Art. 3
Alcance de la excepción
En vigor desde 14 jul 2021
Artículo 3
Alcance de la excepción
1. El artículo 5, apartado 1, y el artículo 6, apartado 1, de la Directiva 2002/58/CE no se aplicarán a la confidencialidad de las comunicaciones que impliquen el tratamiento de datos personales y de otro tipo por parte de los proveedores en relación con la prestación de servicios de comunicaciones interpersonales independientes de la numeración, siempre que:
a)
el tratamiento sea:
i)
estrictamente necesario para el uso de tecnologías específicas con el único fin de detectar y retirar el material de abuso sexual de menores en línea y denunciarlo a las autoridades policiales y a las organizaciones que actúen en interés público contra los abusos sexuales de menores, y de detectar el embaucamiento de menores y denunciarlo a las autoridades policiales y a las organizaciones que actúen en interés público contra los abusos sexuales de menores,
ii)
proporcionado y se limite a tecnologías utilizadas por los proveedores para los fines establecidos en el inciso i),
iii)
limitado a los datos de contenido y de datos de tráfico conexos que sean estrictamente necesarios para los fines establecidos en el inciso i),
iv)
limitado a lo estrictamente necesario para los fines establecidos en el inciso i);
b)
las tecnologías utilizadas para los fines establecidos en la letra a), inciso i),del presente apartado correspondan al estado de la técnica en el sector y sean las menos intrusivas para la intimidad, teniendo en cuenta también el principio de protección de datos desde el diseño y por defecto, tal como se establece en el artículo 25 del Reglamento (UE) 2016/679 y, en la medida en que se utilicen para escanear el texto de comunicaciones, que no sean capaces de deducir la sustancia del contenido de las comunicaciones, sino que sean únicamente capaces de detectar patrones que apunten a posibles abusos sexuales de menores en línea;
c)
en relación con cualquier tecnología específica utilizada para los fines establecidos en la letra a), inciso i), del presente apartado, se hayan llevado a cabo previamente una evaluación de impacto relativa a la protección de datos a que se refiere el artículo 35 del Reglamento (UE) 2016/679 y un procedimiento de consulta previa a que se refiere el artículo 36 de dicho Reglamento;
d)
con respecto a tecnologías nuevas, es decir, tecnologías utilizadas para detectar material de abuso sexual de menores en línea que no hayan sido utilizadas por ningún proveedor para servicios prestados a los usuarios de servicios de comunicaciones interpersonales independientes de la numeración (en lo sucesivo, «usuarios») en la Unión antes del 2 de agosto de 2021, y con respecto a tecnologías utilizadas para detectar el posible embaucamiento de menores, el proveedor informe a la autoridad competente sobre las medidas adoptadas para demostrar la conformidad con el asesoramiento por escrito emitido de conformidad con el artículo 36, apartado 2, del Reglamento (UE) 2016/679 por la autoridad de control competente designada a efectos del capítulo VI, sección 1, de dicho Reglamento (en lo sucesivo, «autoridad de control») durante el procedimiento de consulta previa;
e)
las tecnologías utilizadas sean lo suficientemente fiables en cuanto que limiten en la mayor medida posible la tasa de errores en la detección de contenidos que representan abusos sexuales de menores en línea y, cuando se produzcan tales errores ocasionales, permitan rectificar sus consecuencias sin demora;
f)
las tecnologías utilizadas para detectar patrones del posible embaucamiento de menores se limiten al uso de indicadores fundamentales pertinentes y factores de riesgo identificados objetivamente, como la diferencia de edad y la probable participación de un menor en la comunicación escaneada, sin perjuicio del derecho a una revisión humana;
g)
los proveedores:
i)
hayan establecido procedimientos internos para prevenir el abuso, el acceso no autorizado y las transferencias no autorizadas de datos personales y de otro tipo,
ii)
garanticen la supervisión y, en caso necesario, la intervención humanas en relación con el tratamiento de datos personales y de otro tipo mediante la utilización de tecnologías a las que se aplica el presente Reglamento,
iii)
se aseguren de que el material que no se haya considerado anteriormente material de abuso sexual de menores en línea no se remita sin confirmación humana previa a las autoridades policiales o a las organizaciones que actúan en interés público contra los abusos sexuales de menores,
iv)
hayan establecido procedimientos y mecanismos de recurso adecuados para garantizar que los usuarios les puedan presentar reclamaciones en un plazo razonable con el fin de hacer oír su opinión,
v)
informen a los usuarios de manera clara, destacada y comprensible de que han invocado, de conformidad con el presente Reglamento, la excepción legal a los artículos 5, apartado 1, y 6, apartado 1, de la Directiva 2002/58/CE en relación con la confidencialidad de las comunicaciones de los usuarios, únicamente para los fines establecidos en la letra a), inciso i), del presente apartado, la lógica subyacente a las medidas que hayan tomado en virtud de la excepción y el impacto en la confidencialidad de las comunicaciones de los usuarios, incluida la posibilidad de que los datos personales se compartan con las autoridades policiales y las organizaciones que actúen en interés público contra los abusos sexuales de menores,
vi)
informen a los usuarios de los siguientes extremos, en caso de retirada de sus contenidos o bloqueo de su cuenta o suspensión del servicio que se les ofrecía:
1)
las vías para recurrir ante ellos;
2)
la posibilidad de presentar una reclamación ante una autoridad de control, y
3)
el derecho a un recurso judicial,
vii)
a más tardar el 3 de febrero de 2022 y, posteriormente, a más tardar, el 31 de enero de cada año, publiquen y presenten un informe a la autoridad de control competente y a la Comisión sobre el tratamiento de datos personales en virtud del presente Reglamento, incluyendo sobre:
1)
el tipo y el volumen de datos tratados;
2)
el motivo específico invocado para el tratamiento de conformidad con el Reglamento (UE) 2016/679;
3)
el motivo invocado para las transferencias de datos personales fuera de la Unión de conformidad con el capítulo V del Reglamento (UE) 2016/679, en su caso;
4)
el número de casos detectados de abusos sexuales de menores en línea, diferenciando entre material de abuso sexual de menores en línea y embaucamiento de menores;
5)
el número de casos en los que un usuario ha presentado una reclamación ante el mecanismo de recurso interno o ante una autoridad judicial y el resultado de dichas reclamaciones;
6)
el número y las tasas de errores (falsos positivos) de las diferentes tecnologías utilizadas;
7)
las medidas aplicadas para limitar la tasa de error y la tasa de error alcanzada;
8)
la política de conservación de los datos y las salvaguardias de protección de datos aplicadas conforme al Reglamento (UE) 2016/679;
9)
el nombre de las organizaciones que actúan en interés público contra los abusos sexuales de menores con las que se hayan compartido datos en virtud del presente Reglamento;
h)
cuando se haya detectado un presunto abuso sexual de menores en línea, los datos de contenido y los datos de tráfico conexos tratados a los efectos de la letra a), inciso i), así como los datos personales generados mediante dicho tratamiento se almacenen de manera segura y únicamente con los fines siguientes:
i)
denunciar sin demora el presunto abuso sexual de menores en línea a las autoridades policiales y judiciales competentes o a organizaciones que actúen en interés público contra los abusos sexuales de menores,
ii)
bloquear la cuenta del usuario de que se trata, o de suspender o poner fin a la prestación del servicio a dicho usuario,
iii)
crear una firma digital única y no reconvertible («hash») de datos identificados de forma fiable como material de abuso sexual de menores en línea,
iv)
permitir al usuario de que se trate recurrir ante el proveedor o interponer recursos administrativos o judiciales en asuntos relacionados con el presunto abuso sexual de menores en línea, o
v)
responder a las solicitudes emitidas por las autoridades policiales y judiciales competentes de conformidad con el Derecho aplicable para proporcionarles los datos necesarios para la prevención, detección, investigación o enjuiciamiento de infracciones penales establecidas en la Directiva 2011/93/UE;
i)
los datos no se almacenen más tiempo del estrictamente necesario para el fin pertinente establecido en la letra h) y, en cualquier caso, no más de doce meses a partir de la fecha en que se detectó el presunto abuso sexual de menores en línea;
j)
se denuncie sin demora todo caso de sospecha fundada y verificada de abuso sexual de menores en línea a las autoridades policiales nacionales competentes o a organizaciones que actúen en interés público contra los abusos sexuales de menores.
2. La condición establecida en el apartado 1, letra c), no se aplicará hasta el 3 de abril de 2022 a los proveedores:
a)
que utilizaban una tecnología específica antes del 2 de agosto de 2021 para los fines establecidos en el apartado 1, letra a), inciso i), sin haber completado previamente un procedimiento de consulta con respecto a dicha tecnología;
b)
que inicien un procedimiento de consulta antes del 3 de septiembre de 2021, y
c)
que cooperen debidamente con la autoridad de control competente en relación con el procedimiento de consulta a que se refiere la letra b).
3. La condición establecida en el apartado 1, letra d), no se aplicará hasta el 3 de abril de 2022 a los proveedores que:
a)
utilizaban una tecnología contemplada en el apartado 1, letra d), antes del 2 de agosto de 2021 sin haber completado previamente un procedimiento de consulta con respecto a dicha tecnología;
b)
inicien un procedimiento a que se refiere el apartado 1, letra d), antes del 3 de septiembre de 2021, y
c)
cooperen debidamente con la autoridad de control competente en relación con el procedimiento previsto en el apartado 1, letra d).
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg:2021:1232:oj#art-3