Content not available in English
LA UNIÓN EUROPEA, en lo sucesivo, «Unión»,
y
BOSNIA Y HERZEGOVINA,
conjuntamente y en lo sucesivo denominadas «Partes»,
VISTO el Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, sobre la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust) y por el que se sustituye y deroga la Decisión 2002/187/JAI del Consejo (1) («Reglamento Eurojust»), y en particular su artículo 47, su artículo 52, apartado 1, y su artículo 56, apartado 2, aplicado de conformidad con el Tratado de la Unión Europea y el Tratado de Funcionamiento de la Unión Europea,
VISTO, en particular, el artículo 56, apartado 2, letra c), del Reglamento Eurojust, que establece los principios generales para la transferencia de datos personales de Eurojust a terceros países y a organizaciones internacionales, en virtud del cual Eurojust puede transferir datos personales a un tercer país sobre la base de un acuerdo internacional celebrado entre la Unión y ese tercer país en virtud del artículo 218 del Tratado de Funcionamiento de la Unión Europea,
CONSIDERANDO los intereses tanto de Eurojust como de Bosnia y Herzegovina en desarrollar una cooperación judicial estrecha y dinámica en materia penal para hacer frente a los problemas que plantea la delincuencia grave, en particular la delincuencia organizada y el terrorismo, al tiempo que se disponen garantías adecuadas con respecto a los derechos y libertades fundamentales de las personas, especialmente el derecho a la vida privada y a la protección de los datos personales;
CONVENCIDAS de que la cooperación judicial entre Eurojust y Bosnia y Herzegovina será mutuamente beneficiosa y contribuirá al desarrollo del espacio de libertad, seguridad y justicia de la Unión;
CONSIDERANDO el elevado nivel de protección de datos personales en la Unión y Bosnia y Herzegovina y que el principio de neutralidad de género debe guiar la aplicación del presente Acuerdo, a saber, que todos los datos estadísticos recogidos, registrados y tratados durante la aplicación del Acuerdo deben desglosarse por sexo;
TOMANDO NOTA de que Bosnia y Herzegovina ha ratificado el Convenio del Consejo de Europa (STE, n.o 108) para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981, y su Protocolo modificativo (STCE, n.o 223), hecho en Estrasburgo el 10 de octubre de 2018, que desempeñan un papel fundamental en el sistema de protección de datos de Eurojust;
RESPETANDO el Convenio del Consejo de Europa (STE, n.o 5) para la protección de los derechos humanos y de las libertades fundamentales, hecho en Roma el 4 de noviembre de 1950, que se refleja en la Carta de los Derechos Fundamentales de la Unión Europea y en la Constitución de Bosnia y Herzegovina,
HAN CONVENIDO LO SIGUIENTE:
Objetivos
1. El objetivo general del presente Acuerdo es reforzar la cooperación judicial entre Eurojust y las autoridades competentes de Bosnia y Herzegovina en la lucha contra la delincuencia grave.
2. El presente Acuerdo permite la transferencia de datos personales entre Eurojust y las autoridades competentes de Bosnia y Herzegovina con el fin de apoyar y reforzar la actuación de las autoridades competentes de los Estados miembros de la Unión y las de Bosnia y Herzegovina, así como su cooperación en la investigación y enjuiciamiento de la delincuencia grave, en particular la delincuencia organizada y el terrorismo, al tiempo que se disponen garantías adecuadas con respecto a los derechos y libertades fundamentales de las personas, especialmente el derecho a la vida privada y a la protección de los datos personales.
Ámbito de aplicación
Las Partes velarán por que Eurojust y las autoridades competentes de Bosnia y Herzegovina cooperen en los ámbitos de actividad de Eurojust y dentro de las competencias y funciones de esta, tal como se establecen en el Reglamento Eurojust, aplicado de conformidad con el Tratado de la Unión Europea y el Tratado de Funcionamiento de la Unión Europea, y en el presente Acuerdo.
Definiciones
A los efectos del presente Acuerdo, se entenderá por:
1) |
«Eurojust»: la Agencia de la Unión Europea para la Cooperación Judicial Penal, creada en virtud del Reglamento Eurojust, con sus posibles modificaciones; |
2) |
«Estados miembros»: los Estados miembros de la Unión; |
3) |
«autoridad competente»: en el caso de la Unión, Eurojust, y, en el caso de Bosnia y Herzegovina, las autoridades nacionales con competencias derivadas del Derecho nacional relativas a la investigación y el enjuiciamiento de las infracciones penales, incluida la puesta en práctica de instrumentos de cooperación judicial en materia penal, enumeradas en el anexo II del presente Acuerdo; |
4) |
«órganos de la Unión»: las instituciones, órganos, organismos y agencias, así como las misiones y operaciones creadas en virtud de la política común de seguridad y defensa, establecidos por el Tratado de la Unión Europea y el Tratado de Funcionamiento de la Unión Europea o sobre la base de ellos, enumerados en al anexo III del presente Acuerdo; |
5) |
«delincuencia grave»: las formas de delincuencia respecto de las que Eurojust tiene competencia, enumeradas en el anexo I del presente Acuerdo, incluidas las infracciones penales conexas; |
6) |
«infracciones penales conexas»: las infracciones penales cometidas con objeto de proporcionar los medios para cometer delincuencia grave, las infracciones penales cometidas con objeto de facilitar la comisión o cometer delincuencia grave y las infracciones penales cometidas a fin de conseguir la impunidad de tal delincuencia grave; |
7) |
«asistente»: toda persona que asista al miembro nacional, en el sentido del capítulo II, sección II, del Reglamento Eurojust, y a su adjunto, o al fiscal de enlace, en el sentido del Reglamento Eurojust y del artículo 5 del presente Acuerdo, respectivamente; |
8) |
«fiscal de enlace»: toda persona que ejerza la función de fiscal o juez en Bosnia y Herzegovina en virtud de su Derecho nacional y sea destinada a Eurojust por Bosnia y Herzegovina, tal como se contempla en el artículo 5 del presente Acuerdo; |
9) |
«magistrado de enlace»: todo magistrado, en el sentido del Reglamento Eurojust, enviado por Eurojust a Bosnia y Herzegovina de conformidad con el artículo 8 del presente Acuerdo; |
10) |
«datos personales» toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona; |
11) |
«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción; |
12) |
«datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona; |
13) |
«datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos; |
14) |
«información»: datos personales y no personales; |
15) |
«datos no personales»: aquellos que no sean datos personales; |
16) |
«violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos; |
17) |
«autoridad de control»: las autoridades responsables de la protección de datos a que se refiere el artículo 21 y que hayan sido notificadas en virtud del artículo 28, apartado 3. |
Puntos de contacto
1. Bosnia y Herzegovina designará al menos un punto de contacto dentro de sus autoridades competentes para facilitar la comunicación y la cooperación entre Eurojust y las autoridades competentes de Bosnia y Herzegovina. Bosnia y Herzegovina designará uno de sus puntos de contacto como punto de contacto también para asuntos de terrorismo. El fiscal de enlace no podrá ejercer de punto de contacto.
2. Se notificará a la Unión cuál es el punto de contacto para Bosnia y Herzegovina. Bosnia y Herzegovina informará a Eurojust en caso de que cambie el punto de contacto.
Fiscal de enlace y su personal
1. Para facilitar la cooperación establecida en el presente Acuerdo, Bosnia y Herzegovina destacará un fiscal de enlace a Eurojust.
2. El mandato y la duración del destino del fiscal de enlace serán determinados por Bosnia y Herzegovina previo acuerdo con Eurojust.
3. El fiscal de enlace podrá estar asistido por uno o más asistentes y otro personal de apoyo, en función de la carga de trabajo y previo acuerdo con Eurojust. Cuando sea necesario, los asistentes podrán sustituir al fiscal de enlace o actuar en su nombre.
4. Bosnia y Herzegovina se asegurará de que el fiscal de enlace y sus asistentes tengan competencia para actuar en relación con las autoridades judiciales extranjeras.
5. El fiscal de enlace y sus asistentes tendrán acceso a la información contenida en los registros de antecedentes penales nacionales, los registros de detenidos, los registros de investigaciones, los registros de ADN o cualquier otro registro de las autoridades públicas de Bosnia y Herzegovina cuando dicha información sea necesaria para el ejercicio de sus funciones, de plena conformidad con el Derecho nacional.
6. El fiscal de enlace y sus asistentes podrán ponerse en contacto directamente con las autoridades competentes de Bosnia y Herzegovina.
7. Bosnia y Herzegovina informará a Eurojust de la naturaleza y el alcance exactos de las competencias judiciales del fiscal de enlace y sus asistentes en el territorio de Bosnia y Herzegovina para desempeñar las funciones que les atribuye el presente Acuerdo.
8. Los pormenores de las funciones del fiscal de enlace y sus asistentes, sus derechos y obligaciones y el coste correspondiente para Eurojust se regirán por el acuerdo de trabajo celebrado entre Eurojust y las autoridades competentes de Bosnia y Herzegovina a que se refiere el artículo 26.
9. Los documentos de trabajo del fiscal de enlace y sus asistentes serán considerados inviolables por Eurojust.
Reuniones operativas y estratégicas
1. El fiscal de enlace, sus asistentes y otros representantes de las autoridades competentes de Bosnia y Herzegovina, incluidos los puntos de contacto a que se refiere el artículo 4, podrán participar en reuniones sobre cuestiones estratégicas a invitación del presidente de Eurojust y en reuniones sobre cuestiones operativas con la aprobación de los miembros nacionales de que se trate.
2. Los miembros nacionales, sus adjuntos y asistentes, el director administrativo de Eurojust y el personal de Eurojust podrán asistir a las reuniones organizadas por el fiscal de enlace, sus asistentes u otros representantes de las autoridades competentes de Bosnia y Herzegovina, incluidos los puntos de contacto a que se refiere el artículo 4.
Equipos conjuntos de investigación
1. Eurojust podrá ayudar a Bosnia y Herzegovina a crear equipos conjuntos de investigación con las autoridades nacionales de un Estado miembro de conformidad con la base jurídica aplicable entre ellos a efectos de la cooperación judicial en materia penal, como los acuerdos de asistencia mutua.
2. Podrá solicitarse a Eurojust que preste asistencia financiera o técnica para gestionar un equipo conjunto de investigación al que preste apoyo operativo.
Magistrado de enlace
1. Con el fin de facilitar la cooperación judicial con Bosnia y Herzegovina, Eurojust podrá enviar un magistrado de enlace a Bosnia y Herzegovina de conformidad con el Reglamento Eurojust.
2. Los pormenores de las funciones del magistrado de enlace, sus derechos y obligaciones y el coste correspondiente se regirán por el acuerdo de trabajo celebrado entre Eurojust y las autoridades competentes de Bosnia y Herzegovina a que se refiere el artículo 26.
Fines del tratamiento de datos personales
1. Los datos personales solicitados y recibidos en virtud del presente Acuerdo serán tratados únicamente con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, dentro de los límites fijados por el artículo 10, apartado 6, y los mandatos respectivos de las autoridades competentes.
2. Las autoridades competentes indicarán claramente, a más tardar en el momento de la transferencia de los datos personales, el fin o fines específicos para las que se transfieren los datos.
Principios generales en materia de protección de datos
1. Las Partes dispondrán que los datos personales transferidos y posteriormente tratados en virtud del presente Acuerdo sean:
a) tratados de manera leal, lícita, transparente y exclusivamente a los fines para los que hayan sido transferidos en virtud del artículo 9;
b) adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados;
c) exactos y, si fuera necesario, actualizados; las Partes dispondrán que las autoridades competentes adopten todas las medidas razonables para que se supriman o rectifiquen sin dilación indebida los datos personales que sean inexactos con respecto a los fines para los que se tratan;
d) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales;
e) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas adecuadas.
2. La autoridad competente que transfiera los datos personales («autoridad transferente») podrá indicar, en el momento de la transferencia de los datos personales, cualquier limitación del acceso a los mismos o del uso que pueda hacerse de ellos, en términos generales o específicos, también en lo que se refiere a su transferencia ulterior, supresión o destrucción después de un determinado período de tiempo, o del tratamiento ulterior de los mismos. Cuando la necesidad de tales limitaciones se manifieste después de que se hayan transferido los datos personales, la autoridad transferente informará de ello a la autoridad competente que reciba los datos personales («autoridad receptora»).
3. Las Partes se asegurarán de que la autoridad receptora se atenga a las limitaciones de acceso a los datos personales, o de uso de los mismos, indicadas por la autoridad transferente, en el sentido del apartado 2.
4. Las Partes dispondrán que sus autoridades competentes apliquen las medidas técnicas y organizativas apropiadas para poder demostrar que el tratamiento de datos es conforme con el presente Acuerdo y que se protegen los derechos de los interesados afectados.
5. Las Partes respetarán las garantías contempladas en el presente Acuerdo, con independencia de la nacionalidad del interesado y sin discriminación alguna.
6. Las Partes se asegurarán de que los datos personales transferidos en virtud del presente Acuerdo no se hayan obtenido vulnerando los derechos humanos reconocidos por las normas de Derecho internacional vinculantes para las Partes.
Las Partes se asegurarán de que los datos personales recibidos no se utilicen para solicitar, dictar o ejecutar la pena capital u otra forma de trato cruel o inhumano.
7. Las Partes se asegurarán de que se lleve un registro de todas las transferencias de datos personales realizadas en virtud del presente artículo y de los fines de dichas transferencias.
Categorías de interesados y categorías especiales de datos personales
1. La transferencia de datos personales respecto de las víctimas de una infracción penal, los testigos u otras personas que puedan facilitar información sobre infracciones penales solo se autorizará cuando sea estrictamente necesario y proporcionado en casos concretos para investigar y enjuiciar la delincuencia grave.
2. La transferencia de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física solo se permitirá cuando sea estrictamente necesario y proporcionado en casos concretos para investigar y enjuiciar la delincuencia grave.
3. Las Partes se asegurarán de que el tratamiento de datos personales en virtud de los apartados 1 y 2 esté sujeto a garantías adicionales, como limitaciones de acceso, medidas de seguridad adicionales y limitaciones de las transferencias ulteriores.
Tratamiento automatizado de datos personales
Estarán prohibidas las decisiones basadas únicamente en el tratamiento automatizado de los datos personales transferidos, incluida la elaboración de perfiles, que produzcan efectos jurídicos negativos para el interesado o le afecten significativamente, salvo que la ley las autorice para la investigación y el enjuiciamiento de la delincuencia grave y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades del interesado, especialmente y como mínimo el derecho a obtener intervención humana.
Transferencia ulterior de los datos personales recibidos
1. Bosnia y Herzegovina se asegurará de prohibir a sus autoridades competentes la transferencia de datos personales recibidos en virtud del presente Acuerdo a otras autoridades de Bosnia y Herzegovina, a menos que se cumplan todas las condiciones siguientes:
a) que Eurojust haya dado su autorización explícita previa;
b) que la transferencia ulterior se realice únicamente a los fines para los que se transfirieron los datos de conformidad con el artículo 9, y
c) que la transferencia esté sujeta a las mismas condiciones y garantías que las aplicables a la transferencia original.
Sin perjuicio de lo dispuesto en el artículo 10, apartado 2, no será necesaria la autorización previa cuando los datos personales se compartan con las autoridades competentes de Bosnia y Herzegovina.
2. Bosnia y Herzegovina se asegurará de prohibir a sus autoridades competentes la transferencia de datos personales recibidos en virtud del presente Acuerdo a las autoridades de terceros países o a organizaciones internacionales, a menos que se cumplan todas las condiciones siguientes:
a) que la transferencia ulterior se refiera a datos personales distintos a los contemplados en el artículo 11 del Acuerdo;
b) que Eurojust haya dado su autorización explícita previa, y
c) que el fin de la transferencia ulterior sea el mismo que el fin de la transferencia realizada por Eurojust.
3. Eurojust dará la autorización contemplada en el apartado 2, letra b), solo si hay en vigor una decisión de adecuación, un acuerdo de cooperación o un acuerdo internacional que ofrezca garantías suficientes con respecto a la protección de la vida privada y de los derechos y las libertades fundamentales de las personas, en el sentido del Reglamento Eurojust, que abarque las transferencias ulteriores.
4. La Unión se asegurará de prohibir a Eurojust la transferencia de datos personales recibidos en virtud del presente Acuerdo a los órganos de la Unión no enumerados en el anexo III, a las autoridades de un tercer país o a una organización internacional, a menos que se cumplan todas las condiciones siguientes:
a) que la transferencia se refiera a datos personales distintos a los contemplados en el artículo 11;
b) que Bosnia y Herzegovina haya dado su autorización explícita previa;
c) que el fin de la transferencia ulterior sea el mismo que el fin de la transferencia realizada por la autoridad transferente de Bosnia y Herzegovina, y
d) en el caso de una transferencia ulterior a las autoridades de un tercer país o a una organización internacional, que haya en vigor una decisión de adecuación, un acuerdo de cooperación o un acuerdo internacional que ofrezca garantías suficientes con respecto a la protección de la vida privada y de los derechos y las libertades fundamentales de las personas, en el sentido del Reglamento Eurojust, que abarque las transferencias ulteriores.
Las condiciones a que se refiere el párrafo primero no serán de aplicación cuando Eurojust comparta los datos personales con los órganos de la Unión enumerados en el anexo III o con las autoridades de los Estados miembros responsables de la investigación y el enjuiciamiento de la delincuencia grave.
Derecho de acceso
1. Las Partes reconocerán el derecho del interesado a obtener de las autoridades que traten los datos personales transferidos en virtud del presente Acuerdo confirmación de si se están tratando o no datos personales que le conciernen en virtud del presente Acuerdo y, en tal caso, el derecho de acceso al menos a la siguiente información:
a) los fines y la base jurídica del tratamiento, las categorías de datos de que se trate y, en su caso, los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales;
b) la existencia del derecho a solicitar de la autoridad la rectificación o supresión de los datos personales relativos al interesado o la limitación de su tratamiento;
c) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
d) la comunicación, en lenguaje claro y sencillo, de los datos personales objeto de tratamiento, así como de cualquier información disponible sobre el origen de los datos;
e) el derecho a presentar una reclamación ante la autoridad de control contemplada en el artículo 21 y los datos de contacto de la misma.
En los casos en que se ejerza el derecho de acceso a que se refiere el párrafo primero, se consultará a la autoridad transferente, de forma no vinculante, antes de que se adopte la decisión definitiva sobre la solicitud.
2. Las Partes dispondrán que la autoridad competente tramite la solicitud sin dilación indebida y, en cualquier caso, en un plazo de tres meses a partir de la recepción de la solicitud.
3. Las Partes podrán disponer que se pueda retrasar, denegar o limitar la comunicación de la información a que se refiere el apartado 1 en la medida y durante el tiempo en que dicho retraso, denegación o limitación constituya una medida necesaria y proporcionada, teniendo en cuenta los derechos fundamentales e intereses del interesado, con el fin de:
a) evitar la obstrucción de procedimientos de investigación o de instrucción, procesos judiciales o procedimientos administrativos;
b) no comprometer la prevención, detección, investigación o enjuiciamiento de infracciones penales, o la ejecución de sanciones penales;
c) proteger la seguridad pública;
d) proteger la seguridad nacional, o
e) proteger los derechos y libertades de otras personas, como las víctimas o los testigos.
4. Las Partes dispondrán que la autoridad competente informe por escrito al interesado de:
a) cualquier retraso, denegación o limitación respecto del acceso y sus motivos, y
b) la posibilidad de presentar una reclamación ante la autoridad de control correspondiente o de ejercitar acciones judiciales.
La información a que se refiere el párrafo primero, letra a), podrá omitirse cuando ello menoscabe el fin al que obedece el retraso, la denegación o la limitación a que se refiere el apartado 3.
Derecho de rectificación, supresión y limitación
1. Las Partes dispondrán que todo interesado tenga derecho a obtener de las autoridades que traten datos personales transferidos en virtud del presente Acuerdo la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, este derecho incluirá el derecho a que se completen los datos personales incompletos transferidos en virtud del Acuerdo, inclusive mediante una declaración adicional.
2. Las Partes dispondrán que todo interesado tenga derecho a obtener de las autoridades que traten datos personales transferidos en virtud del presente Acuerdo la supresión de los datos personales que le conciernan cuando el tratamiento de los datos personales infrinja lo dispuesto en el artículo 10, apartado 1, o en el artículo 11, apartado 2, o cuando los datos personales deban suprimirse para el cumplimiento de una obligación legal que se aplique a las autoridades competentes.
3. Las Partes podrán establecer la posibilidad de que las autoridades concedan la limitación del tratamiento en lugar de la rectificación o supresión de los datos personales a que se refieren los apartados 1 y 2 cuando:
a) el interesado ponga en duda la exactitud de los datos personales y no pueda determinarse su exactitud o inexactitud, o
b) los datos personales hayan de conservarse a efectos probatorios.
4. La autoridad transferente y la autoridad que trate los datos personales se informarán mutuamente de los casos a que se refieren los apartados 1, 2 y 3. La autoridad que trate los datos rectificará o suprimirá los datos personales o limitará el tratamiento de dichos datos personales de conformidad con las medidas adoptadas por la autoridad transferente.
5. Las Partes dispondrán que la autoridad que haya recibido la solicitud a efectos de los apartados 1 o 2 informe por escrito al interesado, sin dilación indebida, de que los datos personales han sido rectificados o suprimidos o de que su tratamiento ha sido limitado.
6. Las Partes dispondrán que la autoridad que haya recibido la solicitud a efectos de los apartados 1 o 2 informe por escrito al interesado de:
a) la denegación de la solicitud, junto con los motivos de la misma;
b) la posibilidad de presentar una reclamación ante la autoridad de control correspondiente, y
c) la posibilidad de ejercitar acciones judiciales.
La información enumerada en el párrafo primero, letra a), del presente apartado podrá omitirse en las condiciones establecidas en el artículo 14, apartado 3.
Notificación de una violación de la seguridad de los datos personales a las autoridades competentes
1. Las Partes dispondrán que, en caso de violación de la seguridad de los datos personales que afecte a datos personales transferidos en virtud del presente Acuerdo, sus respectivas autoridades se notifiquen sin dilación, así como a sus respectivas autoridades de control, dicha violación, a menos que sea improbable que dicha violación de la seguridad de los datos personales constituya un riesgo para los derechos y las libertades de las personas físicas, y que adopten medidas para mitigar los posibles efectos negativos.
2. La notificación deberá, como mínimo, describir:
a) la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
b) las posibles consecuencias de la violación de la seguridad de los datos personales;
c) las medidas adoptadas o propuestas por la autoridad que trate los datos para poner remedio a la violación de la seguridad de los datos personales, incluyendo las medidas adoptadas para mitigar los posibles efectos negativos.
3. Si no fuera posible facilitar la información mencionada en el apartado 2 simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin mayor dilación indebida.
4. Las Partes dispondrán que sus respectivas autoridades documenten cualquier violación de la seguridad de los datos personales que afecte a datos personales transferidos en virtud del presente Acuerdo, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas, de modo que se permita a sus respectivas autoridades de control verificar el cumplimiento de lo dispuesto en el presente artículo.
Comunicación de una violación de la seguridad de los datos personales al interesado
1. Las Partes dispondrán que, cuando sea probable que la violación de la seguridad de los datos personales a que se refiere el artículo 16 entrañe un alto riesgo para los derechos y libertades de las personas físicas, sus respectivas autoridades la comuniquen al interesado sin dilación indebida.
2. La comunicación al interesado contemplada en el apartado 1 describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo los elementos a que se refiere el artículo 16, apartado 2, letras b) y c).
3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
a) los datos personales afectados por la violación han sido objeto de medidas de protección tecnológicas y organizativas apropiadas que hagan ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos;
b) se han tomado medidas ulteriores que garantizan que ya no existe la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado;
c) dicha comunicación supone un esfuerzo desproporcionado, en particular habida cuenta del número de casos afectados en cuyo caso, la autoridad realizará una comunicación pública o adoptará una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
4. La comunicación al interesado podrá retrasarse, limitarse u omitirse en las condiciones contempladas en el artículo 14, apartado 3.
Conservación, revisión, corrección y supresión de datos personales
1. Las Partes dispondrán que se establezcan plazos adecuados para la conservación de los datos personales recibidos en virtud del presente Acuerdo o para la revisión periódica de la necesidad de conservación de dichos datos, de modo que no se conserven más tiempo del necesario a los fines para los que se transfieren.
2. En cualquier caso, la necesidad de seguir conservando dichos datos personales se revisará a más tardar tres años después de su transferencia.
3. Cuando la autoridad transferente tenga motivos para creer que los datos personales anteriormente transferidos por ella son incorrectos o inexactos, han dejado de estar actualizados o no deberían haber sido transferidos, informará de ello a la autoridad receptora, quien corregirá o suprimirá los datos personales y lo notificará a la autoridad transferente.
4. Cuando la autoridad competente tenga motivos para creer que los datos personales anteriormente recibidos por ella son incorrectos o inexactos, han dejado de estar actualizados o no deberían haber sido transferidos, informará de ello a la autoridad transferente, quien expondrá su posición al respecto.
Cuando la autoridad transferente llegue a la conclusión de que los datos personales son incorrectos o inexactos, han dejado de estar actualizados o no deberían haber sido transferidos, informará de ello a la autoridad receptora, quien corregirá o suprimirá los datos personales y lo notificará a la autoridad transferente.
Registro de operaciones y documentación de los datos
1. Las Partes dispondrán la conservación de registros u otra documentación de la recogida, la alteración, la consulta, la comunicación, incluida la transferencia ulterior, la combinación y la supresión de datos personales. Para mayor seguridad, garantizarán que se pueda verificar y determinar qué datos personales han sido consultados, por quién y cuándo.
2. Los registros o la documentación a que refiere el apartado 1 estarán a disposición de la autoridad de control previa solicitud y se utilizarán únicamente a efectos de verificar la legalidad del tratamiento y el autocontrol y garantizar la integridad y la seguridad adecuadas de los datos.
Seguridad de los datos
1. Las Partes garantizarán la aplicación de medidas técnicas y organizativas para proteger los datos personales transferidos en virtud del presente Acuerdo.
2. Por lo que respecta al tratamiento automatizado de datos, las Partes garantizarán la aplicación de medidas destinadas a:
a) denegar el acceso a personas no autorizadas a los equipamientos de tratamiento de datos utilizados para el tratamiento de datos personales (control de acceso a los equipamientos);
b) impedir que los soportes de datos puedan ser leídos, copiados, modificados o retirados por personas no autorizadas (control de los soportes de datos);
c) impedir que se introduzcan sin autorización datos personales conservados, o que estos puedan inspeccionarse, modificarse o suprimirse sin autorización (control del almacenamiento);
d) impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de equipamientos de transmisión de datos (control del usuario);
e) garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado de datos solo puedan tener acceso a los datos personales para los que han sido autorizados (control del acceso a los datos);
f) garantizar que sea posible verificar y establecer a qué organismos se han transmitido o pueden transmitirse o a cuya disposición pueden ponerse los datos personales mediante equipamientos de transmisión de datos (control de la transmisión);
g) garantizar que sea posible verificar y constatar qué datos personales se han introducido en los sistemas de tratamiento automatizado de datos y en qué momento y por qué persona han sido introducidos (control de la introducción);
h) impedir que, durante las transferencias de datos personales o durante el transporte de soportes de datos, los datos personales puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte);
i) garantizar que los sistemas instalados puedan restablecerse en caso de interrupción (restablecimiento);
j) garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados (fiabilidad) y que los datos personales conservados no se degraden por fallos de funcionamiento del sistema (integridad).
Autoridad de control
1. Las Partes establecerán una o varias autoridades públicas independientes encargadas de la protección de datos para supervisar la aplicación del presente Acuerdo y garantizar su cumplimiento, con el fin de proteger los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos personales.
2. Las Partes se asegurarán de que:
a) las autoridades de control actúen con total independencia en el desempeño de sus funciones y en el ejercicio de sus competencias;
b) las autoridades de control estén libres de toda influencia externa, ya sea directa o indirecta, y no soliciten ni acepten instrucciones;
c) los miembros de las autoridades de control tengan un mandato seguro que incluya garantías contra la destitución arbitraria.
3. Las Partes se asegurarán de que las autoridades de control dispongan de los recursos humanos, técnicos y financieros, así como de los locales y las infraestructuras necesarios para el desempeño efectivo de sus funciones y el ejercicio de sus competencias.
4. Las Partes se asegurarán de que las autoridades de control dispongan de competencias efectivas de investigación e intervención para supervisar a los órganos que quedan bajo su control y para ejercitar acciones judiciales.
5. Las Partes se asegurarán de que las autoridades de control tengan competencia para conocer de las reclamaciones de los particulares sobre el uso de sus datos personales y resolverlas.
Derecho a la tutela judicial efectiva
1. Las Partes se asegurarán de que, sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tenga derecho a la tutela judicial efectiva cuando considere que los derechos que le garantiza el presente Acuerdo han sido vulnerados como consecuencia del tratamiento de sus datos personales en incumplimiento del presente Acuerdo.
2. El derecho a la tutela judicial efectiva incluirá el derecho, con arreglo a las condiciones establecidas en el marco jurídico de cada Parte, a indemnización por los daños y perjuicios, causados al interesado por dicho tratamiento como consecuencia de la infracción del Acuerdo.
Intercambio de información clasificada o sensible no clasificada de la UE
El intercambio de la información clasificada o sensible no clasificada de la UE y de Bosnia y Herzegovina, de ser necesario en virtud del presente Acuerdo, y su protección se regirán por el acuerdo de trabajo que celebren Eurojust y las autoridades competentes de Bosnia y Herzegovina.
Responsabilidad e indemnización
1. Las autoridades competentes responderán, de conformidad con sus respectivos ordenamientos jurídicos, de los daños y perjuicios causados a personas físicas como resultado de los errores de hecho o de Derecho en la información intercambiada. A fin de evitar la responsabilidad que les corresponda frente a las personas jurídicas perjudicadas en virtud de sus respectivos ordenamientos jurídicos, ni Eurojust ni las autoridades competentes de Bosnia y Herzegovina podrán alegar que la otra parte había transmitido información inexacta.
2. Si la autoridad competente ha pagado la indemnización a la persona perjudicada con arreglo al apartado 1 y su responsabilidad es el resultado de la utilización de información comunicada erróneamente por la otra autoridad competente o comunicada como consecuencia del incumplimiento por parte de la otra autoridad competente de sus obligaciones, el importe abonado en concepto de indemnización será reembolsado por la otra autoridad competente, a menos que la información se haya utilizado en contravención del presente Acuerdo.
3. Eurojust y las autoridades competentes de Bosnia y Herzegovina no se exigirán mutuamente el reembolso de las indemnizaciones punitivas o sin finalidad resarcitoria.
Gastos
Las Partes se asegurarán de que cada autoridad competente sufrague los gastos que tenga como consecuencia de la aplicación del presente Acuerdo, salvo disposición en contrario del mismo o del acuerdo de trabajo.
Acuerdo de trabajo
1. Los pormenores de la cooperación entre las Partes para la aplicación del presente Acuerdo se regirán por el acuerdo de trabajo que celebren Eurojust y las autoridades competentes de Bosnia y Herzegovina de conformidad con el Reglamento Eurojust.
2. El acuerdo de trabajo sustituirá a cualquier otro acuerdo de trabajo existente entre Eurojust y las autoridades competentes de Bosnia y Herzegovina.
Relación con otros instrumentos internacionales
El presente Acuerdo se entenderá sin perjuicio de las disposiciones de cualquier acuerdo bilateral o multilateral de cooperación o tratado de asistencia judicial, de cualquier otro acuerdo o arreglo de cooperación o de cualquier relación de cooperación judicial a nivel de trabajo en materia penal entre Bosnia y Herzegovina y cualquier Estado miembro, ni afectará a dichas disposiciones.
Notificación de la aplicación
1. Las Partes dispondrán que las autoridades competentes publiquen sus datos de contacto, así como un documento en el que se exponga, en un lenguaje claro y sencillo, la información relativa a las garantías de los datos personales que ofrece el presente Acuerdo, especialmente y como mínimo los elementos del artículo 14, apartado 1, letras a) y c), y los medios disponibles para el ejercicio de los derechos de los interesados. Las Partes enviarán una copia de dicho documento a la otra.
2. Si no hay normas al respecto en vigor, las autoridades competentes aprobarán normas que especifiquen cómo se garantizará en la práctica el cumplimiento de las disposiciones relativas al tratamiento de datos personales. Se enviará una copia de estas normas a la otra Parte y a su respectiva autoridad de control.
3. Las Partes se notificarán mutuamente cuál es la autoridad de control encargada de supervisar la aplicación del presente Acuerdo y de velar por su cumplimiento, de conformidad con el artículo 21.
Entrada en vigor y aplicación
1. El presente Acuerdo será aprobado por las Partes de conformidad con sus respectivos procedimientos.
2. El presente Acuerdo entrará en vigor el primer día del segundo mes siguiente a aquel en el curso del cual ambas Partes se hayan notificado la finalización de los procedimientos previstos en el apartado 1.
3. El presente Acuerdo comenzará a aplicarse el primer día siguiente a la fecha en que se cumplan todas las condiciones siguientes:
a) que las Partes hayan firmado el acuerdo de trabajo contemplado en el artículo 26;
b) que las Partes se hayan notificado que se han cumplido las obligaciones establecidas en el presente Acuerdo, especialmente las establecidas en el artículo 28, y
c) que las Partes se hayan comunicado que han aceptado la notificación a que se refiere la letra b) del presente párrafo.
Las Partes se notificarán por escrito la confirmación del cumplimiento de las condiciones establecidas en el párrafo primero.
4. Cada Parte podrá aplazar la transferencia de datos personales en caso de que, y siempre que, la otra Parte deje de contemplar y tutelar las garantías y obligaciones recogidas en el capítulo II del presente Acuerdo.
Modificaciones
1. Las modificaciones del presente Acuerdo podrán realizarse por escrito en cualquier momento, de común acuerdo entre las Partes, mediante canje de notificaciones escritas.
2. Las Partes podrán acordar las actualizaciones de los anexos mediante el canje de notas diplomáticas.
Revisión y evaluación
1. Las Partes revisarán conjuntamente la aplicación del presente Acuerdo un año después de su entrada en vigor y, posteriormente, a intervalos regulares y, adicionalmente, a petición de cualquiera de las Partes y por decisión conjunta.
2. Las Partes evaluarán conjuntamente el presente Acuerdo cuatro años después de su fecha inicial de aplicación.
3. Las Partes decidirán por adelantado los pormenores de la revisión y se comunicarán mutuamente la composición de sus respectivos equipos. Los equipos estarán formados por expertos destacados en los ámbitos de la protección de datos y la cooperación judicial. Sin perjuicio de las disposiciones aplicables, los participantes en la revisión conjunta deberán contar con la correspondiente habilitación de seguridad y tendrán la obligación de respetar el carácter confidencial de los debates. A efectos de cualquier revisión, las Partes garantizarán el acceso a la documentación, los sistemas y el personal pertinentes.
Arreglo de controversias y suspensión
1. Si surge una controversia en relación con la interpretación, aplicación o puesta en práctica del presente Acuerdo, así como con cualquier asunto relacionado con el mismo, los representantes de las Partes entablarán consultas y negociaciones para hallar una solución mutuamente aceptable.
2. No obstante lo dispuesto en el apartado 1, en caso de infracción grave o de incumplimiento de las obligaciones que impone el presente Acuerdo o si hay indicios de que es probable que tal infracción grave o incumplimiento de las obligaciones ocurra en un futuro próximo, cualquiera de las Partes podrá suspender la aplicación el presente Acuerdo total o parcialmente mediante notificación escrita a la otra Parte.
Dicha notificación escrita no se efectuará hasta después de que las Partes hayan entablado consultas durante un período razonable sin hallar una solución.
La suspensión surtirá efecto veinte días después de la fecha de recepción de dicha notificación. Dicha suspensión podrá ser alzada por la Parte que la haya iniciado previa notificación escrita a la otra Parte. El alza de la suspensión tendrá lugar inmediatamente después de la recepción de la citada notificación.
3. No obstante la suspensión de la aplicación del presente Acuerdo, la información que entre en su ámbito de aplicación y haya sido transferida con anterioridad a su suspensión seguirá tratándose de conformidad con el presente Acuerdo.
Terminación
1. Cualquiera de las Partes podrá poner término al presente Acuerdo notificando su denuncia por escrito a la otra Parte. La denuncia surtirá efecto tres meses después de la fecha de recepción de la notificación.
2. La información comprendida en el ámbito de aplicación del presente Acuerdo y transferida antes de su terminación seguirá siendo tratada de conformidad con la versión del Acuerdo en vigor en el momento de la terminación.
3. En caso de denuncia, las Partes llegarán a un acuerdo sobre la continuación de la utilización y la conservación de la información ya comunicada entre ellas. Si no se llega a un acuerdo, las Partes tendrán derecho a exigir que la información que ya hayan comunicado sea destruida o devuelta.
Notificaciones
1. Las notificaciones realizadas con arreglo al presente Acuerdo, se enviarán:
a) en el caso de Bosnia y Herzegovina, al Ministerio de Justicia de Bosnia y Herzegovina;
b) en el caso de la Unión, a la Comisión Europea.
2. La información sobre el destinatario de las notificaciones a que se refiere el apartado 1 podrá actualizarse por vía diplomática.
Textos auténticos
El presente Acuerdo se redacta en doble ejemplar en las lenguas oficiales de la Unión, así como en las lenguas y alfabetos de uso oficial en Bosnia y Herzegovina, en la fecha de la firma de este Acuerdo, siendo cada uno de estos textos igualmente auténtico. En caso de divergencia, prevalecerá el texto en lengua inglesa.
EN FE DE LO CUAL, los plenipotenciarios abajo firmantes debidamente facultados a tal fin firman el presente Acuerdo.
(1) Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, sobre la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust) y por el que se sustituye y deroga la Decisión 2002/187/JAI del Consejo (DO L 295 de 21.11.2018, p. 138).
(artículo 3, punto 5)
— |
terrorismo, |
— |
delincuencia organizada, |
— |
narcotráfico, |
— |
actividades de blanqueo de capitales, |
— |
delincuencia relacionada con materiales nucleares y radiactivos, |
— |
tráfico de inmigrantes, |
— |
trata de seres humanos, |
— |
delincuencia relacionada con vehículos de motor, |
— |
homicidio doloso y agresión dolosa con lesiones, |
— |
tráfico ilícito de órganos y tejidos humanos, |
— |
secuestro, detención ilegal y toma de rehenes, |
— |
racismo y xenofobia, |
— |
robo y hurto con agravantes, |
— |
tráfico ilícito de bienes culturales, incluidas antigüedades y obras de arte, |
— |
estafa y fraude, |
— |
delitos contra los intereses financieros de la Unión, |
— |
operaciones con información privilegiada y manipulación del mercado financiero, |
— |
chantaje y extorsión, |
— |
falsificación y piratería, |
— |
falsificación de documentos administrativos y tráfico de documentos falsos, |
— |
falsificación de moneda y medios de pago, |
— |
ciberdelincuencia, |
— |
corrupción, |
— |
tráfico ilícito de armas, municiones y explosivos, |
— |
tráfico ilícito de especies animales en peligro de extinción, |
— |
tráfico ilícito de especies y variedades vegetales protegidas, |
— |
delitos contra el medio ambiente, incluida la contaminación procedente de buques, |
— |
tráfico ilícito de sustancias hormonales y otros productos estimulantes del crecimiento, |
— |
abusos sexuales y explotación sexual, incluido el material sobre abuso de menores y la captación de menores con fines sexuales, |
— |
genocidio, crímenes contra la humanidad y crímenes de guerra. |
Las formas de delincuencia a que se refiere el presente anexo serán evaluadas por las autoridades competentes de Bosnia y Herzegovina de conformidad con el Derecho de Bosnia y Herzegovina.
(artículo 3, punto 3)
Las autoridades competentes de Bosnia y Herzegovina a las que Eurojust podrá transferir datos son las siguientes:
Autoridad |
Descripción de la competencia |
Ministerio de Justicia de Bosnia y Herzegovina |
Es la autoridad central de coordinación de la cooperación judicial internacional e interinstitucional en materia penal (por ejemplo, asistencia judicial mutua y contacto con órganos jurisdiccionales internacionales). Extradiciones. Funciones administrativas relacionadas con los órganos jurisdiccionales de nivel estatal. |
Fiscalías de Bosnia y Herzegovina Fiscalía de la Federación de Bosnia y Herzegovina, fiscalías cantonales Fiscalía de la República Srpska, fiscalías de distrito Fiscalía del Distrito de Brčko de Bosnia y Herzegovina |
Son las autoridades nacionales con competencia en materia de investigación y enjuiciamiento de infracciones penales. Son las autoridades nacionales con competencia para poner en práctica la cooperación judicial. |
Órganos jurisdiccionales de Bosnia y Herzegovina Tribunal Supremo de la Federación de Bosnia y Herzegovina, tribunales cantonales y tribunales municipales de la Federación de Bosnia y Herzegovina Tribunal Supremo de la República Srpska, tribunales de distrito y tribunales de primera instancia de la República Srpska Tribunal de Primera Instancia del Distrito de Brčko de Bosnia y Herzegovina y Tribunal de Apelación del Distrito de Brčko de Bosnia y Herzegovina |
Son las autoridades nacionales con competencia para dar curso a los escritos y diligencias de los fiscales durante la investigación y el enjuiciamiento de las infracciones penales. Son las autoridades nacionales con competencia para poner en práctica la cooperación judicial penal. |
Agencia Estatal de Investigación y Protección Policía de Fronteras de Bosnia y Herzegovina Dirección de Coordinación de los Órganos Policiales de Bosnia y Herzegovina Ministerio del Interior de la Federación de Bosnia y Herzegovina (Administración Policial de la Federación de Bosnia y Herzegovina), ministerios cantonales del interior (administraciones policiales cantonales) de la Federación de Bosnia y Herzegovina Ministerio del Interior de la República Srpska (Administración Policial, Administración de Policía Criminal, Administración para la Delincuencia Organizada y Grave, Administración para la Lucha contra el Terrorismo y el Extremismo) Policía del Distrito de Brčko de Bosnia y Herzegovina |
Son las autoridades nacionales con competencia para practicar las medidas de investigación bajo la supervisión del fiscal competente. |
(artículo 3, punto 4)
Órganos de la Unión con los que Eurojust puede compartir datos personales:
— Banco Central Europeo (BCE)
— Oficina Europea de Lucha contra el Fraude (OLAF)
— Agencia Europea de la Guardia de Fronteras y Costas (Frontex)
— Oficina de Propiedad Intelectual de la Unión Europea (OPIUE)
— Misiones y operaciones de la política común de seguridad y defensa, limitadas a las actividades policiales y judiciales
— Agencia de la Unión Europea para la Cooperación Policial (Europol)
— Fiscalía Europea
State Agency Official State Gazette
Avda. de Manoteras, 54 - 28050 Madrid