DECISIÓN (UE) 2018/1962 DE LA COMISIÓN DE 11 DE DICIEMBRE DE 2018 POR LA QUE SE ESTABLECE EL REGLAMENTO INTERNO RELATIVO AL TRATAMIENTO DE DATOS PERSONALES POR LA OFICINA EUROPEA DE LUCHA CONTRA EL FRAUDE (OLAF) EN LO QUE RESPECTA A LA COMUNICACIÓN DE INFORMACIÓN A LOS INTERESADOS Y LA RESTRICCIÓN DE ALGUNOS DE SUS DERECHOS, DE CONFORMIDAD CON EL ARTÍCULO 25 DEL REGLAMENTO (UE) 2018/1725 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea y 
, en particular, su artículo 249, apartado 1,
Considerando que:
(1)
La Oficina Europea de Lucha contra el Fraude (“la Oficina”) se creó, en virtud de la Decisión 1999/352/CE , CECA, Euratom, de la Comisión (1), como un servicio de la Comisión. La Oficina lleva a cabo investigaciones con total independencia.
(2)
La Oficina lleva a cabo investigaciones administrativas con el fin de luchar contra el fraude, la corrupción y cualquier otra actividad ilegal que afecte a los intereses financieros de la Unión de conformidad con el Reglamento (UE, Euratom) n.o 883/2013 del Parlamento Europeo y del Consejo (2). A tal fin, ejerce las facultades de investigación atribuidas a la Comisión por los actos pertinentes de la Unión, así como de conformidad con los acuerdos de cooperación y de asistencia mutua vigentes y cualquier otro instrumento jurídico en vigor, en los Estados miembros, en terceros países y en los locales de las organizaciones internacionales.
(3)
La Oficina también lleva a cabo investigaciones administrativas en las instituciones, órganos, oficinas y agencias creadas por los Tratados o sobre la base de estos. En el marco de su mandato de investigación, la Oficina recaba información de interés para la investigación, incluidos datos personales, procedente de diversas fuentes: autoridades públicas, entidades privadas y personas físicas, y la intercambia con las instituciones, órganos, oficinas y agencias de la Unión; con las autoridades competentes de los Estados miembros y de terceros países, y con organizaciones internacionales, antes, durante y después de la investigación o de actividades de coordinación.
(4)
En el marco de sus actividades, la Oficina trata varias categorías de datos personales, en particular, datos de identificación, datos de contacto, datos profesionales y datos relacionados con los asuntos. La Oficina, representada por su Director General, actúa como responsable del tratamiento de datos. Los datos personales se almacenan en un entorno electrónico seguro que impide el acceso o la transferencia ilícita de datos a personas que no deban conocerlos. Los datos personales tratados se conservan durante quince años después de que la investigación se abandone o se cierre con una decisión del Director General. Al final del período de conservación, la información relacionada con el caso, incluidos los datos personales, se transfiere a los archivos históricos.
(5)
En el desempeño de sus funciones, la Oficina está obligada a respetar los derechos de las personas físicas en relación con el tratamiento de los datos de carácter personal reconocidos en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16, apartado 1, del Tratado, así como por actos jurídicos basados en dichas disposiciones. Al mismo tiempo, la Oficina está obligada a cumplir las estrictas normas de confidencialidad y secreto profesional a que se refiere el artículo 10 del Reglamento (UE, Euratom) n.o 883/2013 y a garantizar el respeto de los derechos procedimentales de los interesados y los testigos a que se refiere el artículo 9 de dicho Reglamento, en particular, el derecho de toda persona a la presunción de inocencia.
(6)
El entorno electrónico seguro en el que se almacenan los datos personales, así como las garantías procedimentales y las normas estrictas de confidencialidad y secreto profesional a que se hace referencia, respectivamente, en los artículos 9 y 10 del Reglamento (UE, Euratom) n.o 883/2013, aseguran un alto nivel de protección contra los riesgos para los derechos y libertades de los titulares de los datos objeto del tratamiento.
(7)
En determinadas circunstancias, es necesario conciliar los derechos de los interesados en virtud del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (3) con las necesidades de las investigaciones y la confidencialidad de los intercambios de información con otras autoridades públicas competentes, así como con el pleno respeto de los derechos fundamentales y las libertades de los otros titulares de datos. A tal efecto, el artículo 25 de este Reglamento otorga a la Oficina la posibilidad de restringir la aplicación de los artículos 14 a 22, 35 y 36, así como del artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22.
(8)
La Oficina designó, en virtud del artículo 10, apartado 4, del Reglamento (UE, Euratom) n.o 883/2013, un responsable de la protección de datos, de conformidad con el artículo 24 del Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (4).
(9)
Con objeto de garantizar la confidencialidad y la eficacia de las investigaciones y otras actividades operativas realizadas por la Oficina, respetando al mismo tiempo las normas de protección de los datos personales de conformidad con el Reglamento (UE) 2018/1725, es necesario un reglamento interno con arreglo al cual la Oficina pueda restringir los derechos de los interesados con arreglo al artículo 25 de dicho Reglamento.
(10)
El ámbito de aplicación del presente acto jurídico debe cubrir todas las operaciones de tratamiento de datos realizadas por la Oficina en el ejercicio de su función de investigación independiente. Estas disposiciones deben aplicarse a las operaciones de tratamiento de datos efectuadas antes de la apertura de una investigación, durante las investigaciones internas y externas - como disponen los artículos 3 y 4 del Reglamento (UE, Euratom) no 883/2013 - y durante el seguimiento de la actuación consecutiva a los resultados de las investigaciones. Sus disposiciones se deben aplicar a las operaciones de tratamiento de datos que formen parte de las actividades relacionadas con la función de investigación, tales como el sistema de notificación de los casos de fraude, los análisis operativos y las bases de datos de cooperación internacional, así como a las operaciones que puedan contener datos de investigación, como la tramitación de las investigaciones del responsable de la protección de datos o de otras denuncias que investigue la Oficina. También debe incluir la asistencia y la cooperación prestada por la Oficina a las autoridades nacionales y las organizaciones internacionales al margen de sus investigaciones administrativas.
(11)
En cumplimiento de lo dispuesto en los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725, la Oficina debe informar a todos los interesados de las actividades de tratamiento de sus datos personales y de sus derechos de un modo transparente y coherente, en forma de anuncios de protección de datos publicados en el sitio web de la Oficina, así como informar individualmente a los titulares de los datos pertinentes para la investigación - interesados, testigos e informantes - en el formato adecuado.
(12)
Sin perjuicio de la aplicación de las excepciones previstas en el Reglamento (UE) 2018/1725, la Oficina puede restringir la comunicación de información a los interesados y la aplicación de otros derechos de los interesados a fin de proteger sus propias investigaciones, las investigaciones y procedimientos de las autoridades públicas de los Estados miembros, las herramientas y métodos de investigación, así como los derechos de otras personas relacionadas con sus investigaciones.
(13)
En algunos casos, proporcionar información a los interesados o revelar la existencia de una investigación puede imposibilitar u obstaculizar gravemente la finalidad de las operaciones de tratamiento y la capacidad de la Oficina o de las autoridades nacionales competentes y las instituciones, organismos, oficinas y agencias de la UE para llevar a cabo una investigación eficaz en el futuro.
(14)
Además, la Oficina está obligada a proteger la identidad de los informantes, incluidos los denunciantes y los testigos, que no deben sufrir consecuencias negativas por su cooperación con la Oficina.
(15)
Por estas razones, la Oficina puede necesitar invocar la aplicación de algunos de los motivos de restricción a que se refiere el artículo 25 del Reglamento (UE) 2018/1725 a las operaciones de tratamiento de datos efectuadas en el marco de las funciones de la Oficina establecidas en el artículo 2 de la Decisión 1999/352/CE, CECA, Euratom.
(16)
Además, con el fin de mantener una cooperación eficaz, la Oficina puede necesitar aplicar las restricciones de los derechos de los interesados para proteger la información que contenga datos personales procedente de los servicios de la Comisión o de otras instituciones, órganos, oficinas y agencias de la Unión; de las autoridades competentes de los Estados miembros y de terceros países, así como de organizaciones internacionales. A tal efecto, la Oficina debe consultar con dichos servicios, instituciones, organismos, oficinas, agencias, autoridades y organizaciones internacionales los motivos y la necesidad y proporcionalidad de las restricciones.
(17)
En el marco de sus funciones de investigación, la Oficina intercambia a menudo información, incluidos datos personales, con, entre otros, los servicios de la Comisión y las agencias ejecutivas que asisten a los servicios de la Comisión en la ejecución de sus programas. De conformidad con el artículo 25, apartado 5, del Reglamento (UE) 2018/1725 - que exige la adopción de normas internas al más alto nivel de gestión de las instituciones, organismos, agencias y oficinas de la Unión afectados -, la presente Decisión regula el tratamiento de los datos personales contenidos en la información que estos deban transmitir a la Oficina. Por lo tanto, todos los servicios de la Comisión y las agencias ejecutivas que traten datos personales sujetos a la obligación de informar a la Oficina con arreglo al artículo 8, apartado 1, del Reglamento (UE, Euratom) n.o 883/2013, o cuando dichos datos personales sean tratados por la Oficina en el desempeño de sus funciones, deberán aplicar las disposiciones establecidas en la presente Decisión con miras a proteger las operaciones de tratamiento de datos realizadas por la Oficina. En estas circunstancias, los servicios de la Comisión y las agencias ejecutivas de que se trate deberán, por tanto, consultar con la Oficina los motivos de las restricciones y su necesidad y proporcionalidad a fin de garantizar su aplicación coherente.
(18)
La Oficina y, en su caso, los servicios de la Comisión y las agencias ejecutivas deberán gestionar todas las restricciones de manera transparente y consignar cada aplicación de restricciones en el sistema de registro correspondiente.
(19)
De conformidad con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, los responsables del tratamiento podrán aplazar o denegar la comunicación de información sobre los motivos de la aplicación de una restricción al interesado cuando dicha comunicación deje sin efecto la restricción impuesta. En particular, si se restringen los derechos contemplados en los artículos 16 y 35, la notificación de dicha restricción podría comprometer la finalidad de la restricción. Con el fin de garantizar que el derecho de los interesados a ser informados en virtud de los artículos 16 y 38 del Reglamento (UE) 2018/1725 solo se restrinja en la medida en que subsistan los motivos del aplazamiento, la Oficina deberá revisar periódicamente su posición.
(20)
Cuando se restrinjan los derechos de los interesados, el responsable del tratamiento deberá evaluar, caso por caso, si la comunicación de la restricción pudiera comprometer su finalidad.
(21)
El responsable de la protección de datos de la Oficina - y, en su caso, el responsable de la protección de datos de la Comisión o de la agencia ejecutiva de que se trate - también debería llevar a cabo una revisión independiente de la aplicación de las restricciones, a fin de garantizar el cumplimiento de la presente Decisión.
(22)
El Reglamento (UE) 2018/1725 sustituye al Reglamento (CE) 45/2001 sin ningún período transitorio desde la fecha de su entrada en vigor. El Reglamento(CE) 45/2001 brinda la posibilidad de restringir determinados derechos. Con el objeto de evitar comprometer la finalidad de las investigaciones de la Oficina en el ejercicio de sus funciones y para que no se vean afectados los derechos y libertades de terceros, la presente Decisión se aplicará desde la fecha de entrada en vigor del Reglamento (UE) 2018/1725.
(23)
El Supervisor Europeo de Protección de Datos fue consultado el 23 de noviembre de 2018.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Objeto y ámbito de aplicación
1. La presente Decisión establece las normas que deberá cumplir la Oficina Europea de Lucha contra el Fraude (“la Oficina”) para informar a los interesados sobre el tratamiento de sus datos, de conformidad con los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725.
Establece asimismo las condiciones en las que la Oficina podrá restringir la aplicación de los artículos 4, 14 a 20, y 35 del Reglamento (UE) 2018/1725, de conformidad con el artículo 25 de dicho Reglamento.
2. La presente Decisión se aplica al tratamiento de datos personales por la Oficina al objeto de o en relación con las actividades realizadas para desempeñar las funciones de la Oficina a que se refiere el artículo 2 de la Decisión 1999/352/CE, CECA, Euratom y el Reglamento (UE, Euratom) n.o 883/2013.
3. La presente Decisión se aplica al tratamiento de datos personales por los servicios de la Comisión y las agencias ejecutivas, en la medida en que traten los datos personales contenidos en la información que deban transmitir a la Oficina, con arreglo al artículo 8, apartado 1, del Reglamento (UE, Euratom) n.o 883/2013, o los datos personales ya tratados por la Oficina al objeto de o en relación con las actividades a que se refiere el apartado 2 del presente artículo.
Artículo 2
Excepciones y restricciones aplicables
1. Cuando la Oficina ejerza sus funciones con respecto a los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, deberá considerar si alguna de las excepciones establecidas en dicho Reglamento es de aplicación .
2. Con arreglo a los artículos 3 a 6 de la presente Decisión, la Oficina podrá limitar la aplicación de los artículos 14 a 20 y 35 del Reglamento (UE) 2018/1725, así como de su artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 20 y 35 del Reglamento (UE) 2018/1725, cuando el ejercicio de esos derechos y obligaciones pudiera comprometer el objetivo de las actividades de investigación de la Oficina, incluso mediante la revelación de sus herramientas y métodos de investigación, o pudiera afectar negativamente a los derechos y libertades de terceros.
3. Con arreglo a los artículos 3 a 6 de la presente Decisión, la Oficina podrá limitar los derechos y obligaciones a que se refiere el apartado 2 del presente artículo en lo que respecta a los datos personales obtenidos por los servicios de la Comisión u otras instituciones, organismos, agencias y oficinas de la Unión, así como por las autoridades competentes de los Estados miembros, de terceros países o de organizaciones internacionales, en las circunstancias siguientes:
a)
cuando el ejercicio de esos derechos y obligaciones pueda ser restringido por los servicios de la Comisión o por otras instituciones, organismos, agencias y oficinas de la Unión, sobre la base de los actos jurídicos contemplados en el artículo 25 del Reglamento (UE) 2018/1725, o de conformidad con el capítulo IX de dicho Reglamento o con los actos fundacionales de otras instituciones, organismos, agencias y oficinas de la Unión;
b)
cuando el ejercicio de esos derechos y obligaciones pueda ser restringido por las autoridades competentes de los Estados miembros sobre la base de los actos jurídicos a que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5), o con arreglo a las medidas nacionales de transposición de los artículos 13, apartado 3; 15, apartado 3 o 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (6);
c)
cuando el ejercicio de esos derechos y obligaciones pueda comprometer la cooperación de la Oficina con terceros países u organizaciones internacionales en el desempeño de sus funciones.
Antes de aplicar las restricciones en las circunstancias mencionadas en las letras a) y b) del párrafo primero, la Oficina consultará a los servicios pertinentes de la Comisión, a las instituciones, organismos, oficinas, agencias de la Unión o a las autoridades competentes de los Estados miembros, a menos que esté claro para la Oficina que la aplicación de la restricción está prevista en uno de los actos a que se hace referencia en dichas letras.
La letra c) del párrafo primero no se aplicará cuando sobre el interés de la Unión en cooperar con terceros países u organizaciones internacionales prevalezca el interés o los derechos y libertades fundamentales de los interesados.
4. Cuando los servicios de la Comisión y las agencias ejecutivas traten datos personales en los supuestos contemplados en el artículo 1, apartado 3, podrán, en su caso, aplicar restricciones de conformidad con la presente Decisión. A tal fin, consultarán a la Oficina, a menos que esté claro para el servicio de la Comisión o la agencia ejecutiva de que se trate que la aplicación de la restricción está justificada en virtud de la presente Decisión.
Artículo 3
Comunicación de información a los titulares de los datos
1. La Oficina publicará en su sitio web anuncios de protección de datos que informarán a todos los titulares de los datos de las actividades de tratamiento de sus datos personales.
2. La Oficina informará individualmente a todos los titulares de los datos que considere interesados, testigos o informadores en el sentido del Reglamento (UE, Euratom) n.o 883/2013.
3. Cuando la Oficina restrinja, total o parcialmente, la comunicación de información a los titulares de los datos a que se refiere el apartado 2, hará constar los motivos de la restricción, incluida una evaluación de la necesidad y la proporcionalidad de la restricción.
A tal efecto, la anotación deberá indicar de qué modo la comunicación de información comprometería la finalidad de las actividades de investigación de la Oficina o de las restricciones aplicadas de conformidad con el artículo 2, apartado 3, o podría afectar negativamente a los derechos y libertades de terceros.
La anotación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.
4. La restricción a que se refiere el apartado 3 seguirá siendo de aplicación mientras los motivos que la justifican sigan siendo aplicables.
Cuando los motivos de la restricción dejen de ser aplicables, la Oficina comunicará la información de que se trate y los motivos de la restricción al titular de los datos. Al mismo tiempo, la Oficina informará al titular de los datos de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
La Oficina revisará la aplicación de la restricción cada seis meses desde la fecha de su adopción y al cierre de la investigación. Posteriormente, el responsable del tratamiento deberá supervisar anualmente la necesidad de mantener cualquier restricción.
Artículo 4
Derecho de acceso del interesado
1. Cuando los interesados soliciten el acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una determinada operación de tratamiento, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, la Oficina deberá circunscribir su evaluación de la solicitud a dichos datos personales únicamente.
2. Cuando la Oficina restrinja, en su totalidad o en parte, el derecho de acceso a que se refiere el artículo 17 del Reglamento (UE) 2018/1725, deberá adoptar las medidas siguientes:
a)
informará al interesado, en su respuesta a la solicitud, de la restricción y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea;
b)
consignará los motivos de la restricción, incluida una evaluación de la necesidad y proporcionalidad de la restricción; a tal efecto, la anotación deberá indicar cómo comprometería la concesión de acceso el objetivo de las actividades de investigación de la Oficina o de las restricciones aplicadas de conformidad con el artículo 2, apartado 3, o cómo podría afectar negativamente a los derechos y libertades de otros titulares de datos.
La comunicación de la información mencionada en la letra a) podrá aplazarse, omitirse o denegarse con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.
3. La anotación a que se refiere la letra b) del apartado 2 y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud. Será de aplicación el artículo 25, apartado 7, del Reglamento (UE) 2018/1725.
Artículo 5
Derecho de rectificación, supresión y limitación del tratamiento de datos
Cuando la Oficina restrinja, total o parcialmente, la aplicación del derecho a la rectificación, supresión o limitación del tratamiento a que se refieren los artículos 18; 19, apartado 1, y 20, apartado 1, del Reglamento (UE) 2018/1725, adoptará las medidas contempladas en el artículo 4, apartado 2, de la presente Decisión y registrará la anotación de conformidad con lo dispuesto en su artículo 4, apartado 3.
Artículo 6
Comunicación de una violación de datos personales al interesado
Cuando la Oficina limite la comunicación de una violación de datos personales al interesado a que se refiere el artículo 35 del Reglamento (UE) 2018/1725, deberá anotar y registrar los motivos de la restricción de conformidad con lo dispuesto en el artículo 3, apartado 3, de la presente Decisión. Será de aplicación el artículo 3, apartado 4, de la presente Decisión.
Artículo 7
Control del responsable de la protección de datos
1. Se informará, sin demora injustificada, al Responsable de la Protección de Datos de la Oficina (en lo sucesivo, “el RPD de la Oficina”) cuando se restrinjan los derechos de los interesados con arreglo a lo dispuesto en la presente Decisión. Se proporcionará al RPD de la Oficina acceso a los registros y a todos los documentos que contengan elementos de hecho y de derecho.
El RPD de la Oficina podrá solicitar que se revisen las restricciones. Se informará al RPD de la Oficina por escrito sobre el resultado de la revisión solicitada.
2. Cuando los servicios de la Comisión y las agencias ejecutivas traten datos personales en los casos a que se refiere el artículo 1, apartado 3, se informará sin demora al responsable de la protección de datos de la Comisión (“el RPD de la Comisión”) o, en su caso, al responsable de la protección de datos de la agencia ejecutiva (“el RPD de la Agencia”) cuando se restrinjan derechos de los interesados con arreglo a lo dispuesto en la presente Decisión. Previa petición, se proporcionará al RPD de la Comisión o, en su caso, al RPD de la Agencia acceso a los registros y a todos los documentos que contengan elementos de hecho y de derecho.
El RPD de la Comisión o, en su caso, el RPD de la Agencia podrán solicitar que se revisen las restricciones. Se informará al RPD de la Comisión o al RPD de la Agencia por escrito sobre el resultado de la revisión solicitada.
3. Todos los intercambios de información con el RPD a lo largo del procedimiento se registrarán en la forma apropiada.
Artículo 8
Entrada en vigor
La presente Decisión entrará en vigor el día de su publicación en el Diario Oficial de la Unión Europea.
Se aplicará desde el 11 de diciembre de 2018.
Hecho en Bruselas, el 11 de diciembre de 2018.
Por la Comisión
El Presidente
Jean-Claude JUNCKER
(1) Decisión 1999/352/CE CE , CECA, Euratom, de la Comisión, de 28 de abril de 1999, por la que se crea la Oficina Europea de Lucha contra el Fraude (OLAF), DO L 136 de 31.5.1999, p. 20.
(2) Reglamento (UE, Euratom) n.o 883/2013 del Parlamento Europeo y del Consejo, de 11 de septiembre de 2013, relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) y por el que se deroga el Reglamento (CE) n.o 1073/1999 del Parlamento Europeo y del Consejo y el Reglamento (Euratom) n.o 1074/1999 del Consejo (DO L 248 de 18.9.2013, p. 1).
(3) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos y por el que se deroga el Reglamento (CE) n.o 45/2001 y la Decisión 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(4) Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).
(5) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(6) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de estos datos, y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
