Los recitales
Extracto del libro de Bruno DUMAY: DESCRIPCIÓN DEL RGPD – Para directivos, departamentos estratégicos y empleados de empresas y organizaciones – Prólogo de Gaëlle MONTEILLER
No podíamos dejar que se perdieran los considerandos, al menos los principales que motivaron el RGPD. Forman la filosofía restaurada en el reglamento final y la directiva; descifran y armonizan en un solo prisma todas las consideraciones de cada legislación de los Estados miembros en materia de protección de datos. Encarnan la diversidad europea al tiempo que forman un corpus único. Iluminan nuestra comprensión y dan sentido; dan testimonio de que algo profundo está sucediendo, sin duda y a primera vista, en respuesta a los GAFAs, Google, Apple, Facebook, Amazon, Deezer, Instagram, Snapchat y otros, que han saqueado nuestros comportamientos, nuestros deseos y nuestras necesidades... ¡Actores cuya única consideración para nosotros es el bolsillo!
Me pareció esencial brindarles las principales consideraciones y/o los pasajes más importantes. Si desean profundizar, el sitio web de la CNIL es particularmente completo y los invito a visitarlo.
(Considerando 1) La protección de las personas físicas en lo que respecta al tratamiento de datos personales es un derecho fundamental. … establecen que toda persona tiene derecho a la protección de los datos personales que le conciernan.
(Considerando 2) Los principios y normas que rigen la protección de las personas físicas en lo que respecta al tratamiento de datos personales que les conciernen deben, cualquiera que sea la nacionalidad o residencia de dichas personas, respetar sus derechos y libertades fundamentales, en particular su derecho a la protección de los datos personales. … contribuir a la creación de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, a la consolidación y convergencia de las economías en el mercado interior y al bienestar de las personas físicas.
(Considerando 3) … el Consejo tiene como objetivo armonizar la protección de los derechos y libertades fundamentales de las personas físicas en lo que respecta a las actividades de tratamiento y garantizar la libre circulación de datos personales entre los Estados miembros.
(Considerando 4) El tratamiento de datos personales debe estar diseñado para servir a la humanidad. El derecho a la protección de datos personales no es un derecho absoluto; debe considerarse en relación con su función en la sociedad y sopesarse con otros derechos fundamentales, de conformidad con el principio de proporcionalidad. …el respeto a la vida privada y familiar, el domicilio y las comunicaciones, la protección de datos personales, la libertad de pensamiento, conciencia y religión, la libertad de expresión e información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística.
(Considerando 6) Los rápidos avances tecnológicos y la globalización han generado nuevos desafíos para la protección de datos personales. La recopilación y el intercambio de datos personales han aumentado significativamente. La tecnología permite a empresas privadas y autoridades públicas utilizar datos personales en sus actividades comerciales como nunca antes. Cada vez más, las personas hacen pública y globalmente accesible su información personal. La tecnología ha transformado las relaciones económicas y sociales y debería facilitar aún más la libre circulación de datos personales dentro de la Unión y su transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un alto nivel de protección de datos personales.
(Considerando 7) …es importante generar confianza que permita que la economía digital prospere en todo el mercado interior. Las personas deben tener control sobre sus datos personales. …
(Considerando 9) …la fragmentación de la aplicación de la protección de datos en la Unión, la inseguridad jurídica o la percepción pública generalizada de que persisten riesgos significativos para la protección de las personas, en particular en relación con el entorno en línea. Las diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular el derecho a la protección de datos personales, en lo que respecta al tratamiento de datos personales en los Estados miembros pueden impedir la libre circulación de dichos datos en toda la Unión. Por lo tanto, dichas diferencias pueden constituir un obstáculo para el desarrollo de actividades económicas a nivel de la Unión, distorsionar la competencia e impedir que las autoridades cumplan con sus obligaciones en virtud del Derecho de la Unión. …
(Considerando 10) Para garantizar un nivel de protección uniforme y elevado de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Por lo tanto, conviene garantizar la aplicación uniforme y coherente de las normas de protección de los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de datos personales en toda la Unión.
(Considerando 11) La protección efectiva de los datos personales en toda la Unión requiere reforzar y aclarar los derechos de los interesados y las obligaciones de quienes realizan y determinan el tratamiento de datos personales, así como establecer, en los Estados miembros, poderes equivalentes de supervisión y control del cumplimiento de las normas sobre protección de datos personales y sanciones equivalentes en caso de infracción.
(Considerando 13)
Para garantizar un nivel uniforme de protección de las personas físicas en toda la Unión y evitar divergencias que obstaculicen la libre circulación de datos personales en el mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos, incluidas las microempresas y las pequeñas y medianas empresas, que otorgue a las personas físicas en todos los Estados miembros el mismo nivel de derechos, obligaciones y responsabilidades exigibles para los responsables y encargados del tratamiento, y que garantice una supervisión uniforme del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como una cooperación eficaz entre las autoridades de control de los distintos Estados miembros. Para el correcto funcionamiento del mercado interior, es necesario que la libre circulación de datos personales dentro de la Unión no se restrinja ni se prohíba por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
(Considerando 14) La protección que ofrece el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o lugar de residencia, en lo que respecta al tratamiento de sus datos personales. El presente Reglamento no se aplica al tratamiento de datos personales relativos a personas jurídicas,...
(Considerando 17) El Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo se aplica al tratamiento de datos personales por parte de las instituciones, órganos y organismos de la Unión. …
(Considerando 19) La protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención de amenazas a la seguridad pública y la libre circulación de dichos datos, es objeto de un acto jurídico específico de la Unión. …
(Considerando 22) Todo tratamiento de datos personales que tenga lugar en el contexto de las actividades de un establecimiento de un responsable o encargado del tratamiento en el territorio de la Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de que el propio tratamiento tenga lugar en la Unión. El establecimiento presupone el ejercicio efectivo y genuino de una actividad mediante un establecimiento estable.
(Considerando 23) Para garantizar que una persona física no quede excluida de la protección a la que tiene derecho en virtud del presente Reglamento, el tratamiento de datos personales relativos a interesados que se encuentran en la Unión por parte de un responsable o encargado del tratamiento no establecido en ella debe estar sujeto al presente Reglamento cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados, con o sin pago. Para determinar si dicho responsable o encargado del tratamiento ofrece bienes o servicios a interesados que se encuentran en la Unión, debe determinarse si es evidente que el responsable o encargado del tratamiento tiene la intención de ofrecer servicios a interesados en uno o más Estados miembros de la Unión.
(Considerando 24) El tratamiento de datos personales de interesados que se encuentren en la Unión por un responsable o un encargado del tratamiento no establecido en ella también debe estar sujeto al presente Reglamento cuando dicho tratamiento esté relacionado con la vigilancia del comportamiento de dichos interesados en la medida en que afecte a su comportamiento dentro de la Unión. Para determinar si una actividad de tratamiento puede considerarse vigilancia del comportamiento de los interesados, debe determinarse si se está rastreando a personas físicas en internet, lo que incluye el posible uso posterior de técnicas de tratamiento de datos personales consistentes en la elaboración de perfiles de una persona física, en particular para tomar decisiones que le conciernen o para analizar o predecir sus preferencias, comportamiento y actitudes.
(Considerando 25) Cuando el Derecho de un Estado miembro se aplique en virtud del Derecho internacional público, el presente Reglamento también debe aplicarse a un responsable del tratamiento no establecido en la Unión, …
(Considerando 26) Los principios de protección de datos deben aplicarse a toda información relativa a una persona física identificada o identificable. Los datos personales seudonimizados que puedan atribuirse a una persona física mediante información adicional deben considerarse información relativa a una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios que razonablemente pueda utilizar el responsable del tratamiento.
(Considerando 27) El presente Reglamento no se aplica a los datos personales de personas fallecidas. Los Estados miembros podrán establecer normas relativas al tratamiento de datos personales de personas fallecidas.
(Considerando 28) La seudonimización de datos personales puede reducir los riesgos para los interesados y ayudar a los responsables y encargados del tratamiento a cumplir con sus obligaciones en materia de protección de datos. La introducción explícita de la seudonimización en el presente Reglamento no pretende excluir otras medidas de protección de datos.
(Considerando 29) Para fomentar la seudonimización en el tratamiento de datos personales, las medidas de seudonimización deben ser posibles dentro del mismo responsable del tratamiento, permitiendo al mismo tiempo un análisis general, cuando este haya adoptado las medidas técnicas y organizativas necesarias para garantizar, para el tratamiento en cuestión, la aplicación del presente Reglamento y que la información adicional que permita la atribución de los datos personales a un interesado específico se conserve por separado. El responsable del tratamiento de los datos personales debe indicar las personas autorizadas para este fin dentro del mismo responsable.
(Considerando 30) Las personas pueden asociarse, a través de los dispositivos, aplicaciones, herramientas y protocolos que utilizan, con identificadores en línea como direcciones IP y cookies u otros identificadores, por ejemplo, etiquetas de identificación por radiofrecuencia. Estos identificadores pueden dejar rastros que, en particular al combinarse con identificadores únicos y otra información recibida por los servidores, pueden utilizarse para crear perfiles de personas e identificarlas.
(Considerando 31) Las autoridades públicas a las que se comuniquen datos personales en virtud de una obligación legal para el ejercicio de sus funciones oficiales, como las autoridades fiscales y aduaneras, las unidades de investigación financiera, las autoridades administrativas independientes o las autoridades del mercado financiero encargadas de la regulación y supervisión de los mercados de valores, no serán consideradas destinatarias si reciben datos personales que sean necesarios para llevar a cabo una investigación concreta en interés público, …
(Considerando 32) El consentimiento debe otorgarse mediante una acción afirmativa clara mediante la cual el interesado manifieste libremente, de forma específica, informada e inequívoca, su consentimiento al tratamiento de sus datos personales, por ejemplo, mediante una declaración escrita, incluso por medios electrónicos, o una declaración oral. Esto podría consistir, por ejemplo, en marcar una casilla al visitar un sitio web, optar por determinadas configuraciones técnicas para servicios de la sociedad de la información o mediante una declaración o conducta adicional que indique claramente en este contexto que el interesado acepta el tratamiento propuesto de sus datos personales. Por lo tanto, no se puede presumir que el consentimiento se basa en el silencio, las marcas de verificación por omisión ni en la inacción.
(Considerando 36) El establecimiento principal de un responsable del tratamiento en la Unión debe ser la sede de su administración central en la Unión, salvo que las decisiones sobre los fines y medios del tratamiento de datos personales se tomen en otro establecimiento del responsable en la Unión, en cuyo caso dicho establecimiento debe considerarse el establecimiento principal. El establecimiento principal de un responsable del tratamiento en la Unión debe determinarse con arreglo a criterios objetivos y debe implicar el ejercicio efectivo y genuino de las actividades de gestión que determinan las decisiones principales sobre los fines y medios del tratamiento dentro de un marco estable.
(Considerando 37) Un grupo empresarial debe abarcar una empresa controladora y sus empresas controladas, siendo la primera la que pueda ejercer una influencia dominante sobre las demás empresas en virtud, por ejemplo, de su propiedad de capital, participación financiera o las normas que la rigen, o de la facultad de aplicar las normas sobre protección de datos personales. Una empresa que controle el tratamiento de datos personales en empresas afiliadas a ella debe considerarse como parte de un grupo empresarial con estas últimas.
(Considerando 38) Los niños merecen protección específica con respecto a sus datos personales, ya que pueden ser menos conscientes de los riesgos, las consecuencias y las garantías que conlleva, así como de sus derechos en relación con el tratamiento de datos personales. Esta protección específica debe aplicarse, en particular, al uso de datos personales relativos a menores con fines comerciales o para la creación de perfiles de personalidad o de usuario, así como a la recopilación de datos personales relativos a menores al utilizar servicios ofrecidos directamente a ellos. No debe requerirse el consentimiento del titular de la patria potestad en el contexto de los servicios de prevención o asesoramiento ofrecidos directamente a menores.
(Considerando 39) Todo tratamiento de datos personales debe ser lícito y justo. El hecho de que se recopilen, utilicen, accedan o traten de otro modo datos personales relativos a personas físicas, y el grado en que se traten o se tratarán, debe ser transparente para las personas físicas afectadas. El principio de transparencia exige que toda la información y la comunicación relativas al tratamiento de dichos datos personales sean fácilmente accesibles, fáciles de comprender y estén formuladas en un lenguaje claro y sencillo. Este principio se aplica, en particular, a la información proporcionada a los interesados sobre la identidad del responsable del tratamiento y los fines del tratamiento, así como a otra información destinada a garantizar un tratamiento justo y transparente en relación con las personas físicas afectadas y su derecho a obtener confirmación y comunicación sobre si sus datos personales están siendo tratados. Las personas físicas deben ser informadas de los riesgos, las normas, las garantías y los derechos relacionados con el tratamiento de datos personales y de las modalidades para ejercer sus derechos en relación con dicho tratamiento.
(Considerando 40) Para ser lícito, el tratamiento de datos personales deberá estar basado en el consentimiento del interesado o en cualquier otro fundamento legítimo previsto por la ley, …
(Considerando 42) Cuando el tratamiento se base en el consentimiento del interesado, el responsable del tratamiento deberá poder demostrar que el interesado ha dado su consentimiento para la operación de tratamiento. …
(Considerando 43) Para garantizar que el consentimiento se otorgue libremente, este no debe constituir una base jurídica válida para el tratamiento de datos personales en un caso particular en el que exista un desequilibrio manifiesto entre el interesado y el responsable del tratamiento, en particular cuando el responsable sea una autoridad pública y sea improbable que el consentimiento se haya otorgado libremente en todas las circunstancias de esa situación particular. Se presumirá que el consentimiento no se ha otorgado libremente si no se puede otorgar por separado para diferentes operaciones de tratamiento de datos personales, aunque sea apropiado en el caso concreto, o si la ejecución de un contrato, incluida la prestación de un servicio, se condiciona al consentimiento, aunque este no sea necesario para dicha ejecución.
(Considerando 44) El tratamiento se considerará lícito cuando sea necesario para la ejecución de un contrato o la intención de celebrar un contrato.
(Considerando 45) Cuando el tratamiento se lleve a cabo en cumplimiento de una obligación legal a la que esté sujeto el responsable del tratamiento o cuando sea necesario para el cumplimiento de una tarea realizada en interés público o en el ejercicio de la autoridad oficial, el tratamiento debe tener su base en el Derecho de la Unión o de los Estados miembros. …
(Considerando 46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. El tratamiento de datos personales basado en el interés vital de otra persona física solo debe, en principio, tener lugar cuando sea manifiestamente imposible fundamentarlo en otra base jurídica.
(Considerando 47) Los intereses legítimos de un responsable del tratamiento, incluidos los de un responsable al que se puedan revelar los datos personales, o de un tercero, pueden constituir una base jurídica para el tratamiento, a menos que prevalezcan los intereses o los derechos y libertades fundamentales del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable del tratamiento. …
(Considerando 48) Los responsables del tratamiento que formen parte de un grupo de empresas o de establecimientos afiliados a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo de empresas para fines administrativos internos, incluido el tratamiento de datos personales relativos a clientes o empleados. …
(Considerando 49) El tratamiento de datos personales, en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y la información, es decir, la capacidad de una red o sistema de información para resistir, con un nivel de confianza determinado, eventos accidentales o acciones ilícitas o maliciosas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales almacenados o transmitidos, así como la seguridad de los servicios relacionados ofrecidos o accesibles a través de dichas redes y sistemas por las autoridades públicas, los Equipos de Respuesta a Emergencias Informáticas (CERT), los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT), los proveedores de redes y servicios de comunicaciones electrónicas y los proveedores de tecnologías y servicios de seguridad, constituye un interés legítimo del responsable del tratamiento. Esto podría incluir, por ejemplo, prevenir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución de código malicioso, así como detener los ataques de denegación de servicio y los daños a los sistemas informáticos y de comunicaciones electrónicas.
(Considerando 50) El tratamiento de datos personales para fines distintos de aquellos para los que se recopilaron originalmente solo debe permitirse si es compatible con los fines para los que se recopilaron originalmente. …
Cuando el interesado haya dado su consentimiento o el tratamiento se base en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcionada en una sociedad democrática para alcanzar, en particular, objetivos importantes de interés público general, el responsable del tratamiento debe estar autorizado a llevar a cabo un tratamiento ulterior de los datos personales independientemente de la compatibilidad de los fines. …
(Considerando 51) Los datos personales que, por su naturaleza, son especialmente sensibles desde el punto de vista de los derechos y libertades fundamentales merecen una protección específica, ya que el contexto en el que se tratan podría entrañar riesgos significativos para dichos derechos y libertades. Dichos datos personales deben incluir datos personales que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica que la Unión respalde teorías sobre la existencia de razas humanas distintas.
(Considerando 52) También deben permitirse excepciones a la prohibición de tratar categorías especiales de datos personales cuando así lo disponga el Derecho de la Unión o de los Estados miembros, y con sujeción a las garantías adecuadas, a fin de proteger los datos personales y otros derechos fundamentales, cuando el interés público así lo exija, incluido el tratamiento de datos personales en el ámbito del Derecho laboral y de la protección social, incluidas las pensiones, y con fines de seguridad, vigilancia y alerta sanitaria, prevención o control de enfermedades transmisibles y otras amenazas graves para la salud.
(Considerando 53) Las categorías especiales de datos personales que merecen mayor protección solo deben tratarse con fines relacionados con la salud, cuando sea necesario para alcanzar dichos fines en interés de las personas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas de salud o asistencia social, incluido el tratamiento de dichos datos por parte de las autoridades nacionales de gestión y las autoridades sanitarias centrales, con fines de control de calidad, información a los directivos y supervisión general, a nivel nacional y local, del sistema de salud o asistencia social, y con el fin de garantizar la continuidad de la atención sanitaria o social y la atención sanitaria transfronteriza, o con fines de seguridad sanitaria, vigilancia y alerta, o con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos, sobre la base del Derecho de la Unión o de los Estados miembros que deba alcanzar un objetivo de interés público, así como para estudios realizados en interés público en el ámbito de la salud pública.
(Considerando 54) El tratamiento de categorías especiales de datos personales puede ser necesario por razones de interés público en el ámbito de la salud pública, sin el consentimiento del interesado. … Dicho tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empleadores, compañías de seguros y bancos, procesen datos personales para otros fines.
(Considerando 56) Cuando, en el contexto de actividades relacionadas con las elecciones, el funcionamiento del sistema democrático de un Estado miembro requiera que los partidos políticos recopilen datos personales relativos a las opiniones políticas de personas, el tratamiento de dichos datos podrá permitirse por razones de interés público, siempre que se proporcionen las garantías adecuadas.
(Considerando 57) Si los datos personales que trata no permiten identificar a una persona física, el responsable del tratamiento no estará obligado a obtener información adicional para identificar al interesado únicamente a efectos del cumplimiento de una disposición del presente Reglamento. Sin embargo, el responsable del tratamiento no deberá rechazar la información adicional proporcionada por el interesado para facilitar el ejercicio de sus derechos. La identificación deberá incluir la identificación digital del interesado, por ejemplo, mediante un mecanismo de autenticación como las mismas credenciales que utilice para acceder al servicio en línea ofrecido por el responsable del tratamiento.
(Considerando 58) El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y comprensible, esté formulada en términos claros y sencillos y, cuando proceda, se ilustre con elementos visuales. Dicha información podría proporcionarse en formato electrónico, por ejemplo, a través de un sitio web cuando esté dirigida al público. … Dado que los niños merecen una protección específica, toda la información y comunicación, cuando el tratamiento les afecte, debe redactarse en términos claros y sencillos que el niño pueda comprender fácilmente.
(Considerando 59) Deben establecerse mecanismos para facilitar el ejercicio por parte del interesado de sus derechos en virtud del presente Reglamento, incluidos los medios para solicitar y, en su caso, obtener gratuitamente, en particular, el acceso, la rectificación o la supresión de datos personales y el ejercicio del derecho de oposición. El responsable del tratamiento también debe facilitar los medios para presentar solicitudes por vía electrónica, en particular cuando los datos personales se traten electrónicamente. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin demora indebida y, a más tardar, en el plazo de un mes, y a justificar su respuesta si no tiene intención de atender dichas solicitudes.
(Considerando 60) El principio de tratamiento justo y transparente exige que el interesado sea informado de la existencia del tratamiento y sus fines. El responsable del tratamiento debe proporcionar al interesado cualquier otra información necesaria para garantizar un tratamiento justo y transparente, teniendo en cuenta las circunstancias y el contexto específicos en los que se tratan los datos personales. Además, debe informarse al interesado de la existencia de la elaboración de perfiles y de sus consecuencias. Cuando se recopilen datos personales del interesado, es importante que este también sepa si está obligado a proporcionarlos y las consecuencias de no hacerlo.
(Considerando 61) La información sobre el tratamiento de datos personales relativos al interesado deberá facilitársele en el momento en que se recopilen o, si estos se obtienen de otra fuente, dentro de un plazo razonable, según las circunstancias de cada caso. Cuando los datos personales puedan ser comunicados legalmente a otro destinatario, se le informará del momento en que se comunicaron por primera vez a dicho destinatario.
(Considerando 62) Sin embargo, no es necesario imponer una obligación de proporcionar información cuando el interesado ya dispone de dicha información, cuando el registro o la divulgación de datos personales está expresamente previsto por la ley o cuando facilitar información al interesado resulta imposible o requiere un esfuerzo desproporcionado.
(Considerando 63) El interesado debe tener derecho a acceder a los datos personales recopilados sobre él y a ejercer este derecho fácilmente y a intervalos razonables, para conocer el tratamiento y verificar su licitud. Esto incluye el derecho del interesado a acceder a datos relativos a su salud, por ejemplo, datos de su historial médico que contengan información como diagnósticos, resultados de exámenes, opiniones de médicos tratantes y cualquier tratamiento o intervención administrada. En consecuencia, todo interesado debe tener derecho a conocer y ser informado, en particular, de los fines del tratamiento de sus datos personales, de ser posible, la duración del mismo, la identidad de los destinatarios, la lógica empleada en cualquier tratamiento automatizado y las posibles consecuencias de dicho tratamiento, al menos en el caso de la elaboración de perfiles.
(Considerando 64) El responsable del tratamiento deberá tomar todas las medidas razonables para verificar la identidad del interesado que solicite acceso a los datos, en particular en el contexto de servicios en línea e identificadores. El responsable del tratamiento no deberá conservar datos personales con el único fin de responder a posibles solicitudes.
(Considerando 65) Los interesados deben tener derecho a la rectificación de sus datos personales y a un «derecho al olvido» cuando la conservación de dichos datos infrinja el presente Reglamento o el Derecho de la Unión o de los Estados miembros al que esté sujeto el responsable del tratamiento. En particular, los interesados deben tener derecho a que sus datos personales se supriman y dejen de ser tratados cuando ya no sean necesarios en relación con los fines para los que fueron recopilados o tratados de otro modo, cuando hayan retirado su consentimiento para el tratamiento o se hayan opuesto al mismo, o cuando el tratamiento de sus datos personales sea incompatible con el presente Reglamento. Este derecho es pertinente, en particular, cuando el interesado dio su consentimiento siendo niño y desconocía plenamente los riesgos del tratamiento, y posteriormente desea que se supriman dichos datos personales, en particular en internet.
(Considerando 66) Para fortalecer el «derecho al olvido» digital, el derecho de supresión también debería ampliarse de modo que el responsable del tratamiento que haya hecho públicos datos personales esté obligado a informar a los responsables del tratamiento de esos datos personales de que cualquier enlace a esos datos o cualquier copia o reproducción de los mismos debe borrarse. …
(Considerando 67) Los métodos para restringir el tratamiento de datos personales podrían incluir, entre otros, el traslado temporal de datos seleccionados a otro sistema de tratamiento, la inaccesibilidad de determinados datos personales a los usuarios o la eliminación temporal de datos publicados de un sitio web. En los sistemas de ficheros automatizados, la restricción del tratamiento debe garantizarse, en principio, por medios técnicos, de tal manera que los datos personales no sean objeto de operaciones de tratamiento posteriores ni puedan ser modificados. La restricción del tratamiento de datos personales debe indicarse claramente en el sistema de ficheros.
(Considerando 68) Para reforzar aún más el control sobre sus propios datos, los interesados también deben tener derecho, cuando los datos personales se traten por medios automatizados, a recibir los datos personales que les incumban y que hayan facilitado a un responsable del tratamiento en un formato estructurado, de uso común, legible por máquina e interoperable, y a transmitirlos a otro responsable del tratamiento. Se debe animar a los responsables del tratamiento a desarrollar formatos interoperables que permitan la portabilidad de los datos.
(Considerando 69) Cuando los datos personales puedan ser tratados lícitamente porque el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de la autoridad oficial conferida al responsable del tratamiento, o debido a los intereses legítimos del responsable del tratamiento o de un tercero, los interesados tendrán derecho a oponerse al tratamiento de cualquier dato personal relacionado con su situación particular. La carga de la prueba de que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y libertades fundamentales del interesado recaerá en el responsable del tratamiento.
(Considerando 70) Cuando se procesen datos personales con fines de marketing directo, el interesado tendrá derecho a oponerse en cualquier momento y de forma gratuita a dicho tratamiento, incluida la elaboración de perfiles en la medida en que esté relacionada con dicho marketing directo, ya sea para el tratamiento inicial o para el tratamiento posterior. …
(Considerando 71) El interesado tendrá derecho a no ser objeto de una decisión, que puede incluir una medida, que implique la evaluación de determinados aspectos personales que le conciernen, basada únicamente en el tratamiento automatizado y que produzca efectos jurídicos en él o le afecte significativamente de forma similar, como el rechazo automático de una solicitud de crédito en línea o prácticas de contratación en línea sin intervención humana. Este tipo de tratamiento incluye la elaboración de perfiles, que consiste en cualquier forma de tratamiento automatizado de datos personales para evaluar aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento laboral, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, o la ubicación y los movimientos del interesado, siempre que produzca efectos jurídicos en él o le afecte significativamente de forma similar.
(Considerando 73) El Derecho de la Unión o de los Estados miembros puede imponer limitaciones a determinados principios específicos, así como al derecho de información, al derecho de acceso a los datos personales, al derecho de rectificación o supresión de dichos datos, al derecho a la portabilidad de los datos, al derecho de oposición, a las decisiones basadas en la elaboración de perfiles, así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, …
(Considerando 74) Es conveniente establecer la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o en su nombre. En particular, es importante que el responsable del tratamiento esté obligado a aplicar medidas adecuadas y eficaces y pueda demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de dichas medidas.
(Considerando 75) Los riesgos para los derechos y libertades de las personas físicas, cuya probabilidad y gravedad varían, pueden resultar del procesamiento de datos personales que probablemente resulten en daños físicos, materiales o no pecuniarios, en particular: cuando el procesamiento pueda dar lugar a discriminación, robo de identidad o fraude, pérdidas financieras, daños a la reputación, pérdida de confidencialidad de datos protegidos por el secreto profesional, reversión no autorizada del proceso de seudonimización o cualquier otro daño económico o social significativo; cuando los interesados puedan verse privados de sus derechos y libertades o se les pueda impedir ejercer control sobre sus datos personales; cuando el procesamiento se refiera a datos personales que revelen origen racial o étnico, opiniones políticas, religión o creencias filosóficas, afiliación sindical, así como datos genéticos, datos relativos a la salud o datos relativos a la vida sexual o datos relativos a condenas y delitos penales, o medidas de seguridad relacionadas; cuando se evalúen aspectos personales, en particular en el contexto del análisis o predicción de elementos relativos al rendimiento laboral, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la ubicación o los movimientos, con vistas a crear o utilizar perfiles individuales; cuando el tratamiento se refiera a datos personales relativos a personas físicas vulnerables, en particular niños; o cuando el tratamiento se refiera a un gran volumen de datos personales y afecte a un gran número de interesados.
(Considerando 76) La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado deberán determinarse en función de la naturaleza, el alcance, el contexto y los fines del tratamiento. …
(Considerando 78) La protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales requiere la adopción de medidas técnicas y organizativas adecuadas para garantizar el cumplimiento de los requisitos del presente Reglamento. Para poder demostrar el cumplimiento del presente Reglamento, el responsable del tratamiento debe adoptar normas internas e implementar medidas que respeten, en particular, los principios de protección de datos desde el diseño y la protección de datos por defecto. Dichas medidas podrían incluir, entre otras, minimizar el tratamiento de datos personales, seudonimizar los datos personales cuando sea posible, garantizar la transparencia en cuanto a las funciones y el tratamiento de datos personales, permitir al interesado controlar el tratamiento de datos y permitir al responsable implementar o mejorar las medidas de seguridad. Al desarrollar, diseñar, seleccionar y utilizar aplicaciones, servicios y productos que dependen del tratamiento de datos personales o que tratan datos personales para realizar sus funciones, se debe alentar a los fabricantes de productos, proveedores de servicios y productores de aplicaciones a que tengan en cuenta el derecho a la protección de datos al desarrollar y diseñar dichos productos, servicios y aplicaciones y, teniendo debidamente en cuenta el estado de la técnica, a que garanticen que los responsables y encargados del tratamiento puedan cumplir con sus obligaciones en materia de protección de datos. En la contratación pública también deben tenerse en cuenta los principios de protección de datos desde el diseño y de protección de datos por defecto.
(Considerando 79) La protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, incluso en el contexto de la supervisión por parte de las autoridades de control y de las medidas por ellas adoptadas, requiere una clara asignación de responsabilidades en virtud del presente Reglamento, …
(Considerando 80) Cuando un responsable o encargado del tratamiento no establecido en la Unión trate datos personales de interesados que se encuentren en la Unión y sus actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de que se requiera o no pago, o con la supervisión de su comportamiento, en la medida en que tenga lugar dentro de la Unión, el responsable o encargado del tratamiento deberá designar un representante, salvo que el tratamiento sea ocasional, no implique el tratamiento a gran escala de categorías especiales de datos personales ni el tratamiento de datos personales relativos a condenas e infracciones penales, y sea improbable que suponga un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, el contexto, el alcance y los fines del tratamiento, o que el responsable sea una autoridad u organismo público. El representante deberá actuar en nombre del responsable o encargado del tratamiento y cualquier autoridad de control podrá ponerse en contacto con él. El representante deberá ser designado expresamente mediante mandato escrito del responsable o encargado del tratamiento para actuar en su nombre en relación con sus obligaciones en virtud del presente Reglamento. La designación de dicho representante se entenderá sin perjuicio de las responsabilidades del responsable o encargado del tratamiento en virtud del presente Reglamento.
(Considerando 81) Para garantizar que se cumplan los requisitos del presente Reglamento en el contexto del tratamiento realizado por un encargado del tratamiento por cuenta del responsable, cuando este confíe actividades de tratamiento a un encargado, el responsable solo debe recurrir a encargados del tratamiento que ofrezcan garantías suficientes, en particular en términos de conocimientos especializados, fiabilidad y recursos, para la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento.
(Considerando 82) Para demostrar el cumplimiento del presente Reglamento, el responsable o el encargado del tratamiento deberá mantener registros de las actividades de tratamiento bajo su responsabilidad. …
(Considerando 83) Para garantizar la seguridad y evitar tratamientos que infrinjan el presente Reglamento, es importante que el responsable o el encargado del tratamiento evalúen los riesgos inherentes al tratamiento e implementen medidas para mitigarlos, como el cifrado. Dichas medidas deben garantizar un nivel adecuado de seguridad, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y los costes de implementación en relación con los riesgos y la naturaleza de los datos personales que deben protegerse.
(Considerando 84) Para garantizar mejor el cumplimiento del presente Reglamento cuando sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento debe ser responsable de realizar una evaluación de impacto relativa a la protección de datos para evaluar, en particular, el origen, la naturaleza, la especificidad y la gravedad de dicho riesgo. El resultado de dicha evaluación debe tenerse en cuenta al determinar las medidas adecuadas para demostrar que el tratamiento de datos personales cumple con el presente Reglamento. Cuando la evaluación de impacto relativa a la protección de datos muestre que las operaciones de tratamiento de datos implican un alto riesgo que el responsable no puede mitigar adoptando las medidas adecuadas, teniendo en cuenta las técnicas disponibles y los costes relacionados con su aplicación, debe consultarse a la autoridad de control antes de que se lleve a cabo el tratamiento.
(Considerando 85) Una violación de datos personales puede, si no se adoptan las medidas oportunas y adecuadas, causar daños físicos, materiales o morales a las personas físicas afectadas, como la pérdida de control sobre sus datos personales o la limitación de sus derechos, discriminación, usurpación de identidad o fraude, pérdidas financieras, revocación no autorizada del procedimiento de seudonimización, daño a la reputación, pérdida de confidencialidad de datos personales protegidos por el secreto profesional u otros daños económicos o sociales significativos. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de una violación de datos personales, deberá notificarlo a la autoridad de control sin demora indebida y, cuando sea posible, a más tardar 72 horas después de tener conocimiento de ella, a menos que pueda demostrar, de conformidad con el principio de rendición de cuentas, que es improbable que la violación en cuestión suponga un riesgo para los derechos y libertades de las personas físicas. Si dicha notificación no puede realizarse en el plazo de 72 horas, deberá ir acompañada de los motivos de la demora y la información podrá proporcionarse por etapas sin más demora indebida.
(Considerando 86) El responsable del tratamiento debe notificar al interesado sin demora indebida cualquier violación de datos personales cuando sea probable que entrañe un alto riesgo para los derechos y libertades de la persona física, de modo que el interesado pueda tomar las precauciones adecuadas.
(Considerando 87) Se debe verificar si se han implementado todas las medidas de seguridad técnicas y organizativas adecuadas para determinar de inmediato si se ha producido una violación de datos personales e informar rápidamente a la autoridad supervisora y al interesado.
(Considerando 91) Esto se aplicará en particular a las operaciones de tratamiento a gran escala destinadas a procesar una cantidad considerable de datos personales a nivel regional, nacional o supranacional, que puedan afectar a un número significativo de interesados y que puedan entrañar un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, de acuerdo con el estado de la técnica, se aplique una nueva técnica a gran escala, así como a otras operaciones de tratamiento que supongan un alto riesgo para los derechos y libertades de los interesados, en particular cuando, como resultado de dichas operaciones, les resulte más difícil ejercer sus derechos. También se realizará una evaluación de impacto de la protección de datos cuando el tratamiento de datos personales se realice con el fin de tomar decisiones relativas a personas físicas específicas, tras una evaluación sistemática y exhaustiva de los aspectos personales específicos de las personas físicas basada en la elaboración de perfiles de dichos datos o tras el tratamiento de categorías especiales de datos personales, datos biométricos o datos relativos a condenas e infracciones penales, o medidas de seguridad conexas.
(Considerando 92) Hay casos en los que puede ser razonable y rentable ampliar el alcance de la evaluación de impacto de la protección de datos más allá de un único proyecto, por ejemplo, cuando las autoridades públicas o los organismos públicos pretenden implementar una aplicación o plataforma de procesamiento común, o cuando varios responsables del tratamiento pretenden crear una aplicación o entorno de procesamiento común en todo un sector o segmento profesional, o para una actividad multifuncional ampliamente utilizada.
(Considerando 94) Cuando una evaluación de impacto sobre la protección de datos muestre que, en ausencia de garantías, medidas de seguridad y mecanismos de mitigación de riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas y el responsable del tratamiento opina que el riesgo no puede mitigarse por medios razonables teniendo en cuenta la tecnología disponible y los costes de aplicación, se deberá consultar a la autoridad de control antes de que comiencen las operaciones de tratamiento. …
(Considerando 97) Cuando el tratamiento lo realice una autoridad pública, con excepción de los tribunales o las autoridades judiciales independientes que actúen en el ejercicio de sus funciones judiciales, cuando, en el sector privado, lo realice un responsable del tratamiento cuyas actividades principales consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala, o cuando las actividades principales del responsable o del encargado del tratamiento consistan en el tratamiento a gran escala de categorías especiales de datos personales y datos relativos a condenas e infracciones penales, una persona con conocimientos especializados de la legislación y la práctica en materia de protección de datos deberá ayudar al responsable o al encargado del tratamiento a verificar el cumplimiento interno del presente Reglamento.
(Considerando 98) Se debe alentar a las asociaciones u otros organismos que representen categorías de responsables o encargados del tratamiento a que elaboren códigos de conducta, dentro de los límites del presente Reglamento, a fin de facilitar su correcta aplicación, teniendo en cuenta las especificidades del tratamiento realizado en determinados sectores y las necesidades específicas de las microempresas y las pequeñas y medianas empresas.
(Considerando 101) Los flujos de datos personales hacia y desde países fuera de la Unión y organizaciones internacionales son necesarios para el desarrollo del comercio internacional y la cooperación internacional. El aumento de dichos flujos ha generado nuevos desafíos y preocupaciones en relación con la protección de datos personales. Sin embargo, es importante que, cuando se transfieran datos personales desde la Unión a responsables, encargados del tratamiento u otros destinatarios en terceros países o a organizaciones internacionales, no se menoscabe el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento, incluso en el caso de transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables o encargados del tratamiento en el mismo o en otro tercer país, o a otra organización internacional. En cualquier caso, las transferencias a terceros países y a organizaciones internacionales solo podrán realizarse en pleno cumplimiento del presente Reglamento.
(Considerando 103) La Comisión podrá decidir, con efectos en toda la Unión, que un tercer país, un territorio o un sector específico dentro de un tercer país, o una organización internacional, ofrece un nivel adecuado de protección de datos, garantizando así la seguridad jurídica y la uniformidad en toda la Unión respecto al tercer país u organización internacional que se considere que ofrece dicho nivel de protección. En tal caso, las transferencias de datos personales a dicho tercer país u organización internacional podrán realizarse sin necesidad de obtener autorización adicional.
(Considerando 104) Teniendo en cuenta los valores fundamentales en los que se fundamenta la Unión, en particular la protección de los derechos humanos, la Comisión, en su evaluación de un tercer país, un territorio o un sector específico dentro de un tercer país, debe tener en cuenta la manera en que un tercer país específico respeta el Estado de Derecho, garantiza el acceso a la justicia y observa las normas y estándares internacionales en materia de derechos humanos, así como su legislación general y sectorial, incluida la legislación sobre seguridad pública, defensa y seguridad nacional, así como la legislación sobre orden público y Derecho penal.
(Considerando 105) Además de los compromisos internacionales contraídos por el tercer país u organización internacional, la Comisión debe tener en cuenta las obligaciones derivadas de su participación en sistemas multilaterales o regionales, en particular en lo que respecta a la protección de datos personales, y el cumplimiento de dichas obligaciones. En particular, debe tenerse en cuenta la adhesión del tercer país al Convenio del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo Adicional.
(Considerando 108) En ausencia de una decisión de adecuación, el responsable o el encargado del tratamiento deberán adoptar medidas para compensar la insuficiencia de la protección de datos en el tercer país mediante garantías adecuadas para el interesado. …
(Considerando 109) La posibilidad de que los responsables y encargados del tratamiento utilicen cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control no debe impedirles incluir dichas cláusulas en un contrato más amplio, como un contrato entre el encargado y otro encargado, o añadir otras cláusulas o garantías adicionales, siempre que estas no contradigan, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por una autoridad de control y no afecten negativamente a los derechos y libertades fundamentales de los interesados.
(Considerando 110) Un grupo de empresas o un grupo de empresas que realicen una actividad económica conjunta debe poder utilizar normas corporativas vinculantes aprobadas para sus transferencias internacionales desde la Unión a entidades del mismo grupo de empresas, o del mismo grupo de empresas que realicen una actividad económica conjunta, siempre que dichas normas corporativas incluyan todos los principios esenciales y derechos exigibles para garantizar las salvaguardias adecuadas para las transferencias o categorías de transferencias de datos personales.
(Considerando 114) En cualquier caso, cuando la Comisión no haya adoptado una posición sobre la adecuación del nivel de protección de datos en un tercer país, el responsable o el encargado del tratamiento deben adoptar soluciones que garanticen a los interesados derechos exigibles y efectivos con respecto al tratamiento de sus datos en la Unión una vez que dichos datos hayan sido transferidos, de modo que dichos interesados sigan beneficiándose de los derechos y garantías fundamentales.
(Considerando 116) Cuando los datos personales cruzan las fronteras exteriores de la Unión, puede aumentar el riesgo de que las personas no puedan ejercer sus derechos en materia de protección de datos, en particular para protegerse contra el uso o la divulgación ilícitos de dicha información. … Por consiguiente, es necesario fomentar una cooperación más estrecha entre las autoridades de control de la protección de datos, para facilitarles el intercambio de información y la realización de investigaciones con sus homólogos internacionales. …
(Considerando 121) Las condiciones generales aplicables a los miembros de la autoridad de control deben establecerse por ley en cada Estado miembro y deben prever, en particular, que dichos miembros sean nombrados, con arreglo a un procedimiento transparente, por el Parlamento, el Gobierno o el Jefe de Estado de dicho Estado miembro, a propuesta del Gobierno o de un miembro del Gobierno, o del Parlamento o de una cámara del Parlamento, o por un organismo independiente encargado de esta tarea con arreglo a la legislación de un Estado miembro.
(Considerando 122) Cada autoridad de control debe ser competente en el territorio de su Estado miembro para ejercer las funciones y poderes que se le confieren de conformidad con el presente Reglamento. …
(Considerando 124) Cuando el tratamiento de datos personales tenga lugar en el contexto de las actividades de un establecimiento de un responsable o del encargado del tratamiento en la Unión y dicho responsable o encargado esté establecido en más de un Estado miembro, o cuando el tratamiento que tenga lugar en el contexto de las actividades de un único establecimiento de un responsable o del encargado del tratamiento en la Unión afecte sustancialmente o sea probable que afecte sustancialmente a interesados en más de un Estado miembro, la autoridad de control competente sobre el establecimiento principal o único del responsable o del encargado debe actuar como autoridad principal.
(Considerando 125) La autoridad principal debe ser competente para adoptar decisiones vinculantes sobre medidas para ejecutar las competencias que le confiere el presente Reglamento. En su calidad de autoridad principal, la autoridad de control debe implicar estrechamente a las autoridades de control pertinentes en el proceso de toma de decisiones y garantizar una estrecha coordinación en ese contexto.
(Considerando 129) Para garantizar la aplicación y la supervisión coherentes del presente Reglamento en toda la Unión, las autoridades de control deben tener, en cada Estado miembro, las mismas funciones y competencias efectivas, incluidas las facultades de investigación, la facultad de adoptar medidas correctivas e imponer sanciones, así como la facultad de autorizar y emitir dictámenes consultivos, en particular en el caso de reclamaciones presentadas por personas físicas, y, sin perjuicio de las facultades de las autoridades judiciales con arreglo al Derecho de los Estados miembros, la facultad de poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y de emprender acciones legales. Dichas facultades también deben incluir la facultad de imponer una restricción temporal o permanente del tratamiento, incluida la prohibición.
(Considerando 130) Cuando la autoridad de control ante la que se haya presentado la reclamación no sea la autoridad de control principal, esta deberá cooperar estrechamente con la autoridad de control ante la que se haya presentado la reclamación, de conformidad con las disposiciones sobre cooperación y coherencia establecidas en el presente Reglamento. …
(Considerando 137) Podrían ser necesarias medidas urgentes para proteger los derechos y libertades de los interesados, en particular cuando exista el riesgo de que se obstaculice significativamente el ejercicio de sus derechos. Por consiguiente, una autoridad de control debe poder adoptar, en su territorio, medidas provisionales debidamente justificadas y con un plazo de validez que no exceda de tres meses.
(Considerando 138) La aplicación de dicho mecanismo debería condicionar la legalidad de una medida destinada a producir efectos jurídicos adoptada por una autoridad de control en los casos en que dicha aplicación sea obligatoria. …
(Considerando 141) Todo interesado tendrá derecho a presentar una reclamación ante una única autoridad de control, en particular en el Estado miembro donde tenga su residencia habitual, y a la tutela judicial efectiva, de conformidad con el artículo 47 de la Carta, si considera que se han vulnerado sus derechos en virtud del presente Reglamento o si la autoridad de control no da curso a su reclamación, la rechaza o la desestima, total o parcialmente, o no actúa cuando sea necesario para proteger sus derechos. La investigación posterior a una reclamación se llevará a cabo bajo supervisión judicial, en la medida que lo exija el caso concreto.
(Considerando 142) Cuando un interesado considere que se han vulnerado sus derechos en virtud del presente Reglamento, tendrá derecho a otorgar mandato a un organismo, organización o asociación sin ánimo de lucro, establecido de conformidad con la legislación de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que opere en el ámbito de la protección de datos personales, para que presente una reclamación en su nombre ante una autoridad de control, para que ejerza el derecho a un recurso judicial en nombre del interesado o, si así lo prevé la legislación del Estado miembro, para que ejerza el derecho a obtener una indemnización en nombre del interesado.
(Considerando 143) Cualquier persona física o jurídica tiene derecho a interponer un recurso de anulación contra las decisiones del Comité ante el Tribunal de Justicia, en las condiciones establecidas en el artículo 263 del Tratado de Funcionamiento de la Unión Europea. Tras la recepción de dichas decisiones, las autoridades de control interesadas que deseen impugnarlas deberán hacerlo en el plazo de dos meses a partir de su notificación, de conformidad con el artículo 263 del Tratado de Funcionamiento de la Unión Europea.
Cuando una autoridad de control haya rechazado o denegado una reclamación, el reclamante podrá interponer una acción ante los tribunales de ese mismo Estado miembro. …
(Considerando 144) Cuando un tribunal que conozca de un recurso contra una decisión adoptada por una autoridad de control tenga motivos para creer que se están interponiendo ante un tribunal competente de otro Estado miembro recursos relativos al mismo tratamiento, por ejemplo, el mismo objeto, efectuado por el mismo responsable o encargado del tratamiento, o la misma causa de recurso, deberá ponerse en contacto con ese otro tribunal para confirmar la existencia de dichos recursos relacionados.
(Considerando 145) Respecto a las acciones contra un responsable o un encargado del tratamiento, el solicitante debe poder optar por interponer la acción ante los tribunales de los Estados miembros en los que el responsable o el encargado tenga un establecimiento o en el Estado miembro en el que resida el interesado, a menos que el responsable sea una autoridad pública de un Estado miembro que actúe en el ejercicio de sus poderes públicos.
(Considerando 146) El responsable o encargado del tratamiento deberá indemnizar cualquier daño que un interesado pueda sufrir como consecuencia de un tratamiento realizado en contravención del presente Reglamento. El responsable o encargado del tratamiento quedará exento de responsabilidad si demuestra que el daño no le es imputable en modo alguno. No obstante, cuando responsables y encargados del tratamiento estén implicados en el mismo procedimiento judicial, de conformidad con la legislación de un Estado miembro, la indemnización podrá distribuirse en función de la parte de responsabilidad de cada responsable o encargado por el daño causado por el tratamiento, siempre que el daño sufrido por el interesado sea indemnizado de forma completa y efectiva.
(Considerando 148) Para reforzar la aplicación de las normas del presente Reglamento, deben imponerse sanciones, incluidas multas administrativas, por cualquier infracción del mismo, además de las medidas adecuadas impuestas por la autoridad de control con arreglo al mismo, o en lugar de ellas. En caso de infracción leve o si la multa que pueda imponerse supone una carga desproporcionada para una persona física, podrá emitirse una advertencia en lugar de una multa. No obstante, deben tenerse debidamente en cuenta la naturaleza, la gravedad y la duración de la infracción, su carácter intencional y las medidas adoptadas para mitigar el daño sufrido, el grado de responsabilidad o cualquier infracción pertinente previa, la forma en que la autoridad de control tuvo conocimiento de la infracción, el cumplimiento de las medidas impuestas contra el responsable o el encargado del tratamiento, la aplicación de un código de conducta y cualquier otra circunstancia agravante o atenuante. La aplicación de sanciones, incluidas las multas administrativas, debe estar sujeta a las garantías procesales adecuadas, de conformidad con los principios generales del Derecho de la Unión y la Carta, incluido el derecho a la tutela judicial efectiva y a las garantías procesales.
(Considerando 150) Para reforzar y armonizar las sanciones administrativas aplicables a las infracciones del presente Reglamento, cada autoridad de control debe tener la facultad de imponer multas administrativas. El presente Reglamento debe definir las infracciones, la cuantía máxima y los criterios para la fijación de las multas administrativas a las que están sujetas, que deben ser establecidos por la autoridad de control competente en cada caso, teniendo en cuenta todas las características específicas de cada caso y teniendo debidamente en cuenta, en particular, la naturaleza, la gravedad y la duración de la infracción y sus consecuencias, así como las medidas adoptadas para garantizar el cumplimiento de las obligaciones derivadas del Reglamento y para prevenir o mitigar las consecuencias de la infracción.
(Considerando 152) Cuando el presente Reglamento no armonice las sanciones administrativas o, cuando sea necesario en otras circunstancias, por ejemplo, en caso de infracciones graves del presente Reglamento, los Estados miembros deben implementar un sistema que prevea sanciones efectivas, proporcionadas y disuasorias. La naturaleza de dichas sanciones, ya sean penales o administrativas, debe determinarse por la legislación de los Estados miembros.
(Considerando 153) El Derecho de los Estados miembros debe conciliar las normas que rigen la libertad de expresión e información, incluida la expresión periodística, académica, artística o literaria, con el derecho a la protección de datos personales en virtud del presente Reglamento. En el contexto del tratamiento de datos personales únicamente con fines periodísticos o de expresión académica, artística o literaria, deben establecerse excepciones o exenciones a determinadas disposiciones del presente Reglamento si ello resulta necesario para conciliar el derecho a la protección de datos personales con el derecho a la libertad de expresión e información, consagrado en el artículo 11 de la Carta.
(Considerando 154) El presente Reglamento permite que en su aplicación se tenga en cuenta el principio de acceso público a los documentos oficiales. El acceso público a los documentos oficiales puede considerarse de interés público.
(Considerando 155) El Derecho de los Estados miembros o los convenios colectivos, incluidos los «convenios de empresa», podrán establecer normas específicas sobre el tratamiento de los datos personales de los trabajadores en el contexto de las relaciones laborales, incluidas las condiciones en las que los datos personales en el contexto de las relaciones laborales podrán tratarse sobre la base del consentimiento del trabajador, a efectos de contratación, ejecución del contrato de trabajo, incluido el cumplimiento de las obligaciones establecidas por la ley o por los convenios colectivos, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, y a efectos de ejercicio y disfrute de los derechos y beneficios laborales, individual o colectivamente, así como a efectos de terminación de la relación laboral.
(Considerando 162) Cuando se traten datos personales con fines estadísticos, el presente Reglamento debe aplicarse a dicho tratamiento. El Derecho de la Unión o de los Estados miembros, dentro de los límites del presente Reglamento, debe determinar el contenido estadístico, definir el control de acceso a los datos y establecer disposiciones específicas para el tratamiento de datos personales con fines estadísticos, así como medidas adecuadas para salvaguardar los derechos y libertades del interesado y mantener la confidencialidad estadística.
(Considerando 163) La información confidencial recopilada por las autoridades estadísticas de la Unión y de los Estados miembros con el fin de producir estadísticas oficiales europeas y nacionales debe protegerse.
(Considerando 164) Por lo que se refiere a las facultades de las autoridades de control para obtener del responsable o del encargado del tratamiento acceso a los datos personales y a sus instalaciones, los Estados miembros podrán, dentro de los límites del presente Reglamento, adoptar por ley normas específicas para garantizar la obligación de secreto profesional u otras obligaciones equivalentes de secreto, en la medida en que sea necesario para conciliar el derecho a la protección de los datos personales y la obligación de secreto profesional.
(Considerando 166) Para alcanzar los objetivos del presente Reglamento, a saber, proteger los derechos y libertades fundamentales de las personas físicas, en particular su derecho a la protección de datos personales, y garantizar la libre circulación de dichos datos dentro de la Unión, debe delegarse en la Comisión la facultad de adoptar actos de conformidad con el artículo 290 del Tratado de Funcionamiento de la Unión Europea. En particular, deben adoptarse actos delegados relativos a los criterios y requisitos de los mecanismos de certificación, la información que debe presentarse mediante iconos normalizados y los procedimientos para el suministro de dichos iconos.
(Considerando 168) Dado el alcance general de los actos en cuestión, debe utilizarse el procedimiento de examen para la adopción de actos de ejecución en relación con las cláusulas contractuales tipo entre responsables y encargados del tratamiento y entre encargados del tratamiento; códigos de conducta; normas técnicas y mecanismos de certificación; …
(Considerando 170) Dado que el objetivo del presente Reglamento, a saber, garantizar un nivel equivalente de protección de las personas físicas y la libre circulación de datos personales en toda la Unión, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a la dimensión o los efectos de la acción, puede lograrse mejor a escala de la Unión, esta podrá adoptar medidas, …
ES 
FR 
EN 
DE 
EL 
IT 
HR 
PT 
NL 
DE_AT 
ET 
FI 
LV 
LT 
SK 
SL