Art. 26
Intercambios de datos personales con entidades privadas
En vigor desde 11 may 2016
Artículo 26
Intercambios de datos personales con entidades privadas
1. En la medida en que sea necesario para el desempeño de sus tareas, Europol podrá tratar datos personales procedentes de entidades privadas siempre que hayan sido recibidos a través de:
a)
una unidad nacional de conformidad con el Derecho nacional;
b)
el punto de contacto de un país tercero o una organización internacional con la que Europol haya concluido, antes del 1 de mayo de 2017, un acuerdo de cooperación que permita el intercambio de datos personales de conformidad con el artículo 23 de la Decisión 2009/371/JAI, o
c)
una autoridad de un país tercero o una organización internacional que estén sujetas a una decisión de adecuación según se contempla en el artículo 25, apartado 1, letra a), del presente Reglamento o con las que la Unión haya celebrado un acuerdo internacional con arreglo al artículo 218 del TFUE.
2. En los casos en los que, no obstante, Europol reciba datos personales directamente de entidades privadas y cuando la unidad nacional, el punto de contacto o la autoridad interesados a que se hace referencia en el apartado 1 no puedan ser identificados, Europol podrá tratar dichos datos personales únicamente con el fin de identificar a dichas entidades. Posteriormente, los datos personales serán enviados inmediatamente a la unidad nacional, el punto de contacto o la autoridad interesados y se borrarán a no ser que la unidad nacional, punto de contacto o autoridad interesados vuelva a presentar esos datos personales de conformidad con el artículo 19, apartado 1, dentro del plazo de cuatro meses desde el momento en que se haya producido la transferencia. Europol garantizará por medios técnicos que durante ese plazo los datos no sean accesibles para ser procesados con otra finalidad.
3. De resultas de la transferencia de datos personales conforme al apartado 5, letra c), del presente artículo, Europol podrá, en relación con esta, recibir directamente de entidades privadas datos personales que la entidad privada de que se trate declare que se le permite transmitir legalmente de conformidad con la legislación aplicable para tratar esos datos a fin de llevar a cabo el cometido indicado en el artículo 4, apartado 1, letra m).
4. Si Europol recibe datos personales de una entidad privada de un país tercero con el que no se haya celebrado un acuerdo, ni sobre la base del artículo 23 de la Decisión 2009/371/JAI, ni sobre la base del artículo 218 del TFUE o que no esté sujeto a una decisión de adecuación según se contempla en el artículo 25, apartado 1, letra a), del presente Reglamento, Europol podrá enviar dichos datos únicamente a un Estado miembro o un país tercero interesados con los que se haya celebrado un acuerdo de ese tipo.
5. Europol no podrá transferir datos personales a entidades privadas excepto cuando, caso por caso, cuando resulte estrictamente necesario y sujeto a cualquier posible restricción que pueda estipularse en virtud del artículo 19, apartados 2, o 3, y sin perjuicio del artículo 67:
a)
la transferencia revista un interés indudable para el interesado y este haya dado su consentimiento, o las circunstancias permitan suponer inequívocamente dicho consentimiento, o
b)
la transferencia sea absolutamente necesaria para prevenir la perpetración inminente de un delito, incluido el terrorismo, para el que Europol sea competente, o
c)
la transferencia de datos personales que estén públicamente disponibles, sea estrictamente necesaria para llevar a cabo el cometido indicado en el artículo 4, apartado 1, letra m), y se cumplan las siguientes condiciones:
i)
que la transferencia se refiera a un caso particular y específico, y
ii)
que los derechos y libertades fundamentales del interesado en cuestión no primen sobre el interés público que exija la transferencia de que se trate.
6. En relación con el apartado 5, letras a) y b), del presente artículo, si la entidad privada de que se trate no está establecida en la Unión o en un país con el que Europol tenga un acuerdo de cooperación que permita el intercambio de datos personales o con el que la Unión haya celebrado un acuerdo internacional en virtud del artículo 218 del TFUE o que sea objeto de una decisión de adecuación según se contempla en el artículo 25, apartado 1, letra a), del presente Reglamento, la transferencia solo se autorizará si la transferencia es:
a)
necesaria para proteger los intereses vitales del interesado o de otra persona;
b)
necesaria para proteger intereses legítimos del interesado;
c)
esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un país tercero;
d)
necesaria en casos concretos a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales en el ámbito de competencias de Europol, o
e)
necesaria en casos concretos para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal específica en el ámbito de competencias de Europol.
7. Europol garantizará el registro detallado de todas las transferencias de datos personales así como las motivaciones para dichas transferencias, de conformidad con el presente Reglamento, y comunicará las correspondientes anotaciones al SEPD a petición de este con arreglo a lo dispuesto en el artículo 40.
8. Si los datos personales recibidos o por transferir afectan a los intereses de un Estado miembro, Europol informará inmediatamente a la unidad nacional del Estado miembro de que se trate.
9. Europol no podrá ponerse en contacto con entidades privadas para recabar datos personales.
10. La Comisión evaluará la práctica de los intercambios directos de datos personales con entidades privadas antes del 1 de mayo de 2019.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg:2016:794:oj#art-26