Cooperación de Europol con entidades privadas

REGLAMENTO (UE) 2022/991 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, DE 8 DE JUNIO DE 2022, POR EL QUE SE MODIFICA EL REGLAMENTO (UE) 2016/794 EN LO QUE SE REFIERE A LA COOPERACIÓN DE EUROPOL CON ENTIDADES PRIVADAS, EL TRATAMIENTO DE DATOS PERSONALES POR EUROPOL EN APOYO DE INVESTIGACIONES PENALES Y EL PAPEL DE EUROPOL EN MATERIA DE INVESTIGACIÓN E INNOVACIÓN

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea , y en particular su artículo 88,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

De conformidad con el procedimiento legislativo ordinario (1),

Considerando lo siguiente:

(1)

La Agencia de la Unión Europea para la Cooperación Policial (Europol) se creó en virtud del Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (2) para apoyar y reforzar la actuación de las autoridades competentes de los Estados miembros, así como su cooperación mutua en la prevención y la lucha contra la delincuencia grave que afecte a dos o más Estados miembros, el terrorismo y las formas de delincuencia que lesionen un interés común protegido por una política de la Unión.

(2)

En materia de seguridad, Europa se enfrenta a un panorama cambiante, con amenazas para la seguridad que evolucionan y se vuelven cada vez más complejas. Los terroristas y otros delincuentes aprovechan la transformación digital y las nuevas tecnologías, en particular, tanto la interconectividad como la confusión de los límites entre el mundo físico y el digital, por ejemplo, ocultando sus delitos y su identidad mediante el recurso a tecnologías cada vez más sofisticadas. Los terroristas y otros delincuentes han demostrado su capacidad para adaptar su modus operandi y desarrollar nuevas actividades delictivas en tiempos de crisis, incluido el aprovechamiento de herramientas habilitadas por la tecnología para multiplicar y expandir la gama y la escala de sus actividades delictivas. El terrorismo sigue constituyendo una amenaza importante para la libertad y el modo de vida de los ciudadanos de la Unión.

(3)

Amenazas cambiantes y complejas se propagan a través de las fronteras, abarcan y facilitan toda una serie de delitos y se manifiestan en grupos de delincuencia organizada multidelictivos que participan en una amplia gama de actividades delictivas. Dado que la actuación a nivel nacional y la cooperación transfronteriza no bastan para hacer frente a dichas amenazas transnacionales en materia de seguridad, las autoridades competentes de los Estados miembros han ido recurriendo cada vez más al apoyo y los conocimientos especializados que ofrece Europol para prevenir y combatir la delincuencia grave y el terrorismo. Desde que el Reglamento (UE) 2016/794 comenzó a ser aplicable, la importancia operativa de las funciones de Europol ha aumentado sustancialmente. Además, el nuevo entorno de amenazas altera el alcance y el tipo del apoyo que los Estados miembros necesitan y esperan de Europol para garantizar la seguridad de los ciudadanos.

(4)

En consecuencia, se deben atribuir funciones adicionales a Europol en virtud del presente Reglamento para permitirle apoyar mejor a las autoridades competentes de los Estados miembros, al mismo tiempo que se mantienen las responsabilidades de los Estados miembros en el ámbito de la seguridad nacional establecidas en el artículo 4, apartado 2, del Tratado de la Unión Europea (TUE). El mandato reforzado de Europol debe equilibrarse con las garantías por lo que respecta a los derechos fundamentales y una mayor rendición de cuentas, asunción de responsabilidades y supervisión, incluido el control parlamentario y la supervisión ejercida por el Consejo de Administración de Europol (en lo sucesivo, “Consejo de Administración”). Para que Europol pueda cumplir su mandato reforzado, se le deben asignar recursos humanos y financieros adecuados para apoyar sus funciones adicionales.

(5)

Dado que la Unión se enfrenta a amenazas crecientes por parte de grupos de delincuencia organizada y por atentados terroristas, una respuesta policial eficaz debe incluir la disponibilidad de unidades especiales de intervención interoperables y bien entrenadas, especializadas en el control de las situaciones de crisis provocadas por el hombre. En la Unión, las unidades especiales de intervención de los Estados miembros cooperan sobre la base de la Decisión 2008/617/JAI del Consejo (3). Europol debe poder apoyar a dichas unidades especiales de intervención, mediante la prestación de apoyo técnico y financiero, que complemente los esfuerzos realizados por los Estados miembros.

(6)

En los últimos años, los ciberataques a gran escala, incluidos los ataques con origen en terceros países, se han dirigido contra entidades públicas y privadas en muchos territorios tanto dentro de la Unión como fuera de ella, afectando a diversos sectores, como el transporte, la salud y los servicios financieros. La prevención, detección, investigación y enjuiciamiento de tales ciberataques se ven apoyados por la coordinación y la cooperación entre los agentes pertinentes, incluidas la Agencia de la Unión Europea para la Ciberseguridad (ENISA), creada por el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (4), las autoridades competentes en materia de seguridad de las redes y los sistemas de información en el sentido de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (5), las autoridades competentes de los Estados miembros y las entidades privadas. A fin de garantizar la cooperación efectiva entre todos los agentes pertinentes a nivel de la Unión y nacional en materia de ciberataques y ciberamenazas, Europol debe cooperar con ENISA, en particular, mediante el intercambio de información y la prestación de apoyo analítico en ámbitos incluidos dentro de sus respectivas competencias.

(7)

Los delincuentes de alto riesgo desempeñan un papel destacado en las redes delictivas y sus actividades delictivas suponen un alto riesgo para la seguridad interior de la Unión. A fin de combatir los grupos de delincuencia organizada de alto riesgo y sus miembros dirigentes, Europol debe poder ayudar a los Estados miembros a centrar su respuesta investigadora en la identificación de los miembros y de los miembros dirigentes de tales redes, sus actividades delictivas y sus activos financieros.

(8)

Las amenazas que plantean los delitos graves necesitan una respuesta coordinada, coherente, multidisciplinar y multiinstitucional. Europol debe poder facilitar y apoyar iniciativas de seguridad impulsadas por los Estados miembros y basadas en la información de inteligencia que tengan como objetivo detectar, dar prioridad y hacer frente a las amenazas de delincuencia grave, como, por ejemplo, la plataforma multidisciplinar europea contra las amenazas delictivas (EMPACT, por sus siglas en inglés). Europol debe poder prestar apoyo administrativo, logístico, financiero y operativo a dichas iniciativas.

(9)

El Sistema de Información de Schengen (SIS), creado en el ámbito de la cooperación policial y judicial en materia penal por el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo (6), es un instrumento esencial para mantener un alto nivel de seguridad en el espacio de libertad, seguridad y justicia. Europol, como centro de intercambio de información en la Unión, recibe y posee información valiosa procedente de terceros países y organizaciones internacionales sobre personas sospechosas de estar implicadas en delitos que se incluyen en los objetivos de Europol. En el marco de sus objetivos y su función de apoyo a los Estados miembros en materia de prevención y lucha contra la delincuencia grave y el terrorismo, Europol debe apoyar a los Estados miembros en el tratamiento de los datos que le hayan facilitado terceros países u organismos internacionales, proponiendo que los Estados miembros puedan introducir en el SIS descripciones de información en una nueva categoría de descripciones de información en interés de la Unión (en lo sucesivo, “descripciones de información”), con objeto de poner dichas descripciones de información a disposición de los usuarios finales del SIS. A tal fin, se debe instaurar un mecanismo de información periódica para asegurar que los Estados miembros y Europol estén informados del resultado de la comprobación y análisis de esos datos y de si la información se ha introducido en el SIS. Las modalidades de cooperación entre los Estados miembros para el tratamiento de tales datos y la introducción de las descripciones en el SIS, en particular, en lo que se refiere a la lucha contra el terrorismo, deben ser objeto de una coordinación continua entre los Estados miembros. El Consejo de Administración debe especificar los criterios que sirvan de base a Europol para poder formular propuestas para la introducción de dichas descripciones de información en el SIS.

(10)

Europol tiene un importante papel que desempeñar en apoyo del mecanismo de evaluación y seguimiento para verificar la aplicación del acervo de Schengen establecido por el Reglamento (UE) n.o 1053/2013 del Consejo (7). Por consiguiente, Europol debe contribuir, previa solicitud de los Estados miembros, al mecanismo de evaluación y seguimiento de Schengen con sus conocimientos especializados, análisis, informes y demás información pertinente para verificar la aplicación del acervo de Schengen.

(11)

Las evaluaciones de riesgos ayudan a anticipar nuevas tendencias y a hacer frente a las nuevas amenazas que planteen la delincuencia grave y el terrorismo. Para apoyar a la Comisión y a los Estados miembros en la realización de evaluaciones de riesgos eficaces, Europol debe proporcionar a la Comisión y a los Estados miembros análisis de evaluación de amenazas basados en la información de que disponga sobre fenómenos y tendencias delictivas, sin perjuicio del Derecho de la Unión sobre gestión de riesgos aduaneros.

(12)

Con el fin de que la financiación de la Unión para la investigación en materia de seguridad logre su objetivo de garantizar que la investigación desarrolle todo su potencial y responda a las necesidades de las autoridades policiales, Europol debe ayudar a la Comisión a definir temas clave de investigación y a elaborar y ejecutar los programas marco de investigación e innovación de la Unión que sean pertinentes para lograr los objetivos de Europol. Cuando sea pertinente, Europol debe poder difundir los resultados de sus actividades de investigación e innovación como parte de su contribución a la creación de sinergias entre las actividades de investigación e innovación de los organismos pertinentes de la Unión. A la hora de diseñar y conceptualizar las actividades de investigación e innovación pertinentes para sus objetivos, Europol debe, en su caso, poder consultar al Centro Común de Investigación (JRC) de la Comisión. Europol debe adoptar todas las medidas necesarias para evitar conflictos de intereses. Cuando Europol asista a la Comisión en la identificación de temas clave de investigación y en la elaboración y ejecución de un programa marco de la Unión, no debe recibir financiación de dicho programa. Es importante que Europol pueda contar con una financiación adecuada y fiable para poder ayudar a los Estados miembros y a la Comisión en el ámbito de la investigación e innovación.

(13)

La Unión y los Estados miembros pueden adoptar medidas restrictivas relativas a la inversión extranjera directa por motivos de seguridad u orden público. A tal fin, el Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo (8) establece un marco para el control de las inversiones extranjeras directas en la Unión. Las inversiones extranjeras directas en tecnologías emergentes merecen especial atención, ya que pueden tener repercusiones significativas para la seguridad y el orden público, en particular, cuando dichas tecnologías son utilizadas por las autoridades competentes de los Estados miembros. Dada la participación de Europol en el seguimiento de las tecnologías emergentes y su participación activa en el desarrollo de nuevas formas de utilización de dichas tecnologías con fines policiales, en particular, a través de su laboratorio de innovación y a través del Centro de Innovación de la UE para la Seguridad Interior, Europol tiene amplios conocimientos sobre las oportunidades que ofrecen dichas tecnologías, así como sobre los riesgos asociados a su uso. Europol debe, por lo tanto, poder apoyar a los Estados miembros en el examen de inversiones extranjeras directas en la Unión y de los riesgos relacionados para la seguridad y el orden público que afecten a empresas que suministran tecnologías, incluido software, utilizadas por Europol para la prevención e investigación de delitos que se incluyen en los objetivos de Europol, o tecnologías críticas que puedan ser utilizadas para facilitar el terrorismo. En este contexto, la experiencia de Europol debe apoyar el examen de las inversiones extranjeras directas y los riesgos relacionados para la seguridad. Debe tenerse especialmente en cuenta si el inversor extranjero ya ha participado en actividades que afectan a la seguridad, si existe un riesgo grave de que el inversor extranjero participe en actividades ilegales o delictivas y si el inversor extranjero está controlado directa o indirectamente por el gobierno de un tercer país, incluso mediante subvenciones.

(14)

Europol proporciona conocimientos especializados en la lucha contra la delincuencia grave y el terrorismo. A petición de un Estado miembro, el personal de Europol debe poder prestar apoyo operativo a las autoridades competentes de dicho Estado miembro en operaciones e investigaciones, en particular facilitando el intercambio transfronterizo de información y prestando apoyo criminalístico y técnico en las operaciones e investigaciones, incluso en el contexto de equipos conjuntos de investigación. A petición de un Estado miembro, el personal de Europol debe tener derecho a estar presente durante la ejecución de las medidas de investigación en dicho Estado miembro. El personal de Europol no debe estar facultado para ejecutar medidas de investigación.

(15)

Uno de los objetivos de Europol es apoyar y reforzar la actuación de las autoridades competentes de los Estados miembros y su cooperación mutua en la prevención y la lucha contra las formas de delincuencia grave que lesionen un interés común protegido por una política de la Unión. Para reforzar ese apoyo, el director ejecutivo de Europol (en lo sucesivo, “director ejecutivo”) debe poder proponer a las autoridades competentes de un Estado miembro que inicien, lleven a cabo o coordinen la investigación de un delito que afecte solo a dicho Estado miembro, pero que lesione un interés común protegido por una política de la Unión. Europol debe informar a Eurojust y, cuando proceda, a la Fiscalía Europea creada por el Reglamento (UE) 2017/1939 (9), de toda solicitud de ese tipo.

(16)

La publicación de la identidad y de determinados datos personales de los sospechosos o condenados que estén en búsqueda sobre la base de una resolución judicial nacional aumenta la probabilidad de que los Estados miembros localicen y detengan a dichas personas. Para apoyar a los Estados miembros a localizar y detener a dichas personas, Europol debe poder publicar en su sitio web información sobre los fugitivos más buscados en Europa en relación con los actos delictivos que se incluyen en los objetivos de Europol. Con la misma finalidad, Europol debe facilitar que el público proporcione información sobre tales personas a los Estados miembros y a Europol.

(17)

Una vez que Europol determine que los datos personales que recibe se incluyen en sus objetivos, debe poder tratar dichos datos personales en los cuatro supuestos siguientes. En el primer supuesto, los datos personales recibidos atañen a alguna de las categorías de interesados enumeradas en el anexo II del Reglamento (UE) 2016/794 (en lo sucesivo, “anexo II”). En el segundo supuesto, los datos personales recibidos consisten en datos de investigación que contienen datos que no atañen a ninguna de las categorías de interesados enumeradas en el anexo II, pero que han sido facilitados, a raíz de una solicitud de apoyo a Europol en una investigación penal específica, por un Estado miembro, la Fiscalía Europea, Eurojust o un tercer país, siempre que dicho Estado miembro, la Fiscalía Europea, Eurojust o ese tercer país esté autorizado a tratar tales datos de investigación de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión y del Derecho nacional. En este supuesto, Europol debe poder tratar dichos datos de investigación durante todo el tiempo en que esté apoyando esa investigación penal específica. En el tercer supuesto, los datos personales recibidos pueden no atañer a ninguna de las categorías de interesados enumeradas en el anexo II y no han sido facilitados a raíz de una solicitud de apoyo de Europol a una investigación penal específica. En este supuesto, Europol debe poder comprobar si dichos datos personales atañen a alguna de esas categorías de interesados. En el cuarto supuesto, los datos personales recibidos se han facilitado para fines de proyectos de investigación e innovación, y no atañen a las categorías de interesados enumeradas en el anexo II.

(18)

De conformidad con el artículo 73 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (10), cuando corresponda y en la medida de lo posible, Europol debe hacer una distinción clara entre los datos personales que atañen a las diferentes categorías de interesados enumeradas en el anexo II.

(19)

Cuando los Estados miembros utilicen la infraestructura de Europol para el intercambio de datos personales sobre delitos que no se incluyen en los objetivos de Europol, Europol no debe tener acceso a dichos datos y se le debe considerar un encargado del tratamiento en el sentido del artículo 87 del Reglamento (UE) 2018/1725. En tales casos, Europol debe poder tratar datos que no atañan a las categorías de interesados enumeradas en el anexo II. Cuando los Estados miembros empleen la infraestructura de Europol para el intercambio de datos personales sobre delitos que se incluyen en los objetivos de Europol y cuando otorguen a Europol acceso a dichos datos, los requisitos vinculados con las categorías de interesados enumeradas en el anexo II deben aplicarse a cualquier otro tratamiento de dichos datos por parte de Europol.

(20)

Europol debe poder comprobar si los datos personales recibidos en el contexto de la prevención y la lucha contra los delitos que se incluyen en sus objetivos atañen a alguna de las categorías de interesados enumeradas en el anexo II, respetando al mismo tiempo el principio de minimización de datos. A tal fin, Europol debe poder llevar a cabo un análisis preliminar de los datos personales recibidos con el único fin de determinar si dichos datos atañen a alguna de tales categorías de interesados cotejando dichos datos personales con los que ya obran en su poder, sin proceder al análisis ulterior de tales datos. Dicho análisis preliminar debe tener lugar antes, y al margen, del tratamiento de datos por parte de Europol a efectos de controles cruzados, análisis estratégicos, análisis operativos o de intercambio de información y después de que Europol haya determinado que los datos en cuestión son pertinentes y necesarios para el desempeño de sus funciones. Una vez que Europol haya determinado que dichos datos personales atañen a las categorías de interesados enumeradas en el anexo II, Europol debe poder tratar dichos datos personales a efectos de controles cruzados, análisis estratégicos, análisis operativos o de intercambio de información. Europol debe eliminar los datos personales si llega a la conclusión de que dichos datos no atañen a las categorías de interesados enumeradas en el anexo II.

(21)

La clasificación de datos personales en un conjunto de datos determinado puede variar con el tiempo como consecuencia de nueva información que vaya estando disponible en el contexto de investigaciones penales, por ejemplo, en relación con sospechosos adicionales. Por esa razón, Europol debe tener autorización para tratar datos personales cuando resulte estrictamente necesario y proporcionado a efectos de determinar las categorías de interesados a los que atañen los datos de los que se trate durante un período máximo de dieciocho meses a partir del momento en que Europol determine que dichos datos no se incluyen en sus objetivos. Europol debe poder ampliar dicho período hasta tres años en casos debidamente justificados y siempre que dicha prórroga sea necesaria y proporcionada. Tal prórroga debe ser comunicada al Supervisor Europeo de Protección de Datos (SEPD). Cuando el tratamiento de datos personales con el fin de determinar las categorías de interesados ya no sea necesario ni esté justificado, y, en cualquier caso, una vez finalizado el período máximo de tratamiento, Europol debe suprimir los datos personales.

(22)

La cantidad de datos recogidos en el marco de investigaciones penales ha ido aumentando de volumen y los conjuntos de datos se han vuelto más complejos. Los Estados miembros transmiten conjuntos de datos voluminosos y complejos a Europol, solicitando su análisis operativo para identificar vínculos con otros delitos que no sean el que es objeto de la investigación en cuyo contexto se recopilaron y con delincuentes en otros Estados miembros y fuera de la Unión. Dado que Europol puede detectar dichos vínculos transfronterizos con mayor eficacia que los Estados miembros a través de su propio análisis de los datos, Europol debe poder apoyar las investigaciones penales de los Estados miembros mediante el tratamiento de conjuntos de datos voluminosos y complejos para detectar dichos vínculos transfronterizos, siempre que se cumplan los estrictos requisitos y garantías establecidos en el presente Reglamento. Cuando sea necesario para apoyar eficazmente una investigación penal específica en curso en un Estado miembro, Europol debe poder tratar datos de investigación que las autoridades competentes de los Estados miembros estén autorizadas a tratar en dicha investigación penal específica de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho nacional y posteriormente facilitados a Europol. Entre esos datos deben incluirse los datos personales en el caso de que un Estado miembro no haya podido determinar si dichos datos atañen a las categorías de interesados enumeradas en el anexo II. Cuando un Estado miembro, la Fiscalía Europea o Eurojust facilite a Europol datos de investigación y solicite el apoyo de Europol para una investigación penal específica en curso, Europol debe poder tratar dichos datos durante todo el tiempo en que apoye esa investigación penal específica, de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión o nacional.

(23)

Para garantizar que el tratamiento de datos realizado en el contexto de una investigación penal sea necesario y proporcionado, los Estados miembros deben garantizar el cumplimiento del Derecho de la Unión y del Derecho nacional cuando faciliten datos de investigación a Europol. Al facilitar datos de investigación a Europol para solicitar su apoyo en una investigación penal específica, los Estados miembros deben tener en cuenta la magnitud y complejidad que implique el tratamiento de los datos, y el tipo y la importancia de la investigación. Los Estados miembros deben informar a Europol cuando, de conformidad con los requisitos y garantías procesales aplicables en virtud de su Derecho nacional, dejen de estar autorizados para tratar datos en la investigación penal específica en curso. Europol solo debe tratar datos personales que no atañan a las categorías de interesados enumeradas en el anexo II cuando valore que no es posible apoyar una investigación penal específica en curso sin el tratamiento de dichos datos personales. Europol debe documentar esta valoración. Europol debe conservar dichos datos de tal modo que exista una separación funcional de otros datos y solo debe tratarlos cuando sea necesario para su apoyo a la investigación penal específica en curso, como en el caso de una nueva pista.

(24)

Europol también debe poder tratar los datos personales que sean necesarios para apoyar una investigación penal específica en uno o varios Estados miembros si dichos datos son facilitados por un tercer país, siempre que: el tercer país sea objeto de una decisión de adecuación de conformidad con la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (11) (en lo sucesivo, “decisión de adecuación”); un acuerdo internacional con dicho tercer país se haya celebrado por la Unión de conformidad con el artículo 218 del Tratado de Funcionamiento de la Unión Europea (TFUE) que incluya la transferencia de datos personales con fines policiales (en lo sucesivo, “acuerdo internacional”); un acuerdo de cooperación que permita el intercambio de datos personales se haya celebrado entre Europol y el tercer país con anterioridad a la entrada en vigor del Reglamento (UE) 2016/794 (en lo sucesivo, “acuerdo de cooperación”); o se hayan establecido, en un instrumento jurídicamente vinculante, garantías adecuadas en relación con la protección de datos personales o Europol llegue a la conclusión, sobre la base de una valoración de todas las circunstancias que rodean a la transferencia de datos personales, de que existen esas garantías en dicho tercer país y siempre que el tercer país haya obtenido los datos en el contexto de una investigación penal de conformidad con los requisitos y garantías procesales aplicables en virtud de su Derecho penal nacional. Cuando un tercer país facilite a Europol datos de investigación, Europol debe comprobar que la cantidad de datos personales no sea manifiestamente desproporcionada en relación con la investigación penal específica que Europol apoye en el Estado miembro en cuestión, y, en la medida de lo posible, que no existan indicios objetivos de que los datos de investigación se hayan recopilado en el tercer país en vulneración manifiesta de los derechos fundamentales. Si Europol llega a la conclusión de que no se cumplen esas condiciones, no debe tratar los datos y debe suprimirlos. Si un tercer país facilita a Europol datos de investigación, el responsable de protección de datos debe poder notificarlo al SEPD, cuando proceda.

(25)

Para garantizar que un Estado miembro pueda utilizar los informes analíticos de Europol en el contexto del procedimiento judicial a raíz de una investigación penal, Europol debe poder conservar los datos de investigación correspondientes, a petición de dicho Estado miembro, de la Fiscalía Europea o de Eurojust, con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal. Europol debe conservar tales datos de tal modo que exista una separación funcional de otros datos y únicamente durante el tiempo en que el procedimiento judicial relacionado con la investigación penal se esté tramitando en el Estado miembro. Asimismo, es necesario garantizar el acceso de las autoridades judiciales competentes, así como los derechos de defensa, en particular, el derecho de los sospechosos o acusados, o de sus abogados, a consultar el expediente. A tal efecto, Europol debe registrar todas las pruebas y los métodos con los que las haya producido u obtenido, para permitir un control efectivo de las pruebas por parte de la defensa.

(26)

Europol debe poder tratar los datos personales que haya recibido antes de la entrada en vigor del presente Reglamento y que no atañan a las categorías de interesados enumeradas en el anexo II, y de conformidad con este, en dos supuestos. En el primer supuesto, Europol debe poder tratar dichos datos personales en apoyo a una investigación penal o para garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, siempre que se cumplan los requisitos establecidos en las disposiciones transitorias relativas al tratamiento de los datos personales recibidos en apoyo a una investigación penal. En el segundo supuesto, Europol debe poder comprobar si dichos datos personales atañen a alguna de las categorías de interesados enumeradas en el anexo II, mediante la realización de un análisis preliminar de dichos datos personales durante un plazo máximo de dieciocho meses a partir de la fecha en que se recibieran por primera vez o, en casos justificados y previa autorización del SEPD, durante un plazo más largo. El plazo máximo de tratamiento de datos personales a efectos de dicho análisis preliminar no debe exceder de tres años a partir de la fecha en que Europol los recibiera por primera vez.

(27)

Los casos transfronterizos de delincuencia grave o terrorismo requieren una estrecha cooperación entre las autoridades competentes de los Estados miembros afectados. Europol proporciona herramientas para apoyar esta cooperación en las investigaciones, en particular, mediante el intercambio de información. Para reforzar aún más esta cooperación en investigaciones penales específicas mediante análisis operativos conjuntos, los Estados miembros deben poder permitir a otros Estados miembros acceder directamente a la información que hayan facilitado a Europol, sin perjuicio de las restricciones generales o específicas que hayan indicado para la consulta de dicha información. Todo tratamiento de datos personales por parte de los Estados miembros en el marco de un análisis operativo conjunto debe llevarse a cabo de conformidad con el presente Reglamento y la Directiva (UE) 2016/680.

(28)

Europol y la Fiscalía Europea deben celebrar un acuerdo de trabajo que establezca las modalidades de su cooperación, teniendo debidamente en cuenta sus competencias respectivas. Europol debe colaborar estrechamente con la Fiscalía Europea y apoyar activamente sus investigaciones a petición de esta, también proporcionando apoyo analítico e información pertinente. Asimismo, Europol debe cooperar con la Fiscalía Europea desde el momento en que se denuncie un presunto delito ante la Fiscalía Europea hasta el momento en que esta determine si debe ejercer la acción penal o archivar el asunto. Europol debe informar sin demora indebida a la Fiscalía Europea de cualquier conducta delictiva respecto de la que la Fiscalía Europea pueda ejercer su competencia. Para mejorar la cooperación operativa entre Europol y la Fiscalía Europea, Europol debe permitir que la Fiscalía Europea tenga acceso a los datos en poder de Europol, sobre la base de un sistema de respuesta positiva o negativa que notifique solo a Europol en caso de respuesta positiva, de conformidad con el presente Reglamento, incluidas las posibles restricciones indicadas por el proveedor de la información a Europol. Si la información se encuentra sujeta a una restricción indicada por un Estado miembro, Europol debe remitir el asunto a dicho Estado miembro para que este dé cumplimiento a sus obligaciones en virtud del Reglamento (UE) 2017/1939. El Estado miembro de que se trate debe informar posteriormente a la Fiscalía Europea de conformidad con su procedimiento nacional. Las normas sobre transmisión de datos personales a los organismos de la Unión establecidas en el presente Reglamento deben aplicarse a la cooperación de Europol con la Fiscalía Europea. Europol también debe poder apoyar las investigaciones de la Fiscalía Europea mediante el análisis de conjuntos de datos voluminosos y complejos en consonancia con las salvaguardias y las garantías en materia de protección de datos previstas en el presente Reglamento.

(29)

Europol debe cooperar estrechamente con la Oficina Europea de Lucha contra el Fraude (OLAF) para detectar el fraude, la corrupción y cualquier otra actividad ilegal que afecte a los intereses financieros de la Unión. A tal fin, Europol debe transmitir sin demora indebida a la OLAF cualquier información respecto de la cual la OLAF pueda ejercer su competencia. Las normas sobre transmisión de datos personales a los organismos de la Unión establecidas en el presente Reglamento deben aplicarse a la cooperación de Europol con la OLAF.

(30)

La delincuencia grave y el terrorismo suelen tener conexiones fuera de la Unión. Europol puede intercambiar datos personales con terceros países, salvaguardando al mismo tiempo la protección de la intimidad y los derechos y libertades fundamentales de los interesados. Cuando sea fundamental para la investigación de un delito específico que se incluya en los objetivos de Europol, debe permitirse al director ejecutivo autorizar una categoría de transferencias de datos personales a terceros países, en función del caso concreto, cuando esa categoría de transferencias esté relacionada con la misma situación específica, conste de las mismas categorías de datos personales y las mismas categorías de interesados, sea necesaria y proporcionada a efectos de investigación de un delito específico y cumpla todos los requisitos del presente Reglamento. Las transferencias individuales que entren en una de las categorías de transferencias deben poder incluir solamente algunas de las categorías de datos personales y categorías de interesados cuya transferencia haya autorizado el director ejecutivo. Asimismo, debe ser posible autorizar una categoría de transferencias de datos personales en las situaciones específicas siguientes: cuando la transferencia de datos personales sea necesaria para proteger los intereses vitales del interesado o de otra persona; cuando la transferencia de datos personales sea esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país; cuando la finalidad de la transferencia de datos personales consista en salvaguardar los intereses legítimos del interesado; o, en casos concretos, cuando se haga a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales o se haga para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal o la ejecución de una sanción penal específica.

(31)

Las transferencias que no se basen en una autorización del director ejecutivo, una decisión de adecuación, un acuerdo internacional o un acuerdo de cooperación solo deben permitirse cuando se hayan establecido las garantías adecuadas en un instrumento jurídicamente vinculante relativas a la protección de los datos personales o cuando Europol llegue a la conclusión, basándose en una valoración de todas las circunstancias que rodean a la transferencia de los datos personales, de que existen dichas garantías. A los efectos de dicha valoración, Europol debe poder tener en cuenta los acuerdos bilaterales celebrados entre Estados miembros y terceros países que permitan el intercambio de datos personales y si la transferencia de datos personales ha de estar sujeta a obligaciones de confidencialidad y al principio de especificidad, garantizando que los datos no sean tratados para otros fines que no sean la transferencia. Además, es importante que Europol tenga en cuenta si los datos personales podrían utilizarse para solicitar, dictar o ejecutar una pena de muerte u otra forma de trato cruel o inhumano. Europol debe poder exigir garantías adicionales.

(32)

Para apoyar a los Estados miembros en la cooperación con entidades privadas cuando estas dispongan de información pertinente para prevenir y combatir la delincuencia grave y el terrorismo, Europol debe poder recibir datos personales procedentes de entidades privadas y, en circunstancias específicas en las que resulte necesario y proporcionado, intercambiar datos personales con entidades privadas.

(33)

Los delincuentes recurren cada vez más a servicios ofrecidos por entidades privadas para comunicarse y llevar a cabo actividades ilegales. Los delincuentes sexuales explotan a niños y comparten imágenes y vídeos que constituyen material de abusos sexuales a menores en todo el mundo en plataformas en línea o con pares a través de servicios de comunicaciones interpersonales independientes de la numeración. Los terroristas utilizan los servicios ofrecidos por proveedores de servicios en línea para reclutar voluntarios, planificar y coordinar atentados y difundir propaganda. Los ciberdelincuentes se aprovechan de la digitalización de nuestras sociedades y de la falta de cultura y capacidades digitales y otras competencias digitales del público en general, utilizando la suplantación de identidad y la ingeniería social para cometer otros tipos de ciberdelitos, como las estafas en línea, los ataques con programas de secuestro o el fraude en los pagos. Como resultado del mayor uso de los servicios en línea por parte de los delincuentes, las entidades privadas poseen cantidades cada vez mayores de datos personales, incluidos datos sobre el abonado, el tráfico y el contenido, que pueden ser pertinentes para las investigaciones penales.

(34)

Dada la naturaleza transfronteriza de internet, cabe la posibilidad de que el proveedor de servicios en línea y la infraestructura digital en la que se conservan los datos personales estén sujetos cada uno al ámbito de competencia de distintos territorios, ya sea dentro o fuera de la Unión. Por lo tanto, las entidades privadas pueden poseer conjuntos de datos pertinentes para las autoridades policiales y que contengan datos personales que sean competencia de varios territorios, así como datos personales que no puedan atribuirse fácilmente al ámbito de competencia de ningún territorio concreto. A las autoridades competentes de los Estados miembros les puede resultar difícil analizar eficazmente estos conjuntos de datos que sean competencia de varios territorios o que no puedan atribuirse a ninguno en concreto mediante soluciones nacionales. Además, en la actualidad no existe un punto de contacto único para las entidades privadas que decidan compartir de forma legal y voluntaria conjuntos de datos con las autoridades competentes de los Estados miembros. Por consiguiente, Europol debe disponer de medidas para facilitar la cooperación de las entidades privadas, también en lo que respecta al intercambio de información.

(35)

Para garantizar que las entidades privadas dispongan de un punto de contacto a nivel de la Unión para facilitar de forma legal y voluntaria conjuntos de datos que sean competencia de varios territorios o conjuntos de datos que no puedan atribuirse fácilmente a uno o varios territorios concretos, Europol debe poder recibir datos personales directamente de entidades privadas con el fin de facilitar a los Estados miembros la información necesaria para determinar el territorio competente e investigar delitos en los territorios correspondientes, de conformidad con el presente Reglamento. Dicha información podría incluir informes de contenido moderado respecto a los que pueda suponerse razonablemente su vinculación con actividades delictivas que se incluyen en los objetivos de Europol.

(36)

Para garantizar que los Estados miembros reciban la información necesaria para iniciar investigaciones destinadas a prevenir y combatir la delincuencia grave y el terrorismo sin demora indebida, Europol debe poder tratar y analizar datos personales con el fin de determinar las unidades nacionales afectadas y transmitirles los datos personales y cualquier resultado de su análisis y comprobación de dichos datos que sean pertinentes para determinar el territorio competente e investigar los delitos de que se trate en sus respectivos territorios. Europol también debe poder transmitir los datos personales y los resultados de su análisis y comprobación de dichos datos que sean pertinentes para determinar el territorio competente a los puntos de contacto o las autoridades de los terceros países de que se trate que sean objeto de una decisión de adecuación, o con los que se haya celebrado un acuerdo internacional o un acuerdo de cooperación, o cuando se establezcan, en un instrumento jurídicamente vinculante, garantías adecuadas en relación con la protección de los datos personales, o cuando Europol llegue a la conclusión, basándose en una valoración de todas las circunstancias que rodean a la transferencia de datos personales, de que existen dichas garantías en esos terceros países. Cuando el tercer país de que se trate no sea objeto de una decisión de adecuación o no sea parte en un acuerdo internacional o de cooperación o no exista ningún instrumento jurídicamente vinculante, o cuando Europol no llegue a la conclusión de que existen garantías adecuadas, Europol debe poder transferir el resultado de su análisis y comprobación de dichos datos al tercer país de que se trate de conformidad con el presente Reglamento.

(37)

De conformidad con el Reglamento (UE) 2016/794, en determinados casos y con condiciones, puede resultar necesario y proporcionado que Europol transfiera datos personales a entidades privadas que no estén establecidas en la Unión o en un tercer país que sea objeto de una decisión de adecuación o con el que se haya celebrado un acuerdo internacional o de cooperación, o cuando no se hayan establecido, en un instrumento jurídicamente vinculante, garantías adecuadas en relación con la protección de los datos personales, o cuando Europol no llegue a la conclusión de que existen garantías adecuadas. En tales casos, la transmisión debe estar sujeta a la autorización previa del director ejecutivo.

(38)

Para garantizar que esté en condiciones de determinar todas las unidades nacionales afectadas, Europol debe poder contactar con las entidades privadas si la información que hayan proporcionado es insuficiente para que Europol pueda determinar las unidades nacionales afectadas. Esto permitiría a dichas entidades privadas decidir si les interesa compartir información adicional con Europol y si pueden hacerlo legalmente. A tal fin, Europol debe poder informar a las entidades privadas de información que falte, en la medida en que ello resulte estrictamente necesario para el único propósito de determinar las unidades nacionales afectadas. Deben aplicarse garantías especiales a las transferencias de información de Europol a las entidades privadas, en aquellos casos en los que la entidad privada de que se trate no esté establecida en la Unión o en un tercer país que sea objeto de una decisión de adecuación o con el que se haya celebrado un acuerdo internacional o de cooperación, o cuando no se establezcan, en un instrumento jurídicamente vinculante, garantías adecuadas en relación con la protección de los datos personales, o cuando Europol no llegue a la conclusión de que existen dichas garantías adecuadas.

(39)

Cuando los Estados miembros, terceros países, organizaciones internacionales o entidades privadas comparten con Europol conjuntos de datos que sean competencia de varios territorios o conjuntos de datos que no puedan atribuirse al ámbito de competencia de uno o varios territorios concretos, es posible que dichos conjuntos de datos estén vinculados a datos personales en poder de entidades privadas. En tales situaciones, Europol debe poder enviar una solicitud a los Estados miembros, a través de sus unidades nacionales, para obtener los datos personales en poder de entidades privadas que estén establecidas o tengan un representante legal en el territorio de dichos Estados miembros. Dicha solicitud solo debe formularse cuando sea necesario obtener información adicional de tales entidades privadas para determinar a las unidades nacionales afectadas. La solicitud debe estar motivada y ser lo más precisa posible. Los datos personales pertinentes, que deben tener el carácter menos sensible posible y deben limitarse a lo estrictamente necesario y proporcionado para determinar las unidades nacionales pertinentes, deben facilitarse a Europol de conformidad con el Derecho aplicable de los Estados miembros afectados. Las autoridades competentes de los Estados miembros afectados deben examinar la solicitud de Europol y decidir, de conformidad con su Derecho nacional, si acceder a ella. Cualquier tratamiento de datos por parte de entidades privadas que se lleve a cabo al tramitar dichas solicitudes de las autoridades competentes de los Estados miembros debe permanecer sujeto al Derecho aplicable, en particular, en materia de protección de datos. Las entidades privadas deben facilitar a las autoridades competentes de los Estados miembros los datos requeridos para su posterior transmisión a Europol. En muchos casos, es posible que los Estados miembros afectados no puedan establecer un vínculo con su territorio más que por el hecho de que la entidad privada en poder de los datos pertinentes está establecida o representada legalmente en su territorio. Con independencia de si tienen o no competencia respecto al delito específico, los Estados miembros deben velar por que sus autoridades nacionales competentes puedan obtener datos personales procedentes de entidades privadas con el fin de facilitar a Europol la información necesaria para lograr sus objetivos, respetando plenamente las garantías procesales establecidas en su Derecho nacional.

(40)

Para garantizar que Europol no conserve los datos personales recibidos directamente de entidades privadas más tiempo del necesario para determinar las unidades nacionales afectadas, deben aplicarse plazos para la conservación de datos personales por parte de Europol. Una vez que Europol haya agotado todos los medios a su alcance para determinar las unidades nacionales afectadas y no pueda esperar razonablemente determinar otras unidades nacionales afectadas, la conservación de dichos datos personales ya no será necesaria ni proporcionada para determinar las unidades nacionales afectadas. Europol debe cancelar los datos personales en un plazo de cuatro meses a partir de su última transmisión, de haberlos transmitido a una unidad nacional o haberlos transferido al punto de contacto de un tercer país o a una autoridad de un tercer país, a menos que, de conformidad con el Derecho de la Unión y el Derecho nacional, una unidad nacional, un punto de contacto o una autoridad afectada vuelva a facilitar a Europol los datos personales como datos propios en ese plazo. Si los datos personales que se hayan vuelto a facilitar formaban parte de un conjunto más amplio de datos personales, Europol solo debe conservar aquellos datos personales que se hayan vuelto a facilitar por una unidad nacional, un punto de contacto o una autoridad afectada.

(41)

La cooperación de Europol con entidades privadas no debe suponer una duplicidad en las actividades de las unidades de información (o inteligencia) financiera (UIF) establecidas con arreglo a la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo (12), ni interferir con dichas actividades, y debe concernir únicamente a información que aún no deba facilitarse a las UIF de conformidad con dicha Directiva. Europol debe seguir cooperando con las UIF, en particular, a través de las unidades nacionales.

(42)

Europol debe poder prestar el apoyo necesario para que las autoridades competentes de los Estados miembros puedan interactuar con entidades privadas, en particular, proporcionando la infraestructura necesaria para esta interacción, por ejemplo, cuando las autoridades competentes de los Estados miembros remitan contenidos terroristas en línea, envíen órdenes de retirada de dicho contenido a proveedores de servicios en línea de conformidad con el Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo (13), o intercambien información con entidades privadas en el contexto de ciberataques. Cuando los Estados miembros utilicen la infraestructura de Europol para el intercambio de datos personales sobre delitos que no se incluyan en los objetivos de Europol, Europol no debe tener acceso a tales datos. Europol debe asegurarse por medios técnicos de que dicha infraestructura se limita estrictamente a proporcionar un canal para las interacciones entre las autoridades competentes de los Estados miembros y una entidad privada, y de que Europol proporciona todas las garantías necesarias para evitar el acceso por parte de una entidad privada a cualquier otra información en los sistemas de Europol que no guarde relación con el intercambio con dicha entidad privada.

(43)

Los atentados terroristas desencadenan la difusión a gran escala de contenidos terroristas a través de plataformas en línea que muestran imágenes de agresiones contra la vida o la integridad física o que incitan a agresiones inminentes contra la vida o la integridad física, propiciando así la glorificación del terrorismo y que se proporcione formación para este y, en última instancia, la radicalización y el reclutamiento de otras personas. Además, el mayor uso de internet para registrar o compartir el material de abusos sexuales a menores perpetúa el daño a las víctimas, ya que el material puede multiplicarse y distribuirse con facilidad. Con el fin de prevenir y combatir los delitos que se incluyen en los objetivos de Europol, Europol debe poder respaldar las acciones de los Estados miembros para hacer frente eficazmente a la difusión de contenidos terroristas en el contexto de situaciones de crisis en línea derivadas de acontecimientos reales actuales o recientes, la difusión en línea de material en línea de abusos sexuales a menores, y para apoyar las actuaciones de los proveedores de servicios de conformidad con sus obligaciones en virtud del Derecho de la Unión y sus actuaciones voluntarias. A tal fin, Europol debe poder intercambiar los datos personales pertinentes -incluidas las firmas digitales únicas y no reconvertibles (“hash”), las direcciones IP o las URL relacionadas con dichos contenidos- con entidades privadas establecidas en la Unión o en un tercer país que sea objeto de una decisión de adecuación o, a falta de tal decisión, con el que se haya celebrado un acuerdo internacional o de cooperación, o cuando se establezcan, en un instrumento jurídicamente vinculante, garantías adecuadas en relación con la protección de los datos personales, o Europol llegue a la conclusión, basándose en una valoración de todas las circunstancias que rodean a la transferencia de datos personales, de que existen dichas garantías en ese tercer país. Dichos intercambios de datos personales solo deben tener lugar con el fin de suprimir contenidos terroristas y material en línea de abusos sexuales a menores, en particular, cuando se prevea la multiplicación exponencial y viralidad de dicho contenido y material a través de múltiples proveedores de servicios en línea. Nada de lo dispuesto en el presente Reglamento debe entenderse en el sentido de que impida a un Estado miembro utilizar las órdenes de retirada previstas en el Reglamento (UE) 2021/784 como instrumento para combatir los contenidos terroristas en línea.

(44)

Con el fin de evitar una duplicación de esfuerzos y posibles interferencias con las investigaciones, y minimizar la carga para los prestadores afectados de servicios de alojamiento de datos, Europol debe apoyar, intercambiar información y cooperar con las autoridades competentes de los Estados miembros en relación con las transmisiones y transferencias de datos personales a entidades privadas para hacer frente a situaciones de crisis en línea y a la difusión en línea de material en línea de abusos sexuales a menores.

(45)

El Reglamento (UE) 2018/1725 establece normas sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión. Si bien el Reglamento (UE) 2018/1725 se aplica al tratamiento de datos personales administrativos por parte de Europol que no guardan relación con investigaciones penales, como, por ejemplo, los datos del personal, el artículo 3, punto 2, y el capítulo IX de dicho Reglamento, que regulan el tratamiento de datos personales, no se aplican actualmente a Europol. A fin de garantizar la protección uniforme y coherente de las personas físicas en lo que respecta al tratamiento de datos personales, el capítulo IX del Reglamento (UE) 2018/1725 debe aplicarse a Europol, de conformidad con el artículo 2, apartado 2, de dicho Reglamento, y debe complementarse con disposiciones específicas para las operaciones específicas de tratamiento que Europol debe llevar a cabo para desempeñar sus funciones. Por consiguiente, se deben reforzar las competencias de supervisión del SEPD en relación con las operaciones de tratamiento de Europol, en consonancia con las correspondientes competencias aplicables al tratamiento de datos personales administrativos que se aplican a todas las instituciones, órganos y organismos de la Unión con arreglo al capítulo VI del Reglamento (UE) 2018/1725. A tal fin, cuando Europol trate datos personales para fines operativos, el SEPD debe poder ordenar a Europol que haga que sus operaciones de tratamiento cumplan el presente Reglamento y ordenar la suspensión de los flujos de datos a un destinatario en un Estado miembro, un tercer país o un organismo internacional, y debe poder imponer una sanción administrativa en caso de incumplimiento por parte de Europol.

(46)

El tratamiento de datos a efectos del presente Reglamento podría implicar el tratamiento de categorías especiales de datos personales tal como establece el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (14). El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues las fotografías se encuentran comprendidas en la definición de datos biométricos del artículo 3, punto 18, del Reglamento (UE) 2018/1725 solamente cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física.

(47)

El mecanismo de consulta previa en el que participa el SEPD, establecido por el Reglamento (UE) 2018/1725, es una salvaguardia importante para los nuevos tipos de operaciones de tratamiento. Sin embargo, dicho mecanismo no debe aplicarse a actividades operativas específicas, como los proyectos de análisis operativos, sino al uso de nuevos sistemas informáticos (TI) para el tratamiento de datos personales y a cualesquiera cambios importantes de dichos sistemas que impliquen un riesgo elevado para los derechos y libertades de los interesados. El plazo en el que debe exigirse al SEPD que proporcione asesoramiento por escrito en relación con dichas consultas no debe poder suspenderse. En el caso del tratamiento de actividades de gravedad significativa para el desempeño de las funciones de Europol, que son especialmente urgentes, Europol debe poder, con carácter excepcional, comenzar el tratamiento una vez iniciada la consulta previa, incluso si el plazo para la prestación de asesoramiento por escrito por parte del SEPD aún no ha vencido. Dicha urgencia puede surgir en situaciones de importancia significativa para el desempeño de las funciones de Europol, cuando el tratamiento sea necesario para prevenir y hacer frente a una amenaza inmediata de un delito que se incluya en los objetivos de Europol y para proteger los intereses vitales del interesado o de otra persona. El responsable de protección de datos de Europol debe participar en la valoración de la urgencia y la necesidad de dicho tratamiento antes del vencimiento del plazo para que el SEPD responda a la consulta previa. El responsable de protección de datos de Europol debe supervisar dicho tratamiento. El SEPD debe poder ejercer sus competencias en relación con este tratamiento.

(48)

Habida cuenta de los retos que el rápido desarrollo tecnológico y la explotación de las nuevas tecnologías por parte de terroristas y otros delincuentes plantean para la seguridad de la Unión, las autoridades competentes de los Estados miembros necesitan reforzar sus capacidades tecnológicas para determinar, asegurar y analizar los datos necesarios para investigar infracciones penales. Europol debe poder apoyar a los Estados miembros en el uso de tecnologías emergentes, en la consideración de nuevos enfoques y en el desarrollo de soluciones tecnológicas comunes para que los Estados miembros prevengan y combatan mejor los delitos que se incluyen en los objetivos de Europol. Al mismo tiempo, Europol debe garantizar que el desarrollo, el uso y el despliegue de nuevas tecnologías se guían por los principios de transparencia, explicabilidad, equidad y rendición de cuentas, no socavan los derechos y libertades fundamentales y cumplen el Derecho de la Unión. A tal efecto, Europol debe poder llevar a cabo proyectos de investigación e innovación en relación con las materias reguladas por el presente Reglamento, dentro del alcance general de los proyectos de investigación e innovación establecidos por el Consejo de Administración en un documento vinculante. Dicho documento debe actualizarse cuando proceda y facilitarse al SEPD. Debe ser posible que tales proyectos incluyan el tratamiento de datos personales únicamente cuando se cumplan determinadas condiciones, a saber, que el tratamiento de datos personales sea estrictamente necesario, que el objetivo del proyecto en cuestión no pueda lograrse mediante el uso de datos no personales o anónimos, y que se garantice el pleno respeto de los derechos fundamentales, en particular, la no discriminación.

El tratamiento de categorías especiales de datos personales con fines de investigación e innovación únicamente debe permitirse cuando sea estrictamente necesario. Dado el carácter sensible de dicho tratamiento, deben aplicarse garantías adicionales adecuadas, incluida la seudonimización. Para evitar sesgos en la toma de decisiones algorítmica, debe permitirse a Europol tratar datos personales que no atañan a las categorías de interesados enumeradas en el anexo II. Europol debe llevar registros de todo el tratamiento de datos personales realizado en el contexto de sus proyectos de investigación e innovación únicamente con el fin de comprobar la exactitud de los resultados del tratamiento de datos y únicamente durante el tiempo necesario para dicha comprobación. Las disposiciones sobre el desarrollo de nuevas herramientas por parte de Europol no deben constituir una base jurídica para su despliegue a escala de la Unión o nacional. Para dirigir la innovación y reforzar las sinergias en proyectos de investigación e innovación, es importante que Europol intensifique su cooperación con las redes pertinentes de profesionales de los Estados miembros y de otros organismos de la Unión dentro de sus respectivas competencias en ese ámbito, así como que apoye otras formas de cooperación relacionadas, como un apoyo de secretaría al Centro Europeo de Innovación para la Seguridad Interior en tanto que red colaborativa de laboratorios de innovación.

(49)

Europol debe desempeñar un papel clave a la hora de ayudar a los Estados miembros a desarrollar nuevas soluciones tecnológicas basadas en la inteligencia artificial que sean pertinentes para el logro de los objetivos de Europol y que beneficien a las autoridades competentes de los Estados miembros en toda la Unión. Dicha ayuda debe prestarse con pleno respeto a los derechos y libertades fundamentales, incluida la no discriminación. Europol debe desempeñar un papel clave en la promoción del desarrollo y el despliegue de una inteligencia artificial ética, fiable y centrada en el ser humano que esté sujeta a garantías sólidas en términos de protección, seguridad, transparencia, explicabilidad y derechos fundamentales.

(50)

Europol debe informar al SEPD antes de poner en marcha proyectos de investigación e innovación que impliquen el tratamiento de datos personales. Europol debe informar o consultar a su Consejo de Administración, conforme a determinados criterios que se deben fijar en directrices pertinentes. Europol no debe tratar datos para fines de proyectos de investigación e innovación sin el consentimiento del Estado miembro, el organismo de la Unión, el tercer país o la organización internacional que haya facilitado los datos a Europol, a menos que dicho Estado miembro, organismo de la Unión, tercer país u organización internacional haya otorgado su autorización previa a dicho tratamiento para tales fines. Para cada proyecto, Europol debe llevar a cabo, antes del tratamiento, una evaluación de impacto sobre la protección de datos para garantizar el respeto pleno de la protección de los datos y todos los demás derechos y libertades fundamentales de los interesados. La evaluación de impacto sobre la protección de datos debe incluir una valoración de la idoneidad, necesidad y proporcionalidad de los datos personales que vayan a tratarse para los fines específicos del proyecto, incluido el requisito de minimización de datos y una evaluación de cualquier posible sesgo en el resultado y en los datos personales que vayan a tratarse para los fines específicos del proyecto, así como las medidas previstas para hacer frente a esos riesgos. El desarrollo de nuevas herramientas por parte de Europol debe entenderse sin perjuicio de la base jurídica, incluidos los motivos para el tratamiento de los datos personales de que se trate, que posteriormente sería necesaria para su despliegue a escala de la Unión o nacional.

(51)

Dotar a Europol de herramientas y capacidades adicionales requiere reforzar el control democrático y la rendición de cuentas de esta. El control parlamentario conjunto constituye un elemento importante del seguimiento político de las actividades de Europol. Para permitir un seguimiento político eficaz de la manera en que Europol emplea las herramientas y capacidades adicionales puestas a su disposición en virtud del presente Reglamento, Europol debe proporcionar al Grupo de Control Parlamentario Conjunto (GCPC) y a los Estados miembros información anual detallada sobre el desarrollo, uso y eficacia de tales herramientas y capacidades y el resultado de su uso, en concreto, en relación con proyectos de investigación e innovación, así como nuevas actividades o la creación de nuevos centros especializados en el seno de Europol. Además, se debe invitar a dos representantes del GCPC, uno del Parlamento Europeo y otro de los Parlamentos nacionales, para reflejar la doble circunscripción del GCPC, al menos a dos reuniones ordinarias del Consejo de Administración al año para dirigirse a dicho Consejo de Administración en nombre del GCPC y discutir sobre el informe anual de actividades consolidado, el documento único de programación y el presupuesto anual, las preguntas y respuestas por escrito del GCPC, así como las relaciones exteriores y asociaciones, al mismo tiempo que se respetan las distintas funciones y responsabilidades del Consejo de Administración y del GCPC de conformidad con el presente Reglamento. El Consejo de Administración, junto con los representantes del GCPC, debe poder determinar otros asuntos de interés político que se deban discutir. En consonancia con el papel de supervisión del GCPC, los dos representantes de este órgano no deben tener derechos de voto en el Consejo de Administración. Las actividades de investigación e innovación previstas deben figurar en el documento único de programación que contiene la programación plurianual y el programa de trabajo anual de Europol y deben transmitirse al GCPC.

(52)

A propuesta del director ejecutivo, el Consejo de Administración debe designar un agente de derechos fundamentales que se encargue de apoyar a Europol para que vele por el respeto de los derechos fundamentales en todas sus actividades y tareas, y en particular, en sus proyectos de investigación e innovación y en el intercambio de datos personales con entidades privadas. Debe ser posible designar como agente de derechos fundamentales a un miembro en plantilla de Europol que haya recibido una formación especial jurídica y práctica en materia de derechos fundamentales. El agente de derechos fundamentales debe cooperar estrechamente con el responsable de la protección de datos en el ámbito de sus respectivas competencias. En la medida en que ataña a cuestiones de protección de datos, toda la responsabilidad debe recaer en el agente de derechos fundamentales.

(53)

Dado que el objetivo del presente Reglamento, a saber, apoyar y reforzar la actuación de las autoridades competentes de los Estados miembros y su cooperación mutua en la prevención y la lucha contra la delincuencia grave que afecte a dos o más Estados miembros, el terrorismo y las formas de delincuencia que lesionen un interés común protegido por una política de la Unión, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido al carácter transfronterizo de la delincuencia grave y el terrorismo, y a la necesidad de una respuesta coordinada a las amenazas a la seguridad conexas, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del TUE. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(54)

De conformidad con el artículo 3 del Protocolo n.o 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al TUE y al TFUE , Irlanda ha notificado su deseo de participar en la adopción y aplicación del presente Reglamento.

(55)

De conformidad con los artículos 1 y 2 del Protocolo n.o 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE , Dinamarca no participa en la adopción del presente Reglamento y no queda vinculada por él ni sujeta a su aplicación.

(56)

El SEPD, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 8 de marzo de 2021 (15).

(57)

El presente Reglamento respeta plenamente los derechos y garantías fundamentales, y observa los principios reconocidos, en particular, en la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, “Carta”), especialmente el derecho al respeto de la vida privada y familiar y el derecho a la protección de datos de carácter personal, tal como establecen los artículos 7 y 8 de la Carta, así como el artículo 16 del TFUE. Dada la importancia del tratamiento de datos personales para la labor policial en general, y para el apoyo prestado por Europol en particular, el presente Reglamento debe incluir garantías mejoradas y mecanismos de control democrático y rendición de cuentas para garantizar que las actividades y las tareas de Europol se lleven a cabo en plena conformidad con los derechos fundamentales consagrados en la Carta, en particular, con los derechos a la igualdad ante la ley, la no discriminación y la tutela judicial efectiva ante el órgano jurisdiccional nacional competente frente a cualquiera de las medidas adoptadas con arreglo al presente Reglamento. Todo tratamiento de datos personales en virtud del presente Reglamento se debe limitar a lo estrictamente necesario y proporcionado, y debe estar sujeto a condiciones claras, requisitos estrictos y una supervisión efectiva por parte del SEPD.

(58)

Por lo tanto, procede modificar el Reglamento (UE) 2016/794 en consecuencia.

(59)

A fin de permitir la rápida aplicación de las medidas establecidas en el presente Reglamento, este debe entrar en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

El Reglamento (UE) 2016/794 se modifica como sigue:

El artículo 2 se modifica como sigue:

se suprimen las letras h) a k) y las letras m), n) y o);

la letra p) se sustituye por el texto siguiente:

“p)

“datos personales administrativos”: los datos personales tratados por Europol que no sean datos personales operativos;”;

se añaden las letras siguientes:

“q)

“datos de investigación”: los datos que un Estado miembro, la Fiscalía Europea creada por el Reglamento (UE) 2017/1939 del Consejo (*1), Eurojust o un tercer país esté autorizado a tratar en una investigación penal en curso relacionada con uno o varios Estados miembros, de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión o nacional, que un Estado miembro, la Fiscalía Europea, Eurojust o un tercer país haya facilitado a Europol en apoyo de dicha investigación penal en curso y que contengan datos personales que no atañan a las categorías de interesados enumeradas en el anexo II;

“contenidos terroristas”: los contenidos terroristas tal como se definen en el artículo 2, punto 7, del Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo (*2);

“material en línea de abusos sexuales a menores”: el material en línea que constituya pornografía infantil tal como se define esta en el artículo 2 , letra c), de la Directiva 2011/93/UE del Parlamento Europeo y del Consejo (*3) o espectáculo pornográfico tal como se define este en el artículo 2, letra e), de dicha Directiva;

“situación de crisis en línea”: la difusión de contenido en línea derivado de un acontecimiento real actual o reciente, que muestre imágenes de agresiones contra la vida o la integridad física o que incite a agresiones inminentes contra la vida o la integridad física y que tenga por objeto o por efecto intimidar gravemente a una población, siempre que exista un vínculo, o una sospecha razonable de un vínculo, con el terrorismo o el extremismo violento y que se prevean una potencial multiplicación exponencial y una difusión viral de ese contenido a través de múltiples servicios en línea;

“categoría de transferencias de datos personales”: un conjunto de transferencias de datos personales cuando los datos se refieran a la misma situación específica y cuando las transferencias consistan en las mismas categorías de datos personales y las mismas categorías de interesados;

“proyectos de investigación e innovación”: los proyectos relativos a las materias reguladas por el presente Reglamento, que tengan por objeto el desarrollo, el entrenamiento, la prueba y la validación de algoritmos para el desarrollo de herramientas específicas, y otros proyectos específicos de investigación e innovación que resulten pertinentes para lograr los objetivos de Europol.

(*1) Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1)."

(*2) Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo, de 29 de abril de 2021, sobre la lucha contra la difusión de contenidos terroristas en línea (DO L 172 de 17.5.2021, p. 79)."

(*3) Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión Marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).”."

El artículo 4 se modifica como sigue:

el apartado 1 se modifica como sigue:

se inserta la letra siguiente:

“h bis)

prestar apoyo administrativo y financiero a las unidades especiales de intervención de los Estados miembros a que se refiere la Decisión 2008/617/JAI del Consejo (*4).

(*4) Decisión 2008/617/JAI del Consejo, de 23 de junio de 2008, sobre la mejora de la cooperación entre las unidades especiales de intervención de los Estados miembros de la Unión Europea en situaciones de crisis (DO L 210 de 6.8.2008, p. 73).”,"

ii)

la letra j) se sustituye por el texto siguiente:

“j)

cooperar con los organismos de la Unión establecidos sobre la base del título V del TFUE , con la OLAF y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) creada por el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (*5), en particular, mediante el intercambio de información y la prestación de apoyo analítico en ámbitos incluidos dentro de sus respectivas competencias;

(*5) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (“Reglamento sobre la Ciberseguridad”) (DO L 151 de 7.6.2019, p. 15).”,"

iii)

la letra m) se sustituye por el texto siguiente:

“m)

respaldar las acciones de los Estados miembros para prevenir y combatir las formas de delincuencia enumeradas en el anexo I que hayan sido facilitadas, fomentadas o cometidas a través de internet, incluyendo las siguientes actuaciones:

ayudar a las autoridades competentes de los Estados miembros, a petición de estas, a responder a ciberataques de presunto origen delictivo,

ii)

cooperar con las autoridades competentes de los Estados miembros en relación con las órdenes de retirada, de conformidad con el artículo 14 del Reglamento (UE) 2021/784, y

iii)

notificar contenidos en línea a los proveedores de servicios en línea de que se trate para que examinen de manera voluntaria la compatibilidad de esos contenidos con sus propias condiciones contractuales.”,

iv)

se añaden las letras siguientes:

“r)

apoyar a los Estados miembros en la identificación de las personas cuyas actividades delictivas se incluyen en las formas de delincuencia enumeradas en el anexo I y que constituyen un alto riesgo para la seguridad;

facilitar investigaciones conjuntas, coordinadas y prioritarias en relación con las personas a que se refiere la letra r);

apoyar a los Estados miembros en el tratamiento de los datos sobre personas implicadas en terrorismo o en formas de delincuencia grave facilitados a Europol por terceros países u organizaciones internacionales y proponer la posible introducción por parte de los Estados miembros, a su discreción y a reserva de su propia comprobación y análisis de dichos datos, de las descripciones de información en interés de la Unión relativas a nacionales de terceros países (en lo sucesivo, “descripciones de información”) en el Sistema de Información de Schengen (SIS), de conformidad con el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo (*6);

apoyar la aplicación del mecanismo de evaluación y seguimiento para verificar la aplicación del acervo de Schengen que establece el Reglamento (UE) n.o 1053/2013, dentro del ámbito de los objetivos de Europol, proporcionando conocimientos especializados y análisis, cuando sea pertinente;

hacer un seguimiento proactivo de las actividades de investigación e innovación que sean pertinentes para el logro de los objetivos de Europol y contribuir a tales actividades mediante un apoyo a las actividades conexas de los Estados miembros y mediante la ejecución de sus propias actividades de investigación e innovación, incluidos los proyectos de desarrollo, entrenamiento, prueba y validación de algoritmos para el desarrollo de herramientas específicas para su uso por las autoridades policiales, y difundir los resultados de dichas actividades entre los Estados miembros de conformidad con el artículo 67;

contribuir a crear sinergias entre las actividades de investigación e innovación de los organismos de la Unión, que sean pertinentes para el logro de los objetivos de Europol, también por medio del Centro de Innovación de la UE para la Seguridad Interior, y en estrecha colaboración con los Estados miembros;

apoyar, previa solicitud de los Estados miembros, las acciones de estos para hacer frente a situaciones de crisis en línea, en particular, proporcionando a las entidades privadas la información necesaria para identificar los contenidos en línea pertinentes;

respaldar las acciones de los Estados miembros para hacer frente a la difusión en línea de material en línea de abusos sexuales a menores;

cooperar, de conformidad con el artículo 12 de la Directiva (UE) 2019/1153 del Parlamento Europeo y del Consejo (*7), con las unidades de inteligencia financiera (UIF) establecidas con arreglo a la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo (*8), por medio de la correspondiente unidad nacional de Europol o, si así lo permite el Estado miembro de que se trate, mediante un contacto directo con las UIF, en particular, intercambiando información y proporcionando análisis a los Estados miembros para apoyar las investigaciones transfronterizas de las actividades de blanqueo de capitales de organizaciones delictivas transnacionales y las de financiación del terrorismo;

(*6) Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo , y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (DO L 312 de 7.12.2018, p. 56)."

(*7) Directiva (UE) 2019/1153 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se establecen normas destinadas a facilitar el uso de información financiera y de otro tipo para la prevención, detección, investigación o enjuiciamiento de infracciones penales y por la que se deroga la Decisión 2000/642/JAI del Consejo (DO L 186 de 11.7.2019, p. 122)."

(*8) Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) n.o 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70 /CE de la Comisión (DO L 141 de 5.6.2015, p. 73).”,"

se añaden los párrafos siguientes:

“Se establecerá un mecanismo de información periódica para que los Estados miembros informen a los demás Estados miembros y a Europol, en un plazo de doce meses desde que Europol haya propuesto la posible introducción de una descripción de información a que se refiere la letra t) del párrafo primero, sobre el resultado de la comprobación y análisis de los datos y sobre si se ha introducido en el SIS alguna descripción.

Los Estados miembros informarán a Europol de cualquier descripción de información introducida en el SIS y de cualquier respuesta positiva en relación con dicha descripción de información, y podrán informar, por medio de Europol, sobre las respuestas positivas relacionadas con dicha descripción de información al tercer país u organización internacional que haya facilitado los datos que hayan dado lugar a la introducción de la descripción de información, de conformidad con el procedimiento establecido en el Reglamento (UE) 2018/1862.”;

en el apartado 2, la segunda frase se sustituye por el texto siguiente:

“Europol prestará asistencia igualmente en la ejecución operativa de esas prioridades, en particular, en el marco de la plataforma multidisciplinar europea contra las amenazas delictivas (EMPACT), también facilitando y ofreciendo apoyo administrativo, logístico, financiero y operativo a las actividades operativas y estratégicas dirigidas por los Estados miembros.”;

en el apartado 3, se añade la frase siguiente:

“Europol también proporcionará análisis de evaluación de amenazas basados en la información que obre en su poder sobre fenómenos y tendencias delictivas para apoyar a la Comisión y a los Estados miembros en la realización de las evaluaciones de riesgos.”;

se insertan los apartados siguientes:

“4 bis. Europol asistirá a los Estados miembros y a la Comisión en la identificación de los temas clave de investigación.

Europol asistirá a la Comisión en la elaboración y ejecución de los programas marco de la Unión para las actividades de investigación e innovación que sean pertinentes para lograr los objetivos de Europol.

Cuando sea conveniente, Europol podrá difundir los resultados de sus actividades de investigación e innovación como parte de su contribución a la creación de sinergias entre las actividades de investigación e innovación de los correspondientes organismos de la Unión, de conformidad con el apartado 1, párrafo primero, letra w).

Europol adoptará todas las medidas necesarias para evitar conflictos de intereses. Europol no podrá recibir financiación de un determinado programa marco de la Unión cuando asista a la Comisión en la identificación de los temas clave de investigación y en la elaboración y ejecución de dicho programa.

A la hora de diseñar y conceptualizar las actividades de investigación e innovación relativas a las materias objeto del presente Reglamento, Europol podrá, en su caso, consultar al Centro Común de Investigación de la Comisión.

4 ter. Europol apoyará a los Estados miembros en el control de casos específicos de inversiones extranjeras directas en la Unión, en lo que respecta a las implicaciones previstas para la seguridad en virtud del Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo (*9) que afecten a empresas que suministren tecnologías, incluidos programas informáticos, utilizadas por Europol para la prevención e investigación de delitos que se incluyan en los objetivos de Europol.

(*9) Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo, de 19 de marzo de 2019, para el control de las inversiones extranjeras directas en la Unión (DO L 79 I de 21.3.2019, p. 1).”;"

el apartado 5 se sustituye por el texto siguiente:

“5. Europol no aplicará medidas coercitivas en el desempeño de sus funciones.

El personal de Europol podrá prestar apoyo operativo a las autoridades competentes de los Estados miembros durante la ejecución de las medidas de investigación, a petición de estas y de conformidad con su Derecho nacional, en particular, facilitando el intercambio transfronterizo de información, proporcionando apoyo criminalístico y técnico, y estando presente durante la ejecución de dichas medidas. El personal de Europol no estará facultado por sí mismo para ejecutar medidas de investigación.”;

se añade el apartado siguiente:

“5 bis. En el ejercicio de sus funciones, Europol respetará los derechos y libertades fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, “Carta”).”.

El artículo 6 se modifica como sigue:

se inserta el apartado siguiente:

“1 bis. Sin perjuicio de lo dispuesto en el apartado 1, cuando el director ejecutivo considere que debe abrirse una investigación penal sobre un delito específico que afecte solo a un Estado miembro pero lesione un interés común protegido por una política de la Unión, podrá proponer a las autoridades competentes del Estado miembro afectado, a través de su unidad nacional, que inicien, realicen o coordinen dicha investigación penal.”;

el apartado 2 se sustituye por el texto siguiente:

“2. Las unidades nacionales informarán sin demora indebida a Europol, en relación con cualquier solicitud formulada con arreglo al apartado 1, o al director ejecutivo, en relación con cualquier propuesta realizada con arreglo al apartado 1 bis, de la decisión de las autoridades competentes de los Estados miembros.”;

el apartado 4 se sustituye por el texto siguiente:

“4. Europol informará de inmediato a Eurojust y, cuando proceda, a la Fiscalía Europea, de cualquier solicitud formulada con arreglo al apartado 1 o cualquier propuesta realizada con arreglo al apartado 1 bis, y de cualquier decisión de una autoridad competente de un Estado miembro con arreglo al apartado 2.”.

En el artículo 7, el apartado 8 se sustituye por el texto siguiente:

“8. Los Estados miembros velarán por que sus UIF estén facultadas para responder, dentro de los límites de sus mandatos y competencias y respetando las garantías procesales nacionales, a las solicitudes debidamente justificadas que formule Europol de conformidad con el artículo 12 de la Directiva (UE) 2019/1153 relativas a información financiera y análisis financieros, bien por medio de su unidad nacional o bien, si así lo permite el correspondiente Estado miembro, mediante contactos directos entre la UIF y Europol.”.

En el artículo 11, el apartado 1 se modifica como sigue:

la letra a) se sustituye por el texto siguiente:

“a)

adoptará cada año el documento único de programación a que se refiere el artículo 32 del Reglamento Delegado (UE) 2019/715 de la Comisión (*10), por mayoría de dos tercios de sus miembros y de conformidad con el artículo 12 del presente Reglamento.

(*10) Reglamento Delegado (UE) 2019/715 de la Comisión, de 18 de diciembre de 2018, relativo al Reglamento Financiero marco de los organismos creados en virtud del TFUE y el Tratado Euratom y a los que se refiere el artículo 70 del Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo (DO L 122 de 10.5.2019, p. 1).”;"

se añaden las letras siguientes:

“v)

designará al agente de derechos fundamentales a que se refiere el artículo 41 quater;

especificará los criterios sobre cuya base Europol podrá formular propuestas para la posible introducción de descripciones de información en el SIS.”.

El artículo 12 se modifica como sigue:

el apartado 1 se sustituye por el texto siguiente:

“1. El Consejo de Administración adoptará a más tardar el 30 de noviembre de cada año un documento único de programación que incluya la programación plurianual de Europol y el programa de trabajo anual, sobre la base de un proyecto presentado por el director ejecutivo, teniendo en cuenta el dictamen de la Comisión y, en lo que respecta a la programación plurianual, previa consulta al Grupo de Control Parlamentario Conjunto (GCPC).

Cuando el Consejo de Administración decida no tener en cuenta el dictamen de la Comisión mencionado en el párrafo primero, en su totalidad o en parte, Europol proporcionará una justificación exhaustiva.

Cuando el Consejo de Administración decida no tener en cuenta ninguna de las cuestiones planteadas por el GCPC de conformidad con el artículo 51, apartado 2, letra c), Europol proporcionará una justificación exhaustiva.

Una vez se haya adoptado el documento único de programación, el Consejo de Administración lo remitirá al Consejo, a la Comisión y al GCPC.”;

En el apartado 2, el párrafo primero se sustituye por el texto siguiente:

“La programación plurianual fijará la programación estratégica general, incluidos los objetivos, los resultados esperados y los indicadores de rendimiento. También establecerá la planificación de los recursos, incluidos el presupuesto plurianual y la plantilla de personal. Incluirá la estrategia sobre las relaciones con terceros países u organizaciones internacionales y las actividades de investigación e innovación previstas por Europol.”.

En el artículo 14, el apartado 4 se sustituye por el texto siguiente:

“4. El Consejo de Administración podrá invitar a sus reuniones, en calidad de observador sin derecho a voto, a cualquier persona cuya opinión pueda ser de interés para la discusión.

Se invitará a dos representantes del GCPC a asistir a dos reuniones ordinarias del Consejo de Administración al año, en calidad de observadores sin derecho a voto para discutir las siguientes cuestiones de interés político:

el informe anual de actividad consolidado mencionado en el artículo 11, apartado 1, letra c), correspondiente al año anterior;

el documento único de programación mencionado en el artículo 12 y correspondiente al año siguiente, así como el presupuesto anual;

las preguntas y respuestas por escrito del GCPC;

las cuestiones relativas a las relaciones exteriores y las asociaciones.

El Consejo de Administración, junto con los representantes del GCPC, podrá determinar otras cuestiones de interés político que deban discutirse en las reuniones mencionadas en el párrafo primero.”.

El artículo 16 se modifica como sigue:

el apartado 3 se sustituye por el texto siguiente:

“3. Tanto el Consejo como el GCPC podrán convocar al director ejecutivo para que informe sobre el ejercicio de sus funciones.”;

el apartado 5 se modifica como sigue:

la letra d) se sustituye por el texto siguiente:

“d)

la preparación del proyecto de documento único de programación a que se refiere el artículo 12 y su presentación al Consejo de Administración, previa consulta a la Comisión y al GCPC;”,

ii)

se inserta la letra siguiente:

“o bis)

la información al Consejo de Administración sobre los memorandos de entendimiento firmados con entidades privadas;”.

El artículo 18 se modifica como sigue:

el apartado 2 se modifica como sigue:

la letra d) se sustituye por el texto siguiente:

“d)

intercambios más ágiles de información entre los Estados miembros, Europol, otros organismos de la Unión, terceros países, organizaciones internacionales y entidades privadas;”,

ii)

se añaden las letras siguientes:

“e)

proyectos de investigación e innovación;

actividades destinadas a apoyar a los Estados miembros, previa solicitud de estos, a la hora de informar al público sobre los sospechosos o las personas condenadas en búsqueda sobre la base de una resolución judicial nacional relativa a un delito que se incluya en los objetivos de Europol, y a facilitar que el público proporcione información sobre dichas personas a los Estados miembros y a Europol.”;

se inserta el apartado siguiente:

“3 bis. De ser necesario para lograr los objetivos de los proyectos de investigación e innovación de Europol, el tratamiento de datos personales con dicho fin se llevará a cabo únicamente en el contexto de proyectos de investigación e innovación de Europol con unos fines y objetivos claramente definidos y de conformidad con el artículo 33 bis.”;

el apartado 5 se sustituye por el texto siguiente:

“5. Sin perjuicio de lo dispuesto en el artículo 8, apartado 4, el artículo 18, apartado 2, letra e), el artículo 18 bis, y del tratamiento de datos en virtud del artículo 26, apartado 6 quater, cuando la infraestructura de Europol se emplee para intercambios bilaterales de datos personales y Europol no disponga de acceso al contenido de los datos, las categorías de datos personales y las categorías de interesados cuyos datos pueden ser recogidos y tratados a efectos del apartado 2 del presente artículo se enumeran en el anexo II.”;

se inserta el apartado siguiente:

“5 bis. De conformidad con el artículo 73 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (*11), cuando corresponda, y en la medida de lo posible, Europol hará una distinción clara entre los datos personales que atañen a las diferentes categorías de interesados enumeradas en el anexo II.

(*11) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).”;"

el apartado 6 se sustituye por el texto siguiente:

“6. Europol podrá tratar datos de forma temporal con el fin de determinar si tales datos son pertinentes para el desempeño de sus funciones y, en caso de que lo sean, para qué fines de los mencionados en el apartado 2. El plazo para el tratamiento de dichos datos no superará los seis meses a partir de la recepción de los datos.”;

se insertan los apartados siguientes:

“6 bis. Antes del tratamiento de datos en aplicación del apartado 2 del presente artículo, cuando resulte estrictamente necesario con el único fin de determinar si los datos personales se ajustan a lo dispuesto en el apartado 5 del presente artículo, Europol podrá tratar temporalmente los datos personales que se le hayan facilitado en virtud del artículo 17, apartados 1 y 2, incluido el cotejo de esos datos con todos los datos que Europol ya trate de conformidad con el apartado 5 del presente artículo.

Europol tratará datos personales en virtud del párrafo primero durante un período máximo de dieciocho meses a partir del momento en que Europol determine que esos datos se incluyen en sus objetivos o, en casos justificados, durante un período más largo, cuando sea necesario a efectos del presente artículo. Europol informará al SEPD de toda ampliación del período de tratamiento. El período máximo de tratamiento de datos en virtud del párrafo primero será de tres años. Dichos datos personales se conservarán de tal modo que exista una separación funcional de otros datos.

Cuando Europol llegue a la conclusión de que los datos personales a los que se refiere el párrafo primero del presente apartado no se ajustan a lo dispuesto en el apartado 5, los suprimirá e informará de ello, en su caso, al proveedor de los datos suprimidos.

6 ter. El Consejo de Administración, a propuesta del director ejecutivo, tras haber consultado al SEPD y teniendo debidamente en cuenta los principios mencionados en el artículo 71 del Reglamento (UE) 2018/1725, especificará las condiciones relativas al tratamiento de los datos a los que se refieren los apartados 6 y 6 bis del presente artículo, en particular, en lo que respecta al suministro, el acceso y el uso de esos datos, así como a los plazos de conservación y supresión de tales datos, que no superarán los indicados en los apartados 6 y 6 bis del presente artículo.”.

10)

se inserta el artículo siguiente:

“Artículo 18 bis

Tratamiento de datos personales en apoyo de una investigación penal

1. Cuando sea necesario para apoyar una investigación penal específica en curso que entre en el ámbito de los objetivos de Europol, Europol podrá tratar los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II en el caso de que:

un Estado miembro, la Fiscalía Europea o Eurojust facilite datos de investigación a Europol en aplicación del artículo 17, apartado 1, letras a) o b), y solicite a Europol apoyo en esa investigación:

mediante un análisis operativo en virtud del artículo 18, apartado 2, letra c), o

ii)

en casos excepcionales y debidamente justificados, mediante controles cruzados en virtud del artículo 18, apartado 2, letra a);

Europol valore que no es posible llevar a cabo el análisis operativo en virtud del artículo 18, apartado 2, letra c), o los controles cruzados en virtud del artículo 18, apartado 2, letra a), en apoyo de dicha investigación sin tratar datos personales que no se ajusten a lo dispuesto en el artículo 18, apartado 5.

Los resultados de la valoración a la que se refiere la letra b) del párrafo primero se registrarán y remitirán al SEPD a título informativo, cuando Europol deje de apoyar la investigación mencionada en el párrafo primero.

2. Cuando el Estado miembro a que se refiere el apartado 1, párrafo primero, letra a), deje de estar autorizado para tratar los datos en la investigación penal específica en curso a la que se refiere el apartado 1, de conformidad con los requisitos y garantías procesales establecidos en virtud del Derecho nacional aplicable, informará a Europol.

Cuando la Fiscalía Europea o Eurojust facilite datos de investigación a Europol y deje de estar autorizada para tratar los datos de la investigación penal específica en curso a la que se refiere el apartado 1, de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión y del Derecho nacional, informará a Europol.

3. Europol podrá tratar los datos de investigación de conformidad con el artículo 18, apartado 2, durante todo el tiempo en que apoye la investigación penal específica en curso para la que se hayan facilitado los datos de investigación de conformidad con el apartado 1, párrafo primero, letra a), del presente artículo, y únicamente con el fin de apoyar dicha investigación.

4. Europol podrá conservar los datos de investigación facilitados de conformidad con el apartado 1, párrafo primero, letra a), y el resultado del tratamiento de dichos datos una vez transcurrido el período de tratamiento indicado en el apartado 3, a petición del proveedor de dichos datos de investigación, con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, y únicamente durante el tiempo en que se esté tramitando el procedimiento judicial relacionado con la investigación penal específica para la que se hayan facilitado dichos datos.

Los proveedores de los datos de investigación a que se refiere el apartado 1, párrafo primero, letra a), o, con su acuerdo, un Estado miembro en el que esté tramitándose un procedimiento judicial relacionado con una investigación penal conexa, podrá solicitar a Europol que conserve los datos de investigación y el resultado de su análisis operativo de dichos datos una vez transcurrido el período de tratamiento indicado en el apartado 3 con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, y únicamente durante el tiempo en que se esté tramitando en dicho otro Estado miembro un procedimiento judicial relacionado con una investigación penal conexa.

5. Sin perjuicio del tratamiento de datos personales con arreglo al artículo 18, apartado 6 bis, los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II se conservarán de tal modo que exista una separación funcional de otros datos y solo se tratarán cuando ello sea necesario y proporcionado para los fines de los apartados 3, 4 y 6 del presente artículo.

El Consejo de Administración, a propuesta del director ejecutivo y previa consulta al SEPD, especificará las condiciones relativas al suministro y al tratamiento de datos personales de conformidad con los apartados 3 y 4.

6. Los apartados 1 a 4 del presente artículo también se aplicarán cuando un tercer país según el artículo 25, apartado 1, letras a), b) o c), o el artículo 25, apartado 4 bis, facilite datos personales a Europol y dicho tercer país le facilite datos de investigación para análisis operativos que contribuyan a la investigación penal específica en uno o varios Estados miembros a los que Europol apoye, siempre que el tercer país obtuviera los datos en el contexto de una investigación penal de conformidad con los requisitos y garantías procesales aplicables en virtud de su Derecho penal nacional.

Cuando un tercer país facilite datos de investigación a Europol de conformidad con el párrafo primero, el responsable de protección de datos podrá notificarlo al SEPD, cuando proceda.

Europol comprobará que la cantidad de datos personales a los que se refiere el párrafo primero no sea manifiestamente desproporcionada en relación con la investigación penal específica en el Estado miembro de que se trate. Cuando Europol llegue a la conclusión de que existen indicios de que tales datos son manifiestamente desproporcionados o han sido obtenidos vulnerando claramente los derechos fundamentales, Europol no tratará los datos y los suprimirá.

Europol podrá consultar los datos personales tratados con arreglo al presente apartado solo cuando sea necesario para apoyar la investigación penal específica para la que hayan sido facilitados. Dichos datos personales se compartirán únicamente dentro de la Unión.”.

11)

En el artículo 19, los apartados 1 y 2 se sustituyen por el texto siguiente:

“1. El Estado miembro, organismo de la Unión, tercer país u organización internacional que facilite información a Europol determinará el fin o los fines para los que deba tratarse dicha información de conformidad con el artículo 18.

Cuando el proveedor de información a que se refiere el párrafo primero no haya cumplido lo dispuesto en dicho párrafo, Europol, de acuerdo con el proveedor de información en cuestión, tratará la información con el fin de determinar la pertinencia de dicha información, así como el fin o los fines de su ulterior tratamiento.

Europol tratará la información con un fin distinto a aquel para el que fue facilitada solo si así lo autoriza el proveedor de la información.

La información facilitada a efectos del artículo 18, apartado 2, letras a) a d), también podrá ser tratada por Europol a efectos del artículo 18, apartado 2, letra e), de conformidad con el artículo 33 bis.

2. Los Estados miembros, organismos de la Unión, terceros países y organizaciones internacionales podrán indicar, en el momento de facilitar la información a Europol, cualquier restricción a su acceso o el uso que se deba hacer de ella, en términos generales o específicos, también por lo que respecta a su transferencia, transmisión, cancelación o destrucción. Cuando la necesidad de tales restricciones se manifieste después de haber facilitado la información, informarán de ello a Europol. Europol cumplirá con esas restricciones.”.

12)

El artículo 20 se modifica como sigue:

se inserta el apartado siguiente:

“2 bis. En el marco de la realización de los proyectos de análisis operativos a que se refiere el artículo 18, apartado 3, y siempre que se cumplan las normas y garantías para el tratamiento de datos personales establecidas en el presente Reglamento, los Estados miembros podrán determinar la información que Europol debe poner directamente a disposición de otros Estados miembros seleccionados a efectos de un análisis operativo conjunto en investigaciones específicas, sin perjuicio de las posibles restricciones indicadas con arreglo al artículo 19, apartado 2, y de conformidad con los procedimientos que se establezcan en las directrices mencionadas en el artículo 18, apartado 7.”;

en el apartado 3, la parte introductoria se sustituye por el texto siguiente:

“3. De conformidad con el Derecho nacional, los Estados miembros tendrán acceso a la información mencionada en los apartados 1, 2 y 2 bis y la tratarán ulteriormente solo a efectos de la prevención, detección, investigación y enjuiciamiento de:”.

13)

Se inserta el artículo siguiente:

“Artículo 20 bis

Relaciones con la Fiscalía Europea

1. Europol entablará y mantendrá una estrecha relación con la Fiscalía Europea. En el marco de dicha relación, Europol y la Fiscalía Europea actuarán dentro de sus respectivos mandatos y competencias. Para ello, celebrarán un acuerdo de trabajo que establezca las modalidades de su cooperación.

2. A solicitud de la Fiscalía Europea de conformidad con el artículo 102 del Reglamento (UE) 2017/1939, Europol apoyará las investigaciones de la Fiscalía Europea y cooperará con ella, facilitando información y apoyo analítico, hasta que la Fiscalía Europea determine si debe ejercer la acción penal o archivar el asunto.

3. A fin de facilitar información a la Fiscalía Europea con arreglo al apartado 2 del presente artículo, Europol adoptará todas las medidas adecuadas para permitir que la Fiscalía Europea tenga acceso indirecto, sobre la base de un sistema de respuesta positiva o negativa, a los datos relacionados con las infracciones que sean competencia de la Fiscalía Europea, facilitados a efectos del artículo 18, apartado 2, letras a), b) y c). Ese sistema de respuesta positiva o negativa dará notificación a Europol solamente en caso de respuesta positiva y sin perjuicio de las posibles restricciones indicadas con arreglo al artículo 19, apartado 2, por los proveedores de información mencionados en el artículo 19, apartado 1.

En caso de respuesta positiva, Europol abrirá el procedimiento para que pueda compartirse la información que generó la respuesta positiva, de conformidad con la decisión del proveedor de la información a la que se refiere el artículo 19, apartado 1, y solo en la medida en que los datos que hayan generado la respuesta positiva resulten pertinentes para la solicitud presentada con arreglo al apartado 2 del presente artículo.

4. Europol informará sin demora indebida a la Fiscalía Europea de cualquier conducta delictiva respecto de la cual la Fiscalía Europea pueda ejercer su competencia de conformidad con el artículo 22 y el artículo 25, apartados 2 y 3, del Reglamento (UE) 2017/1939 y sin perjuicio de las posibles restricciones indicadas con arreglo al artículo 19, apartado 2, del presente Reglamento por el proveedor de la información.

Cuando Europol informe a la Fiscalía Europea con arreglo al párrafo primero, lo notificará sin demora a los Estados miembros afectados.

Cuando alguna información relativa a la conducta delictiva respecto de la cual la Fiscalía Europea puede ejercer su competencia haya sido facilitada a Europol por un Estado miembro que haya indicado restricciones al uso de dicha información con arreglo al artículo 19, apartado 2, del presente Reglamento, Europol notificará a la Fiscalía Europea la existencia de dichas restricciones y remitirá el asunto al Estado miembro afectado. El Estado miembro afectado colaborará directamente con la Fiscalía Europea a fin de cumplir lo dispuesto en el artículo 24, apartados 1 y 4, del Reglamento (UE) 2017/1939.”.

14)

En el artículo 21, se añade el apartado siguiente:

“8. Si durante el tratamiento de la información en relación con una investigación penal específica o un proyecto específico, Europol detecta información pertinente acerca de una posible actividad ilegal que afecte a los intereses financieros de la Unión, Europol facilitará sin demora a la OLAF dicha información, sin perjuicio de las posibles restricciones indicadas con arreglo al artículo 19, apartado 2, por el Estado miembro que facilitó la información.

Cuando Europol facilite a la OLAF información con arreglo al párrafo primero, lo notificará sin demora a los Estados miembros afectados.”.

15)

En el artículo 23, el apartado 7 se sustituye por el texto siguiente:

“7. Las transferencias ulteriores de datos personales en poder de Europol por parte de Estados miembros, organismos de la Unión, terceros países, organizaciones internacionales o entidades privadas estarán prohibidas, a menos que Europol haya dado su autorización expresa previa.”.

16)

El título de la sección 2 se sustituye por el texto siguiente:

“Transmisión, transferencia e intercambio de datos personales”.

17)

El artículo 24 se sustituye por el texto siguiente:

“Artículo 24

Transmisión de datos personales a organismos de la Unión

1. Europol únicamente transmitirá datos personales a un organismo de la Unión de conformidad con el artículo 71, apartado 2, del Reglamento (UE) 2018/1725, siempre que se respeten las posibles restricciones en virtud del presente Reglamento y sin perjuicio de lo dispuesto en el artículo 67 del presente Reglamento, si dichos datos son necesarios y proporcionados para el legítimo desempeño de las funciones del organismo de la Unión destinatario.

2. Cuando otro organismo de la Unión haya solicitado la transmisión de datos personales, Europol verificará la competencia de ese otro organismo. Cuando Europol no pueda confirmar que la transmisión de datos personales es necesaria de conformidad con el apartado 1, pedirá al organismo de la Unión solicitante que aporte información complementaria.

El organismo de la Unión solicitante garantizará que pueda valorarse la necesidad de la transmisión de los datos personales.

3. El organismo de la Unión destinatario tratará los datos personales mencionados en los apartados 1 y 2 únicamente para los fines para los que hayan sido transmitidos.”.

18)

El artículo 25 se modifica como sigue:

el apartado 1 se modifica como sigue:

la parte introductoria se modifica como sigue:

“1. Siempre que se respeten las posibles restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y sin perjuicio de lo dispuesto en el artículo 67, Europol podrá transferir datos personales a las autoridades competentes de un tercer país o a una organización internacional, a condición de que dicha transferencia sea necesaria para el desempeño de las funciones de Europol, sobre la base de alguno de los actos siguientes:”,

ii)

la letra a) se sustituye por el texto siguiente:

“a)

una decisión de la Comisión adoptada de conformidad con el artículo 36 de la Directiva (UE) 2016/680, en la que se decida que el tercer país, un territorio o uno o varios sectores específicos en ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado (“decisión de adecuación”),”;

se suprime el apartado 3;

se inserta el apartado siguiente:

“4 bis. A falta de decisión de adecuación, el Consejo de Administración podrá autorizar a Europol a transferir datos personales a una autoridad competente de un tercer país o a una organización internacional cuando:

se hayan aportado garantías adecuadas con respecto a la protección de datos personales, en un instrumento jurídicamente vinculante, o

Europol haya valorado todas las circunstancias que concurren en la transferencia de los datos personales y haya llegado a la conclusión de que existen garantías adecuadas con respecto a la protección de datos personales.”;

el apartado 5 se modifica como sigue:

la parte introductoria se sustituye por el texto siguiente:

“No obstante lo dispuesto en el apartado 1, el director ejecutivo podrá autorizar, en casos debidamente justificados, la transferencia o una categoría de transferencias de datos personales a una autoridad competente de un tercer país o a una organización internacional en función del caso concreto, si la transferencia o la categoría de transferencias es:”,

ii)

la letra b) se sustituye por el texto siguiente:

“b)

necesaria para salvaguardar intereses legítimos del interesado,”;

el apartado 8 se sustituye por el texto siguiente:

“8. Europol informará al SEPD sobre las categorías de transferencias contempladas en el apartado 4 bis, letra b). Cuando una transferencia se efectúe de conformidad con los apartados 4 bis o 5, se documentará y la documentación se pondrá a disposición del SEPD previa petición. La documentación incluirá un registro de la fecha y hora de la transferencia, así como información sobre la autoridad competente a la que se refiere el presente artículo, sobre la justificación de la transferencia y sobre los datos personales transferidos.”.

19)

El artículo 26 se modifica como sigue:

en el apartado 1, la letra c) se sustituye por el texto siguiente:

“c)

una autoridad de un tercer país o una organización internacional a que se refiere el artículo 25, apartado 1, letra a), b) o c), o el artículo 25, apartado 4 bis.”;

el apartado 2 se sustituye por el texto siguiente:

“2. Cuando Europol reciba datos personales directamente de entidades privadas, podrá tratar dichos datos personales de conformidad con el artículo 18, con el fin de determinar las unidades nacionales afectadas, a las que se refiere el apartado 1, letra a), del presente artículo. Europol transmitirá inmediatamente a las unidades nacionales afectadas los datos personales y todos los resultados pertinentes del tratamiento necesario de dichos datos para determinar el territorio competente. Europol podrá transmitir los datos personales y los resultados pertinentes del tratamiento necesario de dichos datos para determinar el territorio competente, de conformidad con el artículo 25, a los puntos de contacto y a las autoridades afectadas a que se refiere el apartado 1, letras b) y c), del presente artículo. En caso de que Europol no pueda determinar las unidades nacionales afectadas o ya haya transmitido los datos personales pertinentes a todas las unidades nacionales afectadas determinadas y no sea posible determinar otras unidades nacionales afectadas, cancelará los datos, a menos que la unidad nacional, el punto de contacto o la autoridad afectada vuelva a facilitar los datos personales a Europol de conformidad con el artículo 19, apartado 1, en un plazo de cuatro meses a partir de la fecha en que tenga lugar la transmisión o la transferencia.

Los criterios para determinar si la unidad nacional del Estado miembro en el que esté establecida la entidad privada pertinente constituye una unidad nacional afectada se establecerán en las directrices a que se refiere el artículo 18, apartado 7.”;

se inserta el apartado siguiente:

“2 bis. La cooperación de Europol con entidades privadas no deberá suponer una duplicidad en las actividades de las UIF de los Estados miembros ni interferir con ellas, y no concernirá a información que deba facilitarse a las UIF a efectos de la Directiva (UE) 2015/849.”;

el apartado 4 se sustituye por el texto siguiente:

“4. Cuando Europol reciba datos personales procedentes de una entidad privada establecida en un tercer país, Europol solo transmitirá dichos datos y el resultado del análisis y comprobación de dichos datos a un Estado miembro o a un tercer país afectado según se contempla en el artículo 25, apartado 1, letras a), b) o c) o el artículo 25, apartado 4 bis.

Sin perjuicio de lo dispuesto en el párrafo primero del presente apartado, Europol podrá transferir los resultados a los que se refiere el párrafo primero del presente apartado al tercer país de que se trate con arreglo al artículo 25, apartados 5 o 6.”;

los apartados 5 y 6 se sustituyen por el texto siguiente:

“5. Europol no podrá transmitir ni transferir datos personales a entidades privadas excepto en los casos siguientes y siempre que dicha transmisión o transferencia sea estrictamente necesaria y proporcionada, en función de cada caso concreto:

la transmisión o la transferencia revista indudablemente un interés para el interesado;

la transmisión o la transferencia sea estrictamente necesaria para prevenir la perpetración inminente de un delito que se incluya en los objetivos de Europol, incluido el terrorismo;

la transmisión o la transferencia de datos personales que estén públicamente disponibles sea estrictamente necesaria para desempeñar la función a que se refiere el artículo 4, apartado 1, letra m), y se cumplan las siguientes condiciones:

que la transmisión o la transferencia se refiera a un caso concreto y específico,

ii)

que los derechos y libertades fundamentales de los interesados no primen sobre el interés público que exija que esos datos personales se transmitan o transfieran en el caso de que se trate, o

la transmisión o la transferencia sea estrictamente necesaria para que Europol notifique a la entidad privada que la información recibida es insuficiente para permitir a Europol determinar las unidades nacionales afectadas, y se cumplan las siguientes condiciones:

que la transmisión o la transferencia se produzca tras la recepción de datos personales directamente de una entidad privada de conformidad con el apartado 2,

ii)

que la información que falte, a la que Europol puede referirse en su notificación, tenga un vínculo claro con la información previamente compartida por dicha entidad privada,

iii)

que la información que falte, a la que Europol puede referirse en su notificación, se limite estrictamente a lo necesario para que Europol determine las unidades nacionales afectadas.

La transmisión o transferencia mencionada en el párrafo primero del presente apartado estará supeditada a las posibles restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y se entenderá sin perjuicio de lo dispuesto en el artículo 67.

6. En relación con el apartado 5, letras a), b) y d), del presente artículo, si la entidad privada de que se trate no está establecida en la Unión o en un tercer país según se contempla en el artículo 25, apartado 1, letras a), b) o c), o el artículo 25, apartado 4 bis, el director ejecutivo solo podrá autorizar la transferencia si es:

necesaria para proteger los intereses vitales del interesado o de otra persona;

necesaria para salvaguardar intereses legítimos del interesado;

esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país;

necesaria en casos concretos a efectos de prevención, investigación, detección o enjuiciamiento de un delito específico que se incluya en los objetivos de Europol, o

necesaria en casos concretos para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal específica que se incluya en los objetivos de Europol.

Los datos personales no podrán ser transferidos si el director ejecutivo determina que los derechos y libertades fundamentales del interesado priman sobre el interés público que requiere la transferencia a que se refiere el párrafo primero, letras d) y e), del presente apartado.”;

se insertan los apartados siguientes:

“6 bis. Sin perjuicio de lo dispuesto en el apartado 5, letras a), c) y d), del presente artículo y en otros actos jurídicos de la Unión, las transferencias o transmisiones de datos personales con arreglo a los apartados 5 y 6 no serán sistemáticas, masivas ni estructurales.

6 ter. Europol podrá solicitar a los Estados miembros, a través de las unidades nacionales, que obtengan, de conformidad con el Derecho nacional, datos personales procedentes de entidades privadas que estén establecidas o tengan un representante legal en su territorio, con el fin de compartir dichos datos con Europol. Estas solicitudes deberán estar motivadas y ser lo más precisas posible. Dichos datos personales tendrán el carácter menos sensible posible y se limitarán estrictamente a lo que sea necesario y proporcionado para que Europol pueda determinar las unidades nacionales afectadas.

No obstante la competencia de los Estados miembros sobre un delito específico, los Estados miembros garantizarán que sus autoridades competentes puedan tramitar las solicitudes a las que se refiere el párrafo primero de conformidad con su Derecho nacional con el fin de facilitar a Europol la información necesaria para determinar las unidades nacionales afectadas.

6 quater. La infraestructura de Europol podrá utilizarse para intercambios entre las autoridades competentes de los Estados miembros y las entidades privadas de conformidad con el Derecho nacional respectivo. Dichos intercambios también podrán tratar sobre delitos que no se incluyan en los objetivos de Europol.

Cuando los Estados miembros utilicen la infraestructura de Europol para el intercambio de datos personales sobre delitos que se incluyan en los objetivos de Europol, podrán otorgar a Europol acceso a dichos datos.

Cuando los Estados miembros utilicen la infraestructura de Europol para el intercambio de datos personales sobre delitos que no se incluyan en los objetivos de Europol, Europol no podrá tener acceso a dichos datos y se le considerará un encargado del tratamiento de conformidad con el artículo 87 del Reglamento (UE) 2018/1725.

Europol evaluará los riesgos para la seguridad que plantee permitir la utilización de su infraestructura por parte de entidades privadas, y, en caso necesario, aplicará las medidas preventivas y de atenuación adecuadas.”;

se suprimen los apartados 9 y 10;

se añade el apartado siguiente:

“11. Europol preparará un informe anual para el Consejo de Administración sobre los datos personales intercambiados con entidades privadas en virtud de los artículos 26, 26 bis y 26 ter, a partir de criterios de evaluación cuantitativos y cualitativos establecidos por el Consejo de Administración.

El informe anual incluirá ejemplos concretos que demuestren la necesidad de las solicitudes de Europol de conformidad con el apartado 6 ter del presente artículo para cumplir sus objetivos y desempeñar sus funciones.

El informe anual tendrá en cuenta las obligaciones de discreción y confidencialidad, y los ejemplos se anonimizarán en lo que respecta a los datos personales.

El informe anual se remitirá al Parlamento Europeo, al Consejo, a la Comisión y a los Parlamentos nacionales.”.

20)

Se insertan los artículos siguientes:

“Artículo 26 bis

Intercambio de datos personales con entidades privadas en situaciones de crisis en línea

1. En situaciones de crisis en línea, Europol podrá recibir datos personales directamente de entidades privadas y tratar dichos datos personales de conformidad con el artículo 18.

2. Cuando Europol reciba datos personales procedentes de una entidad privada establecida en un tercer país, transmitirá dichos datos y los resultados de su análisis y comprobación de dichos datos solamente a un Estado miembro, o a un tercer país afectado según se contempla en el artículo 25, apartado 1, letras a), b) o c), o en el artículo 25, apartado 4 bis.

Europol podrá transferir los resultados de su análisis y comprobación de los datos a los que se refiere el apartado 1 del presente artículo al tercer país afectado en virtud del artículo 25, apartados 5 o 6.

3. Europol podrá transmitir o transferir datos personales a entidades privadas, en función del caso concreto, respetando las posibles restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y sin perjuicio de lo dispuesto en el artículo 67, cuando la transmisión o la transferencia de dichos datos sea estrictamente necesaria para hacer frente a situaciones de crisis en línea, y los derechos y libertades fundamentales de los interesados afectados no primen sobre el interés público que requiera que esos datos personales se transmitan o transfieran.

4. Cuando la entidad privada de que se trate no esté establecida en la Unión o en un tercer país según se contempla en el artículo 25, apartado 1, letras a), b) o c), o en el artículo 25, apartado 4 bis, la transferencia requerirá la autorización del director ejecutivo.

5. Europol prestará asistencia, intercambiará información y cooperará con las autoridades competentes de los Estados miembros en relación con las transmisiones y las transferencias de datos personales a entidades privadas con arreglo a los apartados 3 o 4, en particular, para evitar que se dupliquen esfuerzos, para reforzar la coordinación y evitar interferencias con investigaciones en distintos Estados miembros.

6. Europol podrá solicitar a los Estados miembros, a través de las unidades nacionales, que obtengan, de conformidad con el Derecho nacional, datos personales procedentes de entidades privadas que estén establecidas o tengan un representante legal en su territorio, con el fin de compartir dichos datos con Europol. Esta solicitud deberá estar motivada y ser lo más precisa posible. Dichos datos personales tendrán el carácter menos sensible posible y se limitarán estrictamente a lo que sea necesario y proporcionado con la finalidad de permitir que Europol apoye a los Estados miembros para hacer frente a las situaciones de crisis en línea.

No obstante la competencia de los Estados miembros en materia de difusión del contenido sobre el que Europol solicite datos personales, los Estados miembros garantizarán que sus autoridades competentes puedan tramitar las solicitudes a las que se refiere el párrafo primero de conformidad con el Derecho nacional, con el fin de facilitar a Europol la información necesaria para lograr sus objetivos.

7. Europol garantizará que se lleve un registro detallado de todas las transferencias de datos personales y de los motivos para dichas transferencias, de conformidad con el presente Reglamento. A petición del SEPD, Europol pondrá tal registro a su disposición en virtud del artículo 39 bis.

8. Si los datos personales recibidos o por transferir afectan a los intereses de un Estado miembro, Europol informará inmediatamente a la unidad nacional del Estado miembro de que se trate.

Artículo 26 ter

Intercambio de datos personales con entidades privadas para combatir la difusión en línea de material en línea de abusos sexuales a menores

1. Europol podrá recibir datos personales directamente de entidades privadas y tratar dichos datos personales de conformidad con el artículo 18 para combatir la difusión en línea de material en línea de abusos sexuales a menores, a que se refiere el artículo 4, apartado 1, letra y).

Europol podrá transferir los resultados de su análisis y comprobación de los datos mencionados en el párrafo primero del presente apartado al tercer país afectado con arreglo al artículo 25, apartados 5 o 6.

3. Europol podrá transmitir o transferir datos personales a entidades privadas, en función del caso concreto, siempre que se respeten las posibles restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y sin perjuicio del artículo 67, cuando la transmisión o la transferencia de dichos datos sea estrictamente necesaria para combatir la difusión en línea de material en línea de abusos sexuales a menores a que se refiere el artículo 4, apartado 1, letra y), y los derechos y libertades fundamentales de los interesados afectados no primen sobre el interés público que requiera que esos datos personales se transmitan o transfieran.

5. Europol prestará asistencia, intercambiará información y cooperará con las autoridades competentes de los Estados miembros en relación con las transmisiones y las transferencias de datos personales a entidades privadas con arreglo a los apartados 3 o 4, en particular, para evitar que se dupliquen esfuerzos, reforzar la coordinación y evitar interferencias con investigaciones en distintos Estados miembros.

6. Europol podrá solicitar a los Estados miembros, a través de las unidades nacionales, que obtengan, de conformidad con el Derecho nacional, datos personales procedentes de entidades privadas que estén establecidas o tengan un representante legal en su territorio, con el fin de compartir dichos datos con Europol. Estas solicitudes deberán estar motivadas y ser lo más precisas posible. Dichos datos personales tendrán el carácter menos sensible posible y se limitarán estrictamente a lo que sea necesario y proporcionado para que Europol pueda combatir la difusión en línea de material en línea de abusos sexuales a menores, a que se refiere el artículo 4, apartado 1, letra y).

No obstante la competencia de los Estados miembros en materia de difusión del contenido sobre el que Europol solicite datos personales, los Estados miembros garantizarán que las autoridades competentes de los Estados miembros puedan tramitar las solicitudes a las que se refiere el párrafo primero de conformidad con el Derecho nacional con el fin de facilitar a Europol la información necesaria para lograr sus objetivos.

8. Si los datos personales recibidos o por transferir afectan a los intereses de un Estado miembro, Europol informará inmediatamente a la unidad nacional del Estado miembro de que se trate.”.

21)

En el artículo 27, los apartados 1 y 2 se sustituyen por el texto siguiente:

“1. En la medida en que lo necesite para el desempeño de sus funciones, Europol podrá recibir y tratar información procedente de particulares.

Europol solo podrá tratar los datos personales procedentes de particulares si han sido recibidos a través de:

una unidad nacional, de conformidad con el Derecho nacional;

el punto de contacto de un tercer país o una organización internacional en aplicación del artículo 25, apartado 1, letra c), o

una autoridad de un tercer país o una organización internacional según se contempla en el artículo 25, apartado 1, letras a) o b), o en el artículo 25, apartado 4 bis.

2. Cuando Europol reciba información, incluidos datos personales, procedente de un particular residente en un tercer país que no sea aquel a que se refiere el artículo 25, apartado 1, letras a) o b), o el artículo 25, apartado 4 bis, solo podrá remitir dicha información a un Estado miembro o a ese tercer país.”.

22)

El título del capítulo VI se sustituye por el texto siguiente:

“PROTECCIÓN DE DATOS”.

23)

Se inserta el artículo siguiente:

“Artículo 27 bis

Tratamiento de datos personales por Europol

1. Sin perjuicio de lo dispuesto en el presente Reglamento, el artículo 3 y el capítulo IX del Reglamento (UE) 2018/1725 se aplicarán al tratamiento de datos personales por Europol.

El Reglamento (UE) 2018/1725, a excepción del capítulo IX, se aplicará al tratamiento de datos personales administrativos por Europol.

2. Las referencias a “datos personales” en el presente Reglamento se entenderán como referencias a “datos personales operativos” tal como se definen en el artículo 3, punto 2, del Reglamento (UE) 2018/1725, salvo que se disponga otra cosa en el presente Reglamento.

3. El Consejo de Administración adoptará normas para determinar los plazos de conservación de los datos personales administrativos.”.

24)

Se suprime el artículo 28.

25)

El artículo 30 se modifica como sigue:

en el apartado 2, la primera frase se sustituye por el texto siguiente:

“2. El tratamiento de datos personales, ya sea por medios automatizados o de otro tipo, que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, o la filiación sindical y el tratamiento de los datos genéticos, los datos biométricos destinados a identificar de manera unívoca a una persona física, o los datos relativos a la salud o a la vida sexual o a la orientación sexual de personas físicas estará permitido solo cuando sea estrictamente necesario y proporcionado para fines de proyectos de investigación e innovación en virtud del artículo 33 bis y con fines operativos, dentro de los objetivos de Europol, y únicamente para prevenir o combatir los delitos que se incluyan en los objetivos de Europol. Tal tratamiento estará sujeto asimismo a unas garantías adecuadas establecidas en el presente Reglamento con respecto a los derechos y libertades del interesado y, a excepción de los datos biométricos tratados a efectos de identificar de manera unívoca a una persona física, se permitirá únicamente si esos datos complementan otros datos personales tratados por Europol.”;

se inserta el apartado siguiente:

“2 bis. El responsable de la protección de datos será informado sin demora indebida en el caso de que se traten datos personales en virtud del presente artículo.”;

el apartado 3 se sustituye por el texto siguiente:

“3. Solo Europol tendrá acceso directo a los datos personales a que se refieren los apartados 1 y 2. El director ejecutivo autorizará debidamente dicho acceso a un número limitado de miembros del personal de Europol cuando sea necesario para que desempeñen sus tareas.

No obstante lo dispuesto en el párrafo primero, cuando resulte necesario autorizar al personal de las autoridades competentes de los Estados miembros o de los organismos de la Unión establecidos sobre la base del título V del TFUE un acceso directo a datos personales para desempeñar sus tareas, en los casos previstos en el artículo 20, apartados 1 y 2 bis, del presente Reglamento, o para proyectos de investigación e innovación de conformidad con el artículo 33 bis, apartado 2, letra d), del presente Reglamento, el director ejecutivo autorizará debidamente tal acceso a un número limitado de miembros de dicho personal.”;

se suprime el apartado 4;

el apartado 5 se sustituye por el texto siguiente:

“5. Los datos personales a que se refieren los apartados 1 y 2 no se transmitirán a los Estados miembros u organismos de la Unión ni se transferirán a terceros países u organizaciones internacionales, a menos que tal transmisión o transferencia sea obligatoria en virtud del Derecho de la Unión o sea estrictamente necesaria y proporcionada en casos concretos de delitos que se incluyan en los objetivos de Europol y de conformidad con el capítulo V.”.

26)

El artículo 32 se sustituye por el texto siguiente:

“Artículo 32

Seguridad del tratamiento

Europol y los Estados miembros establecerán, de conformidad, respectivamente, con el artículo 91 del Reglamento (UE) 2018/1725 y con el artículo 29 de la Directiva (UE) 2016/680, mecanismos para garantizar que se abordan las medidas de seguridad, más allá de los límites de los sistemas de información.”.

27)

Se suprime el artículo 33.

28)

Se inserta el artículo siguiente:

“Artículo 33 bis

Tratamiento de datos personales para investigación e innovación

1. Europol podrá tratar datos personales para fines de sus proyectos de investigación e innovación a condición de que el tratamiento de dichos datos personales:

sea absolutamente necesario y esté debidamente justificado para lograr los objetivos del proyecto de que se trate;

por lo que se refiere a categorías especiales de datos personales, sea estrictamente necesario y esté sujeto a unas garantías adecuadas, entre las que se puede incluir la seudonimización.

El tratamiento de datos personales por Europol en el contexto de los proyectos de investigación e innovación se guiará por los principios de transparencia, explicabilidad, equidad y rendición de cuentas.

2. Sin perjuicio de lo dispuesto en el apartado 1, para el tratamiento de datos personales realizado en el contexto de los proyectos de investigación e innovación de Europol, se aplicarán las siguientes garantías:

todo proyecto de investigación e innovación requerirá la autorización previa del director ejecutivo, en consulta con el responsable de la protección de datos y el agente de derechos fundamentales, sobre la base de:

una descripción de los objetivos del proyecto y una explicación de cómo el proyecto ayuda a Europol o a las autoridades competentes de los Estados miembros en sus funciones,

ii)

una descripción de la actividad de tratamiento prevista, en la que se expongan los objetivos, el alcance y la duración del tratamiento, así como la necesidad y la proporcionalidad del tratamiento de datos personales, por ejemplo, para explorar y probar soluciones tecnológicas innovadoras y garantizar la exactitud de los resultados del proyecto,

iii)

una descripción de las categorías de datos personales que vayan a tratarse,

iv)

una valoración de la observancia de los principios de la protección de datos establecidos en el artículo 72 del Reglamento (UE) 2018/1725, los plazos de conservación y las condiciones de acceso a los datos personales, y

una evaluación de impacto sobre la protección de datos, en la que se incluyan los riesgos para los derechos y libertades de los interesados, el riesgo de cualquier sesgo en los datos personales que vayan a utilizarse para el entrenamiento de los algoritmos y en el resultado del tratamiento, y las medidas previstas para hacer frente a dichos riesgos, así como para evitar las vulneraciones de derechos fundamentales;

se informará al SEPD antes del inicio del proyecto;

se consultará o informará al Consejo de Administración antes del inicio del proyecto, de conformidad con las directrices a que se refiere el artículo 18, apartado 7;

los datos personales que vayan a tratarse en el contexto del proyecto:

se copiarán temporalmente en un entorno de tratamiento de datos separado, aislado y protegido dentro de Europol con el único fin de llevar a cabo dicho proyecto,

ii)

serán accesibles solo para el personal específicamente autorizado de Europol de conformidad con el artículo 30, apartado 3, del presente Reglamento, y, siempre que se disponga de medidas técnicas de seguridad, para el personal específicamente autorizado de las autoridades competentes de los Estados miembros y los organismos de la Unión establecidos sobre la base del título V del TFUE ,

iii)

no serán transmitidos o transferidos,

iv)

no darán lugar a medidas o decisiones que afecten a los interesados como resultado del tratamiento,

se cancelarán una vez concluido el proyecto o vencido el plazo de conservación de conformidad con el artículo 31;

los registros del tratamiento de datos personales en el contexto del proyecto se conservarán hasta dos años después de la conclusión del proyecto, únicamente con el fin de comprobar la exactitud de los resultados del tratamiento de datos y solo durante el tiempo necesario para ello.

3. El Consejo de Administración establecerá en un documento vinculante el alcance general de los proyectos de investigación e innovación. Dicho documento se actualizará cuando proceda y se pondrá a disposición del SEPD para que este pueda desempeñar su función de supervisión.

4. Europol conservará un documento con una descripción detallada del proceso y de la justificación del entrenamiento, la prueba y la validación de algoritmos para garantizar la transparencia del proceso y de los algoritmos, incluido el cumplimiento de las garantías establecidas en el presente artículo, y para permitir la comprobación de la exactitud de los resultados sobre la base de la utilización de dichos algoritmos. Previa solicitud, Europol pondrá dicho documento a disposición de las partes interesadas, incluidos los Estados miembros y el GCPC.

5. Si los datos que vayan a tratarse para fines de un proyecto de investigación e innovación hubieran sido facilitados por un Estado miembro, un organismo de la Unión, un tercer país o una organización internacional, Europol solicitará el consentimiento de dicho proveedor de datos de conformidad con el artículo 19, apartado 2, a menos que el proveedor de datos haya concedido autorización previa para dicho tratamiento para fines de proyectos de investigación e innovación, ya sea en términos generales o con condiciones específicas.

Europol no tratará datos para proyectos de investigación e innovación sin el consentimiento del proveedor de los datos. Dicho consentimiento podrá retirarse en cualquier momento.”.

29)

El artículo 34 se modifica como sigue:

el apartado 1 se sustituye por el texto siguiente:

“1. Sin perjuicio de lo dispuesto en el artículo 92 del Reglamento (UE) 2018/1725, en caso de violación de datos personales, Europol notificará sin demora indebida dicha violación a las autoridades competentes de los Estados miembros afectados, de conformidad con el artículo 7, apartado 5, del presente Reglamento, así como al proveedor de los datos de que se trate, a menos que sea improbable que la violación de datos personales entrañe un riesgo para los derechos y libertades de las personas físicas.”;

se suprime el apartado 3.

30)

El artículo 35 se modifica como sigue:

se suprimen los apartados 1 y 2;

el apartado 3 se sustituye por el texto siguiente:

“Sin perjuicio de lo dispuesto en el artículo 93 del Reglamento (UE) 2018/1725, en caso de que Europol no disponga de los datos de contacto del interesado, pedirá al proveedor de datos que comunique la violación de datos personales al interesado e informe a Europol de la decisión tomada. Los Estados miembros que faciliten datos personales comunicarán la violación de datos personales al interesado con arreglo al Derecho nacional.”;

se suprimen los apartados 4 y 5.

31)

El artículo 36 se modifica como sigue:

se suprimen los apartados 1 y 2;

el apartado 3 se sustituye por el texto siguiente:

“3. Cualquier interesado que desee ejercer el derecho de acceso a que se refiere el artículo 80 del Reglamento (UE) 2018/1725 a los datos personales que le atañan podrá formular la correspondiente solicitud a la autoridad designada a tal efecto en el Estado miembro de su elección o ante Europol. Cuando la solicitud se presente a dicha autoridad, esta remitirá la solicitud a Europol sin demora indebida y en el plazo de un mes a partir de su recepción.”;

se suprimen los apartados 6 y 7.

32)

El artículo 37 se modifica como sigue:

el apartado 1 se sustituye por el texto siguiente:

“1. Cualquier interesado que desee ejercer el derecho de rectificación o supresión de datos personales o limitación del tratamiento de los datos personales que le atañan, a que se refiere el artículo 82 del Reglamento (UE) 2018/1725, podrá formular la correspondiente solicitud, a través de la autoridad designada a tal efecto en el Estado miembro de su elección o a Europol. Cuando la solicitud se presente a dicha autoridad, esta remitirá la solicitud a Europol sin demora indebida y en el plazo de un mes a partir de su recepción.”;

se suprime el apartado 2;

los apartados 3, 4 y 5 se sustituyen por el texto siguiente:

“3. Sin perjuicio de lo dispuesto en el artículo 82, apartado 3, del Reglamento (UE) 2018/1725, Europol restringirá el tratamiento de datos personales, en lugar de cancelar los datos personales, en caso de que hubiera motivos razonables para suponer que la cancelación podría perjudicar intereses legítimos del interesado.

Los datos restringidos solo se tratarán con el fin de proteger los derechos del interesado, cuando sea necesario para proteger los intereses vitales del interesado o de otra persona, o para los fines establecidos en el artículo 82, apartado 3, del Reglamento (UE) 2018/1725.

4. Cuando los datos personales a que se refieren los apartados 1 y 3 en poder de Europol le hubieran sido facilitados por terceros países, organizaciones internacionales u organismos de la Unión, hubieran sido facilitados directamente por entidades privadas, extraídos por Europol de fuentes públicas o fueran el resultado de los propios análisis de Europol, esta deberá rectificar o cancelar dichos datos o restringir su tratamiento e informar, en su caso, a los proveedores de los datos.

5. Cuando los datos personales a que se refieren los apartados 1 y 3 en poder de Europol le hubieran sido facilitados por Estados miembros, los Estados miembros de que se trate deberán rectificar o cancelar dichos datos o restringir su tratamiento en cooperación con Europol, dentro de sus respectivas competencias.”;

se suprimen los apartados 8 y 9.

33)

El artículo 38 se modifica como sigue:

el apartado 1 se sustituye por el texto siguiente:

“1. Europol tratará los datos personales de manera que pueda determinarse su fuente de conformidad con el artículo 17.”;

en el apartado 2, la parte introductoria se sustituye por el texto siguiente:

“2. La responsabilidad por la exactitud de los datos personales a que se refiere el artículo 71, apartado 1, letra d), del Reglamento (UE) 2018/1725 recaerá en:”;

el apartado 4 se sustituye por el texto siguiente:

“4. Europol será responsable del cumplimiento del Reglamento (UE) 2018/1725 por lo que respecta a los datos personales administrativos, y del cumplimiento del presente Reglamento y del artículo 3 y el capítulo IX del Reglamento (UE) 2018/1725 por lo que respecta a los datos personales.”;

en el apartado 7, la tercera frase se sustituye por el texto siguiente:

“La seguridad de dicho intercambio se garantizará con arreglo al artículo 91 del Reglamento (UE) 2018/1725.”.

34)

El artículo 39 se sustituye por el texto siguiente:

“Artículo 39

Consulta previa

1. Sin perjuicio de lo dispuesto en el artículo 90 del Reglamento (UE) 2018/1725, la consulta previa al SEPD no se aplicará a actividades operativas específicas que no incluyan ningún tipo nuevo de tratamiento que implique un riesgo elevado para los derechos y libertades de los interesados.

2. Europol podrá iniciar operaciones de tratamiento que estén sujetas a consulta previa del SEPD en virtud del artículo 90, apartado 1, del Reglamento (UE) 2018/1725, a menos que el SEPD haya proporcionado asesoramiento por escrito en virtud del artículo 90, apartado 4, de dicho Reglamento en los plazos previstos en dicha disposición, que se iniciarán en la fecha de recepción de la solicitud inicial de consulta y no podrán suspenderse.

3. Cuando las operaciones de tratamiento a que se refiere el apartado 2 del presente artículo tengan una importancia sustancial para desempeñar las funciones de Europol y sean especialmente urgentes y necesarias para prevenir y combatir una amenaza inmediata de un delito que se incluya en los objetivos de Europol o para proteger los intereses vitales del interesado o de otra persona, Europol podrá iniciar excepcionalmente el tratamiento después de la consulta previa del SEPD prevista en el artículo 90, apartado 1, del Reglamento (UE) 2018/1725 y antes de que expire el plazo previsto en el artículo 90, apartado 4, de dicho Reglamento. En tal caso, Europol informará al SEPD antes del inicio de las operaciones de tratamiento.

El asesoramiento por escrito del SEPD en virtud del artículo 90, apartado 4, del Reglamento (UE) 2018/1725 se tendrá en cuenta de manera retroactiva, y la forma en que se lleve a cabo el tratamiento se adaptará en consecuencia.

El responsable de protección de datos participará en la valoración de la urgencia de dichas operaciones de tratamiento antes de que expire el plazo previsto en el artículo 90, apartado 4, del Reglamento (UE) 2018/1725 y supervisará el tratamiento en cuestión.

4. El SEPD llevará un registro de todas las operaciones de tratamiento que se le hayan notificado en virtud del apartado 1. Dicho registro no será público.”.

35)

Se inserta el artículo siguiente:

“Artículo 39 bis

Registro de categorías de actividades de tratamiento

1. Europol llevará un registro de todas las categorías de actividades de tratamiento bajo su responsabilidad. Dicho registro contendrá la siguiente información:

los datos de contacto de Europol y el nombre y los datos de contacto del responsable de protección de datos;

los fines del tratamiento;

una descripción de las categorías de interesados y de las categorías de datos personales;

las categorías de destinatarios a los que se hayan comunicado o vayan a comunicarse los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

cuando proceda, las transferencias de datos personales a un tercer país, a una organización internacional o a una entidad privada, incluido el nombre de dicho destinatario;

cuando sea posible, los plazos previstos para la cancelación de las diferentes categorías de datos;

cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 91 del Reglamento (UE) 2018/1725;

en su caso, el recurso a la elaboración de perfiles.

2. El registro a que se refiere el apartado 1 se efectuará por escrito, incluido el formato electrónico.

3. Europol pondrá a disposición del SEPD, previa solicitud, el registro a que se refiere el apartado 1.”.

36)

El artículo 40 se sustituye por el texto siguiente:

“Artículo 40

Registros de operaciones

1. De conformidad con el artículo 88 del Reglamento (UE) 2018/1725, Europol conservará registros de sus operaciones de tratamiento. No será posible modificarlos.

2. Sin perjuicio de lo dispuesto en el artículo 88 del Reglamento (UE) 2018/1725, si lo requiere una unidad nacional para una investigación específica relacionada con el cumplimiento de las normas de protección de datos, los registros de operaciones a que se refiere el apartado 1 se comunicarán a dicha unidad nacional.”.

37)

El artículo 41 se sustituye por el texto siguiente:

“Artículo 41

Designación del responsable de protección de datos

1. El Consejo de Administración nombrará a un miembro del personal de Europol como responsable de protección de datos, que será designado para ese único cargo.

2. El responsable de protección de datos será seleccionado atendiendo a sus cualidades profesionales y, en particular, sus conocimientos especializados de la normativa y las prácticas en materia de protección de datos, así como a su capacidad para desempeñar las funciones a que se refiere el artículo 41 ter del presente Reglamento y el Reglamento (UE) 2018/1725.

3. La selección del responsable de protección de datos no podrá derivar en un conflicto de intereses entre su función de responsable de protección de datos y cualesquiera otras obligaciones oficiales que pueda tener, en particular, en relación con la aplicación del presente Reglamento.

4. El responsable de protección de datos no podrá ser destituido ni sancionado por el Consejo de Administración por razón del ejercicio de sus funciones.

5. Europol publicará los datos de contacto del responsable de protección de datos y los comunicará al SEPD.”.

38)

Se insertan los artículos siguientes:

“Artículo 41 bis

Cargo de responsable de protección de datos

1. Europol garantizará que el responsable de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

2. Europol respaldará al responsable de protección de datos en el desempeño de las funciones mencionadas en el artículo 41 ter, facilitando los recursos y el personal necesarios para el desempeño de dichas funciones y facilitando el acceso a los datos personales y a las operaciones de tratamiento, y para mantener sus conocimientos especializados.

Con el fin de respaldar al responsable de protección de datos en el desempeño de sus funciones, se podrá designar a un miembro del personal de Europol como responsable adjunto de protección de datos.

3. Europol garantizará que el responsable de protección de datos actúe de modo independiente y que no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones.

El responsable de protección de datos informará directamente al Consejo de Administración.

4. Los interesados podrán ponerse en contacto con el responsable de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento y del Reglamento (UE) 2018/1725.

Nadie deberá sufrir perjuicio alguno por informar al responsable de protección de datos de una presunta infracción del presente Reglamento o del Reglamento (UE) 2018/1725.

5. El Consejo de Administración adoptará normas de desarrollo referentes al responsable de protección de datos. Tales normas se referirán, en concreto, al procedimiento de selección para el cargo de responsable de protección de datos y a su destitución, a las funciones, obligaciones y competencias del responsable de protección de datos y a las garantías de su independencia.

6. El responsable de protección de datos y su personal estarán obligados a mantener la confidencialidad de conformidad con el artículo 67, apartado 1.

7. El responsable de protección de datos será nombrado para un mandato de cuatro años y podrá optar a un nuevo nombramiento.

8. En caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones, el responsable de protección de datos será destituido de su cargo por el Consejo de Administración solo previo consentimiento del SEPD.

9. El responsable de protección de datos y el responsable adjunto de protección de datos serán adscritos al SEPD por el Consejo de Administración.

10. Las disposiciones aplicables al responsable de protección de datos se aplicarán mutatis mutandis al responsable adjunto de protección de datos.

Artículo 41 ter

Funciones del responsable de protección de datos

1. El responsable de protección de datos desempeñará, en particular, las siguientes funciones en relación con el tratamiento de datos personales:

garantizar de manera independiente el cumplimiento por parte de Europol de las disposiciones sobre protección de datos del presente Reglamento y del Reglamento (UE) 2018/1725, así como de las disposiciones pertinentes en materia de protección de datos de las normas internas de Europol, incluido el seguimiento del cumplimiento del presente Reglamento, del Reglamento (UE) 2018/1725, de otras disposiciones de la Unión o nacionales en materia de protección de datos y de las políticas de Europol en esta materia, incluida la asignación de responsabilidades, la concienciación y la formación del personal que participe en las operaciones de tratamiento, y las auditorías correspondientes;

informar a Europol y a aquellos miembros del personal que se ocupen del tratamiento de datos personales de las obligaciones que les incumben en virtud del presente Reglamento, del Reglamento (UE) 2018/1725 y de otras disposiciones de la Unión o nacionales en materia de datos personales y asesorarles en la materia;

prestar el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos con arreglo al artículo 89 del Reglamento (UE) 2018/1725 y hacer el seguimiento de la eficacia de la evaluación de impacto relativa a la protección de datos;

llevar un registro de las violaciones de datos personales y prestar el asesoramiento que se le solicite acerca de la necesidad de notificar o comunicar una violación de datos personales con arreglo a los artículos 92 y 93 del Reglamento (UE) 2018/1725;

velar por que se lleve un registro de la transmisión, la transferencia y la recepción de datos personales de conformidad con el presente Reglamento;

velar por que los interesados que lo soliciten sean informados de sus derechos en virtud del presente Reglamento y del Reglamento (UE) 2018/1725;

cooperar con el personal de Europol responsable de los procedimientos, la formación y el asesoramiento en materia de tratamiento de datos;

responder a las solicitudes del SEPD, en el ámbito de sus competencias, cooperar y consultar con el SEPD, a petición de este o por iniciativa propia;

cooperar con las autoridades competentes de los Estados miembros, en particular, con los responsables de protección de datos de las autoridades competentes de los Estados miembros y las autoridades nacionales de control en materia de protección de datos en el ámbito policial;

actuar como punto de contacto del SEPD para las cuestiones relacionadas con el tratamiento, incluida la consulta previa con arreglo a los artículos 40 y 90 del Reglamento (UE) 2018/1725, y realizar consultas, en su caso, sobre cualquier otra cuestión de su ámbito de competencias;

elaborar un informe anual y transmitirlo al Consejo de Administración y al SEPD;

velar por que las operaciones de tratamiento no tengan efectos adversos en los derechos y las libertades de los interesados.

2. El responsable de protección de datos podrá formular recomendaciones al Consejo de Administración para la mejora práctica de la protección de datos y asesorar sobre cuestiones relativas a la aplicación de las disposiciones en materia de protección de datos.

El responsable de protección de datos podrá investigar, de oficio o a instancias del Consejo de Administración o de cualquier persona física, las cuestiones y los incidentes directamente relacionados con sus funciones que lleguen a su conocimiento e informar a la persona que solicitó la investigación o al Consejo de Administración sobre los resultados de dicha investigación.

3. El responsable de protección de datos ejercerá las funciones que dispone el Reglamento (UE) 2018/1725 en lo que atañe a los datos personales administrativos.

4. En el ejercicio de sus funciones, el responsable de protección de datos y los miembros del personal de Europol que le asistan en el ejercicio de sus funciones tendrán acceso a todos los datos tratados por Europol y a todos los locales de Europol.

5. Si el responsable de protección de datos considerara que no se han cumplido las disposiciones del presente Reglamento o del Reglamento (UE) 2018/1725 relativas al tratamiento de los datos personales administrativos, o las disposiciones del presente Reglamento o del artículo 3 y el capítulo IX del Reglamento (UE) 2018/1725 relativas al tratamiento de los datos personales, informará de ello al director ejecutivo y le pedirá que subsane el incumplimiento en un plazo determinado.

Si el director ejecutivo no subsanara el incumplimiento en el plazo fijado, el responsable de protección de datos informará al Consejo de Administración. El Consejo de Administración responderá en un plazo determinado acordado con el responsable de protección de datos. Si el Consejo de Administración no subsanara el incumplimiento en el plazo fijado, el responsable de protección de datos remitirá el asunto al SEPD.

Artículo 41 quater

Agente de derechos fundamentales

1. El Consejo de Administración designará, a propuesta del director ejecutivo, a un agente de derechos fundamentales. Este podrá ser un miembro del personal en plantilla de Europol que haya recibido formación especial jurídica y práctica en materia de derechos fundamentales.

2. El agente de derechos fundamentales desempeñará las siguientes funciones:

asesorar a Europol, si lo considera necesario o previa solicitud, en relación con cualquier actividad de Europol sin impedir ni retrasar las actividades de que se trate;

hacer el seguimiento del cumplimiento de los derechos fundamentales por parte de Europol;

elaborar dictámenes no vinculantes sobre los acuerdos de trabajo;

informar al director ejecutivo de posibles vulneraciones de los derechos fundamentales durante las actividades de Europol;

promover el respeto de los derechos fundamentales por parte de Europol en el desempeño de sus funciones y actividades;

cualquier otra tarea prevista en el presente Reglamento.

3. Europol garantizará que el agente de derechos fundamentales no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones.

4. El agente de derechos fundamentales informará directamente al director ejecutivo y preparará informes anuales sobre sus actividades, también sobre la medida en que las actividades de Europol respetan los derechos fundamentales. Dichos informes serán puestos a disposición del Consejo de Administración.

Artículo 41 quinquies

Formación sobre derechos fundamentales

Todo miembro del personal de Europol que participe en tareas operativas que conlleven el tratamiento de datos personales recibirá una formación obligatoria en materia de protección de los derechos y libertades fundamentales, incluida la relativa al tratamiento de datos personales. Dicha formación se impartirá en cooperación con la Agencia de los Derechos Fundamentales de la Unión Europea (FRA), creada por el Reglamento (CE) n.o 168/2007 del Consejo (*12), y la Agencia de la Unión Europea para la Formación Policial (CEPOL), creada por el Reglamento (UE) 2015/2219 del Parlamento Europeo y del Consejo (*13).

(*12) Reglamento (CE) n.o 168/2007 del Consejo, de 15 de febrero de 2007, por el que se crea una Agencia de los Derechos Fundamentales de la Unión Europea (DO L 53 de 22.2.2007, p. 1)."

(*13) Reglamento (UE) 2015/2219 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre la Agencia de la Unión Europea para la formación policial (CEPOL) y por el que se sustituye y deroga la Decisión 2005/681/JAI del Consejo (DO L 319 de 4.12.2015, p. 1).”."

39)

En el artículo 42, los apartados 1 y 2 se sustituyen por el texto siguiente:

“1. A efectos del ejercicio de su función supervisora, las autoridades nacionales de control a que se refiere el artículo 41 de la Directiva (UE) 2016/680 tendrán acceso, en la unidad nacional o en los locales de los funcionarios de enlace, a los datos facilitados por su Estado miembro a Europol, de conformidad con los procedimientos nacionales aplicables, y a los registros de operaciones mencionados en el artículo 40 del presente Reglamento.

2. Las autoridades nacionales de control tendrán acceso a las oficinas y los documentos de sus respectivos funcionarios de enlace en Europol.”.

40)

El artículo 43 se modifica como sigue:

en el apartado 1, la primera frase se sustituye por el texto siguiente:

“1. El SEPD tendrá la responsabilidad de vigilar y garantizar la aplicación de las disposiciones del presente Reglamento y del Reglamento (UE) 2018/1725 relativas a la protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos personales por Europol, y de asesorar a Europol y a los interesados sobre cualquier cuestión relativa al tratamiento de los datos personales.”;

en el apartado 3, se añaden las letras siguientes:

“j)

ordenar al responsable del tratamiento o al encargado del tratamiento que las operaciones de tratamiento cumplan el presente Reglamento, en su caso, de una determinada manera y dentro de un plazo señalado;

ordenar la suspensión de los flujos de datos hacia un destinatario en un Estado miembro o en un tercer país o hacia una organización internacional;

imponer una multa administrativa en caso de incumplimiento por parte de Europol de alguna de las medidas contempladas en las letras c), e), f), j) y k) del presente apartado, en función de las circunstancias de cada caso concreto.”;

el apartado 5 se sustituye por el texto siguiente:

“5. El SEPD preparará un informe anual sobre sus actividades de supervisión relativas a Europol. Dicho informe formará parte del informe anual del SEPD contemplado en el artículo 60 del Reglamento (UE) 2018/1725.

El SEPD invitará a las autoridades nacionales de control a formular observaciones sobre dicha parte del informe anual antes de que se adopte el informe anual. El SEPD prestará suma atención a dichas observaciones y hará referencia a ellas en el informe anual.

La parte del informe anual a que se refiere el párrafo segundo incluirá información estadística sobre quejas, pesquisas e investigaciones, así como sobre las transferencias de datos personales a terceros países y organizaciones internacionales, los casos de consulta previa al SEPD y el ejercicio de las competencias establecidas en el apartado 3 del presente artículo.”.

41)

El artículo 44 se modifica como sigue:

el apartado 2 se sustituye por el texto siguiente:

“2. En los casos a que se refiere el apartado 1, se garantizará un control coordinado de conformidad con el artículo 62 del Reglamento (UE) 2018/1725. El SEPD recurrirá a los conocimientos y la experiencia de las autoridades nacionales de control para el desempeño de las funciones contempladas en el artículo 43, apartado 2, del presente Reglamento.

Teniendo debidamente en cuenta los principios de subsidiariedad y de proporcionalidad, los miembros y el personal de las autoridades nacionales de control tendrán competencias equivalentes a las contempladas en el artículo 43, apartado 4, del presente Reglamento y tendrán una obligación equivalente a la dispuesta en el artículo 43, apartado 6, del presente Reglamento, cuando realicen inspecciones conjuntas con el SEPD.”;

el apartado 4 se sustituye por el texto siguiente:

“4. En casos relativos a datos procedentes de uno o más Estados miembros, en particular en los casos mencionados en el artículo 47, apartado 2, el SEPD deberá consultar a las autoridades nacionales de control de que se trate. El SEPD no tomará una decisión sobre la adopción de ulteriores medidas antes de que dichas autoridades nacionales de control le informen de la opinión de estas en un plazo por él especificado, que no será inferior a un mes ni superior a tres meses a partir del momento en que el SEPD consulte a las autoridades nacionales de control de que se trate. El SEPD tendrá en cuenta al máximo la opinión de las autoridades nacionales de control de que se trate. Cuando el SEPD no tenga intención de seguir la opinión de dichas autoridades, les informará de ello, aducirá una justificación y remitirá el asunto al Comité Europeo de Protección de Datos.”.

42)

Se suprimen los artículos 45 y 46.

43)

El artículo 47 se modifica como sigue:

el apartado 1 se sustituye por el texto siguiente:

“1. Cualquier interesado que considere que el tratamiento por parte de Europol de datos personales que guarden relación con él no respeta el presente Reglamento o el Reglamento (UE) 2018/1725 tendrá derecho a presentar una queja ante el SEPD.”;

en el apartado 2, la primera frase se sustituye por el texto siguiente:

“2. Cuando una queja se refiera a una decisión contemplada en los artículos 36 o 37 del presente Reglamento o en los artículos 81 u 82 del Reglamento (UE) 2018/1725, el SEPD consultará a las autoridades nacionales de control del Estado miembro del que procedan los datos o del Estado miembro directamente afectado.”;

se añade el apartado siguiente:

“5. El SEPD informará al interesado sobre el curso y el resultado de la queja, así como sobre la posibilidad de tutela judicial en virtud del artículo 48.”.

44)

El artículo 50 se sustituye por el texto siguiente:

“Artículo 50

Derecho a indemnización

1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir una indemnización de conformidad con el artículo 65 del Reglamento (UE) 2018/1725 y el artículo 56 de la Directiva (UE) 2016/680.

2. Cualquier litigio entre Europol y los Estados miembros en relación con la responsabilidad última por la indemnización concedida a una persona que haya sufrido daños y perjuicios materiales o inmateriales de conformidad con el apartado 1 del presente artículo se remitirá al Consejo de Administración. El Consejo de Administración decidirá sobre dicha responsabilidad por mayoría de dos tercios de sus miembros, sin perjuicio del derecho a impugnar dicha decisión de conformidad con el artículo 263 del TFUE.”.

45)

El artículo 51 se modifica como sigue:

el apartado 3 se modifica como sigue:

la letra d) se sustituye por el texto siguiente:

“d)

el informe anual de actividades consolidado sobre las actividades de Europol, mencionado en el artículo 11, apartado 1, letra c), incluida la información pertinente sobre las actividades de Europol y los resultados obtenidos en el tratamiento de grandes conjuntos de datos, sin revelar detalles operativos y sin perjuicio de las investigaciones en curso;”,

ii)

se añaden las letras siguientes:

“f)

información anual de conformidad con el artículo 26, apartado 11, sobre los datos personales intercambiados con entidades privadas en virtud de los artículos 26, 26 bis y 26 ter, incluida una evaluación de la eficacia de la cooperación, ejemplos concretos en los que se demuestre por qué esas solicitudes eran necesarias y proporcionadas, para que Europol pueda lograr sus objetivos y desempeñar sus funciones, y, en lo que respecta a los intercambios de datos personales en virtud del artículo 26 ter, el número de niños identificados como resultado de dichos intercambios en la medida en que Europol disponga de esta información;

información anual sobre el número de casos en los que Europol haya tenido que tratar datos personales que no atañan a las categorías de interesados enumeradas en el anexo II con el fin de apoyar a los Estados miembros en una investigación penal específica en curso de conformidad con el artículo 18 bis, así como información sobre la duración y los resultados del tratamiento, que incluya ejemplos de casos en los que se demuestre por qué ese tratamiento de datos era necesario y proporcionado;

información anual sobre las transferencias de datos personales a terceros países y organizaciones internacionales en virtud del artículo 25, apartados 1 y 4 bis, desglosadas por base jurídica, y sobre el número de casos en los que el director ejecutivo haya autorizado, en virtud del artículo 25, apartado 5, la transferencia o las categorías de transferencias de datos personales relacionadas con una investigación penal específica en curso a terceros países u organizaciones internacionales, incluida la información sobre los países de que se trate y la duración de la autorización;

información anual sobre el número de casos en los que Europol haya propuesto la posible introducción de descripciones de información de conformidad con el artículo 4, apartado 1, letra t), que incluya ejemplos concretos de casos en los que se demuestre por qué se había propuesto la introducción de dichas descripciones;

información anual sobre el número de proyectos de investigación e innovación emprendidos, que incluya información sobre los fines de dichos proyectos, las categorías de datos personales tratados, las garantías adicionales utilizadas, incluida la minimización de datos, las necesidades policiales que dichos proyectos pretenden abordar y el resultado de estos;

información anual sobre el número de casos en los que Europol haya recurrido al tratamiento temporal de conformidad con el artículo 18, apartado 6 bis y, en su caso, el número de casos en que se haya ampliado el período de tratamiento;

información anual sobre el número y los tipos de casos en los que se hayan tratado categorías especiales de datos personales, en virtud del artículo 30, apartado 2.

Los ejemplos a que se refieren las letras f) e i) se anonimizarán en lo que respecta a los datos personales.

Los ejemplos a que se refiere la letra g) se anonimizarán en lo que respecta a los datos personales, sin revelar detalles operativos y sin perjuicio de las investigaciones en curso.”;

el apartado 5 se sustituye por el texto siguiente:

“5. El GCPC podrá elaborar unas conclusiones resumidas sobre el seguimiento político de las actividades de Europol, incluidas recomendaciones específicas no vinculantes dirigidas a Europol, y presentarlas al Parlamento Europeo y a los Parlamentos nacionales. El Parlamento Europeo remitirá dichas conclusiones, a efectos informativos, al Consejo, la Comisión y Europol.”.

46)

Se inserta el artículo siguiente:

“Artículo 52 bis

Foro consultivo

1. El GCPC creará un foro consultivo que le asista, previa petición, mediante un asesoramiento independiente en materia de derechos fundamentales.

El GCPC y el director ejecutivo podrán consultar al foro consultivo acerca de cualquier asunto relacionado con los derechos fundamentales.

2. El GCPC determinará la composición del foro consultivo, sus métodos de trabajo y el modo en que la información se haya de transmitir al foro consultivo.”.

47)

En el artículo 58, el apartado 9 se sustituye por el texto siguiente:

“9. El Reglamento Delegado (UE) 2019/715 se aplicará a cualquier proyecto inmobiliario que pueda tener repercusiones significativas en el presupuesto de Europol.”.

48)

El artículo 60 se modifica como sigue:

el apartado 4 se sustituye por el texto siguiente:

“4. Una vez recibidas las observaciones del Tribunal de Cuentas sobre las cuentas provisionales de Europol del año N con arreglo al artículo 246 del Reglamento (UE, Euratom) n.o 2018/1046 del Parlamento Europeo y del Consejo (*14), el contable de Europol elaborará las cuentas definitivas de Europol de ese año. El director ejecutivo presentará dichas cuentas definitivas al Consejo de Administración para que este emita dictamen al respecto.

(*14) Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).”;"

el apartado 9 se sustituye por el texto siguiente:

“9. A petición del Parlamento Europeo, el director ejecutivo le presentará toda la información necesaria para el correcto desarrollo del procedimiento de aprobación de la gestión presupuestaria del ejercicio N, de conformidad con el artículo 106, apartado 3, del Reglamento Delegado (UE) 2019/715.”.

49)

El artículo 61 se sustituye por el texto siguiente:

“Artículo 61

Normas financieras

1. El Consejo de Administración aprobará las normas financieras aplicables a Europol, previa consulta a la Comisión. Estas normas no se apartarán del Reglamento Delegado (UE) 2019/715 salvo que sea específicamente necesario para el funcionamiento de Europol y previo acuerdo de la Comisión.

2. Europol podrá conceder subvenciones relacionadas con la consecución de sus objetivos y el desempeño de sus funciones.

3. Europol podrá conceder subvenciones sin necesidad de ninguna convocatoria de propuestas a los Estados miembros para la realización de actividades que se incluyan en los objetivos y funciones de Europol.

4. Cuando esté debidamente justificado por fines operativos, tras la autorización del Consejo de Administración, la ayuda financiera podrá sufragar la totalidad de los costes de inversión en equipos e infraestructuras.

Las normas financieras a que se refiere el apartado 1 podrán especificar los criterios con arreglo a los cuales la ayuda financiera podrá sufragar la totalidad de los costes de inversión a que se refiere el párrafo primero del presente apartado.

5. En lo que se refiere al apoyo presupuestario a las actividades de los equipos conjuntos de investigación, Europol y Eurojust establecerán conjuntamente las normas y condiciones de tramitación de las solicitudes de apoyo.”.

50)

El artículo 68 se modifica como sigue:

el apartado 1 se sustituye por el texto siguiente:

“1. A más tardar el 29 de junio de 2027, y posteriormente cada cinco años, la Comisión efectuará una evaluación para valorar, en particular, el impacto, la eficacia y la eficiencia de Europol y de sus prácticas de trabajo. Dicha evaluación podrá abordar, en particular, la posible necesidad de modificar la estructura, el funcionamiento, el ámbito de actuación y las funciones de Europol, y las repercusiones financieras de cualquier modificación de este tipo.”;

se añade el apartado siguiente:

“3. A más tardar el 29 de junio de 2025, la Comisión presentará un informe al Parlamento Europeo y al Consejo en el que se evalúen los efectos operativos del cumplimiento de las funciones previstas en el presente Reglamento, en particular, el artículo 4, apartado 1, letra t), el artículo 18, apartado 2, letra e), el artículo 18, apartado 6 bis, y los artículos 18 bis, 26, 26 bis y 26 ter, en relación con los objetivos de Europol. El informe evaluará los efectos de dichas funciones en los derechos y libertades fundamentales establecidos en la Carta. También proporcionará un análisis de costes y beneficios de la ampliación de las funciones de Europol.”.

51)

Se insertan los artículos siguientes:

“Artículo 74 bis

Disposiciones transitorias relativas al tratamiento de datos personales en apoyo de una investigación penal específica en curso

1. Cuando un Estado miembro, la Fiscalía Europea o Eurojust hayan facilitado datos personales que no atañan a las categorías de interesados enumeradas en el anexo II a Europol antes del 28 de junio de 2022, Europol podrá tratar dichos datos personales de conformidad con el artículo 18 bis, cuando:

el Estado miembro afectado, la Fiscalía Europea o Eurojust informen a Europol a más tardar el 29 de septiembre de 2022 de que está autorizado a tratar dichos datos personales, de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión o nacional, en la investigación penal en curso para la que hubiera solicitado el apoyo de Europol cuando proporcionó inicialmente los datos;

el Estado miembro afectado, la Fiscalía Europea o Eurojust soliciten a Europol, a más tardar el 29 de septiembre de 2022, que apoye la investigación penal en curso a que se refiere la letra a), y

Europol valore que, de conformidad con el artículo 18 bis, apartado 1, letra b), no es posible apoyar la investigación penal en curso a que se refiere la letra a) del presente apartado sin tratar datos personales que no cumplan con lo dispuesto en el artículo 18, apartado 5.

La valoración mencionada en la letra c) del presente apartado se registrará y remitirá al SEPD a efectos informativos cuando Europol deje de apoyar la investigación penal específica conexa.

2. Cuando un Estado miembro, la Fiscalía Europea o Eurojust no cumpla alguno o varios de los requisitos establecidos en el apartado 1, letras a) y b), del presente artículo por lo que respecta a los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II que haya facilitado a Europol antes del 28 de junio de 2022, o cuando un Estado miembro, la Fiscalía Europea o Eurojust no cumpla el apartado 1, letra c), del presente artículo, Europol no tratará dichos datos personales de conformidad con el artículo 18 bis, sino que los suprimirá, sin perjuicio de lo dispuesto en el artículo 18, apartado 5, y en el artículo 74 ter, a más tardar el 29 de octubre de 2022.

3. Cuando un tercer país a que se refiere el artículo 18 bis, apartado 6, haya facilitado datos personales que no atañan a las categorías de interesados enumeradas en el anexo II a Europol antes del 28 de junio de 2022, Europol podrá tratar dichos datos personales de conformidad con el artículo 18 bis, apartado 6, cuando:

el tercer país haya facilitado los datos personales en apoyo de una investigación penal específica en uno o más Estados miembros a los que Europol apoye;

el tercer país haya obtenido los datos en el contexto de una investigación penal de conformidad con los requisitos y garantías procesales aplicables en virtud de su Derecho penal nacional;

el tercer país informe a Europol, a más tardar el 29 de septiembre de 2022, de que está autorizado a tratar dichos datos personales en la investigación penal en el contexto de la cual haya obtenido los datos;

Europol valore que, de conformidad con el artículo 18 bis, apartado 1, letra b), no es posible apoyar la investigación penal específica a que se refiere la letra a) del presente apartado sin tratar datos personales que no cumplan con lo dispuesto en el artículo 18, apartado 5, y dicha valoración se registre y remita al SEPD a efectos informativos cuando Europol deje de apoyar la investigación penal específica conexa; y

Europol compruebe, de conformidad con el artículo 18 bis, apartado 6, que la cantidad de datos personales no es manifiestamente desproporcionada en relación con la investigación penal específica a que se refiere la letra a) del presente apartado en uno o más Estados miembros a los que Europol apoya.

4. Cuando un tercer país no cumpla el requisito establecido en el apartado 3, letra c), del presente artículo respecto de los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II que haya facilitado a Europol antes del 28 de junio de 2022, o cuando no se cumplan los demás requisitos establecidos en el apartado 3 del presente artículo, Europol no tratará dichos datos personales de conformidad con el artículo 18 bis, apartado 6, sino que los suprimirá, sin perjuicio de lo dispuesto en el artículo 18, apartado 5, y en el artículo 74 ter, a más tardar el 29 de octubre de 2022.

5. Cuando un Estado miembro, la Fiscalía Europea o Eurojust haya facilitado datos personales que no atañan a las categorías de interesados enumeradas en el anexo II a Europol antes del 28 de junio de 2022, podrá solicitar a Europol a más tardar el 29 de septiembre de 2022, que conserve dichos datos y el resultado del tratamiento de dichos datos por parte de Europol cuando sea necesario para garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal. Europol conservará los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II de tal modo que exista una separación funcional de otros datos y solo tratará dichos datos con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, y únicamente durante el tiempo en que se esté tramitando el procedimiento judicial relacionado con la investigación penal para la que se hayan facilitado dichos datos.

6. Cuando Europol haya recibido datos personales que no atañan a las categorías de interesados enumeradas en el anexo II antes del 28 de junio de 2022, Europol no conservará dichos datos con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, a menos que así se solicite de conformidad con el apartado 5. A falta de tal solicitud, Europol suprimirá dichos datos personales a más tardar el 29 de octubre de 2022.

Artículo 74 ter

Disposiciones transitorias relativas al tratamiento de datos personales en poder de Europol

Sin perjuicio de lo dispuesto en el artículo 74 bis, respecto de los datos personales recibidos por Europol antes del 28 de junio de 2022, Europol podrá comprobar si dichos datos personales atañen a alguna de las categorías de interesados establecidas en el anexo II. Con este fin, Europol podrá llevar a cabo un análisis preliminar de dichos datos personales durante un período máximo de dieciocho meses a partir de la fecha en que se recibieran por primera vez o, en casos justificados y con la autorización previa del SEPD, durante un período más largo.

El período máximo de tratamiento de los datos a que se refiere el párrafo primero será de tres años a partir del día de la recepción de los datos por Europol.”.

Artículo 2

El presente Reglamento entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con los Tratados.

Hecho en Estrasburgo, el 8 de junio de 2022.

Por el Parlamento Europeo

La Presidenta

R. METSOLA

Por el Consejo

El Presidente

C. BEAUNE

(1) Posición del Parlamento Europeo de 4 de mayo de 2022 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 24 de mayo de 2022.

(2) Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).

(3) Decisión 2008/617/JAI del Consejo, de 23 de junio de 2008, sobre la mejora de la cooperación entre las unidades especiales de intervención de los Estados miembros de la Unión Europea en situaciones de crisis (DO L 210 de 6.8.2008, p. 73).

(4) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (“Reglamento sobre la Ciberseguridad”) (DO L 151 de 7.6.2019, p. 15).

(5) Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).

(6) Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo , y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (DO L 312 de 7.12.2018, p. 56).

(7) Reglamento (UE) n.o 1053/2013 del Consejo, de 7 de octubre de 2013, por el que se establece un mecanismo de evaluación y seguimiento para verificar la aplicación del acervo de Schengen, y se deroga la Decisión del Comité Ejecutivo de 16 de septiembre de 1998 relativa a la creación de una Comisión permanente de evaluación y aplicación de Schengen (DO L 295 de 6.11.2013, p. 27).

(8) Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo, de 19 de marzo de 2019, por el que se establece un marco para el control de las inversiones extranjeras directas en la Unión (DO L 79 I de 21.3.2019, p. 1).

(9) Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1).

(10) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(11) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(12) Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) n.o 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70 /CE de la Comisión (DO L 141 de 5.6.2015, p. 73).

(13) Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo, de 29 de abril de 2021, sobre la lucha contra la difusión de contenidos terroristas en línea (DO L 172 de 17.5.2021, p. 79).

(14) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(15) DO C 143 de 23.4.2021, p. 6.