilegalmente o si existen indicios claros de que la persona está implicada en cualquiera de los delitos mencionados en la Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo (9) o en la Decisión Marco 2002/584/JAI del Consejo (10). Al evaluar si una persona está armada ilegalmente, es necesario que un Estado miembro determine si la persona lleva un arma de fuego sin un permiso o autorización válidos o cualquier otro tipo de arma prohibida según se define en el Derecho nacional. Al evaluar si una persona es violenta, es necesario que un Estado miembro determine si la persona ha mostrado un comportamiento que haya producido daños físicos a otras personas que supongan una infracción penal en virtud del Derecho nacional.

(9)

La Directiva 2001/55/CE del Consejo (11) dispone un sistema de protección temporal que se activó por primera vez por medio de la Decisión de Ejecución (UE) 2022/382 del Consejo (12) en respuesta a la guerra en Ucrania. En virtud de ese sistema de protección temporal, los Estados miembros llevarán un registro de las personas que gozan de protección temporal en su territorio. Los Estados miembros también están obligados, entre otras cosas, a reagrupar a los miembros de la familia y a cooperar entre sí en lo relativo al traslado, de un Estado miembro a otro, de la residencia de las personas que gozan de protección temporal. Conviene complementar las disposiciones sobre recopilación de datos de la Directiva 2001/55/CE incluyendo en Eurodac a las personas que gozan de protección temporal. A este respecto, los datos biométricos son un elemento importante para establecer la identidad o las relaciones familiares de dichas personas y, por tanto, proteger un interés público esencial en el sentido del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (13). Asimismo, al incluir los datos biométricos de los beneficiarios de protección temporal en Eurodac en lugar de en un sistema alternativo entre iguales entre los Estados miembros, dichas personas se van a beneficiar de las salvaguardias y la protección establecidas en el presente Reglamento, en concreto en lo referente a los períodos de conservación de datos, que deben ser lo más breves posible.

(10)

No obstante, en vista de que la Comisión ya ha creado una plataforma, en cooperación con la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), establecida por el Reglamento (UE) 2018/1726 del Parlamento Europeo y del Consejo (14), y con los Estados miembros para gestionar los intercambios de información necesarios en virtud de la Directiva 2001/55/CE, procede excluir de Eurodac a las personas que gozan de protección temporal en virtud de la Decisión de Ejecución (UE) 2022/382 y de cualquier otra protección nacional equivalente en virtud de dicha Decisión. Dicha exclusión también debe aplicarse a cualquier modificación futura de la Decisión de Ejecución (UE) 2022/382 y a cualquier prórroga de esa protección temporal.

(11)

Procede aplazar la recopilación y transmisión de datos biométricos de nacionales de terceros países o apátridas registrados como beneficiarios de protección temporal a tres años después de la entrada en vigor de las demás disposiciones del presente Reglamento, a fin de garantizar que la Comisión disponga de tiempo suficiente para evaluar el funcionamiento y la eficiencia operativa de cualquier sistema informático utilizado para intercambiar los datos de los beneficiarios de protección temporal y las repercusiones previstas de dicha recopilación y transmisión en caso de que se active la Directiva 2001/55/CE.

(12)

La biometría constituye un elemento importante para determinar la identidad exacta de las personas que estén incluidas en el ámbito de aplicación del presente Reglamento, pues garantiza un nivel muy elevado de precisión en la identificación. Por lo tanto, es necesario crear un sistema para comparar los datos biométricos de dichas personas.

(13)

Además, es necesario garantizar que el sistema para la comparación de datos biométricos funcione dentro del marco para la interoperabilidad establecido por los Reglamentos (UE) 2019/817 (15) y (UE) 2019/818 (16) del Parlamento Europeo y del Consejo de conformidad con el presente Reglamento y con el Reglamento (UE) 2016/679, en concreto con los principios de necesidad y proporcionalidad y con el principio de limitación de la finalidad establecido en el Reglamento (UE) 2016/679.

(14)

Debe fomentarse la reutilización por parte de los Estados miembros de los datos biométricos de nacionales de terceros países o apátridas que ya se hayan tomado en virtud del presente Reglamento a efectos de transmisión a Eurodac de conformidad con las condiciones establecidas en el presente Reglamento.

(15)

Asimismo, es preciso introducir disposiciones que encuadren el acceso a Eurodac de las unidades nacionales del Sistema Europeo de Información y Autorización de Viajes (SEIAV) y de las autoridades competentes en materia de visados, de conformidad con los Reglamentos (UE) 2018/1240 (17) y (CE) nº 767/2008 (18) del Parlamento Europeo y del Consejo, respectivamente.

(16)

Con el fin de ayudar en el control de la inmigración irregular y de facilitar estadísticas que respalden la elaboración de políticas basadas en pruebas, eu-LISA debe poder elaborar estadísticas transversales usando datos de Eurodac, del Sistema de Información de Visados (VIS), del SEIAV y del Sistema de Entradas y Salidas (SES) establecido por el Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo (19). Para especificar el contenido de dichas estadísticas transversales, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo (20).

(17)

Por tanto, es necesario crear un sistema, al que se llamará «Eurodac», integrado por un Sistema Central y el registro común de datos de identidad (RCDI) establecido por el Reglamento (UE) 2019/818, que gestionará una base central informatizada de datos biométricos, datos alfanuméricos y, cuando se disponga de ella, una copia escaneada en color de un documento de identidad o de viaje, así como los medios electrónicos de transmisión entre Eurodac y los Estados miembros (en lo sucesivo, «Infraestructura de Comunicación»).

(18)

En su Comunicación de 13 de mayo de 2015, titulada «Una Agenda Europea de Migración», la Comisión señaló que los Estados miembros deben asimismo aplicar íntegramente las normas relativas a la toma de las huellas dactilares de los migrantes en las fronteras y propuso, además, que va a estudiar asimismo cómo utilizar más elementos de identificación biométrica, como técnicas de reconocimiento facial a través de fotos digitales, en el marco de Eurodac.

(19)

A fin de obtener una identificación con un nivel muy elevado de precisión, es preferible utilizar siempre las impresiones dactilares en lugar de las imágenes faciales. Para ello, los Estados miembros deben agotar todas las vías para garantizar que puedan tomarse las impresiones dactilares del interesado antes de proceder a una comparación basada exclusivamente en una imagen facial. Para ayudar a los Estados miembros a superar los desafíos, cuando resulte imposible tomar las impresiones dactilares de nacionales de terceros países o apátridas porque sus yemas dactilares estén dañadas, de forma deliberada o no, o amputadas, el presente Reglamento debe permitir que los Estados miembros realicen la comparación usando una imagen facial, sin tomar impresiones dactilares.

(20)

El retorno de nacionales de terceros países o de apátridas que no tengan derecho a permanecer en la Unión, de conformidad con los derechos fundamentales como principio general del Derecho de la Unión y del Derecho internacional, incluidos la protección de los refugiados, el principio de no devolución y las obligaciones en materia de derechos humanos, y en cumplimiento de la Directiva 2008/115/CE del Parlamento Europeo y del Consejo (21), es una parte importante de los esfuerzos globales dirigidos a abordar la migración de una manera justa y eficiente y, en particular, a reducir y prevenir la inmigración irregular. Es necesario aumentar la eficacia del sistema de la Unión para proceder al retorno de los nacionales de terceros países o de apátridas en situación irregular, a fin de mantener la confianza de los ciudadanos en el sistema de migración y asilo de la Unión, y esta labor debe ir acompañada de esfuerzos encaminados a proteger a las personas necesitadas de protección.

(21)

A tal efecto, es necesario también registrar claramente en Eurodac el hecho de que una solicitud de protección internacional ha sido denegada cuando el nacional de un tercer país o apátrida no tenga derecho a permanecer y no se le haya permitido permanecer de conformidad con el Reglamento (UE) 2024/1348.

(22)

Las autoridades nacionales de los Estados miembros tienen dificultades para identificar a los nacionales de terceros países o apátridas en situación irregular con miras a su retorno y readmisión. Por consiguiente, es fundamental garantizar que los datos relativos a los nacionales de terceros países o apátridas que se encuentran en situación irregular en la Unión sean recopilados y transmitidos a Eurodac y se comparen también con los recopilados y transmitidos a efectos de establecer la identidad de los solicitantes de protección internacional y los nacionales de terceros países o apátridas aprehendidos con ocasión del cruce irregular de las fronteras exteriores de los Estados miembros, a fin de facilitar su identificación y redocumentación, garantizar su retorno y readmisión y reducir los casos de usurpación de identidad. Dicha recopilación, transmisión y comparación de datos también debe contribuir a reducir la duración de los procedimientos administrativos necesarios para garantizar el retorno y la readmisión de los nacionales de terceros países o apátridas en situación irregular, incluyendo el período durante el cual pueden ser mantenidos en internamiento administrativo a la espera de su expulsión. Asimismo, debe permitir determinar los terceros países de tránsito en los que el nacional de un tercer país o apátrida en situación irregular puede ser readmitido.

(23)

Con el fin de facilitar los procedimientos de identificación y de expedición de documentos de viaje a efectos de retorno de nacionales de terceros países o apátridas en situación irregular, debe registrarse en Eurodac, cuando se disponga de ella, una copia escaneada en color de un documento de identidad o de viaje, junto con una indicación de su autenticidad. Cuando no se disponga de dicho documento de identidad o de viaje, se debe registrar en Eurodac únicamente otro documento disponible de identificación del nacional de tercer país o apátrida junto con una indicación de su autenticidad. Con el fin de facilitar los procedimientos de identificación y de expedición de documentos de viaje a efectos de retorno de nacionales de terceros países o apátridas en situación irregular, y de no llenar el sistema de documentos falsos, únicamente deben mantenerse en el sistema los documentos validados como auténticos o cuya autenticidad no haya podido ser demostrada debido a la falta de elementos de seguridad.

(24)

En sus Conclusiones, de 8 de octubre de 2015, sobre el futuro de la política de retorno, el Consejo refrendó la iniciativa anunciada por la Comisión de estudiar la ampliación del ámbito de aplicación y la finalidad de Eurodac a fin de permitir la utilización de datos a efectos de retorno. Los Estados miembros deben contar con los instrumentos necesarios para poder controlar la migración irregular a la Unión y detectar los movimientos secundarios en su territorio y los nacionales de terceros países y los apátridas en situación irregular en la Unión. Por lo tanto, los datos de Eurodac deben estar disponibles, en las condiciones establecidas en el presente Reglamento, para su comparación por las autoridades designadas de los Estados miembros.

(25)

La Agencia Europea de la Guardia de Fronteras y Costas, establecida por el Reglamento (UE) 2019/1896 del Parlamento Europeo y del Consejo (22), apoya a los Estados miembros en sus esfuerzos por gestionar mejor las fronteras exteriores y controlar la inmigración irregular. La Agencia de Asilo de la Unión Europea, establecida por el Reglamento (UE) 2021/2303 del Parlamento Europeo y del Consejo (23), ofrece asistencia operativa y técnica a los Estados miembros. Por consiguiente, los usuarios autorizados de dichas agencias, así como de otros organismos que actúen en el ámbito de la Justicia y los Asuntos de Interior, deben tener acceso al repositorio central si dicho acceso es pertinente para el desempeño de sus tareas en consonancia con las salvaguardias pertinentes en materia de protección de datos.

(26)

Dado que los miembros de los equipos de la Guardia Europea de Fronteras y Costas y los expertos de los equipos de apoyo al asilo a que se refieren los Reglamentos (UE) 2019/1896 y (UE) 2021/2303, respectivamente, pueden, a petición del Estado miembro de acogida, tomar y transmitir datos biométricos, deben desarrollarse soluciones tecnológicas adecuadas para asegurarse de que se preste una asistencia eficiente y eficaz al Estado miembro de acogida.

(27)

Asimismo, para que Eurodac pueda asistir eficazmente en el control de la inmigración irregular a la Unión y la detección de movimientos secundarios dentro de la Unión, es preciso permitir que el sistema cuente solicitantes, además de solicitudes, vinculando todos los conjuntos de datos correspondientes a una persona, independientemente de su categoría, en una única secuencia. Cuando se suprima un conjunto de datos registrado en Eurodac, se debe suprimir automáticamente cualquier enlace a dicho conjunto de datos.

(28)

En la lucha contra los delitos de terrorismo y otros delitos graves, es esencial que los servicios de seguridad dispongan de la información más completa y actualizada para llevar a cabo su cometido. La información que contiene Eurodac es necesaria a efectos de prevención, detección o investigación de los delitos de terrorismo como se contempla en la Directiva (UE) 2017/541 o de otros delitos graves como se contempla en la Decisión Marco 2002/584/JAI. Por lo tanto, los datos de Eurodac deben estar disponibles, en las condiciones establecidas en el presente Reglamento, para su comparación por las autoridades designadas de los Estados miembros y la autoridad designada de la Agencia de la Unión Europea para la Cooperación Policial (Europol), establecida por el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (24).

(29)

Las competencias otorgadas a los servicios de seguridad para acceder a Eurodac no deben ir en detrimento del derecho del solicitante de protección internacional a que su solicitud se tramite a su debido tiempo y de conformidad con el Derecho aplicable. Además, toda actuación que se realice tras la obtención de una respuesta positiva de Eurodac no debe ir en detrimento de tal derecho.

(30)

En su Comunicación al Consejo y al Parlamento Europeo, de 24 de noviembre de 2005, sobre una mayor eficacia, interoperabilidad y sinergia entre las bases de datos europeas en el ámbito de la Justicia y los Asuntos de Interior, la Comisión indicó que las autoridades responsables de la seguridad interior podrían tener acceso a Eurodac en casos concretos, cuando haya sospechas fundadas de que el autor de un delito de terrorismo u otra infracción penal grave ha solicitado protección internacional. En esa Comunicación, la Comisión consideraba que el principio de proporcionalidad exige que Eurodac solo pueda ser consultado con esos fines cuando lo exija un interés superior de seguridad pública, es decir, cuando el acto cometido por el delincuente o el terrorista que deba identificarse sea lo suficientemente reprensible como para justificar búsquedas en una base de datos donde se registran personas sin antecedentes penales, y concluía que el umbral que deben respetar las autoridades responsables de la seguridad interior para poder consultar Eurodac debe ser siempre, por tanto, considerablemente más elevado que el umbral que debe respetarse para poder consultar bases de datos penales.

(31)

Además, Europol desempeña una función clave para la cooperación entre las autoridades de los Estados miembros en el ámbito de la investigación penal transfronteriza en apoyo de la prevención, el análisis y la investigación de la delincuencia en toda la Unión. En consecuencia, Europol también debe tener acceso a Eurodac en el marco de sus funciones y de conformidad con el Reglamento (UE) 2016/794.

(32)

Las solicitudes de Europol para la comparación de datos de Eurodac solo deben admitirse en casos concretos, siempre que se cumplan circunstancias específicas y con arreglo a condiciones estrictas, en consonancia con los principios de necesidad y proporcionalidad consagrados en el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y tal y como ha interpretado la jurisprudencia del Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia») (25).

(33)

Habida cuenta de que Eurodac se creó originariamente para facilitar la aplicación del Convenio de Dublín (26), el acceso a Eurodac a efectos de prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves constituye un nuevo desarrollo con respecto a la finalidad original de Eurodac. En consonancia con el artículo 52, apartado 1, de la Carta, cualquier limitación del ejercicio del derecho fundamental de respeto de la vida privada de los particulares cuyos datos personales sean tratados en Eurodac debe ser establecida por la ley, la cual tiene que estar formulada con la suficiente precisión como para que los particulares puedan adaptar su conducta, debe protegerlos de la arbitrariedad e indicar con suficiente claridad el alcance del poder discrecional conferido a las autoridades competentes y el modo de su ejercicio. Con sujeción al principio de proporcionalidad, cualquier limitación de este tipo ha de ser necesaria ha de lograr de forma legítima los objetivos de interés general reconocidos por la Unión.

(34)

Aun cuando el propósito original de la creación de Eurodac no requería la posibilidad de solicitar la comparación de datos con la base de datos a partir de una impresión dactilar latente, que es la huella dactiloscópica que puede encontrarse en la escena de un delito, una característica de este tipo es fundamental en el campo de la cooperación policial. La posibilidad de comparar una impresión dactilar latente con los datos dactiloscópicos que se conservan en Eurodac, en los casos en que existan motivos razonables para creer que el autor del delito o la víctima pueden pertenecer a alguna de las categorías a las que se aplica el presente Reglamento, dotaría a las autoridades designadas de los Estados miembros de un instrumento muy valioso a la hora de prevenir, detectar o investigar los delitos de terrorismo u otros delitos graves cuando, por ejemplo, la única prueba disponible en la escena de un delito sean impresiones dactilares latentes.

(35)

El presente Reglamento establece igualmente las condiciones en las que deben permitirse las solicitudes de comparación de datos biométricos o alfanuméricos con los datos de Eurodac con fines de prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves y las salvaguardias necesarias para garantizar la protección del derecho fundamental al respeto de la vida privada de aquellos individuos cuyos datos personales se tratan en Eurodac. El rigor de estas condiciones se debe a que la base de datos Eurodac registra datos biométricos y alfanuméricos de personas de las que no se presume la comisión de un delito de terrorismo u otro delito grave. Se reconoce que las autoridades responsables de aplicar la ley y Europol no siempre disponen de los datos biométricos del sospechoso o de la víctima cuyo caso están investigando, lo que puede dificultar su capacidad para comprobar datos biométricos consultando bases de datos como Eurodac. Es importante equipar a los servicios de seguridad y a Europol con los instrumentos necesarios para prevenir, detectar e investigar los delitos de terrorismo u otros delitos graves, cuando sea necesario. A fin de contribuir en mayor medida a las investigaciones de dichas autoridades y Europol, deben permitirse las búsquedas basadas en datos alfanuméricos en Eurodac, en particular en aquellos casos en que no se puedan encontrar pruebas biométricas pero cuando dichas autoridades y Europol estén en posesión de pruebas de los datos personales o documentos de identidad de la persona sospechosa o la víctima.

(36)

La ampliación del ámbito de aplicación y la simplificación del acceso a Eurodac a efectos de aplicación de la ley debe ayudar a los Estados miembros a enfrentarse a situaciones operativas cada vez más complicadas y a casos relacionados con la delincuencia transfronteriza y el terrorismo que tienen una repercusión directa en la situación de la seguridad en la Unión. Las condiciones de acceso a Eurodac a efectos de prevención, detección o investigación de delitos de terrorismo o de otros delitos graves deben también permitir que los servicios de seguridad de los Estados miembros aborden los casos de sospechosos que emplean identidades múltiples. A tal fin, el hecho de obtener una respuesta positiva al consultar una base de datos pertinente antes de acceder a Eurodac no debe impedir dicho acceso. Puede tratarse también de una herramienta útil para dar respuesta a la amenaza que suponen las personas radicalizadas o los terroristas que puedan estar registrados en Eurodac. La ampliación y simplificación del acceso a Eurodac para los servicios de seguridad de los Estados miembros, además de garantizar el pleno respeto de los derechos fundamentales, debe permitir a los Estados miembros utilizar todos los instrumentos existentes para asegurar un espacio de libertad, seguridad y justicia.

(37)

Con objeto de garantizar la igualdad de trato para todos los solicitantes y para los beneficiarios de protección internacional, así como de garantizar la coherencia con el acervo vigente en la Unión en materia de asilo, especialmente con el Reglamento (UE) 2024/1347, el Reglamento (UE) 2024/1350 y el Reglamento (UE) 2024/1351, el presente Reglamento incluye en su ámbito de aplicación a los solicitantes de protección subsidiaria y las personas que pueden acogerse a protección subsidiaria.

(38)

Es también necesario que los Estados miembros tomen y transmitan cuanto antes los datos biométricos de los solicitantes de protección internacional, de las personas para las que los Estados miembros tengan previsto realizar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350, de los nacionales de terceros países o apátridas aprehendidos con ocasión del cruce irregular de una frontera exterior de un Estado miembro o que se encuentren en situación irregular en un Estado miembro, y de las personas que hayan sido desembarcadas tras una operación de búsqueda y salvamento, siempre que tengan al menos seis años de edad.

(39)

La obligación de tomar los datos biométricos de nacionales de terceros países o apátridas de al menos seis años de edad que se encuentren en situación irregular no afecta al derecho de los Estados miembros de prorrogar la autorización a permanecer en su territorio de un nacional de un tercer país o apátrida en virtud del artículo 20, apartado 2, del Convenio de aplicación del Acuerdo de Schengen (27).

(40)

El hecho de que la solicitud de protección internacional se formule inmediatamente después de la aprehensión o simultáneamente a la interceptación del nacional de un tercer país o apátrida con ocasión del cruce irregular de una frontera exterior no exime a los Estados miembros de registrar a dichas personas como personas aprehendidas con ocasión del cruce irregular de la frontera exterior.

(41)

El hecho de que la solicitud de protección internacional se formule inmediatamente después de la aprehensión o simultáneamente a la aprehensión del nacional de un tercer país o apátrida que se encuentre en situación irregular en el territorio de un Estado miembro no exime a los Estados miembros de registrar a dichas personas como personas que se encuentran en situación irregular en el territorio de un Estado miembro.

(42)

El hecho de que la solicitud de protección internacional se formule inmediatamente después del desembarque o simultáneamente al desembarque del nacional de un tercer país o apátrida tras una operación de búsqueda y salvamento no exime a los Estados miembros de registrar a dichas personas como personas desembarcadas tras una operación de búsqueda y salvamento.

(43)

El hecho de que la solicitud de protección internacional se formule inmediatamente después del registro o simultáneamente al registro del beneficiario de protección temporal no exime a los Estados miembros de registrar a dichas personas como beneficiarias de protección temporal.

(44)

A fin de reforzar la protección de los menores que entren en el ámbito de aplicación del presente Reglamento, incluidos los menores no acompañados que no hayan solicitado protección internacional y los niños que podrían verse separados de sus familias, conviene asimismo tomar los datos biométricos que se conservarán en Eurodac para así ayudar a determinar la identidad de los niños y ayudar a los Estados miembros a localizar a los familiares o a establecer los vínculos que puedan tener con otro Estado miembro, así como a localizar menores desaparecidos, también a efectos de aplicación de la ley, complementando los instrumentos existentes, en particular el Sistema de Información de Schengen (SIS), establecido por el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo (28). Un procedimiento de identificación eficaz ayudará a los Estados miembros a garantizar la adecuada protección de los menores. La determinación de vínculos familiares es un elemento esencial para restablecer la unidad familiar y debe estar estrechamente relacionada con la determinación del interés superior del niño y, a la postre, de una solución sostenible de conformidad con las prácticas naciones tras una evaluación de las necesidades por parte de las autoridades nacionales competentes en materia de protección de los menores.

(45)

El funcionario responsable de tomar los datos biométricos a menores debe recibir la formación necesaria para que se tomen las precauciones suficientes para garantizar que la calidad de los datos biométricos del menor sea la adecuada y que el proceso esté adaptado a los niños, de forma que los menores, especialmente los más pequeños, se sientan protegidos y puedan cooperar fácilmente en el proceso de toma de datos biométricos.

(46)

A partir de los seis años, todos los menores deben estar acompañados por un miembro adulto de su familia, cuando estén presentes, durante todo el proceso de toma de datos biométricos. El menor no acompañado debe ir acompañado de un representante o, cuando no se haya designado un representante, de una persona formada para salvaguardar el interés superior del niño y su bienestar general, durante el proceso de toma de sus datos biométricos. Dicha persona con formación no debe ser el funcionario responsable de tomar los datos biométricos, debe actuar con independencia y no debe recibir órdenes del funcionario o del servicio encargado de tomar los datos biométricos. Dicha persona con formación debe ser la persona designada para actuar provisionalmente como representante con arreglo a la Directiva (UE) 2024/1346 cuando dicha persona haya sido designada.

(47)

El interés superior del niño debe ser una consideración primordial de los Estados miembros al aplicar el presente Reglamento. En caso de que el Estado miembro solicitante establezca que los datos de Eurodac corresponden a un niño, esos datos solo pueden ser utilizados a efectos de aplicación de la ley, en particular los relativos a la prevención, detección e investigación de la trata de niños y de otros delitos graves contra los menores, por el Estado miembro solicitante y de conformidad con el Derecho de dicho Estado miembro aplicable a los menores y con la obligación de dar consideración primordial al interés superior del niño.

(48)

Es necesario fijar normas precisas para la transmisión de dichos datos biométricos y de otros datos personales pertinentes en Eurodac, la conservación, la comparación con otros datos biométricos, la transmisión de los resultados de dichas comparaciones y el marcado y la supresión de los datos registrados. Dichas normas pueden diferir según la situación de las distintas categorías de nacionales de terceros países o apátridas, a la que deben adaptarse.

(49)

Los Estados miembros deben garantizar una calidad adecuada en la transmisión de datos biométricos a efectos de su comparación mediante el sistema informatizado de reconocimiento facial y de impresiones dactilares. Todas las autoridades con derecho de acceso a Eurodac deben invertir en la formación adecuada y el equipo técnico necesario. Las autoridades con derecho de acceso a Eurodac deben informar a eu-LISA sobre las dificultades específicas que detecten en la calidad de los datos, a fin de resolverlas.

(50)

La imposibilidad temporal o permanente de tomar o transmitir los datos biométricos de una persona por razones como, por ejemplo, la calidad insuficiente de los datos para una comparación adecuada, problemas técnicos, razones relativas a la protección de la salud o porque el interesado no esté en condiciones o sea incapaz de proporcionar sus datos biométricos por circunstancias ajenas a su control no debe afectar negativamente al examen de la solicitud de protección internacional de dicha persona ni a la decisión correspondiente.

(51)

Los Estados miembros deben tener en cuenta el documento de trabajo de los servicios de la Comisión sobre la aplicación del Reglamento Eurodac en relación con la obligación de tomar impresiones dactilares, que el Consejo invitó a los Estados miembros a seguir el 20 de julio de 2015, y que establece un enfoque basado en las mejores prácticas para la toma de las impresiones dactilares. En su caso, los Estados miembros también deben tener en cuenta la hoja de comprobación para actuar en consonancia con los derechos fundamentales a la hora de tomar impresiones dactilares para Eurodac, publicada por la Agencia de los Derechos Fundamentales de la Unión Europea y que tiene por objeto proporcionar asistencia para cumplir con los derechos fundamentales a la hora de tomar impresiones dactilares.

(52)

Los Estados miembros deben informar a todas las personas a las que se exija proporcionar datos biométricos al amparo del presente Reglamento de dicha obligación. Asimismo, los Estados miembros deben explicar a dichas personas que redunda en su propio interés cooperar de manera plena e inmediata con el procedimiento mediante la provisión de sus datos biométricos. Cuando el Derecho nacional de un Estado miembro establezca medidas administrativas que contemplen la posibilidad de tomar datos biométricos utilizando medidas de coerción como último recurso, tales medidas deben respetar plenamente la Carta. Salvo en circunstancias debidamente justificadas y como último recurso, tras agotar otras posibilidades, se puede recurrir a un nivel proporcionado de coacción para asegurar el cumplimiento por parte de nacionales de terceros países o apátridas que sean considerados personas vulnerables, así como menores, de la obligación de proporcionar datos biométricos.

(53)

En aquellos casos en que el internamiento se emplee para determinar o verificar la identidad de un nacional de un tercer país o un apátrida, los Estados miembros solo lo utilizarán como instrumento de último recurso y con pleno respeto del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales y de conformidad con el Derecho de la Unión pertinente, incluida la Carta.

(54)

Cuando resulte necesario, las respuestas positivas serán comprobadas por un experto cualificado en impresiones dactilares a fin de garantizar la correcta determinación de responsabilidad con arreglo al Reglamento (UE) 2024/1351, la identificación exacta del nacional de un tercer país o apátrida y la identificación exacta de personas sospechosas de haber cometido delitos o personas víctimas de delitos cuyos datos puedan conservarse en Eurodac. Las comprobaciones por un experto cualificado se deben considerar necesarias cuando existan dudas acerca de si el resultado de la comparación de los datos sobre las impresiones dactilares se refiere a la misma persona, en particular cuando los datos correspondientes a una respuesta positiva de impresión dactilar se refieran a una persona de un sexo distinto o cuando los datos de la imagen facial no se correspondan con los rasgos faciales de la persona cuyos datos biométricos se hayan tomado. Las respuestas positivas que se obtengan de Eurodac basadas en imágenes faciales también serán comprobadas por un experto cualificado con arreglo a la práctica nacional cuando solo se establezca la comparación con los datos de la imagen facial. Cuando se comparen simultáneamente los datos de impresiones dactilares e imágenes faciales y se obtenga una respuesta positiva para ambos conjuntos de datos biométricos, los Estados miembros deben poder comprobar el resultado de la comparación de los datos de la imagen facial.

(55)

Los nacionales de terceros países o apátridas que hayan solicitado protección internacional en un Estado miembro podrían tratar de solicitar protección internacional en otro Estado miembro durante muchos años. El período máximo para la conservación en Eurodac de los datos biométricos de los nacionales de terceros países o apátridas que hayan solicitado protección internacional debe limitarse al estrictamente necesario y proporcional, en consonancia con el principio de proporcionalidad consagrado en el artículo 52, apartado 1, de la Carta y según la interpretación del Tribunal de Justicia. Teniendo en cuenta que la mayor parte de los nacionales de terceros países o apátridas que hayan permanecido en la Unión durante varios años habrán obtenido un estatuto permanente o incluso la ciudadanía de un Estado miembro después de dicho período, un período de diez años debe considerarse razonable para la conservación de los datos biométricos y alfanuméricos.

(56)

En sus Conclusiones sobre la apatridia de 4 de diciembre de 2015, el Consejo y los representantes de los Gobiernos de los Estados miembros recordaron el compromiso de la Unión, de septiembre de 2012, de que todos los Estados miembros se adherirían a la Convención sobre el Estatuto de los Apátridas, adoptada en Nueva York el 28 de septiembre de 1954, y estudiarían adherirse a la Convención para Reducir los Casos de Apatridia, adoptada en Nueva York el 30 de agosto de 1961.

(57)

Con objeto de aplicar los motivos de denegación con arreglo al Reglamento (UE) 2024/1350, los datos biométricos de nacionales de terceros países o apátridas registrados con objeto de tramitar un procedimiento de admisión con arreglo a dicho Reglamento deben ser recogidos, transmitidos a Eurodac y comparados con los datos conservados en Eurodac sobre beneficiarios de protección internacional, personas a las que se ha concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional de conformidad con dicho Reglamento, personas cuya admisión a un Estado miembro ha sido rechazada por uno de los motivos indicados en dicho Reglamento, en concreto por haber existido motivos razonables para considerar que el nacional de un tercer país o el apátrida supone un peligro para la sociedad, el orden público, la seguridad o la salud pública del Estado miembro de que se trate, o por haberse emitido una descripción en el SIS o en una base de datos nacional de un Estado miembro a efectos de denegación de entrada, o con respecto a las cuales se ha suspendido un procedimiento de admisión por no haber dado su consentimiento o por haberlo retirado, y personas que han sido admitidas al amparo de un programa nacional de reasentamiento. Por consiguiente, estas categorías de datos deben conservarse en Eurodac y estar disponibles con fines de comparación.

(58)

Con objeto de aplicar el Reglamento (UE) 2024/1350 y el Reglamento (UE) 2024/1351, los datos biométricos de nacionales de terceros países o apátridas a los que se ha concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional de conformidad con el Reglamento (UE) 2024/1350 deben conservarse en Eurodac durante cinco años a partir de la fecha en la que se tomaron. Dicho período debe ser suficiente habida cuenta de que la mayoría de dichas personas habrán residido durante varios años en la Unión y habrán obtenido el estatuto de residente de larga duración o incluso la ciudadanía de un Estado miembro.

(59)

Cuando a un nacional de un tercer país o a un apátrida le sea denegada la admisión en un Estado miembro por uno de los motivos detallados en el Reglamento (UE) 2024/1350, a saber, que existían motivos suficientes para considerar que el nacional de un tercer país o apátrida supone un peligro para la comunidad, el orden público, la seguridad o la salud pública del Estado miembro en cuestión o por el motivo de que se ha emitido una alerta en el SIS o en una base de datos nacional de un Estado miembro con fines de denegar la entrada, los datos conexos deben conservarse durante un período de tres años a partir de la fecha en que se haya llegado a la conclusión negativa sobre la admisión. Esos datos deben ser conservados durante dicho período a fin de permitir que otros Estados miembros que estén tramitando un procedimiento de admisión reciban información de Eurodac, incluida cualquier información sobre el marcado de los datos por otros Estados miembros, a lo largo del procedimiento de admisión, en su caso, mediante la aplicación de los motivos de denegación que figuran en el Reglamento (UE) 2024/1350. Además, los datos sobre procedimientos de admisión que habían sido suspendidos anteriormente porque los nacionales de terceros países o los apátridas no habían dado su consentimiento o lo habían retirado deben ser conservados durante tres años en Eurodac para permitir a otros Estados miembros que estén tramitando un procedimiento de admisión alcanzar una conclusión negativa, tal como permite dicho Reglamento.

(60)

La transmisión de datos de personas registradas con objeto de tramitar un procedimiento de admisión en Eurodac debe contribuir a limitar el número de Estados miembros que intercambian los datos personales de dichas personas durante un posterior procedimiento de admisión, y por consiguiente debe contribuir a asegurar el cumplimiento del principio de minimización de datos.

(61)

Cuando un Estado miembro reciba una respuesta positiva de Eurodac que pueda ayudar a dicho Estado miembro a completar sus obligaciones necesarias para la aplicación de los motivos para denegar la admisión con arreglo al Reglamento (UE) 2024/1350, el Estado miembro de origen que hubiera denegado anteriormente la admisión de un nacional de un tercer país o un apátrida debe intercambiar rápidamente información suplementaria con el Estado miembro que recibió la respuesta positiva de conformidad con el principio de cooperación leal y con sujeción a los principios de protección de datos. Este intercambio de datos debe permitir al Estado miembro que recibió la respuesta positiva alcanzar una conclusión sobre la admisión dentro del plazo fijado en dicho Reglamento para la conclusión del procedimiento de admisión.

(62)

La obligación de tomar y transmitir datos biométricos de personas registradas con objeto de tramitar un procedimiento de admisión no debe aplicarse cuando el Estado miembro en cuestión suspenda el procedimiento antes de la toma de los datos biométricos.

(63)

Con miras a prevenir y controlar eficazmente los movimientos no autorizados de nacionales de terceros países o apátridas que no tengan derecho a permanecer en la Unión, así como a tomar las medidas necesarias para ejecutar satisfactoriamente el retorno y la readmisión efectivos a terceros países de conformidad con la Directiva 2008/115/CE y teniendo en cuenta el derecho a la protección de los datos personales, debe considerarse necesario un período de cinco años para la conservación de los datos biométricos y alfanuméricos.

(64)

Con el fin de apoyar a los Estados miembros en su cooperación administrativa durante la aplicación de la Directiva 2001/55/CE, los datos de los beneficiarios de protección temporal deben conservarse en Eurodac durante un período de un año a partir de la fecha de entrada en vigor de la decisión de ejecución del Consejo pertinente. El período de conservación se prorrogará cada año a lo largo del período de protección temporal.

(65)

El período de conservación debe acortarse en ciertas situaciones especiales en las que no exista la necesidad de mantener los datos biométricos ni alguno de los demás datos personales durante todo ese tiempo. Los datos biométricos y todos los demás datos personales relativos a nacionales de un tercer país o a apátridas deben suprimirse de forma inmediata y permanente en cuanto los nacionales de terceros países o apátridas obtengan la ciudadanía de un Estado miembro.

(66)

Conviene conservar los datos relativos a aquellas personas cuyos datos biométricos hayan sido registrados en Eurodac en el momento de la formulación o el registro de sus solicitudes de protección internacional, y a quienes se haya concedido protección internacional en un Estado miembro, con objeto de posibilitar que los datos registrados en el momento del registro o la tramitación de otra solicitud de protección internacional puedan ser comparados con los datos registrados previamente.

(67)

Se han encomendado a eu-LISA las tareas de la Comisión relacionadas con la gestión operativa de Eurodac de conformidad con el presente Reglamento y determinadas tareas relacionadas con la Infraestructura de Comunicación a partir del 1 de diciembre de 2012, la fecha en que eu-LISA asumió sus responsabilidades. Además, Europol debe tener el estatuto de observador en las reuniones del Consejo de Administración de eu-LISA cuando figure en el orden del día algún asunto relativo a la aplicación del presente Reglamento en relación con el acceso para consultar Eurodac por parte de las autoridades designadas de los Estados miembros y por la autoridad designada de Europol, con fines de prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves. Europol debe poder nombrar a un representante en el Grupo consultivo Eurodac de eu-LISA.

(68)

Es necesario determinar claramente las responsabilidades respectivas de la Comisión y de eu-LISA, por lo que se refiere a Eurodac y a la Infraestructura de Comunicación, y las responsabilidades de los Estados miembros, por lo que se refiere al tratamiento y la seguridad de los datos, así como al acceso a los datos registrados y a su rectificación.

(69)

Es necesario designar a las autoridades competentes de los Estados miembros, así como los Puntos de Acceso Nacionales a través de los cuales se realizan las solicitudes de comparación con los datos de Eurodac y disponer de una lista de las unidades operativas dentro de las autoridades designadas autorizadas para solicitar dicha comparación con los fines específicos de prevención, detección o investigación de delitos de terrorismo o de otros delitos graves.

(70)

Resulta necesario designar y disponer de una lista de las unidades operativas de Europol que estén autorizadas a solicitar comparaciones con los datos de Eurodac a través del Punto de Acceso de Europol. Dichas unidades, entre las que se encuentran las unidades que hacen frente a la trata de seres humanos, el abuso sexual y la explotación sexual, en particular cuando las víctimas son menores, deben estar autorizadas a solicitar comparaciones con datos de Eurodac mediante el Punto de Acceso de Europol con objeto de apoyar y reforzar las iniciativas de los Estados miembros en la prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves que entren dentro del ámbito del mandato de Europol.

(71)

Las unidades operativas de las autoridades designadas del Punto de Acceso Nacional tienen que presentar las solicitudes de comparación con los datos conservados en Eurodac, que deben ir motivadas, a través de la autoridad verificadora. Las unidades operativas de las autoridades designadas autorizadas para solicitar dichas comparaciones con los datos de Eurodac no deben actuar como autoridad verificadora. Las autoridades verificadoras deben actuar con independencia frente a las autoridades designadas y deben ser las responsables de garantizar, de modo independiente, el estricto cumplimiento de las condiciones de acceso, tal como se establecen en el presente Reglamento. Las autoridades verificadoras deben remitir a continuación las solicitudes, que no deben ir motivadas, a través del Punto de Acceso Nacional a Eurodac, previa verificación de que se han cumplido todas las condiciones de acceso. En casos excepcionales de urgencia, cuando sea necesario tener un acceso rápido para responder a una amenaza específica y real relacionada con delitos de terrorismo u otros delitos graves, la autoridad verificadora debe poder remitir la solicitud inmediatamente y solo después proceder a la verificación.

(72)

La autoridad designada y la autoridad verificadora deben poder formar parte de la misma organización, si así lo permite el Derecho nacional, pero la autoridad verificadora debe actuar con independencia cuando desempeñe las funciones que le atribuye el presente Reglamento.

(73)

A fin de proteger los datos personales y excluir comparaciones sistemáticas que deben estar prohibidas, el tratamiento de los datos de Eurodac solo debe efectuarse en casos específicos y cuando sea necesario para los fines de prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves. Un caso específico se da, en particular, cuando la solicitud de comparación está vinculada a una situación específica y concreta, a un peligro específico y concreto asociado a un delito de terrorismo u otros delitos graves, o a personas específicas respecto de las cuales haya motivos fundados para creer que han cometido o cometerán cualquiera de dichos delitos. Se da también un caso específico cuando la solicitud de comparación está vinculada con una persona que es víctima de un delito de terrorismo u otro delito grave. Las autoridades designadas de los Estados miembros y la autoridad designada de Europol, por tanto, solo deben solicitar una comparación con Eurodac cuando tengan motivos fundados para creer que dicha comparación facilitará información que les ayudará sustancialmente en la prevención, detección o investigación de un delito de terrorismo u otro delito grave.

(74)

Además, solo se debe permitir el acceso a condición de que se haya realizado una búsqueda previa en las bases de datos biométricos nacionales del Estado miembro y en los sistemas automatizados de identificación dactilar de todos los demás Estados miembros en virtud de la Decisión 2008/615/JAI del Consejo (29), salvo que la consulta del RDCI de conformidad con el artículo 22, apartado 2, del Reglamento (UE) 2019/818 indique que los datos de la persona en cuestión están conservados en Eurodac. Esa condición exige que el Estado miembro solicitante efectúe comparaciones con los sistemas automatizados de identificación dactilar de todos los demás Estados miembros, con arreglo a la Decisión 2008/615/JAI, que estén disponibles desde el punto de vista técnico, a menos que dicho Estado miembro pueda justificar que existen motivos razonables para creer que esta comparación no va a permitir establecer la identidad del interesado. Existirán estos motivos razonables, en particular, cuando el caso concreto no presente ninguna relación operativa o de investigación con un Estado miembro determinado. Esta condición requiere que el Estado miembro solicitante ya haya llevado a la práctica los aspectos jurídicos y técnicos de la Decisión 2008/615/JAI por lo que se refiere a los datos dactiloscópicos, ya que no estará permitido proceder a una comprobación en Eurodac a efectos de aplicación de la ley cuando no se hayan cumplido los requisitos para cumplir con dicha condición. Aparte de las comprobaciones previas de las bases de datos, las autoridades designadas también deben poder realizar una comprobación simultánea en el VIS, siempre que se hayan cumplido las condiciones para una comparación con los datos ahí conservados tal como figura en la Decisión 2008/633/JAI del Consejo (30).

(75)

Para que la comparación y el intercambio de datos personales sean eficaces, los Estados miembros deben aplicar y usar plenamente los acuerdos internacionales existentes y el Derecho de la Unión en materia de intercambio de datos personales, en particular la Decisión 2008/615/JAI.

(76)

La responsabilidad extracontractual de la Unión con respecto al funcionamiento de Eurodac se rige por las disposiciones pertinentes del Tratado de Funcionamiento de la Unión Europea (TFUE); es necesario, sin embargo, establecer normas específicas sobre la responsabilidad extracontractual de los Estados miembros en relación con el funcionamiento del sistema.

(77)

El Reglamento (UE) 2016/679 es aplicable al tratamiento de datos personales llevado a cabo en aplicación del presente Reglamento por los Estados miembros, a menos que dicho tratamiento sea llevado a cabo por las autoridades designadas o verificadoras competentes de los Estados miembros a efectos de prevención, investigación, detección o persecución de los delitos de terrorismo o de otros delitos graves, incluidas la protección frente a las amenazas contra la seguridad pública y su prevención.

(78)

Las normas nacionales adoptadas en virtud de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (31) se aplican al tratamiento de datos personales por parte de las autoridades competentes de los Estados miembros con fines de prevención, investigación, detección o enjuiciamiento de delitos de terrorismo o de otros delitos graves de conformidad con el presente Reglamento.

(79)

El Reglamento (UE) 2016/794 se aplica al tratamiento de datos personales por parte de Europol con fines de prevención, investigación o detección de delitos de terrorismo o de otros delitos graves de conformidad con el presente Reglamento.

(80)

Las normas establecidas en el Reglamento (UE) 2016/679 respecto de la protección de los derechos y libertades de las personas físicas, y en particular su derecho a la protección de los datos personales que les conciernan, deben especificarse en este Reglamento en lo relativo a la responsabilidad por el tratamiento de los datos, la salvaguardia de los derechos de los interesados y la supervisión de la protección de los datos, en especial para determinados sectores.

(81)

El derecho de una persona a la intimidad y a la protección de datos debe salvaguardarse en todo momento de conformidad con el presente Reglamento, tanto en lo que respecta al acceso a Eurodac por parte de las autoridades de los Estados miembros como por parte de los organismos autorizados de la Unión.

(82)

Los interesados deben tener derecho de acceso a los datos personales que les conciernan, a su rectificación y supresión, así como a limitar su tratamiento. Teniendo en cuenta los fines del tratamiento de los datos, los interesados deben tener derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional. Dichos derechos deben ejercerse con arreglo al Reglamento (UE) 2016/679 y de conformidad con los procedimientos establecidos en el presente Reglamento, la Directiva (UE) 2016/680 y el Reglamento (UE) 2016/794 en lo que respecta al tratamiento de datos personales a efectos de aplicación de la ley en virtud del presente Reglamento. En relación con el tratamiento de datos personales en Eurodac por parte de las autoridades nacionales, por razones de seguridad jurídica y transparencia, cada Estado miembro debe designar a la autoridad que se considerará responsable del tratamiento de conformidad con el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680 y que debe tener la responsabilidad central del tratamiento de datos por parte de dicho Estado miembro. Cada Estado miembro debe comunicar los datos de dicha autoridad a la Comisión.

(83)

También es importante rectificar los datos materialmente incorrectos registrados en Eurodac para garantizar la exactitud de las estadísticas elaboradas de conformidad con el presente Reglamento.

(84)

Las transferencias de datos personales obtenidos por un Estado miembro o por Europol de conformidad con el presente Reglamento a partir de Eurodac con destino a terceros países u organizaciones internacionales o entidades privadas establecidas dentro o fuera de la Unión deben estar prohibidas para garantizar el derecho de asilo y proteger a las personas cuyos datos se tratan en virtud del presente Reglamento frente al riesgo de comunicación de sus datos a cualquier tercer país. Ello implica que los Estados miembros no pueden transferir información obtenida de Eurodac relativa a: el nombre y los apellidos; la fecha de nacimiento; la nacionalidad; el Estado miembro o Estados miembros de origen, el Estado miembro de reubicación o el de reasentamiento; los datos del documento de identidad o del documento de viaje; el lugar y la fecha de reasentamiento o de presentación de la solicitud de protección internacional; el número de referencia atribuido por el Estado miembro de origen; la fecha en que se hayan tomado los datos biométricos y la fecha en que el Estado miembro o los Estados miembros hayan transmitido los datos a Eurodac; la identificación de usuario del operador; y cualquier otra información relativa a cualquier traslado del interesado de conformidad con el Reglamento (UE) 2024/1351. Dicha prohibición debe entenderse sin perjuicio del derecho de los Estados miembros a transferir dichos datos a los terceros países a los que se aplique el Reglamento (UE) 2024/1351, de conformidad con el Reglamento (UE) 2016/679 y con las normas nacionales adoptadas con arreglo a la Directiva (UE) 2016/680, a fin de asegurar que los Estados miembros tengan la posibilidad de cooperar con dichos terceros países a efectos del presente Reglamento.

(85)

Como excepción a lo dispuesto en la norma según la cual los datos personales obtenidos por un Estado miembro de acuerdo con el presente Reglamento no deben transferirse ni ponerse a disposición de ningún tercer país, debe ser posible transferir dichos datos personales a un tercer país cuando dicha transferencia esté sujeta a condiciones estrictas y sea necesaria en casos concretos con el fin de ayudar a la identificación de los nacionales de terceros países con miras a su retorno. La transferencia de todo dato personal debe estar sujeta a condiciones estrictas. En el caso de que se transfieran dichos datos personales, la información sobre el hecho de que el nacional de un tercer país ha formulado una solicitud de protección internacional no debe divulgarse a un tercer país. La transferencia de datos personales a terceros países debe llevarse a cabo de conformidad con el Reglamento (UE) 2016/679 y con el acuerdo del Estado miembro de origen. A menudo, los terceros países de retorno no han sido objeto de decisiones de adecuación adoptadas por la Comisión con arreglo al Reglamento (UE) 2016/679. Por otra parte, el gran empeño que ha puesto la Unión en la cooperación con los principales países de origen de nacionales de terceros países en situación irregular sujetos a una obligación de retorno no ha garantizado el cumplimiento sistemático por parte de estos terceros países de la obligación, establecida por el Derecho internacional, de readmitir a sus propios nacionales. Los acuerdos de readmisión que han celebrado o están negociando la Unión o los Estados miembros y que prevén garantías adecuadas para la transferencia de datos a terceros países de conformidad con el artículo 46 del Reglamento (UE) 2016/679 abarcan un número limitado de esos terceros países, y la celebración de nuevos acuerdos de readmisión sigue siendo incierta. En tales situaciones, y como excepción al requisito de una decisión de adecuación o de garantías adecuadas, debe autorizarse, de conformidad con el presente Reglamento y a efectos de la aplicación de la política de retorno de la Unión, la transferencia de datos personales a autoridades de terceros países, para lo cual debe ser posible recurrir a la excepción establecida en el Reglamento (UE) 2016/679, siempre y cuando se cumplan las condiciones establecidas en dicho Reglamento. La aplicación del Reglamento (UE) 2016/679 —también en lo que respecta a las transferencias de datos personales a terceros países en virtud del presente Reglamento— está sujeta al control de la autoridad de control nacional independiente. El Reglamento (UE) 2016/679 se aplica en relación con la responsabilidad de las autoridades de los Estados miembros como responsables del tratamiento en el sentido de dicho Reglamento.

(86)

El Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (32), y en particular su artículo 33 relativo a la confidencialidad y la seguridad del tratamiento, se aplica al tratamiento de datos personales llevado a cabo por las instituciones, órganos y organismos de la Unión en aplicación del presente Reglamento, sin perjuicio del Reglamento (UE) 2016/794, que debe aplicarse al tratamiento de datos personales por parte de Europol. No obstante, es preciso aclarar determinados puntos relativos a la responsabilidad derivada del tratamiento de los datos y de la supervisión de la protección de los datos, teniendo en cuenta que la protección de datos es un factor clave para el buen funcionamiento de Eurodac y que la seguridad de los datos, la elevada calidad técnica y la legalidad de las consultas son esenciales para garantizar el funcionamiento correcto y libre de contratiempos de Eurodac y para facilitar la aplicación de los Reglamentos (UE) 2024/1351 y (UE) 2024/1350.

(87)

El interesado debe ser informado, en particular, de la finalidad que tendrá el tratamiento de sus datos en Eurodac, incluida una descripción de los objetivos del Reglamento (UE) 2024/1351 y (UE) 2024/1350, y del uso que de sus datos podrán hacer los servicios de seguridad.

(88)

Es conveniente que las autoridades de control nacionales establecidas de conformidad con el Reglamento (UE) 2016/679 supervisen la legalidad del tratamiento de datos personales por los Estados miembros, mientras que el Supervisor Europeo de Protección de Datos, establecido por el Reglamento (UE) 2018/1725, supervisa las actividades de las instituciones, órganos y organismos de la Unión en relación con el tratamiento de datos personales llevado a cabo en aplicación del presente Reglamento. Dichas autoridades de control y el Supervisor Europeo de Protección de Datos deben cooperar entre sí en la supervisión del tratamiento de datos personales, también en el contexto del Comité de Supervisión Coordinada creado en el marco del Comité Europeo de Protección de Datos.

(89)

Los Estados miembros, el Parlamento Europeo, el Consejo y la Comisión deben asegurarse de que las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos estén en condiciones de supervisar adecuadamente el uso de los datos de Eurodac y el acceso a ellos.

(90)

Es conveniente proceder al seguimiento y evaluación de las actividades de Eurodac periódicamente, también para determinar si el acceso a efectos de aplicación de la ley ha supuesto la discriminación indirecta de los solicitantes de protección internacional, tal como se plantea en la evaluación de la Comisión de la conformidad de este Reglamento con la Carta. eu-LISA debe presentar al Parlamento Europeo y al Consejo un informe anual sobre las actividades de Eurodac.

(91)

Los Estados miembros deben establecer un sistema de sanciones efectivas, proporcionadas y disuasorias para el tratamiento ilícito de los datos registrados en Eurodac que sea contrario a su finalidad.

(92)

Es preciso que los Estados miembros sean informados de la situación de determinados procedimientos de asilo, con el fin de facilitar la aplicación adecuada del Reglamento (UE) 2024/1351.

(93)

El presente Reglamento debe entenderse sin perjuicio de la aplicación de la Directiva 2004/38/CE del Parlamento Europeo y del Consejo (33).

(94)

El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos, entre otros textos, en la Carta. En especial, el presente Reglamento aspira a garantizar la plena observancia de la protección de los datos personales y del derecho a buscar protección internacional, así como a promover la aplicación de los artículos 8 y 18 de la Carta. Por consiguiente, el presente Reglamento debe aplicarse en consecuencia.

(95)

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42 del Reglamento (UE) 2018/1725, emitió sus dictámenes el 21 de septiembre de 2016 y el 30 de noviembre de 2020.

(96)

Dado que el objetivo del presente Reglamento, a saber, la creación de un sistema de comparación de datos biométricos para colaborar en la aplicación de la política de asilo y migración de la Unión, no puede ser alcanzado de manera suficiente por los Estados miembros, en razón de su propio carácter, sino que puede lograrse mejor a escala de la Unión, la Unión puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea (TUE). De conformidad con el principio de proporcionalidad establecido en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(97)

Es conveniente restringir el ámbito territorial del presente Reglamento con el fin de que se corresponda con el ámbito territorial del Reglamento (UE) 2024/1351, con excepción de las disposiciones relativas a los datos recopilados para contribuir a la aplicación del Reglamento (UE) 2024/1350 en virtud de las condiciones establecidas en el presente Reglamento.

(98)

De conformidad con los artículos 1 y 2 del Protocolo nº 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE, Dinamarca no participa en la adopción del presente Reglamento y no queda vinculada por él ni sujeta a su aplicación.

(99)

De conformidad con los artículos 1 y 2 y el artículo 4 bis, apartado 1, del Protocolo nº 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al TUE y al TFUE, y sin perjuicio del artículo 4 de dicho Protocolo, Irlanda no participa en la adopción del presente Reglamento y no queda vinculada por él ni sujeta a su aplicación.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I. Disposiciones generales

Artículo 1. Finalidad de «Eurodac»

1.   Se crea un sistema denominado «Eurodac». Su finalidad es:

  1.  

apoyar el sistema de asilo, inclusive ayudando a determinar el Estado miembro responsable con arreglo al Reglamento (UE) 2024/1351 del examen de las solicitudes de protección internacional registradas en los Estados miembros por los nacionales de terceros países o apátridas y facilitando la aplicación de dicho Reglamento en las condiciones establecidas en el presente Reglamento;

b)

prestar asistencia en la aplicación del Reglamento (UE) 2024/1350 de conformidad con las condiciones establecidas en el presente Reglamento;

c)

prestar asistencia en relación con el control de la inmigración irregular a la Unión, con la detección de los movimientos secundarios dentro de su territorio y con la identificación de los nacionales de terceros países y apátridas en situación irregular a efectos de determinar las medidas apropiadas que han de adoptar los Estados miembros;

d)

prestar asistencia en la protección de los menores, también en el contexto de la aplicación de la ley;

e)

establecer las condiciones en las que las autoridades designadas de los Estados miembros y la autoridad designada de Europol podrán solicitar la comparación de datos biométricos o alfanuméricos con los conservados en Eurodac a efectos de aplicación de la ley para la prevención, detección o investigación de los delitos de terrorismo u otros delitos graves;

f)

ayudar a identificar correctamente a las personas registradas en Eurodac, con arreglo al artículo 20 del Reglamento (UE) 2019/818, mediante la conservación de datos de identidad, datos de documentos de viaje y datos biométricos en el registro común de datos de identidad (RCDI);

g)

apoyar los objetivos del Sistema Europeo de Información y Autorización de Viajes (SEIAV) establecido por el Reglamento (UE) 2018/1240;

h)

apoyar los objetivos del Sistema de Información de Visados (VIS) a que hace referencia el Reglamento (CE) nº 767/2008;

i)

apoyar la elaboración de políticas basadas en datos contrastados mediante la elaboración de estadísticas;

j)

prestar asistencia en la aplicación de la Directiva 2001/55/CE.

2.   Sin perjuicio del tratamiento por el Estado miembro de origen de los datos destinados a Eurodac en otras bases de datos establecidas en virtud del Derecho nacional de este Estado miembro, los datos biométricos y demás datos personales únicamente podrán ser tratados en Eurodac a los efectos establecidos en el presente Reglamento, en los Reglamentos (CE) nº 767/2008, (UE) 2018/1240, (UE) 2019/818, (UE) 2024/1351 y (UE) 2024/1350 y en la Directiva 2001/55/CE.

El presente Reglamento respeta plenamente la dignidad humana y los derechos fundamentales y observa los principios reconocidos por la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), incluidos el derecho al respeto de la vida privada, el derecho a la protección de los datos de carácter personal, el derecho de asilo y la prohibición de la tortura y los tratos inhumanos o degradantes. A este respecto, el tratamiento de datos personales con arreglo al presente Reglamento no dará lugar a discriminación alguna contra las personas a las que se aplica el presente Reglamento por motivos tales como el sexo, la raza, el color, el origen étnico o social, las características genéticas, el idioma, la religión o las creencias, las opiniones políticas o de cualquier otro tipo, la pertenencia a una minoría nacional, el patrimonio, el nacimiento, la discapacidad, la edad o la orientación sexual.

El derecho de las personas a la intimidad y a la protección de datos se protegerá de conformidad con el presente Reglamento, tanto en lo que se refiere al acceso a Eurodac por parte de las autoridades de los Estados miembros como por parte de los organismos autorizados de la Unión.

Artículo 2. Definiciones

1.   A efectos del presente Reglamento, se entenderá por:

a)

«solicitante de protección internacional»: el nacional de un tercer país o el apátrida que ha formulado una solicitud de protección internacional, tal como se define en el artículo 3, punto 7, del Reglamento (UE) 2024/1347, sobre la que aún no se haya adoptado una decisión definitiva;

b)

«persona registrada con objeto de tramitar un procedimiento de admisión»: una persona que ha sido registrada con objeto de tramitar un procedimiento de reasentamiento o de admisión humanitaria conforme a lo dispuesto en el artículo 9, apartado 3, del Reglamento (UE) 2024/1350;

c)

«persona admitida en virtud de un programa de reasentamiento nacional»: una persona reasentada por un Estado miembro al margen del marco del Reglamento (UE) 2024/1350, cuando a dicha persona se le ha concedido protección internacional en el sentido del artículo 3, punto 3, del Reglamento (UE) 2024/1347 o estatuto humanitario con arreglo al Derecho nacional en el sentido del artículo 2, apartado 3, letra c), del Reglamento (UE) 2024/1350 conforme a las normas que regulan el programa de reasentamiento nacional;

d)

«estatuto humanitario con arreglo al Derecho nacional»: un estatuto humanitario con arreglo al Derecho nacional que establece derechos y obligaciones equivalentes a los establecidos en los artículos 20 a 26 y 28 a 35 del Reglamento (UE) 2024/1347;

e)

«Estado miembro de origen»:

i)

en relación con las personas a las que se aplica el artículo 15, apartado 1, el Estado miembro que transmita los datos personales a Eurodac y reciba los resultados de la comparación,

ii)

en relación con las personas a las que se aplica el artículo 18, apartado 1, el Estado miembro que transmita los datos personales a Eurodac y reciba los resultados de la comparación,

iii)

en relación con las personas a las que se aplica el artículo 18, apartado 2, el Estado miembro que transmita los datos personales a Eurodac,

iv)

en relación con las personas a las que se aplica el artículo 20, apartado 1, el Estado miembro que transmita los datos personales a Eurodac,

v)

en relación con las personas a las que se aplica el artículo 22, apartado 1, el Estado miembro que transmita los datos personales a Eurodac y reciba los resultados de la comparación,

vi)

en relación con las personas a las que se aplica el artículo 23, apartado 1, el Estado miembro que transmita los datos personales a Eurodac y reciba los resultados de la comparación,

vii)

en relación con las personas a las que se aplica el artículo 24, apartado 1, el Estado miembro que transmita los datos personales a Eurodac y reciba los resultados de la comparación,

viii)

en relación con las personas a las que se aplica el artículo 26, apartado 1, el Estado miembro que transmita los datos personales a Eurodac y reciba los resultados de la comparación;

f)

«nacional de un tercer país»: cualquier persona que no es ciudadano de la Unión en el sentido del artículo 20, apartado 1, del TFUE, ni de un Estado que participe en la aplicación del presente Reglamento en virtud de un acuerdo con la Unión;

g)

«situación irregular»: la presencia en el territorio de un Estado miembro de un nacional de un tercer país o un apátrida que no cumpla o haya dejado de cumplir las condiciones de entrada establecidas en el artículo 6 del Reglamento (UE) 2016/399 del Parlamento Europeo y del Consejo (34) u otras condiciones de entrada, estancia o residencia en ese Estado miembro;

h)

«beneficiario de protección internacional»: una persona a la que se ha concedido el estatuto de refugiado tal como se define en el artículo 3, punto 1, del Reglamento (UE) 2024/1347 o el estatuto de protección subsidiaria definidos en el artículo 3, punto 2, de dicho Reglamento;

i)

«beneficiario de protección temporal»: una persona que disfruta de protección temporal tal como se define en el artículo 2, letra a), de la Directiva 2001/55/CE y en una decisión de ejecución del Consejo por la que se establezca la protección temporal o cualquier otra protección nacional equivalente establecida en respuesta al mismo hecho que dicha decisión de ejecución del Consejo;

j)

«respuesta positiva»: la correspondencia o correspondencias establecidas por Eurodac mediante una comparación entre los datos biométricos de una persona conservados en la base de datos central informatizada y los transmitidos por un Estado miembro, sin perjuicio de la obligación que tienen los Estados miembros de comprobar inmediatamente los resultados de la comparación, con arreglo al artículo 38, apartado 4;

k)

«Punto de Acceso Nacional»: el sistema nacional designado que se comunica con Eurodac;

l)

«Punto de Acceso de Europol»: el sistema de Europol designado que se comunica con Eurodac;

m)

«datos de Eurodac»: todos los datos conservados en Eurodac de conformidad con el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2;

n)

«aplicación de la ley»: prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves;

o)

«delito de terrorismo»: un delito tipificado en el Derecho nacional que se corresponde con, o es equivalente a, alguno de los delitos recogidos en la Directiva (UE) 2017/541;

p)

«delito grave»: un delito que se corresponde con, o es equivalente a, alguno de los delitos recogidos en el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI, si es punible con arreglo al Derecho nacional con una pena privativa de libertad o de internamiento de una duración máxima no inferior a tres años;

q)

«datos dactiloscópicos»: los datos relativos a impresiones simples y roladas de las impresiones dactilares de los diez dedos, cuando no falte ninguno, o una huella dactilar latente;

r)

«datos de imagen facial»: imágenes digitales del rostro con una resolución de imagen y calidad suficientes para ser utilizadas en la correspondencia biométrica automática;

s)

«datos biométricos»: los datos dactiloscópicos o los datos de imagen facial;

t)

«datos alfanuméricos»: datos representados por letras, dígitos, caracteres especiales, espacios o signos de puntuación;

u)

«documento de residencia»: cualquier autorización expedida por las autoridades de un Estado miembro por la que se autoriza a un nacional de un tercer país o a un apátrida a permanecer en su territorio, entre ellos los documentos en los que se materializa la autorización de permanecer en el territorio en el marco de un régimen de protección temporal o a la espera de que finalicen las circunstancias que se oponen a la ejecución de una medida de expulsión, con excepción de visados y autorizaciones de residencia expedidos durante el periodo exigido para determinar el Estado miembro responsable, según se establece en el Reglamento (UE) 2024/1351 o durante el examen de una solicitud de protección internacional o una solicitud de permiso de residencia;

v)

«documento de control de las interfaces»: todo documento técnico en el que se especifiquen los requisitos necesarios a los que se han de ajustar los Puntos de Acceso Nacionales o el Punto de Acceso de Europol, para poder comunicarse electrónicamente con Eurodac, en especial mediante la definición del formato y el posible contenido de la información que se intercambiará entre Eurodac y los Puntos de Acceso Nacionales o el Punto de Acceso de Europol;

w)

«RCDI»: el registro común de datos de identidad creado mediante el artículo 17, apartados 1 y 2, del Reglamento (UE) 2019/818;

x)

«datos de identidad»: los datos a que se refieren el artículo 17, apartado 1, letras c) a f) y h), el artículo 19, apartado 1, letras c) a f) y h), el artículo 21, apartado 1, letras c) a f) y h), el artículo 22, apartado 2, letras c) a f) y h), el artículo 23, apartado 2, letras c) a f) y h), el artículo 24, apartado 2, letras c) a f) y h), y el artículo 26, apartado 2, letras c) a f) y h);

y)

«conjunto de datos»: el conjunto de información registrado en Eurodac con arreglo a los artículos 17, 19, 21, 22, 23, 24 o 26, correspondiente a un conjunto de impresiones dactilares de una persona interesada e integrado por datos biométricos, datos alfanuméricos y, cuando esté disponible, una copia escaneada en color de un documento de identidad o de viaje;

z)

«niño» o «menor»: un nacional de un tercer país o un apátrida menor de dieciocho años.

2.   Las definiciones establecidas en el artículo 4 del Reglamento (UE) 2016/679 se aplicarán al presente Reglamento en la medida en que el tratamiento de datos personales sea llevado a cabo por las autoridades de los Estados miembros a los efectos establecidos en el artículo 1, apartado 1, letras a), b), c) y j), del presente Reglamento.

3.   Salvo disposición en contrario, las definiciones establecidas en el artículo 2 del Reglamento (UE) 2024/1351 se aplicarán al presente Reglamento.

4.   Las definiciones establecidas en el artículo 3 de la Directiva (UE) 2016/680 se aplicarán al presente Reglamento en la medida en que el tratamiento de datos personales sea llevado a cabo por las autoridades competentes de los Estados miembros a efectos de aplicación de la ley.

Artículo 3. Arquitectura del sistema y principios básicos

1.   Eurodac constará de:

a)

un Sistema Central integrado por:

i)

una Unidad Central,

ii)

un plan y un sistema de continuidad operativa;

b)

una infraestructura de comunicación entre el Sistema Central y los Estados miembros que proveerá un canal de comunicación seguro y cifrado para los datos Eurodac (en lo sucesivo, «Infraestructura de Comunicación»);

c)

el RCDI;

d)

una infraestructura de comunicación segura entre el Sistema Central y las infraestructuras centrales del portal europeo de búsqueda y entre el Sistema Central y el RCDI.

2.   El RCDI contendrá los datos a que se refieren el artículo 17, apartado 1, letras a) a f), h) e i), el artículo 19, apartado 1, letras a) a f), h) e i), el artículo 21, apartado 1, letras a) a f), h) e i), el artículo 22, apartado 2, letras a) a f), h) e i), el artículo 23, apartado 2, letras a) a f), h) e i), el artículo 24, apartado 2, letras a) a f) y h), y apartado 3, letra a), y el artículo 26, apartado 2, letras a) a f), h) e i). Los demás datos de Eurodac se conservarán en el Sistema Central.

3.   La Infraestructura de Comunicación utilizará la red existente «Servicios Transeuropeos Seguros de Telemática entre Administraciones» (TESTA). Con el fin de garantizar la confidencialidad, los datos personales trasmitidos a o desde Eurodac irán encriptados.

4.   Cada Estado miembro dispondrá de un único Punto de Acceso Nacional. Europol dispondrá de un único punto de acceso (en lo sucesivo, «Punto de Acceso de Europol»).

5.   Los datos relativos a las personas a las que se aplican el artículo 15, apartado 1, el artículo 18, apartado 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1, que sean objeto de tratamiento en Eurodac lo serán por cuenta del Estado miembro de origen de conformidad con lo dispuesto en el presente Reglamento y se separarán con los medios técnicos adecuados.

6.   Todos los conjuntos de datos registrados en Eurodac correspondientes al mismo nacional de un tercer país o apátrida se vincularán en una secuencia. Cuando se efectúe una comparación automática de conformidad con los artículos 27 y 28 y se obtenga una respuesta positiva respecto de al menos otro conjunto de impresiones dactilares o —cuando esas impresiones dactilares sean de una calidad que no garantice una comparación adecuada o no estén disponibles— datos de imagen facial de otro conjunto de datos correspondiente al mismo nacional de un tercer país o apátrida, Eurodac vinculará automáticamente ambos conjuntos de datos a partir de la comparación. Cuando sea necesario, un experto comprobará, de conformidad con el artículo 38, apartados 4 y 5, el resultado de la comparación automática efectuada de conformidad con los artículos 27 y 28. Cuando el Estado miembro receptor confirme la respuesta positiva, enviará una notificación a eu-LISA en la que se confirme la vinculación de dichos conjuntos de datos.

7.   Las normas que rigen Eurodac se aplicarán también a las operaciones efectuadas por los Estados miembros desde la transmisión de los datos a Eurodac hasta la utilización de los resultados de la comparación.

Artículo 4. Gestión operativa

1.   eu-LISA será responsable de la gestión operativa de Eurodac.

La gestión operativa de Eurodac consistirá en todas las funciones necesarias para mantener Eurodac en funcionamiento durante las 24 horas del día, siete días a la semana, de conformidad con el presente Reglamento, y, en particular, en el trabajo de mantenimiento y de desarrollo técnico necesario para garantizar que el sistema funciona a un nivel suficiente de calidad operativa, en particular en lo que se refiere al tiempo necesario para consultar Eurodac. eu-LISA elaborará un plan y sistema de continuidad operativa teniendo en cuenta las necesidades de mantenimiento y el tiempo de inactividad imprevisto de Eurodac, incluida la repercusión de las medidas de continuidad operativa en la protección y seguridad de los datos.

eu-LISA se asegurará, en cooperación con los Estados miembros, de que en Eurodac se utilicen la tecnología y las técnicas mejores y más seguras que haya, sobre la base de un análisis de costes-beneficios.

2.   eu-LISA podrá utilizar datos personales reales del sistema de producción de Eurodac para realizar ensayos, de conformidad con el Reglamento (UE) 2016/679, en las circunstancias siguientes:

a)

a efectos de diagnóstico y reparación, cuando se descubran defectos en Eurodac, o

b)

para someter a ensayo nuevas tecnologías y técnicas pertinentes con el fin de mejorar el rendimiento de Eurodac o la transmisión de datos al mismo.

En los casos a que se refieren las letras a) y b) del párrafo primero, las medidas de seguridad, el control del acceso y las actividades de conexión en el entorno de ensayo deberán ser iguales a los del sistema de producción de Eurodac. El tratamiento de los datos personales reales adaptados a efectos de ensayo estará sujetos a condiciones estrictas y se anonimizarán de forma que el interesado deje de ser identificable. Los datos personales serán suprimidos de forma inmediata y para siempre del entorno del ensayo una vez alcanzados los objetivos por los que se realizó el ensayo o tras la finalización de los ensayos.

3.   La Agencia eu-LISA será responsable de las siguientes funciones relacionadas con la Infraestructura de Comunicación:

a)

supervisión;

b)

seguridad;

c)

coordinación de las relaciones entre los Estados miembros y el proveedor.

4.   La Comisión será responsable de todas las funciones relacionadas con la Infraestructura de Comunicación distintas de las mencionadas en el apartado 3, en particular:

a)

ejecución del presupuesto;

b)

adquisición y renovación;

c)

cuestiones contractuales.

5.   Sin perjuicio de lo dispuesto en el artículo 17 del Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión, establecidos en el Reglamento (CEE, Euratom, CECA) nº 259/68 del Consejo (35), eu-LISA aplicará las normas pertinentes sobre secreto profesional u otras obligaciones equivalentes de confidencialidad a todo miembro de su personal que deba trabajar con los datos de Eurodac. Este apartado seguirá siendo aplicable después de que dichos miembros del personal hayan cesado en el cargo o el empleo o tras la terminación de sus funciones.

Artículo 5. Autoridades designadas por los Estados miembros a efectos de aplicación de la ley

1.   Los Estados miembros designarán a efectos de aplicación de la ley a las autoridades que estarán autorizadas a solicitar comparaciones con los datos de Eurodac con arreglo al presente Reglamento. Las autoridades designadas serán autoridades de los Estados miembros responsables de la prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves.

2.   Cada Estado miembro dispondrá de una lista de sus autoridades designadas.

3.   Cada Estado miembro dispondrá de una lista de las unidades operativas dependientes de sus autoridades designadas que estén autorizadas a solicitar comparaciones con los datos de Eurodac a través del Punto de Acceso Nacional.

Artículo 6. Autoridades verificadoras de los Estados miembros a efectos de aplicación de la ley

1.   Cada Estado miembro designará a efectos de aplicación de la ley una autoridad nacional única o una unidad de dicha autoridad que actuará como autoridad verificadora. La autoridad verificadora será una autoridad del Estado miembro responsable de la prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves.

La autoridad designada y la autoridad verificadora pueden formar parte de la misma organización, si así lo permite el Derecho nacional, pero la autoridad verificadora actuará con independencia cuando desempeñe las funciones que le atribuye el presente Reglamento. La autoridad verificadora será distinta de las unidades operativas a que se refiere el artículo 5, apartado 3, y no recibirá instrucciones de ellas por lo que se refiere al resultado de la verificación.

De acuerdo con sus requisitos constitucionales o jurídicos, los Estados miembros podrán designar más de una autoridad verificadoras para reflejar sus estructuras organizativas y administrativas.

2.   La autoridad verificadora garantizará que se cumplan las condiciones para solicitar comparaciones de datos biométricos o alfanuméricos con los datos de Eurodac.

Solo el personal debidamente habilitado de la autoridad verificadora estará autorizado a recibir y transmitir solicitudes de acceso a Eurodac de conformidad con lo establecido en el artículo 32.

Solo la autoridad verificadora estará autorizada a transmitir solicitudes de comparación de datos biométricos o alfanuméricos al Punto de Acceso Nacional.

Artículo 7. Autoridad designada de Europol y autoridad verificadora de Europol a efectos de aplicación de la ley

1.   Europol designará a efectos de aplicación de la ley una o más de sus unidades operativas como la «autoridad designada de Europol». La autoridad designada de Europol estará autorizada para solicitar comparaciones con los datos de Eurodac a través del Punto de Acceso de Europol para apoyar y reforzar la actuación de los Estados miembros en materia de prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves incluidos en el mandato de Europol.

2.   Europol designará a efectos de aplicación de la ley una unidad especializada con agentes de Europol debidamente habilitados para actuar como su autoridad verificadora. La autoridad verificadora de Europol estará autorizada a transmitir solicitudes de la autoridad designada de Europol de comparación de datos con los datos de Eurodac a través del Punto de Acceso de Europol. La autoridad verificadora de Europol será totalmente independiente de la autoridad designada de Europol cuando desempeñe las funciones que le atribuye el presente Reglamento. La autoridad verificadora de Europol será distinta de la autoridad designada de Europol y no recibirá instrucciones de ella por lo que se refiere al resultado de la verificación. La autoridad verificadora de Europol garantizará que se cumplan las condiciones para solicitar comparaciones de datos biométricos o alfanuméricos con los datos de Eurodac.

Artículo 8. Interoperabilidad con el SEIAV

1.   Desde el 12 de junio de 2026, Eurodac estará conectado con el portal europeo de búsqueda a que se refiere el artículo 6 del Reglamento (UE) 2019/818 con el fin de permitir la aplicación de los artículos 11 y 20 del Reglamento (UE) 2018/1240.

2.   El tratamiento automatizado a que se refiere el artículo 20 del Reglamento (UE) 2018/1240 permitirá las verificaciones establecidas en dicho artículo y las subsiguientes verificaciones establecidas en los artículos 22 y 26 de dicho Reglamento.

A efectos de la realización de las verificaciones establecidas en el artículo 20, apartado 2, letra k), del Reglamento (UE) 2018/1240, el Sistema Central del SEIAV utilizará el portal europeo de búsqueda con el fin de comparar los datos del SEIAV con los datos de Eurodac, recopilados al amparo de los artículos 17, 19, 21, 22, 23, 24 y 26 del presente Reglamento, en formato de solo lectura, haciendo uso de las categorías de datos enumeradas en la tabla de correspondencias que figura en el anexo I del presente Reglamento, relativos a personas que hayan abandonado o hayan sido expulsadas del territorio de los Estados miembros en cumplimiento de una decisión de retorno o una orden de expulsión. Tales verificaciones se entenderán sin perjuicio de las normas específicas establecidas en el artículo 24, apartado 3, del Reglamento (UE) 2018/1240.

Artículo 9. Condiciones de acceso a Eurodac para el tratamiento manual por las unidades nacionales del SEIAV

1.   Las unidades nacionales del SEIAV consultarán Eurodac por medio de los mismos datos alfanuméricos utilizados para el tratamiento automatizado a que se refiere el artículo 8.

2.   A los efectos del artículo 1, apartado 1, letra g) del presente Reglamento, las unidades nacionales del SEIAV tendrán acceso a Eurodac, de conformidad con el Reglamento (UE) 2018/1240, para consultar datos, en formato de solo lectura, a los efectos de examinar las solicitudes de autorización de viaje. En particular, las unidades nacionales del SEIAV podrán consultar los datos a que se refieren los artículos 17, 19, 21, 22, 23, 24 y 26 del presente Reglamento.

3.   Tras la consulta y el acceso con arreglo a los apartados 1 y 2, el resultado de la evaluación se registrará exclusivamente en los expedientes de solicitud del SEIAV.

Artículo 10. Acceso a Eurodac por parte de las autoridades competentes en materia de visados

Con el fin de comprobar manualmente las respuestas positivas activadas por las consultas automatizadas realizadas por el VIS de conformidad con los artículos 9 bis y 9 quater del Reglamento (CE) nº 767/2008 y de examinar solicitudes de visado y decidir sobre ellas de conformidad con el artículo 21 del Reglamento (CE) nº 810/2009 del Parlamento Europeo y del Consejo (36), las autoridades competentes en materia de visados tendrán acceso a Eurodac, de conformidad con dichos Reglamentos, para consultar datos en formato de solo lectura.

Artículo 11. Interoperabilidad con el VIS

Según lo dispuesto en el artículo 3, apartado 1, letra d), del presente Reglamento, Eurodac estará conectado con el portal europeo de búsqueda a que se refiere al artículo 6 del Reglamento (UE) 2019/817 para permitir el tratamiento automatizado que se menciona en el artículo 9 bis del Reglamento (CE) nº 767/2008 y, por tanto, con el fin de realizar consultas en Eurodac y comparar los datos pertinentes del VIS con los datos pertinentes de Eurodac. Las verificaciones se entenderán sin perjuicio de las normas específicas establecidas en el artículo 9 ter del Reglamento (CE) nº 767/2008.

Artículo 12. Estadísticas

1.   eu-LISA elaborará cada mes un informe estadístico sobre el trabajo de Eurodac en el que figurarán, en particular:

a)

el número de solicitantes y el número de solicitantes que presentan una solicitud por primera vez, obtenidos al aplicar el proceso de vinculación a que se refiere el artículo 3, apartado 6;

b)

el número de solicitantes rechazados obtenidos al aplicar el proceso de vinculación a que se refiere el artículo 3, apartado 6, y de conformidad con el artículo 17, apartado 2, letra j);

c)

el número de personas que hayan sido desembarcadas tras operaciones de búsqueda y salvamento;

d)

el número de personas que hayan sido registradas como beneficiarias de protección temporal;

e)

el número de solicitantes a los que se haya concedido protección internacional en un Estado miembro;

f)

el número de personas que han sido registradas como menores;

g)

el número de personas a que se refiere el artículo 18, apartado 2, letra a), del presente Reglamento que han sido admitidas con arreglo al Reglamento (UE) 2024/1350;

h)

el número de personas a que se refiere el artículo 20, apartado 1, que han sido admitidas con arreglo a un programa nacional de reasentamiento;

i)

el número de conjuntos de datos que le hayan sido transmitidos en relación con las personas a que se refieren el artículo 15, apartado 1, el artículo 18, apartado 2, letras b) y c), el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1;

j)

el número de transmisiones de datos en relación con las personas a que se refiere el artículo 18, apartado 1;

k)

el número de respuestas positivas en relación con las personas a que se refiere el artículo 15, apartado 1, del presente Reglamento:

i)

para las que haya registrada una solicitud de protección internacional en un Estado miembro,

ii)

que hayan sido aprehendidas con ocasión del cruce irregular de una frontera exterior,

iii)

que se encuentren en situación irregular en un Estado miembro,

iv)

que hayan sido desembarcadas tras una operación de búsqueda y salvamento,

v)

a las que se haya concedido protección internacional en un Estado miembro,

vi)

que hayan sido registradas como beneficiarias de protección temporal en un Estado miembro,

vii)

que hayan sido registradas con objeto de tramitar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350 y:

a las que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional,

cuya admisión haya sido rechazada por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

cuyo procedimiento de admisión haya sido interrumpido debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento,

viii)

que hayan sido admitidas en virtud de un programa de reasentamiento nacional;

l)

el número de respuestas positivas en relación con las personas a que se refiere el artículo 18, apartado 1 del presente Reglamento:

i)

a las que se haya concedido protección internacional en un Estado miembro anteriormente,

ii)

que hayan sido registradas con objeto de tramitar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350 y:

a las que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional,

cuya admisión haya sido rechazada por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

cuyo procedimiento de admisión hubiera sido interrumpido debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento,

iii)

que hayan sido admitidas en virtud de un programa de reasentamiento nacional;

m)

el número de respuestas positivas para las personas a que se refiere el artículo 22, apartado 1 del presente Reglamento:

i)

para las que haya registrada una solicitud de protección internacional en un Estado miembro,

ii)

que hayan sido aprehendidas con ocasión del cruce irregular de una frontera exterior,

iii)

que se encuentren en situación irregular en un Estado miembro,

iv)

que hayan sido desembarcadas tras una operación de búsqueda y salvamento,

v)

a las que se haya concedido protección internacional en un Estado miembro,

vi)

que hayan sido registradas con objeto de tramitar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350 y:

a las que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional,

cuya admisión haya sido rechazada por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

cuyo procedimiento de admisión haya sido interrumpido debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento,

vii)

que hayan sido admitidas en virtud de un programa de reasentamiento nacional,

viii)

que hayan sido registradas como beneficiarias de protección temporal en un Estado miembro;

n)

el número de respuestas positivas en relación con las personas a que se refiere el artículo 23, apartado 1 del presente Reglamento:

i)

para las que haya registrada una solicitud de protección internacional en un Estado miembro,

ii)

que hayan sido aprehendidas con ocasión del cruce irregular de una frontera exterior,

iii)

que se encuentren en situación irregular en un Estado miembro,

iv)

que hayan sido desembarcadas tras una operación de búsqueda y salvamento,

v)

a las que se haya concedido protección internacional en un Estado miembro,

vi)

que hayan sido registradas con objeto de tramitar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350 y:

a las que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional,

cuya admisión haya sido rechazada por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

cuyo procedimiento de admisión haya sido interrumpido debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento,

vii)

que hayan sido admitidas en virtud de un programa de reasentamiento nacional,

viii)

que hayan sido registradas como beneficiarias de protección temporal en un Estado miembro;

o)

el número de respuestas positivas en relación con las personas a que se refiere el artículo 24, apartado 1, del presente Reglamento:

i)

para las que haya registrada una solicitud de protección internacional en un Estado miembro,

ii)

que hayan sido aprehendidas con ocasión del cruce irregular de una frontera exterior,

iii)

que se encuentren en situación irregular en un Estado miembro,

iv)

que hayan sido desembarcadas tras una operación de búsqueda y salvamento,

v)

a las que se haya concedido protección internacional en un Estado miembro,

vi)

que hayan sido registradas con objeto de tramitar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350 y:

a las que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional,

cuya admisión haya sido rechazada por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

cuyo procedimiento de admisión haya sido interrumpido debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento,

vii)

que hayan sido admitidas en virtud de un programa de reasentamiento nacional,

viii)

que hayan sido registradas como beneficiarias de protección temporal en un Estado miembro;

p)

el número de respuestas positivas en relación con las personas a que se refiere el artículo 26, apartado 1, del presente Reglamento:

i)

para las que se haya registrado una solicitud de protección internacional en un Estado miembro,

ii)

que hayan sido aprehendidas con ocasión del cruce irregular de una frontera exterior,

iii)

que se encuentren en situación irregular en un Estado miembro,

iv)

que hayan sido desembarcadas tras una operación de búsqueda y salvamento,

v)

a las que se haya concedido protección internacional en un Estado miembro,

vi)

que hayan sido registradas con objeto de tramitar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350 y:

a las que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional,

cuya admisión haya sido rechazada por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

cuyo procedimiento de admisión haya sido interrumpido debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento,

vii)

que hayan sido admitidas en virtud de un programa de reasentamiento nacional,

viii)

que hayan sido registradas como beneficiarias de protección temporal en un Estado miembro;

q)

el número de datos biométricos que Eurodac haya tenido que solicitar más de una vez al Estado miembro de origen, por no ser los datos biométricos transmitidos en un primer momento apropiados para su comparación mediante los sistemas informáticos de reconocimiento de impresiones dactilares y de imagen facial;

r)

el número de conjuntos de datos marcados y sin marcar de conformidad con el artículo 31, apartados 1, 2, 3 y 4;

s)

el número de respuestas positivas en relación con las personas a que se refiere el artículo 31, apartados 1 y 4, para quienes se hayan registrado respuestas positivas en virtud del apartado 1, letras k) a p), del presente artículo;

t)

el número de solicitudes y de respuestas positivas a que se refiere el artículo 33, apartado 1;

u)

el número de solicitudes y de respuestas positivas a que se refiere el artículo 34, apartado 1;

v)

el número de solicitudes presentadas de conformidad con el artículo 43;

w)

el número de respuestas positivas recibidas de Eurodac a que se refiere el artículo 38, apartado 6.

2.   Los datos estadísticos mensuales relativos a las personas a que se refiere el apartado 1, se publicarán cada mes. Al final de cada año, eu-LISA publicará los datos estadísticos anuales relativos a las personas a que se refiere el apartado 1. Los datos estadísticos estarán desglosados por Estados miembros. Los datos estadísticos relativos a las personas a que se refiere el apartado 1, letra i), se desglosarán, siempre que sea posible, por año de nacimiento y sexo.

Nada de lo dispuesto en el presente apartado afectará a la naturaleza anonimizada de los datos estadísticos.

3.   Con el fin de apoyar los objetivos a que se refiere el artículo 1, letras c) e i), eu-LISA elaborará estadísticas transversales mensuales. Dichas estadísticas no permitirán la identificación de personas y utilizarán datos de Eurodac, del VIS, del SEIAV y del SES.

Las estadísticas a las que se refiere el párrafo primero se pondrán a disposición de los Estados miembros, el Parlamento Europeo, la Comisión, la Agencia de Asilo de la Unión Europea, la Agencia Europea de la Guardia de Fronteras y Costas y Europol.

La Comisión especificará mediante actos de ejecución el contenido de las estadísticas transversales mensuales a que se refiere el párrafo primero. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 56, apartado 2.

No se emplearán las estadísticas transversales por sí solas para denegar el acceso al territorio de la Unión.

4.   A petición de la Comisión, eu-LISA, le facilitará estadísticas sobre aspectos específicos relacionados con la aplicación del presente Reglamento y las estadísticas a que se refiere el apartado 1 y, previa petición, las pondrá a disposición de los Estados miembros, el Parlamento Europeo, la Agencia de Asilo de la Unión Europea, la Agencia Europea de la Guardia de Fronteras y Costas y Europol.

5.   eu-LISA conservará los datos a que se refieren los apartados 1 a 4 del presente artículo con fines de investigación y análisis, lo que permitirá a las autoridades citadas en el apartado 3 del presente artículo obtener informes y estadísticas personalizados en el repositorio central para la presentación de informes y estadísticas a que se refiere el artículo 39 del Reglamento (UE) 2019/818. Dichos datos no permitirán la identificación de personas.

6.   El acceso al repositorio central para la presentación de informes y estadísticas tal como se indica en el artículo 39 del Reglamento (UE) 2019/818 se concederá a eu-LISA, la Comisión, las autoridades designadas por cada Estado miembro de conformidad con el artículo 40, apartado 2, del presente Reglamento y los usuarios autorizados de la Agencia de Asilo de la Unión Europea, la Agencia Europea de la Guardia de Fronteras y Costas y Europol, donde dicho acceso es pertinente para la puesta en práctica de sus tareas.

Artículo 13. Obligación de tomar los datos biométricos

1.   Los Estados miembros tomarán los datos biométricos de las personas a las que se refiere el artículo 15, apartado 1, el artículo 18, apartados 1 y 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1, a efectos del artículo 1, apartado 1, letras a), b), c) y j), y requerirán a dichas personas que proporcionen sus datos biométricos y que informen de ellos de conformidad con el artículo 42.

2.   Los Estados miembros respetarán la dignidad y la integridad física de la persona durante el proceso de toma de impresiones dactilares y la captación de la imagen facial.

3.   Las medidas administrativas que tienen por objeto garantizar el cumplimiento de la obligación de proporcionar datos biométricos que figura en el apartado 1 se establecerán en el Derecho nacional. Estas medidas serán efectivas, proporcionadas y disuasorias y podrán incluir la posibilidad de recurrir a medidas de coerción como último recurso.

4.   En aquellos casos en que las medidas establecidas en el Derecho nacional a que se refiere el apartado 3 no logren asegurar el cumplimiento por parte de un solicitante de la obligación de proporcionar datos biométricos, serán de aplicación las disposiciones pertinentes del Derecho de la Unión en materia de asilo relativas al incumplimiento de dicha obligación.

5.   Sin perjuicio de lo dispuesto en los apartados 3 y 4, en aquellos casos en los que resulte imposible la toma de datos biométricos de un nacional de terceros países o un apátrida considerado persona vulnerable debido al estado de las yemas de sus dedos o su rostro, y cuando dicha persona no haya provocado tal condición de forma deliberada, las autoridades del Estado miembro de que se trate no recurrirán a medidas administrativas para asegurar el cumplimiento de la obligación de proporcionar datos biométricos.

6.   El procedimiento para tomar los datos biométricos se adoptará y se aplicará de acuerdo con la práctica del Estado miembro de que se trate y de conformidad con las garantías establecidas en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales.

Artículo 14. Disposiciones específicas aplicables a los menores

1.   De la toma de datos biométricos de los menores de seis años se encargarán funcionarios formados específicamente para tomar los datos biométricos de menores, de manera adaptada a sus necesidades y con sensibilidad, respetando plenamente el interés superior del niño y las salvaguardias establecidas en la Convención de las Naciones Unidas sobre los Derechos del Niño.

Al aplicar el presente Reglamento, se tendrá en cuenta de manera primordial el interés superior del niño. En caso de que no exista certeza sobre si el niño es menor de seis años ni existan pruebas que acrediten su edad, las autoridades competentes de los Estados miembros considerarán que el niño es menor de seis años a los efectos del presente Reglamento.

El menor irá acompañado, cuando sea posible, de un adulto miembro de su familia durante todo el proceso de toma de datos biométricos. El menor no acompañado irá acompañado de un representante o, cuando no se haya designado un representante, de una persona formada para salvaguardar el interés superior del niño y su bienestar general, durante el proceso de toma de sus datos biométricos. Dicha persona con formación no será el funcionario responsable de tomar los datos biométricos, actuará con independencia y no recibirá órdenes del funcionario o del servicio encargado de los datos biométricos. Dicha persona con formación será la persona designada para actuar provisionalmente como representante con arreglo a la Directiva (UE) 2024/1346 cuando dicha persona haya sido designada.

No se utilizará ninguna forma de fuerza contra los menores para garantizar su cumplimiento de la obligación de proporcionar datos biométricos. No obstante, cuando lo permita el Derecho nacional o de la Unión pertinente, y como último recurso, se podrá recurrir a un nivel proporcionado de coerción sobre los menores para asegurar su cumplimiento de dicha obligación. Los Estados miembros respetarán la dignidad y la integridad física del menor al aplicar dicho nivel proporcionado de coerción.

Cuando un menor, en particular un menor no acompañado o separado de su familia, se niegue a facilitar sus datos biométricos y haya motivos razonables para considerar que existen riesgos para la salvaguardia o protección del menor, de acuerdo con la evaluación de un funcionario formado específicamente para tomar los datos biométricos del menor, se remitirá al menor a las autoridades nacionales de protección de la infancia, a los mecanismos nacionales de derivación o a ambos.

2.   Cuando no sea posible tomar las impresiones dactilares o tomar la imagen facial de un menor debido a las condiciones de las yemas de los dedos o del rostro, se aplicará el artículo 13, apartado 5. Cuando se vuelvan a tomar las impresiones dactilares o la imagen facial de un menor, se aplicará el apartado 1 del presente artículo.

3.   Los datos de Eurodac correspondientes a un niño menor de catorce años solo se emplearán a efectos de aplicación de la ley contra dicho menor cuando existan motivos, aparte de los indicados en el artículo 33, apartado 1, letra d), para considerar que dichos datos son necesarios para la prevención, detección o investigación de los delitos de terrorismo u otros delitos graves de los que dicho menor sea sospechoso.

4.   El presente Reglamento se entenderá sin perjuicio de la aplicación de las condiciones establecidas en el artículo 13 de la Directiva (UE) 2024/1346.

CAPÍTULO II. Solicitantes de protección internacional

Artículo 15. Recopilación y transmisión de los datos biométricos

1.   Los Estados miembros tomarán, de conformidad con el artículo 13, apartado 2, los datos biométricos de cada solicitante de protección internacional de al menos seis años de edad:

a)

en el momento en el que se registre la solicitud de protección internacional a que se refiere el artículo 27 del Reglamento (UE) 2024/1348 y los transmitirán cuanto antes y, a más tardar, en las 72 horas a partir de dicho registro, junto con los otros datos a que se refiere el artículo 17, apartado 1, del presente Reglamento, a Eurodac, de conformidad con el artículo 3, apartado 2; del presente Reglamento, o

b)

en el momento en que se formule la solicitud de protección internacional, cuando la solicitud sea formulada en un paso fronterizo exterior o en una zona de tránsito por una persona que no cumpla las condiciones de entrada establecidas en el artículo 6 del Reglamento (UE) 2016/399, y los transmitirán cuanto antes y, a más tardar, 72 horas después de que se hayan tomado los datos biométricos, junto con los demás datos a que se refiere el artículo 17, apartado 1, del presente Reglamento a Eurodac, de conformidad con el artículo 3, apartado 2, del presente Reglamento.

El incumplimiento del plazo de 72 horas a que se refiere el párrafo primero, letras a) y b), del presente apartado, no eximirá a los Estados miembros de la obligación de tomar los datos biométricos y transmitirlos a Eurodac. Cuando el estado de las yemas de los dedos no permita tomar impresiones dactilares de calidad que puedan compararse adecuadamente con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares del solicitante y las volverá a transmitir cuanto antes y, a más tardar, 48 horas después de que se tomen de nuevo correctamente.

2.   Como excepción a lo dispuesto en el apartado 1, cuando no sea posible tomar los datos biométricos de un solicitante de protección internacional debido a las medidas adoptadas para proteger su salud o la salud pública, los Estados miembros tomarán y transmitirán dichos datos biométricos a la mayor brevedad posible, y a más tardar, 48 horas después de que dejen de darse esas razones de salud.

En caso de problemas técnicos graves, los Estados miembros podrán ampliar el plazo de 72 horas mencionado en el apartado 1, párrafo primero, letras a) y b), en un máximo de 48 horas, con el fin de llevar a cabo sus planes nacionales de continuidad.

3.   Cuando así lo solicite el Estado miembro de que se trate, también podrán tomar y transmitir datos biométricos, datos alfanuméricos y, cuando se disponga de ella, una copia escaneada en color de un documento de identidad o de viaje, en nombre de ese Estado miembro, los miembros de los equipos de la Guardia Europea de Fronteras y Costas o los expertos de los equipos de apoyo al asilo formados específicamente a tal efecto, en el desempeño de sus tareas y el ejercicio de sus competencias con arreglo a los Reglamentos (UE) 2019/1896 y (UE) 2021/2303.

4.   Cada conjunto de datos recopilados y transmitido de conformidad con el presente artículo se vinculará con otros conjuntos de datos correspondientes al mismo nacional de un tercer país o apátrida en una secuencia, tal como prevé el artículo 3, apartado 6.

Artículo 16. Información sobre el estatuto de la persona interesada

1.   Tan pronto como se haya determinado el Estado miembro responsable con arreglo al Reglamento (UE) 2024/1351, el Estado miembro que lleve a cabo los procedimientos para determinar el Estado miembro responsable actualizará el conjunto de datos registrado con respecto a la persona interesada, de conformidad con el artículo 17 del presente Reglamento, añadiendo el Estado miembro responsable.

Cuando un Estado miembro sea el responsable porque haya motivos fundados para creer que el solicitante supone una amenaza para la seguridad interior con arreglo al artículo 16, apartado 4, del Reglamento (UE) 2024/1351, actualizará su conjunto de datos registrado de conformidad con el artículo 17 del presente Reglamento, con respecto a la persona interesada, añadiendo el Estado miembro responsable.

2.   La información siguiente se enviará a Eurodac para su conservación con arreglo al artículo 29, apartado 1, a efectos de su transmisión según lo dispuesto en los artículos 27 y 28:

a)

cuando un solicitante de protección internacional llegue al Estado miembro responsable tras un traslado efectuado en aplicación de una decisión favorable a la petición de toma a cargo a que se refiere el artículo 40 del Reglamento (UE) 2024/1351, el Estado miembro responsable enviará el conjunto de datos registrados de conformidad con el artículo 17 del presente Reglamento con respecto a la persona interesada, e incluirá la fecha de llegada de dicha persona;

b)

cuando un solicitante de protección internacional u otra persona mencionada en el artículo 36, apartado 1, letras b) o c), del Reglamento (UE) 2024/1351 llegue al Estado miembro responsable tras un traslado efectuado en aplicación de una notificación de readmisión mencionada en el artículo 41 de dicho Reglamento, el Estado miembro responsable actualizará el conjunto de datos registrados de conformidad con el artículo 17 del presente Reglamento con respecto a la persona interesada, añadiendo la fecha de llegada de dicha persona;

c)

tan pronto como pueda determinar que la persona interesada cuyos datos fueron registrados en Eurodac con arreglo al artículo 17 del presente Reglamento ha abandonado el territorio de los Estados miembros, el Estado miembro de origen actualizará el conjunto de datos registrados de conformidad con el artículo 17 del presente Reglamento con respecto a la persona interesada, añadiendo la fecha en que abandonó el territorio, a fin de facilitar la aplicación del artículo 37, apartado 4, del Reglamento (UE) 2024/1351;

d)

tan pronto como se asegure de que la persona interesada cuyos datos hayan sido registrados en Eurodac con arreglo al artículo 17 del presente Reglamento ha abandonado el territorio de los Estados miembros en cumplimiento de una decisión de retorno o de una orden de expulsión dictada como consecuencia de la retirada o la denegación de la solicitud de protección internacional, con arreglo a lo dispuesto en el artículo 37, apartado 5, del Reglamento (UE) 2024/1351, el Estado miembro de origen actualizará el conjunto de datos registrados de conformidad con el artículo 17 del presente Reglamento con respecto a la persona interesada, añadiendo la fecha de expulsión o la fecha en que abandonó el territorio.

3.   Cuando la responsabilidad se transfiera a otro Estado miembro, con arreglo al artículo 37, apartado 1, y al artículo 68, apartado 3, del Reglamento (UE) 2024/1351, el Estado miembro que constate que la responsabilidad ha sido transferida, o el Estado miembro de reubicación, indicará el Estado miembro responsable.

4.   Cuando sean de aplicación el apartado 1 o el apartado 3 del presente artículo, o el artículo 31, apartado 6, Eurodac informará a todos los Estados miembros de origen, lo antes posible y en un plazo máximo de 72 horas después de recibir los datos de que se trate, acerca de la transmisión, por parte de otro Estado miembro de origen, de datos que hayan generado una respuesta positiva con respecto a los datos que aquellos hubieran transmitido en relación con las personas a que se refiere el artículo 15, apartado 1, el artículo 18, apartado 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, o el artículo 26, apartado 1. Dichos Estados miembros de origen actualizarán también el Estado miembro responsable en los conjuntos de datos correspondientes a las personas a que se refiere el artículo 15, apartado 1.

Artículo 17. Registro de datos

1.   En Eurodac, de conformidad con el artículo 3, apartado 2, se registrarán exclusivamente los datos siguientes:

a)

datos dactiloscópicos;

b)

una imagen facial;

c)

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias que podrá registrarse separadamente;

d)

nacionalidad o nacionalidades;

e)

fecha de nacimiento;

f)

lugar de nacimiento;

g)

Estado miembro de origen, lugar y fecha de la solicitud de protección internacional; en los casos a que se refiere el artículo 16, apartado 2, letra a), la fecha de solicitud será la fecha introducida por el Estado miembro que haya trasladado al solicitante;

h)

sexo;

i)

cuando estén disponibles, el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

j)

cuando esté disponible, una copia escaneada en color de un documento de identidad o de viaje, junto con una indicación de su autenticidad o, cuando no esté disponible, otro documento que facilite la identificación del nacional de un tercer país o apátrida y una indicación de su autenticidad;

k)

el número de referencia atribuido por el Estado miembro de origen;

l)

la fecha de toma de los datos biométricos;

m)

la fecha de transmisión de los datos a Eurodac;

n)

identificación de usuario del operador.

2.   Adicionalmente, cuando corresponda y estén disponibles se registrarán con prontitud en Eurodac de conformidad con el artículo 3, apartado 2, los datos siguientes:

a)

el Estado miembro responsable, en los casos a que se refiere el artículo 16, apartados 1, 2 o 3;

b)

el Estado miembro de reubicación de conformidad con el artículo 25, apartado 1;

c)

la fecha de llegada de la persona interesada tras un traslado efectuado con éxito, en los casos a que se refiere el artículo 16, apartado 2, letra a);

d)

la fecha de llegada de la persona interesada tras un traslado efectuado con éxito, en los casos a que se refiere el artículo 16, apartado 2, letra b);

e)

la fecha en que la persona interesada abandonó el territorio de los Estados miembros, en los casos a que se refiere el artículo 16, apartado 2, letra c);

f)

la fecha en que la persona interesada fue expulsada del territorio de los Estados miembros o lo abandonó, en los casos a que se refiere el artículo 16, apartado 2, letra d);

g)

la fecha de llegada de la persona interesada tras un traslado efectuado con éxito, en los casos a que se refiere el artículo 25, apartado 2;

h)

el hecho de haberse expedido un visado al solicitante, el Estado miembro que expidió o prorrogó el visado o en cuyo nombre fue expedido y el número de solicitud de visado;

i)

el hecho de que la persona podría suponer una amenaza para la seguridad interior a raíz de la inspección de seguridad a que se refiere el Reglamento (UE) 2024/1356 del Parlamento Europeo y del Consejo (37) o tras un examen de conformidad con el artículo 16, apartado 4, del Reglamento (UE) 2024/1351 o con el artículo 9, apartado 5, del Reglamento (UE) 2024/1348, si se da cualquiera de las circunstancias siguientes:

i)

la persona en cuestión está armada,

ii)

la persona en cuestión es violenta,

iii)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos mencionados en la Directiva (UE) 2017/541,

iv)

existen indicios de que la persona interesada está implicada en cualquiera de los delitos mencionados en el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI;

j)

el hecho de que la solicitud de protección internacional ha sido denegada, cuando el solicitante no tenga derecho a permanecer y no se le haya permitido permanecer en un Estado miembro de conformidad con el Reglamento (UE) 2024/1348;

k)

el hecho de que, tras un examen de una solicitud en un procedimiento fronterizo con arreglo al Reglamento (UE) 2024/1348, haya adquirido carácter definitivo una resolución por la que se deniegue una solicitud de protección internacional por considerarse inadmisible, infundada o manifiestamente infundada, o una resolución por la que una solicitud se declare implícita o explícitamente retirada;

l)

el hecho de que se ha proporcionado retorno voluntario asistido y reintegración.

3.   Cuando se registren en Eurodac todos los datos mencionados en el apartado 1, letras a) a f) y h), del presente artículo en relación con las personas indicadas en el artículo 15, se considerarán un conjunto de datos transmitido a Eurodac a efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

4.   El Estado miembro de origen que haya llegado a la conclusión de que ya no se da la amenaza para la seguridad interior detectada tras el triaje a que se refiere el Reglamento (UE) 2024/1356 o tras un examen de conformidad con el artículo 16, apartado 4, del Reglamento (UE) 2024/1351 o el artículo 9, apartado 5, del Reglamento (UE) 2024/1348 suprimirá el registro de la alerta de seguridad del conjunto de datos, previa consulta a cualquier otro Estado miembro que haya registrado un conjunto de datos de la misma persona. Eurodac informará a los Estados miembros de origen, lo antes posible y en un plazo máximo de 72 horas después de la supresión de que se trate, acerca de la supresión, por parte de otro Estado miembro de origen, de la alerta de seguridad que haya generado una respuesta positiva con respecto a los datos que aquellos hubieran transmitido en relación con las personas a que se refiere el artículo 15, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, o el artículo 24, apartado 1, del presente Reglamento. Dichos Estados miembros de origen suprimirán también la alerta de seguridad de su conjunto de datos correspondiente.

CAPÍTULO III. Personas registradas con objeto de tramitar un procedimiento de admisión y personas admitidas en virtud de un programa de reasentamiento nacional

SECCIÓN 1. Personas registradas con objeto de tramitar un procedimiento de admisión en virtud del Marco de Reasentamiento y Admisión Humanitaria de la Unión

Artículo 18. Recopilación y transmisión de los datos biométricos

1.   Cada Estado miembro tomará y transmitirá a Eurodac los datos biométricos de toda persona que tenga, como mínimo, seis años de edad y que esté registrada con objeto de tramitar un procedimiento de admisión en virtud del Marco de Reasentamiento y Admisión Humanitaria de la Unión lo antes posible tras el registro a que se refiere el artículo 9, apartado 3, del Reglamento (UE) 2024/1356 y, a más tardar, antes de llegar a la conclusión sobre la admisión a que se refiere el artículo 9, apartado 9, de dicho Reglamento. Esta obligación no se aplicará si un Estado miembro puede llegar a esa conclusión sin una comparación de los datos biométricos, cuando dicha conclusión sea negativa.

2.   Cada Estado miembro tomará los datos biométricos de toda persona que tenga, como mínimo, seis años de edad, que esté registrada con objeto de tramitar un procedimiento de admisión en virtud del Marco de Reasentamiento y Admisión Humanitaria de la Unión y:

a)

a la que ese Estado miembro conceda protección internacional o estatuto humanitario con arreglo al Derecho nacional de conformidad con el Reglamento (UE) 2024/1350;

b)

a la que ese Estado miembro rechace admitir por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

c)

cuyo procedimiento de admisión haya sido interrumpido por ese Estado, debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento;

Los Estados miembros transmitirán a Eurodac los datos biométricos de las personas a que se refiere el párrafo primero junto con los demás datos a que se refiere el artículo 19, apartado 1, letras c) a q), del presente Reglamento lo antes posible y en un plazo máximo de 72 horas después de la decisión de conceder protección internacional o estatuto humanitario con arreglo al Derecho nacional, de denegar la admisión o de suspender el procedimiento de admisión.

3.   El incumplimiento de los plazos establecidos en los apartados 1 y 2 del presente artículo no eximirá a los Estados miembros de la obligación de tomar y transmitir los datos biométricos a Eurodac. Cuando el estado de las yemas de los dedos no permita tomar impresiones dactilares de calidad que puedan compararse adecuadamente con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares y las volverá a transmitir cuanto antes después de que se tomen de nuevo correctamente.

Cuando no sea posible tomar los datos biométricos debido a las medidas adoptadas para proteger la salud de la persona o la salud pública, los Estados miembros tomarán y transmitirán dichos datos biométricos a la mayor brevedad posible después de que dejen de darse esas razones de salud.

4.   Cuando así lo solicite el Estado miembro de que se trate, otro Estado miembro, la Agencia de Asilo de la Unión Europea o una organización internacional pertinente podrán tomar datos biométricos y transmitirlos al Estado miembro solicitante, a efectos del Reglamento (UE) 2024/1350.

5.   La Agencia de Asilo de la Unión Europea y las organizaciones internacionales a que se refiere el apartado 4 no tendrán acceso a Eurodac a los efectos del presente artículo.

Artículo 19. Registro de datos

1.   En Eurodac, de conformidad con el artículo 3, apartado 2, del presente Reglamento, se registrarán exclusivamente los datos siguientes:

a)

datos dactiloscópicos;

b)

una imagen facial;

c)

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias, que podrán registrarse separadamente;

d)

nacionalidad o nacionalidades;

e)

fecha de nacimiento;

f)

lugar de nacimiento;

g)

Estado miembro de origen, lugar y fecha del registro con arreglo al artículo 9, apartado 3, del Reglamento (UE) 2024/1350;

h)

sexo;

i)

cuando estén disponibles, el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

j)

cuando esté disponible, una copia en color escaneada de un documento de identidad o de viaje junto con una indicación de su autenticidad y, cuando no esté disponible, otro documento que sirva para la identificación del nacional de tercer país o apátrida junto con una indicación de su autenticidad;

k)

el número de referencia atribuido por el Estado miembro de origen;

l)

la fecha de toma de los datos biométricos;

m)

la fecha de transmisión de los datos a Eurodac;

n)

identificación de usuario del operador;

o)

cuando proceda, la fecha de la decisión de conceder protección internacional o estatuto humanitario con arreglo al Derecho nacional de conformidad con el artículo 9, apartado 14, del Reglamento (UE) 2024/1350;

p)

cuando proceda, la fecha de la denegación de la admisión de conformidad con el Reglamento (UE) 2024/1350 y los motivos por los que se denegó la admisión;

q)

cuando proceda, la fecha de la suspensión del procedimiento de admisión a que se refiere el Reglamento (UE) 2024/1350.

2.   Cuando se registren en Eurodac todos los datos mencionados en el apartado 1, letras a) a f) y h), del presente artículo en relación con las personas a que se refiere el artículo 18, apartado 2, se considerarán como un conjunto de datos transmitido a Eurodac a los efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

SECCIÓN 2. Personas admitidas en virtud de un programa de reasentamiento nacional

Artículo 20. Recopilación y transmisión de los datos biométricos

1.   Cada Estado miembro tomará los datos biométricos de toda persona que tenga, como mínimo, seis años de edad, y que haya sido admitida en virtud de un programa de reasentamiento nacional, y los transmitirá, junto con los demás datos a que se refiere el artículo 21, apartado 1, letras c) a o), tan pronto como conceda a dicha persona protección internacional o estatuto humanitario con arreglo al Derecho nacional y, a más tardar, en las 72 horas siguientes.

2.   El incumplimiento del plazo establecido en el apartado 1 no eximirá a los Estados miembros de la obligación de tomar y transmitir los datos biométricos a Eurodac. Cuando el estado de las yemas de los dedos no permita tomar impresiones dactilares de calidad que puedan compararse adecuadamente con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares y las volverá a transmitir cuanto antes después de que se tomen de nuevo correctamente.

3.   Como excepción a lo dispuesto en el apartado 2, cuando no sea posible tomar los datos biométricos de una persona admitida en virtud de un programa de reasentamiento nacional debido a las medidas adoptadas para proteger su salud o la salud pública, los Estados miembros tomarán y transmitirán dichos datos biométricos a la mayor brevedad posible, y a más tardar, 48 horas después de que dejen de darse esas razones de salud.

Artículo 21. Registro de datos

1.   En Eurodac, de conformidad con el artículo 3, apartado 2, se registrarán exclusivamente los datos siguientes:

a)

datos dactiloscópicos;

b)

una imagen facial;

c)

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias, que podrán registrarse separadamente;

d)

nacionalidad o nacionalidades;

e)

fecha de nacimiento;

f)

lugar de nacimiento;

g)

Estado miembro de origen, lugar y fecha del registro;

h)

sexo;

i)

cuando estén disponibles, el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

j)

cuando esté disponible, una copia en color escaneada de un documento de identidad o de viaje junto con una indicación de su autenticidad y, cuando no esté disponible, otro documento que sirva para la identificación del nacional de tercer país o apátrida junto con una indicación de su autenticidad;

k)

el número de referencia atribuido por el Estado miembro de origen;

l)

la fecha de toma de los datos biométricos;

m)

la fecha de transmisión de los datos a Eurodac;

n)

identificación de usuario del operador;

o)

la fecha en la que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional.

2.   Cuando se registren en Eurodac todos los datos mencionados en el apartado 1, letras a) a f) y h), del presente artículo en relación con las personas mencionadas en el artículo 20, apartado 1, del presente Reglamento se considerarán como un conjunto de datos transmitido a Eurodac a los efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

CAPÍTULO IV. Nacionales de terceros países o apátridas aprehendidos con ocasión del cruce irregular de una frontera exterior

Artículo 22. Recopilación y transmisión de los datos biométricos

1.   Cada Estado miembro tomará sin demora, con arreglo al artículo 13, apartado 2, los datos biométricos de todos los nacionales de terceros países o apátridas que tengan, como mínimo, seis años de edad y que hayan sido aprehendidos por las autoridades competentes de control con ocasión del cruce irregular de fronteras terrestres, marítimas o aéreas de dicho Estado miembro desde un tercer país, a los que no se devuelva al lugar de procedencia o que permanezcan físicamente en el territorio de los Estados miembros sin estar bajo custodia, reclusión o internamiento durante todo el período comprendido entre la aprehensión y la expulsión con arreglo a la decisión de devolución.

2.   El Estado miembro de que se trate transmitirá lo antes posible, y a más tardar, antes de que transcurran 72 horas desde la fecha de aprehensión, a Eurodac, de conformidad con el artículo 3, apartado 2, los siguientes datos relativos a los nacionales de terceros países o apátridas mencionados en el apartado 1 que no hayan sido devueltos al lugar de procedencia:

a)

datos dactiloscópicos;

b)

una imagen facial;

c)

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias, que podrán registrarse separadamente;

d)

nacionalidad o nacionalidades;

e)

fecha de nacimiento;

f)

lugar de nacimiento;

g)

Estado miembro de origen, lugar y fecha de la aprehensión;

h)

sexo;

i)

cuando estén disponibles, el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

j)

cuando esté disponible, una copia escaneada en color de un documento de identidad o de viaje, junto con una indicación de su autenticidad o, cuando no esté disponible, otro documento que facilite la identificación del nacional de un tercer país o apátrida y una indicación de su autenticidad;

k)

el número de referencia atribuido por el Estado miembro de origen;

l)

la fecha de toma de los datos biométricos;

m)

la fecha de transmisión de los datos a Eurodac;

n)

identificación de usuario del operador.

3.   Adicionalmente, cuando corresponda y estén disponibles, se transmitirán con prontitud a Eurodac, según proceda de conformidad con el artículo 3, apartado 2, los datos siguientes:

a)

la fecha en que la persona interesada abandonó el territorio de los Estados miembros afectados o fue expulsada de este, de conformidad con el apartado 7 del presente artículo;

b)

el Estado miembro de reubicación con arreglo al artículo 25, apartado 1;

c)

el hecho de que se ha proporcionado retorno voluntario asistido y reintegración;

d)

el hecho de que la persona podría ser una amenaza para la seguridad interior, tras el triaje a que se refiere el Reglamento (UE) 2024/1356, si se da cualquiera de las siguientes circunstancias:

i)

la persona en cuestión está armada,

ii)

la persona en cuestión es violenta,

iii)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos mencionados en la Directiva (UE) 2017/541,

iv)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos a que se refiere el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI.

4.   Como excepción a lo dispuesto en el apartado 2, los datos mencionados en dicho apartado relativos a personas aprehendidas tal como se menciona en el apartado 1 que permanezcan físicamente en el territorio de los Estados miembros pero en régimen de custodia, confinamiento o internamiento desde el momento de su aprehensión y durante un período superior a 72 horas, serán transmitidos antes de la terminación de la custodia, confinamiento o internamiento.

5.   El incumplimiento del plazo de 72 horas mencionado en el apartado 2 del presente artículo no eximirá a los Estados miembros de la obligación de tomar y transmitir los datos biométricos a Eurodac. Cuando el estado de las yemas de los dedos no permita la toma de impresiones dactilares de una calidad que garantice una comparación adecuada con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares de las personas aprehendidas según se describe en el apartado 1 del presente artículo, y volverá a transmitirlas lo antes posible, y a más tardar, 48 horas después de que se tomen de nuevo correctamente.

6.   Como excepción a lo dispuesto en el apartado 1, cuando no sea posible tomar los datos biométricos de la persona aprehendida debido a las medidas adoptadas para proteger su salud o la salud pública, el Estado miembro correspondiente tomará y transmitirá dichos datos biométricos a la mayor brevedad posible, y a más tardar, 48 horas después de que dejen de darse esas razones de salud.

En caso de problemas técnicos graves, los Estados miembros podrán ampliar el plazo de 72 horas mencionado en el apartado 2 en un máximo de 48 horas, con el fin de llevar a cabo sus planes nacionales de continuidad.

7.   Tan pronto como el Estado miembro de origen garantice que la persona interesada cuyos datos fueron registrados en Eurodac con arreglo al apartado 1 ha abandonado el territorio de los Estados miembros en cumplimiento de una decisión de retorno o de una orden de expulsión, actualizará su conjunto de datos registrados con respecto a la persona interesada, añadiendo la fecha de expulsión o la fecha en que abandonó el territorio.

8.   Cuando así lo solicite el Estado miembro de que se trate, también podrán tomar y transmitir datos biométricos, datos alfanuméricos y, cuando se disponga de ella, una copia escaneada en color de un documento de identidad o de viaje, en nombre de ese Estado miembro, los miembros de los equipos de la Guardia Europea de Fronteras y Costas o los expertos de los equipos de apoyo al asilo formados específicamente a tal efecto, en el desempeño de sus tareas y el ejercicio de sus competencias con arreglo al Reglamento (UE) 2019/1896 y el Reglamento (UE) 2021/2303.

9.   Cada conjunto de datos recopilado y transmitido de conformidad con el presente artículo se vinculará con otros conjuntos de datos correspondientes al mismo nacional de un tercer país o apátrida en una secuencia, tal como prevé el artículo 3, apartado 6.

10.   Cuando todos los datos mencionados en el apartado 2, letras a) a f) y h), del presente artículo sobre las personas a que se refiere el apartado 1 del presente artículo estén registrados en Eurodac, se considerará que son un conjunto de datos transmitido a Eurodac, a efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

CAPÍTULO V. Nacionales de terceros países o apátridas que se encuentren en situación irregular en un Estado miembro

Artículo 23. Recopilado y transmisión de los datos biométricos

1.   Cada Estado miembro tomará sin demora, de conformidad con el artículo 13, apartado 2, los datos biométricos de todos los nacionales de terceros países o apátridas que tengan, como mínimo, seis años de edad y que se encuentren en situación irregular en su territorio.

2.   El Estado miembro de que se trate transmitirá a Eurodac, de conformidad con el artículo 3, apartado 2, lo antes posible y, a más tardar, 72 horas después de que se detecte que un nacional de un tercer país o un apátrida se encuentra en situación irregular en su territorio, los siguientes datos relativos a los nacionales de terceros países o apátridas a que se refiere el apartado 1:

a)

datos dactiloscópicos;

b)

una imagen facial;

c)

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias, que podrán registrarse separadamente;

d)

nacionalidad o nacionalidades;

e)

fecha de nacimiento;

f)

lugar de nacimiento;

g)

Estado miembro de origen, lugar y fecha de la aprehensión;

h)

sexo;

i)

cuando estén disponibles, el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

j)

cuando esté disponible, una copia escaneada en color de un documento de identidad o de viaje, junto con una indicación de su autenticidad o, cuando no esté disponible, otro documento que facilite la identificación del nacional de un tercer país o apátrida y una indicación de su autenticidad;

k)

el número de referencia atribuido por el Estado miembro de origen;

l)

la fecha de toma de los datos biométricos;

m)

la fecha de transmisión de los datos a Eurodac;

n)

identificación de usuario del operador.

3.   Adicionalmente, cuando corresponda y estén disponibles, se transmitirán con prontitud a Eurodac, de conformidad con el artículo 3, apartado 2, los datos siguientes:

a)

la fecha en que la persona interesada abandonó el territorio de los Estados miembros o fue expulsada de este, de conformidad con el apartado 6;

b)

el Estado miembro de reubicación de conformidad con el artículo 25, apartado 1;

c)

la fecha de llegada de la persona interesada tras un traslado efectuado con éxito, cuando proceda en los casos a que se refiere el artículo 25, apartado 2;

d)

el hecho de que se ha proporcionado retorno voluntario asistido y reintegración;

e)

el hecho de que la persona podría ser una amenaza para la seguridad interior, tras el triaje a que se refiere el Reglamento (UE) 2024/1356 o tras una inspección de seguridad realizado en el momento de tomar los datos biométricos con arreglo a lo dispuesto en el apartado 1 del presente artículo, si se da alguna de las circunstancias siguientes:

i)

la persona en cuestión está armada,

ii)

la persona en cuestión es violenta,

iii)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos mencionados en la Directiva (UE) 2017/541,

iv)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos a que se refiere el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI.

4.   El incumplimiento del plazo de 72 horas mencionado en el apartado 2 del presente artículo no eximirá a los Estados miembros de la obligación de tomar y transmitir los datos biométricos a Eurodac. Cuando el estado de las yemas de los dedos no permita la toma de impresiones dactilares de una calidad que garantice una comparación adecuada con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares de las personas aprehendidas según se describe en el apartado 1 del presente artículo, y volverá a transmitirlas lo antes posible, y a más tardar, 48 horas después de que se tomen de nuevo correctamente.

5.   Como excepción a lo dispuesto en el apartado 1, cuando no sea posible tomar los datos biométricos de la persona aprehendida debido a las medidas adoptadas para proteger su salud o la salud pública, el Estado miembro correspondiente tomará y transmitirá dichos datos biométricos a la mayor brevedad posible, y a más tardar, 48 horas después de que dejen de darse esas razones de salud.

En caso de problemas técnicos graves, los Estados miembros podrán ampliar el plazo de 72 horas mencionado en el apartado 2 en un máximo de 48 horas, con el fin de llevar a cabo sus planes nacionales de continuidad.

6.   Tan pronto como el Estado miembro de origen garantice que la persona interesada cuyos datos fueron registrados en Eurodac con arreglo al apartado 1 ha abandonado el territorio de los Estados miembros en cumplimiento de una decisión de retorno o de una orden de expulsión, actualizará su conjunto de datos registrados con respecto a la persona interesada, añadiendo la fecha de expulsión o la fecha en que abandonó el territorio.

7.   Cada conjunto de datos recopilado y transmitido de conformidad con el presente artículo se vinculará con otros conjuntos de datos correspondientes al mismo nacional de un tercer país o apátrida en una secuencia, tal como prevé el artículo 3, apartado 6.

8.   Cuando todos los datos mencionados en el apartado 2, letras a) a f) y h), del presente artículo sobre las personas a que se refiere el apartado 1 del presente artículo estén registrados en Eurodac, se considerará que son un conjunto de datos transmitido a Eurodac, a efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

CAPÍTULO VI. Nacionales de terceros países o apátridas desembarcados tras una operación de búsqueda y salvamento

Artículo 24. Recopilado y transmisión de los datos biométricos

1.   Cada Estado miembro tomará sin demora los datos biométricos de todos los nacionales de terceros países o apátridas que tengan, como mínimo, seis años de edad y que hayan sido desembarcados tras una operación de búsqueda y salvamento según se define en el Reglamento (UE) 2024/1351.

2.   El Estado miembro de que se trate transmitirá a Eurodac, de conformidad con el artículo 3, apartado 2, lo antes posible y, a más tardar, en las 72 horas siguientes a la fecha de desembarque, los datos siguientes relativos a los nacionales de terceros países o apátridas a que se refiere el apartado 1:

a)

datos dactiloscópicos;

b)

una imagen facial;

c)

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias, que podrán registrarse separadamente;

d)

nacionalidad o nacionalidades;

e)

fecha de nacimiento;

f)

lugar de nacimiento;

g)

Estado miembro de origen, lugar y fecha del desembarque;

h)

sexo;

i)

el número de referencia atribuido por el Estado miembro de origen;

j)

la fecha de toma de los datos biométricos;

k)

la fecha de transmisión de los datos a Eurodac;

l)

identificación de usuario del operador.

3.   Adicionalmente, cuando corresponda y estén disponibles, de conformidad con el artículo 3, apartado 2, se transmitirán a Eurodac los datos siguientes en cuanto estén disponibles:

a)

el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

b)

una copia escaneada en color de un documento de identidad o de viaje, junto con una indicación de su autenticidad o, cuando no esté disponible, otro documento que facilite la identificación del nacional de un tercer país o apátrida y una indicación de su autenticidad;

c)

la fecha en que la persona interesada abandonó el territorio de los Estados miembros o fue expulsada de este, de conformidad con el apartado 8 del presente artículo;

d)

el Estado miembro de reubicación de conformidad con el artículo 25, apartado 1;

e)

el hecho de que se ha proporcionado retorno voluntario asistido y reintegración;

f)

el hecho de que la persona podría ser una amenaza para la seguridad interior tras el triaje a que se refiere el Reglamento (UE) 2024/1356, si se da alguna de las circunstancias siguientes:

i)

la persona en cuestión está armada,

ii)

la persona en cuestión es violenta,

iii)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos mencionados en la Directiva (UE) 2017/541,

iv)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos mencionados en el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI.

4.   El incumplimiento del plazo mencionado en el apartado 2 del presente artículo no eximirá a los Estados miembros de la obligación de tomar y transmitir los datos biométricos a Eurodac. Cuando el estado de las yemas de los dedos no permita tomar impresiones dactilares de calidad que puedan compararse adecuadamente con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares de las personas desembarcadas como se describe en el apartado 1 de este artículo y las volverá a transmitir cuanto antes y, a más tardar, 48 horas después de que se tomen de nuevo correctamente.

5.   Como excepción a lo dispuesto en el apartado 1, cuando no sea posible tomar los datos biométricos de una persona desembarcada debido a las medidas adoptadas para proteger su salud o la salud pública, el Estado miembro correspondiente tomará y transmitirá dichos datos biométricos a la mayor brevedad posible, y a más tardar, 48 horas después de que dejen de darse esas razones de salud.

En caso de problemas técnicos graves, los Estados miembros podrán ampliar el plazo de 72 horas mencionado en el apartado 2 en un máximo de 48 horas, con el fin de llevar a cabo sus planes nacionales de continuidad.

6.   En caso de afluencia repentina, los Estados miembros podrán ampliar el plazo de 72 horas mencionado en el apartado 2 en un máximo de 48 horas. Dicha excepción entrará en vigor en la fecha en que se notifique a la Comisión y a los demás Estados miembros, y se mantendrá durante el período declarado en la notificación. La duración indicada en la notificación no excederá de un mes.

7.   Tan pronto como el Estado miembro de origen garantice que la persona interesada cuyos datos fueron registrados en Eurodac con arreglo al apartado 1 ha abandonado el territorio de los Estados miembros en cumplimiento de una decisión de retorno o de una orden de expulsión, actualizará su conjunto de datos registrados con respecto a la persona interesada, añadiendo la fecha de expulsión o la fecha en que abandonó el territorio.

8.   Cuando así lo solicite el Estado miembro de que se trate, también podrán tomar y transmitir datos biométricos, datos alfanuméricos y, cuando se disponga de ella, una copia escaneada en color de un documento de identidad o de viaje, en nombre de ese Estado miembro, los miembros de los equipos de la Guardia Europea de Fronteras y Costas o los expertos de los equipos de apoyo al asilo formados específicamente a tal efecto, en el desempeño de sus tareas y el ejercicio de sus competencias con arreglo a los Reglamentos (UE) 2019/1896 y (UE) 2021/2303.

9.   Cada conjunto de datos recopilado y transmitido de conformidad con el presente artículo se vinculará con otros conjuntos de datos correspondientes al mismo nacional de un tercer país o apátrida en una secuencia, tal como prevé el artículo 3, apartado 6.

10.   Sin perjuicio de la aplicación del Reglamento (UE) 2024/1351, el hecho de que los datos de una persona se transmitan a Eurodac de conformidad con el presente artículo no dará lugar a ninguna discriminación o diferencia de trato frente a una persona a la que se aplique el artículo 22, apartado 1, del presente Reglamento.

11.   Cuando todos los datos mencionados en el apartado 2, letras a) a f) y h), del presente artículo sobre las personas a que se refiere el apartado 1 del presente artículo estén registrados en Eurodac, se considerará que son un conjunto de datos transmitido a Eurodac, a efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

CAPÍTULO VII. Información sobre reubicación

Artículo 25. Información sobre el estatuto de la persona interesada

1.   En cuanto el Estado miembro de reubicación esté obligado a reubicar a la persona interesada en virtud del artículo 67, apartado 9, del Reglamento (UE) 2024/1351, el Estado miembro beneficiario actualizará el conjunto de datos registrados con respecto a la persona interesada de conformidad con los artículos 17, 22, 23 o 24 del presente Reglamento, añadiendo el Estado miembro de reubicación.

2.   Cuando una persona llegue al Estado miembro de reubicación tras la confirmación por dicho Estado miembro de la reubicación de la persona interesada de conformidad con el artículo 67, apartado 9, del Reglamento (UE) 2024/1351, tal Estado miembro enviará el conjunto de datos registrados de conformidad con los artículos 17 o 23 del presente Reglamento con respecto a la persona interesada, e incluirá la fecha de llegada de dicha persona. El conjunto de datos se conservará con arreglo al artículo 29, apartado 1, a efectos de su transmisión según lo dispuesto en los artículos 27 y 28.

CAPÍTULO VIII. Beneficiarios de protección temporal

Artículo 26. Recopilación y transmisión de los datos biométricos

1.   Cada Estado miembro tomará sin demora los datos biométricos de todos los nacionales de terceros países o apátridas que tengan, como mínimo, seis años de edad y que hayan sido registrados como beneficiarios de protección temporal en el territorio de dicho Estado miembro con arreglo a la Directiva 2001/55/CE.

2.   El Estado miembro de que se trate transmitirá a Eurodac, de conformidad con el artículo 3, apartado 2, lo antes posible y en un plazo máximo de diez días desde la fecha de registro como beneficiarios de protección temporal, los datos siguientes relativos a los nacionales de terceros países o apátridas a que se refiere el apartado 1:

a)

datos dactiloscópicos;

b)

una imagen facial;

c)

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias, que podrán registrarse separadamente;

d)

nacionalidad o nacionalidades;

e)

fecha de nacimiento;

f)

lugar de nacimiento;

g)

Estado miembro de origen, lugar y fecha de la solicitud de protección internacional;

h)

sexo;

i)

cuando estén disponibles, el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

j)

cuando esté disponible, una copia escaneada en color de un documento de identidad o de viaje junto con una indicación de su autenticidad o, cuando no esté disponible, otro documento;

k)

el número de referencia atribuido por el Estado miembro de origen;

l)

la fecha de toma de los datos biométricos;

m)

la fecha de transmisión de los datos a Eurodac;

n)

identificación de usuario del operador;

o)

cuando proceda, el hecho de que la persona previamente registrada como beneficiaria de protección temporal esté incluida en uno de los motivos de exclusión establecidos en el artículo 28 de la Directiva 2001/55/CE;

p)

la referencia de la decisión de ejecución del Consejo pertinente.

3.   El incumplimiento del plazo de diez días mencionado en el apartado 2 del presente artículo no eximirá a los Estados miembros de la obligación de tomar los datos biométricos y transmitirlos a Eurodac. Cuando el estado de las yemas de los dedos no permita tomar impresiones dactilares de calidad que puedan compararse adecuadamente con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares de las personas beneficiarias de protección temporal como se describe en el apartado 1 del presente artículo y las volverá a transmitir cuanto antes y, a más tardar, 48 horas después de que se tomen de nuevo correctamente.

4.   Como excepción a lo dispuesto en el apartado 1, cuando no sea posible tomar los datos biométricos de la persona beneficiaria de protección temporal debido a las medidas adoptadas para proteger su salud o la salud pública, el Estado miembro correspondiente tomará y transmitirá dichos datos biométricos a la mayor brevedad posible, y a más tardar, 48 horas después de que dejen de darse esas razones de salud.

En caso de problemas técnicos graves, los Estados miembros podrán ampliar el plazo de diez días mencionado en el apartado 2 en un máximo de 48 horas, con el fin de llevar a cabo sus planes nacionales de continuidad.

5.   Cuando así lo solicite el Estado miembro de que se trate, también podrán tomar y transmitir datos biométricos en nombre de ese Estado miembro los miembros de los equipos de la Guardia Europea de Fronteras y Costas o los expertos de los equipos de apoyo al asilo formados específicamente a tal efecto en el desempeño de sus tareas y el ejercicio de sus competencias con arreglo a los Reglamentos (UE) 2019/1896 y (UE) 2021/2303.

6.   Cada conjunto de datos recopilado y transmitido de conformidad con el presente artículo se vinculará con otros conjuntos de datos correspondientes al mismo nacional de un tercer país o apátrida en una secuencia, tal como prevé el artículo 3, apartado 6.

7.   Cuando todos los datos mencionados en el apartado 2, letras a) a f) y h), del presente artículo sobre las personas a que se refiere el apartado 1 del presente artículo estén registrados en Eurodac, se considerará que son un conjunto de datos transmitido a Eurodac, a efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

CAPÍTULO IX. Procedimiento para la comparación de los datos de los solicitantes de protección internacional, los nacionales de terceros países y apátridas aprehendidos al cruzar la frontera irregularmente o en situación irregular en el territorio de un Estado miembro, los nacionales de terceros países y apátridas registrados con objeto de tramitar un procedimiento de admisión y admitidos en virtud de un programa de reasentamiento nacional, los nacionales de terceros países y apátridas que hayan desembarcado tras una operación de búsqueda y salvamento y los beneficiarios de protección temporal

Artículo 27. Comparación de los datos biométricos

1.   Los datos biométricos transmitidos por cualquier Estado miembro, con excepción de los transmitidos de conformidad con el artículo 16, apartado 2, letras a) y c), y los artículos 18 y 20, se compararán automáticamente con los datos biométricos transmitidos por otros Estados miembros y ya conservados en Eurodac de conformidad con el artículo 15, el artículo 18, apartado 2, y los artículos 20, 22, 23, 24 y 26.

2.   Los datos biométricos transmitidos por cualquier Estado miembro de conformidad con el artículo 18, apartado 1, se compararán automáticamente con los datos biométricos transmitidos por otros Estados miembros y ya conservados en Eurodac de conformidad con el artículo 15 y marcados de conformidad con el artículo 31, y con el artículo 18, apartado 2, y el artículo 20.

3.   Cualquier Estado miembro podrá requerir a Eurodac que la comparación a que se refiere el apartado 1 se extienda a los datos biométricos anteriormente transmitidos por él, además de a los datos biométricos procedentes de otros Estados miembros.

4.   Eurodac transmitirá automáticamente al Estado miembro de origen la respuesta positiva o el resultado negativo de la comparación siguiendo los procedimientos establecidos en el artículo 38, apartado 4. En caso de respuesta positiva, Eurodac transmitirá, para todos los conjuntos de datos que correspondan a la respuesta positiva, los datos mencionados en el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2, junto con, cuando proceda, el marcado a que se refiere el artículo 31, apartados 1 y 4. En caso de que se reciba un resultado negativo, no se transmitirán los datos mencionados en el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2.

5.   Cuando un Estado miembro reciba de Eurodac una respuesta positiva que pueda ayudar a ese Estado miembro a cumplir sus obligaciones en virtud del artículo 1, apartado 1, letra a), dicha respuesta positiva prevalecerá sobre cualquier otra respuesta positiva recibida.

Artículo 28. Comparación de los datos de imagen facial

1.   Cuando el estado de las yemas de los dedos no permita tomar impresiones dactilares de una calidad que garantice una comparación adecuada con arreglo al artículo 38 o cuando no se disponga de impresiones dactilares para la comparación, el Estado miembro efectuará una comparación de los datos de imagen facial.

2.   Los datos de imagen facial y los datos relacionados con el sexo del interesado podrán compararse automáticamente con los datos de imagen facial y los datos relacionados con el sexo del interesado transmitidos por otros Estados miembros y ya conservados en Eurodac de conformidad con el artículo 15, el artículo 18, apartado 2, los artículos 20, 22, 23, 24 y 26, con excepción de los transmitidos de conformidad con el artículo 16, apartado 2, letras a) y c), y los artículos 18 y 20.

Eurodac garantizará, a petición de un Estado miembro, que la comparación mencionada en el apartado 1 cubre los datos de imagen facial transmitida previamente por ese Estado miembro, además de los datos de imagen facial procedentes de otros Estados miembros.

3.   Los datos de imagen facial y los datos relacionados con el sexo del interesado, transmitidos por cualquier Estado miembro de conformidad con el artículo 18, apartado 1, podrán compararse automáticamente con los datos de imagen facial y los datos relacionados con el sexo de la persona interesada transmitidos por otros Estados miembros y ya conservados en Eurodac de conformidad con el artículo 15 y marcados de conformidad con el artículo 31, y con el artículo 18, apartado 2, y el artículo 20.

4.   Eurodac transmitirá automáticamente al Estado miembro de origen la respuesta positiva o el resultado negativo de la comparación siguiendo los procedimientos establecidos en el artículo 38, apartado 5. En caso de respuesta positiva, Eurodac transmitirá, para todos los conjuntos de datos que correspondan a la respuesta positiva, los datos mencionados en el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2, junto con, cuando proceda, el marcado a que se refiere el artículo 31, apartados 1 y 4. En caso de que se reciba un resultado negativo, no se transmitirán los datos mencionados en el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2.

5.   Cuando un Estado miembro reciba de Eurodac una respuesta positiva que pueda ayudar a ese Estado miembro a cumplir sus obligaciones en virtud del artículo 1, apartado 1, letra a), dicha respuesta positiva prevalecerá sobre cualquier otra respuesta positiva recibida.

CAPÍTULO X. Conservación, supresión anticipada y marcado de datos

Artículo 29. Conservación de datos

1.   Para los fines establecidos en el artículo 15, apartado 1, cada conjunto de datos con respecto a un solicitante de protección internacional registrado de conformidad con el artículo 17 se conservará en Eurodac durante diez años a partir de la fecha en que se hayan transmitido los datos biométricos.

2.   Los datos biométricos a que se refiere el artículo 18, apartado 1, no se registrarán en Eurodac.

3.   Para los fines establecidos en el artículo 18, apartado 2, cada conjunto de datos registrado de conformidad con el artículo 19 con respecto a un nacional de un tercer país o a un apátrida como se contempla en el artículo 18, apartado 2, letra a), se conservará en Eurodac durante cinco años a partir de la fecha en que se hayan transmitido los datos biométricos.

4.   Para los fines establecidos en el artículo 18, apartado 2, cada conjunto de datos registrado de conformidad con el artículo 19 con respecto a un nacional de un tercer país o a un apátrida como se contempla en el artículo 18, apartado 2, letras b) o c), se conservará en Eurodac durante tres años a partir de la fecha en que se hayan transmitido los datos biométricos.

5.   Para los fines establecidos en el artículo 20, cada conjunto de datos relativo a un nacional de un tercer país o a un apátrida y registrado de conformidad con el artículo 21 se conservará en Eurodac durante cinco años a partir de la fecha en que se hayan transmitido los datos biométricos.

6.   Para los fines establecidos en el artículo 22, apartado 1, cada conjunto de datos relativo a un nacional de un tercer país o a un apátrida y registrado de conformidad con el artículo 22 se conservará en Eurodac durante cinco años a partir de la fecha en que se hayan transmitido los datos biométricos.

7.   Para los fines establecidos en el artículo 23, apartado 1, cada conjunto de datos relativo a un nacional de un tercer país o a un apátrida y registrado de conformidad con el artículo 23 se conservará en Eurodac durante cinco años a partir de la fecha en que se hayan transmitido los datos biométricos.

8.   Para los fines establecidos en el artículo 24, apartado 1, cada conjunto de datos relativo a un nacional de un tercer país o a un apátrida y registrado de conformidad con el artículo 24 se conservará en Eurodac durante cinco años a partir de la fecha en que se hayan transmitido los datos biométricos.

9.   Para los fines establecidos en el artículo 26, apartado 1, cada conjunto de datos relativo a un nacional de un tercer país o a un apátrida y registrado de conformidad con el artículo 26 se conservará en Eurodac durante un año a partir de la fecha de entrada en vigor de la decisión de ejecución del Consejo pertinente. El período de conservación se prorrogará cada año a lo largo del período de protección temporal.

10.   Los datos de los interesados se suprimirán automáticamente de Eurodac al vencer los períodos de conservación de datos a que se refieren los apartados 1 a 9 del presente artículo.

Artículo 30. Supresión anticipada de los datos

1.   Los datos relativos a una persona que haya adquirido la nacionalidad de un Estado miembro de origen antes de que venza el plazo mencionado en el artículo 29, apartados 1, 3, 5, 6, 7, 8 o 9 serán suprimidos de Eurodac sin demora por dicho Estado miembro con arreglo al artículo 40, apartado 3.

Los datos relativos a una persona que haya adquirido la nacionalidad de otro Estado miembro antes de que venza el plazo mencionado en el artículo 29, apartados 1, 3, 5, 6, 7, 8 o 9 serán suprimidos de Eurodac por el Estado miembro de origen, con arreglo al artículo 40, apartado 3, tan pronto como el Estado miembro de origen tenga conocimiento de que la persona en cuestión ha adquirido dicha nacionalidad.

2.   Eurodac informará, lo antes posible y en un plazo máximo de 72 horas tras la supresión, a todos los Estados miembros de origen acerca de la supresión, por parte de otro Estado miembro de origen y de conformidad con el apartado 1 del presente artículo, de datos que hayan generado una respuesta positiva al cotejarlos con los datos que estos le transmitieron sobre las personas a que se refieren el artículo 15, apartado 1, el artículo 18, apartado 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, o el artículo 26, apartado 1.

Artículo 31. Marcado de datos

1.   A los efectos establecidos en el artículo 1, apartado 1, letra a), el Estado miembro de origen que haya concedido protección internacional a una persona cuyos datos hubieran sido registrados previamente en Eurodac con arreglo al artículo 17 marcará los datos correspondientes de conformidad con los requisitos de comunicación electrónica con Eurodac establecidos por eu-LISA. Dicho marcado se conservará en Eurodac de conformidad con el artículo 29, apartado 1, a efectos de la transmisión según lo dispuesto en los artículos 27 y 28. Eurodac informará, lo antes posible y en un plazo máximo de 72 horas, a todos los Estados miembros de origen acerca del marcado, por parte de otro Estado miembro de origen, de datos que hayan generado una respuesta positiva con respecto a los datos que aquellos hubieran transmitido en relación con las personas a que se hace referencia en el artículo 15, apartado 1, el artículo 18, apartado 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1 o el artículo 26, apartado 1. Dichos Estados miembros de origen marcarán también los conjuntos de datos correspondientes.

2.   Los datos de beneficiarios de protección internacional conservados en Eurodac con arreglo al artículo 3, apartado 2, y marcados de conformidad con el apartado 1 del presente artículo estarán disponibles para la comparación a efectos de aplicación de la ley hasta que estos datos se supriman automáticamente de Eurodac de conformidad con el artículo 29, apartado 10.

3.   El Estado miembro de origen eliminará el marcado de los datos relativos a un nacional de un tercer país o apátrida cuyos datos hubieran sido marcados anteriormente con arreglo al apartado 1 del presente artículo, si su estatuto se retirara de conformidad con los artículos 14 o 19 del Reglamento (UE) 2024/1347.

4.   A los efectos establecidos en el artículo 1, apartado 1, letras a) y c), el Estado miembro de origen que expida un documento de residencia a un nacional de un tercer país o apátrida en situación irregular cuyos datos hubieran sido registrados previamente en Eurodac, según proceda, con arreglo al artículo 22, apartado 2, o al artículo 23, apartado 2, o a un nacional de un tercer país o apátrida desembarcado tras una operación de búsqueda y salvamento cuyos datos hubieran sido registrados previamente en Eurodac con arreglo al artículo 24, apartado 2, marcará los datos correspondientes de conformidad con los requisitos de comunicación electrónica con Eurodac establecidos por eu-LISA. Este marcado se conservará en Eurodac de conformidad con el artículo 29, apartados 6, 7, 8 y 9, a efectos de la transmisión según lo dispuesto en los artículos 27 y 28. Eurodac informará, lo antes posible y en un plazo máximo de 72 horas, a todos los Estados miembros de origen acerca del marcado, por parte de otro Estado miembro de origen, de datos que hayan generado una respuesta positiva con respecto a los datos que aquellos hubieran transmitido en relación con las personas a que se hace referencia en el artículo 15, apartado 1, el artículo 18, apartado 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1 o el artículo 26, apartado 1. Dichos Estados miembros de origen marcarán también los conjuntos de datos correspondientes.

5.   Los datos de los nacionales de terceros países o apátridas en situación irregular conservados en Eurodac y marcados de conformidad con el apartado 4 del presente artículo estarán disponibles para la comparación a efectos de aplicación de la ley hasta que estos datos se supriman automáticamente de Eurodac de conformidad con el artículo 29, apartado 10.

6.   A los efectos del artículo 68, apartado 4, del Reglamento (UE) 2024/1351, tras el registro de los datos de conformidad con el artículo 25, apartado 2, del presente Reglamento, el Estado miembro de reubicación se registrará como Estado miembro responsable y marcará dichos datos con la marca introducida por el Estado miembro que concedió la protección.

CAPÍTULO XI. Procedimiento para la comparación y la transmisión de datos a efectos de aplicación de la ley

Artículo 32. Procedimiento para la comparación de datos biométricos o alfanuméricos con los datos de Eurodac

1.   Las autoridades designadas de los Estados miembros y la autoridad designada de Europol podrán, a efectos de aplicación de la ley, presentar a la autoridad verificadora, tal como se contempla en el artículo 33, apartado 1, y en el artículo 34, apartado 1, junto con el número de referencia utilizado por ellas mismas, una solicitud electrónica motivada de transmisión de datos biométricos o alfanuméricos a Eurodac a través del Punto de Acceso Nacional para su comparación. Una vez recibida una solicitud de este tipo, la autoridad verificadora comprobará si se cumplen las condiciones para solicitar la comparación a las que se refieren los artículos 33 o 34, en su caso.

2.   Si se cumplen todas las condiciones para solicitar la comparación a que se refieren los artículos 33 o 34, la autoridad verificadora transmitirá la solicitud al Punto de Acceso Nacional o al Punto de Acceso de Europol, que la remitirá a Eurodac con arreglo al procedimiento establecido en los artículos 27 y 28 para su comparación con los datos biométricos o alfanuméricos transmitidos a Eurodac de conformidad con el artículo 15, el artículo 18, apartado 2, y los artículos 20, 22, 23, 24 y 26.

3.   Podrá llevarse a cabo, de conformidad con el artículo 28, apartado 1, una comparación de una imagen facial con otros datos de imagen facial en Eurodac a efectos de aplicación de la ley, si se dispone de esos datos en el momento de la solicitud electrónica motivada presentada por las autoridades designadas de los Estados miembros o la autoridad designada de Europol.

4.   En casos de urgencia excepcionales en los que sea necesario prevenir un peligro inminente asociado con un delito de terrorismo u otro delito grave, la autoridad verificadora podrá transmitir los datos biométricos o alfanuméricos al Punto de Acceso Nacional o al Punto de Acceso de Europol para su comparación inmediatamente después de la recepción de la solicitud por la autoridad designada, y comprobar a posteriori si se cumplen todas las condiciones para solicitar una comparación a tenor de los artículos 33 o 34, inclusive si se trataba realmente de un caso de urgencia excepcional. La comprobación a posteriori se realizará con la mayor brevedad después de tramitar la solicitud.

5.   Si la comprobación a posteriori determina que el acceso a los datos de Eurodac no estaba justificado, todas las autoridades que hayan tenido acceso a la información comunicada desde Eurodac suprimirán dicha información e informarán de ello a la autoridad verificadora.

Artículo 33. Condiciones de acceso a Eurodac por parte de las autoridades designadas

1.   Las autoridades designadas, a efectos de aplicación de la ley, únicamente podrán presentar una solicitud electrónica motivada de comparación de datos biométricos o alfanuméricos con los datos conservados en Eurodac, dentro de los límites de sus competencias, si se han cumplido todas las condiciones siguientes:

a)

se ha efectuado una comprobación previa en:

i)

las bases de datos nacionales, y

ii)

los sistemas automatizados de identificación dactilar de todos los demás Estados miembros en virtud de la Decisión 2008/615/JAI cuando la comparación sea posible desde el punto de vista técnico, a menos que existan motivos fundados para creer que la comparación con estos sistemas no va a permitir establecer la identidad del interesado; se incluirán estos motivos fundados en la solicitud electrónica motivada de comparación con los datos de Eurodac que envíe la autoridad designada a la autoridad verificadora;

b)

la comparación sea necesaria a efectos de prevención, detección o investigación de delitos de terrorismo o de otros delitos graves, es decir, que exista un interés superior de seguridad pública que haga que la consulta de la base de datos sea proporcionada al objetivo perseguido;

c)

la comparación sea necesaria en un caso concreto para personas concretas, y

d)

existan motivos razonables para considerar que la comparación contribuirá sustancialmente a la prevención, detección o investigación de cualquiera de los delitos de terrorismo u otros delitos graves en cuestión. Existirán dichos motivos razonables, en particular, cuando haya sospechas fundadas de que el sospechoso, el autor o la víctima de un delito de terrorismo o de otro delito grave están encuadrados en una categoría regulada por el presente Reglamento.

Aparte de las comprobaciones previas de las bases de datos a que se refiere el párrafo primero, las autoridades designadas podrán realizar también una comprobación simultánea en el VIS, siempre que se hayan cumplido las condiciones para una comparación con los datos ahí conservados, tal como figura en la Decisión 2008/633/JAI. Las autoridades designadas podrán presentar la solicitud electrónica motivada a que se refiere el párrafo primero simultáneamente con una solicitud de comparación con los datos conservados en el VIS.

2.   Cuando las autoridades designadas consulten al RCDI de conformidad con el artículo 22, apartado 1, del Reglamento (UE) 2019/818 y, de conformidad con el apartado 2 de dicho artículo, el RCDI indique que los datos sobre la persona en cuestión se conservan en Eurodac, las autoridades designadas podrán tener acceso a Eurodac para su consulta sin una comprobación previa en las bases de datos nacionales o en los sistemas automáticos de identificación dactilar de todos los demás Estados miembros.

3.   Las solicitudes de comparación con los datos de Eurodac a efectos de aplicación de la ley se llevarán a cabo con datos biométricos o alfanuméricos.

Artículo 34. Condiciones de acceso a Eurodac por parte de Europol

1.   A efectos de aplicación de la ley, la autoridad designada de Europol únicamente podrá presentar una solicitud electrónica motivada de comparación de datos biométricos o alfanuméricos con los datos conservados en Eurodac, dentro del mandato de Europol y cuando sea necesario para el cumplimiento de su cometido, si se han cumplido todas las condiciones siguientes:

a)

las comparaciones con los datos biométricos o alfanuméricos conservados en cualquier sistema de tratamiento de información al que Europol pueda técnica y legalmente acceder no hayan permitido establecer la identidad del interesado;

b)

la comparación sea necesaria para apoyar y reforzar la actuación de los Estados miembros a la hora de prevenir, detectar o investigar los delitos de terrorismo u otros delitos graves incluidos en el mandato de Europol, es decir, que exista un interés superior de seguridad pública que haga que la consulta de la base de datos sea proporcionada al objetivo perseguido;

c)

la comparación sea necesaria en un caso concreto para personas concretas, y

d)

existan motivos razonables para considerar que la comparación contribuirá sustancialmente a la prevención, detección o investigación de cualquiera de los delitos de terrorismo u otros delitos graves en cuestión; existirán dichos motivos razonables, en particular, cuando haya sospechas fundadas de que el sospechoso, el autor o la víctima de un delito de terrorismo o de otro delito grave están encuadrados en una categoría regulada por el presente Reglamento.

2.   Cuando Europol consulte al RCDI de conformidad con el artículo 22, apartado 1, del Reglamento (UE) 2019/818 y, de conformidad con el apartado 2 de dicho artículo, el RCDI indique que los datos sobre la persona en cuestión se conservan en Eurodac, Europol podrá tener acceso a Eurodac para su consulta con arreglo a las condiciones establecidas en el presente artículo.

3.   Las solicitudes de comparación con los datos de Eurodac a efectos de aplicación de la ley se llevarán a cabo con datos biométricos o alfanuméricos.

4.   El tratamiento de la información obtenida por Europol a partir de comparaciones con los datos de Eurodac estará sujeto a la autorización del Estado miembro de origen. Dicha autorización se recabará a través de la unidad nacional de Europol de dicho Estado miembro.

Artículo 35. Comunicación entre las autoridades designadas, las autoridades verificadoras, los Puntos de Acceso Nacionales y el Punto de Acceso de Europol

1.   Sin perjuicio de lo dispuesto en el artículo 39, todas las comunicaciones entre las autoridades designadas, las autoridades verificadoras, los Puntos de Acceso Nacionales y el Punto de Acceso de Europol serán seguras y se efectuarán electrónicamente.

2.   A efectos de aplicación de la ley, las búsquedas con datos biométricos o alfanuméricos serán tratadas digitalmente por los Estados miembros y Europol y se transmitirán en el formato establecido en el documento de control de las interfaces acordado, con objeto de garantizar que pueda realizarse la comparación con otros datos conservados en Eurodac.

CAPÍTULO XII- Tratamiento de los datos, protección de los datos y responsabilidad

Artículo 36. Responsabilidad en cuanto al tratamiento de los datos

1.   El Estado miembro de origen responderá:

a)

de la legalidad de la toma y de la transmisión a Eurodac de los datos biométricos y de los demás datos a que se refieren el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2;

b)

de la exactitud y actualidad de los datos cuando se transmitan a Eurodac;

c)

sin perjuicio de las responsabilidades de eu-LISA, de la legalidad del registro, conservación, rectificación y supresión de los datos en Eurodac;

d)

de la legalidad del tratamiento de los resultados de la comparación de los datos biométricos transmitidos por Eurodac.

2.   El Estado miembro de origen garantizará la seguridad de los datos a que se refiere el apartado 1 del presente artículo antes de la transmisión a Eurodac y mientras esta se produce, según establece el artículo 48, y la seguridad de los datos que reciba de Eurodac.

3.   El Estado miembro de origen será responsable de la identificación final de los datos, de conformidad con el artículo 38, apartado 4.

4.   La Agencia eu-LISA se asegurará de que Eurodac funcione, también con fines de ensayo, con arreglo a las disposiciones del presente Reglamento y las normas pertinentes de la Unión en materia de protección de datos. En particular, eu-LISA:

a)

tomará medidas que garanticen que todas las personas, incluidos los contratistas, que trabajen con Eurodac solamente traten los datos registrados en él de acuerdo con la finalidad de Eurodac establecida en el artículo 1;

b)

adoptará las medidas necesarias para garantizar la seguridad de Eurodac de conformidad con el artículo 48;

c)

se asegurará de que únicamente las personas autorizadas a trabajar con Eurodac tengan acceso a los datos registrados en él, sin perjuicio de las competencias del Supervisor Europeo de Protección de Datos.

La Agencia eu-LISA informará al Parlamento Europeo, al Consejo y al Supervisor Europeo de Protección de Datos, de las medidas que tome en virtud del párrafo primero del presente apartado.

Artículo 37. Transmisión

1.   La digitalización de los datos biométricos y demás datos personales y su transmisión se realizarán en el formato de datos establecido en el documento de control de las interfaces acordado. En la medida en que sea preciso para el funcionamiento eficaz de Eurodac, eu-LISA establecerá los requisitos técnicos relativos al formato de datos que se utilizará para la transmisión de datos por los Estados miembros a Eurodac y de este a los Estados miembros. La Agencia eu-LISA se asegurará de que los datos biométricos transmitidos por los Estados miembros puedan ser comparados en el sistema informático de reconocimiento facial y de impresiones dactilares.

2.   Los Estados miembros transmitirán por vía electrónica los datos biométricos y de los demás datos a que se refieren el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2. Los datos a que se refieren el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2, se registrarán automáticamente en Eurodac. En la medida en que sea preciso para el funcionamiento eficaz de Eurodac, eu-LISA establecerá los requisitos técnicos necesarios por lo que respecta al formato de transmisión electrónica de datos de los Estados miembros a Eurodac y de este a los Estados miembros.

3.   Los Estados miembros se asegurarán de que el número de referencia mencionado en el artículo 17, apartado 1, letra k), el artículo 19, apartado 1, letra k), el artículo 21, apartado 1, letra k), el artículo 22, apartado 2, letra k), el artículo 23, apartado 2, letra k), el artículo 24, apartado 2, letra k), el artículo 26, apartado 2, letra k), y el artículo 32, apartado 1, permita la asignación inequívoca de los datos a una persona y al Estado miembro que transmita los datos, y también determinar si tales datos están asignados a una de las personas a que se refiere el artículo 15, apartado 1, el artículo 18, apartado 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, o el artículo 26, apartado 1.

4.   El número de referencia a que se refiere el apartado 3 del presente artículo comenzará por la letra o letras de identificación con las que se designará al Estado miembro que haya transmitido los datos. Tras las letras de identificación figurará la identificación de la categoría de las personas o solicitudes: «1» para las personas a que se refiere el artículo 15, apartado 1; «2» para las personas a que se refiere el artículo 22, apartado 1; «3» para las personas a que se refiere el artículo 23, apartado 1; «4» para las solicitudes a que se refiere el artículo 33; «5» para las solicitudes a que se refiere el artículo 34; «6» para las solicitudes a que se refiere el artículo 43; «7» para las solicitudes a que se refiere el artículo 18; «8» para las personas a que se refiere el artículo 20; «9» para las personas a que se refiere el artículo 24, apartado 1, y «0» para las personas a que se refiere el artículo 26, apartado 1.

5.   La Agencia eu-LISA establecerá los procedimientos técnicos necesarios que deberán aplicar los Estados miembros para garantizar que Eurodac reciba datos inequívocos.

6.   Tan pronto como sea posible, Eurodac acusará recibo de los datos transmitidos. Para ello, eu-LISA establecerá los requisitos técnicos necesarios con el fin de garantizar que los Estados miembros reciban este acuse de recibo si lo hubieran solicitado.

Artículo 38. Ejecución de la comparación y transmisión del resultado

1.   Los Estados miembros deben garantizar la transmisión de datos biométricos con una calidad que permita su comparación mediante el sistema de reconocimiento facial y de impresiones dactilares informatizado. En la medida en que sea necesario para garantizar que los resultados de la comparación por parte de Eurodac alcancen un nivel muy elevado de precisión, eu-LISA determinará la calidad adecuada de los datos biométricos transmitidos. Eurodac comprobará, tan pronto como sea posible, la calidad de los datos biométricos transmitidos. En caso de que estos no sean apropiados para su comparación por medio del sistema informático de reconocimiento facial y de impresiones dactilares, Eurodac informará al Estado miembro interesado. El Estado miembro transmitirá entonces unos datos biométricos más adecuados, utilizando el mismo número de referencia del anterior conjunto de datos biométricos.

2.   Eurodac llevará a cabo las comparaciones siguiendo el orden de recepción de las solicitudes. Toda solicitud se tramitará en un plazo de 24 horas a partir de su recepción. Los Estados miembros, basándose en razones de Derecho nacional, podrán exigir que se realice una comparación particularmente urgente en el plazo de una hora. Si, por razones ajenas a la responsabilidad de eu-LISA, no pudieran cumplirse los plazos de tramitación indicados, Eurodac, una vez desaparecidas dichas razones, tramitará con carácter prioritario las solicitudes de que se trate. En tales casos, y en la medida en que sea preciso para el funcionamiento eficaz de Eurodac, eu-LISA establecerá criterios destinados a garantizar el tratamiento prioritario de las solicitudes.

3.   En la medida en que sea necesario para el funcionamiento eficaz de Eurodac, eu-LISA establecerá los procedimientos operativos para el tratamiento de los datos recibidos y la transmisión del resultado de la comparación.

4.   En caso necesario, un experto en impresiones dactilares en el Estado miembro receptor, de conformidad con sus normas nacionales y formado específicamente en los tipos de comparaciones de impresiones dactilares establecidos en el presente Reglamento, comprobará inmediatamente los resultados de la comparación de los datos dactiloscópicos realizada de conformidad con el artículo 27.

Cuando, tras la comparación de datos dactiloscópicos y de imagen facial con los datos registrados en la base de datos central informatizada, Eurodac dé una respuesta positiva de impresiones dactilares y de imagen facial, los Estados miembros podrán controlar el resultado de la comparación de los datos de imagen facial.

A efectos de lo dispuesto en el artículo 1, apartado 1, letras a), b), c) y j), del presente Reglamento, la identificación final será efectuada por el Estado miembro de origen, en cooperación con los demás Estados miembros interesados.

5.   El resultado de la comparación de los datos de imagen facial llevada a cabo de conformidad con el artículo 27, si se recibe una respuesta positiva basada únicamente en una imagen facial, y con el artículo 28 será controlado y verificado inmediatamente en el Estado miembro de recepción por un experto formado con arreglo a la práctica nacional.

A efectos de lo dispuesto en el artículo 1, apartado 1, letras a), b), c) y j), del presente Reglamento, la identificación final será efectuada por el Estado miembro de origen, en cooperación con los demás Estados miembros interesados.

La información recibida de Eurodac sobre otros datos que no hayan resultado ser fiables será suprimida tan pronto como se declare su falta de fiabilidad.

6.   Cuando la identificación final con arreglo a los apartados 4 y 5 revele que el resultado de la comparación recibido de Eurodac no corresponde a los datos biométricos enviados para su comparación, los Estados miembros suprimirán inmediatamente el resultado de la comparación y comunicarán este hecho lo antes posible, en un plazo máximo de tres días laborables tras la recepción del resultado, a eu-LISA y la informará del número de referencia del Estado miembro de origen y del número de referencia del Estado miembro que recibió el resultado.

Artículo 39. Comunicación entre los Estados miembros y Eurodac

Los datos transmitidos desde los Estados miembros a Eurodac y de este a los Estados miembros utilizarán la Infraestructura de Comunicación. En la medida en que sea preciso para garantizar el funcionamiento eficaz de Eurodac, eu-LISA establecerá los procedimientos técnicos necesarios para la utilización de la Infraestructura de Comunicación.

Artículo 40. Acceso a los datos registrados en Eurodac, rectificación y supresión de estos

1.   El Estado miembro de origen tendrá acceso a los datos que haya transmitido y que estén registrados en Eurodac con arreglo al presente Reglamento.

Los Estados miembros no efectuarán búsquedas en los datos transmitidos por otro Estado miembro ni recibirán tales datos, excepto los que sean resultado de la comparación indicada en los artículos 27 y 28.

2.   Las autoridades de los Estados miembros que, con arreglo al apartado 1 del presente artículo, tengan acceso a los datos registrados en Eurodac serán las designadas por cada Estado miembro a los efectos establecidos en el artículo 1, apartado 1, letras a), b), c) y j). Esta designación especificará la unidad exacta responsable de llevar a cabo las tareas relativas a la aplicación del presente Reglamento. Los Estados miembros comunicarán sin demora a la Comisión y eu-LISA la lista de dichas unidades y cualquier modificación de la misma. eu-LISA publicará la lista consolidada en el Diario Oficial de la Unión Europea. Cuando se produzcan modificaciones en dicha lista, eu-LISA publicará en línea una vez al año una lista consolidada actualizada.

3.   Únicamente el Estado miembro de origen estará facultado para modificar los datos por él transmitidos a Eurodac, rectificándolos o completándolos, o para suprimirlos, sin perjuicio de la supresión efectuada en aplicación del artículo 29.

4.   El acceso a efectos de la consulta de los datos de Eurodac conservados en el RCDI se concederá al personal debidamente autorizado de las autoridades nacionales de cada Estado miembro y al personal debidamente autorizado de los organismos de la Unión que sean competentes para los fines establecidos en los artículos 20 y 21 del Reglamento (UE) 2019/818. Este acceso se limitará a la medida necesaria para la realización de las tareas de esas autoridades nacionales y organismos de la Unión para la consecución de dichos fines, y será proporcionado a los objetivos perseguidos.

5.   Cuando un Estado miembro o eu-LISA tenga indicios de que los datos registrados en Eurodac son materialmente inexactos, informará de ello al Estado miembro de origen lo antes posible, sin perjuicio de la notificación de la violación de un dato personal con arreglo al artículo 33 del Reglamento (UE) 2016/679.

Cuando un Estado miembro tenga indicios de que se han registrado datos en Eurodac incumpliendo lo dispuesto en el presente Reglamento, informará de ello lo antes posible a eu-LISA, a la Comisión y al Estado miembro de origen. El Estado miembro de origen comprobará los datos de que se trate y, en su caso, los rectificará o suprimirá de inmediato.

6.   La Agencia eu-LISA no transferirá ni facilitará datos registrados en Eurodac a las autoridades de un tercer país. Esta prohibición no se aplicará a las transferencias de dichos datos a terceros países que se rigen por el Reglamento (UE) 2024/1351.

Artículo 41. Conservación de los registros

1.   La Agencia eu-LISA llevará registros de todas las operaciones de tratamiento de datos que se lleven a cabo en Eurodac. En dichos registros se hará constar el objeto, la fecha y la hora del acceso, los datos transmitidos, los datos utilizados para una consulta y el nombre tanto de la unidad que los haya introducido o extraído como el de las personas responsables.

2.   A efectos de lo dispuesto en el artículo 8 del presente Reglamento, eu-LISA llevará registros de todas las operaciones de tratamiento de datos llevadas a cabo dentro de Eurodac. Los registros de ese tipo de operaciones incluirán los elementos indicados en el apartado 1 del presente artículo y las respuestas positivas activadas en el curso de la tramitación automatizada establecida en el artículo 20 del Reglamento (UE) 2018/1240.

3.   A efectos de lo dispuesto en el artículo 10 del presente Reglamento, los Estados miembros y eu-LISA llevarán registros de todas las operaciones de tratamiento de datos llevadas a cabo dentro de Eurodac y el VIS de conformidad con el presente artículo y el artículo 34 del Reglamento (CE) nº 767/2008.

4.   Los registros mencionados en el apartado 1 del presente artículo solo podrán emplearse para controlar la conformidad del tratamiento de datos y para garantizar la seguridad de los datos con arreglo al artículo 46. Estarán adecuadamente protegidos contra el acceso no autorizado y, salvo que se necesiten para la realización de un procedimiento de control ya iniciado, se suprimirán transcurrido un plazo de un año desde el vencimiento del período de conservación a que se refiere el artículo 29.

5.   A efectos de lo dispuesto en el artículo 1, apartado 1, letras a), b, c), g), h) y j), cada Estado miembro adoptará las medidas necesarias para alcanzar los objetivos fijados en los apartados 1 a 4 del presente artículo en relación con su sistema nacional. Además, cada Estado miembro llevará un registro del personal debidamente autorizado para introducir o extraer datos.

Artículo 42. Derechos de información

1.   El Estado miembro de origen informará a las personas a que se refiere el artículo 15, apartado 1, el artículo 18, apartados 1 y 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, o el artículo 26, apartado 1, del presente Reglamento, por escrito y, cuando resulte necesario, oralmente, en una lengua que entiendan o que se suponga razonablemente que entienden, de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo, de lo que sigue:

a)

la identidad y los datos de contacto del responsable del tratamiento en el sentido del artículo 4, apartado 7, del Reglamento (UE) 2016/679 y, en su caso, de su representante, y los datos de contacto del responsable de la protección de datos;

b)

los datos objeto de tratamiento en Eurodac y la base jurídica del tratamiento, incluida una descripción de los objetivos del Reglamento (UE) 2024/1351, de conformidad con su artículo 19 y, en su caso, de los objetivos del Reglamento (UE) 2024/1350, así como una explicación inteligible del hecho de que los Estados miembros y Europol pueden acceder a Eurodac a efectos de aplicación de la ley;

c)

en relación con las personas a las que se aplican el artículo 15, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, o el artículo 24, apartado 1, el hecho de que, si la inspección de seguridad a que se refieren el artículo 17, apartado 2, letra i), el artículo 22, apartado 3, letra d), el artículo 23, apartado 3, letra e), y el artículo 24, apartado 3, letra f), demuestra que dichas personas podrían suponer una amenaza para la seguridad interior, el Estado miembro de origen tiene la obligación de registrar ese hecho en Eurodac;

d)

los destinatarios o categorías de destinatarios de los datos, si procede;

e)

para las personas a las que se aplican el artículo 15, apartado 1, el artículo 18, apartados 1 y 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, o el artículo 26, apartado 1, la obligatoriedad de la toma de sus datos biométricos y el procedimiento pertinente, junto con las eventuales consecuencias del incumplimiento de tal obligación;

f)

el período durante el que se conservarán los datos de conformidad con el artículo 29;

g)

la existencia del derecho a solicitar al responsable del tratamiento acceso a los datos relacionados con ellas, a solicitar la rectificación de los datos personales inexactos, a que se completen los datos personales incompletos o a que se supriman o restrinjan los datos personales que les conciernan que hayan sido tratados de forma ilegal, así como a recibir información sobre los procedimientos para el ejercicio de tales derechos, incluidos los datos de contacto del responsable del tratamiento y de las autoridades de control a que se refiere el artículo 44, apartado 1;

h)

el derecho a presentar una queja a la autoridad de control.

2.   A las personas a las que se aplican el artículo 15, apartado 1, el artículo 18, apartados 1 y 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1, se les facilitará la información a que se refiere el apartado 1 del presente artículo en el momento de la toma de sus datos biométricos.

Cuando las personas a las que se aplican el artículo 15, apartado 1, el artículo 18, apartados 1 y 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1, sean menores, los Estados miembros facilitarán la información de forma adaptada a su edad.

El procedimiento de toma de datos biométricos se explicará a los menores mediante folletos, infografías o demostraciones, o una combinación de cualquiera de ellos, según proceda, diseñados específicamente para garantizar que los menores los entiendan.

3.   Se elaborará un folleto común que contenga, al menos, la información a que se refiere el apartado 1 del presente artículo y la información a que se refiere el artículo 19, apartado 1, del Reglamento (UE) 2024/1351, de conformidad con el procedimiento mencionado en el artículo 77, apartado 2, de dicho Reglamento.

El folleto será claro y sencillo y estará redactado de forma concisa, transparente, inteligible y fácilmente accesible, en una lengua que la persona interesada entienda o que se suponga razonablemente que entiende.

El folleto común se elaborará de forma que permita a los Estados miembros completarlo con información adicional específica de cada uno de ellos. Esta información específica del Estado miembro incluirá, al menos, las medidas administrativas para asegurarse de se cumple la obligación de proporcionar datos biométricos, los derechos del interesado, la posibilidad de solicitar información y asistencia a las autoridades de control nacionales y los datos de contacto de la oficina del responsable del tratamiento, del responsable de la protección de datos y de las autoridades de control nacionales.

Artículo 43. Derecho de acceso a los datos personales, derecho de rectificación, compleción y supresión de datos personales y derecho de restricción del tratamiento de datos personales

1.   A efectos de lo dispuesto en el artículo 1, apartado 1, letras a), b), c) y j), del presente Reglamento, los derechos del interesado en cuanto al acceso a los datos personales, a la rectificación, compleción y supresión de dichos datos y a la restricción de su tratamiento se ejercerán de conformidad con el capítulo III del Reglamento (UE) 2016/679 y se aplicarán con arreglo al presente artículo.

2.   El derecho de acceso del interesado en cada Estado miembro incluirá el derecho a que se le comuniquen los datos personales relativos a su persona registrados en Eurodac, incluido cualquier registro que indique que la persona podría suponer una amenaza para la seguridad interior, así como el Estado miembro que los haya transmitido a Eurodac, en las condiciones establecidas en el Reglamento (UE) 2016/679 y en el Derecho nacional adoptado con arreglo a él. Dicho acceso a los datos personales solo podrá ser concedido por un Estado miembro.

Cuando los derechos de rectificación y supresión de datos personales se ejerzan en un Estado miembro distinto del Estado o Estados que hayan transmitido los datos, las autoridades de dicho Estado miembro se pondrán en contacto con las autoridades del Estado o Estados miembros que hayan transmitido los datos con el fin de que puedan comprobar la exactitud de los datos y la legalidad de su transmisión y registro en Eurodac.

3.   Tratándose de un registro que indique que la persona podría suponer una amenaza para la seguridad interior, los Estados miembros podrán restringir los derechos del interesado mencionados en el presente artículo de conformidad con el artículo 23 del Reglamento (UE) 2016/679.

4.   Si se comprueba que hay datos registrados en Eurodac que son materialmente inexactos o han sido ilegalmente registrados, el Estado miembro que los haya transmitido los rectificará o suprimirá, de conformidad con el artículo 40, apartado 3. Dicho Estado miembro informará por escrito al interesado de que ha tomado medidas para rectificar, completar o suprimir los datos personales que guarden relación con su persona o para restringir su tratamiento.

5.   Si el Estado miembro que ha transmitido los datos no acepta que los datos registrados en Eurodac son materialmente inexactos o han sido registrados ilegalmente, explicará por escrito al interesado los motivos por los que no está dispuesto a rectificar o suprimir los datos.

Dicho Estado miembro también facilitará al interesado información explicativa de las medidas que pueden adoptarse en caso de que no acepte la explicación dada. Entre otra información, se le indicará la manera de interponer una demanda o, en su caso, una denuncia ante las autoridades u órganos jurisdiccionales competentes de dicho Estado miembro y las ayudas financieras o de otro tipo a que puede acogerse con arreglo a los procedimientos y disposiciones legales y reglamentarias de dicho Estado miembro.

6.   Las solicitudes de acceso a los datos personales, de rectificación, compleción o supresión de dichos datos o de restricción de su tratamiento que se presenten con arreglo a los apartados 1 y 2 contendrán toda la información necesaria para identificar al interesado, incluidos sus datos biométricos. Estos datos solo se utilizarán para el ejercicio de los derechos del interesado recogidos en los apartados 1 y 2, tras lo cual se suprimirán inmediatamente.

7.   Las autoridades competentes de los Estados miembros colaborarán activamente a fin de que los derechos del interesado en cuanto al acceso a los datos personales, a la rectificación, compleción o supresión de dichos datos y a la restricción de su tratamiento reciban pronta satisfacción.

8.   Cuando una persona solicite acceso a datos relativos a ella, la autoridad competente lo consignará en un registro en forma de documento escrito para acreditar que dicha solicitud se ha presentado y de qué manera se ha tratado, y pondrá este documento a disposición de las autoridades de control nacionales sin dilación.

9.   La autoridad de control nacional del Estado miembro que haya transmitido los datos y la autoridad de control nacional del Estado miembro en que esté presente el interesado facilitarán a esta información, cuando así lo solicite, acerca del ejercicio de su derecho a solicitar al responsable de la protección de datos el acceso a los datos personales, a la rectificación, compleción o supresión de dichos datos o a la restricción del tratamiento de datos personales que le conciernan. Las autoridades de control cooperarán de conformidad con el capítulo VII del Reglamento (UE) 2016/679.

Artículo 44. Supervisión por parte de las autoridades de control nacionales

1.   Cada Estado miembro dispondrá que su autoridad o autoridades de control a que se refiere el artículo 51, apartado 1, del Reglamento (UE) 2016/679 realicen un control de la legalidad del tratamiento de los datos personales por el Estado miembro en cuestión, a los fines establecidos en el artículo 1, apartado 1, letras a), b), c) y j), incluida su transmisión a Eurodac.

2.   Cada Estado miembro garantizará que su autoridad de control cuente con el asesoramiento de personas con suficientes conocimientos de datos biométricos.

Artículo 45. Supervisión a cargo del Supervisor Europeo de Protección de Datos

1.   El Supervisor Europeo de Protección de Datos se asegurará de que todas las actividades de tratamiento de datos personales relativos a Eurodac, en particular las que lleve a cabo eu-LISA, sean conformes al Reglamento (UE) 2018/1725 y al presente Reglamento.

2.   El Supervisor Europeo de Protección de Datos se asegurará de que, al menos cada tres años, se lleve a cabo una auditoría de las actividades de tratamiento de datos personales de eu-LISA siguiendo normas de auditoría internacionales. El informe de las auditorías se enviará al Parlamento Europeo, al Consejo, a la Comisión, a eu-LISA y a las autoridades de control nacionales. Se dará a eu-LISA la oportunidad de formular comentarios antes de que se apruebe el informe.

Artículo 46. Cooperación entre las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos

1.   Con arreglo al artículo 62 del Reglamento (UE) 2018/1725, las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos, cada uno dentro del ámbito de sus competencias respectivas, cooperarán activamente en el marco de sus responsabilidades y garantizarán una supervisión coordinada de Eurodac.

2.   Los Estados miembros garantizarán que se lleve a cabo anualmente una auditoría del tratamiento de datos personales a efectos de aplicación de la ley por parte de un organismo independiente de conformidad con el artículo 47, apartado 1, incluido un análisis de una muestra de las solicitudes electrónicas motivadas.

La auditoría se adjuntará al informe anual presentado por los Estados miembros al que se hace referencia en el artículo 57, apartado 8.

3.   Las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos, cada uno dentro del ámbito de sus competencias respectivas, intercambiarán la información pertinente, se asistirán mutuamente en la realización de inspecciones y auditorías, estudiarán las dificultades en la interpretación o aplicación del presente Reglamento, examinarán los problemas relativos al ejercicio del control independiente o al ejercicio de los derechos de los interesados, elaborarán propuestas armonizadas para hallar soluciones comunes a los problemas y fomentarán el conocimiento de los derechos en materia de protección de datos, en la medida necesaria.

4.   A efectos del apartado 3, las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos se reunirán al menos dos veces al año en el marco del Comité Europeo de Protección de Datos. Los gastos y la organización de las reuniones correrán a cargo del Comité Europeo de Protección de Datos. El reglamento interno de las reuniones se adoptará en la primera reunión que se celebre. Los métodos de trabajo se irán desarrollando conjuntamente y en función de las necesidades. Cada dos años el Comité Europeo de Protección de Datos remitirá al Parlamento Europeo, al Consejo y a la Comisión un informe conjunto sobre las actividades realizadas. Dicho informe incluirá un capítulo relativo a cada Estado miembro, redactado por la respectiva autoridad de control nacional.

Artículo 47. Protección de datos personales a efectos de aplicación de la ley

1.   La autoridad o autoridades de control de cada Estado miembro a que se hace referencia en el artículo 41, apartado 1, de la Directiva (UE) 2016/680 controlarán la legalidad del tratamiento de los datos personales en virtud del presente Reglamento por parte de los Estados miembros a efectos de aplicación de la ley, incluida su transmisión con origen o destino en Eurodac.

2.   El tratamiento de datos personales efectuado por Europol con arreglo al presente Reglamento se llevará a cabo de conformidad con el Reglamento (UE) 2016/794 y estará supervisado por el Supervisor Europeo de Protección de Datos.

3.   Los datos personales obtenidos de Eurodac conforme al presente Reglamento a efectos de aplicación de la ley únicamente serán objeto de tratamiento a efectos de la prevención, detección o investigación del caso específico para el que hayan sido solicitados por un Estado miembro o por Europol.

4.   Sin perjuicio del artículo 24 de la Directiva (UE) 2016/680, Eurodac, las autoridades designadas, las autoridades verificadoras y Europol llevarán los registros de las búsquedas, al objeto de que las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos puedan efectuar un seguimiento para comprobar que el tratamiento de datos cumple las normas de protección de la Unión, también al objeto de conservar registros para elaborar los informes anuales mencionados en el artículo 57, apartado 8, del presente Reglamento. Para otros fines distintos, tanto los datos personales como el registro de las búsquedas serán suprimidos de todos los registros nacionales y de Europol en el plazo de un mes, salvo que un Estado miembro o Europol necesiten los datos para la investigación penal específica en curso para la cual se hubiesen solicitado los datos.

Artículo 48. Seguridad de los datos

1.   El Estado miembro de origen garantizará la seguridad de los datos antes de la transmisión a Eurodac y mientras esta se produce.

2.   Los Estados miembros adoptarán, en relación con todos los datos tratados por sus autoridades competentes de conformidad con el presente Reglamento, las medidas necesarias, incluido un plan de seguridad de los datos, para:

a)

proteger los datos físicamente, entre otras cosas mediante la elaboración de planes de emergencia para la protección de infraestructuras críticas;

b)

denegar el acceso de las personas no autorizadas a los equipos de tratamiento de datos y a las instalaciones nacionales en que el Estado miembro lleva a cabo operaciones de conformidad con el objetivo de Eurodac (control de acceso a los equipos y controles a la entrada de la instalación);

c)

impedir que los soportes de datos puedan ser leídos, copiados, modificados o suprimidos sin autorización (control de los soportes de datos);

d)

impedir que se introduzcan datos sin autorización, o que puedan inspeccionarse, modificarse o suprimirse sin autorización datos personales conservados (control de la conservación);

e)

impedir la utilización de sistemas de tratamiento de datos automatizados por parte de personas no autorizadas utilizando equipos de comunicación de datos (control del usuario);

f)

impedir el tratamiento no autorizado de datos en Eurodac y toda modificación o supresión no autorizada de datos tratados en Eurodac (control de la entrada de datos);

g)

garantizar que el personal autorizado para acceder a Eurodac solo pueda tener acceso a los datos que prevea su autorización de acceso, mediante identificaciones personales y de utilización única, y claves de acceso confidenciales (control de acceso a los datos);

h)

garantizar que todas las autoridades con derecho de acceso a Eurodac creen perfiles que describan las funciones y responsabilidades de las personas con autorización de acceso, registro, actualización, supresión y búsqueda de datos, y que dichas autoridades pongan dichos perfiles y cualquier otra información pertinente que puedan precisar a efectos de supervisión a disposición de las autoridades de control mencionadas en el artículo 51 del Reglamento (UE) 2016/679 y en el artículo 41 de la Directiva (UE) 2016/680, sin demora, a petición de estas (perfiles del personal);

i)

garantizar la posibilidad de verificar y determinar a qué autoridades pueden transmitirse datos personales mediante equipos de transmisión de datos (control de la transmisión);

j)

garantizar la posibilidad de verificar y determinar qué datos han sido tratados en Eurodac, en qué momento, por quién y con qué fin (control del registro de datos);

k)

impedir la lectura, copia, modificación o borrado no autorizados de datos personales durante la transmisión de estos a o desde Eurodac o durante el transporte de los soportes de datos, en particular mediante técnicas adecuadas de criptografiado (control del transporte);

l)

asegurar que los sistemas instalados puedan ser restaurados en caso de interrupción (recuperación);

m)

asegurar que Eurodac lleva a cabo sus funciones, que se notifica la aparición de defectos en las funciones (fiabilidad) y que los datos personales conservados no pueden ser corrompidos por el mal funcionamiento del sistema (integridad), y

n)

controlar la eficacia de las medidas de seguridad mencionadas en el presente apartado y adoptar las medidas de organización necesarias relativas al control interno, para garantizar el cumplimiento del presente Reglamento (control interno) y detectar automáticamente en el plazo de 24 horas cualquier acontecimiento relevante que se produzca como consecuencia de la aplicación de las medidas mencionadas en las letras b) a k) que pueda indicar que se ha producido un incidente de seguridad.

3.   Los Estados miembros y Europol informarán a eu-LISA de los incidentes de seguridad relativos a Eurodac detectados en sus sistemas, sin perjuicio de la notificación y comunicación de una violación de un dato personal, de conformidad con los artículos 33 y 34 del Reglamento (UE) 2016/679, los artículos 30 y 31 de la Directiva (UE) 2016/680 y los artículos 34 y 35 del Reglamento (UE) 2016/794, respectivamente. La Agencia eu-LISA informará sin demora injustificada a los Estados miembros, a Europol y al Supervisor Europeo de Protección de Datos de los incidentes de seguridad relativos a Eurodac detectados en sus sistemas, sin perjuicio de los artículos 34 y 35 del Reglamento (UE) 2018/1725. Los Estados miembros de que se trate, eu-LISA y Europol colaborarán durante un incidente de seguridad.

4.   La Agencia eu-LISA adoptará las medidas necesarias para alcanzar los objetivos fijados en el apartado 2 del presente artículo en relación con el funcionamiento de Eurodac, incluida la adopción de un plan de seguridad de los datos.

Antes de que comience el uso operativo de Eurodac, se actualizará el marco de seguridad para el entorno empresarial y técnico de Eurodac, de conformidad con el artículo 33 del Reglamento (UE) 2018/1725.

5.   La Agencia de Asilo de la Unión Europea adoptará las medidas necesarias para aplicar lo dispuesto en el artículo 18, apartado 4, incluida la adopción del plan de seguridad de los datos mencionado en el apartado 2 del presente artículo.

Artículo 49. Prohibición de transferencia de datos a terceros países, organismos internacionales o particulares

1.   Los datos personales obtenidos por un Estado miembro o Europol de Eurodac de acuerdo con el presente Reglamento no se transferirán a ningún tercer país, organización internacional o persona física establecida dentro o fuera de la Unión Europea, ni se pondrán a su disposición. Esta prohibición se aplicará también si estos datos reciben un tratamiento ulterior en el sentido del artículo 4, punto 2, del Reglamento (UE) 2016/679 y del artículo 3, punto 2, de la Directiva (UE) 2016/680, en el nivel nacional o entre Estados miembros.

2.   Los datos personales que se originan en un Estado miembro y se intercambian entre Estados miembros a raíz de una respuesta positiva de búsqueda obtenida a efectos de aplicación de la ley no se transferirán a terceros países si existe un riesgo real de que, como resultado de dicha transferencia, el interesado sea objeto de tortura, de tratos o penas inhumanos o degradantes, o de cualquier otra violación de sus derechos fundamentales.

3.   Los datos personales que se originan en un Estado miembro y se intercambian entre un Estado miembro y Europol a raíz de una respuesta positiva de búsqueda obtenida a efectos de aplicación de la ley no se transferirán a terceros países si existe un riesgo real de que, como resultado de dicha transferencia, el interesado sea objeto de tortura, de tratos o penas inhumanos o degradantes, o de cualquier otra violación de sus derechos fundamentales. Además, las transferencias solo se llevarán a cabo cuando sean necesarias y proporcionadas en casos incluidos en el mandato de Europol, de conformidad con el capítulo V del Reglamento (UE) 2016/794 y con el consentimiento del Estado miembro de origen.

4.   No se comunicará a ningún tercer país información relativa al hecho de que se ha formulado una solicitud de protección internacional o de que una persona ha sido objeto de un procedimiento de admisión en un Estado miembro en lo que respecta a las personas a las que se refieren el artículo 15, apartado 1, el artículo 18, apartados 1 y 2, o el artículo 20, apartado 1.

5.   Las prohibiciones establecidas en los apartados 1 y 2 del presente artículo se entenderán sin perjuicio del derecho de los Estados miembros a transferir dichos datos de conformidad con el capítulo V del Reglamento (UE) 2016/679 o con las normas nacionales adoptadas con arreglo al capítulo V de la Directiva (UE) 2016/680, según corresponda, a los terceros países a los que se aplica el Reglamento (UE) 2024/1351.

Artículo 50. Transferencia de datos a terceros países a efectos de retorno

1.   Como excepción a lo dispuesto en el artículo 49, los datos personales relativos a las personas a que se refiere el artículo 15, apartado 1, el artículo 18, apartado 2, letra a), el artículo 20, apartado 1, el artículo 22, apartado 2, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1, obtenidos por un Estado miembro a raíz de una respuesta positiva a efectos de lo establecido en el artículo 1, apartado 1, letras a), b), c) o j) podrán transmitirse o ponerse a disposición de un tercer país previo acuerdo con el Estado miembro de origen.

2.   Las transmisiones de datos a un tercer país en virtud del apartado 1 del presente artículo se efectuarán de conformidad con las disposiciones pertinentes del Derecho de la Unión, en particular las relativas a la protección de datos, incluido el capítulo V del Reglamento (UE) 2016/679, y, cuando proceda, los acuerdos de readmisión, y con el Derecho nacional del Estado miembro que transmita los datos.

3.   Las transmisiones de datos a un tercer país en virtud del apartado 1 se realizarán solamente cuando se hayan cumplido las siguientes condiciones:

a)

que los datos se transfieran o pongan a disposición del tercer país exclusivamente con fines de identificación y expedición de un documento de identidad o de viaje a un nacional de un tercer país en situación irregular con vistas al retorno, y

b)

que el nacional de un tercer país interesado haya sido informado de que sus datos personales podrán ponerse en conocimiento de las autoridades de un tercer país;

4.   La aplicación del Reglamento (UE) 2016/679, también con respecto a las transferencias de datos personales a terceros países de conformidad con el presente artículo, y en particular la utilización, la proporcionalidad y la necesidad de las transferencias basadas en el artículo 49, apartado 1, letra d), de dicho Reglamento, estará sujeta al control de la autoridad de control independiente establecida en virtud del capítulo VI del Reglamento (UE) 2016/679.

5.   Las transmisiones de datos a terceros países en virtud del presente artículo se entenderán sin perjuicio de los derechos de las personas a las que se refiere el artículo 15, apartado 1, el artículo 18, apartado 2, letra a), el artículo 20, apartado 1, el artículo 22, apartado 2, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1, del presente Reglamento en lo que respecta a la no devolución o a la prohibición de divulgar u obtener información de conformidad con el artículo 7 del Reglamento (UE) 2024/1348.

6.   Los terceros países no tendrán acceso directo a Eurodac para comparar o transmitir datos biométricos ni ningún otro dato personal de un nacional de un tercer país o apátrida, ni se les concederá acceso a Eurodac por conducto del Punto de Acceso Nacional de un Estado miembro.

Artículo 51. Registro y documentación

1.   Los Estados miembros y Europol se asegurarán de que todas las operaciones de tratamiento de datos derivadas de solicitudes de comparación con los datos de Eurodac a efectos de aplicación de la ley, queden registradas o sean documentadas para comprobar la admisibilidad de la solicitud, controlar la legalidad del tratamiento de datos y la integridad y seguridad de los datos, y para fines de control interno.

2.   En el registro y documentación se indicará en todos los casos:

a)

el fin exacto de la solicitud de comparación, incluido el tipo de delito de terrorismo u otro delito grave en cuestión y, para Europol, el fin exacto de la solicitud de comparación;

b)

los motivos fundados alegados de conformidad con el artículo 33, apartado 1, letra a), del presente Reglamento para no efectuar la comparación con otros Estados miembros con arreglo a la Decisión 2008/615/JAI;

c)

el número de expediente nacional;

d)

la fecha y hora exacta de la solicitud de comparación por el Punto de Acceso Nacional a Eurodac;

e)

el nombre de la autoridad que ha solicitado el acceso para la comparación y la persona responsable que ha efectuado la solicitud y tratado los datos;

f)

en su caso, si se recurrió al procedimiento de urgencia mencionado en el artículo 32, apartado 4, y la decisión adoptada respecto de la comprobación a posteriori;

g)

los datos utilizados para la comparación;

h)

conforme a las normas nacionales o a las normas del Reglamento (UE) 2016/794, la marca identificadora del funcionario que haya realizado la búsqueda y la del funcionario que haya ordenado la búsqueda o el suministro de datos;

i)

en su caso, una referencia a la utilización del portal europeo de búsqueda para consultar el sistema Eurodac a que se refiere el artículo 7, apartado 2, del Reglamento (UE) 2019/818.

3.   Los registros y la documentación solo se utilizarán para el control de la legalidad del tratamiento de datos y para garantizar la integridad y la seguridad de los datos. Los registros que contengan datos de carácter personal no podrán utilizarse para el seguimiento y evaluación a que se refiere el artículo 57.

Las autoridades de control nacionales responsables del control de la admisibilidad de la solicitud y del control de la legalidad del tratamiento de datos y de la integridad y seguridad de los datos tendrán acceso a dichos registros previa petición, a efectos del desempeño de sus funciones.

Artículo 52. Responsabilidad

1.   Toda persona o Estado miembro que haya sufrido un perjuicio material o inmaterial como consecuencia de una operación de tratamiento ilegal o un acto incompatible con el presente Reglamento tendrá derecho a indemnización por parte del Estado miembro responsable del perjuicio sufrido, o por parte de eu-LISA si es responsable del perjuicio sufrido y en la medida en que no haya cumplido con las obligaciones con arreglo al presente Reglamento que le incumban específicamente o cuando haya actuado al margen o en contra de instrucciones legítimas de dicho Estado miembro. El Estado miembro responsable o eu-LISA quedarán exentos de su responsabilidad, total o parcialmente, si demuestran que no son responsables en modo alguno del acontecimiento que originó el perjuicio.

2.   Si cualquier incumplimiento, por parte de un Estado miembro, de las obligaciones impuestas por el presente Reglamento ocasionase daños a Eurodac, el responsable será dicho Estado miembro, salvo que eu-LISA u otro Estado miembro no hubieren tomado las medidas oportunas para impedir que se causaran los daños o para paliar sus consecuencias.

3.   Las reclamaciones contra un Estado miembro por los perjuicios a los que se refieren los apartados 1 y 2 del presente artículo estarán sujetas a las disposiciones del Derecho nacional del Estado miembro demandado de conformidad con los artículos 79 y 80 del Reglamento (UE) 2016/679 y los artículos 54 y 55 de la Directiva (UE) 2016/680. Las reclamaciones de indemnización contra eu-LISA por los daños y perjuicios a que se refieren los apartados 1 y 2 del presente artículo estarán sujetas a las condiciones establecidas en los Tratados.

CAPÍTULO XIII. Modificaciones de los Reglamentos (UE) 2018/1240 y (UE) 2019/818

Artículo 53. Modificaciones del Reglamento (UE) 2018/1240

1.

En el artículo 11, se inserta el apartado siguiente:

«6 bis.   A efectos de proceder a las verificaciones mencionadas en el artículo 20, apartado 2, párrafo segundo, letra k), las verificaciones automatizadas en virtud del apartado 1 del presente artículo permitirán al Sistema Central del SEIAV consultar a Eurodac según se establece en el Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo (*1) con respecto a los siguientes datos proporcionados por los solicitantes con arreglo al artículo 17, apartado 2, letras a) a d), del presente Reglamento:

a)

apellido(s), nombre(s), apellido(s) de nacimiento; fecha de nacimiento, lugar de nacimiento, sexo, nacionalidad actual;

b)

otros nombres (alias, nombres artísticos, nombres habituales), en su caso;

c)

otras nacionalidades, en su caso;

d)

tipo, número y país de expedición del documento de viaje.

2.

En el artículo 25 bis, apartado 1, se añade la letra siguiente:

«f)

los datos a que se refieren los artículos 17, 19, 21, 22, 23, 24 y 26 del Reglamento (UE) 2024/1358.».

3.

En el artículo 88, el apartado 6 se sustituye por el texto siguiente:

«6.   El SEIAV iniciará las operaciones con independencia de que se establezca la interoperabilidad con Eurodac o con el ECRIS-TCN.».

Artículo 54. Modificaciones del Reglamento (UE) 2019/818

El Reglamento (UE) 2019/818 se modifica como sigue:

1)

En el artículo 4, el punto 20 se sustituye por el texto siguiente:

«20)

“autoridades designadas”: las autoridades designadas de los Estados miembros en el sentido del artículo 5 del Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo (*2), en el artículo 3, apartado 1, punto 26, del Reglamento (UE) 2017/2226 del Parlamento Europeo (*3) y del Consejo, en el artículo 4, punto 3 bis, del Reglamento (CE) nº 767/2008 y en el artículo 3, apartado 1, punto 21, del Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo (*4);

2)

En el artículo 10, apartado 1, la parte introductoria se sustituye por el texto siguiente:

«Sin perjuicio de lo dispuesto en el artículo 51 del Reglamento (UE) 2024/1358, los artículos 12 y 18 del Reglamento (UE) 2018/1862, el artículo 31 del Reglamento (UE) 2019/816 y el artículo 40 del Reglamento (UE) 2016/794, eu-LISA conservará los registros de todas las operaciones de tratamiento de datos dentro del PEB. Dichos registros incluirán, en particular, lo siguiente:».

3)

En el artículo 13, apartado 1, el párrafo primero se modifica como sigue:

a)

la letra b) se sustituye por el texto siguiente:

«b)

los datos a que se refiere el artículo 5, apartado 1, letra b), y apartado 3 del Reglamento (UE) 2019/816;»;

b)

se añade la letra siguiente:

«c)

los datos a que se refiere el artículo 17, apartado 1, letras a) y b), el artículo 19, apartado 1, letras a) y b), el artículo 21, apartado 1, letras a) y b), el artículo 22, apartado 2, letras a) y b), el artículo 23, apartado 2, letras a) y b), el artículo 24, apartado 2, letras a) y b) y el artículo 26, apartado 2, letras a) y b), del Reglamento (UE) 2024/1358.».

4)

El artículo 14 se sustituye por el texto siguiente:

«Artículo 14

Búsqueda de datos biométricos con el servicio de correspondencia biométrica compartido

A fin de buscar los datos biométricos almacenados en el RCDI y el SIS, estos utilizarán las plantillas biométricas almacenadas en el SCB compartido. Las consultas con datos biométricos tendrán lugar de conformidad con los fines establecidos en el presente Reglamento y en los Reglamentos (CE) nº 767/2008, (UE) 2017/2226, (UE) 2018/1860, (UE) 2018/1861, (UE) 2018/1862, (UE) 2019/816 y (UE) 2024/1358.».

5)

En el artículo 16, apartado 1, la primera frase se sustituye por el texto siguiente:

«Sin perjuicio del artículo 51 del Reglamento (UE) 2024/1358, los artículos 12 y 18 del Reglamento (UE) 2018/1862 y el artículo 31 del Reglamento (UE) 2019/816, eu-LISA conservará los registros de todas las operaciones de tratamiento de datos dentro del SCB compartido.».

6)

En el artículo 18, el apartado 1 se sustituye por el texto siguiente:

«1.   El RCDI almacenará, separados de un modo lógico, los siguientes datos según el sistema de información del que provengan:

a)

los datos a que se refieren el artículo 17, apartado 1, letras a) a f), h) e i), el artículo 19, apartado 1, letras a) a f), h) e i), el artículo 21, apartado 1, letras a) a f), h) e i), el artículo 22, apartado 2, letras a) a f), h) e i), el artículo 23, apartado 2, letras a) a f), h) e i), el artículo 24, apartado 2, letras a) a f) y h), el artículo 24, apartado 3, letra a), y el artículo 26, apartado 2, letras a) a f), h) e i) del Reglamento (UE) 2024/1358;

b)

b) los datos a que se refiere el artículo 5, apartados 1, letra b), y 3, del Reglamento (UE) 2019/816, y los siguientes datos enumerados en el artículo 5, apartado 1, letra a), de dicho Reglamento: apellido(s); nombre(s) de pila, fecha de nacimiento; lugar de nacimiento (localidad y país); nacionalidad o nacionalidades; género y, cuando proceda, nombre(s) o apellido(s) anterior(es), seudónimo(s) y/o alias, e información sobre los documentos de viaje, si está disponible.».

7)

En el artículo 23, el apartado 1 se sustituye por el texto siguiente:

«1.   Los datos a que se refiere el artículo 18, apartados 1, 2 y 4, se eliminarán del registro común de datos de identidad (RCDI) de forma automatizada de conformidad con las disposiciones de conservación de los datos del Reglamento (UE) 2024/1358 y del Reglamento (UE) 2019/816.».

8)

En el artículo 24, el apartado 1 se sustituye por el texto siguiente:

«1.   Sin perjuicio del artículo 51 del Reglamento (UE) 2024/1358 y del artículo 29 del Reglamento (UE) 2019/816, eu-LISA conservará los registros de todas las operaciones de tratamiento de datos dentro del RCDI de conformidad con los apartados 2, 3 y 4 del presente artículo.».

9)

En el artículo 26, apartado 1, se añaden los puntos siguientes:

«c)

las autoridades competentes para recopilar los datos a tenor del capítulo II del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac;

d)

las autoridades competentes para recopilar los datos a tenor del capítulo III del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac en caso de correspondencias que se produzcan al transmitir dichos datos;

e)

las autoridades competentes para recopilar los datos a tenor del capítulo IV del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac;

f)

las autoridades competentes para recopilar los datos a tenor del capítulo V del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac;

g)

las autoridades competentes para recopilar los datos a tenor del capítulo VI del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac;

h)

las autoridades competentes para recopilar los datos a tenor del capítulo VIII del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac;».

10)

El artículo 27 se modifica como sigue:

a)

en el apartado 1 se añade la letra siguiente:

«c)

un conjunto de datos se transmite a Eurodac de conformidad con los artículos 17, 19, 21, 22, 23, 24 o 26 del Reglamento (UE) 2024/1358;»;

b)

en el apartado 3 se añade la letra siguiente:

«c)

apellido(s); nombre o nombres; nombre o nombres de nacimiento, nombres usados con anterioridad y alias; fecha de nacimiento, lugar de nacimiento, nacionalidad o nacionalidades y sexo, según lo dispuesto en los artículos 17, 19, 21, 22, 23, 24 y 26 del Reglamento (UE) 2024/1358;».

11)

En el artículo 29, apartado 1, se añaden las letras siguientes:

«c)

las autoridades competentes para recopilar los datos a tenor del capítulo II del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac en caso de correspondencias que se produzcan al transmitir dichos datos;

d)

las autoridades competentes para v los datos a tenor del capítulo III del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac en caso de correspondencias que se produzcan al transmitir dichos datos;

e)

las autoridades competentes para recopilar los datos a tenor del capítulo IV del Reglamento (UE) 2024/1358 en caso de correspondencias que se produzcan al transmitir dichos datos;

f)

las autoridades competentes para recopilar los datos a tenor del capítulo V del Reglamento (UE) 2024/1358 en caso de correspondencias que se produzcan al transmitir dichos datos;

g)

las autoridades competentes para recopilar los datos a tenor del capítulo VI del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac en caso de correspondencias que se produzcan al transmitir dichos datos;

h)

las autoridades competentes para recopilar los datos a tenor del capítulo VIII del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac en caso de correspondencias que se produzcan al transmitir dichos datos.».

12)

En el artículo 39, el apartado 2 se sustituye por el texto siguiente:

«2.   eu-LISA establecerá, implementará y alojará en sus sitios técnicos el RCIE que contenga los datos y las estadísticas a que se hace referencia en el artículo 12 del Reglamento (UE) 2024/1358, el artículo 74 del Reglamento (UE) 2018/1862 y el artículo 32 del Reglamento (UE) 2019/816, separados de forma lógica por el sistema de información de la UE. El acceso al RCIE se concederá por medio de un acceso seguro, con un control de acceso y unos perfiles de usuario específicos, únicamente a efectos de la presentación de informes y estadísticas, a las autoridades a las que se refieren el artículo 12 del Reglamento 2024/1358, el artículo 74 del Reglamento (UE) 2018/1862 y el artículo 32 del Reglamento (UE) 2019/816.».

13)

En el artículo 47, apartado 3, se añade el párrafo siguiente:

«Las personas cuyos datos estén registrados en Eurodac serán informadas sobre el tratamiento de los datos personales transmitidos a efectos del presente Reglamento, de conformidad con el apartado 1, cuando se transmita un nuevo conjunto de datos a Eurodac según lo dispuesto en los artículos 15, 18, 20, 22, 23, 24 y 26 del Reglamento (UE) 2024/1358.».

14)

El artículo 50 se sustituye por el texto siguiente:

«Artículo 50

Comunicación de datos personales a terceros países, organizaciones internacionales y particulares

Sin perjuicio del artículo 31 del Reglamento (CE) nº 767/2008, los artículos 25 y 26 del Reglamento (UE) 2016/794, el artículo 41 del Reglamento (UE) 2017/2226, el artículo 65 del Reglamento (UE) 2018/1240, los artículos 49 y 50 del Reglamento (UE) 2024/1358 y de la consulta de bases de datos de Interpol a través del PEB de conformidad con el artículo 9, apartado 5, del presente Reglamento que sean conformes con el capítulo V del Reglamento (UE) 2018/1725 y el capítulo V del Reglamento (UE) 2016/679, los datos personales almacenados en los componentes de interoperabilidad o tratados por ellos o a los que se acceda a través de esos componentes no se transmitirán ni se pondrán a disposición de terceros países, organizaciones internacionales ni entidades privadas.».

CAPÍTULO XIV. Disposiciones finales

Artículo 55. Costes

1.   El presupuesto general de la Unión sufragará los costes de creación y de funcionamiento de Eurodac y de la Infraestructura de Comunicación.

2.   Los costes contraídos por los Puntos de Acceso Nacionales y el Punto de Acceso de Europol, así como los costes para la conexión a Eurodac correrán a cargo de cada Estado miembro y de Europol, respectivamente.

3.   Cada Estado miembro y Europol crearán y mantendrán a sus expensas la infraestructura técnica necesaria para aplicar el presente Reglamento y serán responsables de sufragar los costes derivados de las solicitudes de comparación con los datos de Eurodac a efectos de aplicación de la ley.

Artículo 56. Procedimiento de comité

1.   La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) nº 182/2011.

2.   En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) nº 182/2011.

3.   Cuando el comité no emita ningún dictamen, la Comisión no adoptará el proyecto de acto de ejecución y se aplicará el artículo 5, apartado 4, párrafo tercero, del Reglamento (UE) nº 182/2011.

Artículo 57. Informes, seguimiento y evaluación

1.   La Agencia eu-LISA presentará al Parlamento Europeo, al Consejo, a la Comisión y al Supervisor Europeo de Protección de Datos un informe anual sobre las actividades de Eurodac, incluidos su funcionamiento técnico y su seguridad. El informe anual incluirá información sobre la gestión y el funcionamiento de Eurodac, contrastados con indicadores cuantitativos definidos previamente para los objetivos relacionados con los resultados, rentabilidad y la calidad del servicio.

2.   La Agencia eu-LISA garantizará el establecimiento de procedimientos para el control del funcionamiento de Eurodac en relación con los objetivos mencionados en el apartado 1.

3.   A efectos del mantenimiento técnico y la elaboración de informes y estadísticas, eu-LISA tendrá acceso a la información necesaria relacionada con las operaciones de tratamiento que se realizan en Eurodac.

4.   A más tardar el 12 de junio de 2027, eu-LISA realizará un estudio para dilucidar si es viable técnicamente añadir a Eurodac un programa informático de reconocimiento facial a efectos de comparación de imágenes faciales, también de menores. El estudio evaluará la fiabilidad y precisión de los resultados obtenidos a partir de programas informáticos de reconocimiento facial a efectos de Eurodac y formulará las recomendaciones necesarias antes de la introducción de la tecnología de reconocimiento facial en Eurodac.

5.   A más tardar el 12 de junio de 2029 y, posteriormente, cada cuatro años, la Comisión realizará una evaluación global de Eurodac en la que comparará los resultados alcanzados con los objetivos y estudiará sus efectos sobre los derechos fundamentales, en particular el derecho de protección de datos y el derecho a la intimidad, entre otros si el acceso a efectos de aplicación de la ley ha dado lugar a la discriminación indirecta de personas incluidas en el ámbito de aplicación del presente Reglamento, y en la que examinará la vigencia de los fundamentos del sistema, incluido el empleo de programas informáticos de reconocimiento facial, y las posibles consecuencias para futuras operaciones, y formulará las recomendaciones necesarias. Dicha evaluación incluirá asimismo una evaluación de las sinergias entre el presente Reglamento y el Reglamento (UE) 2018/1862. La Comisión remitirá los informes de evaluación al Parlamento Europeo y al Consejo.

6.   Los Estados miembros facilitarán a eu-LISA y a la Comisión la información necesaria para elaborar el informe anual a que se refiere el apartado 1.

7.   La Agencia eu-LISA, los Estados miembros y Europol facilitarán a la Comisión la información necesaria para elaborar los informes de evaluación a que se refiere el apartado 5. Esta información no pondrá en peligro los métodos de trabajo ni incluir datos que revelen fuentes, miembros del personal o investigaciones de las autoridades designadas.

8.   Respetando las disposiciones de la legislación nacional en materia de publicación de información sensible, cada Estado miembro y Europol prepararán informes bienales sobre la eficacia de la comparación de datos biométricos con los datos de Eurodac a efectos de aplicación de la ley, que comprenderán información y estadísticas sobre:

a)

la finalidad exacta de la comparación, incluido el tipo del delito de terrorismo u otro delito grave;

b)

los motivos de sospechas razonables alegados;

c)

los motivos fundados alegados de conformidad con el artículo 33, apartado 1, letra a), del presente Reglamento, para no llevar a cabo la comparación con otros Estados miembros al amparo de la Decisión 2008/615/JAI;

d)

el número de solicitudes de comparación;

e)

el número y tipo de casos en que la identificación fue positiva, y

f)

la necesidad y el recurso al caso excepcional de urgencia, incluyendo aquellos casos en los que la urgencia no fue aceptada, tras la verificación efectuada a posteriori por la autoridad verificadora.

Los informes de los Estados miembros y de Europol a que se refiere el párrafo primero se remitirán a la Comisión a más tardar el 30 de junio del año siguiente.

9.   Sobre la base de los informes de los Estados miembros y de Europol a que se refiere el apartado 8 del presente artículo, junto con la evaluación general establecida en el apartado 5, la Comisión elaborará un informe bienal sobre el acceso a Eurodac a efectos de aplicación de la ley y se lo remitirá al Parlamento Europeo, al Consejo y al Supervisor Europeo de Protección de Datos.

Artículo 58. Evaluación

1.   A más tardar el 12 de junio de 2028, la Comisión evaluará el funcionamiento y la eficiencia operativa de cualquier sistema informático utilizado para intercambiar los datos de los beneficiarios de protección temporal a efectos de la cooperación administrativa a que se refiere el artículo 27 de la Directiva 2001/55/CE.

2.   La Comisión también evaluará la repercusión prevista de la aplicación del artículo 26 del presente Reglamento en caso de activación de la Directiva 2001/55/CE, teniendo en cuenta lo siguiente:

a)

la naturaleza de los datos que se deben tratar;

b)

la repercusión prevista de proporcionar acceso a los datos enumerados en el artículo 26, apartado 2, a las autoridades designadas a que se refieren el artículo 5, apartado 1, y el artículo 9, apartado 1, y

c)

las salvaguardias establecidas en el presente Reglamento.

3.   En función del resultado de las evaluaciones a que se refieren los apartados 1 y 2 del presente artículo, la Comisión realizará una propuesta legislativa por la que se modifique o derogue el artículo 26, en su caso.

Artículo 59. Sanciones

Los Estados miembros adoptarán todas las medidas necesarias para garantizar que cualquier tratamiento de los datos registrados en Eurodac que sea contrario a la finalidad de Eurodac en los términos establecidos en el artículo 1 sea objeto de sanciones, incluidas las administrativas o penales, o ambas, de conformidad con el Derecho nacional, que serán efectivas, proporcionadas y disuasorias.

Artículo 60. Ámbito territorial

Las disposiciones del presente Reglamento no serán de aplicación en cualquier territorio en el que no sea de aplicación el Reglamento (UE) 2024/1351, con excepción de las disposiciones relativas a los datos recopilados para contribuir a la aplicación del Reglamento (UE) 2024/1350 en virtud de las condiciones establecidas en el presente Reglamento.

Artículo 61. Notificación de las autoridades designadas y las autoridades verificadoras

1.   A más tardar el 12 de septiembre de 2024, cada Estado miembro notificará a la Comisión sus autoridades designadas y las unidades operativas mencionadas en el artículo 5, apartado 3, y su autoridad verificadora y notificará inmediatamente cualquier modificación de las mismas.

2.   A más tardar el 12 de septiembre de 2024, Europol notificará a la Comisión su autoridad designada y su autoridad verificadora y notificará inmediatamente cualquier modificación de las mismas.

3.   La Comisión publicará la información mencionada en los apartados 1 y 2 en el Diario Oficial de la Unión Europea con carácter anual y a través de una publicación electrónica que esté disponible en línea y se actualice sin demora.

Artículo 62. Derogación

Queda derogado el Reglamento (UE) nº 603/2013 del Parlamento Europeo y del Consejo (38) con efectos a partir del 12 de junio de 2026.

Las referencias al Reglamento derogado se entenderán hechas al presente Reglamento con arreglo a la tabla de correspondencias que figura en el anexo II.

Artículo 63. Entrada en vigor y aplicabilidad

1.   El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2.   El presente Reglamento será aplicable a partir del 12 de junio de 2026.

No obstante, el artículo 26 se aplicará a partir del 12 de junio de 2029.

3.   El presente Reglamento no será aplicable a las personas que gozan de protección temporal, ni de cualquier otra protección nacional equivalente, en virtud de la Decisión de Ejecución (UE) 2022/382, de futuras modificaciones de dicha Decisión y de cualquier prórroga de dicha protección temporal.

4.   Los Estados miembros y eu-LISA acordarán a más tardar el 12 de diciembre de 2024 el documento de control de las interfaces.

5.   Se aplicarán comparaciones de imágenes faciales utilizando programas de reconocimiento facial, según lo establecido en los artículos 15 y 16 del presente Reglamento, a partir de la fecha en que se haya introducido en Eurodac la tecnología de reconocimiento facial. En el plazo de un año a partir de la conclusión del estudio sobre la introducción del programa informático de reconocimiento facial a que se refiere el artículo 57, apartado 4, se introducirá un programa de reconocimiento facial en Eurodac. Hasta esa fecha, las imágenes faciales se conservarán en Eurodac como parte de los conjuntos de datos del interesado y se transmitirán a un Estado miembro a raíz de la comparación de las impresiones dactilares en los casos en que se obtenga una respuesta positiva.

6.   Los Estados miembros notificarán a la Comisión y a eu-LISA en cuanto hayan completado las medidas técnicas para transmitir datos a Eurodac, a más tardar antes del 12 de junio de 2026.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con los Tratados.

Hecho en Bruselas, el 14 de mayo de 2024.

Por el Parlamento Europeo, La Presidenta, R. METSOLA

Por el Consejo, La Presidenta, H. LAHBIB

ANEXO I. Cuadro de correspondencias a que se refiere el artículo 8

Datos proporcionados en virtud del artículo              Datos correspondientes en

17, apartado 2, del Reglamento (UE) 2018/1240       Eurodac de conformidad

del Parlamento Europeo y del Consejo                         con los artículos 17, 19, 21,

registrados y conservados por el Sistema                   22, 23, 24 y 26 del presente

Central del SEIAV                                                                       Reglamento con los que deberán

                                                                                                              cotejarse los datos del SEIAV

apellido(s)                                                                        apellido o apellidos

apellido(s) de nacimiento                                        nombre o nombres de nacimiento

nombre(s)                                                                         nombre o nombres

otros nombres (alias, nombres artísticos,

nombres habituales)                                                   nombres usados con anterioridad y alias

fecha de nacimiento                                                   fecha de nacimiento

lugar de nacimiento                                                    lugar de nacimiento

sexo                                                                                     sexo

nacionalidad actual                                                    nacionalidad o nacionalidades

otras nacionalidades (en su caso)                        nacionalidad o nacionalidades

tipo de documento de viaje                                     tipo de documento de viaje

número del documento de viaje                           número del documento de viaje

país de expedición del documento de viaje     código de tres letras del país expedidor

ANEXO II. Tabla de correspondencias

Reglamento UE) nº 603/2013                               El presente Reglamento

Artículo 1, apartado 1                                                 Artículo 1, apartado 1, letras a) y c)

—                                                                                          Artículo 1, apartado 1, letras b) y d)

Artículo 1, apartado 2                                                 Artículo 1, apartado 1, letra e)

—                                                                                          Artículo 1, apartado 1, letras f) a j)

Artículo 1, apartado 3                                                 Artículo 1, apartado 2

Artículo 2, apartado 1, parte introductoria       Artículo 2, apartado 1, parte introductoria

Artículo 2, apartado 1, letras a) y b)                      Artículo 2, apartado 1, letras a) y e)

—                                                                                          Artículo 2, apartado 1, letras b), c) y d)

—                                                                                          Artículo 2, apartado 1, letras f) y g)

Artículo 2, apartado 1, letra c)                                Artículo 2, apartado 1, letra h)

—                                                                                          Artículo 2, apartado 1, letra i)

Artículo 2, apartado 1, letra d)                                Artículo 2, apartado 1, letra j)

Artículo 2, apartado 1, letra e)                                Artículo 2, apartado 1, letra k)

—                                                                                          Artículo 2, apartado 1, letra l)

Artículo 2, apartado 1, letra f)                                 —

Artículo 2, apartado 1, letra g)                                —

Artículo 2, apartado 1, letra h)                                Artículo 2, apartado 1, letra m)

Artículo 2, apartado 1, letra i)                                 Artículo 2, apartado 1, letra n)

Artículo 2, apartado 1, letra j)                                 Artículo 2, apartado 1, letra o)

Artículo 2, apartado 1, letra k)                                Artículo 2, apartado 1, letra p)

Artículo 2, apartado 1, letra l)                                 Artículo 2, apartado 1, letra q)

—                                                                                          Artículo 2, apartado 1, letras r) a z)

Artículo 2, apartados 2, 3 y 4                                   Artículo 2, apartados 2, 3 y 4

Artículo 3, apartado 1, parte introductoria

y letras a) y b)                                                                  Artículo 3, apartado 1, parte introductoria y letras a) y b)

—                                                                                          Artículo 3, apartado 1, letras c) y d)

—                                                                                          Artículo 3, apartado 2

—                                                                                          Artículo 3, apartado 3

Artículo 3, apartado 2                                                 Artículo 3, apartado 4

Artículo 3, apartado 3                                                 Artículo 3, apartado 5

—                                                                                          Artículo 3, apartado 6

Artículo 3, apartado 4                                                 Artículo 3, apartado 7

Artículo 3, apartado 5                                                 Artículo 13, apartado 6

Artículo 4, apartado 1                                                 Artículo 4, apartado 1

Artículo 4, apartado 2                                                 Artículo 4, apartado 3

Artículo 4, apartado 3                                                 Artículo 4, apartado 4

—                                                                                          Artículo 4, apartado 2

Artículo 4, apartado 4                                                 Artículo 4, apartado 5

Artículo 5                                                                          Artículo 5

Artículo 6                                                                          Artículo 6

Artículo 7                                                                          Artículo 7

—                                                                                          Artículo 8

—                                                                                          Artículo 9

—                                                                                          Artículo 10

—                                                                                          Artículo 11

Artículo 8, apartado 1 parte introductoria        Artículo 12, apartado 1, parte introductoria

—                                                                                          Artículo 12, apartado 1, letras a) a h)

Artículo 8, apartado 1, letra a)                                Artículo 12, apartado 1, letra i)

—                                                                                          Artículo 12, apartado 1, letra j)

Artículo 8, apartado 1, letra b)                                Artículo 12, apartado 1, letra k), inciso i)

—                                                                                          Artículo 12, apartado 1, letra l)

Artículo 8, apartado 1, letra c)                                Artículo 12, apartado 1, letra m), inciso i)

Artículo 8, apartado 1, letra d)                                Artículo 12, apartado 1, letra n), inciso i)

—                                                                                          Artículo 12, apartado 1, letras o) y p)

Artículo 8, apartado 1, letra e)                                Artículo 12, apartado 1, letra q)

Artículo 8, apartado 1, letra f)                                 Artículo 12, apartado 1, letra r)

Artículo 8, apartado 1, letra g)                                Artículo 12, apartado 1, letra s)

Artículo 8, apartado 1, letra h)                                Artículo 12, apartado 1, letra t)

Artículo 8, apartado 1, letra i)                                 —

—                                                                                          Artículo 12, apartado 1, letra u)

—                                                                                          Artículo 12, apartado 1, letras v) y w)

Artículo 8, apartado 2                                                 Artículo 12, apartado 2

—                                                                                          Artículo 12, apartados 3 a 6

—                                                                                          Artículo 13

—                                                                                          Artículo 14

Artículo 9, apartado 1                                                 Artículo 15, apartado 1

Artículo 9, apartado 2                                                 Artículo 15, apartado 2

Artículo 9, apartado 3                                                 —

Artículo 9, apartado 4                                                 —

Artículo 9, apartado 5                                                 —

                                                                                         Artículo 15, apartado 3

—                                                                                          Artículo 16, apartado 1

Artículo 10, parte introductoria y letras a) a d)Artículo 16, apartado 2, parte introductoria y                                                                                                letras a y d)

Artículo 10, letra e)                                                      Artículo 16, apartado 3

—                                                                                          Artículo 16, apartados 2 y 4

Artículo 11, parte introductoria                             Artículo 17, apartado 1, parte introductoria, y

                                                                                              artículo 17, apartado 2, parte introductoria

Artículo 11, letra a)                                                      Artículo 17, apartado 1, letra a)

Artículo 11, letra b)                                                      Artículo 17, apartado 1, letra g)

Artículo 11, letra c)                                                      Artículo 17, apartado 1, letra h)

Artículo 11, letra d)                                                      Artículo 17, apartado 1, letra k)

Artículo 11, letra e)                                                      Artículo 17, apartado 1, letra l)

Artículo 11, letra f)                                                       Artículo 17, apartado 1, letra m)

Artículo 11, letra g)                                                       Artículo 17, apartado 1, letra n)

—                                                                                          Artículo 17, apartado 1, letras b) a f), i) y j)

Artículo 11, letra h)                                                      Artículo 17, apartado 2, letras c) y d)

Artículo 11, letra i)                                                        Artículo 17, apartado 2, letra e)

Artículo 11, letra j)                                                        Artículo 17, apartado 2, letra f)

Artículo 11, letra k)                                                       Artículo 17, apartado 2, letra a)

—                                                                                          Artículo 17, apartado 2, letras b) y g) a l)

—                                                                                          Artículo 17, apartados 3 y 4

Artículo 12                                                                       —

Artículo 13                                                                       —

—                                                                                          Artículo 18

—                                                                                          Artículo 19

—                                                                                          Artículo 20

—                                                                                          Artículo 21

Artículo 14, apartado 1                                              Artículo 22, apartado 1

Artículo 14, apartado 2, parte introductoria    Artículo 22, apartado 2, parte introductoria

Artículo 14, apartado 2, letra a)                             Artículo 22, apartado 2, letra a)

Artículo 14, apartado 2, letra b)                             Artículo 22, apartado 2, letra g)

Artículo 14, apartado 2, letra c)                             Artículo 22, apartado 2, letra h)

Artículo 14, apartado 2, letra d)                             Artículo 22, apartado 2, letra k)

Artículo 14, apartado 2, letra e)                             Artículo 22, apartado 2, letra l)

Artículo 14, apartado 2, letra f)                              Artículo 22, apartado 2, letra m)

Artículo 14, apartado 2, letra g)                              Artículo 22, apartado 2, letra n)

—                                                                                          Artículo 22, apartado 2, letras b) a f), i) y j)

—                                                                                          Artículo 22, apartado 3

Artículo 14, apartado 3                                              Artículo 22, apartado 4

Artículo 14, apartado 4                                              Artículo 22, apartado 5

Artículo 14, apartado 5                                              Artículo 22, apartado 6

—                                                                                          Artículo 22, apartados 7 a 10

Artículo 15                                                                       —

Artículo 16                                                                       —

Artículo 17                                                                       —

—                                                                                          Artículo 23

—                                                                                          Artículo 24

—                                                                                          Artículo 25

—                                                                                          Artículo 26

—                                                                                          Artículo 27

—                                                                                          Artículo 28

—                                                                                          Artículo 29

—                                                                                          Artículo 30

Artículo 18, apartado 1                                              Artículo 31, apartado 1

Artículo 18, apartado 2                                              Artículo 31, apartado 2

Artículo 18, apartado 3                                              Artículo 31, apartado 3

—                                                                                          Artículo 31, apartados 4, 5 y 6

Artículo 19, apartado 1                                              Artículo 32, apartado 1

Artículo 19, apartado 2                                              Artículo 32, apartado 2

—                                                                                          Artículo 32, apartado 3

Artículo 19, apartado 3                                              Artículo 32, apartado 4

Artículo 19, apartado 4                                              Artículo 32, apartado 5

Artículo 20, apartado 1, parte introductoria    Artículo 33, apartado 1, párrafo primero,

                                                                                              Parte introductoria y letra a) y párrafo

                                                                                              segundo

Artículo 20, apartado 1, letras a), b) y c)            Artículo 33, apartado 1, párrafo primero,

                                                                                              letras a), b) y c)

—                                                                                          Artículo 33, apartado 2

Artículo 20, apartado 2                                              Artículo 33, apartado 3

Artículo 21, apartado 1, parte introductoria    Artículo 34, apartado 1, parte introductoria y

                                                                                              letra a)

Artículo 21, apartado 1, letras a), b) y c)            Artículo 34, apartado 1, letras b), c) y d)

—                                                                                          Artículo 34, apartado 2

Artículo 21, apartado 2                                              Artículo 34, apartado 3

Artículo 21, apartado 3                                              Artículo 34, apartado 4

Artículo 22, apartado 1                                              Artículo 35, apartado 1

Artículo 22, apartado 2                                              Artículo 35, apartado 2

Artículo 23, apartado 1, parte introductoria    Artículo 36, apartado 1, parte introductoria

Artículo 23, apartado 1, letras a) y b)                   Artículo 36, apartado 1, letra a)

Artículo 23, apartado 1, letras c), d) y e)            Artículo 36, apartado 1, letras b), c) y d)

Artículo 23, apartado 2                                              Artículo 36, apartado 2

Artículo 23, apartado 3                                              Artículo 36, apartado 3

Artículo 23, apartado 4, letras a), b) y c)            Artículo 36, apartado 4, letras a), b) y c)

Artículo 24                                                                       Artículo 37

Artículo 25, apartados 1 a 5                                     Artículo 38, apartados 1 a 4 y apartado 6

—                                                                                          Artículo 38, apartado 5

Artículo 26                                                                       Artículo 39

Artículo 27, apartados 1 a 5                                     Artículo 40, apartados 1, 2, 3, 5 y 6

—                                                                                          Artículo 40, apartado 4

Artículo 28, apartados 1, 2 y 3                                Artículo 41, apartados 1, 4 y 5

—                                                                                          Artículo 41, apartados 2 y 3

Artículo 29, apartado 1, parte introductoria

y letras a) a e)                                                                  Artículo 42, apartado 1, letras a), b), d), e) y

                                                                                              g)

—                                                                                          Artículo 42, apartado 1, letras c), f) y h)

Artículo 29, apartado 2                                              Artículo 42, apartado 2

Artículo 29, apartado 3                                              Artículo 42, apartado 3

Artículo 29, apartados 4 a 15                                  —

—                                                                                          Artículo 43, apartado 1

—                                                                                          Artículo 43, apartado 2

—                                                                                          Artículo 43, apartado 3

—                                                                                          Artículo 43, apartado 4

—                                                                                          Artículo 43, apartado 5

—                                                                                          Artículo 43, apartado 6

—                                                                                          Artículo 43, apartado 7

—                                                                                          Artículo 43, apartado 8

Artículo 30                                                                       Artículo 44

Artículo 31                                                                       Artículo 45

Artículo 32                                                                       Artículo 46

Artículo 33, apartado 1                                              —

Artículo 33, apartado 2                                              Artículo 47, apartado 1

Artículo 33, apartado 3                                              Artículo 47, apartado 2

Artículo 33, apartado 4                                              Artículo 47, apartado 3

Artículo 33, apartado 5                                              Artículo 47, apartado 4

Artículo 34, apartado 1                                              Artículo 48, apartado 1

Artículo 34, apartado 2, parte

introductoria y letras a) a k)                                      Artículo 48, apartado 2, parte introductoria y

                                                                                              letras a) a d), f) a k) y n)

—                                                                                          Artículo 48, apartado 2, letras e), l) y m)

Artículo 34, apartado 3                                              Artículo 48, apartado 3

Artículo 34, apartado 4                                              Artículo 48, apartado 4

—                                                                                          Artículo 48, apartado 5

Artículo 35, apartado 1                                              Artículo 49, apartado 1

Artículo 35, apartado 2                                              Artículo 49, apartado 2

—                                                                                          Artículo 49, apartado 3

—                                                                                          Artículo 49, apartado 4

Artículo 35, apartado 3                                              Artículo 49, apartado 5

—                                                                                          Artículo 50

Artículo 36, apartado 1                                              Artículo 51, apartado 1

Artículo 36, apartado 2, parte introductoria

y letras a) a h)                                                                  Artículo 51, apartado 2, parte introductoria y

                                                                                              letras a) a h)

—                                                                                          Artículo 51, apartado 2, letra i)

Artículo 36, apartado 3                                              Artículo 51, apartado 3

Artículo 37                                                                       Artículo 52

Artículo 38                                                                       —

—                                                                                          Artículo 53

—                                                                                          Artículo 54

Artículo 39                                                                        Artículo 55

—                                                                                          Artículo 56

Artículo 40, apartado 1                                              Artículo 57, apartado 1

Artículo 40, apartado 2                                              Artículo 57, apartado 2

Artículo 40, apartado 3                                              Artículo 57, apartado 3

—                                                                                          Artículo 57, apartado 4

Artículo 40, apartado 4                                              Artículo 57, apartado 5

Artículo 40, apartado 5                                              Artículo 57, apartado 6

Artículo 40, apartado 6                                              Artículo 57, apartado 7

Artículo 40, apartado 7                                              Artículo 57, apartado 8

Artículo 40, apartado 8                                              Artículo 57, apartado 9

                                                                                         Artículo 58

Artículo 41                                                                       Artículo 59

Artículo 42                                                                        Artículo 60

Artículo 43                                                                       Artículo 61

Artículo 44                                                                       —                          

Artículo 45                                                                       Artículo 62

Artículo 46                                                                       Artículo 63

Anexo I                                                                               —

Anexo II                                                                              —

Anexo III                                                                            —

—                                                                                          Anexo I

—                                                                                          Anexo II

ELI:http://data.europa.eu/eli/reg./2024/1358/oj

ISSN 1977-0685 (electrónica edition)

(*1)  Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, sobre la creación del sistema “Eurodac” para la comparación de datos biométricos a efectos de la aplicación efectiva del Reglamento (UE) 2024/1351 y (UE) 2024/1350 del Parlamento Europeo y del Consejo y de la Directiva 2001/55/CE del Consejo y de la identificación de nacionales de terceros países o apátridas en situación irregular, y sobre las solicitudes de comparación con los datos de Eurodac presentadas por los servicios de seguridad de los Estados miembros y Europol a efectos de aplicación de la ley, por el que se modifican los Reglamentos (UE) 2018/1240 y (UE) 2019/818 del Parlamento Europeo y del Consejo y se deroga el Reglamento (UE) nº 603/2013 del Parlamento Europeo y del Consejo (DO L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1358/oj).»

(*2)  Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024,sobre la creación del sistema “Eurodac” para la comparación de datos biométricos a efectos de la aplicación efectiva de los Reglamentos (UE) 2024/1351 y (UE) 2024/1350 del Parlamento Europeo y del Consejo y de la Directiva 2001/55/CE del Consejo y de la identificación de nacionales de terceros países o apátridas en situación irregular, y sobre las solicitudes de comparación con los datos de Eurodac presentadas por los servicios de seguridad de los Estados miembros y Europol a efectos de aplicación de la ley, por el que se modifican los Reglamentos (UE) 2018/1240 y (UE) 2019/818 del Parlamento Europeo y del Consejo y se deroga el Reglamento (UE) nº 603/2013 del Parlamento Europeo y del Consejo (DO L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1358/oj).»

(*3)  Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) nº 767/2008 y (UE) nº 1077/2011 (DO L 327 de 9.12.2017, p. 20).»

(*4)  Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se establece un Sistema Europeo de Información y Autorización de Viajes (SEIAV) y por el que se modifican los Reglamentos (UE) nº 1077/2011, (UE) nº 515/2014, (UE) 2016/399, (UE) 2016/1624 y (UE) 2017/2226 (DO L 236 de 19.9.2018, p. 1).».»

(1)   DO C 34 de 2.2.2017, p. 144, y DO C 155 de 30.4.2021, p. 64.

(2)   DO C 185 de 9.6.2017, p. 91, y DO C 175 de 7.5.2021, p. 32.

(3)  Posición del Parlamento Europeo de 10 de abril de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 14 de mayo de 2024.

(4)  Reglamento (UE) 2024/1351 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, sobre la gestión del asilo y la migración, por el que se modifican los Reglamentos (UE) 2021/1147 y (UE) 2021/1060 y se deroga el Reglamento (UE) nº 604/2013 (DO L, 2024/1351, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1351/oj).

(5)  Reglamento (UE) 2024/1350 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, por el que se establece el Marco de Reasentamiento y Admisión Humanitaria de la Unión y se modifica el Reglamento (UE) 2021/1147 (DO L, 2024/1350, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1350/oj).

(6)  Reglamento (UE) 2024/1346 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, por el que se establece un procedimiento común en materia de protección internacional en la Unión y se deroga la Directiva 2013/32/UE (DO L, 2024/1348, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1348/oj).

(7)  Reglamento (UE) 2024/1347 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, sobre normas relativas a los requisitos para el reconocimiento de nacionales de terceros países o apátridas como beneficiarios de protección internacional, a un estatuto uniforme para los refugiados o para las personas que pueden acogerse a protección subsidiaria y al contenido de la protección concedida, y por el que se modifica la Directiva 2003/109/CE del Consejo y se deroga la Directiva 2011/95/UE del Parlamento Europeo y del Consejo (DO L, 2024/1347, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1347/oj).

(8)  Directiva (UE) 2024/1346 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, por la que se establecen normas para la acogida de los solicitantes de protección internacional (DO L, 2024/1346, 22.5.2024, ELI: http://data.europa.eu/eli/dir/2024/1346/oj).

(9)  Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y por la que se sustituye la Decisión Marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo (DO L 88 de 31.3.2017, p. 6).

(10)  Decisión Marco 2002/584/JAI del Consejo, de 13 de junio de 2002, relativa a la orden de detención europea y a los procedimientos de entrega entre Estados miembros (DO L 190 de 18.7.2002, p. 1).

(11)  Directiva 2001/55/CE del Consejo, de 20 de julio de 2001, relativa a las normas mínimas para la concesión de protección temporal en caso de afluencia masiva de personas desplazadas y a medidas de fomento de un esfuerzo equitativo entre los Estados miembros para acoger a dichas personas y asumir las consecuencias de su acogida (DO L 212 de 7.8.2001, p. 12).

(12)  Decisión de Ejecución (UE) 2022/382 del Consejo, de 4 de marzo de 2022, por la que se constata la existencia de una afluencia masiva de personas desplazadas procedentes de Ucrania en el sentido del artículo 5 de la Directiva 2001/55/CE y con el efecto de que se inicie la protección temporal (DO L 71 de 4.3.2022, p. 1).

(13)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(14)  Reglamento (UE) 2018/1726 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), y por el que se modifican el Reglamento (CE) nº 1987/2006 y la Decisión 2007/533/JAI del Consejo y se deroga el Reglamento (UE) nº 1077/2011 (DO L 295 de 21.11.2018, p. 99).

(15)  Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad de los sistemas de información de la UE en el ámbito de las fronteras y los visados y por el que se modifican los Reglamentos (CE) nº 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 y (UE) 2018/1861 del Parlamento Europeo y del Consejo, y las Decisiones 2004/512/CE y 2008/633/JAI del Consejo (DO L 135 de 22.5.2019, p. 27).

(16)  Reglamento (UE) 2019/818 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad entre los sistemas de información de la UE en el ámbito de la cooperación policial y judicial, el asilo y la migración y por el que se modifican los Reglamentos (UE) 2018/1726, (UE) 2018/1862 y (UE) 2019/816 (DO L 135 de 22.5.2019, p. 85).

(17)  Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se establece un Sistema Europeo de Información y Autorización de Viajes (SEIAV) y por el que se modifican los Reglamentos (UE) nº 1077/2011, (UE) nº 515/2014, (UE) 2016/399, (UE) 2016/1624 y (UE) 2017/2226 (DO L 236 de 19.9.2018, p. 1).

(18)  Reglamento (CE) nº 767/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros (Reglamento VIS) (DO L 218 de 13.8.2008, p. 60).

(19)  Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) nº 767/2008 y (UE) nº 1077/2011 (DO L 327 de 9.12.2017, p. 20).

(20)  Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(21)  Directiva 2008/115/CE del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, relativa a normas y procedimientos comunes en los Estados miembros para el retorno de los nacionales de terceros países en situación irregular (DO L 348 de 24.12.2008, p. 98).

(22)  Reglamento (UE) 2019/1896 del Parlamento Europeo y del Consejo, de 13 de noviembre de 2019, sobre la Guardia Europea de Fronteras y Costas y por el que se derogan los Reglamentos (UE) nº 1052/2013 y (UE) 2016/1624 (DO L 295 de 14.11.2019, p. 1).

(23)  Reglamento (UE) 2021/2303 del Parlamento Europeo y del Consejo, de 15 de diciembre de 2021, relativo a la Agencia de Asilo de la Unión Europea y por el que se deroga el Reglamento (UE) nº 439/2010 (DO L 468 de 30.12.2021, p. 1).

(24)  Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).

(25)  Sentencia del Tribunal de Justicia, de 8 de abril de 2014, Digital Rights Ireland Ltd/Minister for Comunications, Marine and Natural Resources y otros y Kärntner Landesregierung y otros, asuntos acumulados C-293/12 y C-594/12, ECLI:EU:C:2014:238; sentencia del Tribunal de Justicia, de 21 de diciembre de 2016, Tele2 Sverige AB / Post-och telestyrelsen y Secretary of State for the Home Department y Tom Watson, asuntos acumulados C-203/15 y C-698/15, ECLI:EU:C:2016:970.

(26)  Convenio relativo a la determinación del Estado responsable del examen de las solicitudes de asilo presentadas en los Estados miembros de las Comunidades Europeas — Convenio de Dublín (DO C 254 de 19.8.1997, p. 1).

(27)  Convenio de aplicación del Acuerdo de Schengen, de 14 de junio de 1985, entre los Gobiernos de los Estados de la Unión Económica Benelux, de la República Federal de Alemania y de la República Francesa relativo a la supresión gradual de los controles en las fronteras comunes (DO L 239 de 22.9.2000, p. 19).

(28)  Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) nº 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (DO L 312 de 7.12.2018, p. 56).

(29)  Decisión 2008/615/JAI del Consejo, de 23 de junio de 2008, sobre la profundización de la cooperación transfronteriza, en particular en materia de lucha contra el terrorismo y la delincuencia transfronteriza (DO L 210 de 6.8.2008, p. 1).

(30)  Decisión 2008/633/JAI del Consejo, de 23 de junio de 2008, sobre el acceso para consultar el Sistema de Información de Visados (VIS) por las autoridades designadas de los Estados miembros y por Europol, con fines de prevención, detección e investigación de delitos de terrorismo y otros delitos graves (DO L 218 de 13.8.2008, p. 129).

(31)  Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(32)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(33)  Directiva 2004/38/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al derecho de los ciudadanos de la Unión y de los miembros de sus familias a circular y residir libremente en el territorio de los Estados miembros, por la que se modifica el Reglamento (CEE) nº 1612/68 y se derogan las Directivas 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE y 93/96/CEE (DO L 158 de 30.4.2004, p. 77).

(34)  Reglamento (UE) 2016/399 del Parlamento Europeo y del Consejo, de 9 de marzo de 2016, por el que se establece un Código de normas de la Unión para el cruce de personas por las fronteras (Código de fronteras Schengen) (DO L 77 de 23.3.2016, p. 1).

(35)  Reglamento (CEE, Euratom, CECA) nº 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión ( DO L 56 de 4.3.1968, p. 1).

(36)  Reglamento (CE) nº 810/2009 del Parlamento Europeo y del Consejo, de 13 de julio de 2009, por el que se establece un Código comunitario sobre visados (Código de Visados) (DO L 243 de 15.9.2009, p. 1).

(37)  Reglamento (UE) 2024/1356 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, por el que se introduce el triaje de nacionales de terceros países en las fronteras exteriores y se modifican los Reglamentos (CE) nº 767/2008, (UE) 2017/2226, (UE) 2018/1240 y (UE) 2019/817 (DO L, 2024/1356, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1356/oj).

(38)  Reglamento (UE) n o 603/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativo a la creación del sistema «Eurodac» para la comparación de las impresiones dactilares para la aplicación efectiva del Reglamento (UE) n o 604/2013, por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de protección internacional presentada en uno de los Estados miembros por un nacional de un tercer país o un apátrida, y a las solicitudes de comparación con los datos de Eurodac presentadas por los servicios de seguridad de los Estados miembros y Europol a efectos de aplicación de la ley, y por el que se modifica el Reglamento (UE) n o 1077/2011, por el que se crea una Agencia europea para la gestión operativa de sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia (DO L 180 de 29.6.2013, p. 1).

12May/21

Proyecto de Ley «de Protección de Datos Personales» 30 de abril de 2021.

PROYECTO-D-2162170. Presentación oficial del Proyecto de Ley «de Protección de Datos Personales» de la República del Paraguay, durante un evento organizada por la Comisión de Ciencia y Tecnología de la Cámara Baja el viernes 30 de abril de 2021.

Asunción, 30 de abril de 2021.-

Señor

Pedro Hércules Alliana Rodríguez, Presidente

Honorable Cámara de Diputados

Presente

De nuestra más distinguida consideración

Los abajo firmantes, Diputados Nacionales, nos dirigimos a Vuestra Honorabilidad y por su intermedio a los Miembros de la Honorable Cámara de Diputados para elevar a consideración el Proyecto de Ley de Protección de Datos Personales en Paraguay, en virtud del Artículo 203 de la Constitución Nacional.

El presente proyecto de ley tiene por objeto reglamentar los aspectos relativos a la “Protección General de los Datos Personales en la República del Paraguay”.

En espera de que la presente iniciativa legislativa tenga el tratamiento favorable y oportuno, hacemos propicia la oportunidad para saludar al Señor Presidente con el mayor respeto y consideración.

Se adjunta proyecto cuyos firmantes son los siguientes Diputados Nacionales;

1- Sebastián García

2- Edwin Reimer

3- Carlos Maria López

4- Kattya González

5- Sebastián Villarejo

6- Basilio Nuñez

7- Edgar Acosta Alcaraz

8- Antonio Buzarquis

EXPOSICIÓN DE MOTIVOS

Este proyecto de ley viene a llenar el actual vacío legal sobre una ley de protección de datos personales adecuada, integral y moderna. Con la derogación de la Ley 1682/2001 y sus leyes modificatorias, por la Ley nº 6534/2020 de Protección de Datos Personales Crediticios, se deja sin protección a los datos personales en general.

Este proyecto de ley enmarca la protección de datos personales como un derecho inherente a cada persona física, en relación al tratamiento de sus datos, ya sea a través de entes públicos o privados, con fines lucrativos o no, a través de cualquier medio de transmisión o divulgación existentes, incluyendo tecnologías existentes y nuevas tecnologías a ser desarrolladas.

Por ende, el proyecto de ley prevé ocuparse del tratamiento integral de datos personales, que constituye una asignatura pendiente. La visión integral resulta necesaria atendiendo a que los datos personales no son únicamente datos crediticios, sino que abarcan diversas facetas del individuo. La persona física debe tener el control de sus propios datos personales de manera eficaz para evitar una lesión en sus derechos más fundamentales.

La recopilación, procesamiento y comunicación inadecuada de datos personales puede significar una vulneración a derechos como la vida, la salud, la integridad física, psicológica o sexual, entre muchos otros; lesiones que ya se han familiarizado con la realidad paraguaya e internacional. Por ejemplo, se pueden alterar elecciones, determinar quién recibe servicios de salud o alimenticios, además de utilizar para trata de personas, narcotráfico, terrorismo, robo, ataque, o incluso exposiciones ilegítimas de bases de datos de carácter público o privado, generado grandes perjuicios sociales y económicos.

En Paraguay se volvió una práctica común que los abonados a servicios móviles, reciban innumerables mensajes o llamadas o para el ofrecimiento de cambio de aparatos celulares, créditos, planes de wi-fi, seguros odontológicos y un sinfín de ofertas, sin conocer cómo empresas con las que nunca tuvieron vínculo comercial obtienen su información. Toda esa información personal, puede ser tratada y abusada sin consentimiento, por falta de una regulación integral y por la falta de una autoridad de control independiente y efectiva.

La legislación nacional vigente es inadecuada y no ha sido actualizada según los usos modernos que se hacen de los datos y el desafío que esto representa. El creciente volumen y uso de datos personales, junto con la aparición de tecnologías que habilitan nuevas maneras de tratamiento y uso de los mismos, evidencia la importancia de regular un marco efectivo de protección de datos personales.

Por otro lado, en lo que respecta al contexto internacional, el Consejo de Derechos Humanos de la Asamblea General de Naciones Unidas, en Resolución 28/16Profundamente preocupado por los efectos negativos que pueden tener para el ejercicio y el goce de los derechos humanos la vigilancia y la interceptación de las comunicaciones, incluidas la vigilancia y la interceptación extraterritoriales de las comunicaciones y la recopilación de datos personales, en particular cuando se llevan a cabo a gran escala” nombró por primera vez a un Relator especial sobre derecho a la privacidad en la era digital en la era digital con la finalidad de que, entre otras tareas, presente informes que incluyan “observaciones importantes” sobre cómo garantizar este derecho fundamental, así como denuncias sobre posibles violaciones al mismo.

En América Latina, muchas legislaciones han introducido este derecho, tutelándolo legalmente, y creando un órgano contralor de protección de datos. En Paraguay en el año 2001 el Poder Legislativo inició el proceso de regulación específica en la materia, pero aún no se han incorporado al derecho positivo nacional, normas integrales que tutelen el derecho a la autodeterminación informativa de forma eficaz.

La Red Iberoamericana de Protección de Datos (RIPD) adoptó una declaración con motivo de su 6° Encuentro, celebrado en Colombia en mayo de 2008, en la que invitaba a todas las conferencias internacionales en materia de protección de datos, independientemente de su ámbito geográfico, a concentrar sus esfuerzos con vistas a adoptar un instrumento jurídico conjunto.

La Unión Europea ha adoptado un nuevo marco normativo en la materia, con el objetivo de modernizar sus disposiciones y garantizar mayor solidez y coherencia en la protección efectiva del derecho fundamental a la protección de datos personales en la Unión Europea y con el fin de generar confianza en la sociedad en general y, a su vez, facilitar el desarrollo de la economía digital, tanto en su mercado interior como en sus relaciones globales. Este marco se posiciona como un referente obligado y determinante para la elaboración de las legislaciones nacionales de protección de datos en Iberoamérica.

Paraguay no es parte del Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal suscrito en el ámbito del Consejo de Europa. Este convenio está abierto a la firma de otros Estados de la región y cabe destacar que Argentina y Uruguay sí lo han suscrito. La sanción de este proyecto de ley posibilitará al Paraguay a formar parte del mismo y dará herramientas para la colaboración internacional en investigación y cooperación.

Tomando en cuenta el acuerdo entre los bloques del Mercosur y la Unión Europea, aspiramos a transformar al Paraguay en un país que brinde un nivel de protección adecuado de acuerdo con los estándares promovidos por la Unión Europea, a efectos de acceder a la transferencia de datos personales desde esta y, con ello, facilitar la inversión de aquellos nichos de mercado que suponen tratamiento de datos provenientes de aquella. La inversión europea es superior en países “adecuados”, con relación a los países que no lo son. Además, estos estándares ayudarán a facilitar el desarrollo de la economía digital, promoviendo la innovación.

Para el intercambio de bienes o servicios, en la mayoría de los casos, se requiere que exista el flujo transfronterizo de datos personales, y al no tener normativa amparada por un ente controlador especializado en la materia, no le es posible al país ofrecer un nivel adecuado de protección. Esto desalienta el comercio y genera que se prefieran destinos como Argentina, Uruguay, Brasil u otros países que sí cuentan con Ley de Protección de Datos Personales, dando certidumbre y confianza a usuarios, empresas, organizaciones y Estados a través de un marco jurídico sólido.

En el contexto económico mundial, los Estados que no han desarrollado normativa alguna sobre la materia, o tienen normativa incompleta, dispersa o contradictoria, presentan mayor desventaja, no solo frente a los riesgos y peligros que trae consigo el manejo de datos personales, sino ante la imposibilidad de usarlos como insumos clave para su desarrollo económico y social.

Antecedentes del proyecto

El texto del proyecto de ley se originó en la Mesa de Trabajo de la Comisión de Ciencia y Tecnología de la Cámara de Diputados, liderado conjuntamente por su Presidente, el Diputado Sebastián García y la Coalición de Datos Personales (www.datospersonales.org.py), formada durante el cuarto Foro de Gobernanza de Internet del Paraguay – IGFPY en el año 2017 (www.igf.org.py).

En dicho foro se trataron temas de privacidad como expediente médico digital, computación en la nube y big data, así como el futuro en Internet en Paraguay. Luego del debate generado en varios de esos paneles se detectó la necesidad de adecuar la legislación nacional vigente que trata los datos personales, para adecuarla a la era de Internet, la economía digital, la Internet de las cosas (IoT) y la inteligencia artificial (IA).

El objetivo principal de la mesa de trabajo fue la redacción de un proyecto de ley sobre protección de datos personales que se adecuara a las nuevas tecnologías y al mundo globalizado, donde cada vez hay más transferencia internacional de datos.

La mesa de trabajo siguió los principios de la gobernanza de Internet, siendo abierto, colaborativo, voluntario, inclusivo y transparente, con la participación de múltiples partes interesadas. Se realizaron webinars de socialización y discusión con 9 expertos regionales y de la Unión Europea sobre datos personales, para debatir el anteproyecto de ley y compartir experiencias de los diferentes actores.

El proyecto de ley resultante está basado en la normativa y los estándares internacionales y se tuvieron en cuenta regulaciones existentes a nivel internacional específicas en la materia, como el Reglamento (UE) 2016/679, y legislación comparada que ha sido sancionada en los últimos años: Ley Orgánica de Protección de Datos de Carácter Personal de España, Anteproyecto de ley de Protección de Datos de Argentina, Lei Geral de Proteção de Dados de Brasil (LGPD), Ley de Protección de Datos Personales de Uruguay, Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados de México, Ley de Protección de Datos Personales para el Distrito Federal de México. Así también se tuvieron en cuenta los comentarios de expertos internacionales de la Unidad de datos transfronterizos de la Unión Europea y Access Now. También se incluyeron los Estándares de Protección de Datos Personales para los Estados Iberoamericanos establecidos por la Red Iberoamericana de Protección de Datos.

Además, se recibieron comentarios y contribuciones de la sociedad civil organizada, la comunidad empresarial, representantes del gobierno, del sector técnico y académico y ciudadanos interesados en el tema.

Se tuvieron 3017 visitas en la web www.datospersonales.org.py  y 103 comentarios recibidos en el borrador del proyecto de ley: https://proyecto.datospersonales.org.py/ Todos estos valiosos comentarios y sugerencias han sido debidamente valorados.

El proyecto de ley fue innovador al adoptar una plataforma que permitió una mayor interacción entre los participantes, asegurando que cada contribución fuera vista y comentada por todos los demás usuarios involucrados en el debate, asegurando una mejor sistematización del texto. El resultado de todo este proceso es el Proyecto que hoy se remite para su consideración.

Fundamento Jurídico

La protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental que se encuentra reconocido con rango máximo en la Constitución, artículos 33, 34 y 35 que refieren al derecho a la intimidad, la inviolabilidad de los recintos privados y los documentos identificatorios. El artículo 36 también hace referencia a la inviolabilidad del patrimonio documental y la comunicación privada.

Los datos personales que ampara el precepto constitucional del derecho a la intimidad, son datos absolutamente personalísimos, que sólo pueden pertenecer a un individuo en concreto. Se lo define desde dos pilares: por un lado, el derecho a la protección de datos otorga la potestad a la persona cuyos datos pertenecen, a conocer quién tiene información sobre ella, cuál es dicha información, de dónde proviene y para qué finalidad se van a tratar sus datos. Por otro lado, este derecho se configura como el control sobre el uso que se hace de sus datos personales. Este control es lo que nos permite conocer qué datos nuestros se tratan y de qué manera, y ello conlleva a la necesidad  de protección jurídica sobre los datos personales .

La Doctrina se refiere al derecho de autodeterminación informativa y a controlar la información personal como una nueva dimensión de la tradicional concepción del derecho a la privacidad .

El objeto de protección de datos no se reduce solo a los datos íntimos de la persona, sino a cualquier tipo de dato, sea o no íntimo. Su objeto no es solo la intimidad individual, sino todos los datos de carácter personal, los que identifiquen o permitan identificar a la persona, realizando perfilamientos que podrían causar lesiones a su intimidad.

En Paraguay, existen normas dispersas en diferentes cuerpos legales que protegen aisladamente diferentes aspectos del derecho a la privacidad, y de forma incompleta. Alguna de ellas son: el Código Penal en su Artículo 147 Revelación de un secreto de carácter privado, Artículo 148 Revelación de secretos privados por funcionarios o personas con obligación especial,  Artículo 149 Revelación de secretos privados por motivos económicos; la Ley 4083/2011 “Que crea el programa de acompañamiento y protección a testigos y víctimas en procesos penales” en su Artículo 4º; la Ley 5777/2018 Protección integral a las mujeres contra toda forma de violencia, en su Artículo 9º Confidencialidad; la  Ley 6534/2020 de protección de datos personales crediticios; la Ley n° 5282/14 De Acceso a la Información Pública y Decreto reglamentario 4064/15; la Ley n° 5830/17 Que Prohíbe la publicidad no autorizada por los usuarios titulares de telefonía móvil; la Ley n° 1334/1998 de Defensa del Consumidor, Código Civil y Comercial (cartas o misivas como prueba, al nombre de las personas físicas o jurídicas); la Ley n° 4017/10 de Firma electrónica y Firma Digital; la Ley n°4868/2013 de Comercio Electrónico y su decreto reglamentario n° 1165/14; la Ley n° 861/96 de Bancos y Entidades Financieras; la Ley n° 489 Orgánica del Banco Central y el Código de la Niñez y la Adolescencia. Además, leyes Tributarias y Reglamentaciones como: la Ley n° 125/1991 Nuevo Régimen Tributario, la Ley n° 2421/04 De Reordenamiento Administrativo y de Adecuación Fiscal, la Ley n° 6380/19 de Modernización y Simplificación del Sistema Tributario, la Ley n° 6446 Tipifica Delito de uso de información privilegiada, el Código de Organización Judicial, la Ley n° 1266/1987 Del Registro Civil y modificatorias, la Ley n° 834/96 Código Electoral Paraguayo y sus modificatorias, los Códigos Procesales (normas sobre audiencias o proceso privados, pruebas documentales, consistentes en cartas o misivas, etc.), la Ley n° 6495/19 Autoriza la implementación del sistema de audiencias por medios telemáticos en el Poder Judicial y el Ministerio Público. También leyes contra el Lavado de Dinero como: la Ley n°6399 de Transparencia de Sociedades por Acciones, la Ley n° 6452 Registro Administrativo de Personas y Estructuras Jurídicas y de Beneficiarios Finales, entre otras.

En la actualidad carecemos de una regulación específica, uniforme, consolidada y actualizada en la materia. Esta carencia se hace vital ante la inminente implementación del proyecto de la “Agenda Digital” financiado por el BID. Este proyecto prevé una informatización de procesos públicos y privados nunca antes vista y sin un marco robusto, podría habilitar a vulnerabilidades en detrimento de toda la ciudadanía paraguaya.

Este proyecto de ley es transversal a todos los sectores y en especial a los proyectos de leyes en actual estudio en el Congreso Nacional:  nro. Expediente: D-2059099 “De los servicios de confianza para las transacciones electrónicas, del documento electrónico y los documentos transmisibles electrónicos”, nro. Expediente: S-209516 proyecto de ley “Que crea la historia clínica electrónica y el registro nacional de historias clínicas electrónicas”, nro. Expediente: S-198840 Proyecto de ley “De procedimientos administrativos”.

Finalmente, el reciente acuerdo sobre Comercio Electrónico del Mercosur MERCOSUR/CMC/DEC. nº 15/20, en su artículo 6º habla sobre la protección de datos personales y de la adopción por los Estados partes, de leyes, regulaciones o medidas administrativas que protejan la información de los consumidores del comercio electrónico, actualmente en estudio.  

El objeto de la ley

El objetivo de la ley es crear un marco general y coherente para la protección de datos personales, mediante normas precisas y detalladas para todos los sectores y la creación de una agencia encargada de la supervisión y ejecución de las disposiciones.

Se busca dotar a nuestro país de una legislación más moderna que respete los derechos y garantías establecidos por nuestra Constitución Nacional y que al mismo tiempo se adapte a las nuevas tecnologías y a los cambios regulatorios ocurridos en el derecho comparado durante los últimos años, dotando de seguridad jurídica tanto a los responsables de los tratamientos de datos como a los ciudadanos.

Características de la ley

La protección de datos no se reduce a los datos íntimos, sino a cualquier tipo de dato personal, traspasando su objeto la intimidad personal e imponiendo a terceros deberes como requerir el consentimiento para la recogida y uso de los datos personales, ser informado sobre el destino y poder acceder, rectificar y cancelar los propios datos.

Los principios de protección de datos personales enumerados en el Título II de la presente ley se encuentran en el centro del marco de protección de datos. La codificación efectiva de estos principios exige el desarrollo de un conjunto de derechos de los usuarios, una base jurídica para el tratamiento de datos, medidas de seguridad de datos, mecanismos de supervisión, obligaciones para las entidades que procesen datos, y medidas que habiliten la transferencia de datos a países terceros.

Ningún marco de protección de datos puede estar completo sin un mecanismo robusto de aplicación de la ley. Una ley de protección de datos sería deficiente e inaplicable si no existiera una autoridad que tuviera los poderes y recursos para monitorear su implementación, llevar a cabo investigaciones, y sancionar a las entidades en caso de violaciones de protección de datos.

Los Estándares de Protección de Datos enfatizan en la imperiosa necesidad de que cada Estado iberoamericano cuente con una autoridad de control independiente e imparcial en sus potestades cuyas decisiones únicamente puedan ser recurribles por el control judicial, ajena a toda influencia externa. Además, tendrá facultades de supervisión e investigación en materia de protección de datos personales y será encargada de vigilar el cumplimiento de la legislación nacional en la materia.       

Debe además estar dotada de recursos humanos y materiales suficientes para garantizar el ejercicio de sus poderes y el desempeño efectivo de sus funciones.

Por ello se crea, la autoridad de protección de datos y del régimen de reclamaciones y sanciones. Caso contrario, se aumentará la judicialización de disputas para dirimir controversias vinculadas a la protección de datos personales en sede judicial, aumentando los costos transaccionales, y colocando la responsabilidad en los sujetos de derechos para hacer valer dichos derechos, yendo en contra de la tendencia a nivel internacional sobre marcos robustos en materia de protección de datos personales.

Análisis exegético del articulado

El texto del proyecto de ley contiene 10 títulos que hacen referencia a las disposiciones generales, los principios de protección de datos, las bases legales para el tratamiento de datos personales, el tratamiento de datos especiales (casos de datos sensibles, con fines de publicidad, video vigilancia, o en el ámbito de la administración pública o fuerzas de seguridad). También se ocupa de los derechos de los titulares de datos, del responsable y encargado de tratamiento, así como la transferencia internacional de datos personales.

El proyecto se refiere a la protección integral y consagra numerosos principios como el de exactitud (art. 6), licitud (art. 7), finalidad (art. 8), proporcionalidad (art. 9), lealtad (art. 10), transparencia (art. 11), límites a la conservación (art. 12), responsabilidad proactiva (art. 13), seguridad (art. 14) y confidencialidad (art. 15).

En el art. 16 se prevé que el tratamiento de datos personales sólo podrá realizarse en los siguientes casos:

1. con el consentimiento del titular;

2. para el cumplimiento de una obligación legal o reglamentaria por parte del responsable del tratamiento;

3. por la administración pública, para el tratamiento y uso compartido de los datos necesarios y proporcionales para la ejecución de las políticas públicas previstas en leyes y reglamentos, o sustentadas en convenios interinstitucionales, sujeto a lo dispuesto en el Capítulo I de esta Ley;

4. el tratamiento de datos se realice sobre datos que figuren en fuentes de acceso público;

5. cuando sea necesario para la ejecución de un contrato o trámites preliminares relacionados con un contrato del que el titular sea parte, a solicitud del interesado;

6. para el ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales

7. para la protección de la vida o seguridad física del titular o de un tercero y para la protección de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridad sanitaria;

8. cuando sea necesario para atender los intereses legítimos del responsable del tratamiento o de un tercero, excepto en el caso de que prevalezcan los derechos y libertades fundamentales del titular que requieran la protección de datos personales, en particular cuando el titular sea un niño, niña o adolescente.

Por lo dispuesto en el inciso 8 no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

A los efectos de proteger situaciones especiales, la ley se refiere también a los casos en los que pueden utilizarse datos personales con los fines expuestos en el Título IV. También se prevé que los titulares de datos puedan ejercer su derecho a la información (art. 36), acceso a los datos (art. 37), rectificación (art. 38), oposición (art. 39), supresión (art. 40), portabilidad (art. 41) y a no ser objeto de decisiones individuales automatizadas (art. 42).

Se prevé la figura de un responsable y encargado de tratamiento que deberá adoptar las medidas técnicas y organizativas para el cumplimiento de las disposiciones previstas en la ley.

Se legisla sobre la transferencia internacional de datos, considerando la posibilidad de que las informaciones sobre una persona sean requeridas por algún particular o empresa extranjera en el marco de diferentes operaciones, previendo que pueda realizarse si el Estado cuenta con un adecuado nivel de protección de datos personales.

Se dispone la creación de la Agencia de Protección de Datos personales como un ente de derecho público y con facultades de ejercer acciones ante las autoridades nacionales e internacionales y organismos privados o personas vinculadas a la protección de datos (art. 62).

Finalmente, se prevé el régimen de reclamaciones, faltas e imposición de sanciones.

Conclusión

El régimen de protección integral resulta necesario para la protección de los derechos de los habitantes del país y sus datos, brindándoles una protección adecuada equiparable a la de otros países de la región. Más aún, en el marco de una constante innovación tecnológica, el incremento del libre flujo de los datos personales que, en una economía global y digital, sobre los cuales se erigen las economías de los Estados.

En virtud de los antecedentes citados, y dada la urgencia de legislación especializada que se encargue de regular el tratamiento de datos personales, es necesario contar con una Ley, que salvaguarde los derechos, promueva la actividad económica, comercial, de innovación tecnológica, social, cultural, entre otras y que delimite los parámetros para un tratamiento adecuado en el ámbito público y privado.

Por los motivos que hemos desarrollado, solicitamos a las señoras diputadas y a los señores diputados que acompañen con su voto este proyecto.

Agradecimiento

A LAS PERSONAS QUE ENVIARON COMENTARIOS:

Marlene Samaniego, Bruno Duarte, Gaspar Pisanu, Gonzalo Fleitas, Jose Fernando Casañas Levi, Marcelo Galvan, Paloma Lara Castro, Miguel Candia, Pablo Palazzi, Stael Olmedo Cabral, Dolores Dozo, Ralf Sauer, Manuel García-Sánchez, Pablo Lacasa.

A LAS INSTITUCIONES PÚBLICAS QUE ENVIARON COMENTARIOS:

Asociación de Bancos del Paraguay, Banco Central del Paraguay, Comisión Nacional de Telecomunicaciones, Despacho del Dip. Edwin Reimer, Dirección Nacional de Propiedad Intelectual, Dirección General de los Registros Públicos, Ministerio de Hacienda, Ministerio de Relaciones Exteriores, Ministerio Público, Ministerio de Salud Pública y Bienestar Social, Ministerio de Tecnologías y Comunicaciones, Instituto de Previsión Social, Dirección General del Registro del Estado Civil.

REDACCIÓN DEL BORRADOR:

Cecilia Abente, Mariel Aranda, Natalia Enciso, Miguel Angel Gaspar, Adriana Marecos y Alberto Poletti.

EDICION FINAL:

Cecilia Abente, Luis Alonzo, Eduardo Carrillo, Natalia Enciso, Marlene Samaniego y Maricarmen Sequera.

Proyecto de Ley de Protección de Datos Personales en Paraguay

EL CONGRESO DE LA NACIÓN PARAGUAYA SANCIONA CON FUERZA DE LEY:

TÍTULO I. DISPOSICIONES GENERALES

Artículo 1. Objeto de La Ley.

La presente ley tiene por objeto la protección integral de los datos personales de las personas físicas a fin de garantizar el ejercicio pleno de los derechos de sus titulares, y la libre circulación de tales datos, de conformidad a lo establecido en la Constitución Nacional y los Tratados Internacionales de los cuales la República del Paraguay es parte.

Artículo 2. Ámbito de Aplicación.

Las normas de la presente ley serán de aplicación cuando:

a. El responsable o encargado del tratamiento se encuentre establecido en el territorio nacional, aun cuando el tratamiento de datos tenga lugar fuera de dicho territorio;

b. El responsable o encargado del tratamiento no se encuentre establecido en el territorio nacional, sino en un lugar en que se aplica la legislación nacional en virtud del derecho internacional o derivado de la celebración de un contrato;

c. El responsable o encargado no se encuentre establecido en territorio nacional y las actividades del tratamiento estén relacionadas con la oferta de bienes o servicios dirigidos a los residentes, o bien, estén relacionadas con el control de su comportamiento, en la medida en que éste tenga lugar en la República del Paraguay, excepto cuando la ley del lugar donde se encuentra el responsable del tratamiento sea más favorable para la protección del titular de los datos.

d. El responsable o encargado no se encuentre establecido en territorio nacional y utilice o recurra a medios, automatizados o no, situados en ese territorio para tratar datos personales, salvo que dichos medios se utilicen solamente con fines de tránsito.

Artículo 3. Excepciones a la ley

Se consideran exentos de aplicación de la presente ley, el tratamiento de datos cuando los datos personales estén destinados a actividades exclusivamente en el marco de la vida familiar o doméstica de una persona física, esto es, la utilización de datos personales en un entorno de amistad, parentesco o grupo personal cercano y que no tengan como propósito una divulgación o utilización comercial.

Artículo 4. Limitaciones al derecho de la protección de datos

La legislación nacional que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en el Título V y los principios establecidos en el Título II, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

a) la seguridad del Estado;

b) la defensa;

c) la seguridad pública;

d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;

e) otros objetivos de interés público, en particular un interés económico o financiero importante, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

f) la protección de la independencia judicial y de los procedimientos judiciales;

g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;

h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en los incisos a) al e) y g);

i) la protección del titular del dato o de los derechos y libertades de otros;

j) la ejecución de demandas civiles.

Cualquier ley que tenga como propósito limitar el derecho a la protección de datos personales contendrá, como mínimo, disposiciones relativas a:

1. La finalidad del tratamiento.

2. Las categorías de datos personales de que se trate.

3. El alcance de las limitaciones establecidas.

4. Las garantías adecuadas para evitar accesos o transferencias ilícitas o desproporcionadas.

5. La determinación del responsable o responsables.

6. Los plazos de conservación de los datos personales.

7. Los posibles riesgos para los derechos y libertades de los titulares.

8. El derecho de los titulares a ser informados sobre la limitación, salvo que resulte perjudicial o incompatible a los fines de ésta.

Artículo 5. Definiciones

A los efectos de la presente ley, se consideran las siguientes definiciones:

1. Titular de Datos: Persona física sobre la cual se realiza el tratamiento de sus datos.

2. Datos Personales: datos que colaboren para identificar a personas físicas determinadas o determinables. Se entenderá por determinable la persona que pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Esto también incluye metadatos y fragmentos de datos.

3. Datos personales sensibles: son los referentes a pertenencias raciales o étnicas, preferencias políticas, convicciones religiosas, filosófica o morales; participación o afiliación en una organización sindical o política; información referente a la salud, la preferencia o vida sexual, datos biométricos y genéticos vinculados a una persona física y, en general, los que fomenten prejuicios y discriminaciones ilícitas o arbitrarias,

4. Datos Genéticos: Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

5. Datos Biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

6. Tratamiento: cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales, automatizados o parcialmente automatizados realizadas sobre datos personales, relacionadas de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, bloqueo, elaboración, transferencia, cesión, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.

7. Consentimiento: toda manifestación de voluntad libre, específica, informada e inequívoca por la que una persona física acepta y autoriza, ya sea mediante una declaración o una clara acción afirmativa realizada por escrito o por medios electrónicos, así como por cualquier forma similar que la tecnología permita, el tratamiento de los datos personales que le conciernen.

8. Responsable Del Tratamiento: La persona física o jurídica, autoridad pública u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de los datos.

9. Encargado Del Tratamiento: La persona física o jurídica, autoridad pública, u otro organismo que trate datos personales en representación o mandato del responsable del tratamiento.

10. Representante: persona física o jurídica establecida en la República del Paraguay que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento, represente a los mismos en lo que respecta a sus respectivas obligaciones en virtud de la presente ley.

11. Transferencia internacional: la transmisión de datos personales fuera del territorio nacional.

12. Elaboración De Perfiles: toda forma de tratamiento automatizado y parcialmente automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos de una persona física, en particular para analizar o predecir cuestiones relativas al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación, etnia, raza, sexo o movimientos de dicha persona física.

13. Normas de autorregulación Vinculantes: Las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio nacional para transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

14. Evaluación De Impacto Relativa A La Protección De Datos: Análisis de carácter previo de aquellos tratamientos de datos que puedan suponer un alto riesgo para los derechos y libertades de las personas.

15. Bloqueo de datos: La identificación y reserva de datos personales con el fin de impedir su tratamiento.

16. Fuente de acceso público: la que contiene información destinada a ser difundida al público, de libre acceso e intercambio por razones de interés general, conforme a la Ley nº 5282/2014 “De libre acceso ciudadano a la información pública y transparencia gubernamental”.

TÍTULO II. PRINCIPIOS DE PROTECCIÓN DE DATOS

Artículo 6. Principio de exactitud de los datos

Los datos personales serán exactos, completos y actualizados. Los responsables y encargados del tratamiento deben adoptar todas las medidas razonables para corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.

Cuando los datos personales hubieren dejado de ser necesarios para el cumplimiento de las finalidades que motivaron su tratamiento, el responsable los suprimirá o eliminará de sus archivos, registros, bases de datos, expedientes o sistemas de información, o en su caso, los someterá a un procedimiento de anonimización o seudonimización. En la supresión de los datos personales, el responsable implementará métodos y técnicas orientadas a la eliminación definitiva y segura de éstos.

Artículo 7. Principio de licitud del tratamiento

Para que el tratamiento sea lícito, los datos personales deben ser tratados conforme a las bases jurídicas previstas en la presente ley en el artículo 16.

Artículo 8. Principio de finalidad

Los datos personales deben ser recogidos y procesados con fines determinados, explícitos, legítimos y de duración limitada, y no serán tratados, posteriormente, de manera incompatible o distinta con dichos fines.

Artículo 9. Principio de proporcionalidad

El responsable y el encargado tratará únicamente los datos personales que resulten adecuados, pertinentes y limitados al mínimo necesario con relación a las finalidades que justifican su tratamiento.

Asimismo, los datos deberán someterse a revisión periódica para determinar si continúan cumpliendo la finalidad.

Artículo 10. Principio de lealtad

No podrán recabarse datos personales por medios o métodos fraudulentos, engañosos, desleales e ilícitos. Para los efectos de la presente ley, se considerarán desleales aquellos tratamientos de datos personales que den lugar a una discriminación injusta o arbitraria contra los titulares.

Artículo 11. Principio de transparencia

El responsable informará al titular sobre la existencia misma y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

Artículo 12. Limitación del plazo de conservación

No podrán conservarse o mantenerse los datos durante más tiempo del necesario para los fines del tratamiento. La Autoridad de Control deberá establecer los plazos para la supresión y/o revisión periódica.

El tratamiento ulterior de los datos personales con fines de archivo e interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales, siempre que se encuentren anonimizados o seudonimizado.

Artículo 13. Principio de responsabilidad proactiva

El responsable o encargado del tratamiento debe adoptar las medidas técnicas y organizativas apropiadas a fin de garantizar un tratamiento adecuado de los datos personales y el cumplimiento de las obligaciones dispuestas por la presente Ley, y que le permitan demostrar a la autoridad de control su efectiva implementación.

Artículo 14. Principio de seguridad

En el tratamiento de datos personales se deberán adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos y que tendrán como finalidad evitar la alteración, pérdida, tratamiento o acceso no autorizado. En el caso de datos definidos por esta ley como datos sensibles, se adoptarán medidas adicionales para garantizar la seguridad de los mismos.

Para la determinación de las medidas referidas en el párrafo anterior, el responsable considerará los siguientes factores:

a. El riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.

b. El estado de la técnica.

c. La naturaleza de los datos personales tratados, en especial si se trata de datos personales sensibles.

d. El alcance, contexto y las finalidades del tratamiento.

e. Las transferencias internacionales de datos personales que se realicen o pretendan realizar.

f. El número de titulares.

g. Las posibles consecuencias que se derivarían de una vulneración para los titulares.

h. Las vulneraciones previas ocurridas en el tratamiento de datos personales.

El responsable llevará a cabo una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales, de manera periódica.

Las condiciones técnicas de integridad y seguridad que deban reunir las bases de datos serán reguladas por la Autoridad de Control.

Artículo 15. Principio de confidencialidad

Los responsables y encargados del tratamiento de datos de carácter personal, así como toda persona que intervenga en cualquier fase de este estarán sujetas al deber de confidencialidad, obligación que subsistirá aun después de finalizar sus relaciones con el titular. Los mismos podrán ser relevados del deber de confidencialidad por decisión de un juez o tribunal.

TÍTULO III. BASES LEGALES PARA EL TRATAMIENTO DE DATOS PERSONALES

Artículo 16. Bases legales para el tratamiento de datos personales

El tratamiento de datos personales sólo podrá realizarse si se cumple al menos una de las siguientes condiciones:

1. mediante el consentimiento del titular;

2. para el cumplimiento de una obligación legal o reglamentaria por parte del responsable del tratamiento;

3. por la administración pública, para el tratamiento y uso compartido de los datos necesarios y proporcionales para la ejecución de las políticas públicas previstas en leyes y reglamentos o sustentadas en convenios interinstitucionales, sujeto a lo dispuesto en el Titulo IV, Capítulo I de esta Ley;

4. el tratamiento de datos se realice sobre datos que figuren en fuentes de acceso público;

5. cuando sea necesario para la ejecución de un contrato o trámites preliminares relacionados con un contrato del que el titular sea parte, a solicitud del mismo;

6. para el ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales,

7. para la protección de la vida o seguridad física del titular o de un tercero y para la protección de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridad sanitaria,

8. cuando sea necesario para atender los intereses legítimos del responsable del tratamiento o de un tercero, excepto en el caso de que prevalezcan los derechos y libertades fundamentales del titular que requieran la protección de datos personales, en particular cuando el titular sea un niño, niña o adolescente;

Lo dispuesto en el inciso 8 no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Artículo 17. Consentimiento

Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del titular para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.

No podrá supeditarse la ejecución del contrato a que el titular del dato consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.

Siempre que sea requerido el consentimiento para el tratamiento de los datos personales, el titular podrá revocarlo en cualquier momento, para lo cual el responsable establecerá mecanismos sencillos, ágiles, eficaces y gratuitos. Dicha revocación no tendrá efectos retroactivos.

En el caso de que se requiera consentimiento, si hay cambios en la finalidad para el tratamiento de datos personales que no sean compatibles con el consentimiento original, el responsable deberá informar al titular con anticipación sobre los cambios en la finalidad, y el titular puede revocar el consentimiento, si no está de acuerdo con los cambios.

El tratamiento de datos ulterior debe ser compatible con las finalidades manifiestas que surgen del contexto que originó la recolección, siempre que se garantice la preservación de los derechos del titular, así como los fundamentos y principios establecidos en esta Ley. En ningún caso procederá para el tratamiento de datos sensibles.

Para el tratamiento de datos sensibles se requiere el consentimiento expreso, salvo las excepciones establecidas por ley.

En todos los casos, el responsable del tratamiento tiene la carga de demostrar que el titular de los datos consintió el uso de sus datos personales.

Artículo 18. Consentimiento de niños, niñas y adolescentes

En el tratamiento de datos personales de una niña, niño o adolescente, se debe privilegiar la protección del interés superior de éstos, conforme a la Convención Sobre Los Derechos Del Niño y demás instrumentos internacionales firmados y ratificados por la República del Paraguay que busquen su bienestar y protección integral.

El tratamiento de los datos personales de los y las adolescentes podrá fundarse en su consentimiento a partir de los catorce años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad, guarda o tutela, para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento. El tratamiento de los datos de los niños y niñas de hasta trece años, fundado en el consentimiento, sólo será lícito si consta el del titular de la patria potestad, guarda o tutela, con el alcance que determinen los titulares de la patria potestad, guarda o tutela.

El responsable y encargado deberán realizar esfuerzos razonables para verificar que el consentimiento fue otorgado por el titular de la patria potestad o tutela, o bien, por el menor directamente atendiendo a su edad de acuerdo con la legislación vigente, teniendo en cuenta la tecnología disponible.

Artículo 19. Interés legítimo

El interés legítimo del responsable del tratamiento sólo puede sustentar el tratamiento de datos personales con fines lícitos, considerados desde situaciones concretas y siempre que no prevalezca el interés o los derechos y libertades fundamentales del titular del dato, que incluyen, pero no se limitan a:

1. Apoyo y promoción de las actividades del responsable del tratamiento; y

2. Protección, en relación con el titular, del ejercicio regular de sus derechos o prestación de los servicios que le beneficien, respetando sus legítimas expectativas y derechos y libertades fundamentales, en los términos de esta Ley.

Cuando el tratamiento se base en el interés legítimo del responsable del tratamiento, solo se podrán tratar los datos personales estrictamente necesarios para la finalidad prevista.

El responsable del tratamiento debe adoptar medidas para garantizar la transparencia del tratamiento de los datos en función de su interés legítimo.

La Autoridad de Control podrá solicitar al responsable del tratamiento un informe de impacto sobre la protección de datos personales, cuando el tratamiento se base en su interés legítimo, observando secretos comerciales e industriales.

El titular tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de sus datos personales basado en el interés legítimo del responsable.

TÍTULO IV. TRATAMIENTOS ESPECIALES

Artículo 20. Tratamiento de datos sensibles

A fin de evitar el tratamiento con fines discriminatorios, ilícitos o abusivos queda prohibido el tratamiento de datos personales sensibles salvo que:

1. El titular haya dado su consentimiento explícito y por escrito para el tratamiento de dichos datos personales, salvo en los casos en que por ley no sea requerido el otorgamiento de dicha autorización;

2. El tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la seguridad social;

3. El tratamiento sea necesario   para proteger intereses vitales del titular o de otra persona física, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento y sus representantes legales no lo puedan realizar en tiempo oportuno;

4. El tratamiento sea efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los titulares;

5. El tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial, o en procesos administrativos o arbitrales;

6. El tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, en virtud de un contrato con un profesional sanitario;

7. El tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios;

8. Se realice en el marco de asistencia humanitaria en casos de desastres naturales;

9. Sea efectuado por establecimientos sanitarios públicos o privados o por profesionales vinculados a la ciencia de la salud en el marco de un tratamiento médico específico o que hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional, la normativa específica y lo establecido en la presente ley;

10. El tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular. Los datos deberán estar anonimizados o seudonimizado;

11. El tratamiento compartido de los datos sea necesario para la ejecución, por parte de la administración pública, de las políticas públicas previstas en las leyes.

Se prohíbe la comunicación o uso compartido entre responsables del tratamiento de datos personales sensibles relacionados con la salud con el fin de obtener una ventaja económica, salvo en los casos relacionados  con la prestación de servicios sanitarios, asistencia farmacéutica y asistencia sanitaria, incluidos los servicios auxiliares para el diagnóstico y la terapia, para el beneficio de los intereses de los titulares de los datos, y para permitir la portabilidad de datos cuando lo solicite el titular.

Se prohíbe a los operadores de planes de salud privados el procesamiento de datos de salud para la práctica de selección de riesgos al contratar cualquier modalidad, así como al contratar y excluir beneficiarios.

Artículo 21. Tratamiento de datos de información crediticia

Se remitirá a lo establecido en la ley nº 6534/20 de Protección de Datos personales crediticios

Artículo 22. Tratamiento de datos con fines de publicidad

Cuando los datos personales sean utilizados para perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, así como quienes realicen estas actividades con el fin de comercializar sus propios productos o servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos se encuentren  en fuentes de acceso público o hayan sido  obtenidos con el  consentimiento de los propios titulares.

En toda comunicación con fines de publicidad que se realice por correo postal, teléfono, correo electrónico, Internet u otro medio de comunicación que permita la tecnología en el futuro, el responsable o encargado del tratamiento debe implementar medidas razonables que informen al titular de los datos la posibilidad de ejercer los derechos previstos en la presente Ley.

El titular podrá en cualquier momento solicitar el retiro o bloqueo de sus datos de las bases de datos a los que se refiere el presente artículo. Cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, el responsable cumplirá con lo establecido en el artículo 39 del derecho de oposición.

Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo.

Artículo 23. Tratamientos con fines de videovigilancia

Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.

Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior.

No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicas o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.

Los datos serán suprimidos en un plazo máximo de hasta 6 meses desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.

Se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio.

Esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.

CAPÍTULO I. DISPOSICIONES APLICABLES A LA ADMINISTRACIÓN PÚBLICA

Artículo 24. Tratamiento de datos personales por la administración pública

El tratamiento de los datos personales por la Administración Pública debe considerar la finalidad, la necesidad, la buena fe y el interés público, con el objetivo de ejecutar las facultades legales o cumplir con las atribuciones legales, siempre que:

1. En ejercicio de sus competencias, realicen el tratamiento de datos personales, aportando información clara y actualizada sobre la disposición legal, finalidad, procedimientos y prácticas utilizadas para realizar estas actividades;

2. Designe un responsable para la realización de operaciones de tratamiento de datos personales, de conformidad con el 53, numeral 1 de esta Ley;

3. Los servicios notariales y registrales, que se realicen por delegación del Poder el Estado, tendrán el mismo tratamiento que las personas jurídicas de derecho público, en los términos de este Capítulo;

4. Los notarios y órganos registrales deberán facilitar el acceso a los datos por medios electrónicos a la administración pública, a la vista de las finalidades a que se refiere el título de este artículo.

5. Las empresas públicas y las sociedades de capital mixto, cuando se encuentren operando políticas públicas y en el ámbito de su implementación, tendrán el mismo tratamiento que se le da a los órganos y entidades de la Administración Pública, en los términos de este Capítulo.

Los datos deben mantenerse en un formato interoperable y estructurado de uso compartido, con miras a la implementación de políticas públicas, la prestación de servicios públicos, la descentralización de la actividad pública y la difusión y acceso de la información al público en general.

La autoridad de control podrá solicitar, en cualquier momento, a los órganos y entidades de la Administración Pública para la realización de operaciones de tratamiento de datos personales, información específica sobre el alcance y naturaleza de los datos, garantías y demás detalles del tratamiento realizado.

La autoridad de control podrá establecer reglas complementarias para las actividades de comunicación y uso compartido de datos personales.

Artículo 25. Comunicación de datos personales entre instituciones públicas

Será lícita la comunicación de datos personales entre instituciones públicas, en la medida en que:

1. La institución pública titular de la base de datos haya obtenido los datos en ejercicio de sus funciones,

2. El tratamiento por parte de la institución pública que recibe la base de datos sea necesario para el cumplimiento de sus funciones legales y la finalidad de dicho tratamiento de datos se encuentre dentro del marco de sus competencias,

3. Los datos involucrados sean adecuados, proporcionales y no excedan el límite de lo necesario en relación a esta última finalidad.

4. El titular de los datos sensibles haya dado su consentimiento.

El uso compartido de datos personales por parte de la Administración Pública debe servir para fines específicos, para la ejecución de políticas públicas y atribución legal por parte de organismos y entidades públicas, respetando los principios de protección de datos personales enumerados en el Título II de esta Ley.

Artículo 26. Comunicación de datos personales a entidades privadas

Se prohíbe a la Administración Pública transferir a entidades privadas datos personales contenidos en bases de datos a las que tenga acceso, salvo:

1. En los casos de ejecución descentralizada de la actividad pública que requiera la comunicación, exclusivamente para este fin específico y determinado, previsto en la ley y sujeta a salvaguardas específicas;

2. Cuando exista una disposición legal o la comunicación esté respaldada por contratos o convenios. Los contratos y acuerdos deben ser aprobados por la autoridad de control.

Artículo 27. Tratamiento de datos en el ámbito de la función estadística pública

El tratamiento de datos personales llevado a cabo por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo dispuesto en su legislación específica, así como en la presente ley.

Dispondrán de medidas técnicas y organizativas, para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines.

Los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de los derechos del Titular establecido en los artículos 35 al 42 cuando los datos se encuentren amparados por las garantías del secreto estadístico previstas en la legislación específica.

Artículo 28. Tratamiento de datos con fines de archivo en interés Público por parte de las Administraciones Públicas

Será lícito el tratamiento por las Administraciones Públicas de datos con fines de archivo en interés público, que se someterá a lo dispuesto en la presente ley y leyes específicas que incluyan salvaguardas para la protección de los derechos de los titulares.

Artículo 29. Tratamiento de datos de naturaleza penal

El tratamiento de datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, sólo podrá llevarse a cabo cuando se encuentre amparado en esta ley o en otras normas de rango legal.

El registro completo de los datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, podrá realizarse conforme con lo establecido en la regulación del Sistema de Administración de Justicia.

Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas sólo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

Artículo 30. Tratamiento de datos relativos a infracciones y sanciones administrativas.

El tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, exigirá:

1. Que los responsables de dichos tratamientos sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones.

2. Que el tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel.

Cuando no se cumpla alguna de las condiciones previstas en el apartado anterior, los tratamientos de datos referidos a infracciones y sanciones administrativas habrán de contar con el consentimiento del titular del dato o estar autorizados por una norma con rango de ley, en la que se regularán, en su caso, garantías adicionales para los derechos y libertades de los afectados.

Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a infracciones y sanciones administrativas sólo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

Artículo 31. Infracción del tratamiento de los datos personales por parte de las Instituciones públicas

Cuando se produzca una infracción a esta ley como consecuencia del tratamiento de datos personales por parte de instituciones públicas. La autoridad de control dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará a la persona responsable de la base de datos, al órgano del que dependa jerárquicamente y a los afectados, si los hay. La resolución podrá dictarse de oficio o a petición de parte y sin perjuicio de la responsabilidad civil y penal en que haya incurrido.

Artículo 32. Informes sobre el Impacto de la protección de datos personales

La autoridad de control podrá solicitar a las Instituciones Públicas que elaboren y publiquen informes sobre el impacto de la protección de datos personales y sugerir la adopción de normas y buenas prácticas para el tratamiento de datos personales por parte de la Administración Pública.

CAPÍTULO II. DISPOSICIONES APLICABLES A LAS FUERZAS ARMADAS, ORGANISMOS POLICIALES Y DE INTELIGENCIA

Artículo 33. De los tratamientos de datos personales con fines de defensa nacional o seguridad pública

El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, organismos policiales e inteligencia, queda limitado a aquellos supuestos y categoría de datos que resulten necesarios y proporcionales para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos. Las bases de datos, en tales casos, deberán ser específicas y establecidas al efecto, debiendo clasificarse por categorías, en función de su grado de fiabilidad.

Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

Los responsables de las bases de datos que contengan los datos a los que se refiere en el presente artículo podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.

La información sobre datos personales también puede ser denegada por los responsables del tratamiento de bases de datos públicas, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La resolución que así lo disponga debe ser fundada y notificada al titular de los datos.

En cualquier caso, el responsable del tratamiento debe brindar acceso a los datos en cuestión en la oportunidad en que el titular de los datos demuestre que son necesarios para ejercer su derecho de defensa.

El titular del dato al que se deniegue total o parcialmente el ejercicio de los derechos podrá ponerlo en conocimiento de la Autoridad de Control, quien deberá asegurarse de la procedencia o improcedencia de la denegación.

Artículo 34. De la seguridad de las bases de datos

Los responsables de las bases de datos a que se refiere este Capítulo, deberán establecer medidas adicionales de seguridad, para garantizar la integridad, disponibilidad y confidencialidad de la información, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

TÍTULO V. DERECHO DE LOS TITULARES DE DATOS

CAPÍTULO I. EJERCICIO DE LOS DERECHOS

Artículo 35. Disposiciones Generales Sobre El Ejercicio De Los Derechos

El titular de datos o su representante podrán, en cualquier momento, solicitar al responsable, el acceso, rectificación, supresión, oposición y portabilidad de los datos personales que le conciernen.

El ejercicio de cualquiera de los derechos mencionados no es requisito previo ni impide el ejercicio de otro.

El responsable deberá establecer medios y procedimientos sencillos, expeditos, accesibles y gratuitos que permitan al titular de datos ejercer sus derechos.

El responsable tendrá un plazo de 30 (treinta) días corridos computados desde la presentación de la solicitud para dar respuesta a la solicitud del Titular.

Vencido el plazo sin que se satisfaga el pedido, o si para el titular de los datos la respuesta fuera insuficiente, se podrá recurrir ante la autoridad de control o podrá interponer la acción de habeas data. En caso de optar por la acción de habeas data, o de haberla iniciado con anterioridad, no podrá iniciar el trámite ante la autoridad de control.

El ejercicio de los derechos previstos en el presente capítulo en el caso de titulares de los datos de personas fallecidas les corresponde a sus sucesores universales.

Artículo 36. Derecho a la Información

El titular de datos debe recibir la información sobre cómo se lleva a cabo el tratamiento de sus datos personales, ya sea que lo haya proporcionado directamente a un responsable de tratamiento o que el responsable lo haya obtenido de otra fuente.

El responsable proporcionará al titular, al menos, la información siguiente:

a. Su identidad y datos de contacto que son el domicilio legal, número de teléfono y correo electrónico.

b. Base legal y finalidades del tratamiento a que serán sometidos sus datos personales.

c. Las comunicaciones o transferencias internacionales de datos personales que pretenda realizar, incluyendo los destinatarios y las finalidades que motivan la realización de las mismas.

d. La existencia, forma y mecanismos o procedimientos a través de los cuales podrá ejercer los derechos de acceso, rectificación, cancelación, oposición y portabilidad.

e. Tiempo de conservación de los datos personales.

En su caso, el origen de los datos personales cuando el responsable no los hubiere obtenido directamente del titular.

La información proporcionada al titular tendrá que ser suficiente y fácilmente accesible, así como redactarse y estructurarse en un lenguaje claro, sencillo y de fácil comprensión para los titulares a quienes va dirigida, especialmente si se trata de niñas, niños y adolescentes.

Todo responsable contará con políticas transparentes de los tratamientos de datos personales que realice.

Artículo 37. Derecho De Acceso

El titular de datos tendrá el derecho a solicitar y obtener sus datos personales que obren en posesión del responsable. Previa acreditación de su identidad, la información deberá ser suministrada en forma clara, inteligible y exenta de codificaciones y, en su caso, acompañada de una explicación de los términos que se utilicen, en lenguaje accesible al conocimiento medio de la población, y debe versar sobre:

1. Las finalidades del tratamiento de datos;

2. Las categorías de datos personales de que se trate;

3. Los destinatarios o las categorías de destinatarios a los que se cedieron o se prevean ceder los datos personales, en particular cuando se trate de una transferencia internacional;

4. El plazo previsto de conservación de los datos personales o, de no ser ello posible, los criterios utilizados para determinar este plazo;

5. La existencia del derecho a solicitar del responsable del tratamiento la rectificación, supresión de datos personales o a oponerse a dicho tratamiento;

6. El derecho a iniciar un trámite de protección de datos personales ante la autoridad de control;

7. Cuando los datos personales no se hayan obtenido del titular de los datos, cualquier información disponible sobre su origen;

8. La existencia de decisiones automatizadas, incluida la elaboración de perfiles a que se refiere el artículo 22 y, al menos en tales casos, información significativa sobre la lógica aplicada, sin que ello afecte derechos intelectuales del responsable del tratamiento.

En ningún caso el informe puede revelar datos pertenecientes a terceros, aun cuando se vinculen con el titular de los datos. La información, a opción del titular de los datos, puede suministrarse por escrito, por medios electrónicos, de imagen u otro idóneo a tal fin.

Artículo 38. Derecho De Rectificación

El titular de datos tendrá el derecho a obtener del responsable la rectificación o corrección de sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren actualizados.

En el supuesto de cesión o transferencia internacional de datos erróneos o desactualizados, el responsable del tratamiento debe notificar la rectificación al cesionario dentro del quinto (5°) día hábil de haber tomado conocimiento efectivo del error o la desactualización.

Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el

responsable del tratamiento debe bloquear el dato, o bien consignar, al proveer información relativa a éste, la circunstancia de que se encuentra sometido a revisión.

Artículo 39. Derecho De Oposición

El titular de datos puede oponerse al tratamiento de sus datos personales, o de una finalidad específica de éste, cuando no haya prestado consentimiento. El responsable del tratamiento debe dejar de tratar los datos personales objeto de oposición, a menos que demuestre motivos legítimos imperiosos para el procesamiento que prevalezcan sobre los intereses, derechos y libertades del titular del dato o para el establecimiento, ejercicio o defensa de reclamaciones legales.

Cuando el titular de datos se oponga al tratamiento con fines de mercadotecnia directa, sus datos personales dejarán de ser tratados para dichos fines en un plazo de 30 (treinta) días corridos desde el envío de la solicitud de oposición.

Artículo 40. Derecho De Supresión

El titular de datos tendrá derecho a solicitar la eliminación de sus datos personales de los archivos, registros y sistemas del responsable, a fin de que los mismos dejen de ser tratados por este último.

Solo podrá requerirse en los siguientes casos:

1. El tratamiento no cumpla con los principios de lealtad, transparencia y legitimidad;

2. Los datos personales hayan cumplido con la finalidad para la cual fueron recogidos o tratados;

3. Haya vencido el plazo de conservación de los datos personales;

4. El titular de datos haya revocado o no haya otorgado el consentimiento para uno o varios fines específicos, sin necesidad de que medie justificación alguna o éste no se ampare en otro fundamento jurídico;

5. El titular de los datos haya ejercido su derecho de oposición conforme al artículo 39, y no prevalezcan otros motivos legítimos para el tratamiento de sus datos;

6. Los datos personales hayan sido tratados ilícitamente;

7. Los datos personales que deban suprimirse para el cumplimiento de una obligación legal.

La supresión no procederá cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, prevalezcan razones de interés público para el tratamiento de datos cuestionado, o los datos personales deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las contractuales entre el responsable o encargado del tratamiento y el titular de los datos.

La supresión tampoco procede cuando el tratamiento de datos sea necesario para ejercer el derecho a la libertad de expresión e información.

Artículo 41. Derecho a la Portabilidad

Cuando se traten datos personales por vía electrónica o medios automatizados, el titular de datos podrá solicitar que sus datos personales se transfieran directamente de responsable a responsable siempre y cuando sea técnicamente posible.

No resultará procedente cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el responsable con base en los datos personales proporcionados por el titular de datos.

Este derecho no procederá cuando:

1. Su ejercicio imponga una carga financiera o técnica excesiva o irrazonable debidamente demostrada sobre el responsable o encargado del tratamiento;

2. Vulnere la privacidad de otro titular de los datos;

3. Vulnere las obligaciones legales del responsable o encargado del tratamiento,

4. Impida que el responsable y/o encargado del tratamiento proteja sus derechos, su seguridad o sus bienes, o los del titular de los datos o tercero,

5. Se trate de datos que ya hayan sido anonimizados por el responsable del tratamiento.

Artículo 42. Derecho a no ser objeto de decisiones individuales automatizadas o semiautomatizadas.

El titular de datos tendrá derecho a no ser objeto de decisiones que le produzcan efectos jurídicos o le afecten de manera significativa que se basen en tratamientos automatizados o semi automatizadas destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo.

No se aplica lo anterior cuando el tratamiento automatizado o semi automatizadas de datos personales sea necesario para la celebración o la ejecución de un contrato entre el titular de datos y el responsable; esté autorizado por ley, en la que se regularán, en su caso, garantías adicionales para los derechos, libertades y los intereses legítimos de los titulares, o bien, se base en el consentimiento expreso del titular de datos.

No obstante, cuando sea necesario para la relación contractual o el titular de datos hubiere manifestado su consentimiento tendrá derecho a obtener la intervención humana; recibir una explicación sobre la decisión tomada; expresar su punto de vista e impugnar la decisión.

El responsable no podrá llevar a cabo tratamientos automatizados o semi automatizados de datos personales sensibles.

TÍTULO VI. RESPONSABLE Y ENCARGADO DEL TRATAMIENTO

CAPÍTULO I. DISPOSICIONES GENERALES

MEDIDAS DE RESPONSABILIDAD ACTIVA

Artículo 43. Medidas para el cumplimiento de la responsabilidad activa

Los responsables determinarán las medidas técnicas y organizativas adoptadas para el cumplimiento de las disposiciones de la presente ley.

En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y en la consulta previa a que se refieren los artículos 49 y 50 de la presente ley.

Las medidas deben ser proporcionales a las modalidades y finalidades del tratamiento de datos, su naturaleza, el ámbito, el contexto, el tipo y categoría de datos tratados, y el riesgo que el referido tratamiento pueda acarrear sobre los derechos de su titular.

Deben contemplar, como mínimo:

1. La adopción de procesos internos para llevar adelante de manera efectiva la responsabilidad activa, incluyendo las medidas de privacidad por diseño y por defecto;

2. La implementación de procedimientos para atender el ejercicio de los derechos por parte de los titulares de los datos;

3. La realización de supervisiones o auditorías, internas o externas, para controlar el cumplimiento de las medidas adoptadas.

4. La revisión periódica de las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran.

5. La implementación de sistemas de administración de riesgos asociados al tratamiento de datos personales.

Las medidas deben ser aplicadas de modo que permitan su demostración ante el requerimiento de la autoridad de control.

Se debe adoptar una política de privacidad o adherirse a mecanismos de autorregulación vinculantes, que serán valorados por la autoridad de control para verificar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

Artículo 44. Protección de datos desde el diseño y por defecto

El responsable del tratamiento debe aplicar, desde el diseño para el desarrollo de productos y servicios, medidas técnicas y organizativas apropiadas tanto con anterioridad como durante el tratamiento de datos a fin de cumplir los principios y los derechos de los titulares de los datos establecidos en la presente Ley. Las medidas deben ser adoptadas teniendo en cuenta el estado de la tecnología, los costos de la implementación y la naturaleza, ámbito, contexto y fines del tratamiento de datos, así como los riesgos que entraña el tratamiento para el derecho a la protección de los datos de sus titulares.

El responsable del tratamiento debe aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, sólo sean objeto de tratamiento de datos aquellos datos personales que sean necesarios para cada uno de los fines del tratamiento. Esta obligación se aplica a la cantidad y calidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas deben garantizar en particular que, por defecto, los datos personales no sean accesibles, sin la intervención del titular de los datos, a un número indeterminado de personas físicas.

Artículo 45. Mecanismos de autorregulación vinculantes

El responsable o encargado del tratamiento podrá adherirse, de manera voluntaria, a mecanismos de autorregulación vinculante, que tengan por objeto contribuir a la correcta aplicación de la presente ley, teniendo en cuenta las características específicas del tratamiento de datos que se realice, así como el efectivo ejercicio y respeto de los derechos del titular de los datos.

Los mecanismos de autorregulación vinculantes se pueden traducir en códigos de conducta, de buenas prácticas, normas corporativas vinculantes, sellos de confianza, certificaciones u otros mecanismos que coadyuven a contribuir a los objetivos señalados. Dichos códigos pueden dotarse de mecanismos de resolución extrajudicial de conflictos. Las asociaciones u otras entidades representativas de categorías de responsables o encargados del tratamiento podrán adoptar mecanismos de autorregulación vinculantes que resulten obligatorios para todos sus miembros.

Los mecanismos de autorregulación vinculantes serán presentados a la homologación de la autoridad de control, la cual dictaminará si los mecanismos se adecuan a las disposiciones de la presente ley y, en su caso, los aprobará o indicará las correcciones que estime necesarias para su aprobación.

Los mecanismos de autorregulación vinculantes que resulten aprobados serán registrados y dados a publicidad por la autoridad de control.

Artículo 46. Seguridad del tratamiento

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

1. la seudonimización y el cifrado de datos personales;

2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración

accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

La adhesión a un código de conducta o a un mecanismo de certificación aprobado por la autoridad de control podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el presente artículo.

El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales sólo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud de la legislación nacional.

Artículo 47. Notificación de una violación de la seguridad de los datos personales a la autoridad de control

En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control sin dilación indebida y, de ser posible, a más tardar (72) setenta y dos horas después de que haya tenido constancia de ella. Si la notificación a la autoridad de control no tiene lugar en el plazo de (72) setenta y dos horas, deberá ir acompañada de indicación de los motivos de la dilación.

El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

La notificación deberá, como mínimo:

1. Describir la naturaleza de la violación de la seguridad de los datos personales, las categorías y el número aproximado de titulares de datos afectados, y las categorías y el número aproximado de registros de datos personales afectados;

2. Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

3. Describir las posibles consecuencias de la violación de la seguridad de los datos personales;

4. Describir las medidas adoptadas y a adoptar por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

Artículo 48. Comunicación de una violación de la seguridad de los datos personales al Titular

Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas determinada por la autoridad, el responsable del tratamiento la comunicará al Titular sin dilación indebida.

La comunicación al Titular contemplada en el presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 47, numeral 2, 3 y 4.

La comunicación al Titular a que se refiere el presente artículo no será necesaria si se cumple alguna de las condiciones siguientes:

1. el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;

2. el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del titular del dato a que se refiere el presente artículo;

3. suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los Titulares.

Cuando el responsable todavía no haya comunicado al Titular la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá que dicha comunicación no es necesaria si cumple alguna de las condiciones mencionadas en el tercer párrafo de este artículo.

Artículo 49. Evaluación De Impacto

Cuando el responsable del tratamiento prevea realizar algún tipo de tratamiento de datos que, por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos amparados en la presente Ley, deberá realizar, de manera previa a la implementación del tratamiento, una evaluación del impacto relativa a la protección de los datos personales. La evaluación de impacto relativa a la protección de los datos es obligatoria en los siguientes casos, sin perjuicio de otros que establezca la autoridad de control:

a- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento de datos automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b- Tratamiento de datos sensibles a gran escala, o de datos relativos a condenas e infracciones penales o administrativas

c- Observación sistemática a gran escala de una zona de acceso público.

La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos.

La evaluación debe incluir, como mínimo:

1. Una descripción sistemática de las operaciones de tratamiento de datos previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

2. Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento de datos con respecto a su finalidad;

3. Una evaluación de los riesgos para la protección de los datos personales de los titulares de los datos a que se refiere el inciso 1.

4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos personales, y para demostrar la conformidad con la presente Ley, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y de otras personas que pudieran verse potencialmente afectadas.

Artículo 50. Consulta Previa

El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 49 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

Cuando consulte a la autoridad de control, el responsable del tratamiento le facilitará la información siguiente:

1. Las responsabilidades respectivas del responsable del tratamiento y los encargados del tratamiento, en particular en caso de tratamiento de datos dentro de un mismo grupo económico;

2. Los fines y medios del tratamiento previsto;

3. Las medidas y garantías establecidas para proteger los datos personales de sus titulares de conformidad con la presente Ley;

4. En su caso, los datos de contacto del delegado de protección de datos;

5. La evaluación de impacto relativa a la protección de datos.

6. Cualquier otra información que solicite la autoridad de control.

Cuando la autoridad de control considere que el tratamiento previsto podría infringir la presente Ley, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de 60 (sesenta) días corridos desde la consulta, asesorar por escrito al responsable, y en su caso al encargado, de conformidad con las funciones establecidas en el artículo 65 de la presente ley. Dicho plazo podrá prorrogarse por (45) cuarenta y cinco días corridos, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de 30 (treinta) días corridos a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta.

Artículo 51. Posición del Delegado de protección de datos.

El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 53, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

Los titulares de datos podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo de la presente Ley.

El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con la legislación nacional.

El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Artículo 52. Delegado de Protección de Datos

Los responsables y encargados del tratamiento deben designar un Delegado de Protección de Datos en cualquiera de los siguientes supuestos:

1. Cuando revistan el carácter de autoridades u organismos públicos; excepto los tribunales que actúen en ejercicio de su función judicial;

2. Se realice tratamiento a gran escala de datos sensibles o de datos personales relativos a condenas e infracciones penales como parte de la actividad principal del responsable o encargado del tratamiento;

3. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de los titulares de datos a gran escala.

Cuando los responsables y encargados del tratamiento no se encuentren obligados a la designación de un Delegado de Protección de Datos de acuerdo a lo previsto en este artículo, pero decidan designarlo de manera voluntaria o por orden expresa de la autoridad de control, el Delegado de Protección de Datos designado tendrá las funciones previstas en el artículo 53.

Cuando se trate de una autoridad u organismo público con dependencias subordinadas, se puede designar un único Delegado de Protección de Datos, teniendo en consideración su tamaño y estructura organizativa.

Un grupo económico puede nombrar un único Delegado de Protección de Datos siempre que esté en contacto permanente con cada establecimiento.

El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 53.

El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

Artículo 53. Funciones del Delegado de Protección de Datos

El Delegado de Protección de Datos tiene las siguientes funciones, sin perjuicio de otras que se le asignen especialmente:

1. Actuar como interlocutor del responsable o encargado del tratamiento ante la autoridad de control.

2. Informar y asesorar a los responsables y encargados del tratamiento, así como a sus empleados, de las obligaciones que tienen, derivadas de la normativa de protección de datos;

3. Promover y participar en el diseño y aplicación de una política de protección de datos que contemple los tratamientos de datos que realice el responsable o encargado del tratamiento;

4. Supervisar el cumplimiento de la presente Ley y de la política de protección de datos de un organismo público, empresa o entidad privada;

5. Asignar responsabilidades, concientizar y formar al personal, y realizar las auditorías correspondientes;

6. Brindar el asesoramiento que se le solicite para hacer una evaluación de impacto relativa a la protección de datos, cuando entrañe un alto riesgo de afectación para los derechos de los titulares de los datos, y supervisar luego su aplicación;

7. Cooperar y actuar como referente ante la autoridad de control para cualquier consulta sobre el tratamiento de datos efectuado por el responsable o encargado del tratamiento.

8. Aceptar reclamaciones y comunicaciones de los titulares, dar aclaraciones y adoptar providencias;

9. Ejecutar las demás atribuciones determinadas por el responsable o encargado o establecidas en normas complementarias.

El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

CAPÍTULO II. ENCARGADO DEL TRATAMIENTO

Artículo 54. Funciones del Encargado del Tratamiento

El encargado de tratamiento de los datos personales es la persona física o jurídica, autoridad pública u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

El encargado del tratamiento se encuentra limitado a llevar a cabo sólo aquellos tratamientos de datos encomendados por el responsable del tratamiento. Los datos personales objeto de tratamiento no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato ni ser cedidos a otras personas, ni aún para su conservación, salvo autorización expresa del responsable del tratamiento.

El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo a la legislación nacional, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de titulares de datos, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

1. tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud de la ley que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;

2. garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

3. tomará todas las medidas necesarias de conformidad con el artículo 46 de seguridad de tratamiento;

4. respetará las condiciones indicadas en el presente artículo para recurrir a otro encargado del tratamiento;

5. asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los titulares establecidos en el Título V;

6. ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en el 46 de seguridad del tratamiento, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;

7. a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud de la ley;

8. pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. El encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe la presente Ley.

Artículo 55. Sub Encargado de Tratamiento

El encargado puede suscribir un contrato para subcontratar servicios que impliquen el tratamiento de datos solamente cuando exista una autorización expresa del responsable del tratamiento. En estos casos el subcontratado asume el carácter de encargado en los términos y condiciones previstos en esta Ley. Para el supuesto en que el subcontratado incumpla sus obligaciones y responsabilidades respecto al tratamiento de datos que lleve a cabo conforme a lo estipulado en el contrato, asumirá la calidad de responsable del tratamiento en los términos y condiciones previstos en la presente Ley. Los contratos previstos en este artículo deben estipular el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento de datos, el tipo de datos personales, las categorías de titulares de los datos y las obligaciones y responsabilidades del responsable y encargado del tratamiento.

Una vez cumplida la prestación contractual, los datos personales tratados deben ser destruidos, salvo que medie autorización expresa del responsable del tratamiento cuando razonablemente se pueda presumir la posibilidad de ulteriores encargos.

Artículo 56. Representantes de responsables o encargados del tratamiento no establecidos en Paraguay

Cuando sea de aplicación el artículo 2, inciso b) el responsable o el encargado del tratamiento designará por escrito un representante en la República del Paraguay.

La obligación del presente artículo no será aplicable cuando:

1. el tratamiento sea ocasional, que no incluyan el manejo a gran escala de datos sensibles o de datos personales relativos a condenas e infracciones penales y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o

2. el tratamiento sea realizado por las autoridades o instituciones públicas del extranjero.

El representante estará establecido en el territorio nacional cuando los titulares cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado estén en Paraguay. El responsable o encargado comunicará a la autoridad de control los datos de contacto de su representante. Las notificaciones o intimaciones serán realizadas en el domicilio del representante.

La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado.

TÍTULO VII. TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

Artículo 57. Reglas generales para las transferencias internacionales de datos personales

La transferencia internacional de datos personales se podrá realizar en cualquiera de los siguientes supuestos:

1. El país u organización internacional o supranacional destinatario de los datos personales hubiere sido reconocido con un nivel adecuado de protección de datos personales;

2. El exportador ofrezca garantías apropiadas al tratamiento de los datos personales, en cumplimiento de las condiciones mínimas y suficientes establecidas en esta ley.

En ausencia de una decisión de adecuación o de garantías apropiadas establecidos en el inciso 2), la transferencia se podrá realizar si se cumple una de las condiciones siguientes:

a) La transferencia sea necesaria para la cooperación jurídica internacional entre órganos de inteligencia pública, investigación y enjuiciamiento, de conformidad con los instrumentos del derecho internacional, con las debidas salvaguardas adicionales;

b)  La transferencia se encuentre prevista en esta ley u otras leyes, convenios o tratados internacionales en los que Paraguay sea parte siempre y cuando no sean contrarias a las disposiciones de esta ley;

c) La transferencia sea necesaria, para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios, siempre y cuando dichos fines sean acreditados;

d) La transferencia sea necesaria para proteger la vida o la seguridad física del titular o de un tercero,

e) El titular del dato haya dado su consentimiento expreso, con información previa sobre el carácter internacional de la operación, distinguiéndose claramente de otros fines.

El receptor de los datos personales asume las mismas obligaciones que corresponden al responsable del tratamiento que transfirió los datos personales.

 Artículo 58. Carácter adecuado del país u organismo receptor

El nivel de protección de datos del país extranjero o de la organización internacional o supranacional a que se refiere el inciso 1 del art. 57 de esta Ley, será evaluada por la autoridad de control, a pedido de parte interesada o de oficio, la cual tendrá en cuenta:

a) las normas generales y sectoriales de la legislación vigente en el país de destino o en la organización internacional;

b) la naturaleza de los datos;

c)  observancia de los principios generales de protección de datos personales y derechos de los titulares previstos en esta Ley;

d) la adopción de las medidas de seguridad previstas en los reglamentos;

e) la existencia de garantías judiciales e institucionales para el respeto de los derechos de protección de datos personales; y

f) otras circunstancias específicas relacionadas con la transferencia.

Artículo 59. Transferencias mediante garantías adecuadas

Las garantías adecuadas de conformidad al numeral 2 del artículo 57 podrán ser aportadas, sin que se requiera ninguna autorización expresa de la autoridad de control, por:

a. un instrumento jurídicamente vinculante y exigible entre las autoridades o instituciones públicos;

b. mecanismos de autorregulación vinculantes de conformidad con el artículo 45;

c. cláusulas tipo de protección de datos adoptadas por la autoridad de control

d. un código de conducta aprobado con arreglo al artículo 65, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los titulares de datos, o

e. un mecanismo de certificación aprobado por la autoridad de control, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los titulares de datos.

Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el inciso 2 del artículo 57, podrán igualmente ser aportadas, en particular, mediante:

1. cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional o supranacional, o

2. disposiciones que se incorporen en acuerdos administrativos entre las autoridades o instituciones públicas que incluyan derechos efectivos y exigibles para los titulares de datos.

Artículo 60. Cambios de las garantías

Los cambios en las garantías que se presenten como suficientes para cumplir con los principios generales de protección y los derechos del titular a que se refiere el inciso 2 del art. 57 de esta Ley debe ser comunicada a la autoridad de control.

Artículo 61. Prueba del cumplimiento de las obligaciones en materia de transferencias internacionales

A efectos de demostrar que la transferencia internacional se ha realizado conforme a lo que establece la presente Ley, la carga de la prueba recae, en todos los casos, en el responsable del tratamiento que transfiere.

TÍTULO VIII. AUTORIDAD DE PROTECCIÓN DE DATOS

CAPÍTULO I. AUTORIDAD DE CONTROL

Artículo 62. Naturaleza de la Autoridad de control y supervisión

La Agencia de Protección de Datos Personales es un ente de derecho público y es el organismo encargado del control y cumplimiento de las leyes en materia de protección de datos personales con plena autonomía e independencia en el ejercicio de sus funciones.

Compete a la Agencia de Protección de Datos Personales el ejercicio de acciones ante las autoridades nacionales e internacionales y organismos privados o personas vinculadas a la protección de los datos.

Le corresponde así también la asistencia técnica a cualquier institución que lo solicite para la protección de datos personales.

La autoridad de control deberá contar con los recursos humanos y materiales necesarios para el cumplimiento de sus funciones.

Artículo 63. Nombramiento de Autoridades en materia de protección de datos personales

La Agencia de Datos Personales estará conformada por un Director o una Directora y un Subdirector o una Subdirectora, quienes deberán ser de nacionalidad paraguaya, de 30 (treinta) años cumplidos y deberán contar con antecedentes personales, profesionales y de conocimiento, en particular respecto al ámbito de protección de datos personales, que aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de sus cargos.

No podrá ser nombrado director o directora nacional ninguna persona que sea propietaria, accionista, miembro de la junta directiva, gerente, asesora, representante legal o empleada de una empresa dedicada a la recolección, el almacenamiento y/o procesamiento de datos personales. Dicha prohibición persistirá hasta por dos años después de haber cesado sus funciones o vínculo empresarial. Estará igualmente impedido quien sea cónyuge de una persona que esté en alguno de los supuestos mencionados anteriormente.

Para su elección, el Poder Ejecutivo remitirá a la Cámara de Senadores una lista de (3) tres candidatos a Director o Directora y tres candidatos a Subdirector o Subdirectora, de entre los cuales la Cámara de Senadores elegirá a uno para cada cargo por mayoría absoluta.

Artículo 64. Duración del mandato y remoción de las autoridades

El Director o la Directora y el Subdirector o la Subdirectora durarán 5 (cinco) años en sus cargos, pudiendo ser designados nuevamente. Sólo cesarán por la expiración de su mandato y designación de sus sucesores, o por su remoción en los casos de mal desempeño de sus funciones o la comisión de delitos. Ambos ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a instrucción alguna en su desempeño.

El directora o la directora y el subdirector o subdirectora podrán ser removidos, por faltas graves e irregularidades cometidas en el ejercicio de sus funciones, por las causas siguientes:

 a) El mal desempeño de sus funciones;

b) El desempeño de un empleo, cargo o comisión distinto de lo previsto en esta Ley, excepto la docencia a tiempo parcial.

c) Utilizar en beneficio propio o de terceros la información confidencial de que disponga en razón de su cargo,

d) incapacidad sobrevenida para el ejercicio de su función,

e) condena firme por delito doloso.

En caso de incurrir en las conductas descritas en el párrafo anterior, se aplicarán análogamente las mismas sanciones establecidas en la Ley No 1626/00 “DE LA FUNCIÓN PÚBLICA”.

Artículo 65. Facultades de la Autoridad de Control

La Agencia de Protección de Datos Personales cuenta con suficientes poderes de investigación, supervisión, resolución, promoción, sanción y otros que resulten necesarios para garantizar el efectivo cumplimiento de la presente ley, así como el ejercicio y respeto efectivo del derecho a la protección de datos personales.

La autoridad de control tendrá las siguientes funciones y atribuciones:

a. Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente Ley y de los medios legales de que disponen para la defensa de sus derechos;

b. Dictar las normas y criterios orientadores que se deben observar en el desarrollo de las actividades comprendidas por esta Ley; específicamente, dictar normas administrativas y de procedimiento relativas a las funciones a su cargo, y las normas y procedimientos técnicos relativos al tratamiento de datos y condiciones de seguridad de las bases de datos;

c. Atender los requerimientos y denuncias interpuestos en relación al tratamiento de datos en los términos de la presente Ley;

d. Controlar el cumplimiento de los requisitos y garantías que deben reunir los tratamientos de datos de conformidad con la presente Ley y las normas que dicte la autoridad de control;

e. Solicitar información a las instituciones públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de datos que se le requieran; en estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;

f. Imponer las sanciones administrativas que, en su caso, correspondan por violación a las normas de la presente Ley y de las reglamentaciones que se dicten en su consecuencia;

g. Constituirse en querellante en las acciones penales que se promovieran por violaciones a la presente Ley;

h. Homologar los mecanismos de autorregulación vinculantes y supervisar su cumplimiento con lo dispuesto en el artículo 45;

I.  Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 49,

j.  Solicitar información a los Delegados de Protección de Datos, en los términos de lo previsto en la presente Ley.

k. Promover acciones de cooperación con autoridades de protección de datos personales de otros países, de carácter internacional o transnacional, pudiendo suscribir acuerdos internacionales administrativos y no normativos en la materia;

l. Preparar informes anuales de gestión sobre sus actividades;

m. Asesorar en forma necesaria al Poder Ejecutivo en la consideración de los proyectos de ley que refieran total o parcialmente a la protección de datos personales.

n. Colaborar con el Ministerio de Tecnologías de la Información y Comunicación en las políticas públicas, investigación y en la gestión de seguridad de la información y ciberseguridad sobre las infraestructuras de bases de datos que contengan datos personales para la adecuada protección de los mismos.

Artículo 66:  De las funciones del Director o de la Directora

Le corresponde al Director o la Directora:

1. Representar a la Agencia de Protección de Datos en todos los actos en que ella intervenga,

2. Dirigir las actividades de la institución de conformidad a lo establecido en esta Ley y su reglamentación.

3. Controlar y hacer aplicar la presente ley.

4. Promover la concienciación del público en general y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de sus datos personales; y asesorar al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.

5. Brindar información y tratar las reclamaciones de cualquier titular en relación con el ejercicio de sus derechos en virtud de la presente ley.

6. Desempeñar cualquier otra función relacionada con la protección de los datos personales.

El Director o Directora se abstendrá de cualquier acción que sea incompatible con sus funciones y no participará, mientras dure su mandato, en ninguna actividad profesional que sea incompatible, remunerada o no.

Artículo 67: De las funciones del Subdirector o de la Subdirectora

Al Subdirector o la Subdirectora le corresponde sustituir al Director o Directora en caso de impedimento, ausencia temporal o vacancia definitiva, asumiendo de inmediato todas sus atribuciones, cooperar con la labor de conformidad a esta Ley; y supervisar el funcionamiento de las distintas dependencias de la Agencia de Protección de Datos Personales.

Artículo 68. De los recursos de la Agencia de Protección de Datos Personales

Los recursos financieros de la Agencia de Protección de Datos Personales estarán constituidos por:

1. Los recursos que anualmente le sean destinados en el Presupuesto General de la Nación para el mantenimiento e incremento de sus funciones.

2. Los ingresos provenientes de las multas aplicadas en ejercicio de sus potestades sancionadoras establecidas en esta Ley.

3. Los fondos provenientes de convenios y/o acuerdos, créditos otorgados, préstamos, financiamientos, aportes, donaciones, legados, o de cualquier otro concepto, de origen nacional o internacional, siempre que no implique conflicto de interés.

TÍTULO IX. RECLAMACIONES Y SANCIONES

Artículo 69. Régimen de reclamaciones y de imposición de sanciones

El titular de los datos o su representante legal puede iniciar una reclamación ante la autoridad de control para hacer efectivos sus derechos, así como recurrir a la tutela judicial para ser indemnizado cuando hubiere sufrido daños y perjuicios, como consecuencia de una violación de su derecho a la protección de datos personales conforme a las normas establecidas en la presente ley.

Artículo 70. Procedimiento para la reclamación

La reclamación será presentada por escrito o por medio electrónico, en la plataforma habilitada por la Autoridad de Control y deberá ser respondida por el medio elegido por el solicitante dentro del plazo de 15 (quince) días hábiles.

La autoridad encargada podrá requerir las informaciones a instituciones públicas, privadas y a particulares, que deberán responder dentro del plazo de 15 (quince) días hábiles.

 La solicitud de informe o la realización de diligencias por parte de la Autoridad de Control citado interrumpe el plazo para resolver, que comenzará a correr nuevamente una vez contestado el informe o vencido el plazo para proveer la información.

La solicitud deberá contener una explicación de los antecedentes y hechos que fundamentan el pedido, así como el ofrecimiento de la prueba documental y las demás pruebas necesarias. La Autoridad de Control reglamentará el procedimiento a seguirse.

Artículo 71. Régimen de faltas y sanciones

La Autoridad de Control se encuentra facultada a adoptar las medidas correctivas y sancionar las conductas de las personas físicas y jurídicas que contravengan lo dispuesto en la presente ley.

Artículo 72. Prescripción de sanciones

El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.

La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Artículo 73. Faltas leves

Se consideran faltas leves y prescribirán al año, las siguientes infracciones:

1. Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones técnicas establecidas en el reglamento de aplicación de la presente ley.

2. Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

3. No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

4. El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme a otras leyes de la República del Paraguay y la presente ley o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.

5. La notificación incompleta, tardía o defectuosa a la autoridad de control de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 47 de la presente ley.

6. Negarse injustificadamente a dar acceso a un titular del dato sobre sus datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.

7. La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el artículo 54 de esta ley.

8. No mantener disponibles políticas de protección de datos personales afines al tratamiento de datos personales;

Artículo 74. Faltas graves

Se consideran graves y prescribirán a los dos años, las siguientes infracciones:

1. Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en la presente ley.

2. Reiteración en la negativa injustificada de dar acceso a un titular sobre sus datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.

3. Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

4. El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.

5. No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo.

6. El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

7. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento.

8. La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento.

9. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.

10. El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado, conforme a lo establecido en esta ley.

11. El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en la República del Paraguay, conforme a lo establecido en el artículo 56 de la presente ley.

12. Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito, según lo requerido en el artículo 5 de esta ley.

13. La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.

14. El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.

15. El incumplimiento del deber de notificación a la autoridad de control de una violación de seguridad de los datos personales de conformidad con lo establecido en el artículo 47 de la presente ley.

16. El incumplimiento del deber de comunicación al Titular de una violación de la seguridad de los datos de conformidad con lo previsto en el artículo 48 de la presente ley, si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación.

17. El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.

18. El tratamiento de datos personales sin haber consultado previamente a la autoridad de control en los casos en que la ley establezca la obligación de llevar a cabo esa consulta.

19. El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 52 de esta ley.

20. No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

21. La utilización de un sello o certificación nacional o internacional falso en materia de protección de datos o en caso de que las vigencias de los mismos hubieran expirado.

22. Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

23. El incumplimiento de la obligación de notificación por parte de los responsables o encargados relativa a la rectificación o supresión de datos personales exigida por los artículos 38 y 40 de esta ley.

24. El incumplimiento de los requisitos exigidos por la presente ley en relación a la validez del consentimiento.

25. La omisión del deber de informar al titular acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 36 de esta ley.

26. La exigencia del pago de un canon para el ejercicio de cualquiera de los derechos establecidos en el Título V, Capítulo I de los derechos de los titulares de datos.

Artículo 75. Faltas muy graves

Se consideran muy graves y prescribirán a los tres años, las siguientes infracciones:

1. Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, sin contar con una de las bases legales establecidas en la legislación vigente.

2. Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.

3. Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme a la ley.

4. Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.

5. Transferir, a las bases de datos de terceros países, información de carácter personal de los habitantes paraguayos o de los extranjeros radicados en el país, sin el consentimiento de sus titulares cuando el mismo sea requerido.

6. La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.

7. El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos en el artículo 29.

8. La vulneración del principio de confidencialidad establecido en el artículo 15 de esta ley.

9. La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos y excepciones establecidos en los artículos 57 y 59 de esta ley.

10.          No facilitar el acceso de la autoridad de control a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por esta autoridad para el ejercicio de sus poderes de investigación.

11. La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de control competente.

12. La reversión deliberada de un procedimiento de anonimización o seudonimización a fin de permitir la re-identificación de los titulares.

13. Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin contar con una de las bases legales establecidas en esta ley.

En el numeral 8, el titular del dato que se vea vulnerado por el principio de confidencialidad podrá además accionar en base al artículo 147 de la Ley 1160/97 “Código Penal”.

Artículo 76. Incumplimiento por parte de instituciones públicas

Las sanciones pecuniarias indicadas en este capítulo sólo se aplican a las personas de naturaleza privada. En caso de que la autoridad de control advierta un presunto incumplimiento de las disposiciones de la presente ley por parte de instituciones públicas, actuará de conformidad con el artículo 31.

Artículo 77. Sanciones administrativas

Si se ha incurrido en alguna de las faltas tipificadas en esta ley, se deberá imponer alguna de las siguientes sanciones administrativas, sin perjuicio de las sanciones penales correspondientes:

1. Apercibimiento como primera instancia;

2. Multas:

a. Para las faltas leves, hasta 500 (quinientos) jornales mínimos para actividades diversas no especificadas en la República del Paraguay.

b. Para las faltas graves, hasta 10.000 (diez mil) jornales mínimos para actividades diversas no especificadas en la República del Paraguay.

c. Para las faltas muy graves, hasta 35.000 (treinta y cinco mil) jornales mínimos para actividades diversas no especificadas en la República del Paraguay y la suspensión para el funcionamiento de la base de datos de 1 (uno) a 6 (seis) meses. En caso de reincidencia, podrá decretarse la clausura de la base de datos, sin perjuicio de la aplicación de una nueva multa.

3. Suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de 6 (seis) meses; en el acto de suspensión se indicarán las medidas correctivas que deberán adoptarse;

4. Cierre temporal de las operaciones relacionadas con el tratamiento de datos una vez transcurrido el término de suspensión sin que se hubieren adoptado las medidas correctivas ordenadas por la autoridad de control;

5. Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

Artículo 78: Criterios para las sanciones administrativas

Las sanciones se aplicarán luego de un procedimiento administrativo que permita la oportunidad de una amplia defensa, de manera gradual, aislada o acumulativa, según las peculiaridades del caso específico y considerando los siguientes parámetros y criterios:

A. la gravedad y naturaleza de las infracciones y los derechos personales afectados;

B. la buena fe del infractor;

C. la ventaja obtenida o pretendida por el infractor;

D. el tamaño de la persona jurídica y la situación económica del infractor;

E. reincidencia;

F. el grado de daño;

G. la cooperación del infractor;

H. la adopción reiterada y demostrada de mecanismos y procedimientos internos capaces de minimizar el daño, encaminados al tratamiento seguro y adecuado de los datos;

I. la adopción de una política de buenas prácticas o código de conductas;

J. la pronta adopción de medidas correctivas;

K. la proporcionalidad entre la gravedad de la falta y la intensidad de la sanción.

Artículo 79.- Pago de multas

El monto de las multas deberá ser pagado dentro del plazo de treinta días, contados desde la notificación.

Artículo 80.- Falta de pago de multas

Si la multa no fuera pagada y hubiera resolución firme, la Autoridad de control, podrá demandar judicialmente al infractor por medio de juicio ejecutivo ante el Juzgado de Primera Instancia en lo Civil y Comercial de la capital, acompañando copia de la resolución que aplicó la sanción o de la sentencia ejecutoriada en su caso, la que tendrá por sí sola fuerza ejecutiva.

En este juicio, el demandado no podrá oponer otras excepciones que la de prescripción, la falta de acción, y la de pago total.

Artículo 81.- Intereses por falta de pago de multas

El retardo en el pago de toda multa que aplique la Autoridad de Control, en conformidad a la Ley, devengará los intereses de mercado correspondiente al promedio de la tasa activa.

Si la multa no fuere procedente y no obstante hubiese sido pagada, la Autoridad de Control, o el juzgado respectivo, según corresponda, deberá ordenar se devuelvan las sumas pagadas, con los intereses establecidos por Ley.

Artículo 82.- Prescripción de la acción de cobro de multa

La acción de cobro de una multa prescribe en el plazo de 5 (cinco) años, contados desde que se hizo exigible.

TÍTULO X. RECURSOS

Artículo 83.- Recurso de reconsideración

Todo recurso de reconsideración contra una resolución o acto administrativo de carácter no reglamentario por parte de la Autoridad de Control, deberá agotarse en la instancia administrativa. Posterior a esto, estará sujeto al control jurisdiccional ante el Tribunal de Cuentas.

Artículo 84.- Contenido y forma de presentación

La reconsideración se formulará por escrito y contendrá en forma clara y precisa los hechos y el derecho en que se fundamenta. El plazo para su interposición será de cinco días hábiles, contados a partir de la notificación de la resolución.

La Autoridad de Control dispondrá de cinco días hábiles para resolver el recurso de reconsideración, transcurridos los cuales, sin que medie resolución, se entenderá que rechaza el recurso. La interposición del recurso de reconsideración suspenderá el plazo para recurrir ante el Tribunal de Cuentas.

Artículo 85.- Acción contencioso-administrativo

La acción contencioso-administrativo deberá interponerse ante el Tribunal de Cuentas, dentro del plazo de 18 (dieciocho) días hábiles, contados desde la notificación del acto recurrido.

El recurso de reconsideración y la acción contencioso-administrativo, tendrán efecto suspensivo para la aplicación de multas.

XI. DISPOSICIONES FINALES

Artículo 86. Disposiciones finales

La presente Ley entrará en vigencia luego de transcurridos 12 (doce) meses de su publicación oficial.

Artículo 87. Reglamentación

El Poder Ejecutivo reglamentará la presente Ley en un plazo máximo de 90 (noventa) días desde su publicación oficial.

Artículo 88. Comuníquese al Poder Ejecutivo

09May/21

Proyecto de Ley. Reforma integral a la Ley de Protección de la Personal frente al Tratamiento de su Datos Personales, 12 febrero 2021

Proyecto de Ley. Reforma integral a la Ley de Protección de la Personal frente al Tratamiento de su Datos Personales. Expediente nº 22.388. (Diario Oficial La Gaceta, año CXLLL, nº 30 (alcance 33 a la Gaceta 30), San José, Costa Rica, viernes 12 de febrero de 2021).

ASAMBLEA LEGISLATIVA. PROYECTO DE LEY COSTA RICA

REFORMA INTEGRAL A LA LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES. Expediente n° 22.388

La “Era de los Datos” plantea un gran reto para los Derechos Humanos así como para los Congresos del mundo entero. La llegada de diversas innovaciones tecnológicas en el análisis, recopilación y procesamiento de datos, así como varias coyunturas globales de reciente data, han puesto en relieve la necesidad de crear marcos normativos mucho más robustos en lo que se refiere al tratamiento de datos personales.

En 2016, Dominic Cummings, director de la campaña Leave EU -a favor de la salida de Reino Unido de la Unión Europea-, presentó al hoy Primer Ministro británico, Boris Johnson, una novedosa estrategia para ganar el referéndum conocido como Brexit. La estrategia consistía en usar los datos personales que los votantes entregan en sus redes sociales para crear perfiles psicosociales, y con ellos definir mensajes personalizados que permitieran inducir el voto.

Esa propuesta llegó al director de campaña de manos de la empresa AggregateIQ, aliada de la mundialmente conocida Cambridge Analytica (CA). Como se demostró en el Parlamento Británico posteriormente, CA participó en la campaña, y aportó los datos de los votantes y el software que generó los perfiles y la campaña personalizada. Por medio de los perfiles psicosociales, se dividió a los votantes en descartables, seguros, y potenciales. Para este último grupo, se trabajaron mensajes altamente personalizados basados en sus preocupaciones, en gran medida noticias falsas que alimentaban sus temores y desinformación.

Ese software también permitió identificar a aquellas personas desinteresadas en la política: quienes desde hace mucho tiempo no votaban o nunca habían votado en ningún proceso. Miles de estos votantes se encontraban en poblados alejados de los grandes centros de población, habiendo sido excluidos del proceso democrático, y también desplazados por los procesos de gentrificación (Harvey, 2013). Dicho grupo recibió por primera vez en mucho tiempo la visita de políticos que prometían empleo, seguridad social y vivienda… si el Reino Unido abandonaba la Unión Europea. Ese nivel de precisión -incluso fuera de las redes sociales- permiten las campañas de microtargeting basadas en datos personales.

Cambridge Analytica estuvo en el centro del escándalo desde marzo de 2018, cuando los diarios The Guardian, The New York Times y The Observer, revelaron que la consultora política accedió a los datos personales de 50 millones de usuarios de Facebook sin su autorización, y que fueron usados por la campaña del expresidente de los Estados Unidos, Donald Trump, con una estrategia digital prácticamente idéntica a la ejecutada en el Brexit (Graham y Cadwalladr, 2019). En este caso el énfasis también estuvo en la política migratoria y en divulgar noticias falsas sobre la candidata demócrata, Hillary Clinton.

La revelación la hizo uno de los creadores del sistema, Christopher Wylie, quien relató que los datos surgieron de un test de personalidad desarrollado por el profesor de la Universidad de Cambridge, Aleksandr Kogan, que, como muchas aplicaciones, requería a los usuarios iniciar sesión en Facebook y otorgar algunos permisos de acceso. 270 mil personas hicieron el test, sin saber que al hacerlo estaban autorizando a la aplicación recopilar toda su información y la de todos sus amigos de la red social, sumando alrededor de 87 millones de personas. Tampoco sabían que esa información iba a ser vendida a CA por 800 mil dólares.

El ex empleado de CA también reveló que Facebook supo lo que estaba pasando con los datos de sus usuarios muchos meses antes de que fuera divulgado por los medios de comunicación. Fue hasta después del escándalo, y de que las acciones de la red social tuvieran una millonaria caída, que su fundador y CEO, Mark Zuckerberg, reconoció públicamente los fallos en la seguridad (BBC Mundo, 2018).

Después de diversas investigaciones, Cambridge Analytica cerró, mientras Facebook siguió en el foco de atención por sus problemas de seguridad y el uso de los datos de sus usuarios. Tiempo después, la Comisión Federal de Comercio de Estados Unidos ordenó a la red social a pagar US$5.000 millones como sanción por las malas prácticas en el manejo de la seguridad de los datos de los usuarios. En Reino Unido, la red social fue condenada a pagar una multa de 500.000 libras (US $600.000) ante la Oficina del Comisionado de Información del Reino Unido por el mismo caso. La Resolución del Parlamento Europeo contra Facebook, del 25 de octubre de 2018, confirmó que se utilizaron datos personales de forma irregular por parte de Cambridge Analytica, dentro de los que se encontraban los datos de 2,7 millones de ciudadanos de la Unión.

Una visión de derechos humanos y centrada en las personas

Toda esta coyuntura profundizó las discusiones relacionadas al uso de los datos en el ámbito político-democrático, así como a los cambios que debían realizarse en las legislaciones del mundo. Como es evidente, las redes sociales están en el centro de tales debates.

Ciertamente, cada vez cobra más relevancia este tema entre una mayoría de la población; prueba de ello es la reciente migración masiva de la red de mensajería WhatsApp hacia otros servicios como Signal o Telegram (en el caso de Telegram, llegando a reportar 8 millones de personas usuarias nuevas por día a mediados de enero), debido a cambios en los términos y las condiciones de uso de WhatsApp, vinculados a cómo se usarían los datos y metadatos de sus usuarios (Sanz, 2021).

A pesar de esa creciente conciencia, coyunturas como las de Cambridge Analytica dejan claro que las empresas que lucran con los datos se aprovecharon de varios elementos claves: que las personas usuarias con su “permiso”, daban acceso a casi la totalidad de los datos colocados en sus perfiles así como a datos sobre su uso e interacción; que tales permisos acarreaban una falta de control sobre sus datos (una especie de “no retorno”) y que esencialmente las personas utilizan dichas redes para generar reacciones (likes) exponiendo su vida personal, y compartiendo información que provoque autosatisfacción, lo que permite conocer con gran precisión el perfil psicológico de esas personas de forma masiva.

“El acto de compartir noticias e información en redes sociales tiene que ver con la emoción que nos genera el contenido y que queremos socializar con el resto de las personas. Así, nos damos cuenta de que las redes sociales más que ser espacios de aislamiento social, son todo lo contrario: una proyección de nosotros mismos y un lugar donde queremos compartir no solo información, sino también emociones” (Valenzuela y Arriagada, 2016).

Este es precisamente el gran valor que hay en los datos personales en redes sociales: al haber tantísima información, tienen el potencial de identificar muy precisamente las necesidades, los miedos, los intereses de las personas y de incluso predecir los comportamientos, no solo en aspectos eminentemente comerciales o de consumo, sino en términos políticos. “La psicopolítica digital es capaz de llegar a procesos psíquicos de manera prospectiva. Es quizá mucho más rápida que la voluntad libre. Puede adelantarla. La capacidad de prospección de la psicopolítica digital significaría el fin de la libertad” (Hans y Bergés, 2014).

En este sentido, el abordaje de este gran reto debe hacerse desde el enfoque de los derechos humanos y debe comprender el valor que tiene para la robustez de las sociedades democráticas. Los marcos normativos deben tener como prioridad y centro a la persona, de forma que se garantice su autonomía y su autodeterminación alrededor de cómo se usa la información y la data que genera su vida, su interacción social, su interacción digital.

Estos marcos deben estar centrados en el usuario y enfocarse en amparar y fortalecer los derechos, al tiempo que proporcionen reglas claras y predecibles para que las cumplan las entidades públicas y privadas.” (AccessNow, 2018) Es decir, si bien los casos de mayor conocimiento público global -como los descritos arriba- han estado relacionados a empresas del sector privado, al enfocar la discusión sobre la actualización de la normativa desde las personas, les protege también ante los Estados y las instituciones públicas, evitando así usos abusivos de la información y brindando un marco de garantías más firme para la defensa de sus derechos.

“Asimismo, y como se ha podido observar a partir de los escándalos recientes que involucran a empresas del sector privado intensivas en el uso de datos, es necesario evitar que, sin contar con la experiencia necesaria, los gobiernos caigan en la tentación de desarrollar sistemas que utilicen los datos de los ciudadanos sin que incorporen paralelamente un enfoque ético y responsable desde su diseño que asegure cuestiones básicas como la privacidad o el consentimiento. Lo que aquí está en juego no es otra cosa que sentar las bases para un nuevo contrato social que permita una utilización masiva y responsable de los datos por parte de las entidades gubernamentales para proporcionar mejores servicios sociales, al tiempo que se mantiene la confianza de los ciudadanos en que los gobiernos gestionen sus datos de manera responsable.” (BID, 2019)

Datos sin protección: el reto de actualizar la normativa

Si bien ya en la década de los noventa muchos países del mundo contaban con leyes para la protección de los datos personales de sus ciudadanos, esas normativas no contemplaron un contexto como el descrito anteriormente: la era del Big Data y el desarrollo de tecnologías que tienden a que las personas pierdan el control y algunas veces hasta prácticamente la propiedad, sobre sus datos.

Costa Rica, en definitiva, no escapa a este panorama. El país cuenta con una Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales aprobada en 2011 -cuya discusión legislativa se remonta a inicios de los 2000-, que establece regulaciones para el manejo y procesamiento de datos sensibles en las bases de instituciones públicas y empresas, y que fue considerada de avanzada al momento de su creación. Sin embargo, carece de varios conceptos actuales, lo que le da un alcance relativamente limitado para tutelar correctamente los derechos de la ciudadanía en la era de la información y las nuevas tecnologías de recolección y procesamiento de datos.

El informe “Cyber Troops Country Profile: Costa Rica”, de Simone Bunse (2021), ha dejado ver que si bien en la actualidad las tácticas digitales para esparcir desinformación y propaganda electoral carecen de alta sofisticación, el uso de redes sociales con estos fines se acrecienta, ya se ha probado la contratación y el uso de servicios en el extranjero con estos fines, y es probable que su uso pueda acrecentarse y normalizarse en un futuro no muy lejano.

Por otro lado, también existen falencias y debilidades a nivel institucional -varias de ellas originadas en la ley- que no han permitido a la Autoridad Nacional de Protección de datos, la Prodhab, para hacer cumplir la ley actual y por tanto también deben subsanarse.

El Reglamento General de Protección de Datos de la Unión Europea: un referente global

El derecho a la protección de los datos personales está relacionado con el derecho a la privacidad, pero sus alcances son distintos. Más de 160 países consagran el derecho a la privacidad en sus constituciones, pero el entendimiento de lo que implica varía de un país a otro. Los estados miembros de la Unión Europea representan una excepción en este sentido, ya que reconocieron la protección de datos como un derecho fundamental en la Carta de 2001 de la UE.

La normativa que ha desarrollado la Unión Europea en materia de protección de datos ha servido de referente en para el resto del mundo, aunque ciertamente desde su aprobación también se han encontrado diversas oportunidades de mejora. En 2016, entró en vigor el Reglamento General de Protección de Datos (RGPD) y fue de aplicación en 2018. Una de sus virtudes fue el desarrollo de principios claros bajo los cuales debe realizarse cualquier tratamiento de datos personales, comprendiendo así que más allá de la tecnología utilizada o los términos en que se acordó el tratamiento de los datos en particular, los fundamentos desde los que se realiza dicho tratamiento deberían ser siempre la mismos.

Principio                                                             Resumen

Limitación del fin                            El tratamiento debe estar limitado a los fines legítimos para los cuales los datos personales fueron recogidos originalmente.

Minimización de datos                   Al momento de recoger datos, sólo se pueden solicitar los datos personales absolutamente necesarios para el fin legítimo acordado con la persona titular.

Exactitud                                         Los datos personales de los interesados deben ser siempre precisos y estar actualizados.

Integridad y confidencialidad       Los datos personales deben ser tratados de forma que se garantice la seguridad apropiada, incluyendo protección contra el tratamiento no autorizado o ilegal.

Limitación del almacenamiento   Los datos solo deben ser conservados mientras sea necesario. Es decir, deben de ser eliminados una vez se haya cumplido el fin legítimo para se recogieron.

Lealtad y transparencia               Las empresas no deben realizar tratamientos que no sean legítimos, es decir, deben ser leales hacia las personas titulares con respecto a la ley. Además, las empresas deben ser transparentes con respecto al tratamiento, e informar a la persona interesada de manera abierta y transparente.

Cuadro 1. Principios para el tratamiento de datos personales en el RGPD. Basado en el RGPD de la Unión Europea y Bhatia, P. (2018).

Asimismo, otro de los desarrollos conceptualmente interesantes del RGPD fueron las categorías de derechos, los cuales se plantearon bajo el mismo paradigma de procurar que, más allá de una tecnología o tipo de uso concreto, las personas usuarias puedan ejercer esos derechos en toda circunstancia, de manera que, además de ser derechos vinculantes para todo tratamiento de datos personales, deben ser de acceso gratuito y de aplicación permanente.

Derecho                                                              Resumen

Derecho de acceso                       Habilita a los usuarios a obtener confirmación de los servicios y compañías con respecto a la posible recopilación y procesamiento de sus datos personales. Los usuarios deben tener acceso a los datos y el propósito del procesamiento.

Derecho de oposición                 Permite a los usuarios a rehusarse al procesamiento de su información personal cuando no hayan prestado su consentimiento o no hayan firmado un contrato.

Derecho de supresión                 Permite que los usuarios soliciten la eliminación de todos sus datos personales cuando dejan un servicio o aplicación.

Derecho de rectificación             Permite que los usuarios soliciten la modificación de información errónea.

Derecho a la información            Garantiza que los usuarios reciban información clara y entendible por parte de las entidades que procesan sus datos, ya sea que estas entidades los recopilaron de manera directa o a través de terceros. Toda la información provista al usuario debe ser concisa, comprensible, y de fácil acceso.

Derecho a la explicación             Motiva a los usuarios a obtener información sobre el tratamiento de datos personales automatizado y sus consecuencias. Este derecho es esencial para conocer el uso de algoritmos que tienen un impacto en la vida de los usuarios.

Derecho a la portabilidad            Permite que los usuarios movilicen datos personales que han compartido de una plataforma a otra que ofrezca servicios similares.

Cuadro 2. Derechos para el tratamiento de datos personales en el RGPD. Basado en el RGPD de la Unión Europea.

La lista, que no es exhaustiva, permite ver las diversas dimensiones en que debe tutelarse la autodeterminación informativa de la ciudadanía y, además que estamos ante un ámbito que requiere de mucha precisión y visión al confeccionar normativa, al tratarse de conceptos jurídicos que aplican a situaciones altamente cambiantes, con muchas posibles vulnerabilidades para la integridad de las personas.

Legislación consultada sobre protección de datos personales

Como parte de la construcción de esta propuesta, se analizaron diferentes legislaciones, junto al RGPD, para incorporar otros aspectos en que había oportunidades de mejora. Entre las legislaciones consultadas están las siguientes:

Jurisdicción                       Nombre de la norma                                                                    Año                  

Argentina                           Proyecto de Ley de Protección de Datos  Personales                 Presentación: 2017

Brasil                                 Ley General de Protección de Datos Personales (LGPD)           Aprobación: 2018 Vigencia: 2020

Canadá                              Proyecto de Reforma a la Ley de Privacidad (Privacy Act)           Presentación: 2020

Nueva Zelanda                  Privacy Act                                                                         Vigencia: 2020

Ecuador                             Proyecto de Ley Orgánica de Protección de Datos                       Presentación: 2019

Estado de California,

Estados Unidos                 Ley de Privacidad para el Consumidor del Estado de California    Vigencia: 2018

Estado de California,

Estados Unidos                 Ley de Derechos de Privacidad

del Estado de California                                                               Vigencia: 2020

Unión Europea

(Parlamento y Consejo

Europeo)                            Reglamento General de Protección de Datos      Aprobación: 2016 Vigencia: 2018

Protección de Datos en América Latina

En cuanto a la legislación consultada en América Latina, conviene destacar, una legislación de reciente aprobación, la Ley General de Protección de Datos Personales de Brasil (LGPD), que entró en vigor en 2020, después de su aprobación en 2018 y dos años de vacancia. Si bien en términos de los principios y derechos que se explicaron, así como sus sanciones, usa un marco similar al RGPD, se encuentran algunas diferencias que son interesantes de destacar:

– Incorporó medidas mucho más restrictivas para el tratamiento de datos de personas menores de edad, en particular para la obtención del consentimiento informado. La edad debajo de la cual aplican estas restricciones son los 18 años (en el RGPD, esto es hasta los 16) y la información que recibe la persona titular tiene requisitos más específicos sobre su claridad, explicación del tratamiento, e inclusive el formato.

– Las sanciones a empresas fueron relativizadas al contexto brasileño, reduciendo los porcentajes a 2% de la facturación, mientras que en el RGPD este porcentaje llega hasta a 8% en algunos casos.

– En el tema de notificación de brechas de seguridad, la LGPD tiene plazos de notificación menos severos y específicos que el RGPD.

– En el tema de transferencia transfronteriza de datos, disminuyó las excepciones con las que cuenta el RGPD para validar la transferencia de un tercer país a la jurisdicción brasileña, dando como resultado un marco más estricto.

Este marco jurídico de protección de datos personales se considera uno de los más de avanzada en la región, siendo que cumple con los estándares más innovadores e incorpora temas novedosos, como el marco de protección de derechos de personas menores de edad y se adapta a la realidad jurídica e institucional brasileña.

Sin haber conseguido su aprobación aún, existen otros esfuerzos en América Latina orientados a actualizar las normas a estándares más innovadores de protección de datos personales. Uno de ellos es el proyecto de ley de protección de datos en Argentina, que, a grandes rasgos, utiliza la base de principios (en su capítulo 2) y derechos (en su capítulo 3) del RGPD de la UE. La iniciativa presentaba puntos de discusión álgidos como las excepciones al consentimiento por motivaciones de “seguridad nacional” muy abiertas o justificaciones difusas para evitar notificar a las personas usuarias sobre el tratamiento de sus datos, así como la poca independencia que tendría la autoridad de control de protección de datos personales (Pisanu, 2018), sin embargo, se ha procurado corregirlas en versiones recientes del proyecto de Ley.

Otro proyecto que resulta de interés mencionar es el Proyecto de Ley de Orgánica de Protección de datos personales del Ecuador, que tiene como fin adecuar sus normas a los estándares europeos, motivados también por aspectos de comercio internacional, siendo que dicho país actualmente no cuenta con un marco regulatorio específico para la Protección de Datos Personales: “al no tener normativa amparada por un ente controlador especializado en la materia, no le es posible al país ofrecer un nivel adecuado de protección, lo que desalienta el comercio y genera que se prefieran destinos como Colombia, Perú y los demás países suscriptores del acuerdo, que sí cuentan con Ley de Protección de Datos Personales”.

La orientación hacia la persona usuaria del proyecto de ley se puede observar en los principios que rigen el tratamiento (Capítulo II), los derechos que le asisten a las personas titulares de los datos (Capítulo III) y la especificidad de las normas de garantías para la seguridad y el tratamiento de los datos, así como las exigencias de responsabilidad proactiva que exigiría a las empresas y entidades que realicen algún tipo de tratamiento de datos personales.

Estas son legislaciones e iniciativas de la región que buscan ubicarse a la vanguardia de los estándares de protección de datos a nivel global, partiendo de los principios y derechos protegidos por la normativa europea, pero adaptándola a los contextos latinoamericanos y solventando oportunidades de mejora detectadas en el propio RGPD. Es en esta línea que se ha trabajado la presente propuesta legislativa.

La ley 8968: ¿cuáles son sus áreas de mejora?

Como se ha señalado, la Ley de Protección de Datos Personales que esta propuesta pretende remozar fue una legislación de avanzada en el momento de su aprobación, en 2011. Sin embargo, las primeras discusiones legislativas (que dan base a dicha legislación) datan de 2003. Esto, sumado al vertiginoso cambio tecnológico alrededor del tratamiento de datos personales -el cual hemos buscado sintetizar a lo largo de esta exposición de motivos-, definitivamente ha modificado las bases sobre las cuales una legislación robusta debería estar asentada.

Partiendo del contexto descrito, los referentes que se han analizado y la realidad institucional y nacional sobre protección de datos personales, se recogen a continuación los principales aspectos en los que se considera que la legislación costarricense tiene oportunidades de mejora.

1) Actualización de conceptos base utilizados en la legislación. Las nociones básicas a las cuales hace referencia la Ley vigente han sido superados en muchos casos. En algunas ocasiones, esto implicaría remozar conceptos ya empleados; en otras, añadir concepciones inexistentes en la legislación. Buenos ejemplos de esto son conceptos como “datos biométricos”, “datos genéticos” o “seudonimización”.

2) Desarrollo de los principios que rigen el tratamiento de datos personales, así como de los derechos que le asisten a las personas titulares. Teniendo como referente el RGPD de la Unión Europea, es evidente que los principios explicitados en la Ley nº 8968 son limitados y no generan un marco robusto para el tratamiento de datos en el país. Principios como la lealtad, la transparencia, la minimización de datos o la finalidad o conservación limitada son ejemplos de ello. Asimismo, los derechos que le asisten a la persona tienen múltiples áreas de mejora, en casos como el derecho de oposición, limitación del tratamiento, supresión, o la portabilidad.

3) Limitación tajante de las excepciones a la autodeterminación informativa de la persona interesada, y clarificación de las excepciones al consentimiento informado. Una de las áreas más relevantes de mejorar. Las excepciones a la autodeterminación informativa en la Ley vigente son excesivamente amplias y riesgosas para la ciudadanía, pues abren muchísimas posibilidades de disminuir la totalidad de garantías (y no solo el consentimiento informado) establecidas en la Ley, lo cual es urgente de limitar únicamente a casos determinados por Ley o por vía judicial. Por otro lado, las excepciones al consentimiento informado de la persona interesada, deben ser clarificados y establecidos de manera específica, cerrando el lugar a interpretación en la normativa.

4) Fortalecimiento institucional de la Autoridad Nacional, la Prodhab. Este fortalecimiento va en dos sentidos:

a) Dotar de independencia de criterio al órgano, mediante su traslado a un ámbito de la administración pública menos sujeta a determinaciones políticas coyunturales y

b) Robustecer presupuestariamente a la Prodhab a través de nuevos mecanismos de ingreso y una mayor flexibilidad en el uso de los recursos recaudados por cánones y multas.

5) Fortalecimiento de las garantías para la seguridad y la confidencialidad.

Implementar nuevas y mejores medidas preventivas, especialmente para tratamientos de datos de mayor riesgo. Entre los mecanismos que se podrían utilizar están robustecer los protocolos de actuación, los estudios de impacto o el requerimiento de una persona delegada de datos.

6) Fortalecimiento del esquema de sanciones. Actualización del esquema de sanciones de manera que esté acorde con la realidad económica del mercado de datos en la actualidad, bajo la premisa de que no sea más “rentable” para un ente responsable de tratamiento de datos, pagar multas que cumplir la ley.

7) Desarrollo de bases claras para la transferencia transfronteriza de datos. Establecer reglas nuevas bajo las cuales la Autoridad Nacional pueda determinar cuando es posible y válido realizar una transferencia de datos a otra jurisdicción, resguardando la integridad de los datos de las personas titulares de los mismos.

Respondiendo a las consideraciones de fortalecimiento de la Ley nº 8968, Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales arriba detalladas y con base en las consideraciones previamente expuestas, sometemos a su consideración la presente iniciativa de ley.

Bibliografía

AccessNow.org. (2018). La Creación de un Marco para la Protección de Datos: una guía para los Legisladores sobre qué hacer y qué no. https://www.accessnow.org/cms/assets/uploads/2018/04/manual-de-proteccion-de-datos.pdf

BBC Mundo. (2018, 21 marzo). Cambridge Analytica: Mark Zuckerberg reconoce que Facebook cometió errores en medio del peor escándalo que ha enfrentado la red social. de https://www.bbc.com/mundo/noticias-43484188

Bunse, S. (2021) Global Cyber Troops Country Profile: Costa Rica. LEAD University& Georgetown University. https://comprop.oii.ox.ac.uk/wp-content/uploads/sites/127/2021/01/Cyber-Troop-Costa-Rica-2020.pdf

Banco Interamericano de Desarrollo, BID. (2019). LA GESTIÓN ÉTICA DE LOS DATOS: Por qué importa y cómo hacer un uso justo de los datos en un mundo digital. https://publications.iadb.org/publications/spanish/document/La_Gesti%C3%B3n_%C3%89tica_de_los_Datos.pdf

Hans, B. C., & Bergés, A. (2014). Psicopolítica: neoliberalismo y nuevas técnicas de poder. Barcelona, España: Herder.

Harvey, D. (2013). Ciudades rebeldes. Tres Cantos: Akal.Graham-Harrison, E., & Cadwalladr, C. (2019, 21 junio). Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach. https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election

Presidência da República, Brasil. (2019). Lei Geral de Proteção de Dados Pessoais (LGPD). https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm

Valenzuela, S. & Arriagada, A. (2016). Viralizando la emoción y por qué la compartimos online. En A. Arriagada (ed.). El mundo en mi mano: La revolución de los datos móviles. Santiago: Fundación País Digital.

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

REFORMA INTEGRAL A LA LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES

ARTÍCULO ÚNICO- Se reforma integralmente la Ley n° 8968, Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales del 5 de setiembre de 2011, que en lo sucesivo dirá:

“LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES

CAPÍTULO I. DISPOSICIONES GENERALES

SECCIÓN ÚNICA

ARTÍCULO 1.- Objetivo y fin

Esta ley es de orden público y tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su autonomía personal con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona.

ARTÍCULO 2.- Ámbito de aplicación material

Esta ley será de aplicación al tratamiento de los datos personales, incluyendo la recopilación, el uso, la retención y análisis, por organismos públicos o privados.

El régimen de protección de los datos de carácter personal que se establece en esta ley no será de aplicación a las bases de datos mantenidas por personas físicas, siempre y cuando estas sean utilizadas con fines exclusivamente personales o domésticos y no sean vendidas o de cualquier otra manera comercializadas, incluyendo fines de prospección.

ARTÍCULO 3.- Ámbito de aplicación territorial

Esta ley se aplica en cualquiera de las siguientes circunstancias:

a) Cuando haya tratamiento de datos personales recopilados en territorio costarricense en el contexto de las actividades propias del responsable de la base de datos, independientemente de que dicho tratamiento tenga lugar en Costa Rica o no.

b) Cuando haya tratamiento de datos de personas que residan en la República de Costa Rica por parte de un responsable no establecido en el territorio costarricense, independientemente de si a las personas interesadas se les requiere su pago o no.

ARTÍCULO 4.- Definiciones

Para los efectos de la presente ley se define lo siguiente:

a) Base de datos: cualquier clase de fichero, que sea objeto de tratamiento o procesamiento, automatizado o manuales, cualquiera que sea la modalidad de su elaboración, organización o acceso.

b) Datos personales: toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

c) Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

d) Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

e) Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

f) Fuentes de acceso público: Bases de datos que pueden ser consultadas por cualquier persona física o jurídica, pública o privada, nacional o internacional cuyo acceso no se encuentre limitado por la normativa vigente o disposición de la Autoridad de Protección de Datos Personales

g) Datos sensibles: Datos relativos a etnia, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, identidad de género, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos humanos o la dignidad e integridad de las personas. Los metadatos que identifiquen o hagan identificable a un ser humano, también formarán parte de este concepto, en la medida en que puedan dar origen a discriminaciones o vulneraciones de derechos humanos, y estarán definidos vía reglamentaria. Igualmente, por vía reglamentaria, la Autoridad de Protección de Datos Personales podrá determinar otras categorías de datos sensibles que no estén expresamente enumeradas en el listado de este inciso.

h) Datos de acceso restringido: todos los datos personales privados que no se consideren sensibles. Son de interés únicamente para su titular o para la Administración Pública. No son de acceso irrestricto independientemente de si forman o no parte de fuentes de acceso público o se encuentran en bases de datos de la Administración Pública.

i) Datos de acceso irrestricto: datos de acceso general, contenidos en bases de datos públicas, según dispongan leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados.

j) Deber de confidencialidad: obligación de los responsables del tratamiento de datos, personal a su cargo y del personal de la Agencia de Protección de Datos de los Habitantes (Prodhab), de guardar la confidencialidad con ocasión del ejercicio de las facultades dadas por esta ley, principalmente cuando se acceda a información sobre datos personales y sensibles. Esta obligación perdurará aún después de finalizada la relación con la base de datos.

k) Encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

l) Fichero: todo conjunto estructurado de datos personales, manual o automatizado, accesible con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

m) Persona interesada: persona física titular de los datos que sean objeto del tratamiento, total o parcialmente automatizado o manual.

n) Responsable: persona física o jurídica, sea pública o privada, que administre, gerencie o se encargue de una base de datos, quién es competente para señalar, con arreglo a la ley, cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrarse y qué tipo de tratamiento se les aplicarán.

o) Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a la persona interesada sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

p) Tratamiento o procesamiento de datos personales: cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos total o parcialmente automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.

q) Grupo de interés económico: agrupación de sociedades que se manifiesta mediante una unidad de decisión, es decir, la reunión de todos los elementos de mando o dirección empresarial por medio de un centro de operaciones, y se exterioriza mediante dos movimientos básicos: el criterio de unidad de dirección, ya sea por subordinación o por colaboración entre empresas, o el criterio de dependencia económica de las sociedades que se agrupan, sin importar que la personalidad jurídica de las sociedades se vea afectada, o que su patrimonio sea objeto de transferencia, independientemente de su domicilio y razón social. Cuando la PRODHAB lo requiera la condición de grupo de interés económico podrá ser demostrada por medio de una declaración jurada protocolizada o documento legal equivalente de la jurisdicción del titular de la base de datos sin perjuicio de las facultades de investigación de la PRODHAB.

CAPÍTULO II. PRINCIPIOS Y DERECHOS PARA LA PROTECCIÓN DE DATOS PERSONALES

SECCIÓN I. PRINCIPIOS QUE RIGEN EL TRATAMIENTO DE DATOS PERSONALES

ARTÍCULO 5.- Principio de lealtad y legalidad

Los datos personales deben ser procesados de manera justa y en apego a los límites de esta ley y el marco normativo vigente. Toda información deberá ser procesada con una base jurídica lícita, con un propósito definido, y de una manera justa y transparente. Las personas usuarias deberán ser informadas pertinentemente sobre cómo se recopilarán, usarán o almacenarán sus datos y quién lo hará.

ARTÍCULO 6- Principio de transparencia de la información

El responsable del tratamiento tomará las medidas oportunas para facilitar a la persona interesada todas las informaciones indicadas en esta Ley, así como cualquier comunicación relativa al tratamiento de datos personales, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a la población infantil.

La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite la persona interesada, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

ARTÍCULO 7.- Principio de finalidad y conservación limitadas

Los datos personales deberán ser recopilados y procesados sólo para fines determinados, explícitos y legítimos. El propósito para el que se procesan dichos datos debe ser explícito y no deberán ser conservados por más tiempo que el necesario para cumplir con ese fin. Los datos no deben ser procesados de una manera que sea incompatible con dicho propósito.

No se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando se establezcan las garantías oportunas para salvaguardar los derechos contemplados en esta ley.

ARTÍCULO 8.- Principio de minimización de datos

Los datos personales procesados y recopilados deben limitarse a ser suficientes, pertinentes y no excesivos en relación con el propósito específico y definido previamente.

ARTÍCULO 9.- Principio de calidad de la información

Solo podrán ser recolectados, almacenados o empleados datos de carácter personal para su tratamiento total o parcialmente automatizado o manual, cuando tales datos sean actuales, veraces, exactos y adecuados al fin para el que fueron recolectados. Los usuarios deben tener el derecho a eliminar, rectificar, y corregir su información personal, la cual debe cumplir con las siguientes características:

a) Actualidad: Los datos de carácter personal deberán ser actuales. El responsable de las bases de datos eliminará los datos que hayan dejado de ser pertinentes o necesarios, en razón de la finalidad para la cual fueron recibidos y registrados. En caso de que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados de su titular.

b) Veracidad: Los datos de carácter personal deberán ser veraces. La persona responsable de la base de datos está obligada a modificar o suprimir los datos que falten a la verdad.

c) Exactitud: Los datos de carácter personal deberán ser exactos. La persona responsable de la base de datos tomará las medidas necesarias para que los datos inexactos -del todo o en parte- o incompletos sean suprimidos de la base de datos o sustituidos por los correspondientes datos rectificados, actualizados o complementados, respetando los fines para los que fueron recogidos o tratados.

ARTÍCULO 10.- Principio de integridad y confidencialidad

Los datos personales deben ser procesados de manera que se garantice la seguridad e indemnidad de los mismos, así como la protección contra el tratamiento no autorizado o ilegítimo y contra la pérdida accidental, destrucción o daños de los datos. Para todo ello, se tomarán las medidas técnicas y organizacionales pertinentes que eviten vulnerabilidades en el acceso a dicha información.

ARTÍCULO 11.- Principio de gratuidad

Se establece el principio de gratuidad en el ejercicio de los derechos tutelados por la presente ley, para la persona que posea la titularidad de los datos personales o en el caso de la persona menor de edad, para su representante legal.

SECCIÓN II. DERECHOS DE LA PERSONA ANTE EL TRATAMIENTO DE SUS DATOS PERSONALES

ARTÍCULO 12.- Autodeterminación informativa

Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta ley.

Se reconoce la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones y datos concernientes a cada persona, cuya titularidad sobre los datos es exclusiva e irrenunciable. Este derecho es la manifestación de la protección a la intimidad, en el ámbito del tratamiento de datos personales, evitando que se propicien acciones discriminatorias o usos inadecuados de los mismos.

ARTÍCULO 13.- Consentimiento informado

Cuando se soliciten datos de carácter personal, la persona titular de los datos tiene derecho a ser informada de modo expreso, preciso e inequívoco de la posible recopilación y procesamiento de sus datos personales, como mínimo sobre los siguientes aspectos:

a) La existencia de una base de datos personales.

b) Las categorías de datos personales contenidas en la base.

c) Los fines que se persiguen con la recolección de estos datos y la base jurídica del tratamiento.

d) Los destinatarios de la información, así como de quiénes podrán consultarla.

e) El carácter obligatorio o facultativo de sus respuestas a las preguntas que se le formulen durante la recolección de los datos.

f) El tratamiento que se dará a los datos solicitados.

g) Las consecuencias de la negativa a suministrar los datos.

h) La posibilidad de ejercer los derechos que le asisten.

i) La identidad y datos de contacto del responsable de la base de datos.

j) El plazo durante el cual se conservarán los datos personales.

k) El derecho a presentar una reclamación ante las autoridades correspondientes.

l) La existencia o no de decisiones automatizadas, incluida la elaboración de perfiles.

Cuando se utilicen cuestionarios u otros medios para la recolección de datos personales figurarán estas advertencias en forma claramente legible. No obstante, dependiendo del mecanismo utilizado para la recolección del Consentimiento Informado, la Autoridad de Protección de Datos Personales podrá autorizar formas simplificadas respecto de los contenidos de los aspectos señalados, siempre cuando la información quede a disposición del interesado, en el momento que éste haga requerimiento de la misma.

ARTÍCULO 14.- Otorgamiento del consentimiento

Quien recopile datos personales deberá obtener el consentimiento expreso de la persona titular de los datos o de su representante. Este consentimiento deberá constar en forma expresa, ya sea en un medio físico o electrónico. El consentimiento podrá ser revocado en cualquier momento, sin efecto retroactivo.

ARTÍCULO 15.- Excepciones al consentimiento informado

No será necesario el consentimiento expreso:

a) Cuando así lo disponga o habilite una norma de rango constitucional o legal, salvaguardando la integridad de los datos y restringiendo su uso estricto a los fines que persiga dicha norma.

b) Cuando exista orden fundamentada, dictada por autoridad judicial competente.

c) Para la prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.

d) Para el funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, o para la adecuada prestación de servicios públicos, siempre que los datos se hayan anonimizado previamente y no exista riesgo de que las personas sean identificadas.

e) Cuando el tratamiento sea necesario para la ejecución de un contrato solicitado por la persona titular. O bien, para la aplicación de un contrato en el que el interesado es parte.

f) Cuando es necesario el tratamiento para proteger intereses vitales de la persona interesada o de otra persona física, si la persona interesada no está capacitada, física o jurídicamente, para dar su consentimiento.

g) Cuando el tratamiento es necesario para el cumplimiento de una finalidad realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Se prohíbe en todo caso el acopio de datos sin el consentimiento informado de la persona, o bien, adquiridos por medios fraudulentos, desleales o ilícitos.

ARTICULO 16. – Condiciones aplicables al consentimiento de la persona menor de edad en relación con los servicios de la sociedad de la información

Cuando se apliquen los principios relativos al consentimiento informado en relación con la oferta directa a personas menores de edad de servicios de la sociedad de la información, el tratamiento de los datos personales de una persona menor de edad se considerará lícito cuando tenga como mínimo 15 años. Si es menor de 15 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo autorizó el titular de la patria potestad o tutela sobre el niño o la niña, y solo en la medida en que se dio o autorizó.

El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño o la niña, teniendo en cuenta la tecnología disponible.

ARTÍCULO 17.- Excepciones a la Autodeterminación Informativa

Los derechos y las garantías establecidos en esta ley podrán ser limitados en las siguientes circunstancias:

a) Cuando así lo disponga o habilite una norma de rango constitucional o legal, salvaguardando la integridad de los datos y restringiendo su uso estricto a los fines que persiga dicha norma.

b) Cuando exista orden fundamentada, dictada por autoridad judicial competente.

ARTÍCULO 18.- Derecho de acceso a los datos personales

Las personas usuarias deberán tener derecho de acceso a los datos recopilados, el propósito del procesamiento y a conocer quiénes los procesarán en cualquier momento. La información deberá ser almacenada en forma tal que se garantice plenamente el derecho de acceso por la persona interesada.

La persona responsable del tratamiento de los datos debe facilitar la información que la persona solicite, de manera gratuita, y resolver en el sentido que corresponda en el plazo de cinco días hábiles, contado a partir de la recepción de la solicitud.

Las entidades deben brindar su información de contacto y una dirección de correo electrónico a las personas usuarias para que estas puedan comunicarse con ellos en caso de que existan problemas.

El derecho de acceso a la información personal garantiza las siguientes facultades de la persona interesada:

a) Obtener en intervalos razonables, según se disponga por reglamento, sin demora y a título gratuito, lo siguiente: confirmación o no de la existencia de datos suyos en archivos o bases de datos, el propósito por el que se procesan, destinatarios o personas autorizadas, origen de la recolección de datos, categoría de datos procesados, plazo previsto de conservación, si los datos están siendo utilizados para la toma de decisiones automáticas o si los mismos están siendo transmitidos a terceros países.

b) En caso de que existan datos o información relativa a su persona, estos le deberán ser comunicados y brindados en forma precisa, entendible, de fácil acceso y con lenguaje simple y claro. Además, la persona interesada también podrá saber la finalidad con que fueron recopilados los datos y el uso que se les ha dado, bien hayan sido recopilados de manera directa o a través de terceros. El informe deberá ser completo y exento de codificaciones. Deberá estar acompañado de una aclaración de los términos técnicos que se utilicen.

c) Ser informado por escrito de manera amplia, por medios físicos o electrónicos, sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. Este informe en ningún caso podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con la persona interesada, excepto cuando con ellos se pretenda configurar un delito penal.

El ejercicio del derecho al cual se refiere este artículo, en el caso de datos de personas fallecidas, le corresponderá a sus sucesores o herederos.

ARTÍCULO 19.- Derecho a la explicación

Las personas interesadas tienen derecho a una explicación sobre las lógicas y mecanismos empleados, además de los fines y las consecuencias, para el procesamiento automatizado de los datos personales que hayan sido recopilados.

Dentro de esta explicación estará incluido todo algoritmo cuyo diseño o programación pueda tener un impacto en el destino o uso de los datos recopilados, y de ser solicitado será incluido dentro de los reportes requeridos por las personas usuarias sobre el tratamiento de sus datos.

ARTÍCULO 20.- Derecho de oposición

La persona usuaria podrá oponerse al procesamiento de sus datos personales, si no ha mediado su consentimiento para ello, o no lo ha expresado o aceptado por escrito de forma física o digital. En cualquier momento, el titular de los datos personales puede oponerse a la utilización de sus datos para la toma de decisiones automáticas, parcialmente automáticas o fines de mercadotecnia directa, incluido el análisis de perfiles.

Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar, con la excepciones que por efecto de esta ley resulten de aplicación.

ARTÍCULO 21. – Derecho a la limitación del tratamiento

La persona interesada podrá solicitar del responsable la suspensión de todo tratamiento de sus datos personales, reservando los mismos en el estado que se encontraban al momento de surgir los hechos objeto de la solicitud, cuando se cumpla alguna de las siguientes condiciones:

a) La persona interesada impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos.

b) El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.

c) El responsable ya no necesita los datos personales para los fines del tratamiento, pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones.

ARTÍCULO 22.- Derecho de rectificación

La persona interesada tendrá el derecho de obtener la rectificación o actualización de sus datos personales, cuando los datos en poder del responsable del tratamiento estén incompletos, desactualizados o sean inexactos.

Dicha rectificación o actualización puede ser solicitada en cualquier momento por la persona titular de los datos, o por la persona encargada legal en el caso de las personas menores de edad, o las personas sin capacidad volitiva o cognoscitiva.

En el caso de datos de personas fallecidas, les corresponderá este derecho a sus          sucesores o herederos.

ARTÍCULO 23.- Derecho de supresión

La persona interesada tiene derecho a la supresión de sus datos y cualquier información vinculada a su persona al momento en que suspenda el uso de un servicio o aplicación que haya originado la recopilación de los datos. El responsable del tratamiento deberá garantizar la confidencialidad respecto a esa información posterior a la eliminación. Igual derecho tendrá, cuando hayan sido recopilados sin su autorización.

El derecho de supresión no podrá ser ejercido cuando el tratamiento de los datos sea necesario para ejercer el derecho a la libertad de expresión, la libertad de prensa e información, lo cual incluye las expresiones periodísticas, académicas, artísticas o literarias, de archivo o de investigación científica.

Dicha supresión puede ser solicitada por la persona titular de los datos, o por la persona encargada legal en el caso de las personas menores de edad, o sin capacidad volitiva o cognoscitiva. En el caso de datos de personas fallecidas, les corresponderá este derecho a sus sucesores o herederos.

Igualmente, la persona interesada podrá solicitar la supresión de sus datos personales, cuando medie y legalmente proceda, el retiro del consentimiento informado otorgado al efecto del tratamiento.

ARTÍCULO 24.- Derecho a la portabilidad

Las personas titulares de los datos podrán solicitar el traslado de sus datos personales, o parte de ellos, hacia la base de otra empresa, plataforma o ente prestador de servicios cuando sea técnicamente posible, posibilidad que determinará la autoridad competente. Para ello se deberán salvaguardar los principios y derechos reconocidos en esta ley.

ARTÍCULO 25.- Autorización para la transferencia de datos

Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.

SECCIÓN III. CATEGORÍAS PARTICULARES DE DATOS PERSONALES

ARTÍCULO 26.- Prohibición del tratamiento de datos sensibles

Queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida sexual de una persona física o cualquier otro dato sensible.

ARTÍCULO 27.- Circunstancias de no aplicabilidad de la prohibición de tratamiento de datos sensibles

El artículo anterior no será de aplicación cuando concurra una de las circunstancias siguientes:

a) El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando en la legislación costarricense se establezca que la prohibición mencionada no puede ser levantada por el interesado;

b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del derecho laboral, de la seguridad social o ayudas sociales, en la medida en que así lo autorice el marco normativo costarricense y establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

f) El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, en virtud de un contrato con un profesional sanitario;

g) El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base de la legislación costarricense, que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional.

h) El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

ARTÍCULO 28.- Datos personales de acceso restringido

Los datos de acceso restringido son todos aquellos datos personales de índole privado que no sean considerados sensibles. Son susceptibles de ser tratados en los términos que esta ley especifica. Si bien estos datos podrían formar parte de bases datos de la Administración Pública o de fuentes de acceso público, no por ello son considerados de acceso irrestricto, debido a que son de interés únicamente para su titular o para la Administración Pública.

SECCIÓN IV. SEGURIDAD Y CONFIDENCIALIDAD DEL TRATAMIENTO DE LOS DATOS

ARTÍCULO 29.- Seguridad de los datos por diseño y por defecto

La persona responsable de la base de datos deberá adoptar las políticas internas y tomar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cumplir con los principios de esta ley y evitar cualquier acción contraria a la misma.

Dichas políticas y medidas se tomarán desde el diseño y el desarrollo de cualquier aplicación, servicio o producto basado en el tratamiento de datos personales o que tratan datos personales para cumplir su función, y deberán incluir, al menos, los mecanismos de seguridad física y lógica más adecuados de acuerdo con el desarrollo tecnológico actual para garantizar la protección de la información almacenada.

Además, deberán reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento y permitir a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad.

No se registrarán datos personales en bases que no reúnan las condiciones que garanticen plenamente su seguridad e integridad, así como la de los centros de tratamiento, equipos, sistemas y programas. Por vía de reglamento se establecerán los requisitos y las condiciones que deban reunir las bases de datos, y de las personas que intervengan en el acopio, almacenamiento y uso de los datos. Estos principios se tendrán en cuenta para el tratamiento de datos tanto a nivel privado como público, sea o no con fines de lucro.

ARTÍCULO 30.- Deber de confidencialidad

La persona responsable y quienes intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional o funcional, aun después de finalizada su relación con la base de datos. La persona obligada podrá ser relevada del deber de secreto por decisión judicial en lo estrictamente necesario y dentro de la causa que conoce.

ARTÍCULO 31.- Estudios de impacto

Para aquellas operaciones de tratamiento de datos que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional, que podrían afectar a un gran número de interesados o podrían entrañar un alto riesgo, sea por su alcance, por la sensibilidad de los datos a tratar o por la dificultad para los interesados de hacer cumplir sus derechos, deberá realizarse previamente un estudio de impacto del tratamiento de datos por parte de la persona responsable del tratamiento.

El estudio de impacto deberá valorar la probabilidad y alcance de los riesgos, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Además debe incluir las medidas, garantías y mecanismos previstos para mitigar dichos riesgos, garantizar la protección de los datos personales y demostrar la conformidad con la presente ley.

Las características específicas de dichos estudios serán determinadas vía reglamento. La Autoridad de Protección de Datos determinará cuáles operaciones de tratamiento de datos requerirán dichos estudios al momento de su registro.

ARTÍCULO 32.- Protocolos de actuación

Las personas físicas y jurídicas, públicas y privadas, que tengan entre sus funciones la recolección, el almacenamiento y el uso de datos personales, deberán emitir un protocolo de actuación en el cual establecerán los pasos que deberán seguir en la recolección, el almacenamiento y el manejo de los datos personales, de conformidad con las reglas previstas en esta ley.

Los protocolos de actuación deberán ser inscritos, así como sus posteriores modificaciones, ante la Prodhab. La Prodhab podrá verificar, en cualquier momento, que la base de datos esté cumpliendo cabalmente con los términos de su protocolo.

La manipulación de datos con base en un protocolo de actuación inscrito ante la Prodhab hará presumir, “iuris tantum”, el cumplimiento de las disposiciones contenidas en esta ley, para los efectos de autorizar la cesión de los datos contenidos en una base.

ARTÍCULO 33.- Vulneración de Datos Personales.

El responsable deberá informar tanto al titular como a la PRODHAB, sobre cualquier irregularidad en el tratamiento o almacenamiento de sus datos, pérdida de los mismos, destrucción, extravío, alteración o similares, como consecuencia de una vulnerabilidad de la seguridad de la cual entrará en conocimiento, para lo cual tendrá cinco días hábiles a partir del momento en que se conoció la vulnerabilidad, a fin de que los titulares de estos datos personales afectados puedan tomar las medidas correspondientes.

La información mínima que deberá proveerse será:

a) La naturaleza del incidente;

b) Los datos personales comprometidos;

c) Las acciones correctivas realizadas de forma inmediata y las que serán tomadas;

d) Los medios o el lugar, donde puede obtener más información al respecto.

ARTÍCULO 34.- Persona Delegada de Protección de Datos

Si la Autoridad de Protección de Datos determina que la operación de tratamiento presenta altos riesgos para la integridad de los datos personales, el responsable del tratamiento deberá designar a una persona delegada de protección de datos.

Dicha persona delegada velará por el cumplimiento legal de la normativa atinente y deberá contar con capacidades y competencias profesionales para responder ante las autoridades. El rol podrá ser asumido por una persona a lo interno de la institución u organización, o por un tercero.

Reglamentariamente se establecerán los requisitos para las personas delegadas, así como los criterios para definir en qué operaciones de tratamiento será necesaria su existencia.

ARTÍCULO 35.- Códigos de conducta

La Agencia de Protección de Datos de los Habitantes, el gobierno central, las instituciones públicas, entes gremiales, asociaciones y empresas privadas, deberán promover la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación de la presente Ley, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas, las pequeñas y medianas empresas.

ARTÍCULO 36.- Garantías efectivas

Toda persona interesada tiene derecho a un procedimiento administrativo sencillo y rápido ante la Prodhab, con el fin de ser protegido contra actos que violen sus derechos fundamentales reconocidos por esta ley. Lo anterior sin perjuicio de las garantías jurisdiccionales generales o específicas que la ley establezca para este mismo fin.

CAPÍTULO III. AGENCIA DE PROTECCIÓN DE DATOS DE LOS HABITANTES (PRODHAB)

SECCIÓN I. DISPOSICIONES GENERALES

ARTÍCULO 37.- Agencia de Protección de Datos de los Habitantes (Prodhab)

Se crea la Agencia de Protección de Datos de los Habitantes (PRODHAB), como un órgano adscrito al Poder Legislativo de la República y que desempeñará sus funciones con absoluta independencia funcional, administrativa, técnica, presupuestaria y de criterio. Tendrá personalidad jurídica propia en el desempeño de las funciones que le asigna esta ley.

ARTÍCULO 38.- Atribuciones

Son atribuciones de la Prodhab, además de las otras que le impongan esta u otras normas, las siguientes:

a) Velar por el cumplimiento de la normativa en materia de protección de datos, tanto por parte de personas físicas o jurídicas privadas, como por entes y órganos públicos.

b) Llevar un registro de las bases de datos reguladas por esta ley.

c) Requerir, de quienes administren bases de datos, las informaciones necesarias para el ejercicio de su cargo.

d) Acceder a las bases de datos reguladas por esta ley, a efectos de hacer cumplir efectivamente las normas sobre protección de datos personales.

Esta atribución se aplicará para los casos concretos presentados ante la Agencia y cuando se tenga evidencia de un mal manejo generalizado de la base de datos o sistema de información y, para la realización de investigaciones sobre la aplicación de la presente ley.

e) Resolver sobre los reclamos por infracción a las normas sobre protección de los datos personales.

f) Ordenar, de oficio o a petición de parte, el acceso, rectificación, supresión, explicación, portabilidad, olvido u oposición, en el tratamiento de las informaciones contenidas en los archivos y las bases de datos, cuando éstas contravengan las normas sobre protección de los datos personales.

g) Imponer las sanciones establecidas, en esta ley, a las personas físicas o jurídicas, públicas o privadas, que infrinjan las normas sobre protección de los datos personales, y dar traslado al Ministerio Público de las que puedan configurar delito.

h) Promover y contribuir en la redacción de normativa tendiente a implementar las normas sobre protección de los datos personales.

i) Dictar las directrices necesarias, las cuales deberán ser publicadas en el diario oficial La Gaceta, a efectos de que las instituciones públicas implementen los procedimientos adecuados respecto del manejo de los datos personales, respetando los diversos grados de autonomía administrativa e independencia funcional.

j) Fomentar entre los habitantes el conocimiento de los derechos concernientes al acopio, el almacenamiento, la transferencia y el uso de sus datos personales.

k) Brindar asesoría, capacitación técnica y certificaciones en materia de privacidad, manejo de bases de datos, cumplimiento de estándares de seguridad, entre otros temas relativos a la protección de datos personales y la materia de esta ley, tanto a entes del sector público como el privado, para lo cual quedará habilitada a la venta de servicios, cuyo costo se establecerá mediante un tarifario de publicación y actualización periódica. Los precios de dicho tarifario deberán demostradamente estar acordes con los valores del mercado.

En el ejercicio de sus atribuciones, la Prodhab podrá emplear procedimientos automatizados, de acuerdo con las mejores herramientas tecnológicas a su alcance.

ARTÍCULO 39.- Dirección de la Agencia

La Dirección de la Prodhab estará a cargo de un director o una directora nacional, quien deberá contar, al menos, con el grado académico de licenciatura en una materia afín al objeto de su función, ser de reconocida solvencia profesional y moral, y tener comprobada experiencia y conocimiento en la materia de protección de datos personales.

El término de su nombramiento será por un período de hasta 4 años. En caso de declararse la vacancia, según lo dispuesto en este capítulo, la designación de la persona sustituta no podrá hacerse por un término mayor al que faltare para completar el período respectivo. Podrá ser reelecta por una única ocasión de forma continua.

No podrá ser nombrado director o directora nacional ninguna persona que sea propietaria, accionista, miembro de la junta directiva, gerente, asesora, representante legal o empleada de una empresa dedicada a la recolección, el almacenamiento y/o procesamiento de datos personales. Dicha prohibición persistirá hasta por dos años después de haber cesado sus funciones o vínculo empresarial. Estará igualmente impedido quien sea cónyuge o pariente hasta el tercer grado de consanguinidad o afinidad de una persona que esté en alguno de los supuestos mencionados anteriormente.

ARTÍCULO 40.- Proceso de nombramiento de la Dirección

La persona directora será nombrada por la Asamblea Legislativa. Para dicho nombramiento, la Asamblea anunciará el concurso de forma pública y podrá recibir postulaciones de cualquier persona que cumpla con los requisitos establecidos en esta Ley. La Comisión de Nombramientos definirá un procedimiento para estudiar dichas postulaciones, el cual deberá garantizar el cumplimiento de dichos requisitos, además de determinar mediante calificaciones objetivas la idoneidad y conocimiento de las diferentes personas candidatas. Al concluir dicho procedimiento, recomendará una terna de personas postulantes al Plenario.

El Plenario Legislativa elegirá, mediante votación pública y con mayoría absoluta, a la persona que dirigirá a la Prodhab. El Plenario podrá no apegarse a la recomendación emitida por la Comisión solamente de entre las personas postulantes.

ARTICULO 41.- Juramentación.

La persona directora de la Prodhab debe rendir el juramento previsto en el artículo 194 de la Constitución Política ante el Plenario de la Asamblea antes de iniciar sus labores en el cargo.

ARTICULO 42.- Causas de cesación.

La persona directora de la Prodhab de la República cesará en sus funciones, por cualquiera de las siguientes causales:

a) Renuncia a su cargo.

b) Muerte o incapacidad sobreviniente

c) Negligencia notoria o por violaciones graves al ordenamiento jurídico en el cumplimiento de los deberes de su cargo

d) Incurrimiento en cualquiera de las incompatibilidades previstas en esta Ley

e) Haber sido condenado, en sentencia firme, por delito cometido en forma dolosa.

La Asamblea Legislativa debe declarar vacante el cargo de la Dirección Nacional de la Prodhab, cuando se presente una de las causales previstas en los incisos a), b), d) y e) del presente artículo.

En el caso del inciso c), la Presidencia Legislativa nombrará una Comisión que le dará audiencia a la persona directora e informará a la Asamblea Legislativa, el resultado de la investigación, en el término de quince días hábiles.

ARTÍCULO 43.- Dirección Adjunta

La Asamblea Legislativa nombrará una persona como Director o Directora Adjunta, de una lista de tres candidatos propuestos por la persona Directora Nacional, a más tardar un mes después de su nombramiento. Quien ocupe la Dirección Adjunta deberá reunir los mismos requisitos exigidos para el cargo titular y estará sometido a las mismas prohibiciones y disposiciones que esta ley impone a ese cargo.

La personas elegida en este cargo será colaborador directo del Director Nacional de la PRODHAB; cumplirá las funciones que éste le asigne y lo sustituirá en sus ausencias temporales.

ARTÍCULO 44.- Personal de la Agencia

La Prodhab contará con el personal técnico y administrativo necesario para el buen ejercicio de sus funciones, designado mediante concurso por idoneidad, según el Estatuto de Servicio Civil o bien como se disponga reglamentariamente. El personal está obligado a guardar secreto profesional y deber de confidencialidad de los datos de carácter personal que conozca en el ejercicio de sus funciones.

ARTÍCULO 45.- Prohibiciones para las personas funcionarias

Todas las personas funcionarias de la Prodhab tendrán las siguientes prohibiciones:

a) Prestar servicios a las personas o empresas que se dediquen al acopio, el almacenamiento, o el manejo de datos personales. Dicha prohibición persistirá hasta dos años después de haber cesado sus funciones.

b) Involucrarse, personal e indebidamente, en asuntos conocidos en el marco de las funciones de la Agencia.

c) Revelar o de cualquier forma propalar los datos personales a que ha tenido acceso con ocasión de su cargo. Esta prohibición persistirá indefinidamente aun después de haber cesado en su cargo.

d) En el caso de los funcionarios y las funcionarias nombrados en plazas de profesional, ejercer externamente su profesión. Lo anterior tiene como excepción el ejercicio de la actividad docente en centros de educación superior o la práctica liberal a favor de parientes por consanguinidad o afinidad hasta el tercer grado, siempre que no se esté ante el supuesto del inciso a).

La inobservancia de cualquiera de las anteriores prohibiciones será considerada falta gravísima, para efectos de aplicación del régimen disciplinario, sin perjuicio de las otras formas de responsabilidad que tales conductas pudieran acarrear.

ARTÍCULO 46.- Presupuesto

El presupuesto de la Prodhab estará constituido por lo siguiente:

a) Los cánones, las tasas y los derechos obtenidos en el ejercicio de sus funciones.

b) Las transferencias que el Estado realice a favor de la Agencia.

c) Las donaciones y subvenciones provenientes de otros Estados, instituciones públicas nacionales u organismos internacionales, siempre que no comprometan la independencia, transparencia y autonomía de la Agencia.

d) Lo generado por sus recursos financieros.

e) Lo generado por la venta de servicios de asesoría, capacitación técnica y certificaciones en materia de privacidad, manejo de bases de datos, cumplimiento de estándares de seguridad, entre otros temas relativos a la protección de datos personales y la materia de esta ley.

Los montos provenientes del cobro de las multas señaladas en esta ley serán destinados a gastos de capital de la Prodhab.

La Agencia estará sujeta al cumplimiento de los principios y al régimen de responsabilidad establecidos en los títulos II y X de la Ley n.° 8131, Administración Financiera de la República y Presupuestos Públicos, de 18 de septiembre de 2001.

Además, deberá proporcionar la información requerida por el Ministerio de Hacienda para sus estudios. En lo demás, se exceptúa a la Agencia de los alcances y la aplicación de esa ley. En la fiscalización, la Agencia estará sujeta, únicamente, a las disposiciones de la Contraloría General de la República.

SECCIÓN II. REGISTRO DE ARCHIVOS Y BASES DE DATOS

ARTÍCULO 47.- Registro de archivos y bases de datos

Toda base de datos, pública o privada, debe inscribirse en el registro que al efecto habilite la Prodhab, exceptuando aquellas sin fines comerciales administradas por personas físicas. La inscripción no implica el traspaso o la transferencia de los datos.

La Prodhab definirá, al momento del registro y de acuerdo a la envergadura, características y riesgos del tratamiento de datos que se realizará, si la persona responsable de la base de datos deberá cumplir, y en qué medida, con lo dispuesto en el capítulo II, Sección IV de esta Ley, respecto a Estudios de impacto, Protocolo de Actuación y la Persona Delegada de protección de datos. Los criterios y plazos para dicho cumplimiento se establecerán en lineamientos que al respecto confeccionará y revisará periódicamente la Prodhab.

CAPÍTULO V. PROCEDIMIENTOS

SECCIÓN I. NORMAS DE PROCEDIMIENTO

ARTÍCULO 48.- Legitimación para denunciar

Cualquier persona, grupo de personas u organismos debidamente habilitados para representar personas que ostente un derecho subjetivo o un interés legítimo puede denunciar, ante la Prodhab, que una base de datos pública o privada se encuentra en contravención de las reglas o los principios básicos para la protección de los datos y la autodeterminación informativa establecidas en esta ley.

ARTÍCULO 49.- Trámite de las denuncias

Todo procedimiento ordinario se regirá por el Libro Segundo de la Ley General de la Administración Pública, sin perjuicio de las regulaciones específicas que se puedan establecer vía el reglamento.

En cualquier momento, la Prodhab podrá ordenar a la persona denunciada la presentación de la información necesaria. Asimismo, podrá efectuar inspecciones in situ en sus archivos o bases de datos. Para salvaguardar los derechos de la persona o del grupo de personas interesadas, puede dictar, mediante acto fundado, las medidas cautelares que aseguren el efectivo resultado del procedimiento.

ARTÍCULO 50.- Efectos de la resolución estimatoria

Si se determina que la información del interesado es falsa, incompleta, inexacta, o bien, que de acuerdo con las normas sobre protección de datos personales esta fue indebidamente recolectada, almacenada o difundida, deberá ordenarse su inmediata supresión, rectificación, adición o aclaración, o bien, impedimento respecto de su transferencia o difusión. Si la persona denunciada no cumple íntegramente lo ordenado, estará sujeta a las sanciones previstas en esta y otras leyes.

SECCIÓN II. RÉGIMEN SANCIONATORIO

ARTÍCULO 51.- Procedimiento sancionatorio

De oficio o a instancia de parte, la Prodhab podrá iniciar un procedimiento tendiente a demostrar si un tratamiento de datos personales regulado por esta ley está siendo empleado de conformidad con sus principios; para ello, deberán seguirse los trámites previstos en la Ley General de la Administración Pública para el procedimiento ordinario.

ARTÍCULO 52.- Faltas leves

Las faltas leves, señaladas en este artículo, se sancionarán con multas administrativas de hasta de diez salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República como máximo o, si se trata de una empresa, con una multa equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.

Serán consideradas faltas leves, para los efectos de esta ley:

a) Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones indicadas en esta ley.

b) Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos.

ARTÍCULO 53.- Faltas graves

Las faltas graves, señaladas en este artículo, se sancionarán con multas administrativas de entre diez y cuarenta salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República o, si se trata de una empresa, con una multa equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.

Serán consideradas faltas graves, para los efectos de esta ley:

a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de esta ley.

b) Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en el capítulo III de esta ley.

c) Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información.

d) Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley.

e) Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco.

Artículo 54. – Faltas gravísimas

Las faltas gravísimas, señaladas en este artículo, se sancionarán con multas administrativas de entre treinta y sesenta salarios base del cargo de auxiliar judicial I, según la Ley de Presupuesto de la República o, si se trata de una empresa, con una multa equivalente al 6% del volumen de negocio total anual global del ejercicio financiero anterior como máximo, optándose por la multa de mayor cuantía.

Serán consideradas faltas gravísimas, para los efectos de esta ley:

a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la definición prevista en el artículo 3 de esta ley.

b) Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.

c) Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme la ley.

d) Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.

e) Realizar tratamiento de datos personales sin encontrarse debidamente inscrito ante la Prodhab, en el caso de los responsables de bases de datos cubiertos por el artículo 21 de esta ley.

f) Transferir, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

Artículo 55.- Criterios para establecer la sanción

Para tomar una determinación sancionatoria, el tipo de sanción y su cuantía, la Prodhab deberá considerar los siguientes criterios, sin perjuicio de valorar las infracciones de manera acumulativa:

a. Naturaleza de la infracción: número de personas afectadas, daños sufridos, duración de la infracción y propósito del procesamiento, infracción leve, grave o gravísima.

b. Intención: si la infracción es intencional o debido a negligencia

c. Mitigación: acciones tomadas para mitigar el daño a las personas interesadas

d. Medidas preventivas: cuánta preparación técnica y organizativa había implementado previamente la empresa para evitar el incumplimiento

e. Reincidencia: Posibles infracciones anteriores, incluido advertencias y multas relacionadas a similares u otras infracciones en área de seguridad digital, privacidad y protección de datos.

f. Cooperación: cuán cooperativa ha sido la empresa con la autoridad supervisora para remediar la infracción.

g. Tipo de datos afectados: qué tipos de datos impactado por la infracción.

h. Notificación: si la infracción fue notificada proactivamente a la autoridad supervisora por la propia empresa o un tercero.

SECCIÓN III. PROCEDIMIENTOS INTERNOS

ARTÍCULO 56.- Régimen sancionatorio para bases de datos públicas

Cuando la persona responsable de una base de datos pública cometa alguna de las faltas anteriores, la Prodhab dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la falta. Esta resolución se notificará a la persona responsable de la base de datos, al órgano del que dependa jerárquicamente y a los afectados, si los hay. La resolución podrá dictarse de oficio o a petición de parte. Lo anterior sin perjuicio de la responsabilidad penal en que haya incurrido.

CAPÍTULO VI. CÁNONES

ARTÍCULO 57.- Canon por regulación y administración de bases de datos

Las bases de datos que deban inscribirse ante la Prodhab, de conformidad con el artículo 41 de esta ley, estarán sujetas a un canon de regulación y administración de bases de datos que deberá ser cancelado anualmente, con un monto de trescientos dólares ($300), moneda de curso legal de los Estados Unidos de América, canon que se actualizará anualmente con base en el índice de valuación determinado por el comportamiento de la tasa de inflación (índice de precios al consumidor que calcula la Dirección General de Estadística y Censos).

Podrán eximirse del pago de este canon aquellas bases de datos utilizadas a lo interno de empresas o instituciones públicas, cuando sean utilizadas con fines exclusivamente administrativos y sin fines de comercialización, y así se demuestre ante la Prodhab.

También podrán eximirse de dicho pago las bases de datos utilizadas por organizaciones sin fines de lucro (como fundaciones, sindicatos, asociaciones, organizaciones religiosas, entre otras), cuando demuestren que la finalidad de la base no es de ninguna índole comercial o de lucro.

La exención de este pago no les excluye del cumplimiento de esta ley en todos sus alcances, incluidos los pagos producto de infracciones a la Ley. Quedan a salvo aquellas excepciones que se puedan aplicar puntualmente. El procedimiento para realizar el cobro del presente canon será detallado en el reglamento que a los efectos deberá emitir la Prodhab.

ARTÍCULO 58.- Canon por comercialización de consulta

La persona responsable de la base de datos deberá cancelar a la Prodhab un canon por cada venta de los datos de ficheros definidos en el inciso l) del artículo 4 de esta ley, de personas individualizables registradas legítimamente y siempre que sea comercializado con fines de lucro, el cual oscilará entre los veinticinco centavos de dólar ($0,25) y un dólar ($1), moneda de curso legal de los Estados Unidos de América, monto que podrá ser fijado dentro de dicho rango vía reglamento. En caso de contratos globales de bajo, medio y alto consumo de consultas, o modalidades contractuales de servicio en línea por número de aplicaciones, será el reglamento de la ley el que fije el detalle del cobro del canon que no podrá ser superior al diez por ciento (10%) del precio contractual.

CAPÍTULO VI. TRANSFERENCIA TRANSFRONTERIZA DE DATOS PERSONALES

SECCIÓN ÚNICA. DE LAS TRANSFERENCIAS

ARTÍCULO 59.- Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones de la presente Ley, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.

ARTÍCULO 60.- Transferencias basadas en un procedimiento de adecuación

Podrá realizarse una transferencia de datos personales a un tercer país u                     organización internacional cuando la PRODHAB, haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.

Al evaluar la adecuación del nivel de protección, la PRODHAB tendrá en cuenta, en particular, los siguientes elementos:

a) El Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos; y,

b) La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros,

ARTÍCULO 61.- Transferencias mediante garantías adecuadas

A falta de una autorización de la PRODHAB, por vía de un Procedimiento de Adecuación, el responsable o el encargado del tratamiento sólo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

Las garantías adecuadas podrán ser aportadas, por:

a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;

b) Convenios empresariales suscritos que expresamente reconozcan todos los derechos y obligaciones establecidos en la presente Ley, y se sujeten a la competencia de la Agencia de Protección de Datos de los Habitantes, para la debida protección de los datos personales en todos los alcances previstos por la presente normativa, respecto del tratamiento realizado fuera del ámbito de competencia territorial.

Esta norma aplicará en igual sentido, bajo el concepto de Grupo de Interés Económico, en los términos que establece la presente Ley.

ARTÍCULO 62.- Excepciones para situaciones específicas

En ausencia de una autorización producto de un Procedimiento de Adecuación o de Garantías Adecuadas, incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes:

a) El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;

b) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;

c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;

d) La transferencia sea necesaria por razones de interés público comprobado consistentemente;

e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;

f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento

TRANSITORIOS

TRANSITORIO I.

Las personas físicas o jurídicas, públicas o privadas, propietarias o administradoras de las bases de datos objeto de esta ley, deberán adecuar sus procedimientos, protocolos, contenidos de bases de datos y reglas de actuación a lo estipulado en la presente reforma, en un plazo máximo de un año.

TRANSITORIO II.

El Poder Ejecutivo adecuará el reglamento a la Ley nº 8968 previamente existente de acuerdo a los lineamientos establecidos en la presente reforma, en un plazo máximo de seis meses después de su entrada en vigencia, recogiendo las recomendaciones técnicas y legales que la Prodhab le proporcione.

TRANSITORIO III.-

Por un período de 8 años a partir de la entrada en vigencia de esta Ley, la Asamblea Legislativa dispondrá que se otorgue al menos un 5% de crecimiento anual a las transferencias que realiza el Estado a la Agencia, con el objetivo de fortalecer su labor de fiscalización, de realización de auditorías de oficio y de cobro de multas por infracciones a Ley nº 8968.

Rige a partir de su publicación.

ENRIQUE SÁNCHEZ CARBALLO

CATALINA MONTERO GÓMEZ

WELMER RAMOS GONZÁLEZ

LUIS RAMÓN CARRANZA CASCANTE

PAOLA VIVIANA VEGA RODRÍGUEZ

CAROLINA HIDALGO HERRERA

NIELSEN PÉREZ PÉREZ

LAURA GUIDO PÉREZ

MARIO CASTILLO MÉNDEZ

VICTOR MANUEL MORALES MORA