VISTO el Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, sobre la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust) y por el que se sustituye y deroga la Decisión 2002/187/JAI del Consejo (1) (en lo sucesivo, «Reglamento Eurojust»), aplicado de conformidad con el Tratado de la Unión Europea y el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 47, su artículo 52, apartado 1, y su artículo 56, apartado 2,
VISTO, en particular, el artículo 56, apartado 2, letra c), del Reglamento Eurojust, que establece los principios generales para la transferencia de datos personales de Eurojust a terceros países y a organizaciones internacionales, en virtud del cual Eurojust puede transferir datos personales a un tercer país sobre la base de un acuerdo internacional celebrado entre la Unión y ese tercer país en virtud del artículo 218 del Tratado de Funcionamiento de la Unión Europea,
CONSIDERANDO los intereses tanto de Eurojust como de Armenia en desarrollar una cooperación judicial estrecha y dinámica en materia penal para hacer frente a los problemas que plantea la delincuencia grave, en particular la delincuencia organizada y el terrorismo, al tiempo que se disponen garantías adecuadas con respecto a los derechos y libertades fundamentales de las personas, incluido el derecho a la vida privada y a la protección de los datos personales,
CONVENCIDAS de que la cooperación judicial entre Eurojust y Armenia será mutuamente beneficiosa y contribuirá al desarrollo del espacio de libertad, seguridad y justicia de la Unión,
CONSIDERANDO que Armenia ha ratificado el Convenio del Consejo de Europa (STCE, n.o 108) para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981, y su Protocolo modificativo (STCE, n.o 223), hecho en Estrasburgo el 10 de octubre de 2018, que desempeñan un papel fundamental en el sistema de protección de datos de Eurojust,
CONSIDERANDO el elevado nivel de protección de los datos personales en la Unión y en Armenia,
RESPETANDO el Convenio del Consejo de Europa (SCTE, n.o 5) para la protección de los derechos humanos y de las libertades fundamentales, hecho en Roma el 4 de noviembre de 1950, que se refleja en la Carta de los Derechos Fundamentales de la Unión Europea,
HAN CONVENIDO LO SIGUIENTE:
Objetivos
1. El objetivo general del presente Acuerdo es reforzar la cooperación judicial entre Eurojust y las autoridades competentes de Armenia en la lucha contra la delincuencia grave.
2. El presente Acuerdo permite la transferencia de datos personales entre Eurojust y las autoridades competentes de Armenia con el fin de apoyar y reforzar la actuación de las autoridades competentes de los Estados miembros de la Unión y las de Armenia, así como su cooperación en la investigación y enjuiciamiento de la delincuencia grave, en particular la delincuencia organizada y el terrorismo, al tiempo que se disponen garantías adecuadas con respecto a los derechos y libertades fundamentales de las personas, incluido el derecho a la vida privada y a la protección de los datos personales.
Ámbito de aplicación
Las Partes garantizarán que Eurojust y las autoridades competentes de Armenia cooperen en los ámbitos de actividad de Eurojust y dentro de las competencias y funciones de esta, tal como se establecen en el Reglamento Eurojust, aplicado de conformidad con el Tratado de la Unión Europea y el Tratado de Funcionamiento de la Unión Europea, y en el presente Acuerdo.
Definiciones
A los efectos del presente Acuerdo, se entenderá por:
1) |
«Eurojust»: la Agencia de la Unión Europea para la Cooperación Judicial Penal, creada en virtud del Reglamento Eurojust, incluidas sus eventuales modificaciones posteriores; |
2) |
«Estados miembros»: los Estados miembros de la Unión; |
3) |
«autoridad competente»: en el caso de la Unión, Eurojust, y, en el caso de Armenia, las autoridades nacionales con competencias derivadas del Derecho nacional relativas a la investigación y el enjuiciamiento de las infracciones penales, incluida la puesta en práctica de instrumentos de cooperación judicial en materia penal, enumeradas en el anexo II del presente Acuerdo; |
4) |
«organismos de la Unión»: las instituciones, órganos y organismos establecidos por el Tratado de la Unión Europea y el Tratado de Funcionamiento de la Unión Europea o sobre la base de ellos, así como las misiones y operaciones creadas en virtud de la política común de seguridad y defensa, enumerados en al anexo III del presente Acuerdo; |
5) |
«delincuencia grave»: las formas de delincuencia respecto de las que Eurojust tiene competencia, en particular las enumeradas en el anexo I del presente Acuerdo, incluidas las infracciones penales conexas; |
6) |
«infracciones penales conexas»: las infracciones penales cometidas con objeto de proporcionar los medios para cometer delitos graves, las infracciones penales cometidas con objeto de facilitar la comisión o cometer tales delitos graves y las infracciones penales cometidas a fin de conseguir la impunidad de tales delitos graves; |
7) |
«asistente»: una persona que pueda prestar asistencia al miembro nacional, en el sentido del capítulo II, sección II, del Reglamento Eurojust, y a su adjunto, o al fiscal de enlace, en el sentido del Reglamento Eurojust y del artículo 5 del presente Acuerdo, respectivamente; |
8) |
«fiscal de enlace»: una persona que ejerza la función de fiscal o juez en Armenia en virtud de su Derecho nacional y sea destacada a Eurojust por Armenia, en virtud del artículo 5 del presente Acuerdo; |
9) |
«magistrado de enlace»: un magistrado, en el sentido del Reglamento Eurojust, enviado por Eurojust a Armenia en virtud del artículo 8 del presente Acuerdo; |
10) |
«datos personales»: cualquier dato sobre un interesado; |
11) |
«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, revelación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción; |
12) |
«interesado»: una persona física identificada o identificable; se considerará persona física identificable una persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona; |
13) |
«datos genéticos»: datos personales relativos a las características genéticas de una persona que hayan sido heredadas o adquiridas, que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de la persona de que se trate; |
14) |
«datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de tal persona, como imágenes faciales o datos dactiloscópicos; |
15) |
«información»: datos personales y no personales; |
16) |
«violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos; |
17) |
«autoridad de control»: en el caso de la Unión Europea, el Supervisor Europeo de Protección de Datos y, en el caso de Armenia, las autoridades públicas nacionales independientes encargadas de la protección de datos de conformidad con el artículo 21 y que hayan sido notificadas en virtud del artículo 28, apartado 3. |
Puntos de contacto
1. Armenia designará al menos un punto de contacto dentro de sus autoridades competentes para facilitar la comunicación y la cooperación entre Eurojust y las autoridades competentes de Armenia. El fiscal de enlace no podrá ejercer de punto de contacto.
Armenia designará dicho punto de contacto como punto de contacto también para asuntos de terrorismo.
2. Se notificará a la Unión cuál es el punto de contacto. Armenia informará a Eurojust en caso de que cambie un punto de contacto.
Fiscal de enlace y su personal
1. Para facilitar la cooperación establecida en el presente Acuerdo, Armenia destacará un fiscal de enlace a Eurojust.
2. El mandato y la duración del destacamiento del fiscal de enlace serán determinados por Armenia previo acuerdo con Eurojust.
3. El fiscal de enlace podrá estar asistido por uno o más asistentes y otro personal de apoyo, en función de la carga de trabajo y previo acuerdo con Eurojust. Cuando sea necesario, los asistentes podrán sustituir al fiscal de enlace o actuar en su nombre.
4. Armenia se asegurará de que el fiscal de enlace y sus asistentes tengan competencia para actuar en relación con las autoridades judiciales extranjeras.
5. El fiscal de enlace y sus asistentes tendrán acceso a la información contenida en los registros de antecedentes penales u otros registros de Armenia, de plena conformidad con su Derecho nacional.
6. El fiscal de enlace y sus asistentes podrán ponerse en contacto directamente con las autoridades competentes de Armenia.
7. Armenia informará a Eurojust de la naturaleza y el alcance exactos de las competencias judiciales del fiscal de enlace y sus asistentes en el territorio armenio para desempeñar las funciones que les atribuye el presente Acuerdo.
8. Los pormenores de las funciones del fiscal de enlace y sus asistentes, sus derechos y obligaciones y el coste correspondiente se regirán por el acuerdo de trabajo celebrado entre Eurojust y las autoridades competentes de Armenia de conformidad con el artículo 26.
9. Los documentos de trabajo del fiscal de enlace y sus asistentes serán considerados inviolables por Eurojust.
Reuniones operativas y estratégicas
1. El fiscal de enlace, sus asistentes y otros representantes de las autoridades competentes de Armenia, incluidos los puntos de contacto a que se refiere el artículo 4, podrán participar en reuniones sobre cuestiones estratégicas a invitación del presidente de Eurojust y en reuniones sobre cuestiones operativas con la aprobación de los miembros nacionales de que se trate.
2. Los miembros nacionales, sus adjuntos y asistentes, el director administrativo de Eurojust y el personal de Eurojust podrán asistir a las reuniones organizadas por el fiscal de enlace, sus asistentes u otros representantes de las autoridades competentes de Armenia, incluidos los puntos de contacto a que se refiere el artículo 4.
Equipos conjuntos de investigación
1. Eurojust podrá ayudar a Armenia a crear equipos conjuntos de investigación (ECI) con las autoridades nacionales de un Estado miembro de conformidad con la base jurídica aplicable entre ellos a efectos de la cooperación judicial en materia penal, como los acuerdos de asistencia mutua.
2. Podrá solicitarse a Eurojust que preste asistencia financiera o técnica para gestionar un ECI al que preste apoyo operativo.
Magistrado de enlace
1. Con el fin de facilitar la cooperación judicial con Armenia, Eurojust podrá enviar un magistrado de enlace a Armenia de conformidad con el Reglamento Eurojust.
2. Los pormenores de las funciones del magistrado de enlace, los derechos y obligaciones del magistrado de enlace y el coste correspondiente se regirán por el acuerdo de trabajo celebrado entre Eurojust y las autoridades competentes de Armenia de conformidad con el artículo 26.
Fines del tratamiento de datos personales
1. Los datos personales solicitados y recibidos en virtud del presente Acuerdo serán tratados únicamente con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, dentro de los límites fijados por el artículo 10, apartado 6, y los mandatos respectivos de las autoridades competentes.
2. Las autoridades competentes indicarán claramente, a más tardar en el momento de la transferencia de los datos personales, el fin o fines específicos para las que se transfieren los datos.
Principios generales en materia de protección de datos
1. Cada una de las Partes dispondrá que los datos personales transferidos y posteriormente tratados en virtud del presente Acuerdo sean:
a) |
tratados de manera leal, lícita, transparente y exclusivamente a los fines para los que hayan sido transferidos en virtud del artículo 9; |
b) |
adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados; |
c) |
exactos y, si fuera necesario, actualizados; cada una de las Partes dispondrá que las autoridades competentes adopten todas las medidas razonables para que se supriman o rectifiquen sin dilación indebida los datos personales que sean inexactos con respecto a los fines para los que se tratan; |
d) |
mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; |
e) |
tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas adecuadas. |
2. La autoridad competente que transfiera los datos personales (en lo sucesivo, «autoridad transferente») podrá indicar, en el momento de la transferencia de los datos personales, cualquier limitación del acceso a los mismos o del uso que pueda hacerse de ellos, en términos generales o específicos, también en lo que se refiere a su transferencia ulterior, supresión o destrucción después de un determinado período de tiempo, o del tratamiento ulterior de los mismos. Cuando la necesidad de tales limitaciones se manifieste después de que se hayan transferido los datos personales, la autoridad transferente informará de ello a la autoridad competente que reciba los datos personales (en lo sucesivo, «autoridad receptora»).
3. Cada una de las Partes se asegurará de que la autoridad receptora se atenga a las limitaciones de acceso a los datos personales, o de uso de los mismos, indicadas por la autoridad transferente, en el sentido del apartado 2.
4. Cada una de las Partes dispondrá que sus autoridades competentes apliquen las medidas técnicas y organizativas apropiadas para poder demostrar que el tratamiento de datos es conforme con el presente Acuerdo y que se protegen los derechos de los interesados afectados.
5. Cada una de las Partes respetará las garantías contempladas en el presente Acuerdo, con independencia de la nacionalidad del interesado y sin discriminación alguna.
6. Cada una de las Partes se asegurará de que los datos personales transferidos en virtud del presente Acuerdo no se hayan obtenido vulnerando los derechos humanos reconocidos por las normas de Derecho internacional vinculantes para las Partes.
Cada una de las Partes se asegurará de que los datos personales recibidos no se utilicen para solicitar, dictar o ejecutar la pena capital u otra forma de trato cruel o inhumano.
7. Cada una de las Partes se asegurará de que se lleve un registro de todas las transferencias de datos personales realizadas en virtud del presente artículo y de los fines de dichas transferencias.
Categorías de interesados y categorías especiales de datos personales
1. La transferencia de datos personales respecto de las víctimas de una infracción penal, los testigos u otras personas que puedan facilitar información sobre infracciones penales solo se autorizará cuando sea estrictamente necesario y proporcionado en casos concretos para investigar y enjuiciar la delincuencia grave.
2. La transferencia de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física solo se permitirá cuando sea estrictamente necesario y proporcionado en casos concretos para investigar y enjuiciar la delincuencia grave.
3. Las Partes se asegurarán de que el tratamiento de datos personales en virtud de los apartados 1 y 2 esté sujeto a garantías adicionales, como limitaciones de acceso, medidas de seguridad adicionales y limitaciones de las transferencias ulteriores.
Tratamiento automatizado de datos personales
Estarán prohibidas las decisiones basadas únicamente en el tratamiento automatizado de los datos personales transferidos, incluida la elaboración de perfiles, que produzcan efectos jurídicos negativos para el interesado o le afecten significativamente, salvo que la ley las autorice para la investigación y el enjuiciamiento de la delincuencia grave y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades del interesado, incluido como mínimo el derecho a obtener intervención humana.
Transferencia ulterior de los datos personales recibidos
1. Armenia se asegurará de prohibir a sus autoridades competentes la transferencia de datos personales recibidos en virtud del presente Acuerdo a otras autoridades de Armenia, a menos que se cumplan todas las condiciones siguientes:
a) |
que Eurojust haya dado su autorización explícita previa; |
b) |
que la transferencia ulterior se realice únicamente a los fines para los que se transfirieron los datos de conformidad con el artículo 9; y |
c) |
que la transferencia esté sujeta a las mismas condiciones y garantías que las aplicables a la transferencia original. |
Sin perjuicio de lo dispuesto en el artículo 10, apartado 2, no será necesaria la autorización previa cuando los datos personales se compartan con las autoridades competentes de Armenia.
2. Armenia se asegurará de prohibir a sus autoridades competentes la transferencia de datos personales recibidos en virtud del presente Acuerdo a las autoridades de terceros países o a organizaciones internacionales, a menos que se cumplan todas las condiciones siguientes:
a) |
que la transferencia ulterior se refiera a datos personales distintos a los contemplados en el artículo 11 del Acuerdo; |
b) |
que Eurojust haya dado su autorización explícita previa; y |
c) |
que el fin de la transferencia ulterior sea el mismo que el fin de la transferencia realizada por Eurojust. |
3. Eurojust dará la autorización con arreglo al apartado 2, letra b), solo si hay en vigor una decisión de adecuación, un acuerdo de cooperación o un acuerdo internacional que ofrezca garantías suficientes con respecto a la protección de la vida privada y de los derechos y las libertades fundamentales de las personas, en el sentido del Reglamento Eurojust, que abarque las transferencias ulteriores.
4. La Unión se asegurará de prohibir a Eurojust la transferencia de datos personales recibidos en virtud del presente Acuerdo a los organismos de la Unión no enumerados en el anexo III, a las autoridades de terceros países o a organizaciones internacionales, a menos que se cumplan todas las condiciones siguientes:
a) |
que la transferencia se refiera a datos personales distintos a los contemplados en el artículo 11 del Acuerdo; |
b) |
que Armenia haya dado su autorización explícita previa; |
c) |
que el fin de la transferencia ulterior sea el mismo que el fin de la transferencia realizada por la autoridad transferente de Armenia; y |
d) |
en el caso de una transferencia ulterior a las autoridades de un tercer país o a una organización internacional, que haya en vigor una decisión de adecuación, un acuerdo de cooperación o un acuerdo internacional que ofrezca garantías suficientes con respecto a la protección de la vida privada y de los derechos y las libertades fundamentales de las personas, en el sentido del Reglamento Eurojust, que abarque las transferencias ulteriores. |
Las condiciones a que se refiere el párrafo primero no serán de aplicación cuando Eurojust comparta los datos personales con los organismos de la Unión enumerados en el anexo III o con las autoridades de los Estados miembros responsables de la investigación y el enjuiciamiento de la delincuencia grave.
Derecho de acceso
1. Las Partes reconocerán el derecho del interesado a obtener de las autoridades que traten los datos personales transferidos en virtud del presente Acuerdo confirmación de si se están tratando o no datos personales que le conciernen en virtud del presente Acuerdo y, en tal caso, el derecho de acceso al menos a información sobre lo siguiente:
a) |
los fines y la base jurídica del tratamiento, las categorías de datos de que se trate y, en su caso, los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales; |
b) |
la existencia del derecho a solicitar de la autoridad la rectificación o supresión de los datos personales relativos al interesado o la limitación de su tratamiento; |
c) |
de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo; |
d) |
la comunicación, en lenguaje claro y sencillo, de los datos personales objeto de tratamiento, así como de cualquier información disponible sobre el origen de los datos; |
e) |
el derecho a presentar una reclamación ante la autoridad de control contemplada en el artículo 21 y los datos de contacto de la misma. |
En los casos en que se ejerza el derecho de acceso a que se refiere el párrafo primero, se consultará a la autoridad transferente, de forma no vinculante, antes de que se adopte la decisión definitiva sobre la solicitud.
2. Las Partes dispondrán que la autoridad competente tramite la solicitud sin dilación indebida y, en cualquier caso, en un plazo de un mes a partir de la recepción de la solicitud. Este plazo podrá ser prorrogado por la autoridad competente en función del trabajo necesario para tramitar la solicitud, pero en ningún caso podrá ser superior a tres meses.
3. Las Partes podrán disponer que se pueda retrasar, denegar o limitar la comunicación de la información a que se refiere el apartado 1 en la medida y durante el tiempo en que dicho retraso, denegación o limitación constituya una medida necesaria y proporcionada, teniendo en cuenta los derechos fundamentales e intereses del interesado, con el fin de:
a) |
evitar la obstrucción de procedimientos de investigación o de instrucción, procesos judiciales o procedimientos administrativos; |
b) |
no comprometer la prevención, detección, investigación o enjuiciamiento de infracciones penales, o la ejecución de sanciones penales; |
c) |
proteger la seguridad pública; |
d) |
proteger la seguridad nacional; o |
e) |
proteger los derechos y libertades de otras personas, como las víctimas o los testigos. |
4. Las Partes dispondrán que la autoridad competente informe por escrito al interesado de:
a) |
cualquier retraso, denegación o limitación respecto del acceso y sus motivos; y |
b) |
la posibilidad de presentar una reclamación ante la autoridad de control correspondiente o de ejercitar acciones judiciales. |
La información a que se refiere el párrafo primero, letra a), del presente apartado, podrá omitirse cuando el suministro de dicha información menoscabe el fin al que obedece el retraso, la denegación o la limitación a que se refiere el apartado 3.
Derecho de rectificación, supresión y limitación
1. Las Partes dispondrán que todo interesado tenga derecho a obtener de las autoridades que traten datos personales transferidos en virtud del presente Acuerdo la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, este derecho incluirá el derecho a que se completen los datos personales incompletos transferidos en virtud del Acuerdo.
2. Las Partes dispondrán que todo interesado tenga derecho a obtener de las autoridades que traten datos personales transferidos en virtud del presente Acuerdo la supresión de los datos personales que le conciernan cuando el tratamiento infrinja lo dispuesto en el artículo 10, apartado 1, o en el artículo 11, apartado 2, o cuando los datos deban suprimirse para el cumplimiento de una obligación legal que se aplique a las autoridades competentes.
3. Las Partes podrán establecer la posibilidad de que las autoridades concedan la limitación del tratamiento en lugar de la rectificación o supresión de los datos personales a que se refieren los apartados 1 y 2 cuando:
a) |
el interesado ponga en duda la exactitud de los datos personales y no pueda determinarse su exactitud o inexactitud; o |
b) |
los datos personales deban conservarse a efectos probatorios. |
4. La autoridad transferente y la autoridad que trate los datos personales se informarán mutuamente de los casos a que se refieren los apartados 1, 2 y 3. La autoridad que trate los datos rectificará o suprimirá los datos personales o limitará el tratamiento de dichos datos de conformidad con las medidas adoptadas por la autoridad transferente.
5. Las Partes dispondrán que la autoridad que haya recibido la solicitud a efectos de los apartados 1 o 2 informe por escrito al interesado, sin dilación indebida, de que los datos personales han sido rectificados o suprimidos o de que su tratamiento ha sido limitado.
6. Las Partes dispondrán que la autoridad que haya recibido la solicitud a efectos de los apartados 1 o 2 informe por escrito al interesado de:
a) |
la denegación de la solicitud, junto con los motivos de la misma; |
b) |
la posibilidad de presentar una reclamación ante la autoridad de control correspondiente; y |
c) |
la posibilidad de ejercitar acciones judiciales. |
La información enumerada en el párrafo primero, letra a), del presente apartado, podrá omitirse en las condiciones establecidas en el artículo 14, apartado 3.
Notificación de una violación de la seguridad de los datos personales a las autoridades competentes
1. Las Partes dispondrán que, en caso de violación de la seguridad de los datos personales que afecte a datos personales transferidos en virtud del presente Acuerdo, sus respectivas autoridades se notifiquen sin dilación, así como a sus respectivas autoridades de control, dicha violación, a menos que sea improbable que dicha violación constituya un riesgo para los derechos y las libertades de las personas físicas, y que adopten medidas para mitigar los posibles efectos negativos.
2. La notificación, como mínimo, describirá:
a) |
la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; |
b) |
las posibles consecuencias de la violación de la seguridad de los datos personales; |
c) |
las medidas adoptadas o propuestas por la autoridad que trate los datos para poner remedio a la violación de la seguridad de los datos personales, incluyendo las medidas adoptadas para mitigar los posibles efectos negativos. |
3. Si no fuera posible facilitar la información mencionada en el apartado 2 simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
4. Las Partes dispondrán que sus respectivas autoridades documenten cualquier violación de la seguridad de los datos personales que afecte a datos personales transferidos en virtud del presente Acuerdo, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas, de modo que se permita a sus respectivas autoridades de control verificar el cumplimiento de lo dispuesto en el presente artículo.
Comunicación de una violación de la seguridad de los datos personales al interesado
1. Las Partes dispondrán que, cuando sea probable que la violación de la seguridad de los datos personales a que se refiere el artículo 16 entrañe un alto riesgo para los derechos y libertades de las personas físicas, sus respectivas autoridades la comuniquen al interesado sin dilación indebida.
2. La comunicación al interesado contemplada en el apartado 1 describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo los elementos a que se refiere el artículo 16, apartado 2, letras b) y c).
3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si:
a) |
los datos personales afectados por la violación han sido objeto de medidas de protección tecnológicas y organizativas apropiadas que hagan ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos; |
b) |
se han tomado medidas ulteriores que garantizan que ya no existe la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado; o |
c) |
dicha comunicación supone un esfuerzo desproporcionado, en particular habida cuenta del número de casos afectados. En este caso, la autoridad realizará una comunicación pública o adoptará una medida semejante por la que se informe de manera igualmente efectiva a los interesados. |
4. La comunicación al interesado podrá retrasarse, limitarse u omitirse en las condiciones contempladas en el artículo 14, apartado 3.
Conservación, revisión, corrección y supresión de datos personales
1. Las Partes dispondrán que se establezcan plazos adecuados para la conservación de los datos personales recibidos en virtud del presente Acuerdo o para la revisión periódica de la necesidad de conservación de dichos datos, de modo que no se conserven más tiempo del necesario a los fines para los que se transfieren.
2. En cualquier caso, la necesidad de seguir conservando dichos datos se revisará a más tardar tres años después de su transferencia.
3. Cuando la autoridad transferente tenga motivos para creer que los datos personales anteriormente transferidos por ella son incorrectos o inexactos, han dejado de estar actualizados o no deberían haber sido transferidos, informará de ello a la autoridad receptora, quien corregirá o suprimirá los datos personales y lo notificará a la autoridad transferente.
4. Cuando la autoridad competente tenga motivos para creer que los datos personales anteriormente recibidos por ella son incorrectos o inexactos, han dejado de estar actualizados o no deberían haber sido transferidos, informará de ello a la autoridad transferente, quien expondrá su posición al respecto.
Cuando la autoridad transferente llegue a la conclusión de que los datos personales son incorrectos o inexactos, han dejado de estar actualizados o no deberían haber sido transferidos, informará de ello a la autoridad receptora, quien corregirá o suprimirá los datos personales y lo notificará a la autoridad transferente.
Registro de operaciones y documentación
1. Las Partes dispondrán la conservación de registros u otra documentación de la recogida, la alteración, la consulta, la comunicación, incluida la transferencia ulterior, la combinación y la supresión de datos personales.
2. Los registros o documentación mencionados en el apartado 1 estarán a disposición de la autoridad de control previa solicitud y se utilizarán únicamente a efectos de verificar la legalidad del tratamiento y el autocontrol y garantizar la integridad y la seguridad adecuadas de los datos.
Seguridad de los datos
1. Las Partes garantizarán la aplicación de medidas técnicas y organizativas para proteger los datos personales transferidos en virtud del presente Acuerdo.
2. Por lo que respecta al tratamiento automatizado de datos, las Partes garantizarán la aplicación de medidas destinadas a:
a) |
denegar el acceso a personas no autorizadas a los equipamientos utilizados para el tratamiento de datos personales (control de acceso a los equipamientos); |
b) |
impedir que los soportes de datos puedan ser leídos, copiados, modificados o cancelados por personas no autorizadas (control de los soportes de datos); |
c) |
impedir que se introduzcan sin autorización datos personales conservados, o que estos puedan inspeccionarse, modificarse o suprimirse sin autorización (control del almacenamiento); |
d) |
impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de equipamientos de transmisión de datos (control del usuario); |
e) |
garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado de datos solo puedan tener acceso a los datos personales para los que han sido autorizados (control del acceso a los datos); |
f) |
garantizar que sea posible verificar y establecer a qué organismos se han transmitido o pueden transmitirse o a cuya disposición pueden ponerse los datos personales mediante equipamientos de comunicación de datos (control de la transmisión); |
g) |
garantizar que sea posible verificar y constatar qué datos personales se han introducido en los sistemas de tratamiento automatizado de datos y en qué momento y por qué persona han sido introducidos (control de la introducción) |
h) |
impedir que, durante las transferencias de datos personales o durante el transporte de soportes de datos, los datos personales puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte); |
i) |
garantizar que los sistemas instalados puedan restablecerse en caso de interrupción (restablecimiento); |
j) |
garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados (fiabilidad) y que los datos personales almacenados no se degraden por fallos de funcionamiento del sistema (integridad). |
Autoridad de control
1. Las Partes establecerán una o varias autoridades públicas independientes encargadas de la protección de datos para supervisar la aplicación del presente Acuerdo y garantizar su cumplimiento, con el fin de proteger los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos personales.
2. Las Partes se asegurarán de que:
a) |
las autoridades de control actúen con total independencia en el desempeño de sus funciones y en el ejercicio de sus competencias; |
b) |
las autoridades de control estén libres de toda influencia externa, ya sea directa o indirecta, y no soliciten ni acepten instrucciones; |
c) |
los miembros de las autoridades de control tengan un mandato seguro que incluya garantías contra la destitución arbitraria. |
3. Las Partes se asegurarán de que las autoridades de control dispongan de los recursos humanos, técnicos y financieros, así como de los locales y las infraestructuras necesarios para el desempeño efectivo de sus funciones y el ejercicio de sus competencias.
4. Las Partes se asegurarán de que las autoridades de control dispongan de competencias efectivas de investigación e intervención para supervisar a los organismos que quedan bajo su control y para ejercitar acciones judiciales.
5. Las Partes se asegurarán de que las autoridades de control tengan competencia para conocer de las reclamaciones de los particulares sobre el uso de sus datos personales.
Derecho a la tutela judicial efectiva
1. Las Partes se asegurarán de que, sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tenga derecho a la tutela judicial efectiva cuando considere que los derechos que le garantiza el presente Acuerdo han sido vulnerados como consecuencia del tratamiento de sus datos personales en incumplimiento del presente Acuerdo.
2. El derecho a la tutela judicial efectiva incluirá el derecho a indemnización por los daños y perjuicios causados al interesado por dicho tratamiento como consecuencia de la infracción del Acuerdo y en las condiciones establecidas en el respectivo ordenamiento jurídico de cada Parte.
Intercambio de información clasificada o sensible no clasificada de la UE
El intercambio de la información clasificada o sensible no clasificada de la UE, de ser necesario en virtud del presente Acuerdo, y su protección se regirán por el acuerdo de trabajo que celebren Eurojust y las autoridades competentes de Armenia.
Responsabilidad e indemnización
1. Las autoridades competentes responderán, de conformidad con sus respectivos ordenamientos jurídicos, de los daños y perjuicios causados a personas físicas como resultado de los errores de hecho o de Derecho en la información intercambiada. A fin de evitar la responsabilidad que les corresponda frente a las personas jurídicas perjudicadas en virtud de sus respectivos ordenamientos jurídicos, ni Eurojust ni las autoridades competentes de Armenia podrán alegar que la otra parte había transmitido información inexacta.
2. Si la autoridad competente ha pagado la indemnización a la persona perjudicada con arreglo al apartado 1 y su responsabilidad es el resultado de la utilización de información comunicada erróneamente por la otra autoridad competente o comunicada como consecuencia del incumplimiento por parte de la otra autoridad competente de sus obligaciones, el importe abonado en concepto de indemnización será reembolsado por la otra autoridad competente, a menos que la información se haya utilizado en contravención del presente Acuerdo.
3. Eurojust y las autoridades competentes de Armenia no se exigirán mutuamente el reembolso de las indemnizaciones punitivas o sin finalidad resarcitoria.
Gastos
Las Partes se asegurarán de que cada autoridad competente sufrague los gastos que tenga como consecuencia de la aplicación del presente Acuerdo, salvo disposición en contrario del mismo o del acuerdo de trabajo.
Acuerdo de trabajo
1. Los pormenores de la cooperación entre las Partes para la aplicación del presente Acuerdo se regirán por el acuerdo de trabajo que celebren Eurojust y las autoridades competentes de Armenia de conformidad con el Reglamento Eurojust.
2. El acuerdo de trabajo sustituirá a cualquier otro acuerdo de trabajo existente entre Eurojust y las autoridades competentes de Armenia.
Relación con otros instrumentos internacionales
El presente Acuerdo se entenderá sin perjuicio de cualquier acuerdo bilateral o multilateral de cooperación o tratado de asistencia judicial, de cualquier otro acuerdo o arreglo de cooperación o de cualquier relación de cooperación judicial a nivel de trabajo en materia penal entre Armenia y cualquier Estado miembro, y no afectará a sus disposiciones de ninguna otra manera.
Notificación de la aplicación
1. Las Partes dispondrán que las autoridades competentes publiquen sus datos de contacto, así como un documento en el que se exponga, en un lenguaje claro y sencillo, la información relativa a las garantías de los datos personales que ofrece el presente Acuerdo, incluidos como mínimo los elementos del artículo 14, apartado 1, letras a) y c), y los medios disponibles para el ejercicio de los derechos de los interesados. Cada una de las Partes enviará una copia de dicho documento a la otra.
2. Si no hay normas al respecto en vigor, las autoridades competentes aprobarán normas que especifiquen cómo se garantizará en la práctica el cumplimiento de las disposiciones relativas al tratamiento de datos personales. Se enviará una copia de estas normas a la otra Parte y a sus respectivas autoridades de control.
3. Las Partes se notificarán mutuamente cuál es la autoridad de control encargada de supervisar la aplicación del presente Acuerdo y de velar por su cumplimiento, de conformidad con el artículo 21.
Entrada en vigor y aplicación
1. El presente Acuerdo será aprobado por las Partes de conformidad con sus respectivos procedimientos.
2. El presente Acuerdo entrará en vigor el primer día del segundo mes siguiente a aquel en el curso del cual ambas Partes se hayan notificado la finalización de los procedimientos previstos en el apartado 1.
3. El presente Acuerdo comenzará a aplicarse el primer día siguiente a la fecha en que se cumplan todas las condiciones siguientes:
a) |
que las Partes hayan firmado el acuerdo de trabajo contemplado en el artículo 26; |
b) |
que las Partes se hayan notificado que se han cumplido las obligaciones establecidas en el presente Acuerdo, incluidas las establecidas en el artículo 28; y |
c) |
que cada Parte haya comunicado a la Parte notificante que ha aceptado la notificación a que se refiere la letra b) del presente párrafo. |
Las Partes se notificarán por escrito la confirmación del cumplimiento de las condiciones establecidas en el párrafo primero.
Modificaciones
1. Las modificaciones del presente Acuerdo podrán realizarse por escrito en cualquier momento, de común acuerdo entre las Partes. Dichas modificaciones se incluirán en un documento separado, debidamente firmado. Entrarán en vigor de conformidad con el procedimiento establecido en el artículo 29, apartados 1 y 2.
2. Las Partes podrán acordar las actualizaciones de los anexos del presente Acuerdo mediante el canje de notas diplomáticas.
Revisión y evaluación
1. Las Partes revisarán conjuntamente la aplicación del presente Acuerdo un año después de su entrada en vigor y, posteriormente, a intervalos regulares y, adicionalmente, a petición de cualquiera de las Partes y por decisión conjunta.
2. Las Partes evaluarán conjuntamente el presente Acuerdo cuatro años después de su fecha inicial de aplicación.
3. Las Partes decidirán por adelantado los pormenores de la revisión y se comunicarán mutuamente la composición de sus respectivos equipos. Los equipos estarán formados por expertos destacados en los ámbitos de la protección de datos y la cooperación judicial. Sin perjuicio de las disposiciones aplicables, los participantes en la revisión conjunta deberán contar con la correspondiente habilitación de seguridad y tendrán la obligación de respetar el carácter confidencial de los debates. A efectos de cualquier revisión, las Partes garantizarán el acceso a la documentación, los sistemas y el personal pertinentes.
Arreglo de controversias y suspensión
1. Si surge una controversia en relación con la interpretación, aplicación o puesta en práctica del presente Acuerdo, así como con cualquier asunto relacionado con el mismo, los representantes de las Partes entablarán consultas y negociaciones para hallar una solución mutuamente aceptable.
2. No obstante lo dispuesto en el apartado 1, en caso de infracción grave o de incumplimiento de las obligaciones que impone el presente Acuerdo o si hay indicios de que es probable que tal infracción grave o incumplimiento de las obligaciones ocurra en un futuro próximo, cualquiera de las Partes podrá suspender la aplicación el presente Acuerdo total o parcialmente mediante notificación escrita a la otra Parte.
Dicha notificación escrita no se efectuará hasta después de que las Partes hayan entablado consultas durante un período razonable sin hallar una solución.
La suspensión surtirá efecto veinte días después de la fecha de recepción de dicha notificación. Dicha suspensión podrá ser alzada por la Parte que la haya iniciado previa notificación escrita a la otra Parte. El alza de la suspensión tendrá lugar inmediatamente después de la recepción de la citada notificación.
3. No obstante la suspensión de la aplicación del presente Acuerdo, la información que entre en su ámbito de aplicación y haya sido transferida con anterioridad a su suspensión seguirá tratándose de conformidad con el presente Acuerdo.
Terminación
1. Cualquiera de las Partes podrá poner término al presente Acuerdo notificando su denuncia por escrito a la otra Parte. La denuncia surtirá efecto tres meses después de la fecha de recepción de la notificación.
2. La información comprendida en el ámbito de aplicación del presente Acuerdo y transferida antes de su terminación seguirá siendo tratada de conformidad con la versión del Acuerdo en vigor en el momento de la terminación.
3. En caso de denuncia, las Partes llegarán a un acuerdo sobre la continuación de la utilización y la conservación de la información ya comunicada entre ellas. Si no se llega a un acuerdo, cualquiera de las Partes tendrá derecho a exigir que la información que ya hayan comunicado sea destruida o devuelta.
Notificaciones
1. Las notificaciones realizadas con arreglo al artículo 29, apartado 2, se enviarán:
a) |
en el caso de Armenia, al Ministerio de Asuntos Exteriores de Armenia; |
b) |
en el caso de la Unión, a la Secretaría General del Consejo de la Unión Europea. |
Cualquier otra notificación realizada con arreglo al presente acuerdo se enviará:
a) |
en el caso de Armenia, al Ministerio de Asuntos Exteriores de Armenia; |
b) |
en el caso de la Unión, a la Comisión Europea. |
2. La información sobre el destinatario de las notificaciones a que se refiere el apartado 1 podrá actualizarse por vía diplomática.
Textos auténticos
El presente Acuerdo se redacta en doble ejemplar en lenguas alemana, armenia, búlgara, checa, croata, danesa, eslovaca, eslovena, española, estonia, finesa, francesa, griega, húngara, inglesa, irlandesa, italiana, letona, lituana, maltesa, neerlandesa, polaca, portuguesa, rumana y sueca, siendo cada uno de estos textos igualmente auténtico. En caso de divergencia, prevalecerá el texto en lengua inglesa.
EN FE DE LO CUAL, los plenipotenciarios abajo firmantes debidamente facultados a tal fin, firman el presente Acuerdo.