Agencia Estatal Boletín Oficial del Estado

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 88,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los parlamentos nacionales,

De conformidad con el procedimiento legislativo ordinario (1),

Considerando lo siguiente:

(1)

Europol fue creada por la Decisión 2009/371/JAI del Consejo (2) como un ente de la Unión financiado con cargo al presupuesto general de la Unión para apoyar y reforzar la actuación de las autoridades competentes de los Estados miembros y su colaboración mutua en la prevención y la lucha contra la delincuencia organizada, el terrorismo y otras formas de delitos graves que afecten a dos o más Estados miembros. La Decisión 2009/371/JAI sustituyó al Convenio, basado en el artículo K.3 del Tratado de la Unión Europea, por el que se crea una Oficina Europea de Policía (Convenio Europol) (3).

(2)

El artículo 88 del Tratado de Funcionamiento de la Unión Europea (TFUE) establece que Europol se regirá por un reglamento adoptado con arreglo al procedimiento legislativo ordinario. También requiere que se fije el procedimiento de control de las actividades de Europol por el Parlamento Europeo, control en el que participarán los parlamentos nacionales sin perjuicio de lo dispuesto en el artículo 12, letra c), del Tratado de la Unión Europea (TUE) en el artículo 9 del Protocolo n.o 1 sobre el papel de los parlamentos nacionales en la Unión Europea, anexo al TUE y al TFUE (Protocolo n.o 1) con el fin de reforzar la responsabilidad y la legitimidad democráticas de Europol ante los ciudadanos de la Unión. Por consiguiente, la Decisión 2009/371/JAI debe sustituirse por un Reglamento que establezca, inter alia, normas sobre estudio parlamentario.

(3)

El «Programa de Estocolmo — Una Europa abierta y segura que sirva y proteja al ciudadano» (4) insta a Europol a evolucionar para convertirse en «un eje para el intercambio de información entre las autoridades policiales de los Estados miembros, un prestador de servicios y una plataforma de servicios policiales». Sobre la base de una evaluación del funcionamiento de Europol, la mejora de su eficacia operativa es, en este contexto, necesaria para alcanzar dicho objetivo.

(4)

Las redes delictivas y terroristas a gran escala plantean una amenaza significativa para la seguridad interna de la Unión y para la seguridad y la subsistencia de sus ciudadanos. Las evaluaciones de las amenazas disponibles ponen de manifiesto que los grupos delictivos diversifican cada vez más sus actividades y no se circunscriben a un solo país. Los servicios policiales nacionales han de cooperar, pues, más estrechamente con sus homólogos de otros Estados miembros. En este contexto, es necesario dotar a Europol para que preste un apoyo mejor a los Estados miembros en la prevención, análisis e investigación de la delincuencia. Este extremo también fue confirmado en la evaluación de la Decisión 2009/371/JAI.

(5)

El presente Reglamento tiene por objeto modificar y ampliar las disposiciones de la Decisión 2009/371/JAI, y de las Decisiones 2009/934/JAI (5), 2009/935/JAI (6), 2009/936/JAI (7) y 2009/968/JAI (8) del Consejo, que dan aplicación a la Decisión 2009/371/JAI. Dado que las modificaciones que han de realizarse son importantes por su número y su índole, dichas Decisiones, en aras de la claridad deben sustituirse en su totalidad por lo que respecta a los Estados miembros vinculados por el presente Reglamento. La Europol creada por el presente Reglamento debe sustituir y asumir las funciones de la Europol creada por la Decisión 2009/371/JAI que debe ser derogada en consecuencia.

(6)

Dado que la delincuencia grave cruza a menudo las fronteras interiores, Europol debe apoyar y reforzar las medidas de los Estados miembros y su cooperación en materia de prevención y lucha contra la delincuencia grave que afecte a dos o más Estados miembros. Dado que el terrorismo constituye una de las amenazas más significativas contra la seguridad de la Unión, Europol ha de prestar asistencia a los Estados miembros para afrontar los retos comunes a este respecto. En su calidad de agencia policial de la Unión, Europol debe apoyar y reforzar igualmente las acciones y la cooperación en la lucha contra las formas de delincuencia que afecten a los intereses de la Unión. De entre las formas de delincuencia respecto de las cuales Europol es competente, la delincuencia organizada seguirá hallándose comprendida en el ámbito de los objetivos principales de Europol pues, dada su dimensión, importancia y consecuencias, también requiere una actuación común de los Estados miembros debido a su alcance, gravedad y consecuencias. Europol también ha de prestar apoyo en la prevención y la lucha contra los actos delictivos conexos cometidos para procurarse los medios para perpetrar actos con respecto a los que Europol sea competente, o facilitar o perpetrar dichos actos, o garantizar la impunidad de su comisión.

(7)

Europol debe facilitar análisis estratégicos y evaluaciones de amenazas para ayudar al Consejo y a la Comisión a fijar las prioridades estratégicas y operativas de la Unión en la lucha contra la delincuencia y en la aplicación operativa de dichas prioridades. Cuando la Comisión así lo solicite con arreglo al artículo 8 del Reglamento (UE) n.o 1053/2013 del Consejo (9), Europol debe realizar asimismo análisis de riesgos, que incluyan también a la delincuencia organizada, en la medida en que los riesgos de que se trate puedan socavar la aplicación del acervo de Schengen por parte de los Estados miembros. Además, Europol facilitará cuando proceda análisis estratégicos y evaluaciones de amenazas a petición del Consejo o de la Comisión para contribuir a la evaluación de los Estados candidatos a la adhesión a la Unión.

(8)

Los ataques contra los sistemas de información que afectan a organismos de la Unión o a dos o más Estados miembros constituyen una creciente amenaza en la Unión, en particular habida cuenta de su rapidez y repercusiones y de la dificultad para identificar sus fuentes. Cuando se estudie una solicitud de Europol de iniciar una investigación sobre un ataque grave que se sospecha de origen delictivo contra un sistema de información que afecte a organismos de la Unión o a dos o más Estados miembros, los Estados miembros deben responder a Europol sin demora, teniendo en cuenta que la rapidez de la respuesta es un factor clave para atajar con éxito la delincuencia informática.

(9)

Habida cuenta de la importancia de la cooperación entre los distintos organismos, Europol y Eurojust deben velar por que se tomen las medidas necesarias para optimizar su cooperación operativa, prestando la debida consideración a sus mandatos y misiones respectivas y a los intereses de los Estados miembros. En particular, Europol y Eurojust deben mantenerse informados de toda actividad que conlleve la financiación de equipos conjuntos de investigación.

(10)

Cuando se establezca un equipo de investigación, el acuerdo correspondiente deberá determinar las condiciones relativas a la participación del personal de Europol en el equipo. Europol debe llevar anotaciones de la participación en los equipos conjuntos de investigación que se ocupen de las actividades delictivas comprendidas en el ámbito de sus objetivos.

(11)

Europol debe poder solicitar a las unidades nacionales competentes que abran, lleven a cabo o coordinen investigaciones criminales en casos específicos en los que la cooperación transfronteriza aporte un valor añadido. Europol debe informar a Eurojust de estas solicitudes.

(12)

Europol debe ser un eje para el intercambio de información en la Unión. Entre la información recabada, almacenada, procesada, analizada e intercambiada por Europol se incluye la inteligencia criminal referida a la información sobre delitos o actividades delictivas comprendidas en el ámbito de los objetivos de Europol, obtenida con la finalidad de determinar si se ha cometido o puede cometerse en el futuro algún acto delictivo concreto.

(13)

A fin de garantizar la eficacia de Europol como eje para el intercambio de información, deben establecerse obligaciones claras de que los Estados miembros faciliten a Europol los datos necesarios para cumplir sus objetivos. Al cumplir estas obligaciones, los Estados miembros deben prestar especial atención al suministro de datos pertinentes para la lucha contra los delitos considerados prioridades estratégicas y operativas dentro de los correspondientes instrumentos de la Unión, en particular las prioridades establecidas por el Consejo en el marco del ciclo de actuación de la UE contra la delincuencia organizada y las formas graves de delincuencia internacional. Los Estados miembros también deben procurar facilitar a Europol copia de los intercambios bilaterales y multilaterales de información con otros Estados miembros sobre los delitos incluidos en los objetivos de Europol. Cuando faciliten a Europol la información necesaria, los Estados miembros deben incluir además información sobre todo presunto ataque cibernético que afecte a los organismos de la Unión ubicados en su territorio. Al mismo tiempo, es preciso que Europol refuerce su apoyo a los Estados miembros, con el fin de fomentar la cooperación mutua y el intercambio de información. Europol debe presentar un informe anual al Parlamento Europeo, al Consejo, a la Comisión y a los parlamentos nacionales sobre la información facilitada por cada Estado miembro.

(14)

Con el fin de garantizar una cooperación eficaz entre Europol y los Estados miembros, debe crearse una unidad nacional en cada Estado miembro («la unidad nacional»). La unidad nacional debe ser el enlace entre las autoridades nacionales competentes y Europol, asumiendo así un papel de coordinador con respecto a la cooperación de los Estados miembros con Europol y ayudando de este modo a garantizar que todos ellos respondan a las solicitudes de Europol de manera uniforme. Para asegurar el intercambio efectivo y continuo de información entre Europol y las unidades nacionales y propiciar su cooperación, cada unidad nacional debe designar al menos a un funcionario de enlace adscrito a Europol.

(15)

Habida cuenta de la estructura descentralizada de algunos Estados miembros y la necesidad de asegurar el intercambio rápido de información, Europol debe poder cooperar directamente con los servicios competentes de los Estados miembros, sin perjuicio de las condiciones definidas por los Estados miembros y manteniendo informadas a las unidades nacionales, cuando así lo soliciten estas últimas.

(16)

Debe fomentarse la creación de equipos conjuntos de investigación, y el personal de Europol debe poder participar en ellos. Para que esa participación sea posible en todos los Estados miembros, el Reglamento (Euratom, CECA, CEE) n.o 549/69 del Consejo (10) establece que el personal de Europol no goce de inmunidades mientras participa en equipos conjuntos de investigación.

(17)

Es asimismo necesario mejorar la gobernanza de Europol procurando mejorar su eficiencia y racionalizando sus procedimientos.

(18)

Conviene que la Comisión y los Estados miembros estén representados en el Consejo de Administración de Europol («el Consejo de Administración») para que puedan supervisar efectivamente su labor. Los miembros titulares y suplentes del Consejo de Administración deben ser nombrados teniendo en cuenta su capacitación pertinente en materia de gestión, administración y presupuesto y sus conocimientos en materia de cooperación policial. Los miembros suplentes deben actuar como miembros titulares en ausencia del miembro titular.

(19)

Todas las partes representadas en el Consejo de Administración deben esforzarse por limitar la rotación de sus representantes, a fin de garantizar la continuidad de la labor del Consejo de Administración. Todas las partes deben tratar de lograr una representación equilibrada de hombres y mujeres en el Consejo de Administración.

(20)

El Consejo de Administración debe poder invitar a sus reuniones, en calidad de observador sin derecho a voto, a cualquier persona cuya opinión pueda ser de interés para el debate, por ejemplo a un representante designado por el Grupo de Control Parlamentario Conjunto (GCPC).

(21)

El Consejo de Administración debe contar con las competencias necesarias, en particular para establecer el presupuesto, verificar su ejecución y adoptar las normas financieras y los documentos de planificación apropiados, así como para adoptar normas para la prevención y gestión de conflictos de interés con respecto a sus miembros, establecer procedimientos de trabajo transparentes para la toma de decisiones por parte del director ejecutivo de Europol y adoptar el informe anual de actividades. Ha de ejercer las competencias de la autoridad facultada para proceder a los nombramientos con respecto al personal de la agencia, incluido el director ejecutivo.

(22)

A fin de garantizar el buen funcionamiento cotidiano de Europol, el director ejecutivo debe ser su representante legal y administrador, actuando con independencia en el ejercicio de sus funciones y velando por que Europol lleve a cabo las tareas previstas en el presente Reglamento. En particular, el director ejecutivo debe encargarse de preparar los documentos presupuestarios y de planificación presentados al Consejo de Administración para que este decida al respecto, y para ejecutar la programación plurianual y los programas de trabajo anuales de Europol y otros documentos de planificación.

(23)

A efectos de la prevención y lucha contra los delitos comprendidos en el ámbito de sus objetivos, es preciso que Europol disponga de la información más completa y actualizada posible. Por consiguiente, es necesario que pueda llevar a cabo el tratamiento de los datos que le hayan facilitado los Estados miembros, organismos de la Unión, países terceros, organizaciones internacionales y, en condiciones rigurosas establecidas en el presente Reglamento, partes privadas, así como de los datos procedentes de fuentes públicamente disponibles, para conocer mejor los fenómenos y las tendencias criminales, recabar información sobre las redes delictivas y establecer vínculos entre los diferentes actos delictivos.

(24)

A fin de mejorar su eficacia a la hora de facilitar análisis criminales exactos a las autoridades competentes de los Estados miembros, Europol debe utilizar las nuevas tecnologías para tratar los datos. Es preciso que Europol pueda detectar rápidamente los vínculos entre las investigaciones y los modi operandi comunes a diferentes grupos delictivos, cotejar datos y tener una visión clara de las tendencias, garantizando al mismo tiempo un elevado nivel de protección de los datos personales. Por consiguiente, es preciso estructurar las bases de datos de Europol de tal modo que Europol pueda elegir la estructura informática más eficiente. Asimismo es preciso que Europol pueda actuar como proveedor de servicios, en particular ofreciendo una red segura para el intercambio de datos, como la Aplicación de la Red de Intercambio Seguro de Información (SIENA, por sus siglas en inglés), cuyo objetivo es facilitar el intercambio de información entre los Estados miembros, Europol, otros organismos de la Unión, países terceros y organizaciones internacionales. A fin de garantizar un alto nivel de protección de datos, deben establecerse la finalidad de las operaciones de tratamiento y los derechos de acceso, así como salvaguardias adicionales específicas. En particular, al tratar los datos personales deben respetarse los principios de necesidad y proporcionalidad.

(25)

Europol también debe garantizar que todos los datos personales tratados para análisis operativos se destinan a fines específicos. No obstante, para que Europol pueda cumplir su misión, debe permitírsele el tratamiento de todos los datos personales que reciba con el fin de identificar los vínculos entre múltiples áreas e investigaciones de delitos, y no quedar limitada a la detección de conexiones únicamente dentro de un área delictiva.

(26)

Con el fin de respetar la propiedad de los datos y la protección de los datos personales, los Estados miembros, los organismos de la Unión, los países terceros y las organizaciones internacionales deben poder determinar la finalidad o finalidades para las cuales Europol puede tratar los datos que facilitan y restringir los derechos de acceso. La limitación de la finalidad es un principio fundamental del tratamiento de datos personales; en particular, contribuye a la transparencia, la seguridad jurídica y la previsibilidad, y reviste especial importancia en el ámbito de la cooperación policial, en el que los interesados no suelen estar al tanto de la recogida y del tratamiento de sus datos personales, y en el que el uso de datos personales puede repercutir de forma muy significativa en las vidas y libertades de las personas físicas.

(27)

A fin de garantizar que únicamente tengan acceso a los datos aquellos que lo necesiten para el desempeño de sus tareas, el presente Reglamento debe establecer normas detalladas sobre los diferentes grados del derecho de acceso a los datos tratados por Europol. Tales normas deben entenderse sin perjuicio de las restricciones de acceso impuestas por los proveedores de datos, ya que ha de respetarse el principio de la propiedad de los datos. Con el fin de mejorar la eficiencia en la prevención y la lucha contra los delitos comprendidos en el ámbito de sus objetivos, Europol debe notificar a los Estados miembros la información que les concierna.

(28)

Para mejorar la cooperación operativa entre las agencias y, en particular, para establecer vínculos entre los datos ya en posesión de las diferentes agencias, Europol debe permitir a Eurojust y a la Oficina Europea de Lucha contra el Fraude (OLAF) el acceso mediante un sistema de respuesta positiva o negativa a los datos disponibles en Europol. Europol y Eurojust deben tener la facultad de celebrar un acuerdo de trabajo que garantice de manera recíproca, en el marco de sus respectivos mandatos, la posibilidad de acceder y efectuar búsquedas con respecto a toda la información que se haya facilitado a efectos de verificación cruzada, y la posibilidad de efectuar búsquedas, con arreglo a las salvaguardias y garantías específicas en materia de protección de datos estipuladas en el presente del Reglamento. Cualquier acceso a datos disponibles de Europol se limitaría por medios técnicos a la información que corresponda a los mandatos respectivos de dichos organismos de la Unión.

(29)

Europol debe mantener relaciones de cooperación con otros organismos de la Unión, servicios de países terceros, organizaciones internacionales y partes privadas en la medida necesaria para el desempeño de sus tareas.

(30)

A fin de asegurar la eficacia operativa, Europol debe poder intercambiar toda la información pertinente, con la excepción de los datos personales, con otros organismos de la Unión, servicios de países terceros y organizaciones internacionales en la medida necesaria para el desempeño de sus tareas. Dado que las sociedades, empresas, asociaciones empresariales, organizaciones no gubernamentales y otras entidades privadas disponen de conocimientos especializados e información directamente pertinentes para la prevención y la lucha contra la delincuencia grave y el terrorismo, Europol debe poder intercambiar dicha información también con las entidades privadas. Para prevenir y combatir la delincuencia informática, en relación con los incidentes que afecten a la seguridad de las redes y de la información, es preciso que Europol, de conformidad con el acto legislativo de la Unión aplicable que establezca las medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión, coopere e intercambie información, con la excepción de los datos personales, con las autoridades nacionales competentes en materia de seguridad de las redes y los sistemas de información.

(31)

Europol debe poder intercambiar datos personales pertinentes con otros organismos de la Unión en la medida necesaria para el desempeño de su o sus tareas.

(32)

La delincuencia grave y el terrorismo suelen tener vínculos fuera del territorio de la Unión. Europol debe, pues, poder intercambiar datos personales con servicios de países terceros y con organizaciones como la Organización Internacional de Policía Criminal (Interpol) en la medida necesaria para el desempeño de sus tareas.

(33)

Todos los Estados miembros son socios de Interpol. Para cumplir su misión, Interpol recibe, almacena y distribuye datos para ayudar a las autoridades policiales competentes a prevenir y combatir la delincuencia internacional. Por consiguiente conviene reforzar la cooperación entre Europol e Interpol facilitando un intercambio eficaz de datos personales a la vez que se garantiza el respeto de los derechos y libertades fundamentales en relación con el tratamiento automatizado de datos personales. Cuando se transfieran datos personales desde Europol a Interpol, se deberá aplicar el presente Reglamento, y en particular lo dispuesto en materia de transferencias internacionales.

(34)

Para garantizar la limitación de la finalidad, es importante asegurar que Europol pueda transferir los datos personales a los organismos de la Unión, países terceros y organismos internacionales únicamente si es necesario para prevenir y combatir los delitos enunciados en los objetivos de Europol. Con este fin, es necesario garantizar que, cuando se transfieran datos personales, el receptor se comprometa a utilizarlos, o transferirlos a su vez a una autoridad competente de un país tercero, únicamente para la finalidad para la que fueron transmitidos originalmente. Toda transferencia ulterior de los datos se realizará de conformidad con el presente Reglamento.

(35)

Europol debe poder transferir datos personales a una autoridad de un país tercero o a una organización internacional sobre la base de una decisión de la Comisión que establezca que el país o la organización internacional de que se trate garantizan un nivel adecuado de protección de datos («decisión de adecuación»), o, a falta de una decisión de adecuación, de un acuerdo internacional celebrado por la Unión con arreglo al artículo 218 del TFUE o un acuerdo de cooperación que permita el intercambio de datos personales celebrado entre Europol y el país tercero de que se trate antes de la entrada en vigor del presente Reglamento. Teniendo en cuenta el artículo 9 del Protocolo n.o 36 sobre las disposiciones transitorias anejo al TUE y al TFUE, los efectos jurídicos de tales acuerdos se mantienen hasta que estos acuerdos hayan sido derogados, anulados o modificados en aplicación de los Tratados. Cuando proceda y con arreglo al Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (11), la Comisión debe poder consultar al Supervisor Europeo de Protección de Datos (SEPD) antes de la negociación de un acuerdo internacional y durante la misma. Cuando el Consejo de Administración detecte una necesidad operativa de cooperación con un país tercero o una organización internacional, debe estar facultado para proponer al Consejo que indique a la Comisión la necesidad de una decisión de adecuación o de una recomendación para la apertura de negociaciones con vistas a un acuerdo internacional, como se indica supra.

(36)

Cuando una transferencia de datos personales no pueda basarse en una decisión de adecuación, un acuerdo internacional celebrado por la Unión o un acuerdo de cooperación en vigor, el Consejo de Administración, de acuerdo con el SEPD, debe poder autorizar una serie de transferencias, cuando así lo exijan condiciones específicas y siempre que se ofrezcan las garantías adecuadas. El director ejecutivo debe poder autorizar la transferencia de datos en situaciones excepcionales, caso por caso, cuando dicha transferencia sea precisa, sujeta a condiciones específicas estrictas.

(37)

Europol debe poder tratar datos personales procedentes de entidades privadas y particulares solo si dichos datos son transferidos a Europol por una de las siguientes: unidad nacional de conformidad con su Derecho nacional, un punto de contacto en un país tercero, una organización internacional con la que se haya establecido una cooperación en virtud de un acuerdo de cooperación que permita el intercambio de datos personales celebrado de conformidad con el artículo 23 de la Decisión 2009/371/JAI antes de la entrada en vigor del presente Reglamento, una autoridad de un país tercero, una organización internacional que sea objeto de una decisión de adecuación o con la que la Unión haya celebrado un acuerdo internacional de conformidad con el artículo 218 del TFUE. No obstante, en los casos en que Europol reciba datos personales facilitados directamente por entidades privadas, y la unidad nacional, el punto de contacto o la autoridad de que se trate no pueda ser identificada, Europol debe poder tratar esos datos personales únicamente con la finalidad de identificar a dichas entidades, y los citados datos deberán ser suprimidos, salvo en el caso de que las entidades vuelvan a presentar esos mismos datos personales en el plazo de cuatro meses desde su transmisión. Europol deberá garantizar por medios técnicos que durante ese plazo los datos no sean accesibles para ser tratados con otra finalidad.

(38)

Teniendo en cuenta la amenaza excepcional y específica que plantea para la seguridad interior de la Unión el terrorismo y otras formas de delincuencia grave, especialmente cuando se facilite, se promueva o se cometa mediante el uso de internet, las actividades que Europol debe emprender basándose en el presente Reglamento, derivadas de la aplicación de las Conclusiones del Consejo de 12 de marzo de 2015 y del llamamiento del Consejo Europeo de 23 de abril de 2015 en relación específicamente con estas áreas prioritarias, en particular la practica correspondiente de intercambios directos de datos personales con entidades privadas, debe ser evaluada por la Comisión a más tardar el 1 de mayo de 2019.

(39)

No se debe tratar ninguna información obtenida en violación manifiesta de los derechos humanos.

(40)

Las normas de protección de datos de Europol deben reforzarse y apoyarse en los principios en los que se basa el Reglamento (CE) n.o 45/2001 a fin de garantizar un alto nivel de protección de las personas físicas en lo que respecta al tratamiento de datos personales. Como la Declaración n.o 21 relativa a la protección de datos de carácter personal en el ámbito de la cooperación judicial en materia penal y de la cooperación policial adjunta al TUE y al TFUE reconoce la especificidad del tratamiento de los datos personales en el contexto policial, las normas de protección de datos de Europol deben ser autónomas y al mismo tiempo coherentes con otros instrumentos pertinentes en materia de protección de datos aplicables en el ámbito de la cooperación policial en la Unión. Dichos instrumentos incluyen, en particular, la Directiva (UE) 2016/680 del Parlamento Europeo y de del Consejo (12), así como el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Recomendación n.o R(87) 15 (13).

(41)

Todo tratamiento de datos de carácter personal por parte de Europol debe efectuarse de forma lícita y justa en relación con los interesados. El principio de tratamiento justo requiere la transparencia del tratamiento para que los interesados puedan ejercer sus derechos en virtud del presente Reglamento. Sin embargo, debe ser posible denegar o restringir el acceso a sus datos personales cuando, teniendo debidamente en cuenta los intereses de los interesados, tal denegación o restricción constituye una medida necesaria para que Europol pueda desempeñar adecuadamente sus tareas, proteger la seguridad y el orden público o prevenir delitos, garantizar que una investigación nacional se vea comprometida o proteger los derechos y libertades de terceros. Para aumentar la transparencia, Europol publicará un documento en el que se establecerán de manera inteligible las disposiciones de aplicación relativas al tratamiento de los datos personales y los medios disponibles de los interesados para el ejercicio de sus derechos. Europol publicará asimismo en su sitio web una lista de decisiones y acuerdos de adecuación, y acuerdos pertinentes relativos a la transferencia de datos personales a países terceros y organismos internacionales. Por otra parte, para aumentar la transparencia de Europol frente a los ciudadanos de la Unión y su responsabilidad, Europol debería publicar en su sitio web una lista de los miembros de su Consejo de Administración y, cuando proceda, los resúmenes del resultado de las reuniones del Consejo de Administración, siempre respetando los requisitos de protección de datos.

(42)

En la medida de lo posible, los datos personales deben distinguirse en función de su grado de exactitud y fiabilidad. Se ha de distinguir entre hechos y apreciaciones personales, con el fin de garantizar tanto la protección de las personas físicas como la calidad y fiabilidad de la información tratada por Europol. En el caso de la información procedente de fuentes públicas disponibles, en particular de fuentes de internet, en la medida de lo posible Europol evaluará la exactitud de esta información y la fiabilidad de las fuentes con especial diligencia, con vistas a abordar los riesgos asociados a internet con respecto a la protección de los datos personales y la privacidad.

(43)

En el ámbito de la cooperación policial se tratan datos personales relativos a diferentes categorías de interesados. Europol debe establecer distinciones lo más claras posibles entre los datos de carácter personal de diferentes categorías de interesados. Conviene proteger, en particular, los datos personales relativos a las víctimas, los testigos y las personas que posean información pertinente, así como los relativos a los menores. Europol solo debe tratar datos sensibles si estos datos complementan otros datos personales ya tratados por Europol.

(44)

A la luz de los derechos fundamentales de la protección de los datos personales, Europol no debe conservar datos personales más tiempo del necesario para el desempeño de sus tareas. A más tardar tres años después del comienzo del tratamiento inicial de estos datos personales, deberá verificarse la necesidad de prolongar su almacenamiento.

(45)

Con el fin de garantizar la seguridad de los datos personales, Europol y los Estados miembros deben poner en práctica las medidas técnicas y organizativas necesarias.

(46)

Cualquier interesado debe tener derecho a acceder a los datos personales que les conciernan, a rectificar los datos inexactos y a cancelar o restringir los datos que hayan dejado de ser necesarios. Los gastos relacionados con el ejercicio del derecho de acceso a datos personales no deben constituir un obstáculo para el ejercicio efectivo de dicho derecho. Los derechos del interesado y el ejercicio de los mismos no deben afectar a las obligaciones que corresponden a Europol y deben estar sujetos a las restricciones que se establecen en el presente Reglamento.

(47)

La protección de los derechos y libertades de los interesados requiere una asignación clara de las responsabilidades en virtud del presente Reglamento. En particular, los Estados miembros deben ser responsables de la exactitud de los datos para la actualización de los datos que hayan transferido a Europol y de la legalidad de dicha transferencia. Europol debe ser responsable de la exactitud de los datos y la actualización de los datos facilitados por otros proveedores de datos o derivados de los propios análisis de Europol. Europol debe garantizar que los datos son tratados de manera equitativa y lícita y son recogidos y tratados con fines específicos. Europol debe también garantizar que dichos datos son adecuados, pertinentes y no excesivos en relación con los fines para los que se tratan, conservados más tiempo del necesario para tales fines, y son tratados de una manera que garantiza la adecuada seguridad de los datos personales y la confidencialidad del tratamiento de los datos.

(48)

A efectos de la verificación de la licitud del tratamiento, el autocontrol y la adecuada integridad y seguridad de los datos, Europol debe llevar anotaciones de la recogida, alteración, acceso, divulgación, combinación o cancelación de los datos personales. Europol debe estar obligada a cooperar con el SEPD y a poner los registros y la documentación a su disposición, previa solicitud, de modo que puedan servir para la supervisión de las operaciones de tratamiento.

(49)

Europol debe designar un Responsable de la Protección de Datos para que le ayude en la supervisión del cumplimiento del presente Reglamento. El Responsable de la Protección de Datos debe estar en condiciones de desempeñar sus funciones y tareas con independencia y eficacia y debe estar dotado de todos los recursos necesarios para llevarlas a cabo.

(50)

A efectos de la protección de las personas físicas por lo que respecta al tratamiento de los datos personales con arreglo al artículo 8, apartado 3, de la Carta de los Derechos Fundamentales de la Unión Europea, resulta fundamental disponer de unas estructuras de supervisión independientes, transparentes, responsables y eficaces. Las autoridades nacionales competentes para la supervisión del tratamiento de los datos personales deben controlar la legalidad de los datos personales proporcionados por los Estados miembros a Europol. El SEPD debe controlar con plena independencia la legalidad del tratamiento de datos efectuado por Europol en el ejercicio de sus funciones. En este sentido, el mecanismo de consulta previa es una salvaguardia importante para los nuevos tipos de operaciones de tratamiento. No debería aplicarse a cada actividad operativa específica, por ejemplo a los proyectos operativos de análisis, sino al uso de nuevos sistemas informáticos para el tratamiento de datos personales y a cualesquiera cambios importantes de estos.

(51)

Es importante velar por que se ejerza una supervisión reforzada y efectiva de Europol y garantizar que el SEPD haga uso de los conocimientos especializados apropiados en materia de protección de datos policiales cuando asuma la responsabilidad de supervisar la protección de datos de Europol. El SEPD y las autoridades nacionales de control deben cooperar estrechamente entre sí sobre cuestiones específicas que requieran una participación nacional y garantizar la aplicación homogénea del presente Reglamento en toda la Unión.

(52)

Con el fin de facilitar la cooperación entre el SEPD y las autoridades nacionales de control, pero sin perjuicio de la independencia del SEPD ni de su responsabilidad sobre la supervisión de la protección de datos de Europol, estos deberían reunirse regularmente en el Consejo de Cooperación que, en su calidad de órgano consultivo, debe emitir dictámenes, orientaciones, recomendaciones y establecer mejores prácticas sobre temas de diversa índole que requieran una participación nacional.

(53)

Dado que Europol trata también datos personales no operativos, que no guardan relación con investigaciones criminales, como los datos personales relativos al personal de Europol, proveedores de servicios o visitantes, el tratamiento de tales datos debe estar sujeto al Reglamento (CE) n.o 45/2001.

(54)

El SEPD debe atender e investigar las quejas presentadas por los interesados. La investigación abierta a raíz de una queja debe llevarse a cabo, bajo control judicial, en la medida en que sea adecuada en el caso específico. El supervisor nacional debe informar al interesado de la evolución y el resultado de la queja en un plazo razonable.

(55)

Toda persona física ha de tener derecho a interponer un recurso judicial contra las decisiones del SEPD que le conciernan.

(56)

Europol debe estar sujeta a una normativa general sobre responsabilidad contractual y extracontractual aplicable a las instituciones, agencias y organismos de la Unión, con excepción de la responsabilidad por el tratamiento ilícito de datos.

(57)

Puede darse el caso de que para la persona física afectada no esté claro si los daños sufridos como resultado de un tratamiento ilegal son consecuencia de la acción de Europol o de un Estado miembro. Por consiguiente, Europol y el Estado miembro en que se haya producido el hecho generador de los daños deben ser responsables solidarios.

(58)

Respetando el papel del Parlamento Europeo, junto con los parlamentos nacionales, de vigilancia de las actividades de Europol, es preciso que Europol sea una organización interna plenamente responsable y transparente. Con este fin, a la luz del artículo 88 del TFUE, deben establecerse unos procedimientos de control de las actividades de Europol por el Parlamento Europeo, junto con los parlamentos nacionales. Dichos procedimientos deben estar sujetos al artículo 12, letra c), del TUE y al artículo 9 del Protocolo n.o 1, que establece que el Parlamento Europeo y los parlamentos nacionales determinan de manera conjunta la organización y promoción de una cooperación efectiva y regular dentro de la Unión. Los procedimientos de control de las actividades de Europol deben establecerse teniendo debidamente en cuenta la necesidad de garantizar el trato igualitario al Parlamento Europeo y los parlamentos nacionales y la necesidad de salvaguardar la confidencialidad de la información operativa. No obstante, el modo en que cada Parlamento nacional realiza el control de la actuación de su Gobierno con respecto a las actividades de la Unión Europea atañe a la organización y práctica constitucionales propias de cada Estado miembro.

(59)

El Estatuto de los funcionarios de las Comunidades Europeas («el Estatuto de los funcionarios») y el régimen aplicable a los otros agentes de la Unión Europea («el régimen aplicable a los otros agentes»), establecidos en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (14), debe aplicarse al personal de Europol. Europol debe poder emplear a personal de las autoridades competentes de los Estados miembros como agentes temporales cuyo período de servicio debe ser limitado a fin de mantener el principio de rotación, ya que la posterior reintegración de los miembros del personal en el servicio de su autoridad competente facilita una estrecha cooperación entre Europol y las autoridades competentes de los Estados miembros. Los Estados miembros deben tomar todas las medidas necesarias para garantizar que el personal contratado por Europol como agentes temporales podrá, al término de este servicio en Europol, reingresar a la función pública nacional a la que pertenecen.

(60)

Habida cuenta de la naturaleza de las funciones de Europol y el papel del director ejecutivo, la Comisión competente del Parlamento Europeo debe poder invitar a comparecer a este último antes de su nombramiento y antes de cualquier prórroga de su mandato. El director ejecutivo debe también presentar el informe anual al Parlamento Europeo y al Consejo. El Parlamento Europeo y el Consejo deben poder solicitar al director ejecutivo que informe sobre el cumplimiento de sus funciones.

(61)

Para garantizar la plena autonomía e independencia de Europol, debe dotársela de un presupuesto autónomo, con ingresos procedentes esencialmente de una contribución del presupuesto general de la Unión. El procedimiento presupuestario de la Unión debe aplicarse a la contribución de la Unión y cualesquiera otras subvenciones a cargo del presupuesto general de la Unión. La censura de cuentas debe ser realizada por el Tribunal de Cuentas.

(62)

Debe aplicarse a Europol el Reglamento Delegado (UE) n.o 1271/2013 de la Comisión (15).

(63)

Habida cuenta de sus atribuciones legales y administrativas específicas y de sus competencias técnicas para realizar actividades, operaciones e investigaciones transfronterizas de intercambio de información, en particular mediante los equipos conjuntos de investigación, y para ofrecer instalaciones de formación, las autoridades competentes de los Estados miembros deben poder recibir subvenciones de Europol sin convocatorias de propuestas de conformidad con el artículo 190, apartado 1, letra d), del Reglamento Delegado (UE) n.o 1268/2012 de la Comisión (16).

(64)

Debe aplicarse a Europol el Reglamento (UE, Euratom) n.o 883/2013 del Parlamento Europeo y del Consejo (17).

(65)

Europol trata datos que requieren una protección particular, ya que incluyen información sensible e información clasificada y no clasificada de la UE. Europol debe, por tanto, elaborar normas sobre confidencialidad y tratamiento de esa información. Las normas en materia de protección de la información clasificada de la UE deben estar en consonancia con la Decisión 2013/488/UE del Consejo (18).

(66)

Conviene evaluar periódicamente la aplicación del presente Reglamento.

(67)

Las disposiciones necesarias relativas a la instalación de Europol en La Haya, donde tiene su sede, y las normas específicas aplicables a todo el personal de Europol y a los miembros de sus familias deben fijarse en un acuerdo de sede. Asimismo, el Estado miembro de acogida debe garantizar las condiciones necesarias para el buen funcionamiento de Europol, incluida una escolarización multilingüe y de vocación europea, así como conexiones de transporte adecuadas, a fin de atraer recursos humanos de alta calidad procedentes de una base geográfica lo más amplia posible.

(68)

La Europol creada por el presente Reglamento sustituye y sucede a la Europol creada por la Decisión 2009/371/JAI. Por consiguiente, ha de ser la sucesora legal de todos sus contratos, incluidos los contratos de trabajo, los pasivos contraídos y los bienes adquiridos. Los acuerdos internacionales celebrados por la Europol creada por la Decisión 2009/371/JAI y los acuerdos celebrados por la Europol creada por el Convenio Europol antes del 1 de enero de 2010 deben permanecer en vigor.

(69)

A fin de que Europol pueda seguir desempeñando lo mejor posible las tareas de la Europol creada por la Decisión 2009/371/JAI, deben establecerse medidas transitorias, en particular por lo que se refiere al Consejo de Administración, al director ejecutivo y al personal empleado en virtud de un contrato de duración indefinida de personal local celebrado por la Europol creada por el Convenio Europol, al cual debe ofrecerse la posibilidad de ser empleado como personal temporal o contractual en las condiciones de empleo de otros funcionarios.

(70)

El Acto del Consejo de 3 de diciembre de 1998 (19) relativo al Estatuto del personal de Europol ha sido derogado por el artículo 63 de la Decisión 2009/371/JAI. No obstante, se debe seguir aplicando al personal empleado por Europol antes de la entrada en vigor de la Decisión 2009/371/JAI. Por tanto, las disposiciones transitorias deben estipular que los contratos celebrados de conformidad con dicho Estatuto se sigan rigiendo por este.

(71)

Dado que el objetivo del presente Reglamento, a saber, la creación de un ente responsable de la cooperación policial a nivel de la Unión, no puede ser alcanzado de manera suficiente por los Estados miembros sino que, debido a la dimensión y a los efectos de la acción, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del TUE. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(72)

De conformidad con los artículos 3 y 4 bis, apartado 1, del Protocolo n.o 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Irlanda ha notificado su deseo de participar en la adopción y aplicación del presente Reglamento.

(73)

De conformidad con los artículos 1, 2 y 4 bis, apartado 1, del Protocolo n.o 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al TUE y al TFUE, y sin perjuicio del artículo 4 de dicho Protocolo, el Reino Unido no participa en la adopción del presente Reglamento y no queda vinculado por el mismo ni sujeto a su aplicación.

(74)

De conformidad con los artículos 1 y 2 del Protocolo n.o 22 sobre la posición de Dinamarca anejo al TUE y al TFUE, Dinamarca no participa en la adopción del presente Reglamento y no estará vinculada por el mismo ni sujeta a su aplicación.

(75)

Se consultó al SEPD, que emitió su dictamen el 31 de mayo de 2013.

(76)

El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos, en particular, en la Carta de los Derechos Fundamentales de la Unión Europea, especialmente el derecho a la protección de los datos personales y el derecho a la privacidad, según se dispone en los artículos 8 y 7 de la Carta, así como en el artículo 16 del TFUE.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I

DISPOSICIONES GENERALES, OBJETIVOS Y FUNCIONES DE EUROPOL

Artículo 1

Creación de la Agencia de la Unión Europea para la Cooperación Policial

1. Se crea la Agencia de la Unión Europea para la Cooperación Policial (Europol) con objeto de apoyar la cooperación entre las autoridades policiales de la Unión.

2. La Europol creada por el presente Reglamento sustituye y sucede a la Europol creada por la Decisión 2009/371/JAI.

Artículo 2

Definiciones

A efectos del presente Reglamento, se entenderá por:

a) «autoridades competentes de los Estados miembros»: todas las fuerzas de policía y demás servicios con funciones de policía existentes en los Estados miembros que sean responsables, en virtud del Derecho nacional, de la prevención y la lucha contra la delincuencia. Las autoridades competentes de los Estados miembros comprenden asimismo otras autoridades públicas existentes en los Estados miembros que sean responsables, de conformidad con el Derecho nacional, de la prevención y la lucha contra los actos delictivos que sean competencia de Europol;

b) «análisis estratégico»: todos los métodos y técnicas mediante los cuales la información se recopila, almacena, trata y evalúa con la finalidad de apoyar y desarrollar una política frente a la delincuencia que contribuya a prevenir y combatir la delincuencia de manera eficiente y efectiva;

c) «análisis operativo»: todos los métodos y técnicas mediante los cuales la información se recopila, almacena, trata y evalúa con la finalidad de apoyar investigaciones penales;

d) «organismos de la Unión»: las instituciones, organismos, misiones, oficinas y agencias creadas por o sobre la base del TUE y del TFUE;

e) «organización internacional»: una organización y sus entes subordinados de Derecho internacional público, o cualquier otro organismo creado por, o basado en, un acuerdo entre dos o más países;

f) «entidades privadas»: las entidades y organismos establecidos en virtud del Derecho de un Estado miembro o de un país tercero, en particular empresas, asociaciones empresariales, organizaciones sin ánimo de lucro y otras personas jurídicas que no estén incluidas en la letra e);

g) «particulares»: todas las personas físicas;

h) «datos personales»: toda información sobre un interesado;

i) «interesado»: una persona física identificada o identificable, esto es, cuya identidad pueda determinarse, directa o indirectamente en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

j) «datos genéticos»: todos los datos personales relativos a las características genéticas de una persona que hayan sido heredadas o adquiridas, que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de la persona de que se trate;

k) «tratamiento»: cualquier operación o conjunto de operaciones, efectuadas o no con medios automáticos, aplicadas a datos personales o conjuntos de datos personales, como la recogida, anotación, organización, conservación, adaptación o alteración, extracción, consulta, utilización, divulgación mediante transmisión, difusión o cualquier otra forma puesta a disposición, alineación o combinación, bloqueo, cancelación o destrucción;

l) «destinatario»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero;

m) «transferencia de datos personales»: la comunicación de datos personales, puestos a disposición de forma activa, entre un número limitado de partes identificadas, con el conocimiento o la intención del remitente de que el destinatario tenga acceso a los datos personales;

n) «violación de datos personales»: toda violación de la seguridad que ocasione, de forma accidental o ilícita, la destrucción, la pérdida o alteración, la comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma;

o) «consentimiento del interesado»: toda manifestación de voluntad, libre, específica y con conocimiento de causa, mediante la que el interesado expresamente consiente el tratamiento de datos personales que guardan relación con él;

p) «datos personales administrativos»: todos los datos personales tratados por Europol distintos de los que son objeto de tratamiento para alcanzar los objetivos establecidos en el artículo 3.

Artículo 3

Objetivos

1. Europol apoyará y reforzará la actuación de las autoridades competentes de los Estados miembros y su cooperación mutua en la prevención y la lucha contra la delincuencia grave que afecte a dos o más Estados miembros, el terrorismo y las formas de delincuencia que afecten a un interés común protegido por una política de la Unión, incluidos en la lista del anexo I.

2. Además de lo indicado en el apartado 1, los objetivos de Europol abarcarán también los delitos conexos. Se considerarán delitos conexos:

a)

los delitos cometidos con objeto de procurarse los medios para perpetrar actos en los que Europol sea competente;

b)

los delitos cometidos para facilitar o perpetrar actos en los que Europol sea competente;

c)

los delitos cometidos para asegurar la impunidad de quienes cometen estos actos en los que Europol sea competente.

Artículo 4

Funciones

1. Para alcanzar los objetivos establecidos en el artículo 3, Europol desempeñará las siguientes funciones:

a)

recoger, conservar, tratar, analizar e intercambiar información, incluida inteligencia criminal;

b)

notificar a los Estados miembros a través de las unidades nacionales designadas al amparo del artículo 7, apartado 2, sin demora, cualquier información y las conexiones entre actos delictivos que les afecten;

c)

coordinar, organizar y ejecutar cualesquiera actuaciones de investigación y operativas para respaldar y reforzar las actuaciones que lleven a cabo las autoridades competentes de los Estados miembros:

i)

conjuntamente con las autoridades competentes de los Estados miembros, o

ii)

en el contexto de equipos conjuntos de investigación, de conformidad con el artículo 5 y, en su caso, en conexión con Eurojust;

d)

participar en equipos conjuntos de investigación, así como proponer su creación de conformidad con el artículo 5;

e)

facilitar información y apoyo analítico a los Estados miembros en relación con los grandes acontecimientos internacionales;

f)

elaborar evaluaciones de las amenazas, análisis estratégicos y operativos e informes generales de situación;

g)

desarrollar, compartir y promover conocimientos especializados sobre métodos de prevención de la delincuencia, procedimientos de investigación y métodos técnicos y criminalísticos, y prestar asesoramiento a los Estados miembros;

h)

respaldar las actividades de intercambio de información, las operaciones y las investigaciones así como a los equipos conjuntos de investigación, inclusive mediante un apoyo operativo, técnico y financiero;

i)

facilitar formación especializada y ayudar a los Estados miembros a organizar la formación, incluso mediante el suministro de apoyo financiero, dentro del ámbito de sus objetivos y con arreglo a los recursos presupuestarios y de personal a su disposición, en coordinación con la Agencia de la Unión Europea para la Formación Policial (CEPOL);

j)

cooperar con los organismos de la Unión establecidos sobre la base del título V del TFUE y con la OLAF, en particular mediante el intercambio de información, y facilitándoles apoyo analítico en los ámbitos de su competencia;

k)

facilitar información y ayuda a las estructuras de gestión de crisis de la UE y a las misiones establecidas en virtud del TUE en el ámbito de los objetivos de Europol enunciados en el artículo 3;

l)

crear centros de asesoramiento especializados de la Unión para combatir determinados tipos de delitos enunciados en el ámbito de aplicación de los objetivos de Europol, en particular, el Centro Europeo de Lucha contra la Ciberdelincuencia;

m)

respaldar las acciones de los Estados miembros para prevenir y combatir las formas de delincuencia enumeradas en el anexo I que hayan sido facilitadas, fomentadas o cometidas a través de internet, incluyendo, en cooperación con los Estados miembros, la notificación de contenidos de internet a través de los cuales se facilitan, fomentan o cometen estas formas de delitos, a los proveedores de servicios en línea interesados para que examinen de manera voluntaria la compatibilidad de esos contenidos de internet con sus propias condiciones contractuales.

2. Europol suministrará análisis estratégicos y evaluaciones de las amenazas para ayudar al Consejo y a la Comisión a fijar las prioridades estratégicas y operativas de la Unión en la lucha contra la delincuencia. Europol prestará asistencia igualmente en la ejecución operativa de esas prioridades.

3. Europol facilitará análisis estratégicos y evaluaciones de amenazas para asistir en la utilización eficiente y efectiva de los recursos disponibles a nivel nacional y de la Unión para las actividades operativas y en apoyo de tales actividades.

4. Europol actuará como oficina central para la lucha contra la falsificación del euro con arreglo a la Decisión 2005/511/JAI del Consejo (20). Europol fomentará igualmente la coordinación de las medidas adoptadas para luchar contra la falsificación del euro por las autoridades competentes de los Estados miembros o en el contexto de equipos conjuntos de investigación, en su caso en contacto con los organismos de la Unión y las autoridades de países terceros.

5. Europol no aplicará medidas coercitivas en la realización de sus tareas.

CAPÍTULO II

COOPERACIÓN ENTRE LOS ESTADOS MIEMBROS Y EUROPOL

Artículo 5

Participación en equipos conjuntos de investigación

1. El personal de Europol podrá participar en las actividades de los equipos conjuntos de investigación que se ocupen de delitos enunciados en los objetivos de Europol. El acuerdo por el que se establece un equipo conjunto de investigación determinará las condiciones de la participación del personal de Europol en el equipo, e incluirá información sobre las normas de responsabilidad.

2. El personal de Europol podrá, dentro de los límites de la legislación de los Estados miembros en los que opere un equipo conjunto de investigación, prestar asistencia en todas las actividades e intercambios de información con todos los miembros del equipo conjunto de investigación.

3. El personal de Europol que participe en el equipo conjunto de investigación podrá, de conformidad con el presente Reglamento, proporcionar a todos los miembros del equipo la información necesaria procesada por Europol para los fines establecidos en el artículo 18, apartado 2. Europol deberá informar simultáneamente al respecto a las unidades nacionales de los Estados miembros representadas en el equipo, así como también a los Estados miembros que proporcionaron la información.

4. La información que obtenga el personal de Europol mientras forme parte de un equipo conjunto de investigación podrá, con el acuerdo y bajo la responsabilidad del Estado miembro que le haya proporcionado dicha información, ser tratada por Europol para los fines establecidos en el artículo 18, apartado 2, con arreglo a las condiciones establecidas en el presente Reglamento.

5. Cuando Europol tenga motivos para creer que la existencia de un equipo conjunto de investigación aportaría valor añadido a una investigación, podrá proponer su creación a los Estados miembros afectados y tomar medidas para ayudarles en el proceso de creación del equipo conjunto de investigación.

Artículo 6

Solicitudes cursadas por Europol para la apertura de una investigación penal

1. En aquellos casos específicos en que Europol considere que debe abrirse una investigación penal sobre un delito comprendido en el ámbito de sus objetivos solicitará a las autoridades competentes de los Estados miembros interesados, a través de sus unidades nacionales, que inicien, realicen o coordinen dicha investigación penal.

2. Las unidades nacionales informarán a Europol sin demora de la decisión de las autoridades competentes de los Estados miembros en relación con cualquier solicitud realizada con arreglo al apartado 1.

3. Si las autoridades competentes de un Estado miembro decidieran no acceder a una solicitud cursada por Europol con arreglo al apartado 1, informarán a Europol de los motivos de su decisión sin demoras indebidas, preferiblemente en el plazo de un mes a partir de la recepción de la solicitud. No obstante, no será necesario motivar la decisión si ello:

a)

es contrario a los intereses fundamentales de seguridad del Estado miembro de que se trate, o

b)

pone en peligro el desarrollo de las investigaciones en curso o la seguridad de las personas.

4. Europol informará de inmediato a Eurojust de cualquier solicitud presentada con arreglo al apartado 1, y de cualquier decisión de una autoridad competente de un Estado miembro con arreglo al apartado 2.

Artículo 7

Unidades nacionales de Europol

1. Los Estados miembros y Europol cooperarán entre sí para cumplir sus respectivas tareas establecidas en el presente Reglamento.

2. Cada Estado miembro creará o designará una unidad nacional que será el organismo de enlace entre Europol y las autoridades competentes designadas de los Estados miembros. Cada Estado miembro designará a un agente como jefe de la unidad nacional.

3. Cada Estado miembro velará por que su unidad nacional sea competente conforme a su Derecho nacional para desempeñar las tareas asignadas a las unidades nacionales en el presente Reglamento, y en particular que tengan acceso a los datos policiales nacionales y otros datos pertinentes necesarios para la cooperación con Europol.

4. Cada Estado miembro determinará la organización y el personal de su unidad nacional de acuerdo con su Derecho nacional.

5. De conformidad con el apartado 2, la unidad nacional será el único órgano de enlace entre Europol y las autoridades competentes de los Estados miembros. No obstante, a reserva de las condiciones que determinen los Estados miembros, incluida la participación previa de la unidad nacional, los Estados miembros podrán autorizar contactos directos entre sus autoridades competentes y Europol. La unidad nacional recibirá al mismo tiempo de Europol toda la información intercambiada en el curso de los contactos directos entre Europol y las autoridades competentes, salvo en caso de que indique que no necesita recibirla.

6. Los Estados miembros, a través de su unidad nacional o, a tenor de lo dispuesto en el apartado 5, una autoridad competente:

a)

suministrarán a Europol la información necesaria para que pueda cumplir sus objetivos, incluida información relativa a formas de delincuencia cuya prevención o combate considere prioritario la Unión;

b)

garantizarán una comunicación y cooperación eficaces con Europol de todas las autoridades competentes pertinentes;

c)

propiciarán el conocimiento de las actividades de Europol;

d)

de conformidad con el artículo 38, apartado 5, letra a), garantizarán el cumplimiento del Derecho nacional al proporcionar información a Europol.

7. Sin perjuicio del ejercicio por parte de los Estados miembros de sus responsabilidades con respecto al mantenimiento del orden público y la salvaguardia de la seguridad interior, los Estados miembros no tendrán la obligación de transmitir, en un caso concreto, información con arreglo al apartado 6, letra a), si:

a)

fuese contrario a los intereses fundamentales de seguridad del Estado miembro de que se trate;

b)

comprometiese el resultado de una investigación en curso o la seguridad de una persona, o

c)

revelase información referida a organizaciones o actividades específicas de inteligencia en materia de seguridad nacional.

No obstante, los Estados miembros transmitirán la información tan pronto como deje de estar incluida en el ámbito de aplicación de las letras a), b) o c) del primer párrafo.

8. Los Estados miembros velarán por que se permita a sus unidades de inteligencia financiera creadas con arreglo a la Directiva 2005/60/CE del Parlamento Europeo y del Consejo (21) cooperar con Europol a través de su unidad nacional en relación con los análisis que entren dentro de los límites de su mandato y competencia.

9. Los jefes de las unidades nacionales se reunirán periódicamente, en particular para debatir y resolver los problemas que se planteen en el contexto de su cooperación operativa con Europol.

10. Los gastos de comunicación de las unidades nacionales con Europol correrán a cargo de los Estados miembros y, con excepción de los gastos de conexión, no serán imputados a Europol.

11. Europol elaborará un informe anual sobre la información facilitada por cada Estado miembro con arreglo al apartado 6, letra a), basado en los criterios de evaluación cuantitativos y cualitativos establecidos por el Consejo de Administración. El informe anual se remitirá al Parlamento Europeo, al Consejo, a la Comisión y a los parlamentos nacionales.

Artículo 8

Funcionarios de enlace

1. Cada unidad nacional designará al menos un funcionario de enlace ante Europol. Salvo disposición en contrario del presente Reglamento, los funcionarios de enlace estarán sujetos al Derecho nacional del Estado miembro que los haya designado.

2. Los funcionarios de enlace constituirán las oficinas nacionales de enlace en Europol y las unidades nacionales les encargarán la defensa de sus intereses en esta última de acuerdo con el Derecho nacional del Estado miembro que los haya designado y ajustándose a las disposiciones relativas a la administración de Europol.

3. Los funcionarios de enlace prestarán asistencia en el intercambio de información entre Europol y sus Estados miembros.

4. Los funcionarios de enlace prestarán asistencia, de conformidad con su Derecho nacional, en el intercambio de información entre sus Estados miembros y los funcionarios de enlace de otros Estados miembros, países terceros y organizaciones internacionales. La infraestructura de Europol podrá utilizarse, con arreglo al Derecho nacional, para que estos intercambios bilaterales se apliquen también a delitos no comprendidos en el ámbito de los objetivos de Europol. Todos estos intercambios de información se realizarán de conformidad con el Derecho nacional y de la Unión aplicable.

5. El Consejo de Administración determinará los derechos y obligaciones de los funcionarios de enlace en relación con Europol. Los funcionarios de enlace gozarán de los privilegios e inmunidades necesarios para el desempeño de sus funciones de conformidad con el artículo 63, apartado 2.

6. Europol velará por que los funcionarios de enlace estén plenamente informados y participen en todas sus actividades en la medida en que sea necesario para el desempeño de sus funciones.

7. Europol correrá con los gastos derivados de la puesta a disposición de los Estados miembros de los locales necesarios en el edificio de Europol y de la asistencia adecuada a los funcionarios de enlace para el ejercicio de sus funciones. Todos los demás gastos derivados de la designación de funcionarios de enlace correrán a cargo del Estado miembro que los haya designado, incluidos los costes de equipos para los funcionarios de enlace, salvo decisión en otro sentido del Parlamento Europeo y del Consejo basada en una recomendación del Consejo de Administración.

CAPÍTULO III

ORGANIZACIÓN DE EUROPOL

Artículo 9

Estructura administrativa y de gestión de Europol

La estructura administrativa y de gestión de Europol estará compuesta por:

a)

un Consejo de Administración;

b)

un director ejecutivo;

c)

en su caso, otro órgano consultivo establecido por el Consejo de Administración de conformidad con el artículo 11, apartado 1, letra s).

SECCIÓN 1

Consejo de Administración

Artículo 10

Composición del Consejo de Administración

1. El Consejo de Administración estará compuesto por un representante de cada Estado miembro y un representante de la Comisión. Todos ellos tendrán derecho a voto.

2. Se nombrará a los miembros del Consejo de Administración atendiendo a sus conocimientos en materia de cooperación policial.

3. Cada uno de los miembros del Consejo de Administración contará con un suplente al que se nombrará atendiendo a los criterios establecidos en el apartado 2. El miembro suplente representará al miembro titular en ausencia de este.

Se tendrá también en cuenta el principio de una representación por sexos equilibrada en el Consejo de Administración.

4. Sin perjuicio del derecho de los Estados miembros y de la Comisión a terminar el mandato de sus miembros titulares y suplentes, su duración será de cuatro años. El mandato será prorrogable.

Artículo 11

Funciones del Consejo de Administración

1. El Consejo de Administración:

a)

adoptará cada año un documento que contenga la programación plurianual de Europol y su programa de trabajo para el año siguiente, por mayoría de dos tercios de sus miembros y de conformidad con el artículo 12;

b)

adoptará, por mayoría de dos tercios de sus miembros, el presupuesto anual de Europol y ejercerá otras funciones relacionadas con el presupuesto de Europol con arreglo al capítulo X;

c)

adoptará un informe anual de actividades consolidado sobre las actividades de Europol y lo remitirá, a más tardar el 1 de julio del año siguiente, al Parlamento Europeo, al Consejo, a la Comisión, al Tribunal de Cuentas y a los parlamentos nacionales. El informe anual de actividades consolidado se hará público;

d)

adoptará las normas financieras aplicables a Europol, de conformidad con el artículo 61;

e)

adoptará una estrategia interna de lucha contra el fraude proporcional a los riesgos de fraude, teniendo en cuenta los costes y beneficios de las medidas que vayan a aplicarse;

f)

adoptará normas sobre la prevención y la gestión de los conflictos de intereses de sus miembros, incluso en relación con su declaración de intereses;

g)

de conformidad con el apartado 2, ejercerá, con respecto al personal de Europol, las competencias atribuidas por el Estatuto a la autoridad facultada para proceder a los nombramientos y por el régimen aplicable a los otros agentes a la autoridad facultada para celebrar contratos de empleo («competencias de la autoridad facultada para proceder a los nombramientos»);

h)

adoptará normas de desarrollo adecuadas para dar efecto al Estatuto de los funcionarios y al régimen aplicable a los otros agentes de conformidad con el artículo 110 del Estatuto de los funcionarios;

i)

adoptará normas internas relativas al procedimiento de selección del director ejecutivo, incluidas las normas sobre la composición del comité de selección que garanticen su independencia e imparcialidad;

j)

propondrá al Consejo una lista de candidatos preseleccionados para el puesto de director ejecutivo y directores ejecutivos adjuntos y, cuando proceda, propondrá al Consejo la prórroga de su mandato o la destitución de sus cargos de conformidad con los artículos 54 y 55;

k)

establecerá indicadores de rendimiento y supervisará la actuación del director ejecutivo, incluida la aplicación de las decisiones del Consejo de Administración;

l)

nombrará un responsable de protección de datos que actuará con independencia funcional en el ejercicio de sus funciones;

m)

nombrará a un contable, sujeto al Estatuto de los funcionarios y al régimen aplicable a los otros agentes, que será funcionalmente independiente en el ejercicio de sus funciones;

n)

establecerá en su caso una estructura de auditoría interna;

o)

asegurará un seguimiento adecuado de las conclusiones y recomendaciones resultantes de los informes de auditoría y evaluaciones internas o externas, así como de las investigaciones de la OLAF y el SEPD;

p)

establecerá los criterios de evaluación para el informe anual con arreglo al artículo 7, apartado 11;

q)

adoptará unas directrices que especifiquen más detalladamente los procedimientos para el tratamiento de la información por parte de Europol, de conformidad con el artículo 18 y tras haber consultado al SEPD;

r)

decidirá sobre la celebración de acuerdos de trabajo y administrativos con arreglo al artículo 23, apartado 4, y al artículo 25, apartado 1, respectivamente;

s)

decidirá, teniendo en cuenta tanto los requisitos operativos como los financieros, en relación con la creación de las estructuras internas de Europol, incluidos los centros de la Unión de asesoramiento especializado a que hace referencia el artículo 4, apartado 1, letra l), a propuesta del director ejecutivo;

t)

adoptará su reglamento interno, incluidas las disposiciones relativas a las tareas y al funcionamiento de su secretaría;

u)

adoptará otras normas internas cuando convenga.

2. Si el Consejo de Administración lo considera necesario para la realización de las funciones de Europol, podrá sugerir al Consejo que llame la atención de la Comisión en cuanto a la necesidad de una decisión de adecuación, según se contempla en el artículo 25, apartado 1, letra a), o de una recomendación de decisión por la que se autorice la apertura de negociaciones con vistas a la conclusión de un acuerdo internacional como se contempla en el artículo 25, apartado 1, letra b).

3. El Consejo de Administración adoptará, de conformidad con el artículo 110 del Estatuto de los funcionarios, una decisión, basada en el artículo 2, apartado 1, del Estatuto y en el artículo 6 del régimen aplicable a los otros agentes, por la que se deleguen las competencias de la autoridad facultada para proceder a los nombramientos en el director ejecutivo y se establezcan las condiciones en que puede suspenderse esta delegación de poderes. El director ejecutivo estará autorizado a subdelegar tales competencias.

Cuando circunstancias excepcionales así lo requieran, el Consejo de Administración podrá, mediante decisión, suspender temporalmente la delegación de las competencias, y cualquier subdelegación de las mismas, de la autoridad facultada para proceder a los nombramientos en el director ejecutivo y ejercerlas él mismo o delegarlas en uno de sus miembros o en un miembro del personal que no sea el director ejecutivo.

Artículo 12

Programación plurianual y programa de trabajo anual

1. El Consejo de Administración adoptará a más tardar el 30 de noviembre de cada año el documento que incluye la programación plurianual de Europol y el programa de trabajo anual, sobre la base de un proyecto presentado por el director ejecutivo, teniendo en cuenta el dictamen de la Comisión y, en lo que respecta a la programación plurianual, previa consulta con el Grupo de Control Parlamentario Conjunto (GCPC). El documento de programación se remitirá al Consejo, a la Comisión y al GCPC.

2. La programación plurianual fijará la programación estratégica general, incluidos los objetivos, los resultados esperados y los indicadores de rendimiento. También establecerá la planificación de los recursos incluidos el presupuesto plurianual y la plantilla. Incluirá la estrategia sobre las relaciones con países terceros u organizaciones internacionales.

La programación plurianual se ejecutará a través de programas de trabajo anuales y se actualizará, en su caso, en función de los resultados de evaluaciones internas y externas. Las conclusiones de estas evaluaciones se reflejarán también, en su caso, en el programa de trabajo anual para el año siguiente.

3. El programa de trabajo anual comprenderá los objetivos detallados y los resultados esperados, incluidos indicadores de rendimiento. Contendrá asimismo una descripción de las acciones que vayan a financiarse y una indicación de los recursos humanos y financieros asignados a cada acción, de conformidad con los principios de presupuestación y de gestión por actividades. El programa de trabajo anual será coherente con la programación plurianual. Indicará claramente qué tareas se han añadido, modificado o suprimido en relación con el ejercicio presupuestario anterior.

4. Si tras la adopción del programa de trabajo anual se encomienda a Europol una nueva tarea, el Consejo de Administración lo modificará.

5. Cualquier modificación sustancial del programa de trabajo anual se adoptará con arreglo al mismo procedimiento que el aplicable a la adopción del programa de trabajo anual inicial. El Consejo de Administración podrá delegar en el director ejecutivo la competencia de adoptar modificaciones no sustanciales del programa de trabajo anual.

Artículo 13

Presidente y vicepresidente del Consejo de Administración

1. El Consejo de Administración elegirá a un presidente y a un vicepresidente de entre el grupo de tres Estados miembros que haya preparado conjuntamente el programa de 18 meses del Consejo. Estos ejercerán sus funciones durante el período de 18 meses correspondiente a dicho programa del Consejo. No obstante, si el presidente o el vicepresidente dejan de ser miembros del Consejo de Administración en algún momento durante su mandato, este caducará automáticamente en la misma fecha.

2. El presidente y el vicepresidente serán elegidos por mayoría de dos tercios de los miembros del Consejo de Administración.

3. Cuando el presidente no pueda ejercer sus funciones, será sustituido automáticamente por el vicepresidente.

Artículo 14

Reuniones del Consejo de Administración

1. El presidente convocará las reuniones del Consejo de Administración.

2. El director ejecutivo participará en las deliberaciones del Consejo de Administración.

3. El Consejo de Administración se reunirá al menos dos veces al año en sesión ordinaria. Además, se reunirá a iniciativa del presidente, o a petición de la Comisión o de un tercio de sus miembros, como mínimo.

4. El Consejo de Administración podrá invitar a sus reuniones, en calidad de observador sin derecho a voto, a cualquier persona cuya opinión pueda ser de interés para el debate, por ejemplo a un representante del GCPC, cuando proceda.

5. Los miembros y los miembros suplentes del Consejo de Administración podrán ser asistidos en las reuniones por asesores o expertos, con arreglo a su reglamento interno.

6. Europol se hará cargo de la secretaría del Consejo de Administración.

Artículo 15

Votaciones del Consejo de Administración

1. Sin perjuicio de lo dispuesto en el artículo 11, apartado 1, letras a) y b), en el artículo 13, apartado 2, en el artículo 50, apartado 2, en el artículo 54, apartado 8, y en el artículo 64, el Consejo de Administración adoptará sus decisiones por mayoría de sus miembros.

2. Cada miembro dispondrá de un voto. En ausencia de uno de ellos, su suplente podrá ejercer su derecho a voto.

3. El director ejecutivo no tomará parte en las votaciones.

4. El reglamento interno del Consejo de Administración establecerá de manera más pormenorizada el régimen de votación, en particular las condiciones en las que un miembro puede actuar por cuenta de otro, y, en su caso, las normas relativas al quórum.

SECCIÓN 2

Director ejecutivo

Artículo 16

Cometidos del director ejecutivo

1. El director ejecutivo se encargará de la gestión de Europol. Deberá rendir cuentas ante el Consejo de Administración.

2. Sin perjuicio de las competencias de la Comisión o del Consejo de Administración, el director ejecutivo será independiente en el ejercicio de sus funciones y no solicitará ni aceptará instrucciones de ningún gobierno ni de ningún otro organismo.

3. El Consejo podrá convocar al director ejecutivo para que le informe del ejercicio de sus funciones.

4. El director ejecutivo será el representante legal de Europol.

5. El director ejecutivo será responsable de la ejecución de las tareas que competen a Europol en virtud del presente Reglamento, en particular, de lo siguiente:

a)

la administración cotidiana de Europol;

b)

presentar al Consejo de Administración propuestas en relación con el establecimiento de las estructuras internas de Europol;

c)

la aplicación de las decisiones adoptadas por el Consejo de Administración;

d)

la preparación del proyecto de la programación plurianual y del programa de trabajo anual y su presentación al Consejo de Administración, previa consulta a la Comisión;

e)

la ejecución de la programación plurianual y de los programas de trabajo anual y la presentación de informes al Consejo de Administración sobre su ejecución;

f)

la elaboración de proyectos de normas de desarrollo adecuadas para aplicar al Estatuto de los funcionarios y al régimen aplicable a los otros agentes de conformidad con el artículo 110 del Estatuto de los funcionarios;

g)

la preparación del proyecto de informe anual consolidado sobre las actividades de Europol y su presentación al Consejo de Administración para su adopción;

h)

la preparación de un plan de acción sobre la base de las conclusiones de los informes de auditoría y evaluaciones internas o externas, así como informes de investigación y recomendaciones a raíz de las investigaciones llevadas a cabo por la OLAF y el SEPD, y la presentación de informes de evolución dos veces al año a la Comisión y regularmente al Consejo de Administración;

i)

la protección de los intereses financieros de la Unión mediante la aplicación de medidas preventivas contra el fraude, la corrupción y cualesquiera otra actividad ilegales y, sin perjuicio de las competencias de investigación de la OLAF, mediante la realización de controles efectivos y, si se detectan irregularidades, mediante la recuperación de los importes indebidamente abonados, y, en su caso, mediante sanciones administrativas y financieras efectivas, proporcionales y disuasorias;

j)

la preparación de un proyecto de estrategia interna de lucha contra el fraude de Europol y su presentación al Consejo de Administración para su adopción;

k)

la preparación de un proyecto de normas internas para la prevención y gestión de los conflictos de intereses en lo que respecta al Consejo de Administración y la presentación de esas propuestas de normas al Consejo de Administración para su adopción;

l)

la preparación del proyecto de normas financieras aplicables a Europol;

m)

la preparación del proyecto de estado de previsiones de ingresos y gastos de Europol y la ejecución de su presupuesto;

n)

el apoyo al presidente del Consejo de Administración en la preparación de las reuniones del Consejo de Administración;

o)

la información periódica al Consejo de Administración sobre la aplicación de las prioridades estratégicas y operativas de la Unión en la lucha contra la delincuencia;

p)

el desempeño de otras tareas con arreglo al presente Reglamento.

CAPÍTULO IV

TRATAMIENTO DE LA INFORMACIÓN

Artículo 17

Fuentes de información

1. Europol solamente podrá tratar la información que le haya sido facilitada por:

a)

los Estados miembros, de conformidad con su Derecho nacional y con el artículo 7;

b)

organismos de la Unión, países terceros y organizaciones internacionales, de conformidad con el capítulo V;

c)

por entidades privadas y particulares de conformidad con el capítulo V.

2. Europol podrá extraer y tratar directamente información, incluidos datos personales, procedentes de fuentes públicamente disponibles, en particular internet y datos públicos.

3. En la medida en que Europol, en virtud de instrumentos jurídicos de la Unión, nacionales o internacionales, hubiese obtenido el derecho de consultar por vía informática los datos de la Unión, de sistemas de información nacionales o internacionales, podrá extraer y tratar información, incluidos datos personales, por dichos medios si ello es necesario para el desempeño de sus tareas. El acceso a dicha información y su utilización por parte de Europol se regirá por las disposiciones aplicables de dichos instrumentos jurídicos nacionales, internacionales o de la Unión, siempre que prevean normas más estrictas en materia de acceso y utilización que las establecidas por el presente Reglamento. El acceso a dichos sistemas de información solo se concederá al personal debidamente autorizado de Europol, y solo en la medida en que sea necesario y proporcionado para el desempeño de sus tareas.

Artículo 18

Fines de las actividades de tratamiento de la información

1. En la medida en que sea necesario para la consecución de sus objetivos, enunciados en el artículo 3, Europol puede tratar información, incluidos los datos personales.

2. Los datos personales podrán tratarse únicamente a fin de efectuar:

a)

controles cruzados destinados a identificar conexiones u otras relaciones pertinentes entre datos relacionados con:

i)

las personas que sean sospechosas de haber cometido o de haber participado en un delito penal que sea competencia de Europol o que hayan sido condenadas por tal delito,

ii)

personas respecto de las cuales existan indicios concretos o motivos razonables para pensar que cometerán delitos penales que son competencia de Europol;

b)

análisis estratégicos o temáticos;

c)

análisis operativos;

d)

facilitar el intercambio de información entre los Estados miembros, Europol, otros organismos de la Unión, países terceros y organizaciones internacionales.

3. El tratamiento, a efectos de análisis operativos como los mencionados en el apartado 2, letra c), se realizará mediante proyectos de análisis operativos a los que se aplicarán las siguientes garantías específicas:

a)

para cada proyecto de análisis operativo, el director ejecutivo definirá el objetivo específico, las categorías de datos personales y las categorías de interesados, los participantes, la duración de la conservación y condiciones de acceso, transferencia y uso de los datos en cuestión, e informará de ello al Consejo de Administración y al SEPD;

b)

los datos personales podrán recopilarse y tratarse solo a efectos del proyecto específico de análisis operativo. Cuando resulte evidente que los datos personales puedan ser pertinentes para otro proyecto de análisis operativo, solo se permitirá el tratamiento ulterior de dichos datos personales en la medida en que dicho tratamiento ulterior resulte necesario y proporcionado y los datos personales sean compatibles con las disposiciones establecidas en la letra a) que se apliquen al otro proyecto de análisis;

c)

solo el personal autorizado podrá acceder a los datos del proyecto correspondiente y tratarlos.

4. El tratamiento, según se menciona en los apartados 2 y 3, se llevará a cabo de acuerdo con las garantías de protección de datos establecidas en el presente Reglamento. Europol documentará debidamente estas operaciones de tratamiento. Previa solicitud, la documentación se pondrá a disposición del responsable de protección de datos y del SEPD a efectos de la verificación de la licitud de la operación de tratamiento.

5. Las categorías de datos personales y las categorías de interesados cuyos datos pueden ser recogidos y tratados para cada fin contemplado en el apartado 2 se enumeran en el anexo II.

6. Europol podrá tratar datos de forma temporal con el fin de determinar si tales datos son pertinentes para el desempeño de sus tareas y, en caso de que lo sean, para qué fines de los previstos en el apartado 2. El Consejo de Administración, a propuesta del director ejecutivo y tras haber consultado al SEPD, especificará más detalladamente las condiciones relacionadas con el tratamiento de dichos datos, en particular en lo que se refiere al acceso a los mismos y a su uso, así como a los plazos de conservación y supresión, que no podrán superar los seis meses, teniendo en cuenta los principios mencionados en el artículo 28.

7. El Consejo de Administración, tras haber consultado al SEPD adoptará, según proceda, directrices que concreten más detalladamente los procedimientos de tratamiento de la información a los efectos enumerados en el apartado 2, de conformidad con lo dispuesto en el artículo 11, apartado 1, letra q).

Artículo 19

Determinación de los fines y de las restricciones del tratamiento de la información por Europol

1. El Estado miembro, organismo de la Unión, país tercero u organización internacional que facilite información a Europol determinará los fines de su tratamiento en virtud del artículo 18. Si no lo hiciere, Europol, de acuerdo con el proveedor de información en cuestión, procederá a un tratamiento de la información destinado a determinar la pertinencia de dicha información, así como el fin o los fines de su ulterior tratamiento. Europol podrá tratar la información con un fin distinto a aquel para el que fue facilitada solo si lo autoriza el proveedor de la información.

2. Los Estados miembros, organismos de la Unión, países terceros y organizaciones internacionales podrán indicar, en el momento de proveer la información a Europol, cualquier restricción a su acceso o utilización, en términos generales o específicos, en particular por lo que respecta a su transferencia, cancelación o destrucción. Cuando la necesidad de tales restricciones se manifieste después de haber facilitado información, informarán de ello a Europol. Europol deberá cumplir esas restricciones.

3. En casos debidamente justificados, Europol podrá imponer restricciones de acceso o utilización por parte de los Estados miembros, organismos de la Unión, países terceros y organizaciones internacionales de la información extraída de fuentes públicas.

Artículo 20

Acceso de los Estados miembros y del personal de Europol a la información conservada por Europol

1. Los Estados miembros, de conformidad con su legislación nacional y el artículo 7, apartado 5, tendrán acceso a, y podrán consultar, toda la información facilitada a los fines del artículo 18, apartado 2, letras a) y b). Todo ello sin perjuicio del derecho de los Estados miembros, organismos de la Unión, países terceros y organizaciones internaciones a indicar cualquier restricción de conformidad con el artículo 19, apartado 2.

2. Los Estados miembros, de conformidad con su legislación nacional y el artículo 7, apartado 5, dispondrán de acceso indirecto, sobre la base de un sistema de respuesta positiva o negativa, a la información facilitada para los fines del artículo 18, apartado 2, letra c). Todo ello sin perjuicio de las restricciones indicadas por los Estados miembros, organismos de la Unión, países terceros u organizaciones internacionales que facilitaron los datos, de conformidad con el artículo 19, apartado 2.

En caso de respuesta positiva, Europol abrirá el procedimiento para que pueda compartirse la información que generó la respuesta positiva, de conformidad con la decisión del proveedor de la información a Europol.

3. De conformidad con la legislación nacional, los Estados miembros tendrán acceso a la información mencionada en los apartados 1 y 2 y la tratarán ulteriormente solo a efectos de prevenir y combatir:

a)

formas de delincuencia para las que Europol sea competente, y

b)

otras formas de delincuencia grave, según se recoge en la Decisión Marco 2002/584/JAI del Consejo (22).

4. El personal de Europol debidamente habilitado al efecto por el director ejecutivo tendrá acceso a la información tratada por Europol en la medida necesaria para el ejercicio de sus funciones y sin perjuicio de lo dispuesto en el artículo 67.

Artículo 21

Acceso de Eurojust y de la OLAF a la información conservada por Europol

1. Europol tomará todas las medidas oportunas para permitir que Eurojust y la OLAF, dentro de sus mandatos respectivos, tengan acceso indirecto, sobre la base de un sistema de respuesta positiva o negativa, a la información facilitada para los fines del artículo 18, apartado 2, letras a), b) y c), sin perjuicio de las restricciones indicadas por los Estados miembros, organismos de la Unión, países terceros u organizaciones internacionales que facilitaron la información en cuestión, de conformidad con el artículo 19, apartado 2.

En caso de respuesta positiva, Europol abrirá el procedimiento para que pueda compartirse la información que generó la respuesta positiva, de conformidad con la decisión del proveedor de la información a Europol, y solo en la medida en que los datos que hayan generado la respuesta positiva resulten necesarios para la realización de las tereas de Eurojust o de la OLAF.

2. Europol y Eurojust podrán celebrar un acuerdo de trabajo que garantice, recíprocamente y en el marco de sus respectivos mandatos, la posibilidad de acceso a, y búsqueda de, toda la información facilitada a los fines especificados en el artículo 18, apartado 2, letra a), y la posibilidad de consultar dicha información, sin perjuicio del derecho de los Estados miembros, organismos de la Unión, países terceros y organizaciones internacionales a indicar restricciones al acceso y la utilización de dichos datos, de conformidad con las garantías de protección de datos establecidas en el presente Reglamento.

3. Las búsquedas de información de conformidad con los apartados 1 y 2 solo se podrán llevar a cabo con el fin de determinar si la información disponible en Eurojust o en la OLAF, concuerda con la información tratada en Europol.

4. Europol solo permitirá que se realicen consultas con arreglo a los apartados 1 y 2 tras haber obtenido de Eurojust información sobre qué miembros nacionales, suplentes y asistentes, así como miembros de su personal y de la OLAF, información sobre qué miembros de su personal, han sido autorizados para realizar tales búsquedas.

5. Si durante las actividades de tratamiento de información de Europol en relación con una investigación concreta, Europol o un Estado miembro determinaran la necesidad de coordinación, cooperación o apoyo de conformidad con el mandato de Eurojust o de la OLAF, Europol les notificará este extremo y abrirá el procedimiento para compartir información, de conformidad con la decisión del Estado miembro que facilitó la información. En tal caso, Eurojust o la OLAF consultarán a Europol.

6. Eurojust, incluido el Colegio, los miembros nacionales, los suplentes y los asistentes, así como los miembros de su personal, y la OLAF deberán respetar cualquier restricción de acceso o utilización, en términos generales o específicos, indicada por los Estados miembros, organismos de la Unión, países terceros y organizaciones internacionales de conformidad con el artículo 19, apartado 2.

7. Europol, Eurojust y la OLAF se informarán entre sí en caso de que, tras consultarse recíprocamente los datos de conformidad con el apartado 2 o como consecuencia de una respuesta positiva de conformidad con el apartado 1, haya indicios de que los datos pueden ser incorrectos o entrar en conflicto con otros datos.

Artículo 22

Obligación de notificación a los Estados miembros

1. Europol, de conformidad con el artículo 4, apartado 1, letra b), notificará sin demora a un Estado miembro toda información que le concierna. Si tal información está sujeta a restricciones de acceso con arreglo al artículo 19, apartado 2, que prohíban compartirla, Europol consultará al proveedor de la información que impuso la limitación de acceso y solicitará su autorización para que se comparta.

En tal caso la información no podrá compartirse sin autorización expresa del proveedor de la misma.

2. Con independencia de cualquier restricción de acceso, Europol notificará a un Estado miembro toda la información que le concierna si ello es absolutamente necesario para prevenir una amenaza inminente para la vida.

En tal caso, Europol notificará al mismo tiempo al proveedor de la información de que se va a compartir dicha información y justificará su análisis de la situación.

CAPÍTULO V

RELACIONES CON LOS SOCIOS

SECCIÓN 1

Disposiciones comunes

Artículo 23

Disposiciones comunes

1. En la medida en que sea necesario para el desempeño de sus tareas, Europol podrá establecer y mantener relaciones de cooperación con los organismos de la Unión de conformidad con los objetivos de dichos organismos, las autoridades de países terceros, organizaciones internacionales y entidades privadas.

2. Siempre que se cumplan las restricciones derivadas del artículo 19, apartado 2, y sin perjuicio del artículo 67, Europol podrá intercambiar directamente todo tipo de información, con la excepción de los datos personales, con las entidades contempladas en el apartado 1 del presente artículo, en la medida en que ese intercambio sea pertinente para el desempeño de sus tareas.

3. El director ejecutivo informará al Consejo de Administración sobre cualesquiera relaciones de cooperación regulares que Europol se proponga establecer y mantener de conformidad con los apartados 1 y 2 y sobre la evolución de dichas relaciones una vez establecidas.

4. Para la consecución de los fines contemplados en los apartados 1 y 2, Europol podrá celebrar acuerdos de trabajo con las entidades mencionadas en el apartado 1. Dichos acuerdos de trabajo no permitirán el intercambio de datos personales y no vincularán a la Unión ni a sus Estados miembros.

5. Europol podrá recibir y tratar datos personales procedentes de las entidades contempladas en el apartado 1 en la medida en que sea necesario y proporcionado para el desempeño legítimo de sus tareas, y a reserva de lo dispuesto en el presente capítulo.

6. Sin perjuicio de lo dispuesto en el artículo 30, apartado 5, Europol solo transferirá datos personales a los organismos de la Unión, países terceros y organizaciones internacionales si fuera necesario para la prevención y la lucha contra los delitos comprendidos en el ámbito de los objetivos de Europol y de conformidad con el presente Reglamento y si el destinatario se compromete a que los datos se traten solo para los fines para los que se han transmitido. Si los datos que se hayan de transferir hubieran sido facilitados por un Estado miembro, Europol deberá obtener el consentimiento de ese Estado miembro, a menos que el Estado miembro haya concedido su autorización previa para tales transferencias ulteriores, ya sea en términos generales o con arreglo a condiciones específicas. Dicho consentimiento podrá retirarse en cualquier momento.

7. Las transferencias ulteriores de datos personales en posesión de Europol por Estados miembros, organismos de la Unión, países terceros y organizaciones internacionales estarán prohibidas a menos que Europol haya dado su autorización expresa previa.

8. Europol garantizará la anotación detallada de todas las transferencias de datos personales así como las motivaciones de dichas transferencias, de conformidad con el presente Reglamento.

9. No se tratará ninguna información obtenida en violación manifiesta de los derechos humanos.

SECCIÓN 2

Transferencia e intercambio de datos personales

Artículo 24

Transferencia de datos personales a los organismos de la Unión

A reserva de las posibles restricciones de conformidad con el artículo 19, apartados 2 o 3, y sin perjuicio del artículo 67, Europol podrá transferir directamente datos personales a un organismo de la Unión en la medida en que la transferencia sea necesaria para el desempeño de sus tareas o de las tareas del organismo de la Unión destinatario.

Artículo 25

Transferencia de datos personales a países terceros y organizaciones internacionales

1. A reserva de las posibles restricciones de conformidad con el artículo 19, apartados 2 o 3, sin perjuicio del artículo 67, Europol podrá transferir datos personales a una autoridad de un país tercero o a una organización internacional en la medida en que dicha transmisión sea necesaria para el desempeño de las tareas de Europol, sobre la base de:

a)

una decisión de la Comisión adoptada de conformidad con el artículo 36 de la Directiva (UE) 2016/680, que acredite que el país tercero o un territorio o un sector de tratamiento de datos en ese país tercero, o la organización internacional de que se trate garantizan un nivel de protección adecuado (decisión de adecuación), o

b)

un acuerdo internacional celebrado entre la Unión y ese país tercero u organización internacional con arreglo al artículo 218 del TFUE que ofrezca garantías adecuadas con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas físicas, o

c)

un acuerdo de cooperación que permita el intercambio de datos personales celebrado antes del 1 de mayo de 2017 entre Europol y ese país tercero u organización internacional con arreglo al artículo 23 de la Decisión 2009/371/JAI.

Europol podrá celebrar acuerdos administrativos para aplicar dichos acuerdos o decisiones de adecuación.

2. El director ejecutivo informará al Consejo de Administración acerca del intercambio de datos personales basándose en decisiones de adecuación, conforme al apartado 1, letra a).

3. Europol publicará en su página web y mantendrá al día la lista de decisiones de adecuación, acuerdos, acuerdos administrativos y otros instrumentos relacionados con la transferencia de datos personales de conformidad con el apartado 1.

4. Antes del 14 de junio de 2021, la Comisión evaluará las disposiciones contenidas en los acuerdos de cooperación mencionados en el apartado 1, letra c), en particular sobre la protección de datos. La Comisión informará al Parlamento Europeo y al Consejo sobre el resultado de esta evaluación y, si procede, podrá someter al Consejo una recomendación de decisión por la que se autorice el inicio de negociaciones para la celebración de acuerdos internacionales según se menciona en el apartado 1, letra b).

5. No obstante lo dispuesto en el apartado 1, el director ejecutivo podrá autorizar la transferencia de datos personales a países terceros u organizaciones internacionales en cada caso concreto si la transferencia es:

a)

necesaria para proteger los intereses vitales del interesado o de otra persona, o

b)

necesaria para salvaguardar intereses legítimos del interesado cuando así lo disponga el Derecho del Estado miembro que transfiere los datos personales, o

c)

esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un país tercero, o

d)

necesaria en casos concretos a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, o

e)

necesaria en casos concretos para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal o la ejecución de una sanción penal específica.

Los datos personales no se transferirán si el director ejecutivo determina que los derechos y libertades fundamentales del interesado en cuestión priman sobre el interés público en la transferencia a que se refieren las letras d) y e).

No se aplicarán excepciones a las transferencias sistemáticas, masivas o estructurales.

6. No obstante lo dispuesto en el apartado 1, el Consejo de Administración podrá, de acuerdo con el Supervisor Europeo de Protección de Datos, autorizar una serie de transferencias de conformidad con el apartado 5, letras a) a e), teniendo en cuenta la existencia de garantías adecuadas con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas físicas, por un período no superior a un año, prorrogable. Dicha autorización estará debidamente justificada y documentada.

7. El director ejecutivo informará lo antes posible al Consejo de Administración y al SEPD de los casos en que haya aplicado el apartado 5.

8. Europol llevará un registro pormenorizado de todas las transferencias hechas de conformidad con el presente artículo.

Artículo 26

Intercambios de datos personales con entidades privadas

1. En la medida en que sea necesario para el desempeño de sus tareas, Europol podrá tratar datos personales procedentes de entidades privadas siempre que hayan sido recibidos a través de:

a)

una unidad nacional de conformidad con el Derecho nacional;

b)

el punto de contacto de un país tercero o una organización internacional con la que Europol haya concluido, antes del 1 de mayo de 2017, un acuerdo de cooperación que permita el intercambio de datos personales de conformidad con el artículo 23 de la Decisión 2009/371/JAI, o

c)

una autoridad de un país tercero o una organización internacional que estén sujetas a una decisión de adecuación según se contempla en el artículo 25, apartado 1, letra a), del presente Reglamento o con las que la Unión haya celebrado un acuerdo internacional con arreglo al artículo 218 del TFUE.

2. En los casos en los que, no obstante, Europol reciba datos personales directamente de entidades privadas y cuando la unidad nacional, el punto de contacto o la autoridad interesados a que se hace referencia en el apartado 1 no puedan ser identificados, Europol podrá tratar dichos datos personales únicamente con el fin de identificar a dichas entidades. Posteriormente, los datos personales serán enviados inmediatamente a la unidad nacional, el punto de contacto o la autoridad interesados y se borrarán a no ser que la unidad nacional, punto de contacto o autoridad interesados vuelva a presentar esos datos personales de conformidad con el artículo 19, apartado 1, dentro del plazo de cuatro meses desde el momento en que se haya producido la transferencia. Europol garantizará por medios técnicos que durante ese plazo los datos no sean accesibles para ser procesados con otra finalidad.

3. De resultas de la transferencia de datos personales conforme al apartado 5, letra c), del presente artículo, Europol podrá, en relación con esta, recibir directamente de entidades privadas datos personales que la entidad privada de que se trate declare que se le permite transmitir legalmente de conformidad con la legislación aplicable para tratar esos datos a fin de llevar a cabo el cometido indicado en el artículo 4, apartado 1, letra m).

4. Si Europol recibe datos personales de una entidad privada de un país tercero con el que no se haya celebrado un acuerdo, ni sobre la base del artículo 23 de la Decisión 2009/371/JAI, ni sobre la base del artículo 218 del TFUE o que no esté sujeto a una decisión de adecuación según se contempla en el artículo 25, apartado 1, letra a), del presente Reglamento, Europol podrá enviar dichos datos únicamente a un Estado miembro o un país tercero interesados con los que se haya celebrado un acuerdo de ese tipo.

5. Europol no podrá transferir datos personales a entidades privadas excepto cuando, caso por caso, cuando resulte estrictamente necesario y sujeto a cualquier posible restricción que pueda estipularse en virtud del artículo 19, apartados 2, o 3, y sin perjuicio del artículo 67:

a)

la transferencia revista un interés indudable para el interesado y este haya dado su consentimiento, o las circunstancias permitan suponer inequívocamente dicho consentimiento, o

b)

la transferencia sea absolutamente necesaria para prevenir la perpetración inminente de un delito, incluido el terrorismo, para el que Europol sea competente, o

c)

la transferencia de datos personales que estén públicamente disponibles, sea estrictamente necesaria para llevar a cabo el cometido indicado en el artículo 4, apartado 1, letra m), y se cumplan las siguientes condiciones:

i)

que la transferencia se refiera a un caso particular y específico, y

ii)

que los derechos y libertades fundamentales del interesado en cuestión no primen sobre el interés público que exija la transferencia de que se trate.

6. En relación con el apartado 5, letras a) y b), del presente artículo, si la entidad privada de que se trate no está establecida en la Unión o en un país con el que Europol tenga un acuerdo de cooperación que permita el intercambio de datos personales o con el que la Unión haya celebrado un acuerdo internacional en virtud del artículo 218 del TFUE o que sea objeto de una decisión de adecuación según se contempla en el artículo 25, apartado 1, letra a), del presente Reglamento, la transferencia solo se autorizará si la transferencia es:

a)

necesaria para proteger los intereses vitales del interesado o de otra persona;

b)

necesaria para proteger intereses legítimos del interesado;

c)

esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un país tercero;

d)

necesaria en casos concretos a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales en el ámbito de competencias de Europol, o

e)

necesaria en casos concretos para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal específica en el ámbito de competencias de Europol.

7. Europol garantizará el registro detallado de todas las transferencias de datos personales así como las motivaciones para dichas transferencias, de conformidad con el presente Reglamento, y comunicará las correspondientes anotaciones al SEPD a petición de este con arreglo a lo dispuesto en el artículo 40.

8. Si los datos personales recibidos o por transferir afectan a los intereses de un Estado miembro, Europol informará inmediatamente a la unidad nacional del Estado miembro de que se trate.

9. Europol no podrá ponerse en contacto con entidades privadas para recabar datos personales.

10. La Comisión evaluará la práctica de los intercambios directos de datos personales con entidades privadas antes del 1 de mayo de 2019.

Artículo 27

Información procedente de particulares

1. En la medida en que lo necesite para el desempeño de sus tareas, Europol podrá recibir y tratar información procedente de particulares. Europol solo podrá tratar los datos personales procedentes de particulares si han sido recibidos a través de:

a)

una unidad nacional, de conformidad con el Derecho nacional;

b)

el punto de contacto de un país tercero o una organización internacional con el que Europol haya celebrado, antes del 1 de mayo de 2017, un acuerdo de cooperación que permita el intercambio de datos personales de conformidad con el artículo 23 de la Decisión 2009/371/JAI, o

c)

una autoridad de un país tercero o una organización internacional que estén sujetas a una decisión de adecuación según se contempla en el artículo 25, apartado 1, letra a), o con las que la Unión haya celebrado un acuerdo internacional con arreglo al artículo 218 del TFUE.

2. Si Europol recibe información, incluidos datos personales, de un particular residente en un país tercero con el que no exista un acuerdo internacional celebrado en virtud del artículo 23 de la Decisión 2009/371/JAI o del artículo 218 del TFUE o que no esté sujeto a una decisión de adecuación según se contempla en el artículo 25, apartado 1, letra a), del presente Reglamento, solo podrá transmitirla a un Estado miembro o a un país tercero interesados con los que se haya celebrado un acuerdo internacional de ese tipo.

3. Si los datos personales recibidos afectan a los intereses de un Estado miembro, Europol informará inmediatamente a la unidad nacional del Estado miembro de que se trate.

4. Europol no podrá ponerse en contacto con particulares con el fin de recabar información.

5. Sin perjuicio de lo dispuesto en los artículos 36 y 37, Europol no podrá transferir datos personales a particulares.

CAPÍTULO VI

GARANTÍAS EN MATERIA DE PROTECCIÓN DE DATOS

Artículo 28

Principios generales en materia de protección de datos

1. Los datos personales deberán ser:

a)

objeto de un tratamiento equitativo y conforme a la ley;

b)

recogidos con fines determinados, explícitos y legítimos, y no ser tratados ulteriormente de forma incompatible con esos fines. El tratamiento ulterior con fines de investigación histórica, estadística o científica no se considerará incompatible siempre que Europol establezca garantías apropiadas, en particular para asegurarse de que los datos no sean tratados con otros fines;

c)

adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados;

d)

exactos y actualizados; se deben adoptar todas las medidas razonables para garantizar que se cancelen o rectifiquen sin demora los datos personales que sean inexactos, teniendo en cuentas los fines para los que son tratados;

e)

conservados de forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que son tratados, y

f)

tratados de un modo que garantice una seguridad adecuada de los datos personales.

2. Europol publicará un documento en el que se establecerán de manera inteligible las disposiciones relativas al tratamiento de los datos personales y los medios disponibles para el ejercicio de los derechos de los interesados.

Artículo 29

Valoración de la fiabilidad de la fuente y la exactitud de la información

1. La fiabilidad de la fuente de la información procedente de un Estado miembro será valorada en la medida de lo posible por el Estado miembro que haya facilitado los datos, utilizando los siguientes códigos de evaluación de fuentes:

A): cuando no quepa duda sobre la autenticidad, veracidad y competencia de la fuente o si la información es facilitada por una fuente que haya resultado ser fiable en todos los casos;

B): cuando la información sea facilitada por una fuente que haya resultado ser fiable en la mayoría de los casos;

C): cuando la información sea facilitada por una fuente que haya resultado ser poco fiable en la mayoría de los casos;

X): cuando no pueda determinarse la fiabilidad de la fuente.

2. La exactitud de la información procedente de un Estado miembro será valorada en la medida de lo posible por el Estado miembro que haya facilitado los datos utilizando los siguientes códigos de evaluación de fuentes:

1): información sobre cuya exactitud no exista duda alguna;

2): información conocida personalmente por la fuente, pero no conocida personalmente por el funcionario que la transmite;

3): información no conocida personalmente por la fuente, pero corroborada por otra información ya registrada;

4): información no conocida personalmente por la fuente y que no puede ser corroborada.

3. Cuando Europol, basándose en información que ya posea, llegue a la conclusión de que es preciso corregir la valoración a que se refieren los apartados 1 o 2, informará al Estado miembro de que se trate y procurará acordar con este una modificación de la valoración. Europol no podrá modificar la valoración sin mediar dicho acuerdo.

4. Cuando Europol reciba de un Estado miembro información no acompañada de una valoración realizada de conformidad con los apartados 1 y 2, procurará valorar la fiabilidad de la fuente o la exactitud de la información, basándose para ello en la información que ya obre en su poder. La valoración de la información y de los datos específicos se hará de acuerdo con el Estado miembro que los haya facilitado. Un Estado miembro podrá igualmente llegar a un acuerdo en términos generales con Europol sobre la valoración de determinados tipos y fuentes de datos. En caso de no llegarse a un acuerdo en un caso concreto o de no existir un acuerdo en términos generales, Europol valorará la información o los datos y les atribuirá los códigos X) y 4), contemplados respectivamente en el apartado 1 y en el apartado 2, respectivamente.

5. El presente artículo se aplicará mutatis mutandis cuando Europol reciba datos o información de un organismo de la Unión, país tercero, organización internacional o entidad privada.

6. La información procedente de fuentes públicamente disponibles será valorada por Europol utilizando los códigos de evaluación contemplados en los apartados 1 y 2.

7. Cuando la información sea resultado de un análisis realizado por Europol en el desempeño de sus tareas, Europol la valorará de conformidad con el presente artículo y de acuerdo con los Estados miembros que participen en el análisis.

Artículo 30

Tratamiento de categorías especiales de datos personales y de categorías diferentes de interesados

1. El tratamiento de datos personales de las víctimas de delitos, los testigos u otras personas que pudieran facilitar información sobre delitos, y de los menores de dieciocho años estará permitido si es estrictamente necesario y proporcionado para la prevención o la lucha contra los delitos enunciados en los objetivos de Europol.

2. El tratamiento de datos personales, ya sea por medios automatizados o de otro tipo, que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, o la filiación sindical y el tratamiento de los datos genéticos o datos relativos a la salud personal o a la vida sexual estará prohibido a menos que sea estrictamente necesario y proporcionado para la prevención o la lucha contra los delitos enunciados en los objetivos de Europol y si esos datos complementan otros datos personales tratados por Europol. Estará prohibido seleccionar un grupo particular de personas únicamente sobre la base de los datos personales citados.

3. Solo Europol tendrá acceso directo exclusivo a los datos personales a que se refieren los apartados 1 y 2. El director ejecutivo autorizará debidamente dicho acceso a un número limitado de funcionarios de Europol, si ello es necesario para el desempeño de sus tareas.

4. Ninguna decisión de una autoridad competente con efectos jurídicos adversos para el interesado se basará únicamente en el tratamiento automatizado de datos contemplado en el apartado 2, salvo que dicha decisión esté expresamente autorizada con arreglo al Derecho nacional o de la Unión.

5. Los datos personales a que se refieren los apartados 1 y 2 no se transmitirán a los Estados miembros, organismos de la Unión, países terceros u organizaciones internacionales a menos que esa transmisión sea estrictamente necesaria y proporcionada en casos concretos de delitos enunciados en los objetivos de Europol y de conformidad con el capítulo V.

6. Cada año, Europol facilitará al SEPD un resumen estadístico de todos los datos personales contemplados en el apartado 2 tratados por sus servicios.

Artículo 31

Plazos de conservación y cancelación de datos personales

1. Los datos personales tratados por Europol solo serán conservados por Europol durante el tiempo que sea necesario y proporcionado para la finalidad para la que se tratan.

2. Europol reexaminará, en todo caso, la necesidad de prolongar el período de conservación a más tardar tres años después del comienzo del tratamiento inicial de los datos personales. Europol podrá decidir prolongar el período de conservación de los datos personales hasta el reexamen siguiente, que tendrá lugar transcurrido un nuevo período de tres años, si sigue siendo necesario para el desempeño de sus tareas. Las razones para prolongar el período de conservación deberán justificarse y registrarse. De no tomarse una decisión sobre la prolongación de la conservación de los datos personales, estos se cancelarán automáticamente al cabo de tres años.

3. Si se conservaran durante un período superior a cinco años datos personales contemplados en el artículo 30, apartados 1 y 2, el SEPD deberá ser debidamente informado al respecto.

4. Cuando un Estado miembro, un organismo de la Unión, un país tercero o una organización internacional hayan indicado cualquier restricción en cuanto a la cancelación o destrucción anteriores de datos personales en el momento de la transferencia de conformidad con el artículo 19, apartado 2, Europol cancelará los datos personales con arreglo a dichas restricciones. En caso de que se considere necesario prolongar el período de conservación de los datos para el desempeño de las tareas de Europol, sobre la base de una información más completa que la que obre en poder del proveedor de los datos, Europol solicitará al proveedor de los datos autorización para seguir conservando los datos y presentará una justificación de tal solicitud.

5. Cuando un Estado miembro, un organismo de la Unión, un país tercero o una organización internacional cancele de sus propios ficheros datos personales facilitados a Europol, informará de ello a Europol. Europol cancelará los datos, a menos que se considere necesario prolongar el período de conservación de los datos para el desempeño de sus tareas, sobre la base de una información más completa que la que obre en poder del proveedor de los datos. Europol informará al proveedor de los datos de la prolongación de la conservación de tales datos y la justificará.

6. No se procederá a la cancelación de datos personales si:

a)

ello pudiera perjudicar los intereses de un interesado que requiera protección. En tales casos, los datos solo podrán utilizarse con el consentimiento expreso y por escrito del interesado;

b)

el interesado impugnara su exactitud, durante un plazo que permita a los Estados miembros o a Europol, en su caso, verificar la exactitud de los datos;

c)

fuera preciso conservarlos a efectos probatorios o para el reconocimiento, el ejercicio o la defensa de un derecho legal, o

d)

el interesado se opusiera a su cancelación y solicitara, en su lugar, la restricción de su utilización.

Artículo 32

Seguridad del tratamiento

1. Europol pondrá en práctica medidas técnicas y organizativas apropiadas para proteger los datos personales contra su destrucción accidental o ilícita, extravío accidental o divulgación, alteración y acceso no autorizados o cualquier otra forma de tratamiento no autorizado.

2. Por lo que se refiere al tratamiento automatizado de los datos, Europol y cada Estado miembro aplicarán medidas destinadas a:

a)

denegar a las personas no autorizadas el acceso a los equipamientos utilizados para el tratamiento de datos personales (control del acceso a los equipamientos);

b)

impedir que los soportes de datos puedan ser leídos, copiados, modificados o retirados sin autorización (control de los soportes de datos);

c)

impedir la introducción no autorizada de datos y la inspección, modificación o supresión no autorizadas de datos personales conservados (control de la conservación);

d)

impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de equipamientos de transmisión de datos (control del usuario);

e)

garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado de datos únicamente tengan acceso a los datos cubiertos por su autorización de acceso (control del acceso a los datos);

f)

garantizar la posibilidad de verificar y determinar a qué organismos pueden transmitirse o se han transmitido datos personales utilizando equipamientos de transmisión de datos (control de la transmisión);

g)

garantizar la posibilidad de verificar y determinar qué datos personales se han introducido en los sistemas de tratamiento automatizado de datos, en qué momento y por quién (control de la introducción de datos);

h)

garantizar que sea posible verificar y establecer qué miembro del personal ha accedido a qué datos y a qué hora (registro de acceso);

i)

impedir la lectura, copia, modificación o supresión no autorizadas de datos personales durante las transferencias de datos personales o durante el transporte de soportes de datos (control del transporte);

j)

garantizar que los sistemas instalados puedan repararse rápidamente en caso de avería (restablecimiento), y

k)

garantizar que las funciones del sistema operan en perfectas condiciones, que los defectos de funcionamiento se señalan de forma inmediata (fiabilidad) y que los datos conservados no se corrompen debido al funcionamiento defectuoso del sistema (integridad).

3. Europol y los Estados miembros establecerán mecanismos para garantizar que se tienen en cuenta las necesidades de seguridad más allá de los límites de los sistemas de información.

Artículo 33

Protección de datos desde el diseño

Europol aplicará los procedimientos y las medidas técnicas y organizativas apropiados de tal manera que el tratamiento de datos satisfaga los requisitos del presente Reglamento y proteja los derechos de los interesados.

Artículo 34

Notificación de una violación de datos personales a las autoridades afectadas

1. En caso de violación de datos personales, Europol notificará sin demora la violación de datos personales al SEPD, así como a las autoridades competentes de los Estados miembros de que se trate con arreglo a las condiciones establecidas en el artículo 7, apartado 5, y al proveedor de datos afectado.

2. La notificación contemplada en el apartado 1 deberá, al menos:

a)

describir la naturaleza de la violación de datos personales, en particular, cuando sea posible y oportuno, las categorías y el número de interesados afectados, y las categorías y el número de registros de datos de que se trate;

b)

describir las posibles consecuencias de la violación de datos personales;

c)

describir las medidas propuestas o adoptadas por Europol para poner remedio a la violación de datos personales, y

d)

cuando convenga, recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales.

3. Europol documentará las violaciones de datos personales, incluidos los hechos relacionados con la violación, sus efectos y las medidas correctivas adoptadas, habilitando con ello al SEPD a verificar la conformidad con el presente artículo.

Artículo 35

Comunicación de una violación de datos personales al interesado

1. Con arreglo al apartado 4 del presente artículo, cuando sea probable que una violación de datos personales a que se hace referencia en el artículo 34 afecte grave y negativamente a los derechos y libertades del interesado, Europol comunicará la violación de datos personales al interesado sin demora.

2. En la comunicación al interesado a que se hace referencia en el apartado 1 se describirá, a ser posible, la naturaleza de la violación de datos personales, se recomendarán medidas para mitigar los posibles efectos adversos de la violación de datos personales y, además, se incluirá la identidad y la información de contacto del responsable de la protección de datos.

3. En caso de que Europol no disponga de los datos de contacto del interesado, pedirá al proveedor de datos que comunique la violación de datos personales al interesado e informe a Europol de la decisión tomada. Los Estados miembros que faciliten datos comunicarán la violación al interesado con arreglo a los procedimientos contemplados en su legislación nacional.

4. La comunicación de una violación de datos personales al interesado no será necesaria cuando:

a)

Europol haya aplicado a los datos personales afectados por la violación de datos personales medidas de protección tecnológica que hagan ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos, o

b)

Europol haya tomado medidas ulteriores que garanticen que no sea ya probable que los derechos y libertades del interesado se vean gravemente afectados, o

c)

dicha comunicación suponga una carga desproporcionada, en particular habida cuenta del número de casos afectados. En este supuesto, se optará a cambio por una comunicación pública o una medida semejante mediante la cual se informe a los interesados en cuestión de manera igualmente efectiva.

5. La comunicación al interesado podrá retrasarse, restringirse u omitirse cuando ello sea una medida necesaria, teniendo debidamente en cuenta los intereses legítimos de la persona de que se trate:

a)

para evitar que se obstaculicen pesquisas, investigaciones o procedimientos jurídicos u oficiales;

b)

para evitar que se perjudique la prevención, detección, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales;

c)

para velar por la seguridad pública y nacional;

d)

para proteger los derechos y libertades de terceros.

Artículo 36

Derecho de acceso del interesado

1. Cualquier interesado tendrá derecho a que se le informe, a intervalos razonables, de si Europol está tratando datos personales que guarden relación con él.

2. Sin perjuicio de lo dispuesto en el apartado 5, Europol facilitará al interesado la información siguiente:

a)

confirmación de si se están tratando o no datos que guarden relación con él;

b)

información sobre, al menos, los fines de la operación de tratamiento, las categorías de datos implicadas y los destinatarios o categorías de destinatarios a quienes se divulguen los datos;

c)

comunicación en forma inteligible de los datos objeto de tratamiento, así como de cualquier información disponible sobre el origen de los datos;

d)

indicación de la base jurídica con arreglo a la cual se realizará el tratamiento de los datos;

e)

el plazo previsto durante el cual se conservarán los datos personales;

f)

existencia del derecho a solicitar que Europol rectifique, cancele o restrinja el tratamiento de los datos personales relativos al interesado.

3. Cualquier interesado que desee ejercer el derecho de acceso a datos personales que le atañan podrá formular la correspondiente solicitud, sin incurrir en costes excesivos, ante la autoridad designada a tal efecto en el Estado miembro de su elección. Dicha autoridad remitirá la petición a Europol sin demora, y en cualquier caso en el plazo de un mes desde su recepción. Europol confirmará la recepción de la solicitud.

4. Europol confirmará el recibo de la solicitud en virtud del apartado 3. Europol deberá responder a la solicitud sin retrasos indebidos, y en cualquier caso en el plazo de tres meses desde la recepción por Europol de la solicitud de la autoridad nacional.

5. Europol consultará sobre la decisión que deba tomarse a las autoridades competentes de los Estados miembros, con arreglo a las condiciones establecidas en el artículo 7, apartado 5, y al proveedor de los datos en cuestión. La decisión sobre el acceso a los datos personales estará supeditada a una estrecha cooperación entre Europol y los Estados miembros y el proveedor de datos directamente afectado por el acceso del interesado a dichos datos. En caso de que un Estado miembro o el proveedor de datos se oponga a la respuesta propuesta por Europol, notificará a Europol los motivos de su oposición de conformidad con el apartado 6 del presente artículo. Europol tendrá lo más posible en cuenta cualquier objeción de este tipo. Europol notificará posteriormente el contenido de su decisión a las autoridades competentes afectadas, con arreglo a las condiciones establecidas en el artículo 7, apartado 5, y al proveedor de datos.

6. La comunicación de información en respuesta a cualquier solicitud a efectos del apartado 1 puede denegarse o restringirse si tal denegación o restricción constituye una medida necesaria para:

a)

permitir a Europol desempeñar adecuadamente sus tareas;

b)

la protección de la seguridad y del orden público o para la prevención de delitos;

c)

garantizar que no se ponga en peligro una investigación nacional, o

d)

proteger los derechos y libertades de terceros.

Al evaluar la aplicabilidad de una excepción, deberán tenerse en cuenta los derechos fundamentales y los intereses del interesado.

7. Europol deberá informar al interesado por escrito de toda denegación o restricción del acceso, de los motivos de esa decisión y de su derecho a presentar una queja ante el SEPD. Cuando la comunicación de dicha información dejara sin efecto el apartado 6, Europol solo notificará al interesado que ha efectuado las verificaciones sin darle indicaciones que puedan revelarle si Europol está tratando o no datos sobre su persona.

Artículo 37

Derecho de rectificación, cancelación y restricción

1. Cualquier interesado que haya accedido a datos personales que lo afecten tratados por Europol con arreglo al artículo 36 tendrá derecho a pedir a Europol, a través de la autoridad designada a tal efecto en el Estado miembro de su elección, que rectifique los datos personales que guarden relación con él en poder de Europol en caso de que sean incorrectos y que los complete o actualice. Dicha autoridad remitirá la petición a Europol sin demora, y en cualquier caso en el plazo de un mes desde su recepción.

2. Cualquier interesado que haya accedido a datos personales que lo afecten tratados por Europol con arreglo al artículo 36 tendrá derecho a pedir a Europol, a través de la autoridad designada a tal efecto en el Estado miembro de su elección, que cancele los datos personales que guarden relación con él en poder de Europol en caso de que hayan dejado de ser necesarios para los fines para los que fueron recogidos o posteriormente tratados. Dicha autoridad remitirá la petición a Europol sin demora, y en cualquier caso en el plazo de un mes desde su recepción.

3. Europol restringirá, en lugar de cancelar, los datos personales contemplados en el apartado 2, en caso de que hubiera motivos razonables para suponer que la cancelación podría perjudicar intereses legítimos del interesado. Los datos restringidos solo se tratarán para los fines que impidieron su cancelación.

4. Si datos personales a que se refieren los apartados 1, 2 y 3 en poder de Europol le hubieran sido facilitados por países terceros, organizaciones internacionales u organismos de la Unión, hubieran sido facilitados directamente por entidades privadas o extraídos por Europol de fuentes públicas o fueran el resultado de los propios análisis de Europol, esta deberá rectificar, cancelar o restringir dichos datos e informar, en su caso, al proveedor de los datos.

5. Si datos personales a que se refieren los apartados 1, 2 y 3 en poder de Europol hubieran sido facilitados a Europol por Estados miembros, los Estados miembros de que se trate deberán rectificar, cancelar o restringir dichos datos en colaboración con Europol, con arreglo a sus competencias respectivas.

6. Si datos personales incorrectos se hubieran transferido por cualquier otro medio apropiado, o si los errores en los datos facilitados por los Estados miembros se debieran a una transferencia defectuosa, o se hubieran transmitido incumpliendo las disposiciones del presente Reglamento o Europol hubiera introducido, integrado o conservado los datos de manera incorrecta o incumpliendo las disposiciones del presente Reglamento, Europol deberá rectificarlos o cancelarlos en colaboración con el proveedor de los datos afectado.

7. En los casos contemplados en los apartados 4, 5 y 6, se informará inmediatamente a todos los destinatarios de dichos datos. De conformidad con las normas que les sean aplicables, los destinatarios procederán a rectificar, cancelar o restringir tales datos en sus sistemas.

8. Europol informará al interesado por escrito, sin demora indebida, y en cualquier caso en el plazo de tres meses a partir de la recepción de la solicitud, de conformidad con los apartados 1 o 2, de que los datos que le conciernen han sido rectificados, cancelados o restringidos.

9. En el plazo de tres meses a partir de la recepción de la solicitud, de conformidad con los apartados 1 o 2, Europol informará a los interesados, de cualquier denegación de rectificación, cancelación o bloqueo, de los motivos de esa denegación, así como de la posibilidad de presentar una queja ante el SEPD y de interponer un recurso judicial.

Artículo 38

Responsabilidad en materia de protección de datos

1. Europol conservará los datos personales de manera que pueda determinarse su fuente de conformidad con el artículo 17.

2. La responsabilidad por la calidad de los datos personales especificada en el artículo 28, apartado 1, letra d), recaerá en:

a)

el Estado miembro y en el organismo de la Unión que facilitaron los datos personales a Europol;

b)

Europol en lo que respecta a los datos personales facilitados por países terceros u organizaciones internacionales o directamente por entidades privadas, por los datos personales extraídos por Europol de fuentes públicas o que resulten de los propios análisis de Europol y por los datos personales almacenados por Europol de conformidad con el artículo 31, apartado 5.

3. Si Europol tuviera conocimiento de que los datos personales facilitados de conformidad con el artículo 17, apartado 1, letras a) y b), contienen errores de hecho o han sido almacenados ilícitamente, informará de ello al proveedor de dichos datos.

4. Europol será responsable del cumplimiento de los principios a que se refiere el artículo 28, apartado 1, letras a), b), c), e) y f).

5. La responsabilidad por la legalidad de la transferencia de los datos recaerá en:

a)

el Estado miembro que facilitó los datos personales a Europol;

b)

Europol en el caso de los datos personales facilitados por él a los Estados miembros, países terceros u organizaciones internacionales.

6. En caso de transferencia entre Europol y un organismo de la Unión, la responsabilidad por la legalidad de la transferencia recaerá en Europol.

Sin perjuicio del párrafo primero, cuando los datos hubieran sido transferidos por Europol a petición del destinatario, tanto Europol como el destinatario serán responsables de la legalidad de la transferencia.

7. Europol será responsable de todas las operaciones de tratamiento de datos efectuadas por sus servicios, con excepción del intercambio bilateral de datos mediante la infraestructura de Europol entre Estados miembros, organismos de la Unión, países terceros y organizaciones internacionales a las que Europol no tenga acceso. Dicho intercambio bilateral se llevará a cabo bajo la responsabilidad de las entidades interesadas y de conformidad con su legislación. La seguridad de dicho intercambio se garantizará con arreglo al artículo 32.

Artículo 39

Consulta previa

1. Cualquier nuevo tipo de operación de tratamiento que se lleve a cabo estará sujeto a consultas previas cuando:

a)

vayan a tratarse datos de las categorías especiales mencionadas en el artículo 30, apartado 2;

b)

el tipo de tratamiento, en particular cuando se usen tecnologías, mecanismos o procedimientos nuevos, presenten riesgos específicos para los derechos y libertades fundamentales y, en particular, para la protección de los datos personales de los interesados.

2. La consulta previa la llevará a cabo el SEPD tras recibir una notificación del responsable de protección de datos que deberá incluir, como mínimo, una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a estos riesgos, y las garantías y medidas de seguridad y mecanismos destinados a garantizar la protección de los datos personales y a probar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y las demás personas afectadas.

3. El SEPD emitirá su dictamen al Consejo de Administración en el plazo de dos meses a partir de la recepción de la notificación. Dicho plazo podrá suspenderse hasta que el SEPD haya obtenido cualquier otra información que pudiera haber solicitado.

Si no se hubiera emitido el dictamen al cabo de cuatro meses, deberá entenderse que es favorable.

Si, según el dictamen del SEPD, el tratamiento notificado pudiera constituir una violación de cualquiera de las disposiciones del presente Reglamento, deberá, en su caso, formular propuestas para impedir dicha violación. En caso de que Europol no modificara la operación de tratamiento en consecuencia, el SEPD podrá hacer uso de las competencias que le corresponden en virtud del artículo 43, apartado 3.

4. El SEPD llevará un registro de todas las operaciones de tratamiento que se le hayan notificado en virtud del apartado 1. Dicho registro no será público.

Artículo 40

Inscripción y documentación

1. A fin de verificar la licitud del tratamiento de datos, realizar un autocontrol y garantizar la adecuada integridad y seguridad de los datos, Europol deberá llevar anotaciones de la recogida, alteración, acceso, divulgación, combinación o cancelación de datos personales. Estas inscripciones o documentación se suprimirán al cabo de tres años, a menos que los datos que contengan sigan siendo necesarios para un control en curso. No será posible modificar las inscripciones.

2. Las inscripciones o la documentación preparadas en virtud del apartado 1 se comunicarán, si así lo pidiera, al SEPD, al responsable de protección de datos y, si lo requiere una investigación específica, a la unidad nacional afectada. La información así comunicada se utilizará únicamente a efectos del control de la protección de datos y asegurando el adecuado tratamiento de los datos, así como su integridad y seguridad.

Artículo 41

Responsable de protección de datos

1. El Consejo de Administración nombrará un responsable de protección de datos, que será un miembro del personal. El responsable de protección de datos actuará de forma independiente en el ejercicio de sus funciones.

2. El responsable de protección de datos será seleccionado en función de sus cualidades personales y profesionales y, en particular, de sus conocimientos especializados en protección de datos.

Se velará, al seleccionar al responsable de protección de datos, por que no exista un conflicto de intereses que pueda derivarse entre el cumplimiento de sus funciones como tal y cualesquiera otras funciones oficiales, en particular las relativas a la aplicación del presente Reglamento.

3. El responsable de protección de datos será nombrado por un período de cuatro años. Su mandato será renovable hasta un máximo de ocho años. Solo podrá ser destituido de su función de responsable de protección de datos por el Consejo de Administración con el consentimiento del SEPD si dejara de cumplir las condiciones requeridas para el ejercicio de sus funciones.

4. El nombramiento como responsable de protección de datos será notificado al SEPD por el Consejo de Administración.

5. El responsable de protección de datos no aceptará instrucciones con respecto al ejercicio de sus funciones.

6. El responsable de protección de datos tendrá, en particular, las siguientes tareas en relación con los datos personales, con excepción de los datos personales de carácter administrativo:

a)

velar, de manera independiente, por la aplicación interna del presente Reglamento relativas al tratamiento de datos personales;

b)

garantizar la anotación de la transferencia y la recepción de datos personales de conformidad con el presente Reglamento;

c)

garantizar que los interesados son informados, cuando así lo soliciten, de los derechos que les asisten en virtud del presente Reglamento;

d)

cooperar con el personal de Europol responsable de los procedimientos, la formación y el asesoramiento en materia de tratamiento de datos;

e)

cooperar con el SEPD;

f)

elaborar un informe anual y transmitirlo al Consejo de Administración y al SEPD;

g)

llevar un registro de violaciones de datos personales.

7. El responsable de protección de datos ejercerá también las funciones previstas en el Reglamento (CE) n.o 45/2001 en lo que atañe a los datos personales de carácter administrativo.

8. En el desempeño de sus tareas, el responsable de protección de datos tendrá acceso a todos los datos tratados por Europol y a todos sus locales.

9. Si el responsable de protección de datos considerara que no se han cumplido las disposiciones del presente Reglamento relativas al tratamiento de datos personales, informará de ello al director ejecutivo y le pedirá que remedie el incumplimiento en un plazo determinado.

Si el director ejecutivo no remediara el incumplimiento en el plazo fijado, el responsable de protección de datos informará al Consejo de Administración. El responsable de protección de datos y el Consejo de Administración acordarán un plazo específico de respuesta para este último. Si el Consejo de Administración no remediara el incumplimiento en el plazo fijado, el responsable de protección de datos remitirá el asunto al SEPD.

10. El Consejo de Administración adoptará normas de desarrollo referentes al responsable de protección de datos. Dichas normas de desarrollo se referirán, en particular, al procedimiento de selección para el cargo de responsable de protección de datos y su destitución, tareas, funciones y competencias, y a las garantías de su independencia.

11. Europol dotará al responsable de protección de datos del personal y recursos necesarios para el ejercicio de sus funciones. Este personal únicamente tendrá acceso a todos los datos tratados por Europol y a sus locales en la medida en que sea necesario para el desempeño de sus tareas.

12. El responsable de protección de datos y su personal estarán sujetos a la obligación de confidencialidad de conformidad con el artículo 67, apartado 1.

Artículo 42

Vigilancia por parte de la autoridad nacional de control

1. Cada Estado miembro designará una autoridad nacional de control. La autoridad nacional de control estará encargada de vigilar, de manera independiente y con arreglo a su Derecho nacional, la licitud de la transferencia, extracción y eventual comunicación a Europol de datos personales por parte del Estado miembro de que se trate, y de examinar si tales transferencia, extracción o comunicación vulneran los derechos de los interesados en cuestión. A tal efecto, la autoridad nacional de control deberá tener acceso, en la unidad nacional o en los locales de los funcionarios de enlace, a los datos transmitidos por su Estado miembro a Europol de conformidad con los procedimientos nacionales aplicables y a las inscripciones y la documentación mencionadas en el artículo 40.

2. A efectos del ejercicio de esta función de control, las autoridades nacionales de control tendrán acceso a las oficinas y los documentos de sus respectivos funcionarios de enlace en Europol.

3. Las autoridades nacionales de control controlarán, de conformidad con los procedimientos nacionales aplicables, las actividades de las unidades nacionales y de los funcionarios de enlace, en la medida en que dichas actividades sean pertinentes para la protección de los datos personales. Mantendrán asimismo informado al SEPD de las acciones que puedan emprender con respecto a Europol.

4. Cualquier persona tendrá derecho a solicitar a la autoridad nacional de control que verifique la legalidad de la transferencia o la comunicación a Europol de datos que le conciernan, en cualquier forma, y el acceso a los datos por parte del Estado miembro de que se trate. Ese derecho se ejercerá con arreglo a la legislación nacional del Estado miembro en el que se presente la solicitud.

Artículo 43

Vigilancia por parte del SEPD

1. El SEPD se encargará de vigilar y asegurar la aplicación de las disposiciones del presente Reglamento relativas a la protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos personales por Europol, y de asesorar a Europol y a los interesados sobre cualquier cuestión relativa al tratamiento de los datos personales. A tal fin, deberá cumplir los cometidos que le incumben según el apartado 2, y ejercerá las competencias que le son conferidas en virtud del apartado 3 cooperando estrechamente al mismo tiempo con las autoridades nacionales de control de conformidad con el artículo 44.

2. El SEPD tendrá los siguientes cometidos:

a)

atender e investigar las quejas e informar al interesado, en un plazo razonable, del curso dado a las mismas;

b)

efectuar pesquisas por iniciativa propia o a raíz de una queja e informar a los interesados de los resultados en un plazo razonable;

c)

vigilar y garantizar la aplicación del presente Reglamento y de cualquier otro acto de la Unión relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por Europol;

d)

asesorar a Europol, por propia iniciativa o en respuesta a una consulta, sobre todas las cuestiones relacionadas con el tratamiento de los datos personales, en particular antes de la elaboración de normas internas sobre la protección de los derechos y libertades fundamentales en relación con el tratamiento de los datos personales;

e)

llevar un registro de los nuevos tipos de operaciones de tratamiento que se le hayan notificado en virtud del artículo 39, apartado 1, y que hayan sido registradas de conformidad con el artículo 39, apartado 4;

f)

efectuar una consulta previa sobre los tratamientos que se le hayan notificado.

3. El SEPD podrá, en virtud del presente Reglamento:

a)

asesorar a los interesados en el ejercicio de sus derechos;

b)

remitir el asunto a Europol en caso de presunta violación de las disposiciones que rigen el tratamiento de datos personales y, en su caso, formular propuestas encaminadas a subsanar esa violación y mejorar la protección de los interesados;

c)

ordenar que se atiendan las solicitudes para ejercer determinados derechos en relación con los datos cuando se hayan denegado tales solicitudes en violación de lo dispuesto en los artículos 36 y 37;

d)

dirigir una advertencia o una amonestación a Europol;

e)

ordenar a Europol que efectúe la rectificación, restricción, cancelación o destrucción de datos personales que hayan sido tratados en violación de las disposiciones que rigen el tratamiento de datos personales y notificar de dichas medidas a los terceros a quienes se hayan divulgado dichos datos;

f)

prohibir temporal o definitivamente las operaciones de tratamiento por parte de Europol que violen las disposiciones que rigen el tratamiento de datos personales;

g)

remitir el asunto a Europol y, en caso de necesidad, al Parlamento Europeo, al Consejo y a la Comisión;

h)

remitir el asunto al Tribunal de Justicia de la Unión Europea en las condiciones previstas en el TFUE;

i)

intervenir en los procesos ante el Tribunal de Justicia de la Unión Europea.

4. El SEPD será competente para:

a)

obtener de Europol acceso a todos los datos personales y a toda la información necesaria para sus pesquisas;

b)

obtener acceso a todos los locales en los que Europol lleva a cabo sus actividades, cuando hubiera motivos razonables para suponer que en ellos se lleva a cabo una actividad cubierta por el presente Reglamento.

5. El SEPD elaborará un informe anual sobre las actividades de supervisión que tengan por objeto Europol tras consultar a las autoridades nacionales de control. Este informe formará parte del informe anual del SEPD contemplado en el artículo 48 del Reglamento (CE) n.o 45/2001.

Este informe incluirá información estadística sobre quejas, pesquisas e investigaciones realizadas con arreglo al apartado 2, así como transferencias de datos personales a países terceros y organizaciones internacionales, casos de consulta previa, y uso de las competencias establecidas en el apartado 3.

6. El SEPD, sus funcionarios y el resto del personal de la Secretaría del SEPD estarán sujetos a la obligación de confidencialidad de conformidad con el artículo 67, apartado 1.

Artículo 44

Cooperación entre el SEPD y las autoridades nacionales de control

1. El SEPD actuará en estrecha cooperación con las autoridades nacionales de control en cuestiones que requieran una intervención nacional, en particular si el SEPD o una autoridad nacional de control detectan discrepancias importantes entre las prácticas de los Estados miembros o transferencias potencialmente ilícitas en la utilización de los canales de Europol para el intercambio de información, o en el contexto de cuestiones planteadas por una o varias autoridades nacionales de control sobre la aplicación y la interpretación del presente Reglamento.

2. El SEPD recurrirá a los conocimientos y la experiencia de las autoridades nacionales de control para el desempeño de las funciones contempladas en el artículo 43, apartado 2. Teniendo debidamente en cuenta el principio de subsidiariedad y proporcionalidad, cuando realicen inspecciones conjuntas con el SEPD, los miembros y el personal de las autoridades nacionales de control tendrán competencias equivalentes a las contempladas en el artículo 43, apartado 4, y estarán vinculados por una obligación equivalente a la dispuesta en el artículo 43, apartado 6. El SEPD y las autoridades nacionales de control, cada uno dentro de su ámbito de competencias, intercambiarán información pertinente y se prestarán asistencia mutua en la realización de auditorías e inspecciones.

3. El SEPD mantendrá plenamente informadas a las autoridades nacionales de control de todas las cuestiones que les afecten directamente o que les conciernen de otra manera. A petición de una o varias autoridades nacionales de control, el SEPD les informará sobre cuestiones específicas.

4. En casos relativos a datos procedentes de uno o más Estados miembros, en particular en los casos mencionados en el artículo 47, apartado 2, el SEPD deberá consultar a las autoridades nacionales de control de que se trate. El SEPD no tomará una decisión sobre la adopción de ulteriores medidas antes de que dichas autoridades nacionales de control le informen de su posición en un plazo por él especificado, que no será inferior a un mes ni superior a tres meses. El SEPD tendrá en cuenta al máximo la posición de las autoridades nacionales de control de que se trate. En los casos en que el SEPD no tenga intención de seguir la posición de dichas autoridades, les informará de ello, aducirá una justificación y presentará el asunto para debate al Consejo de Cooperación creado por el artículo 45, apartado 1.

En los casos que el SEPD considere sumamente urgentes, podrá decidir actuar inmediatamente. En dichos casos, el SEPD informará inmediatamente a las autoridades nacionales de control interesadas y justificará el carácter urgente de la situación, así como las medidas que ha adoptado.

Artículo 45

Consejo de Cooperación

1. Se crea un Consejo de Cooperación con funciones consultivas. El Consejo de Cooperación estará compuesto por un representante de la autoridad de control nacional de cada Estado miembro y por otro del SEPD.

2. El Consejo de Cooperación actuará con total independencia en el ejercicio de las tareas que se le encomienden con arreglo a lo dispuesto en el apartado 3 y no solicitará ni aceptará instrucciones de ningún organismo.

3. El Consejo de Cooperación ejercerá las siguientes tareas:

a)

debatir la política y estrategia generales de la supervisión de la protección de datos de Europol y sobre la licitud de la transferencia, la extracción y cualquier comunicación a Europol de datos personales por parte de los Estados miembros;

b)

examinar las dificultades de interpretación o de aplicación del presente Reglamento;

c)

estudiar los problemas generales que se planteen en el ejercicio de la supervisión independiente o en el ejercicio de los derechos de los interesados;

d)

debatir y elaborar propuestas armonizadas para hallar soluciones comunes a los temas mencionados en el artículo 44, apartado 1;

e)

debatir los casos que se presenten al SEPD de conformidad con el artículo 44, apartado 4;

f)

debatir los casos presentados ante cualquier autoridad de control, y

g)

fomentar el conocimiento de los derechos en materia de protección de datos.

4. El Consejo de Cooperación podrá emitir dictámenes, orientaciones, recomendaciones y mejores prácticas. El SEPD y las autoridades nacionales de control podrán, sin menoscabo de su independencia y actuando cada uno de ellos dentro de su ámbito de competencias, tomarlos en cuenta en la mayor medida posible.

5. El Consejo de Cooperación se reunirá cuando sea necesario y al menos dos veces al año. Los gastos y la organización de sus reuniones correrán a cargo del SEPD.

6. El reglamento interno del Consejo de Cooperación se adoptará en su primera reunión por mayoría simple de sus miembros. Se irán desarrollando conjuntamente nuevos métodos de trabajo en función de las necesidades.

Artículo 46

Datos personales de carácter administrativo

El Reglamento (CE) n.o 45/2001 será aplicable a todos los datos personales de carácter administrativo en poder de Europol.

CAPÍTULO VII

RECURSOS Y RESPONSABILIDAD

Artículo 47

Derecho a presentar una queja ante el SEPD

1. Cualquier interesado que considere que el tratamiento por parte de Europol de datos personales que guarden relación con él no respeta el presente Reglamento tendrá derecho a presentar una queja ante el SEPD.

2. Cuando una queja se refiera a una decisión contemplada en los artículos 36 o 37, el SEPD consultará a las autoridades nacionales de control del Estado miembro del que procedan los datos o del Estado miembro directamente interesado. La decisión del SEPD, que podría consistir en la negativa a comunicar información alguna, tendrá en cuenta el dictamen de la autoridad nacional de control.

3. Cuando una queja se refiera al tratamiento de datos facilitados por un Estado miembro a Europol, el SEPD y la autoridad nacional de control del Estado miembro que haya facilitado los datos se cerciorarán, cada uno en el ámbito de sus respectivas competencias, de que se han efectuado correctamente las comprobaciones necesarias sobre la legalidad del tratamiento de datos.

4. Cuando una queja se refiera al tratamiento de datos facilitados a Europol por organismos de la Unión, países terceros u organizaciones internacionales, o de datos extraídos por Europol de fuentes públicamente disponibles o que resulten de los propios análisis de Europol, el SEPD se cerciorará de que Europol ha efectuado correctamente las comprobaciones necesarias sobre la legalidad del tratamiento de datos.

Artículo 48

Derecho de recurso judicial contra el SEPD

Las decisiones del SEPD podrán recurrirse ante el Tribunal de Justicia de la Unión Europea.

Artículo 49

Disposiciones generales sobre responsabilidad y derecho a una indemnización

1. La responsabilidad contractual de Europol se regirá por el Derecho aplicable al contrato de que se trate.

2. El Tribunal de Justicia de la Unión Europea será competente para pronunciarse en virtud de cualquier cláusula compromisoria en un contrato celebrado por Europol.

3. Sin perjuicio de lo dispuesto en el artículo 49, en el caso de responsabilidad extracontractual, Europol, de conformidad con los principios generales comunes a los Derechos de los Estados miembros, indemnizará los daños causados por sus servicios o por su personal en el ejercicio de sus funciones.

4. El Tribunal de Justicia de la Unión Europea será competente en los litigios respecto a la indemnización por los daños a que se refiere el apartado 3.

5. La responsabilidad individual del personal de Europol ante Europol se regirá por lo dispuesto en el Estatuto de los funcionarios o el régimen aplicable a los otros agentes.

Artículo 50

Responsabilidad por el tratamiento incorrecto de datos personales y derecho a una indemnización

1. Cualquier persona física que haya sufrido un daño como consecuencia de una operación de tratamiento ilícita tendrá derecho a recibir una indemnización por el daño sufrido, bien de Europol de conformidad con el artículo 340 del TFUE, bien del Estado miembro en que se haya producido el hecho que originó el daño de conformidad con su Derecho nacional. El interesado deberá interponer una acción contra Europol ante el Tribunal de Justicia de la Unión Europea o contra el Estado miembro ante un tribunal nacional competente de ese Estado miembro.

2. Cualquier litigio entre Europol y los Estados miembros en relación con la responsabilidad última por la indemnización concedida a una persona de conformidad con el apartado 1 deberá someterse al Consejo de Administración, que se pronunciará por mayoría de dos tercios de sus miembros, sin perjuicio del derecho a impugnar dicha decisión de conformidad con el artículo 263 del TFUE.

CAPÍTULO VIII

CONTROL PARLAMENTARIO CONJUNTO

Artículo 51

Control parlamentario conjunto

1. Con arreglo al artículo 88 del TFUE, el control de las actividades de Europol corresponderá al Parlamento Europeo junto con los parlamentos nacionales. Juntos constituirán un Grupo de Control Parlamentario Conjunto (GCPC) creado conjuntamente por los parlamentos nacionales y la comisión competente del Parlamento Europeo. El Parlamento Europeo y los parlamentos nacionales determinarán conjuntamente la organización y el reglamento interno del GCPC con arreglo al artículo 9 del Protocolo n.o 1.

2. El GCPC efectuará una supervisión política de las actividades de Europol en el cumplimiento de su misión, incluso en relación con las consecuencias de dichas actividades sobre los derechos y las libertades fundamentales de las personas físicas.

A efectos del apartado primero:

a)

el presidente del Consejo de Administración, el director ejecutivo o sus suplentes comparecerán ante el GCPC a petición de este para debatir cuestiones relativas a las actividades a que se refiere el primer párrafo, incluidos los aspectos presupuestarios de dichas actividades, la organización estructural de Europol y la posible creación de unidades y centros especializados nuevos, teniendo en cuenta las obligaciones de discreción y confidencialidad. El GCPC podrá, cuando proceda, decidir invitar a sus reuniones a otras personas pertinentes;

b)

el SEPD comparecerá ante el GCPC a petición de este al menos una vez al año, para debatir sobre cuestiones generales relativas a la protección de los derechos y libertades fundamentales de las personas físicas y, en particular, la protección de los datos personales, con respecto a las actividades de Europol, teniendo en cuenta las obligaciones de discreción y confidencialidad;

c)

se consultará al GCPC en relación con la programación plurianual de Europol con arreglo al artículo 12, apartado 1.

3. Europol transmitirá los siguientes documentos, a efectos informativos, al GCPC, teniendo en cuenta las obligaciones de discreción y confidencialidad:

a)

valoraciones de las amenazas, análisis estratégicos e informes generales de situación relacionados con los objetivos de Europol, así como los resultados de los estudios y evaluaciones encargados por Europol;

b)

los acuerdos administrativos adoptados de conformidad con el artículo 25, apartado 1;

c)

el documento que contenga la programación plurianual y el programa de trabajo anual de Europol mencionados en el artículo 12, apartado 1;

d)

el informe anual de actividades consolidado sobre las actividades de Europol, mencionado en el artículo 11, apartado 1, letra c);

e)

el informe de evaluación elaborado por la Comisión mencionado en el artículo 68, apartado 1.

4. El GCPC podrá pedir otros documentos pertinentes necesarios para el cumplimiento de sus funciones relativas a la supervisión política de las actividades de Europol, con arreglo a lo dispuesto en el Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo (23) y sin perjuicio de los artículos 52 y 67 del presente Reglamento.

5. El GCPC podrá elaborar conclusiones resumidas sobre la supervisión política de las actividades de Europol y presentarlas al Parlamento Europeo y a los parlamentos nacionales. El Parlamento Europeo las remitirá, a efectos informativos, al Consejo, la Comisión y Europol.

Artículo 52

Acceso del Parlamento Europeo a información tratada por Europol o por su mediación

1. A fin de permitirle el ejercicio del control parlamentario de las actividades de Europol de conformidad con el artículo 51, el acceso del Parlamento Europeo, previa solicitud del mismo, a información sensible no clasificada tratada por mediación de Europol o por el propio Europol deberá cumplir las normas a las que se refiere el artículo 67, apartado 1.

2. El acceso del Parlamento Europeo a información clasificada de la UE tratada por Europol o por su mediación deberá respetar el Acuerdo interinstitucional de 12 de marzo de 2014 entre el Parlamento Europeo y el Consejo sobre la transmisión al Parlamento Europeo y la gestión por el mismo de la información clasificada en posesión del Consejo sobre asuntos distintos de los pertenecientes al ámbito de la política exterior y de seguridad común (24) y deberá cumplir las normas a las que se refiere el artículo 67, apartado 2, del presente Reglamento.

3. Los pormenores necesarios relativos al acceso del Parlamento Europeo a la información contemplada en los apartados 1 y 2 se regirán por acuerdos de colaboración celebrados entre Europol y el Parlamento Europeo.

CAPÍTULO IX

PERSONAL

Artículo 53

Disposiciones generales

1. El Estatuto de los funcionarios, el régimen aplicable a los otros agentes y las normas adoptadas de común acuerdo entre las instituciones de la Unión para la aplicación de dicho Estatuto y dicho régimen se aplicarán al personal de Europol, con excepción del personal que el 1 de mayo de 2017 esté sujeto a contratos celebrados por Europol de conformidad con el Convenio Europol sin perjuicio de lo dispuesto en el artículo 73, apartado 4, del presente Reglamento. Dichos contratos seguirán rigiéndose por el Acto del Consejo de 3 de diciembre de 1998.

2. El personal de Europol estará formado por agentes temporales o agentes contractuales. El Consejo de Administración será informado anualmente de los contratos de duración indeterminada celebrados por el director ejecutivo. El Consejo de Administración decidirá cuáles de los puestos temporales previstos en la plantilla de personal podrán dotarse únicamente con personal procedente de las autoridades competentes de los Estados miembros. Estos puestos se dotarán con agentes temporales, con quienes únicamente podrán celebrarse contratos de duración determinada renovables una sola vez por un plazo determinado.

Artículo 54

Director ejecutivo

1. El director ejecutivo será contratado como agente temporal de Europol en virtud del artículo 2, letra a), del régimen aplicable a los otros agentes.

2. El director ejecutivo será nombrado por el Consejo a partir de una lista de candidatos preseleccionados propuesta por el Consejo de Administración, en el marco de un procedimiento de selección abierto y transparente.

Un comité de selección creado por el Consejo de Administración e integrado por miembros designados por los Estados miembros y un representante de la Comisión elaborará la lista de candidatos preseleccionados.

A efectos de la celebración del contrato con el director ejecutivo, Europol estará representada por el presidente del Consejo de Administración.

Antes del nombramiento, podrá invitarse al candidato seleccionado por el Consejo a que comparezca ante la comisión competente del Parlamento Europeo, que a continuación emitirá su dictamen no vinculante.

3. El mandato del director ejecutivo tendrá una duración de cuatro años. Al final de ese período, la Comisión, en asociación con el Consejo de Administración, llevará a cabo:

a)

una valoración teniendo en cuenta una evaluación de la actuación del director ejecutivo, y

b)

las futuras tareas y retos de Europol.

4. El Consejo, a propuesta del Consejo de Administración, que tendrá en cuenta la valoración contemplada en el apartado 3, podrá prorrogar el mandato del director ejecutivo solo una vez y por un período máximo de cuatro años.

5. El Consejo de Administración informará al Parlamento Europeo si tiene la intención de proponer al Consejo que prorrogue el mandato del director ejecutivo. En el mes que precede a dicha prórroga, podrá invitarse al director ejecutivo a que comparezca ante la comisión competente del Parlamento Europeo.

6. Un director ejecutivo cuyo mandato haya sido prorrogado no participará en otro procedimiento de selección para el mismo puesto una vez finalizado el período total del mandato considerado.

7. El director ejecutivo solo podrá ser destituido previa decisión del Consejo a propuesta del Consejo de Administración. Se informará al Parlamento Europeo de esa decisión.

8. El Consejo de Administración adoptará las decisiones respecto de las propuestas que se hagan al Consejo sobre el nombramiento, la prórroga del mandato y la destitución del director ejecutivo por mayoría de dos tercios de sus miembros con derecho a voto.

Artículo 55

Directores ejecutivos adjuntos

1. El director ejecutivo estará asistido por tres directores ejecutivos adjuntos. El director ejecutivo definirá sus tareas.

2. El artículo 54 se aplicará a los directores ejecutivos adjuntos. El director ejecutivo deberá ser consultado con anterioridad a su nombramiento, cualquier ampliación de su mandato o su destitución.

Artículo 56

Expertos nacionales en comisión de servicios

1. Europol podrá recurrir a expertos nacionales en comisión de servicios.

2. El Consejo de Administración adoptará una decisión relativa al establecimiento de normas sobre la comisión de servicios de expertos nacionales en Europol.

CAPÍTULO X

DISPOSICIONES FINANCIERAS

Artículo 57

Presupuesto

1. En cada ejercicio presupuestario, que coincidirá con el año civil, se elaborarán previsiones de todos los ingresos y gastos de Europol que se consignarán en el presupuesto de Europol.

2. El presupuesto de Europol deberá estar equilibrado en cuanto a ingresos y gastos.

3. Sin perjuicio de otros recursos, los ingresos de Europol incluirán una contribución de la Unión consignada en el presupuesto general de la Unión.

4. Europol podrá beneficiarse de financiación de la Unión en forma de convenios de delegación o subvenciones ad hoc de conformidad con sus normas financieras a que se refiere el artículo 61 y las disposiciones de los instrumentos pertinentes de apoyo a las políticas de la Unión.

5. Los gastos de Europol incluirán los gastos de retribución del personal, los gastos administrativos y de infraestructura, y los gastos operativos.

6. Los compromisos presupuestarios para acciones relacionadas con proyectos a gran escala que sobrepasen un ejercicio presupuestario podrán desglosarse en tramos anuales.

Artículo 58

Establecimiento del presupuesto

1. Cada año, el director ejecutivo elaborará un proyecto de estado de previsiones de ingresos y gastos de Europol para el ejercicio presupuestario siguiente, que incluirá la plantilla de personal, y lo remitirá al Consejo de Administración.

2. Sobre la base de ese proyecto de estado de previsiones, el Consejo de Administración adoptará un proyecto provisional de previsiones de ingresos y gastos de Europol para el ejercicio presupuestario siguiente y lo enviará a la Comisión a más tardar el 31 de enero de cada año.

3. El Consejo de Administración remitirá el proyecto definitivo de previsiones de ingresos y gastos de Europol, que incluirá un proyecto de plantilla de personal, al Parlamento Europeo, al Consejo y a la Comisión, a más tardar el 31 de marzo de cada año.

4. La Comisión remitirá el estado de previsiones al Parlamento Europeo y al Consejo junto con el proyecto de presupuesto general de la Unión.

5. Sobre la base del estado de previsiones, la Comisión inscribirá en el proyecto de presupuesto general de la Unión las previsiones que considere necesarias en lo que respecta a la plantilla de personal y el importe de la contribución que se imputará al presupuesto general, que presentará al Parlamento Europeo y al Consejo de conformidad con los artículos 313 y 314 del TFUE.

6. El Parlamento Europeo y el Consejo autorizarán los créditos de la contribución destinada a Europol.

7. El Parlamento Europeo y el Consejo aprobarán la plantilla de personal de Europol.

8. El presupuesto de Europol será adoptado por el Consejo de Administración. Será definitivo tras la adopción definitiva del presupuesto general de la Unión. Si fuese necesario, se adaptará en consecuencia.

9. Para proyectos inmobiliarios que puedan tener repercusiones significativas en el presupuesto de Europol, se aplicará el Reglamento Delegado (UE) n.o 1271/2013.

Artículo 59

Ejecución del presupuesto

1. El director ejecutivo será responsable de la ejecución del presupuesto de Europol.

2. El director ejecutivo remitirá anualmente al Parlamento Europeo y al Consejo toda la información pertinente sobre los resultados de cualquiera de los procedimientos de evaluación.

Artículo 60

Rendición de cuentas y aprobación de la gestión

1. El contable de Europol enviará las cuentas provisionales del ejercicio contable (año N) al contable de la Comisión y al Tribunal de Cuentas antes del 1 de marzo del siguiente ejercicio presupuestario (año N + 1).

2. Europol enviará un informe sobre la gestión presupuestaria y financiera del año N al Parlamento Europeo, al Consejo y al Tribunal de Cuentas a más tardar el 31 de marzo del año N + 1.

3. El contable de la Comisión enviará las cuentas provisionales consolidadas de Europol del año N, junto con las cuentas de la Comisión, al Tribunal de Cuentas, a más tardar el 31 de marzo del año N + 1.

4. Una vez recibidas las observaciones del Tribunal de Cuentas sobre las cuentas provisionales de Europol del año N con arreglo al artículo 148 del Reglamento (UE, Euratom) n.o 966/2012 del Parlamento Europeo y del Consejo (25), el contable de Europol elaborará las cuentas definitivas de Europol de ese año. El director ejecutivo las presentará al Consejo de Administración para que este emita dictamen al respecto.

5. El Consejo de Administración emitirá un dictamen sobre las cuentas definitivas de Europol del año N.

6. El contable de Europol enviará, a más tardar el 1 de julio del año N + 1, las cuentas definitivas del año N al Parlamento Europeo, al Consejo, a la Comisión, al Tribunal de Cuentas y a los parlamentos nacionales, junto con el dictamen del Consejo de Administración a que se refiere el apartado 5.

7. Las cuentas definitivas del año N se publicarán en el Diario Oficial de la Unión Europea a más tardar el 15 de noviembre del año N + 1.

8. El director ejecutivo enviará al Tribunal de Cuentas una respuesta a las observaciones formuladas en su informe anual a más tardar el 30 de septiembre del año N + 1. Enviará asimismo la respuesta al Consejo de Administración.

9. El director ejecutivo presentará al Parlamento Europeo, a petición de este, toda la información necesaria para el correcto desarrollo del procedimiento de aprobación de la ejecución del presupuesto del ejercicio presupuestario del año N, como dispone el artículo 109, apartado 3, del Reglamento Delegado (UE) n.o 1271/2013.

10. El Parlamento Europeo, previa recomendación del Consejo por mayoría cualificada, aprobará, antes del 15 de mayo del ejercicio N + 2, la gestión del director ejecutivo con respecto a la ejecución del presupuesto del ejercicio presupuestario del año N.

Artículo 61

Normas financieras

1. El Consejo de Administración aprobará las normas financieras aplicables a Europol, previa consulta a la Comisión. Estas normas no se apartarán del Reglamento Delegado (UE) n.o 1271/2013 salvo que sea específicamente necesario para el funcionamiento de Europol y previo acuerdo de la Comisión.

2. Europol podrá conceder subvenciones relacionadas con el cumplimiento de las tareas a que se refiere el artículo 4.

3. Europol podrá conceder subvenciones sin necesidad de ninguna convocatoria de propuestas a los Estados miembros para realizar sus operaciones e investigaciones transfronterizas y para facilitar formación relativas a las tareas a que se refiere el artículo 4, apartado 1, letras h) e i).

4. En lo que se refiere al apoyo presupuestario a las actividades de los equipos conjuntos de investigación, Europol y Eurojust establecerán conjuntamente las normas y condiciones de tramitación de las solicitudes.

CAPÍTULO XI

DISPOSICIONES VARIAS

Artículo 62

Estatuto jurídico

1. Europol será una agencia de la Unión. Tendrá personalidad jurídica.

2. En cada uno de los Estados miembros, Europol gozará de la más amplia capacidad jurídica reconocida a las personas jurídicas por el Derecho nacional. En concreto, podrá adquirir y enajenar bienes muebles e inmuebles y ser parte en procesos judiciales.

3. De conformidad con el Protocolo n.o 6 sobre la fijación de las sedes de las instituciones y de determinados órganos, organismos y servicios de la Unión Europea, anejo al TUE y al TFUE («Protocolo n.o 6»), Europol tendrá su sede en La Haya.

Artículo 63

Privilegios e inmunidades

1. Será aplicable a Europol y a su personal el Protocolo n.o 7 sobre los privilegios y las inmunidades de la Unión Europea anejo al TUE y al TFUE.

2. Los privilegios e inmunidades de los funcionarios de enlace y de los miembros de sus familias estarán sujetos a un acuerdo entre el Reino de los Países Bajos y los demás Estados miembros. Dicho acuerdo deberá prever los privilegios e inmunidades que sean necesarios para el buen desempeño de las tareas de los funcionarios de enlace.

Artículo 64

Régimen lingüístico

1. Se aplicarán a Europol las disposiciones establecidas en el Reglamento n.o 1 (26).

2. El Consejo de Administración decidirá por mayoría de dos tercios de sus miembros el régimen lingüístico interno de Europol.

3. El Centro de Traducción de los Órganos de la Unión Europea prestará los servicios de traducción necesarios para el funcionamiento de Europol.

Artículo 65

Transparencia

1. El Reglamento (CE) n.o 1049/2001 se aplicará a los documentos que obren en poder de Europol.

2. A más tardar el 14 de diciembre de 2016, el Consejo de Administración adoptará las normas de aplicación del Reglamento (CE) n.o 1049/2001 con respecto a los documentos de Europol.

3. Las decisiones adoptadas por Europol en virtud del artículo 8 del Reglamento (CE) n.o 1049/2001 podrán dar lugar a la presentación de una queja al Defensor del Pueblo Europeo o a la interposición de un recurso ante el Tribunal de Justicia de la Unión Europea de conformidad con, respectivamente, los artículos 228 y 263 del TFUE.

4. Europol publicará en su página web la lista de los miembros del Consejo de Administración y los resúmenes de los resultados de las reuniones del Consejo de Administración. La publicación de esos resúmenes se omitirá o restringirá de forma temporal o permanente si pudiera poner en peligro el desempeño de las tareas de Europol, teniendo en cuenta sus obligaciones de discreción y confidencialidad y la naturaleza operativa de Europol.

Artículo 66

Lucha contra el fraude

1. Con el fin de facilitar la lucha contra el fraude, la corrupción y otras actividades ilegales en virtud del Reglamento (UE, Euratom) n.o 883/2013, Europol se adherirá, a más tardar el 30 de octubre de 2017, al Acuerdo Interinstitucional de 25 de mayo de 1999 entre el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión de las Comunidades Europeas, relativo a las investigaciones internas efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) (27) y adoptará las disposiciones oportunas aplicables a todos los empleados de Europol utilizando el modelo que figura en el anexo de dicho Acuerdo.

2. El Tribunal de Cuentas Europeo estará facultado para auditar, sobre la base de documentos y sobre el terreno, a todos los beneficiarios de subvenciones, contratistas y subcontratistas que hayan recibido de Europol fondos de la Unión.

3. La OLAF podrá realizar investigaciones, incluidos controles e inspecciones sobre el terreno, con vistas a establecer si ha habido fraude, corrupción o cualquier otra actividad ilícita que afecte a los intereses financieros de la Unión en relación con una subvención o un contrato otorgados por Europol. Dichas investigaciones se llevarán a cabo de conformidad con las disposiciones y procedimientos establecidos en el Reglamento (UE, Euratom) n.o 883/2013 y en el Reglamento (Euratom, CE) n.o 2185/96 del Consejo (28).

4. Sin perjuicio de lo dispuesto en los apartados 1, 2 y 3, los acuerdos de colaboración con órganos de la Unión, autoridades de países terceros, organizaciones internacionales y entidades privadas, contratos, convenios de subvención y decisiones de subvención de Europol incluirán disposiciones por las que se faculte expresamente al Tribunal de Cuentas y a la OLAF para llevar a cabo las auditorías e investigaciones a que se refieren los apartados 2 y 3, de conformidad con sus respectivas competencias.

Artículo 67

Normas en materia de protección de la información sensible no clasificada y clasificada

1. Europol establecerá normas sobre las obligaciones de discreción y confidencialidad y sobre la protección de la información sensible no clasificada.

2. Europol establecerá normas sobre la protección de la información clasificada de la UE que deberán ser compatibles con la Decisión 2013/488/UE, a fin de garantizar un nivel equivalente de protección de dicha información.

Artículo 68

Evaluación y reexamen

1. A más tardar el 1 de mayo de 2022, y posteriormente cada cinco años, la Comisión velará por que se lleve a cabo una evaluación para valorar, en particular, el impacto, la eficacia y la eficiencia de Europol y sus prácticas de trabajo. La evaluación podrá abordar, en particular, la necesidad de modificar la estructura, el funcionamiento, el ámbito de actuación y las tareas de Europol y las repercusiones financieras de cualquier modificación de este tipo.

2. La Comisión someterá el informe de evaluación al Consejo de Administración. El Consejo de Administración aportará sus observaciones sobre el informe de evaluación en un plazo de tres meses desde la fecha de recepción. La Comisión remitirá el informe final de evaluación junto con sus conclusiones, así como las observaciones del Consejo de Administración en un anexo, al Parlamento Europeo, al Consejo, a los parlamentos nacionales y al Consejo de Administración. Cuando proceda, los resultados principales del informe de evaluación se harán públicos.

Artículo 69

Investigaciones administrativas

Las actividades de Europol estarán sujetas a investigaciones del Defensor del Pueblo Europeo de conformidad con el artículo 228 del TFUE.

Artículo 70

Sede

Las disposiciones necesarias relativas a la localización de Europol en el Reino de los Países Bajos y las instalaciones que debe poner a disposición el Reino de los Países Bajos, así como las normas específicas allí aplicables al director ejecutivo, a los miembros del Consejo de Administración, al personal de Europol y a los miembros de sus familias se fijarán en un acuerdo de sede concluido entre Europol y el Reino de los Países Bajos de conformidad con el Protocolo n.o 6.

CAPÍTULO XII

DISPOSICIONES TRANSITORIAS

Artículo 71

Sucesión legal

1. La Europol creada por el presente Reglamento será la sucesora legal de todos los contratos celebrados, los pasivos contraídos y los bienes adquiridos por la Europol creada por la Decisión 2009/371/JAI.

2. El presente Reglamento no afecta a la validez jurídica de los acuerdos celebrados por la Europol creada por la Decisión 2009/371/JAI antes del 13 de junio de 2016 o de los acuerdos celebrados por la Europol creada por el Convenio Europol antes del 1 de enero de 2010.

Artículo 72

Disposiciones transitorias relativas al Consejo de Administración

1. La duración del mandato de los miembros del Consejo de Administración, establecido sobre la base del artículo 37 de la Decisión 2009/371/JAI del Consejo, finalizará el 1 de mayo de 2017.

2. En el período comprendido entre el 13 de junio de 2016 y el 1 de mayo de 2017, el Consejo de Administración establecido sobre la base del artículo 37 de la Decisión 2009/371/JAI:

a)

ejercerá las funciones del Consejo de Administración de conformidad con el artículo 11 del presente Reglamento;

b)

preparará la adopción de las normas relativas a la aplicación del Reglamento (CE) n.o 1049/2001 con respecto a los documentos de Europol a que se refiere el artículo 65, apartado 2, del presente Reglamento, y de las normas a que se refiere el artículo 67 del presente Reglamento;

c)

preparará los instrumentos necesarios para la aplicación del presente Reglamento, en particular, las medidas relacionadas con el capítulo IV, y

d)

reexaminará las normas y medidas internas adoptadas sobre la base de la Decisión 2009/371/JAI, de modo que el Consejo de Administración establecido con arreglo al artículo 10 del presente Reglamento pueda adoptar una decisión con arreglo al artículo 76 del presente Reglamento.

3. La Comisión tomará sin demora a partir del 13 de junio de 2016 las medidas necesarias para garantizar que el Consejo de Administración establecido en virtud del artículo 10 pueda comenzar sus trabajos el 1 de mayo de 2017.

4. A más tardar el 14 de diciembre de 2016, los Estados miembros notificarán a la Comisión los nombres de las personas que hayan nombrado como miembro y miembro suplente del Consejo de Administración, de conformidad con el artículo 10.

5. El Consejo de Administración establecido con arreglo al artículo 10 celebrará su primera reunión el 1 de mayo de 2017. Con tal ocasión adoptarán, en caso de necesidad, decisiones conforme a lo dispuesto en el artículo 76.

Artículo 73

Disposiciones transitorias relativas al director ejecutivo, a los directores adjuntos y al personal

1. El director de Europol nombrado sobre la base del artículo 38 de la Decisión 2009/371/JAI asumirá, durante el tiempo restante de su mandato, las funciones de director ejecutivo con arreglo a lo dispuesto en el artículo 16 del presente Reglamento. Las demás condiciones de su contrato se mantendrán inalteradas. Si su mandato expirara entre el 13 de junio de 2016 y el 1 de mayo de 2017, se prorrogará automáticamente hasta el 1 de mayo de 2018.

2. En caso de que el director nombrado conforme a lo dispuesto en el artículo 38 de la Decisión 2009/371/JAI no pueda o no quiera actuar de conformidad con el apartado 1 del presente artículo, el Consejo de Administración designará un director ejecutivo interino para ejercer las funciones de director ejecutivo por un período máximo de dieciocho meses, a la espera del nombramiento previsto en el artículo 54, apartado 2, del presente Reglamento.

3. Los apartados 1 y 2 del presente artículo se aplicarán a los directores adjuntos nombrados en virtud del artículo 38 de la Decisión 2009/371/JAI.

4. Conforme al régimen aplicable a otros agentes, la autoridad a que se refiere el párrafo primero del artículo 6 del mismo ofrecerá un contrato de agente temporal o contractual de duración indeterminada a toda persona que a 1 de mayo de 2017 esté contratada con un contrato de duración indeterminada como agente local celebrado por la Europol creada por el Convenio Europol. La oferta de empleo se basará en las funciones que haya de desempeñar el agente temporal o contractual. El contrato surtirá efecto a más tardar el 1 de mayo de 2018. Todo agente que no acepte la oferta contemplada en el presente apartado podrá mantener su relación contractual con Europol de conformidad con el artículo 53, apartado 1.

Artículo 74

Disposiciones presupuestarias transitorias

El procedimiento para la aprobación de la gestión de los presupuestos, aprobado con arreglo al artículo 42 de la Decisión 2009/371/JAI, se llevará a cabo de conformidad con las normas establecidas por su artículo 43.

CAPÍTULO XIII

DISPOSICIONES FINALES

Artículo 75

Sustitución y derogación

1. Las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI, y 2009/968/JAI son sustituidas en lo que respecta a los Estados miembros obligados por el presente Reglamento con efecto a partir del 1 de mayo de 2017.

Por tanto, se derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI, y 2009/968/JAI, con efecto a partir del 1 de mayo de 2017.

2. En lo que respecta a los Estados miembros obligados por el presente Reglamento, las referencias a las Decisiones a que se refiere el apartado 1 se entenderán hechas al presente Reglamento.

Artículo 76

Mantenimiento de la vigencia de las normas internas adoptadas por el Consejo de Administración

Las normas internas y las medidas adoptadas por el Consejo de Administración sobre la base de la Decisión 2009/371/JAI permanecerán en vigor después del 1 de mayo de 2017, salvo decisión en contrario del Consejo de Administración en aplicación del presente Reglamento.

Artículo 77

Entrada en vigor y aplicación

1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2. Será aplicable a partir del 1 de mayo de 2017.

No obstante, los artículos 71, 72 y 73 se aplicarán a partir del 13 de junio de 2016.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con los Tratados.

Hecho en Estrasburgo, el 11 de mayo de 2016.

Por el Parlamento Europeo

El Presidente

M. SCHULZ

Por el Consejo

La Presidenta

J.A. HENNIS-PLASSCHAERT

______________

(1) Posición del Parlamento Europeo de 25 de febrero de 2014 (no publicada aún en el Diario Oficial) y Posición del Consejo en primera lectura de 10 de marzo de 2016 (no publicada aún en el Diario Oficial). Posición del Parlamento Europeo de 11 de mayo de 2016 (no publicada aún en el Diario Oficial).

(2) Decisión 2009/371/JAI del Consejo, de 6 de abril de 2009, por la que se crea la Oficina Europea de Policía (Europol) (DO L 121 de 15.5.2009, p. 37).

(3) DO C 316 de 27.11.1995, p. 1.

(4) DO C 115 de 4.5.2010, p. 1.

(5) Decisión 2009/934/JAI del Consejo, de 30 de noviembre de 2009, por la que se adoptan las normas de desarrollo que rigen las relaciones de Europol con los socios, incluido el intercambio de datos personales y de información clasificada (DO L 325 de 11.12.2009, p. 6).

(6) Decisión 2009/935/JAI del Consejo, de 30 de noviembre de 2009, por la que se determina la lista de terceros Estados y organizaciones con los que Europol celebrará acuerdos (DO L 325 de 11.12.2009, p. 12).

(7) Decisión 2009/936/JAI del Consejo, de 30 de noviembre de 2009, por la que se adoptan las normas de desarrollo aplicables a los ficheros de trabajo de análisis de Europol (DO L 325 de 11.12.2009, p. 14).

(8) Decisión 2009/968/JAI del Consejo, de 30 de noviembre de 2009, por la que se adoptan las normas sobre confidencialidad de la información de Europol (DO L 332 de 17.12.2009, p. 17).

(9) Reglamento (UE) n.o 1053/2013 del Consejo, de 7 de octubre de 2013, por el que se establece un mecanismo de evaluación y seguimiento para verificar la aplicación del acervo de Schengen, y se deroga la Decisión del Comité Ejecutivo de 16 de septiembre de 1998 relativa a la creación de una Comisión permanente de evaluación y aplicación de Schengen (DO L 295 de 6.11.2013, p. 27).

(10) Reglamento (Euratom, CECA, CEE) n.o 549/69 del Consejo, de 25 de marzo de 1969, que determina las categorías de los funcionarios y agentes de las Comunidades Europeas a las que se aplicarán las disposiciones del artículo 12, del párrafo segundo del artículo 13 y del artículo 14 del Protocolo sobre los privilegios y las inmunidades de las Comunidades (DO L 74 de 27.3.1969, p. 1).

(11) Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

(12) Directiva (UE) 2016/680 del Parlamento Europeo y de del Consejo, de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(13) Recomendación n.o R(87) 15 del Comité de Ministros del Consejo de Europa a los Estados miembros por la que se regula el uso de datos personales en el ámbito policial, 17.9.1987.

(14) DO L 56 de 4.3.1968, p. 1.

(15) Reglamento Delegado (UE) n.o 1271/2013 de la Comisión, de 30 de septiembre de 2013, relativo al Reglamento Financiero marco de los organismos a que se refiere el artículo 208 del Reglamento (UE, Euratom) n.o 966/2012 del Parlamento Europeo y del Consejo (DO L 328 de 7.12.2013, p. 42).

(16) Reglamento Delegado (UE) n.o 1268/2012 de la Comisión, de 29 de octubre de 2012, sobre las normas de desarrollo del Reglamento (UE, Euratom) n.o 966/2012 del Parlamento Europeo y del Consejo, sobre las normas financieras aplicables al presupuesto general de la Unión (DO L 362 de 31.12.2012, p. 1).

(17) Reglamento (UE, Euratom) n.o 883/2013 del Parlamento Europeo y del Consejo, de 11 de septiembre de 2013, relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) y por el que se deroga el Reglamento (CE) n.o 1073/1999 del Parlamento Europeo y del Consejo y el Reglamento (Euratom) n.o 1074/1999 del Consejo (DO L 248 de 18.9.2013, p. 1).

(18) Decisión 2013/488/UE del Consejo, de 23 de septiembre de 2013, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO L 274 de 15.10.2013, p. 1).

(19) Acto del Consejo, de 3 de diciembre de 1998, por el que se adopta el Estatuto del personal de Europol (DO C 26 de 30.1.1999, p. 23).

(20) Decisión 2005/511/JAI del Consejo, de 12 de julio de 2005, relativa a la protección del euro contra la falsificación mediante la designación de Europol como organismo central para la lucha contra la falsificación del euro (DO L 185 de 16.7.2005, p. 35).

(21) Directiva 2005/60/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo (DO L 309 de 25.11.2005, p. 15).

(22) Decisión Marco 2002/584/JAI del Consejo, de 13 de junio de 2002, relativa a la orden de detención europea y a los procedimientos de entrega entre Estados miembros (DO L 190 de 18.7.2002, p. 1).

(23) Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).

(24) DO C 95 de 1.4.2014, p. 1.

(25) Reglamento (UE, Euratom) n.o 966/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre las normas financieras aplicables al presupuesto general de la Unión y por el que se deroga el Reglamento (CE, Euratom) n.o 1605/2002 del Consejo (DO L 298 de 26.10.2012, p. 1).

(26) Reglamento n.o 1 por el que se fija el régimen lingüístico de la Comunidad Económica Europea (DO 17 de 6.10.1958, p. 385/58).

(27) DO L 136 de 31.5.1999, p. 15.

(28) Reglamento (Euratom, CE) n.o 2185/96 del Consejo, de 11 de noviembre de 1996, relativo a los controles y verificaciones in situ que realiza la Comisión para la protección de los intereses financieros de las Comunidades Europeas contra los fraudes e irregularidades (DO L 292 de 15.11.1996, p. 2).

ANEXO I

LISTA DE FORMAS DE DELINCUENCIA A LAS QUE HACE REFERENCIA EL ARTÍCULO 3, APARTADO 1

—

Terrorismo,

—

delincuencia organizada,

—

tráfico de estupefacientes,

—

actividades de blanqueo de capitales,

—

delitos relacionados con materiales nucleares o sustancias radiactivas,

—

tráfico de inmigrantes,

—

trata de seres humanos,

—

delincuencia relacionada con el tráfico de vehículos robados,

—

homicidio voluntario y agresión con lesiones graves,

—

tráfico ilícito de órganos y tejidos humanos,

—

secuestro, retención ilegal y toma de rehenes,

—

racismo y xenofobia,

—

robo y hurto con agravantes,

—

tráfico ilícito de bienes culturales, incluidas las antigüedades y obras de arte,

—

fraude y estafa,

—

delitos contra los intereses financieros de la Unión,

—

operaciones con información privilegiada y manipulación del mercado,

—

chantaje y extorsión,

—

violación de derechos de propiedad industrial y falsificación de mercancías,

—

falsificación de documentos administrativos y tráfico de documentos administrativos falsos,

—

falsificación de moneda, falsificación de medios de pago,

—

delito informático,

—

corrupción,

—

tráfico ilícito de armas, municiones y explosivos,

—

tráfico ilícito de especies animales protegidas,

—

tráfico ilícito de especies y variedades vegetales protegidas,

—

delitos contra el medio ambiente, incluida la contaminación procedente de buques,

—

tráfico ilícito de sustancias hormonales y otros factores de crecimiento,

—

abusos sexuales y explotación sexual, incluido el material sobre abuso de menores y la captación de menores con fines sexuales,

—

genocidio, crímenes de lesa humanidad y crímenes de guerra.

ANEXO II

A. Categorías de datos personales y categorías de interesados cuyos datos pueden ser recogidos y tratados a efectos de la verificación cruzada a que se refiere el artículo 18, apartado 2, letra a)

1.

Los datos personales recogidos y tratados a efectos de verificación cruzada deberán referirse a:

a)

personas que, de conformidad con el Derecho nacional del Estado miembro de que se trate, sean sospechosas de haber cometido o de haber participado en un delito que es competencia de Europol o que hayan sido condenadas por tal delito;

b)

personas respecto de las cuales existan indicios concretos o motivos razonables, de acuerdo con el Derecho nacional del Estado miembro de que se trate, para pensar que cometerán delitos que son competencia de Europol.

2.

Los datos relativos a las personas mencionadas en el punto 1 solo podrán incluir las siguientes categorías de datos personales:

a)

apellido, apellido de soltera, nombre y, en su caso, alias o nombre falso utilizados;

b)

fecha y lugar de nacimiento;

c)

nacionalidad;

d)

sexo;

e)

lugar de residencia, profesión y paradero de la persona de que se trate;

f)

número de la seguridad social, permisos de conducción, documentos de identidad y datos del pasaporte, y

g)

en la medida en que sea necesario, otras características que puedan resultar útiles para su identificación, en particular rasgos físicos específicos, objetivos y permanentes, tales como los datos dactiloscópicos y el perfil de ADN (establecido a partir de la parte no codificante del ADN).

3.

Además de los datos a que se refiere el punto 2, podrán recogerse y tratarse las siguientes categorías de datos personales relativos a las personas contempladas en el punto 1:

a)

delitos, hechos imputados, fecha, lugar y forma de comisión (presuntamente);

b)

medios utilizados o que puedan serlo para cometer los delitos, incluida la información relativa a personas jurídicas;

c)

servicios responsables del expediente y número de referencia de este;

d)

sospecha de pertenencia a una organización delictiva;

e)

condenas, siempre que se refieran a delitos que sean competencia de Europol;

f)

parte que haya introducido los datos.

Dichos datos podrán facilitarse a Europol incluso cuando aún no contengan referencias a personas.

4.

Podrá comunicarse a cualquier unidad nacional o a Europol, si así lo solicitan, información adicional en poder de Europol y de las unidades nacionales con respecto a las personas contempladas en el punto 1. A este respecto, las unidades nacionales deberán atenerse a su Derecho nacional.

5.

Si la causa contra la persona interesada fuera archivada definitivamente o si se dictara resolución absolutoria definitiva en su favor, se suprimirán los datos relativos al asunto en base a los cuales se haya tomado una u otra decisión.

B. Categorías de datos personales y categorías de interesados cuyos datos pueden ser recogidos y tratados a efectos de análisis estratégicos o temáticos, de análisis operativos o de facilitación del intercambio de información, según lo dispuesto en el artículo 18, apartado 2, letras b), c) y d)

1.

Los datos personales recogidos y tratados a efectos de análisis estratégicos o temáticos, de análisis operativos o de facilitación del intercambio de información entre Estados miembros, Europol, otros órganos de la Unión, países terceros y organizaciones internacionales deberán referirse a:

a)

personas que, en virtud del Derecho nacional del Estado miembro de que se trate, sean sospechosas de haber cometido o de haber participado en un delito que es competencia de Europol o que hayan sido condenadas por tal delito;

b)

personas respecto de las cuales existan indicios concretos o motivos razonables, de acuerdo con el Derecho nacional del Estado miembro de que se trate, para pensar que cometerán delitos que son competencia de Europol;

c)

personas que podrían ser citadas como testigos en investigaciones sobre los delitos en cuestión o en futuras causas penales;

d)

personas que hayan sido víctimas de uno de los delitos en cuestión o respecto de las cuales existan motivos para pensar que podrían ser víctimas de tales delitos;

e)

personas de contacto y asociados, y

f)

personas que puedan facilitar información sobre los delitos en cuestión.

2.

Las siguientes categorías de datos personales, incluidos los datos administrativos asociados, podrán ser tratados con respecto a las categorías de personas mencionadas en el punto 1, letras a) y b):

a)

datos personales:

i)

apellidos actuales y anteriores,

ii)

nombres actuales y anteriores,

iii)

apellido de soltera,

iv)

nombre del padre (si fuera necesario para proceder a la identificación),

v)

nombre de la madre (si fuera necesario para proceder a la identificación),

vi)

sexo,

vii)

fecha de nacimiento,

viii)

lugar de nacimiento,

ix)

nacionalidad,

x)

estado civil,

xi)

alias,

xii)

sobrenombre,

xiii)

nombre supuesto o falso,

xiv)

residencia o domicilio actuales y anteriores;

b)

descripción física:

i)

descripción física,

ii)

rasgos distintivos (señales, cicatrices, tatuajes, etc.);

c)

medios de identificación:

i)

documentos de identidad o permiso de conducir,

ii)

número de documento nacional de identidad o de pasaporte,

iii)

número de identificación nacional o de la seguridad social, si procede,

iv)

imágenes visuales y otras informaciones sobre el aspecto físico,

v)

datos de identificación forense, como impresiones dactilares, perfil del ADN (establecido a partir de la parte no codificante del ADN), características de la voz, grupo sanguíneo, información dental, etc.;

d)

profesión y competencias:

i)

empleo y profesión actuales,

ii)

empleo y profesión anteriores,

iii)

nivel de estudios (escolares, universitarios, formación profesional),

iv)

cualificaciones,

v)

competencias y otros conocimientos (lingüísticos u otros);

e)

información económica y financiera:

i)

datos financieros (cuentas y códigos bancarios, tarjetas de crédito, etc.),

ii)

activos disponibles,

iii)

acciones y otros valores,

iv)

datos patrimoniales,

v)

vínculos con sociedades,

vi)

contactos bancarios y crediticios,

vii)

situación fiscal,

viii)

otras informaciones que indiquen cómo gestiona la persona sus finanzas;

f)

datos sobre el comportamiento:

i)

estilo de vida (por ejemplo, si vive por encima de sus posibilidades) y hábitos,

ii)

desplazamientos,

iii)

lugares frecuentados,

iv)

armas y otros instrumentos peligrosos,

v)

nivel de peligrosidad,

vi)

riesgos específicos, como probabilidad de fuga, utilización de agentes dobles, conexiones con personal policial,

vii)

rasgos y perfiles relacionados con la delincuencia,

viii)

consumo de drogas;

g)

personas de contacto y asociados, incluido el tipo y naturaleza del contacto o la asociación;

h)

medios de comunicación utilizados, como teléfono (fijo o móvil), fax, buscapersonas, correo electrónico, direcciones postales, conexiones a internet;

i)

medios de transporte utilizados, como automóviles, embarcaciones, aviones, así como información para identificar estos medios de transporte (números de matrícula);

j)

información relativa a la conducta delictiva:

i)

condenas anteriores,

ii)

presunta implicación en actividades delictivas,

iii)

modi operandi,

iv)

instrumentos efectivos o posibles para preparar o cometer delitos,

v)

pertenencia a grupos u organizaciones delictivas y posición dentro del grupo u organización,

vi)

papel en la organización delictiva,

vii)

ámbito geográfico de las actividades delictivas,

viii)

material recogido durante la investigación, como imágenes fotográficas y de vídeo;

k)

referencias a otros sistemas de información en que haya conservados datos sobre la persona:

i)

Europol,

ii)

servicios de policía o aduanas,

iii)

otros servicios con funciones de policía,

iv)

organizaciones internacionales,

v)

entidades públicas,

vi)

entidades privadas;

l)

información sobre las personas jurídicas relacionadas con los datos contemplados en las letras e) y j):

i)

denominación de la persona jurídica,

ii)

ubicación,

iii)

fecha y lugar de constitución,

iv)

número de registro administrativo,

v)

forma jurídica,

vi)

capital,

vii)

sector de actividad,

viii)

filiales nacionales e internacionales,

ix)

directores,

x)

vínculos con bancos.

3.

Se entiende por «personas de contacto y asociados», a que se refiere el punto 1, letra e), las personas a través de las cuales hay suficientes motivos para pensar que se puede obtener información sobre las personas contempladas en el punto 1, letras a) y b), que sea pertinente para el análisis, siempre que no estén incluidas en una de las categorías de personas mencionadas en el punto 1, letras a), b), c), d) y f). «Personas de contacto» son las personas que tienen contactos esporádicos con las personas contempladas en el punto 1, letras a) y b). «Asociados» son las personas que tienen contactos regulares con las personas a que se refiere el punto 1, letras a) y b).

Por lo que se refiere a las personas de contacto y los asociados, podrán conservarse, en caso necesario, los datos a que se refiere el punto 2, siempre que haya motivos para pensar que tales datos son necesarios para analizar la relación de dichas personas con las personas a que se refiere el punto 1, letras a) y b). En este contexto, deberá observarse lo siguiente:

a)

deberá aclararse con la mayor brevedad tal relación;

b)

deberán suprimirse los datos a que se refiere el punto 2 sin demora si la presunción de que existe tal relación resultara infundada;

c)

podrán conservarse todos los datos a que se refiere el punto 2 si las personas de contacto y los asociados fueran sospechosos de haber cometido un delito comprendido en el ámbito de los objetivos de Europol, hubieran sido condenados por tales delitos o existieran indicios concretos o motivos razonables, en virtud del Derecho nacional del Estado miembro de que se trate, para presumir que van a cometer tales delitos;

d)

los datos a que se refiere el punto 2 sobre personas de contacto y asociados de personas de contactos, así como sobre personas de contacto y asociados de asociados, no podrán conservarse, con la excepción de los datos sobre el tipo y la naturaleza de sus contactos o asociaciones con las personas contempladas en el punto 1, letras a) y b);

e)

si no fuera posible una aclaración con arreglo a los puntos anteriores, este extremo se tendrá en cuenta a la hora de decidir sobre la necesidad y el alcance de la conservación para análisis ulteriores.

4.

Por lo que se refiere a las personas que, según se indica en el punto 1, letra d), hayan sido víctimas de uno de los delitos en cuestión o respecto de las cuales existan, en base a determinados hechos, motivos para pensar que podrían ser víctimas de tales delitos, podrán conservarse los datos contemplados entre el punto 2, letra a), inciso i), y el punto 2, letra c), inciso iii), del presente anexo, así como las siguientes categorías de datos:

a)

datos de identificación de la víctima;

b)

motivo de la victimización;

c)

daños (físicos, financieros, psicológicos, otros);

d)

necesidad o no de garantizar su anonimato;

e)

posibilidad de comparecer ante los tribunales;

f)

información relacionada con delitos facilitada por o a través de las personas contempladas en el punto 1, letra d), incluida, en su caso, la información sobre sus relaciones con otras personas para identificar a las personas contempladas en el punto 1, letras a) y b).

Podrán conservarse, en su caso, otros datos a que se refiere el punto 2, siempre que haya motivos para presumir que son necesarios para analizar la condición de víctima o de posible víctima de una persona.

Se suprimirán los datos que no sean necesarios para análisis ulteriores.

5.

Por lo que se refiere a las personas que, según se indica en el punto 1, letra c), pudieran ser citadas a testificar en investigaciones sobre los delitos en cuestión o en una futura causa penal, podrán conservarse los datos contemplados entre el punto 2, letra a), y el punto 2, letra c), inciso iii), así como las categorías de datos que cumplan los siguientes criterios:

a)

información relacionada con delitos facilitada por tales personas, incluida la información sobre sus relaciones con otras personas incluidas en el fichero de análisis;

b)

necesidad o no de garantizar su anonimato;

c)

necesidad o no de garantizar su protección y quién debe encargarse de ello;

d)

nueva identidad;

e)

posibilidad de comparecer ante los tribunales.

Podrán conservarse, en su caso, otros datos a que se refiere el punto 2, siempre que haya motivos para presumir que son necesarios para analizar el papel de dichas personas como testigos.

Se suprimirán los datos que no sean necesarios para análisis ulteriores.

6.

Por lo que se refiere a las personas que, según se indica en el punto 1, letra f), pudieran facilitar información sobre los delitos en cuestión, podrán conservarse los datos contemplados entre el punto 2, letra a), y el punto 2, letra c), inciso iii), así como las categorías de datos que cumplan los siguientes criterios:

a)

detalles personales codificados;

b)

tipo de información facilitada;

c)

necesidad o no de garantizar su anonimato;

d)

necesidad o no de garantizar su protección y quién debe encargarse de ello;

e)

nueva identidad;

f)

posibilidad de comparecer ante los tribunales;

g)

experiencias negativas;

h)

recompensas (financieras/favores).

Podrán conservarse, en su caso, otros datos a que se refiere el punto 2, siempre que haya motivos para presumir que son necesarios para analizar el papel de dichas personas como informantes.

Se suprimirán los datos que no sean necesarios para análisis ulteriores.

7.

Si, en cualquier momento durante el transcurso de un análisis resultara evidente, sobre la base de indicios claros y concluyentes, que debe clasificarse a una persona en una categoría de personas, definida en el presente anexo, diferente de la categoría en la cual fue clasificada inicialmente, Europol solo podrá tratar los datos de dicha persona cuyo tratamiento esté autorizado en función de su clasificación en esta nueva categoría, debiendo suprimirse todos los demás datos.

Si de tales indicios se desprendiera claramente que dicha persona debería clasificarse en dos o más categorías diferentes, definidas en el presente anexo, Europol podrá tratar todos los datos autorizados en estas categorías.