Art. 1 · Tratamiento de datos personales en apoyo de una investigación penal

Art. 1

Tratamiento de datos personales en apoyo de una investigación penal

En vigor desde 8 jun 2022
Artículo 1 El Reglamento (UE) 2016/794 se modifica como sigue: 1) El artículo 2 se modifica como sigue: a) se suprimen las letras h) a k) y las letras m), n) y o); b) la letra p) se sustituye por el texto siguiente: «p) “datos personales administrativos”: los datos personales tratados por Europol que no sean datos personales operativos;»; c) se añaden las letras siguientes: «q) “datos de investigación”: los datos que un Estado miembro, la Fiscalía Europea creada por el Reglamento (UE) 2017/1939 del Consejo (*1), Eurojust o un tercer país esté autorizado a tratar en una investigación penal en curso relacionada con uno o varios Estados miembros, de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión o nacional, que un Estado miembro, la Fiscalía Europea, Eurojust o un tercer país haya facilitado a Europol en apoyo de dicha investigación penal en curso y que contengan datos personales que no atañan a las categorías de interesados enumeradas en el anexo II; r) “contenidos terroristas”: los contenidos terroristas tal como se definen en el artículo 2, punto 7, del Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo (*2); s) “material en línea de abusos sexuales a menores”: el material en línea que constituya pornografía infantil tal como se define esta en el artículo 2, letra c), de la Directiva 2011/93/UE del Parlamento Europeo y del Consejo (*3) o espectáculo pornográfico tal como se define este en el artículo 2, letra e), de dicha Directiva; t) “situación de crisis en línea”: la difusión de contenido en línea derivado de un acontecimiento real actual o reciente, que muestre imágenes de agresiones contra la vida o la integridad física o que incite a agresiones inminentes contra la vida o la integridad física y que tenga por objeto o por efecto intimidar gravemente a una población, siempre que exista un vínculo, o una sospecha razonable de un vínculo, con el terrorismo o el extremismo violento y que se prevean una potencial multiplicación exponencial y una difusión viral de ese contenido a través de múltiples servicios en línea; u) “categoría de transferencias de datos personales”: un conjunto de transferencias de datos personales cuando los datos se refieran a la misma situación específica y cuando las transferencias consistan en las mismas categorías de datos personales y las mismas categorías de interesados; v) “proyectos de investigación e innovación”: los proyectos relativos a las materias reguladas por el presente Reglamento, que tengan por objeto el desarrollo, el entrenamiento, la prueba y la validación de algoritmos para el desarrollo de herramientas específicas, y otros proyectos específicos de investigación e innovación que resulten pertinentes para lograr los objetivos de Europol. (*1)  Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1)." (*2)  Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo, de 29 de abril de 2021, sobre la lucha contra la difusión de contenidos terroristas en línea (DO L 172 de 17.5.2021, p. 79)." (*3)  Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión Marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).»." 2) El artículo 4 se modifica como sigue: a) el apartado 1 se modifica como sigue: i) se inserta la letra siguiente: «h bis) prestar apoyo administrativo y financiero a las unidades especiales de intervención de los Estados miembros a que se refiere la Decisión 2008/617/JAI del Consejo (*4). (*4)  Decisión 2008/617/JAI del Consejo, de 23 de junio de 2008, sobre la mejora de la cooperación entre las unidades especiales de intervención de los Estados miembros de la Unión Europea en situaciones de crisis (DO L 210 de 6.8.2008, p. 73).»," ii) la letra j) se sustituye por el texto siguiente: «j) cooperar con los organismos de la Unión establecidos sobre la base del título V del TFUE, con la OLAF y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) creada por el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (*5), en particular, mediante el intercambio de información y la prestación de apoyo analítico en ámbitos incluidos dentro de sus respectivas competencias; (*5)  Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (“Reglamento sobre la Ciberseguridad”) (DO L 151 de 7.6.2019, p. 15).»," iii) la letra m) se sustituye por el texto siguiente: «m) respaldar las acciones de los Estados miembros para prevenir y combatir las formas de delincuencia enumeradas en el anexo I que hayan sido facilitadas, fomentadas o cometidas a través de internet, incluyendo las siguientes actuaciones: i) ayudar a las autoridades competentes de los Estados miembros, a petición de estas, a responder a ciberataques de presunto origen delictivo, ii) cooperar con las autoridades competentes de los Estados miembros en relación con las órdenes de retirada, de conformidad con el artículo 14 del Reglamento (UE) 2021/784, y iii) notificar contenidos en línea a los proveedores de servicios en línea de que se trate para que examinen de manera voluntaria la compatibilidad de esos contenidos con sus propias condiciones contractuales.», iv) se añaden las letras siguientes: «r) apoyar a los Estados miembros en la identificación de las personas cuyas actividades delictivas se incluyen en las formas de delincuencia enumeradas en el anexo I y que constituyen un alto riesgo para la seguridad; s) facilitar investigaciones conjuntas, coordinadas y prioritarias en relación con las personas a que se refiere la letra r); t) apoyar a los Estados miembros en el tratamiento de los datos sobre personas implicadas en terrorismo o en formas de delincuencia grave facilitados a Europol por terceros países u organizaciones internacionales y proponer la posible introducción por parte de los Estados miembros, a su discreción y a reserva de su propia comprobación y análisis de dichos datos, de las descripciones de información en interés de la Unión relativas a nacionales de terceros países (en lo sucesivo, “descripciones de información”) en el Sistema de Información de Schengen (SIS), de conformidad con el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo (*6); u) apoyar la aplicación del mecanismo de evaluación y seguimiento para verificar la aplicación del acervo de Schengen que establece el Reglamento (UE) n.o 1053/2013, dentro del ámbito de los objetivos de Europol, proporcionando conocimientos especializados y análisis, cuando sea pertinente; v) hacer un seguimiento proactivo de las actividades de investigación e innovación que sean pertinentes para el logro de los objetivos de Europol y contribuir a tales actividades mediante un apoyo a las actividades conexas de los Estados miembros y mediante la ejecución de sus propias actividades de investigación e innovación, incluidos los proyectos de desarrollo, entrenamiento, prueba y validación de algoritmos para el desarrollo de herramientas específicas para su uso por las autoridades policiales, y difundir los resultados de dichas actividades entre los Estados miembros de conformidad con el artículo 67; w) contribuir a crear sinergias entre las actividades de investigación e innovación de los organismos de la Unión, que sean pertinentes para el logro de los objetivos de Europol, también por medio del Centro de Innovación de la UE para la Seguridad Interior, y en estrecha colaboración con los Estados miembros; x) apoyar, previa solicitud de los Estados miembros, las acciones de estos para hacer frente a situaciones de crisis en línea, en particular, proporcionando a las entidades privadas la información necesaria para identificar los contenidos en línea pertinentes; y) respaldar las acciones de los Estados miembros para hacer frente a la difusión en línea de material en línea de abusos sexuales a menores; z) cooperar, de conformidad con el artículo 12 de la Directiva (UE) 2019/1153 del Parlamento Europeo y del Consejo (*7), con las unidades de inteligencia financiera (UIF) establecidas con arreglo a la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo (*8), por medio de la correspondiente unidad nacional de Europol o, si así lo permite el Estado miembro de que se trate, mediante un contacto directo con las UIF, en particular, intercambiando información y proporcionando análisis a los Estados miembros para apoyar las investigaciones transfronterizas de las actividades de blanqueo de capitales de organizaciones delictivas transnacionales y las de financiación del terrorismo; (*6)  Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (DO L 312 de 7.12.2018, p. 56)." (*7)  Directiva (UE) 2019/1153 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se establecen normas destinadas a facilitar el uso de información financiera y de otro tipo para la prevención, detección, investigación o enjuiciamiento de infracciones penales y por la que se deroga la Decisión 2000/642/JAI del Consejo (DO L 186 de 11.7.2019, p. 122)." (*8)  Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) n.o 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión (DO L 141 de 5.6.2015, p. 73).»," v) se añaden los párrafos siguientes: «Se establecerá un mecanismo de información periódica para que los Estados miembros informen a los demás Estados miembros y a Europol, en un plazo de doce meses desde que Europol haya propuesto la posible introducción de una descripción de información a que se refiere la letra t) del párrafo primero, sobre el resultado de la comprobación y análisis de los datos y sobre si se ha introducido en el SIS alguna descripción. Los Estados miembros informarán a Europol de cualquier descripción de información introducida en el SIS y de cualquier respuesta positiva en relación con dicha descripción de información, y podrán informar, por medio de Europol, sobre las respuestas positivas relacionadas con dicha descripción de información al tercer país u organización internacional que haya facilitado los datos que hayan dado lugar a la introducción de la descripción de información, de conformidad con el procedimiento establecido en el Reglamento (UE) 2018/1862.»; b) en el apartado 2, la segunda frase se sustituye por el texto siguiente: «Europol prestará asistencia igualmente en la ejecución operativa de esas prioridades, en particular, en el marco de la plataforma multidisciplinar europea contra las amenazas delictivas (EMPACT), también facilitando y ofreciendo apoyo administrativo, logístico, financiero y operativo a las actividades operativas y estratégicas dirigidas por los Estados miembros.»; c) en el apartado 3, se añade la frase siguiente: «Europol también proporcionará análisis de evaluación de amenazas basados en la información que obre en su poder sobre fenómenos y tendencias delictivas para apoyar a la Comisión y a los Estados miembros en la realización de las evaluaciones de riesgos.»; d) se insertan los apartados siguientes: «4 bis.   Europol asistirá a los Estados miembros y a la Comisión en la identificación de los temas clave de investigación. Europol asistirá a la Comisión en la elaboración y ejecución de los programas marco de la Unión para las actividades de investigación e innovación que sean pertinentes para lograr los objetivos de Europol. Cuando sea conveniente, Europol podrá difundir los resultados de sus actividades de investigación e innovación como parte de su contribución a la creación de sinergias entre las actividades de investigación e innovación de los correspondientes organismos de la Unión, de conformidad con el apartado 1, párrafo primero, letra w). Europol adoptará todas las medidas necesarias para evitar conflictos de intereses. Europol no podrá recibir financiación de un determinado programa marco de la Unión cuando asista a la Comisión en la identificación de los temas clave de investigación y en la elaboración y ejecución de dicho programa. A la hora de diseñar y conceptualizar las actividades de investigación e innovación relativas a las materias objeto del presente Reglamento, Europol podrá, en su caso, consultar al Centro Común de Investigación de la Comisión. 4 ter.   Europol apoyará a los Estados miembros en el control de casos específicos de inversiones extranjeras directas en la Unión, en lo que respecta a las implicaciones previstas para la seguridad en virtud del Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo (*9) que afecten a empresas que suministren tecnologías, incluidos programas informáticos, utilizadas por Europol para la prevención e investigación de delitos que se incluyan en los objetivos de Europol. (*9)  Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo, de 19 de marzo de 2019, para el control de las inversiones extranjeras directas en la Unión (DO L 79 I de 21.3.2019, p. 1).»;" e) el apartado 5 se sustituye por el texto siguiente: «5.   Europol no aplicará medidas coercitivas en el desempeño de sus funciones. El personal de Europol podrá prestar apoyo operativo a las autoridades competentes de los Estados miembros durante la ejecución de las medidas de investigación, a petición de estas y de conformidad con su Derecho nacional, en particular, facilitando el intercambio transfronterizo de información, proporcionando apoyo criminalístico y técnico, y estando presente durante la ejecución de dichas medidas. El personal de Europol no estará facultado por sí mismo para ejecutar medidas de investigación.»; f) se añade el apartado siguiente: «5 bis.   En el ejercicio de sus funciones, Europol respetará los derechos y libertades fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, “Carta”).». 3) El artículo 6 se modifica como sigue: a) se inserta el apartado siguiente: «1 bis.   Sin perjuicio de lo dispuesto en el apartado 1, cuando el director ejecutivo considere que debe abrirse una investigación penal sobre un delito específico que afecte solo a un Estado miembro pero lesione un interés común protegido por una política de la Unión, podrá proponer a las autoridades competentes del Estado miembro afectado, a través de su unidad nacional, que inicien, realicen o coordinen dicha investigación penal.»; b) el apartado 2 se sustituye por el texto siguiente: «2.   Las unidades nacionales informarán sin demora indebida a Europol, en relación con cualquier solicitud formulada con arreglo al apartado 1, o al director ejecutivo, en relación con cualquier propuesta realizada con arreglo al apartado 1 bis, de la decisión de las autoridades competentes de los Estados miembros.»; c) el apartado 4 se sustituye por el texto siguiente: «4.   Europol informará de inmediato a Eurojust y, cuando proceda, a la Fiscalía Europea, de cualquier solicitud formulada con arreglo al apartado 1 o cualquier propuesta realizada con arreglo al apartado 1 bis, y de cualquier decisión de una autoridad competente de un Estado miembro con arreglo al apartado 2.». 4) En el artículo 7, el apartado 8 se sustituye por el texto siguiente: «8.   Los Estados miembros velarán por que sus UIF estén facultadas para responder, dentro de los límites de sus mandatos y competencias y respetando las garantías procesales nacionales, a las solicitudes debidamente justificadas que formule Europol de conformidad con el artículo 12 de la Directiva (UE) 2019/1153 relativas a información financiera y análisis financieros, bien por medio de su unidad nacional o bien, si así lo permite el correspondiente Estado miembro, mediante contactos directos entre la UIF y Europol.». 5) En el artículo 11, el apartado 1 se modifica como sigue: a) la letra a) se sustituye por el texto siguiente: «a) adoptará cada año el documento único de programación a que se refiere el artículo 32 del Reglamento Delegado (UE) 2019/715 de la Comisión (*10), por mayoría de dos tercios de sus miembros y de conformidad con el artículo 12 del presente Reglamento. (*10)  Reglamento Delegado (UE) 2019/715 de la Comisión, de 18 de diciembre de 2018, relativo al Reglamento Financiero marco de los organismos creados en virtud del TFUE y el Tratado Euratom y a los que se refiere el artículo 70 del Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo (DO L 122 de 10.5.2019, p. 1).»;" b) se añaden las letras siguientes: «v) designará al agente de derechos fundamentales a que se refiere el artículo 41 quater; w) especificará los criterios sobre cuya base Europol podrá formular propuestas para la posible introducción de descripciones de información en el SIS.». 6) El artículo 12 se modifica como sigue: a) el apartado 1 se sustituye por el texto siguiente: «1.   El Consejo de Administración adoptará a más tardar el 30 de noviembre de cada año un documento único de programación que incluya la programación plurianual de Europol y el programa de trabajo anual, sobre la base de un proyecto presentado por el director ejecutivo, teniendo en cuenta el dictamen de la Comisión y, en lo que respecta a la programación plurianual, previa consulta al Grupo de Control Parlamentario Conjunto (GCPC). Cuando el Consejo de Administración decida no tener en cuenta el dictamen de la Comisión mencionado en el párrafo primero, en su totalidad o en parte, Europol proporcionará una justificación exhaustiva. Cuando el Consejo de Administración decida no tener en cuenta ninguna de las cuestiones planteadas por el GCPC de conformidad con el artículo 51, apartado 2, letra c), Europol proporcionará una justificación exhaustiva. Una vez se haya adoptado el documento único de programación, el Consejo de Administración lo remitirá al Consejo, a la Comisión y al GCPC.»; b) En el apartado 2, el párrafo primero se sustituye por el texto siguiente: «La programación plurianual fijará la programación estratégica general, incluidos los objetivos, los resultados esperados y los indicadores de rendimiento. También establecerá la planificación de los recursos, incluidos el presupuesto plurianual y la plantilla de personal. Incluirá la estrategia sobre las relaciones con terceros países u organizaciones internacionales y las actividades de investigación e innovación previstas por Europol.». 7) En el artículo 14, el apartado 4 se sustituye por el texto siguiente: «4.   El Consejo de Administración podrá invitar a sus reuniones, en calidad de observador sin derecho a voto, a cualquier persona cuya opinión pueda ser de interés para la discusión. Se invitará a dos representantes del GCPC a asistir a dos reuniones ordinarias del Consejo de Administración al año, en calidad de observadores sin derecho a voto para discutir las siguientes cuestiones de interés político: a) el informe anual de actividad consolidado mencionado en el artículo 11, apartado 1, letra c), correspondiente al año anterior; b) el documento único de programación mencionado en el artículo 12 y correspondiente al año siguiente, así como el presupuesto anual; c) las preguntas y respuestas por escrito del GCPC; d) las cuestiones relativas a las relaciones exteriores y las asociaciones. El Consejo de Administración, junto con los representantes del GCPC, podrá determinar otras cuestiones de interés político que deban discutirse en las reuniones mencionadas en el párrafo primero.». 8) El artículo 16 se modifica como sigue: a) el apartado 3 se sustituye por el texto siguiente: «3.   Tanto el Consejo como el GCPC podrán convocar al director ejecutivo para que informe sobre el ejercicio de sus funciones.»; b) el apartado 5 se modifica como sigue: i) la letra d) se sustituye por el texto siguiente: «d) la preparación del proyecto de documento único de programación a que se refiere el artículo 12 y su presentación al Consejo de Administración, previa consulta a la Comisión y al GCPC;», ii) se inserta la letra siguiente: «o bis) la información al Consejo de Administración sobre los memorandos de entendimiento firmados con entidades privadas;». 9) El artículo 18 se modifica como sigue: a) el apartado 2 se modifica como sigue: i) la letra d) se sustituye por el texto siguiente: «d) intercambios más ágiles de información entre los Estados miembros, Europol, otros organismos de la Unión, terceros países, organizaciones internacionales y entidades privadas;», ii) se añaden las letras siguientes: «e) proyectos de investigación e innovación; f) actividades destinadas a apoyar a los Estados miembros, previa solicitud de estos, a la hora de informar al público sobre los sospechosos o las personas condenadas en búsqueda sobre la base de una resolución judicial nacional relativa a un delito que se incluya en los objetivos de Europol, y a facilitar que el público proporcione información sobre dichas personas a los Estados miembros y a Europol.»; b) se inserta el apartado siguiente: «3 bis.   De ser necesario para lograr los objetivos de los proyectos de investigación e innovación de Europol, el tratamiento de datos personales con dicho fin se llevará a cabo únicamente en el contexto de proyectos de investigación e innovación de Europol con unos fines y objetivos claramente definidos y de conformidad con el artículo 33 bis.»; c) el apartado 5 se sustituye por el texto siguiente: «5.   Sin perjuicio de lo dispuesto en el artículo 8, apartado 4, el artículo 18, apartado 2, letra e), el artículo 18 bis, y del tratamiento de datos en virtud del artículo 26, apartado 6 quater, cuando la infraestructura de Europol se emplee para intercambios bilaterales de datos personales y Europol no disponga de acceso al contenido de los datos, las categorías de datos personales y las categorías de interesados cuyos datos pueden ser recogidos y tratados a efectos del apartado 2 del presente artículo se enumeran en el anexo II.»; d) se inserta el apartado siguiente: «5 bis.   De conformidad con el artículo 73 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (*11), cuando corresponda, y en la medida de lo posible, Europol hará una distinción clara entre los datos personales que atañen a las diferentes categorías de interesados enumeradas en el anexo II. (*11)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).»;" e) el apartado 6 se sustituye por el texto siguiente: «6.   Europol podrá tratar datos de forma temporal con el fin de determinar si tales datos son pertinentes para el desempeño de sus funciones y, en caso de que lo sean, para qué fines de los mencionados en el apartado 2. El plazo para el tratamiento de dichos datos no superará los seis meses a partir de la recepción de los datos.»; f) se insertan los apartados siguientes: «6 bis.   Antes del tratamiento de datos en aplicación del apartado 2 del presente artículo, cuando resulte estrictamente necesario con el único fin de determinar si los datos personales se ajustan a lo dispuesto en el apartado 5 del presente artículo, Europol podrá tratar temporalmente los datos personales que se le hayan facilitado en virtud del artículo 17, apartados 1 y 2, incluido el cotejo de esos datos con todos los datos que Europol ya trate de conformidad con el apartado 5 del presente artículo. Europol tratará datos personales en virtud del párrafo primero durante un período máximo de dieciocho meses a partir del momento en que Europol determine que esos datos se incluyen en sus objetivos o, en casos justificados, durante un período más largo, cuando sea necesario a efectos del presente artículo. Europol informará al SEPD de toda ampliación del período de tratamiento. El período máximo de tratamiento de datos en virtud del párrafo primero será de tres años. Dichos datos personales se conservarán de tal modo que exista una separación funcional de otros datos. Cuando Europol llegue a la conclusión de que los datos personales a los que se refiere el párrafo primero del presente apartado no se ajustan a lo dispuesto en el apartado 5, los suprimirá e informará de ello, en su caso, al proveedor de los datos suprimidos. 6 ter.   El Consejo de Administración, a propuesta del director ejecutivo, tras haber consultado al SEPD y teniendo debidamente en cuenta los principios mencionados en el artículo 71 del Reglamento (UE) 2018/1725, especificará las condiciones relativas al tratamiento de los datos a los que se refieren los apartados 6 y 6 bis del presente artículo, en particular, en lo que respecta al suministro, el acceso y el uso de esos datos, así como a los plazos de conservación y supresión de tales datos, que no superarán los indicados en los apartados 6 y 6 bis del presente artículo.». 10) se inserta el artículo siguiente: «Artículo 18 bis Tratamiento de datos personales en apoyo de una investigación penal 1.   Cuando sea necesario para apoyar una investigación penal específica en curso que entre en el ámbito de los objetivos de Europol, Europol podrá tratar los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II en el caso de que: a) un Estado miembro, la Fiscalía Europea o Eurojust facilite datos de investigación a Europol en aplicación del artículo 17, apartado 1, letras a) o b), y solicite a Europol apoyo en esa investigación: i) mediante un análisis operativo en virtud del artículo 18, apartado 2, letra c), o ii) en casos excepcionales y debidamente justificados, mediante controles cruzados en virtud del artículo 18, apartado 2, letra a); b) Europol valore que no es posible llevar a cabo el análisis operativo en virtud del artículo 18, apartado 2, letra c), o los controles cruzados en virtud del artículo 18, apartado 2, letra a), en apoyo de dicha investigación sin tratar datos personales que no se ajusten a lo dispuesto en el artículo 18, apartado 5. Los resultados de la valoración a la que se refiere la letra b) del párrafo primero se registrarán y remitirán al SEPD a título informativo, cuando Europol deje de apoyar la investigación mencionada en el párrafo primero. 2.   Cuando el Estado miembro a que se refiere el apartado 1, párrafo primero, letra a), deje de estar autorizado para tratar los datos en la investigación penal específica en curso a la que se refiere el apartado 1, de conformidad con los requisitos y garantías procesales establecidos en virtud del Derecho nacional aplicable, informará a Europol. Cuando la Fiscalía Europea o Eurojust facilite datos de investigación a Europol y deje de estar autorizada para tratar los datos de la investigación penal específica en curso a la que se refiere el apartado 1, de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión y del Derecho nacional, informará a Europol. 3.   Europol podrá tratar los datos de investigación de conformidad con el artículo 18, apartado 2, durante todo el tiempo en que apoye la investigación penal específica en curso para la que se hayan facilitado los datos de investigación de conformidad con el apartado 1, párrafo primero, letra a), del presente artículo, y únicamente con el fin de apoyar dicha investigación. 4.   Europol podrá conservar los datos de investigación facilitados de conformidad con el apartado 1, párrafo primero, letra a), y el resultado del tratamiento de dichos datos una vez transcurrido el período de tratamiento indicado en el apartado 3, a petición del proveedor de dichos datos de investigación, con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, y únicamente durante el tiempo en que se esté tramitando el procedimiento judicial relacionado con la investigación penal específica para la que se hayan facilitado dichos datos. Los proveedores de los datos de investigación a que se refiere el apartado 1, párrafo primero, letra a), o, con su acuerdo, un Estado miembro en el que esté tramitándose un procedimiento judicial relacionado con una investigación penal conexa, podrá solicitar a Europol que conserve los datos de investigación y el resultado de su análisis operativo de dichos datos una vez transcurrido el período de tratamiento indicado en el apartado 3 con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, y únicamente durante el tiempo en que se esté tramitando en dicho otro Estado miembro un procedimiento judicial relacionado con una investigación penal conexa. 5.   Sin perjuicio del tratamiento de datos personales con arreglo al artículo 18, apartado 6 bis, los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II se conservarán de tal modo que exista una separación funcional de otros datos y solo se tratarán cuando ello sea necesario y proporcionado para los fines de los apartados 3, 4 y 6 del presente artículo. El Consejo de Administración, a propuesta del director ejecutivo y previa consulta al SEPD, especificará las condiciones relativas al suministro y al tratamiento de datos personales de conformidad con los apartados 3 y 4. 6.   Los apartados 1 a 4 del presente artículo también se aplicarán cuando un tercer país según el artículo 25, apartado 1, letras a), b) o c), o el artículo 25, apartado 4 bis, facilite datos personales a Europol y dicho tercer país le facilite datos de investigación para análisis operativos que contribuyan a la investigación penal específica en uno o varios Estados miembros a los que Europol apoye, siempre que el tercer país obtuviera los datos en el contexto de una investigación penal de conformidad con los requisitos y garantías procesales aplicables en virtud de su Derecho penal nacional. Cuando un tercer país facilite datos de investigación a Europol de conformidad con el párrafo primero, el responsable de protección de datos podrá notificarlo al SEPD, cuando proceda. Europol comprobará que la cantidad de datos personales a los que se refiere el párrafo primero no sea manifiestamente desproporcionada en relación con la investigación penal específica en el Estado miembro de que se trate. Cuando Europol llegue a la conclusión de que existen indicios de que tales datos son manifiestamente desproporcionados o han sido obtenidos vulnerando claramente los derechos fundamentales, Europol no tratará los datos y los suprimirá. Europol podrá consultar los datos personales tratados con arreglo al presente apartado solo cuando sea necesario para apoyar la investigación penal específica para la que hayan sido facilitados. Dichos datos personales se compartirán únicamente dentro de la Unión.». 11) En el artículo 19, los apartados 1 y 2 se sustituyen por el texto siguiente: «1.   El Estado miembro, organismo de la Unión, tercer país u organización internacional que facilite información a Europol determinará el fin o los fines para los que deba tratarse dicha información de conformidad con el artículo 18. Cuando el proveedor de información a que se refiere el párrafo primero no haya cumplido lo dispuesto en dicho párrafo, Europol, de acuerdo con el proveedor de información en cuestión, tratará la información con el fin de determinar la pertinencia de dicha información, así como el fin o los fines de su ulterior tratamiento. Europol tratará la información con un fin distinto a aquel para el que fue facilitada solo si así lo autoriza el proveedor de la información. La información facilitada a efectos del artículo 18, apartado 2, letras a) a d), también podrá ser tratada por Europol a efectos del artículo 18, apartado 2, letra e), de conformidad con el artículo 33 bis. 2.   Los Estados miembros, organismos de la Unión, terceros países y organizaciones internacionales podrán indicar, en el momento de facilitar la información a Europol, cualquier restricción a su acceso o el uso que se deba hacer de ella, en términos generales o específicos, también por lo que respecta a su transferencia, transmisión, cancelación o destrucción. Cuando la necesidad de tales restricciones se manifieste después de haber facilitado la información, informarán de ello a Europol. Europol cumplirá con esas restricciones.». 12) El artículo 20 se modifica como sigue: a) se inserta el apartado siguiente: «2 bis.   En el marco de la realización de los proyectos de análisis operativos a que se refiere el artículo 18, apartado 3, y siempre que se cumplan las normas y garantías para el tratamiento de datos personales establecidas en el presente Reglamento, los Estados miembros podrán determinar la información que Europol debe poner directamente a disposición de otros Estados miembros seleccionados a efectos de un análisis operativo conjunto en investigaciones específicas, sin perjuicio de las posibles restricciones indicadas con arreglo al artículo 19, apartado 2, y de conformidad con los procedimientos que se establezcan en las directrices mencionadas en el artículo 18, apartado 7.»; b) en el apartado 3, la parte introductoria se sustituye por el texto siguiente: «3.   De conformidad con el Derecho nacional, los Estados miembros tendrán acceso a la información mencionada en los apartados 1, 2 y 2 bis y la tratarán ulteriormente solo a efectos de la prevención, detección, investigación y enjuiciamiento de:». 13) Se inserta el artículo siguiente: «Artículo 20 bis Relaciones con la Fiscalía Europea 1.   Europol entablará y mantendrá una estrecha relación con la Fiscalía Europea. En el marco de dicha relación, Europol y la Fiscalía Europea actuarán dentro de sus respectivos mandatos y competencias. Para ello, celebrarán un acuerdo de trabajo que establezca las modalidades de su cooperación. 2.   A solicitud de la Fiscalía Europea de conformidad con el artículo 102 del Reglamento (UE) 2017/1939, Europol apoyará las investigaciones de la Fiscalía Europea y cooperará con ella, facilitando información y apoyo analítico, hasta que la Fiscalía Europea determine si debe ejercer la acción penal o archivar el asunto. 3.   A fin de facilitar información a la Fiscalía Europea con arreglo al apartado 2 del presente artículo, Europol adoptará todas las medidas adecuadas para permitir que la Fiscalía Europea tenga acceso indirecto, sobre la base de un sistema de respuesta positiva o negativa, a los datos relacionados con las infracciones que sean competencia de la Fiscalía Europea, facilitados a efectos del artículo 18, apartado 2, letras a), b) y c). Ese sistema de respuesta positiva o negativa dará notificación a Europol solamente en caso de respuesta positiva y sin perjuicio de las posibles restricciones indicadas con arreglo al artículo 19, apartado 2, por los proveedores de información mencionados en el artículo 19, apartado 1. En caso de respuesta positiva, Europol abrirá el procedimiento para que pueda compartirse la información que generó la respuesta positiva, de conformidad con la decisión del proveedor de la información a la que se refiere el artículo 19, apartado 1, y solo en la medida en que los datos que hayan generado la respuesta positiva resulten pertinentes para la solicitud presentada con arreglo al apartado 2 del presente artículo. 4.   Europol informará sin demora indebida a la Fiscalía Europea de cualquier conducta delictiva respecto de la cual la Fiscalía Europea pueda ejercer su competencia de conformidad con el artículo 22 y el artículo 25, apartados 2 y 3, del Reglamento (UE) 2017/1939 y sin perjuicio de las posibles restricciones indicadas con arreglo al artículo 19, apartado 2, del presente Reglamento por el proveedor de la información. Cuando Europol informe a la Fiscalía Europea con arreglo al párrafo primero, lo notificará sin demora a los Estados miembros afectados. Cuando alguna información relativa a la conducta delictiva respecto de la cual la Fiscalía Europea puede ejercer su competencia haya sido facilitada a Europol por un Estado miembro que haya indicado restricciones al uso de dicha información con arreglo al artículo 19, apartado 2, del presente Reglamento, Europol notificará a la Fiscalía Europea la existencia de dichas restricciones y remitirá el asunto al Estado miembro afectado. El Estado miembro afectado colaborará directamente con la Fiscalía Europea a fin de cumplir lo dispuesto en el artículo 24, apartados 1 y 4, del Reglamento (UE) 2017/1939.». 14) En el artículo 21, se añade el apartado siguiente: «8.   Si durante el tratamiento de la información en relación con una investigación penal específica o un proyecto específico, Europol detecta información pertinente acerca de una posible actividad ilegal que afecte a los intereses financieros de la Unión, Europol facilitará sin demora a la OLAF dicha información, sin perjuicio de las posibles restricciones indicadas con arreglo al artículo 19, apartado 2, por el Estado miembro que facilitó la información. Cuando Europol facilite a la OLAF información con arreglo al párrafo primero, lo notificará sin demora a los Estados miembros afectados.». 15) En el artículo 23, el apartado 7 se sustituye por el texto siguiente: «7.   Las transferencias ulteriores de datos personales en poder de Europol por parte de Estados miembros, organismos de la Unión, terceros países, organizaciones internacionales o entidades privadas estarán prohibidas, a menos que Europol haya dado su autorización expresa previa.». 16) El título de la sección 2 se sustituye por el texto siguiente: « Transmisión, transferencia e intercambio de datos personales ». 17) El artículo 24 se sustituye por el texto siguiente: «Artículo 24 Transmisión de datos personales a organismos de la Unión 1.   Europol únicamente transmitirá datos personales a un organismo de la Unión de conformidad con el artículo 71, apartado 2, del Reglamento (UE) 2018/1725, siempre que se respeten las posibles restricciones en virtud del presente Reglamento y sin perjuicio de lo dispuesto en el artículo 67 del presente Reglamento, si dichos datos son necesarios y proporcionados para el legítimo desempeño de las funciones del organismo de la Unión destinatario. 2.   Cuando otro organismo de la Unión haya solicitado la transmisión de datos personales, Europol verificará la competencia de ese otro organismo. Cuando Europol no pueda confirmar que la transmisión de datos personales es necesaria de conformidad con el apartado 1, pedirá al organismo de la Unión solicitante que aporte información complementaria. El organismo de la Unión solicitante garantizará que pueda valorarse la necesidad de la transmisión de los datos personales. 3.   El organismo de la Unión destinatario tratará los datos personales mencionados en los apartados 1 y 2 únicamente para los fines para los que hayan sido transmitidos.». 18) El artículo 25 se modifica como sigue: a) el apartado 1 se modifica como sigue: i) la parte introductoria se modifica como sigue: «1.   Siempre que se respeten las posibles restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y sin perjuicio de lo dispuesto en el artículo 67, Europol podrá transferir datos personales a las autoridades competentes de un tercer país o a una organización internacional, a condición de que dicha transferencia sea necesaria para el desempeño de las funciones de Europol, sobre la base de alguno de los actos siguientes:», ii) la letra a) se sustituye por el texto siguiente: «a) una decisión de la Comisión adoptada de conformidad con el artículo 36 de la Directiva (UE) 2016/680, en la que se decida que el tercer país, un territorio o uno o varios sectores específicos en ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado (“decisión de adecuación”),»; b) se suprime el apartado 3; c) se inserta el apartado siguiente: «4 bis.   A falta de decisión de adecuación, el Consejo de Administración podrá autorizar a Europol a transferir datos personales a una autoridad competente de un tercer país o a una organización internacional cuando: a) se hayan aportado garantías adecuadas con respecto a la protección de datos personales, en un instrumento jurídicamente vinculante, o b) Europol haya valorado todas las circunstancias que concurren en la transferencia de los datos personales y haya llegado a la conclusión de que existen garantías adecuadas con respecto a la protección de datos personales.»; d) el apartado 5 se modifica como sigue: i) la parte introductoria se sustituye por el texto siguiente: «No obstante lo dispuesto en el apartado 1, el director ejecutivo podrá autorizar, en casos debidamente justificados, la transferencia o una categoría de transferencias de datos personales a una autoridad competente de un tercer país o a una organización internacional en función del caso concreto, si la transferencia o la categoría de transferencias es:», ii) la letra b) se sustituye por el texto siguiente: «b) necesaria para salvaguardar intereses legítimos del interesado,»; e) el apartado 8 se sustituye por el texto siguiente: «8.   Europol informará al SEPD sobre las categorías de transferencias contempladas en el apartado 4 bis, letra b). Cuando una transferencia se efectúe de conformidad con los apartados 4 bis o 5, se documentará y la documentación se pondrá a disposición del SEPD previa petición. La documentación incluirá un registro de la fecha y hora de la transferencia, así como información sobre la autoridad competente a la que se refiere el presente artículo, sobre la justificación de la transferencia y sobre los datos personales transferidos.». 19) El artículo 26 se modifica como sigue: a) en el apartado 1, la letra c) se sustituye por el texto siguiente: «c) una autoridad de un tercer país o una organización internacional a que se refiere el artículo 25, apartado 1, letra a), b) o c), o el artículo 25, apartado 4 bis.»; b) el apartado 2 se sustituye por el texto siguiente: «2.   Cuando Europol reciba datos personales directamente de entidades privadas, podrá tratar dichos datos personales de conformidad con el artículo 18, con el fin de determinar las unidades nacionales afectadas, a las que se refiere el apartado 1, letra a), del presente artículo. Europol transmitirá inmediatamente a las unidades nacionales afectadas los datos personales y todos los resultados pertinentes del tratamiento necesario de dichos datos para determinar el territorio competente. Europol podrá transmitir los datos personales y los resultados pertinentes del tratamiento necesario de dichos datos para determinar el territorio competente, de conformidad con el artículo 25, a los puntos de contacto y a las autoridades afectadas a que se refiere el apartado 1, letras b) y c), del presente artículo. En caso de que Europol no pueda determinar las unidades nacionales afectadas o ya haya transmitido los datos personales pertinentes a todas las unidades nacionales afectadas determinadas y no sea posible determinar otras unidades nacionales afectadas, cancelará los datos, a menos que la unidad nacional, el punto de contacto o la autoridad afectada vuelva a facilitar los datos personales a Europol de conformidad con el artículo 19, apartado 1, en un plazo de cuatro meses a partir de la fecha en que tenga lugar la transmisión o la transferencia. Los criterios para determinar si la unidad nacional del Estado miembro en el que esté establecida la entidad privada pertinente constituye una unidad nacional afectada se establecerán en las directrices a que se refiere el artículo 18, apartado 7.»; c) se inserta el apartado siguiente: «2 bis.   La cooperación de Europol con entidades privadas no deberá suponer una duplicidad en las actividades de las UIF de los Estados miembros ni interferir con ellas, y no concernirá a información que deba facilitarse a las UIF a efectos de la Directiva (UE) 2015/849.»; d) el apartado 4 se sustituye por el texto siguiente: «4.   Cuando Europol reciba datos personales procedentes de una entidad privada establecida en un tercer país, Europol solo transmitirá dichos datos y el resultado del análisis y comprobación de dichos datos a un Estado miembro o a un tercer país afectado según se contempla en el artículo 25, apartado 1, letras a), b) o c) o el artículo 25, apartado 4 bis. Sin perjuicio de lo dispuesto en el párrafo primero del presente apartado, Europol podrá transferir los resultados a los que se refiere el párrafo primero del presente apartado al tercer país de que se trate con arreglo al artículo 25, apartados 5 o 6.»; e) los apartados 5 y 6 se sustituyen por el texto siguiente: «5.   Europol no podrá transmitir ni transferir datos personales a entidades privadas excepto en los casos siguientes y siempre que dicha transmisión o transferencia sea estrictamente necesaria y proporcionada, en función de cada caso concreto: a) la transmisión o la transferencia revista indudablemente un interés para el interesado; b) la transmisión o la transferencia sea estrictamente necesaria para prevenir la perpetración inminente de un delito que se incluya en los objetivos de Europol, incluido el terrorismo; c) la transmisión o la transferencia de datos personales que estén públicamente disponibles sea estrictamente necesaria para desempeñar la función a que se refiere el artículo 4, apartado 1, letra m), y se cumplan las siguientes condiciones: i) que la transmisión o la transferencia se refiera a un caso concreto y específico, ii) que los derechos y libertades fundamentales de los interesados no primen sobre el interés público que exija que esos datos personales se transmitan o transfieran en el caso de que se trate, o d) la transmisión o la transferencia sea estrictamente necesaria para que Europol notifique a la entidad privada que la información recibida es insuficiente para permitir a Europol determinar las unidades nacionales afectadas, y se cumplan las siguientes condiciones: i) que la transmisión o la transferencia se produzca tras la recepción de datos personales directamente de una entidad privada de conformidad con el apartado 2, ii) que la información que falte, a la que Europol puede referirse en su notificación, tenga un vínculo claro con la información previamente compartida por dicha entidad privada, iii) que la información que falte, a la que Europol puede referirse en su notificación, se limite estrictamente a lo necesario para que Europol determine las unidades nacionales afectadas. La transmisión o transferencia mencionada en el párrafo primero del presente apartado estará supeditada a las posibles restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y se entenderá sin perjuicio de lo dispuesto en el artículo 67. 6.   En relación con el apartado 5, letras a), b) y d), del presente artículo, si la entidad privada de que se trate no está establecida en la Unión o en un tercer país según se contempla en el artículo 25, apartado 1, letras a), b) o c), o el artículo 25, apartado 4 bis, el director ejecutivo solo podrá autorizar la transferencia si es: a) necesaria para proteger los intereses vitales del interesado o de otra persona; b) necesaria para salvaguardar intereses legítimos del interesado; c) esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país; d) necesaria en casos concretos a efectos de prevención, investigación, detección o enjuiciamiento de un delito específico que se incluya en los objetivos de Europol, o e) necesaria en casos concretos para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal específica que se incluya en los objetivos de Europol. Los datos personales no podrán ser transferidos si el director ejecutivo determina que los derechos y libertades fundamentales del interesado priman sobre el interés público que requiere la transferencia a que se refiere el párrafo primero, letras d) y e), del presente apartado.»; f) se insertan los apartados siguientes: «6 bis.   Sin perjuicio de lo dispuesto en el apartado 5, letras a), c) y d), del presente artículo y en otros actos jurídicos de la Unión, las transferencias o transmisiones de datos personales con arreglo a los apartados 5 y 6 no serán sistemáticas, masivas ni estructurales. 6 ter.   Europol podrá solicitar a los Estados miembros, a través de las unidades nacionales, que obtengan, de conformidad con el Derecho nacional, datos personales procedentes de entidades privadas que estén establecidas o tengan un representante legal en su territorio, con el fin de compartir dichos datos con Europol. Estas solicitudes deberán estar motivadas y ser lo más precisas posible. Dichos datos personales tendrán el carácter menos sensible posible y se limitarán estrictamente a lo que sea necesario y proporcionado para que Europol pueda determinar las unidades nacionales afectadas. No obstante la competencia de los Estados miembros sobre un delito específico, los Estados miembros garantizarán que sus autoridades competentes puedan tramitar las solicitudes a las que se refiere el párrafo primero de conformidad con su Derecho nacional con el fin de facilitar a Europol la información necesaria para determinar las unidades nacionales afectadas. 6 quater.   La infraestructura de Europol podrá utilizarse para intercambios entre las autoridades competentes de los Estados miembros y las entidades privadas de conformidad con el Derecho nacional respectivo. Dichos intercambios también podrán tratar sobre delitos que no se incluyan en los objetivos de Europol. Cuando los Estados miembros utilicen la infraestructura de Europol para el intercambio de datos personales sobre delitos que se incluyan en los objetivos de Europol, podrán otorgar a Europol acceso a dichos datos. Cuando los Estados miembros utilicen la infraestructura de Europol para el intercambio de datos personales sobre delitos que no se incluyan en los objetivos de Europol, Europol no podrá tener acceso a dichos datos y se le considerará un encargado del tratamiento de conformidad con el artículo 87 del Reglamento (UE) 2018/1725. Europol evaluará los riesgos para la seguridad que plantee permitir la utilización de su infraestructura por parte de entidades privadas, y, en caso necesario, aplicará las medidas preventivas y de atenuación adecuadas.»; g) se suprimen los apartados 9 y 10; h) se añade el apartado siguiente: «11.   Europol preparará un informe anual para el Consejo de Administración sobre los datos personales intercambiados con entidades privadas en virtud de los artículos 26, 26 bis y 26 ter, a partir de criterios de evaluación cuantitativos y cualitativos establecidos por el Consejo de Administración. El informe anual incluirá ejemplos concretos que demuestren la necesidad de las solicitudes de Europol de conformidad con el apartado 6 ter del presente artículo para cumplir sus objetivos y desempeñar sus funciones. El informe anual tendrá en cuenta las obligaciones de discreción y confidencialidad, y los ejemplos se anonimizarán en lo que respecta a los datos personales. El informe anual se remitirá al Parlamento Europeo, al Consejo, a la Comisión y a los Parlamentos nacionales.». 20) Se insertan los artículos siguientes: «Artículo 26 bis Intercambio de datos personales con entidades privadas en situaciones de crisis en línea 1.   En situaciones de crisis en línea, Europol podrá recibir datos personales directamente de entidades privadas y tratar dichos datos personales de conformidad con el artículo 18. 2.   Cuando Europol reciba datos personales procedentes de una entidad privada establecida en un tercer país, transmitirá dichos datos y los resultados de su análisis y comprobación de dichos datos solamente a un Estado miembro, o a un tercer país afectado según se contempla en el artículo 25, apartado 1, letras a), b) o c), o en el artículo 25, apartado 4 bis. Europol podrá transferir los resultados de su análisis y comprobación de los datos a los que se refiere el apartado 1 del presente artículo al tercer país afectado en virtud del artículo 25, apartados 5 o 6. 3.   Europol podrá transmitir o transferir datos personales a entidades privadas, en función del caso concreto, respetando las posibles restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y sin perjuicio de lo dispuesto en el artículo 67, cuando la transmisión o la transferencia de dichos datos sea estrictamente necesaria para hacer frente a situaciones de crisis en línea, y los derechos y libertades fundamentales de los interesados afectados no primen sobre el interés público que requiera que esos datos personales se transmitan o transfieran. 4.   Cuando la entidad privada de que se trate no esté establecida en la Unión o en un tercer país según se contempla en el artículo 25, apartado 1, letras a), b) o c), o en el artículo 25, apartado 4 bis, la transferencia requerirá la autorización del director ejecutivo. 5.   Europol prestará asistencia, intercambiará información y cooperará con las autoridades competentes de los Estados miembros en relación con las transmisiones y las transferencias de datos personales a entidades privadas con arreglo a los apartados 3 o 4, en particular, para evitar que se dupliquen esfuerzos, para reforzar la coordinación y evitar interferencias con investigaciones en distintos Estados miembros. 6.   Europol podrá solicitar a los Estados miembros, a través de las unidades nacionales, que obtengan, de conformidad con el Derecho nacional, datos personales procedentes de entidades privadas que estén establecidas o tengan un representante legal en su territorio, con el fin de compartir dichos datos con Europol. Esta solicitud deberá estar motivada y ser lo más precisa posible. Dichos datos personales tendrán el carácter menos sensible posible y se limitarán estrictamente a lo que sea necesario y proporcionado con la finalidad de permitir que Europol apoye a los Estados miembros para hacer frente a las situaciones de crisis en línea. No obstante la competencia de los Estados miembros en materia de difusión del contenido sobre el que Europol solicite datos personales, los Estados miembros garantizarán que sus autoridades competentes puedan tramitar las solicitudes a las que se refiere el párrafo primero de conformidad con el Derecho nacional, con el fin de facilitar a Europol la información necesaria para lograr sus objetivos. 7.   Europol garantizará que se lleve un registro detallado de todas las transferencias de datos personales y de los motivos para dichas transferencias, de conformidad con el presente Reglamento. A petición del SEPD, Europol pondrá tal registro a su disposición en virtud del artículo 39 bis. 8.   Si los datos personales recibidos o por transferir afectan a los intereses de un Estado miembro, Europol informará inmediatamente a la unidad nacional del Estado miembro de que se trate. Artículo 26 ter Intercambio de datos personales con entidades privadas para combatir la difusión en línea de material en línea de abusos sexuales a menores 1.   Europol podrá recibir datos personales directamente de entidades privadas y tratar dichos datos personales de conformidad con el artículo 18 para combatir la difusión en línea de material en línea de abusos sexuales a menores, a que se refiere el artículo 4, apartado 1, letra y). 2.   Cuando Europol reciba datos personales procedentes de una entidad privada establecida en un tercer país, transmitirá dichos datos y los resultados de su análisis y comprobación de dichos datos solamente a un Estado miembro, o a un tercer país afectado según se contempla en el artículo 25, apartado 1, letras a), b) o c), o en el artículo 25, apartado 4 bis. Europol podrá transferir los resultados de su análisis y comprobación de los datos mencionados en el párrafo primero del presente apartado al tercer país afectado con arreglo al artículo 25, apartados 5 o 6. 3.   Europol podrá transmitir o transferir datos personales a entidades privadas, en función del caso concreto, siempre que se respeten las posibles restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y sin perjuicio del artículo 67, cuando la transmisión o la transferencia de dichos datos sea estrictamente necesaria para combatir la difusión en línea de material en línea de abusos sexuales a menores a que se refiere el artículo 4, apartado 1, letra y), y los derechos y libertades fundamentales de los interesados afectados no primen sobre el interés público que requiera que esos datos personales se transmitan o transfieran. 4.   Cuando la entidad privada de que se trate no esté establecida en la Unión o en un tercer país según se contempla en el artículo 25, apartado 1, letras a), b) o c), o en el artículo 25, apartado 4 bis, la transferencia requerirá la autorización del director ejecutivo. 5.   Europol prestará asistencia, intercambiará información y cooperará con las autoridades competentes de los Estados miembros en relación con las transmisiones y las transferencias de datos personales a entidades privadas con arreglo a los apartados 3 o 4, en particular, para evitar que se dupliquen esfuerzos, reforzar la coordinación y evitar interferencias con investigaciones en distintos Estados miembros. 6.   Europol podrá solicitar a los Estados miembros, a través de las unidades nacionales, que obtengan, de conformidad con el Derecho nacional, datos personales procedentes de entidades privadas que estén establecidas o tengan un representante legal en su territorio, con el fin de compartir dichos datos con Europol. Estas solicitudes deberán estar motivadas y ser lo más precisas posible. Dichos datos personales tendrán el carácter menos sensible posible y se limitarán estrictamente a lo que sea necesario y proporcionado para que Europol pueda combatir la difusión en línea de material en línea de abusos sexuales a menores, a que se refiere el artículo 4, apartado 1, letra y). No obstante la competencia de los Estados miembros en materia de difusión del contenido sobre el que Europol solicite datos personales, los Estados miembros garantizarán que las autoridades competentes de los Estados miembros puedan tramitar las solicitudes a las que se refiere el párrafo primero de conformidad con el Derecho nacional con el fin de facilitar a Europol la información necesaria para lograr sus objetivos. 7.   Europol garantizará que se lleve un registro detallado de todas las transferencias de datos personales y de los motivos para dichas transferencias, de conformidad con el presente Reglamento. A petición del SEPD, Europol pondrá tal registro a su disposición en virtud del artículo 39 bis. 8.   Si los datos personales recibidos o por transferir afectan a los intereses de un Estado miembro, Europol informará inmediatamente a la unidad nacional del Estado miembro de que se trate.». 21) En el artículo 27, los apartados 1 y 2 se sustituyen por el texto siguiente: «1.   En la medida en que lo necesite para el desempeño de sus funciones, Europol podrá recibir y tratar información procedente de particulares. Europol solo podrá tratar los datos personales procedentes de particulares si han sido recibidos a través de: a) una unidad nacional, de conformidad con el Derecho nacional; b) el punto de contacto de un tercer país o una organización internacional en aplicación del artículo 25, apartado 1, letra c), o c) una autoridad de un tercer país o una organización internacional según se contempla en el artículo 25, apartado 1, letras a) o b), o en el artículo 25, apartado 4 bis. 2.   Cuando Europol reciba información, incluidos datos personales, procedente de un particular residente en un tercer país que no sea aquel a que se refiere el artículo 25, apartado 1, letras a) o b), o el artículo 25, apartado 4 bis, solo podrá remitir dicha información a un Estado miembro o a ese tercer país.». 22) El título del capítulo VI se sustituye por el texto siguiente: «PROTECCIÓN DE DATOS». 23) Se inserta el artículo siguiente: «Artículo 27 bis Tratamiento de datos personales por Europol 1.   Sin perjuicio de lo dispuesto en el presente Reglamento, el artículo 3 y el capítulo IX del Reglamento (UE) 2018/1725 se aplicarán al tratamiento de datos personales por Europol. El Reglamento (UE) 2018/1725, a excepción del capítulo IX, se aplicará al tratamiento de datos personales administrativos por Europol. 2.   Las referencias a “datos personales” en el presente Reglamento se entenderán como referencias a “datos personales operativos” tal como se definen en el artículo 3, punto 2, del Reglamento (UE) 2018/1725, salvo que se disponga otra cosa en el presente Reglamento. 3.   El Consejo de Administración adoptará normas para determinar los plazos de conservación de los datos personales administrativos.». 24) Se suprime el artículo 28. 25) El artículo 30 se modifica como sigue: a) en el apartado 2, la primera frase se sustituye por el texto siguiente: «2.   El tratamiento de datos personales, ya sea por medios automatizados o de otro tipo, que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, o la filiación sindical y el tratamiento de los datos genéticos, los datos biométricos destinados a identificar de manera unívoca a una persona física, o los datos relativos a la salud o a la vida sexual o a la orientación sexual de personas físicas estará permitido solo cuando sea estrictamente necesario y proporcionado para fines de proyectos de investigación e innovación en virtud del artículo 33 bis y con fines operativos, dentro de los objetivos de Europol, y únicamente para prevenir o combatir los delitos que se incluyan en los objetivos de Europol. Tal tratamiento estará sujeto asimismo a unas garantías adecuadas establecidas en el presente Reglamento con respecto a los derechos y libertades del interesado y, a excepción de los datos biométricos tratados a efectos de identificar de manera unívoca a una persona física, se permitirá únicamente si esos datos complementan otros datos personales tratados por Europol.»; b) se inserta el apartado siguiente: «2 bis.   El responsable de la protección de datos será informado sin demora indebida en el caso de que se traten datos personales en virtud del presente artículo.»; c) el apartado 3 se sustituye por el texto siguiente: «3.   Solo Europol tendrá acceso directo a los datos personales a que se refieren los apartados 1 y 2. El director ejecutivo autorizará debidamente dicho acceso a un número limitado de miembros del personal de Europol cuando sea necesario para que desempeñen sus tareas. No obstante lo dispuesto en el párrafo primero, cuando resulte necesario autorizar al personal de las autoridades competentes de los Estados miembros o de los organismos de la Unión establecidos sobre la base del título V del TFUE un acceso directo a datos personales para desempeñar sus tareas, en los casos previstos en el artículo 20, apartados 1 y 2 bis, del presente Reglamento, o para proyectos de investigación e innovación de conformidad con el artículo 33 bis, apartado 2, letra d), del presente Reglamento, el director ejecutivo autorizará debidamente tal acceso a un número limitado de miembros de dicho personal.»; d) se suprime el apartado 4; e) el apartado 5 se sustituye por el texto siguiente: «5.   Los datos personales a que se refieren los apartados 1 y 2 no se transmitirán a los Estados miembros u organismos de la Unión ni se transferirán a terceros países u organizaciones internacionales, a menos que tal transmisión o transferencia sea obligatoria en virtud del Derecho de la Unión o sea estrictamente necesaria y proporcionada en casos concretos de delitos que se incluyan en los objetivos de Europol y de conformidad con el capítulo V.». 26) El artículo 32 se sustituye por el texto siguiente: «Artículo 32 Seguridad del tratamiento Europol y los Estados miembros establecerán, de conformidad, respectivamente, con el artículo 91 del Reglamento (UE) 2018/1725 y con el artículo 29 de la Directiva (UE) 2016/680, mecanismos para garantizar que se abordan las medidas de seguridad, más allá de los límites de los sistemas de información.». 27) Se suprime el artículo 33. 28) Se inserta el artículo siguiente: «Artículo 33 bis Tratamiento de datos personales para investigación e innovación 1.   Europol podrá tratar datos personales para fines de sus proyectos de investigación e innovación a condición de que el tratamiento de dichos datos personales: a) sea absolutamente necesario y esté debidamente justificado para lograr los objetivos del proyecto de que se trate; b) por lo que se refiere a categorías especiales de datos personales, sea estrictamente necesario y esté sujeto a unas garantías adecuadas, entre las que se puede incluir la seudonimización. El tratamiento de datos personales por Europol en el contexto de los proyectos de investigación e innovación se guiará por los principios de transparencia, explicabilidad, equidad y rendición de cuentas. 2.   Sin perjuicio de lo dispuesto en el apartado 1, para el tratamiento de datos personales realizado en el contexto de los proyectos de investigación e innovación de Europol, se aplicarán las siguientes garantías: a) todo proyecto de investigación e innovación requerirá la autorización previa del director ejecutivo, en consulta con el responsable de la protección de datos y el agente de derechos fundamentales, sobre la base de: i) una descripción de los objetivos del proyecto y una explicación de cómo el proyecto ayuda a Europol o a las autoridades competentes de los Estados miembros en sus funciones, ii) una descripción de la actividad de tratamiento prevista, en la que se expongan los objetivos, el alcance y la duración del tratamiento, así como la necesidad y la proporcionalidad del tratamiento de datos personales, por ejemplo, para explorar y probar soluciones tecnológicas innovadoras y garantizar la exactitud de los resultados del proyecto, iii) una descripción de las categorías de datos personales que vayan a tratarse, iv) una valoración de la observancia de los principios de la protección de datos establecidos en el artículo 72 del Reglamento (UE) 2018/1725, los plazos de conservación y las condiciones de acceso a los datos personales, y v) una evaluación de impacto sobre la protección de datos, en la que se incluyan los riesgos para los derechos y libertades de los interesados, el riesgo de cualquier sesgo en los datos personales que vayan a utilizarse para el entrenamiento de los algoritmos y en el resultado del tratamiento, y las medidas previstas para hacer frente a dichos riesgos, así como para evitar las vulneraciones de derechos fundamentales; b) se informará al SEPD antes del inicio del proyecto; c) se consultará o informará al Consejo de Administración antes del inicio del proyecto, de conformidad con las directrices a que se refiere el artículo 18, apartado 7; d) los datos personales que vayan a tratarse en el contexto del proyecto: i) se copiarán temporalmente en un entorno de tratamiento de datos separado, aislado y protegido dentro de Europol con el único fin de llevar a cabo dicho proyecto, ii) serán accesibles solo para el personal específicamente autorizado de Europol de conformidad con el artículo 30, apartado 3, del presente Reglamento, y, siempre que se disponga de medidas técnicas de seguridad, para el personal específicamente autorizado de las autoridades competentes de los Estados miembros y los organismos de la Unión establecidos sobre la base del título V del TFUE, iii) no serán transmitidos o transferidos, iv) no darán lugar a medidas o decisiones que afecten a los interesados como resultado del tratamiento, v) se cancelarán una vez concluido el proyecto o vencido el plazo de conservación de conformidad con el artículo 31; e) los registros del tratamiento de datos personales en el contexto del proyecto se conservarán hasta dos años después de la conclusión del proyecto, únicamente con el fin de comprobar la exactitud de los resultados del tratamiento de datos y solo durante el tiempo necesario para ello. 3.   El Consejo de Administración establecerá en un documento vinculante el alcance general de los proyectos de investigación e innovación. Dicho documento se actualizará cuando proceda y se pondrá a disposición del SEPD para que este pueda desempeñar su función de supervisión. 4.   Europol conservará un documento con una descripción detallada del proceso y de la justificación del entrenamiento, la prueba y la validación de algoritmos para garantizar la transparencia del proceso y de los algoritmos, incluido el cumplimiento de las garantías establecidas en el presente artículo, y para permitir la comprobación de la exactitud de los resultados sobre la base de la utilización de dichos algoritmos. Previa solicitud, Europol pondrá dicho documento a disposición de las partes interesadas, incluidos los Estados miembros y el GCPC. 5.   Si los datos que vayan a tratarse para fines de un proyecto de investigación e innovación hubieran sido facilitados por un Estado miembro, un organismo de la Unión, un tercer país o una organización internacional, Europol solicitará el consentimiento de dicho proveedor de datos de conformidad con el artículo 19, apartado 2, a menos que el proveedor de datos haya concedido autorización previa para dicho tratamiento para fines de proyectos de investigación e innovación, ya sea en términos generales o con condiciones específicas. Europol no tratará datos para proyectos de investigación e innovación sin el consentimiento del proveedor de los datos. Dicho consentimiento podrá retirarse en cualquier momento.». 29) El artículo 34 se modifica como sigue: a) el apartado 1 se sustituye por el texto siguiente: «1.   Sin perjuicio de lo dispuesto en el artículo 92 del Reglamento (UE) 2018/1725, en caso de violación de datos personales, Europol notificará sin demora indebida dicha violación a las autoridades competentes de los Estados miembros afectados, de conformidad con el artículo 7, apartado 5, del presente Reglamento, así como al proveedor de los datos de que se trate, a menos que sea improbable que la violación de datos personales entrañe un riesgo para los derechos y libertades de las personas físicas.»; b) se suprime el apartado 3. 30) El artículo 35 se modifica como sigue: a) se suprimen los apartados 1 y 2; b) el apartado 3 se sustituye por el texto siguiente: «Sin perjuicio de lo dispuesto en el artículo 93 del Reglamento (UE) 2018/1725, en caso de que Europol no disponga de los datos de contacto del interesado, pedirá al proveedor de datos que comunique la violación de datos personales al interesado e informe a Europol de la decisión tomada. Los Estados miembros que faciliten datos personales comunicarán la violación de datos personales al interesado con arreglo al Derecho nacional.»; c) se suprimen los apartados 4 y 5. 31) El artículo 36 se modifica como sigue: a) se suprimen los apartados 1 y 2; b) el apartado 3 se sustituye por el texto siguiente: «3.   Cualquier interesado que desee ejercer el derecho de acceso a que se refiere el artículo 80 del Reglamento (UE) 2018/1725 a los datos personales que le atañan podrá formular la correspondiente solicitud a la autoridad designada a tal efecto en el Estado miembro de su elección o ante Europol. Cuando la solicitud se presente a dicha autoridad, esta remitirá la solicitud a Europol sin demora indebida y en el plazo de un mes a partir de su recepción.»; c) se suprimen los apartados 6 y 7. 32) El artículo 37 se modifica como sigue: a) el apartado 1 se sustituye por el texto siguiente: «1.   Cualquier interesado que desee ejercer el derecho de rectificación o supresión de datos personales o limitación del tratamiento de los datos personales que le atañan, a que se refiere el artículo 82 del Reglamento (UE) 2018/1725, podrá formular la correspondiente solicitud, a través de la autoridad designada a tal efecto en el Estado miembro de su elección o a Europol. Cuando la solicitud se presente a dicha autoridad, esta remitirá la solicitud a Europol sin demora indebida y en el plazo de un mes a partir de su recepción.»; b) se suprime el apartado 2; c) los apartados 3, 4 y 5 se sustituyen por el texto siguiente: «3.   Sin perjuicio de lo dispuesto en el artículo 82, apartado 3, del Reglamento (UE) 2018/1725, Europol restringirá el tratamiento de datos personales, en lugar de cancelar los datos personales, en caso de que hubiera motivos razonables para suponer que la cancelación podría perjudicar intereses legítimos del interesado. Los datos restringidos solo se tratarán con el fin de proteger los derechos del interesado, cuando sea necesario para proteger los intereses vitales del interesado o de otra persona, o para los fines establecidos en el artículo 82, apartado 3, del Reglamento (UE) 2018/1725. 4.   Cuando los datos personales a que se refieren los apartados 1 y 3 en poder de Europol le hubieran sido facilitados por terceros países, organizaciones internacionales u organismos de la Unión, hubieran sido facilitados directamente por entidades privadas, extraídos por Europol de fuentes públicas o fueran el resultado de los propios análisis de Europol, esta deberá rectificar o cancelar dichos datos o restringir su tratamiento e informar, en su caso, a los proveedores de los datos. 5.   Cuando los datos personales a que se refieren los apartados 1 y 3 en poder de Europol le hubieran sido facilitados por Estados miembros, los Estados miembros de que se trate deberán rectificar o cancelar dichos datos o restringir su tratamiento en cooperación con Europol, dentro de sus respectivas competencias.»; d) se suprimen los apartados 8 y 9. 33) El artículo 38 se modifica como sigue: a) el apartado 1 se sustituye por el texto siguiente: «1.   Europol tratará los datos personales de manera que pueda determinarse su fuente de conformidad con el artículo 17.»; b) en el apartado 2, la parte introductoria se sustituye por el texto siguiente: «2.   La responsabilidad por la exactitud de los datos personales a que se refiere el artículo 71, apartado 1, letra d), del Reglamento (UE) 2018/1725 recaerá en:»; c) el apartado 4 se sustituye por el texto siguiente: «4.   Europol será responsable del cumplimiento del Reglamento (UE) 2018/1725 por lo que respecta a los datos personales administrativos, y del cumplimiento del presente Reglamento y del artículo 3 y el capítulo IX del Reglamento (UE) 2018/1725 por lo que respecta a los datos personales.»; d) en el apartado 7, la tercera frase se sustituye por el texto siguiente: «La seguridad de dicho intercambio se garantizará con arreglo al artículo 91 del Reglamento (UE) 2018/1725.». 34) El artículo 39 se sustituye por el texto siguiente: «Artículo 39 Consulta previa 1.   Sin perjuicio de lo dispuesto en el artículo 90 del Reglamento (UE) 2018/1725, la consulta previa al SEPD no se aplicará a actividades operativas específicas que no incluyan ningún tipo nuevo de tratamiento que implique un riesgo elevado para los derechos y libertades de los interesados. 2.   Europol podrá iniciar operaciones de tratamiento que estén sujetas a consulta previa del SEPD en virtud del artículo 90, apartado 1, del Reglamento (UE) 2018/1725, a menos que el SEPD haya proporcionado asesoramiento por escrito en virtud del artículo 90, apartado 4, de dicho Reglamento en los plazos previstos en dicha disposición, que se iniciarán en la fecha de recepción de la solicitud inicial de consulta y no podrán suspenderse. 3.   Cuando las operaciones de tratamiento a que se refiere el apartado 2 del presente artículo tengan una importancia sustancial para desempeñar las funciones de Europol y sean especialmente urgentes y necesarias para prevenir y combatir una amenaza inmediata de un delito que se incluya en los objetivos de Europol o para proteger los intereses vitales del interesado o de otra persona, Europol podrá iniciar excepcionalmente el tratamiento después de la consulta previa del SEPD prevista en el artículo 90, apartado 1, del Reglamento (UE) 2018/1725 y antes de que expire el plazo previsto en el artículo 90, apartado 4, de dicho Reglamento. En tal caso, Europol informará al SEPD antes del inicio de las operaciones de tratamiento. El asesoramiento por escrito del SEPD en virtud del artículo 90, apartado 4, del Reglamento (UE) 2018/1725 se tendrá en cuenta de manera retroactiva, y la forma en que se lleve a cabo el tratamiento se adaptará en consecuencia. El responsable de protección de datos participará en la valoración de la urgencia de dichas operaciones de tratamiento antes de que expire el plazo previsto en el artículo 90, apartado 4, del Reglamento (UE) 2018/1725 y supervisará el tratamiento en cuestión. 4.   El SEPD llevará un registro de todas las operaciones de tratamiento que se le hayan notificado en virtud del apartado 1. Dicho registro no será público.». 35) Se inserta el artículo siguiente: «Artículo 39 bis Registro de categorías de actividades de tratamiento 1.   Europol llevará un registro de todas las categorías de actividades de tratamiento bajo su responsabilidad. Dicho registro contendrá la siguiente información: a) los datos de contacto de Europol y el nombre y los datos de contacto del responsable de protección de datos; b) los fines del tratamiento; c) una descripción de las categorías de interesados y de las categorías de datos personales; d) las categorías de destinatarios a los que se hayan comunicado o vayan a comunicarse los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales; e) cuando proceda, las transferencias de datos personales a un tercer país, a una organización internacional o a una entidad privada, incluido el nombre de dicho destinatario; f) cuando sea posible, los plazos previstos para la cancelación de las diferentes categorías de datos; g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 91 del Reglamento (UE) 2018/1725; h) en su caso, el recurso a la elaboración de perfiles. 2.   El registro a que se refiere el apartado 1 se efectuará por escrito, incluido el formato electrónico. 3.   Europol pondrá a disposición del SEPD, previa solicitud, el registro a que se refiere el apartado 1.». 36) El artículo 40 se sustituye por el texto siguiente: «Artículo 40 Registros de operaciones 1.   De conformidad con el artículo 88 del Reglamento (UE) 2018/1725, Europol conservará registros de sus operaciones de tratamiento. No será posible modificarlos. 2.   Sin perjuicio de lo dispuesto en el artículo 88 del Reglamento (UE) 2018/1725, si lo requiere una unidad nacional para una investigación específica relacionada con el cumplimiento de las normas de protección de datos, los registros de operaciones a que se refiere el apartado 1 se comunicarán a dicha unidad nacional.». 37) El artículo 41 se sustituye por el texto siguiente: «Artículo 41 Designación del responsable de protección de datos 1.   El Consejo de Administración nombrará a un miembro del personal de Europol como responsable de protección de datos, que será designado para ese único cargo. 2.   El responsable de protección de datos será seleccionado atendiendo a sus cualidades profesionales y, en particular, sus conocimientos especializados de la normativa y las prácticas en materia de protección de datos, así como a su capacidad para desempeñar las funciones a que se refiere el artículo 41 ter del presente Reglamento y el Reglamento (UE) 2018/1725. 3.   La selección del responsable de protección de datos no podrá derivar en un conflicto de intereses entre su función de responsable de protección de datos y cualesquiera otras obligaciones oficiales que pueda tener, en particular, en relación con la aplicación del presente Reglamento. 4.   El responsable de protección de datos no podrá ser destituido ni sancionado por el Consejo de Administración por razón del ejercicio de sus funciones. 5.   Europol publicará los datos de contacto del responsable de protección de datos y los comunicará al SEPD.». 38) Se insertan los artículos siguientes: «Artículo 41 bis Cargo de responsable de protección de datos 1.   Europol garantizará que el responsable de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. 2.   Europol respaldará al responsable de protección de datos en el desempeño de las funciones mencionadas en el artículo 41 ter, facilitando los recursos y el personal necesarios para el desempeño de dichas funciones y facilitando el acceso a los datos personales y a las operaciones de tratamiento, y para mantener sus conocimientos especializados. Con el fin de respaldar al responsable de protección de datos en el desempeño de sus funciones, se podrá designar a un miembro del personal de Europol como responsable adjunto de protección de datos. 3.   Europol garantizará que el responsable de protección de datos actúe de modo independiente y que no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones. El responsable de protección de datos informará directamente al Consejo de Administración. 4.   Los interesados podrán ponerse en contacto con el responsable de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento y del Reglamento (UE) 2018/1725. Nadie deberá sufrir perjuicio alguno por informar al responsable de protección de datos de una presunta infracción del presente Reglamento o del Reglamento (UE) 2018/1725. 5.   El Consejo de Administración adoptará normas de desarrollo referentes al responsable de protección de datos. Tales normas se referirán, en concreto, al procedimiento de selección para el cargo de responsable de protección de datos y a su destitución, a las funciones, obligaciones y competencias del responsable de protección de datos y a las garantías de su independencia. 6.   El responsable de protección de datos y su personal estarán obligados a mantener la confidencialidad de conformidad con el artículo 67, apartado 1. 7.   El responsable de protección de datos será nombrado para un mandato de cuatro años y podrá optar a un nuevo nombramiento. 8.   En caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones, el responsable de protección de datos será destituido de su cargo por el Consejo de Administración solo previo consentimiento del SEPD. 9.   El responsable de protección de datos y el responsable adjunto de protección de datos serán adscritos al SEPD por el Consejo de Administración. 10.   Las disposiciones aplicables al responsable de protección de datos se aplicarán mutatis mutandis al responsable adjunto de protección de datos. Artículo 41 ter Funciones del responsable de protección de datos 1.   El responsable de protección de datos desempeñará, en particular, las siguientes funciones en relación con el tratamiento de datos personales: a) garantizar de manera independiente el cumplimiento por parte de Europol de las disposiciones sobre protección de datos del presente Reglamento y del Reglamento (UE) 2018/1725, así como de las disposiciones pertinentes en materia de protección de datos de las normas internas de Europol, incluido el seguimiento del cumplimiento del presente Reglamento, del Reglamento (UE) 2018/1725, de otras disposiciones de la Unión o nacionales en materia de protección de datos y de las políticas de Europol en esta materia, incluida la asignación de responsabilidades, la concienciación y la formación del personal que participe en las operaciones de tratamiento, y las auditorías correspondientes; b) informar a Europol y a aquellos miembros del personal que se ocupen del tratamiento de datos personales de las obligaciones que les incumben en virtud del presente Reglamento, del Reglamento (UE) 2018/1725 y de otras disposiciones de la Unión o nacionales en materia de datos personales y asesorarles en la materia; c) prestar el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos con arreglo al artículo 89 del Reglamento (UE) 2018/1725 y hacer el seguimiento de la eficacia de la evaluación de impacto relativa a la protección de datos; d) llevar un registro de las violaciones de datos personales y prestar el asesoramiento que se le solicite acerca de la necesidad de notificar o comunicar una violación de datos personales con arreglo a los artículos 92 y 93 del Reglamento (UE) 2018/1725; e) velar por que se lleve un registro de la transmisión, la transferencia y la recepción de datos personales de conformidad con el presente Reglamento; f) velar por que los interesados que lo soliciten sean informados de sus derechos en virtud del presente Reglamento y del Reglamento (UE) 2018/1725; g) cooperar con el personal de Europol responsable de los procedimientos, la formación y el asesoramiento en materia de tratamiento de datos; h) responder a las solicitudes del SEPD, en el ámbito de sus competencias, cooperar y consultar con el SEPD, a petición de este o por iniciativa propia; i) cooperar con las autoridades competentes de los Estados miembros, en particular, con los responsables de protección de datos de las autoridades competentes de los Estados miembros y las autoridades nacionales de control en materia de protección de datos en el ámbito policial; j) actuar como punto de contacto del SEPD para las cuestiones relacionadas con el tratamiento, incluida la consulta previa con arreglo a los artículos 40 y 90 del Reglamento (UE) 2018/1725, y realizar consultas, en su caso, sobre cualquier otra cuestión de su ámbito de competencias; k) elaborar un informe anual y transmitirlo al Consejo de Administración y al SEPD; l) velar por que las operaciones de tratamiento no tengan efectos adversos en los derechos y las libertades de los interesados. 2.   El responsable de protección de datos podrá formular recomendaciones al Consejo de Administración para la mejora práctica de la protección de datos y asesorar sobre cuestiones relativas a la aplicación de las disposiciones en materia de protección de datos. El responsable de protección de datos podrá investigar, de oficio o a instancias del Consejo de Administración o de cualquier persona física, las cuestiones y los incidentes directamente relacionados con sus funciones que lleguen a su conocimiento e informar a la persona que solicitó la investigación o al Consejo de Administración sobre los resultados de dicha investigación. 3.   El responsable de protección de datos ejercerá las funciones que dispone el Reglamento (UE) 2018/1725 en lo que atañe a los datos personales administrativos. 4.   En el ejercicio de sus funciones, el responsable de protección de datos y los miembros del personal de Europol que le asistan en el ejercicio de sus funciones tendrán acceso a todos los datos tratados por Europol y a todos los locales de Europol. 5.   Si el responsable de protección de datos considerara que no se han cumplido las disposiciones del presente Reglamento o del Reglamento (UE) 2018/1725 relativas al tratamiento de los datos personales administrativos, o las disposiciones del presente Reglamento o del artículo 3 y el capítulo IX del Reglamento (UE) 2018/1725 relativas al tratamiento de los datos personales, informará de ello al director ejecutivo y le pedirá que subsane el incumplimiento en un plazo determinado. Si el director ejecutivo no subsanara el incumplimiento en el plazo fijado, el responsable de protección de datos informará al Consejo de Administración. El Consejo de Administración responderá en un plazo determinado acordado con el responsable de protección de datos. Si el Consejo de Administración no subsanara el incumplimiento en el plazo fijado, el responsable de protección de datos remitirá el asunto al SEPD. Artículo 41 quater Agente de derechos fundamentales 1.   El Consejo de Administración designará, a propuesta del director ejecutivo, a un agente de derechos fundamentales. Este podrá ser un miembro del personal en plantilla de Europol que haya recibido formación especial jurídica y práctica en materia de derechos fundamentales. 2.   El agente de derechos fundamentales desempeñará las siguientes funciones: a) asesorar a Europol, si lo considera necesario o previa solicitud, en relación con cualquier actividad de Europol sin impedir ni retrasar las actividades de que se trate; b) hacer el seguimiento del cumplimiento de los derechos fundamentales por parte de Europol; c) elaborar dictámenes no vinculantes sobre los acuerdos de trabajo; d) informar al director ejecutivo de posibles vulneraciones de los derechos fundamentales durante las actividades de Europol; e) promover el respeto de los derechos fundamentales por parte de Europol en el desempeño de sus funciones y actividades; f) cualquier otra tarea prevista en el presente Reglamento. 3.   Europol garantizará que el agente de derechos fundamentales no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones. 4.   El agente de derechos fundamentales informará directamente al director ejecutivo y preparará informes anuales sobre sus actividades, también sobre la medida en que las actividades de Europol respetan los derechos fundamentales. Dichos informes serán puestos a disposición del Consejo de Administración. Artículo 41 quinquies Formación sobre derechos fundamentales Todo miembro del personal de Europol que participe en tareas operativas que conlleven el tratamiento de datos personales recibirá una formación obligatoria en materia de protección de los derechos y libertades fundamentales, incluida la relativa al tratamiento de datos personales. Dicha formación se impartirá en cooperación con la Agencia de los Derechos Fundamentales de la Unión Europea (FRA), creada por el Reglamento (CE) n.o 168/2007 del Consejo (*12), y la Agencia de la Unión Europea para la Formación Policial (CEPOL), creada por el Reglamento (UE) 2015/2219 del Parlamento Europeo y del Consejo (*13). (*12)  Reglamento (CE) n.o 168/2007 del Consejo, de 15 de febrero de 2007, por el que se crea una Agencia de los Derechos Fundamentales de la Unión Europea (DO L 53 de 22.2.2007, p. 1)." (*13)  Reglamento (UE) 2015/2219 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre la Agencia de la Unión Europea para la formación policial (CEPOL) y por el que se sustituye y deroga la Decisión 2005/681/JAI del Consejo (DO L 319 de 4.12.2015, p. 1).»." 39) En el artículo 42, los apartados 1 y 2 se sustituyen por el texto siguiente: «1.   A efectos del ejercicio de su función supervisora, las autoridades nacionales de control a que se refiere el artículo 41 de la Directiva (UE) 2016/680 tendrán acceso, en la unidad nacional o en los locales de los funcionarios de enlace, a los datos facilitados por su Estado miembro a Europol, de conformidad con los procedimientos nacionales aplicables, y a los registros de operaciones mencionados en el artículo 40 del presente Reglamento. 2.   Las autoridades nacionales de control tendrán acceso a las oficinas y los documentos de sus respectivos funcionarios de enlace en Europol.». 40) El artículo 43 se modifica como sigue: a) en el apartado 1, la primera frase se sustituye por el texto siguiente: «1.   El SEPD tendrá la responsabilidad de vigilar y garantizar la aplicación de las disposiciones del presente Reglamento y del Reglamento (UE) 2018/1725 relativas a la protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos personales por Europol, y de asesorar a Europol y a los interesados sobre cualquier cuestión relativa al tratamiento de los datos personales.»; b) en el apartado 3, se añaden las letras siguientes: «j) ordenar al responsable del tratamiento o al encargado del tratamiento que las operaciones de tratamiento cumplan el presente Reglamento, en su caso, de una determinada manera y dentro de un plazo señalado; k) ordenar la suspensión de los flujos de datos hacia un destinatario en un Estado miembro o en un tercer país o hacia una organización internacional; l) imponer una multa administrativa en caso de incumplimiento por parte de Europol de alguna de las medidas contempladas en las letras c), e), f), j) y k) del presente apartado, en función de las circunstancias de cada caso concreto.»; c) el apartado 5 se sustituye por el texto siguiente: «5.   El SEPD preparará un informe anual sobre sus actividades de supervisión relativas a Europol. Dicho informe formará parte del informe anual del SEPD contemplado en el artículo 60 del Reglamento (UE) 2018/1725. El SEPD invitará a las autoridades nacionales de control a formular observaciones sobre dicha parte del informe anual antes de que se adopte el informe anual. El SEPD prestará suma atención a dichas observaciones y hará referencia a ellas en el informe anual. La parte del informe anual a que se refiere el párrafo segundo incluirá información estadística sobre quejas, pesquisas e investigaciones, así como sobre las transferencias de datos personales a terceros países y organizaciones internacionales, los casos de consulta previa al SEPD y el ejercicio de las competencias establecidas en el apartado 3 del presente artículo.». 41) El artículo 44 se modifica como sigue: a) el apartado 2 se sustituye por el texto siguiente: «2.   En los casos a que se refiere el apartado 1, se garantizará un control coordinado de conformidad con el artículo 62 del Reglamento (UE) 2018/1725. El SEPD recurrirá a los conocimientos y la experiencia de las autoridades nacionales de control para el desempeño de las funciones contempladas en el artículo 43, apartado 2, del presente Reglamento. Teniendo debidamente en cuenta los principios de subsidiariedad y de proporcionalidad, los miembros y el personal de las autoridades nacionales de control tendrán competencias equivalentes a las contempladas en el artículo 43, apartado 4, del presente Reglamento y tendrán una obligación equivalente a la dispuesta en el artículo 43, apartado 6, del presente Reglamento, cuando realicen inspecciones conjuntas con el SEPD.»; b) el apartado 4 se sustituye por el texto siguiente: «4.   En casos relativos a datos procedentes de uno o más Estados miembros, en particular en los casos mencionados en el artículo 47, apartado 2, el SEPD deberá consultar a las autoridades nacionales de control de que se trate. El SEPD no tomará una decisión sobre la adopción de ulteriores medidas antes de que dichas autoridades nacionales de control le informen de la opinión de estas en un plazo por él especificado, que no será inferior a un mes ni superior a tres meses a partir del momento en que el SEPD consulte a las autoridades nacionales de control de que se trate. El SEPD tendrá en cuenta al máximo la opinión de las autoridades nacionales de control de que se trate. Cuando el SEPD no tenga intención de seguir la opinión de dichas autoridades, les informará de ello, aducirá una justificación y remitirá el asunto al Comité Europeo de Protección de Datos.». 42) Se suprimen los artículos 45 y 46. 43) El artículo 47 se modifica como sigue: a) el apartado 1 se sustituye por el texto siguiente: «1.   Cualquier interesado que considere que el tratamiento por parte de Europol de datos personales que guarden relación con él no respeta el presente Reglamento o el Reglamento (UE) 2018/1725 tendrá derecho a presentar una queja ante el SEPD.»; b) en el apartado 2, la primera frase se sustituye por el texto siguiente: «2.   Cuando una queja se refiera a una decisión contemplada en los artículos 36 o 37 del presente Reglamento o en los artículos 81 u 82 del Reglamento (UE) 2018/1725, el SEPD consultará a las autoridades nacionales de control del Estado miembro del que procedan los datos o del Estado miembro directamente afectado.»; c) se añade el apartado siguiente: «5.   El SEPD informará al interesado sobre el curso y el resultado de la queja, así como sobre la posibilidad de tutela judicial en virtud del artículo 48.». 44) El artículo 50 se sustituye por el texto siguiente: «Artículo 50 Derecho a indemnización 1.   Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir una indemnización de conformidad con el artículo 65 del Reglamento (UE) 2018/1725 y el artículo 56 de la Directiva (UE) 2016/680. 2.   Cualquier litigio entre Europol y los Estados miembros en relación con la responsabilidad última por la indemnización concedida a una persona que haya sufrido daños y perjuicios materiales o inmateriales de conformidad con el apartado 1 del presente artículo se remitirá al Consejo de Administración. El Consejo de Administración decidirá sobre dicha responsabilidad por mayoría de dos tercios de sus miembros, sin perjuicio del derecho a impugnar dicha decisión de conformidad con el artículo 263 del TFUE.». 45) El artículo 51 se modifica como sigue: a) el apartado 3 se modifica como sigue: i) la letra d) se sustituye por el texto siguiente: «d) el informe anual de actividades consolidado sobre las actividades de Europol, mencionado en el artículo 11, apartado 1, letra c), incluida la información pertinente sobre las actividades de Europol y los resultados obtenidos en el tratamiento de grandes conjuntos de datos, sin revelar detalles operativos y sin perjuicio de las investigaciones en curso;», ii) se añaden las letras siguientes: «f) información anual de conformidad con el artículo 26, apartado 11, sobre los datos personales intercambiados con entidades privadas en virtud de los artículos 26, 26 bis y 26 ter, incluida una evaluación de la eficacia de la cooperación, ejemplos concretos en los que se demuestre por qué esas solicitudes eran necesarias y proporcionadas, para que Europol pueda lograr sus objetivos y desempeñar sus funciones, y, en lo que respecta a los intercambios de datos personales en virtud del artículo 26 ter, el número de niños identificados como resultado de dichos intercambios en la medida en que Europol disponga de esta información; g) información anual sobre el número de casos en los que Europol haya tenido que tratar datos personales que no atañan a las categorías de interesados enumeradas en el anexo II con el fin de apoyar a los Estados miembros en una investigación penal específica en curso de conformidad con el artículo 18 bis, así como información sobre la duración y los resultados del tratamiento, que incluya ejemplos de casos en los que se demuestre por qué ese tratamiento de datos era necesario y proporcionado; h) información anual sobre las transferencias de datos personales a terceros países y organizaciones internacionales en virtud del artículo 25, apartados 1 y 4 bis, desglosadas por base jurídica, y sobre el número de casos en los que el director ejecutivo haya autorizado, en virtud del artículo 25, apartado 5, la transferencia o las categorías de transferencias de datos personales relacionadas con una investigación penal específica en curso a terceros países u organizaciones internacionales, incluida la información sobre los países de que se trate y la duración de la autorización; i) información anual sobre el número de casos en los que Europol haya propuesto la posible introducción de descripciones de información de conformidad con el artículo 4, apartado 1, letra t), que incluya ejemplos concretos de casos en los que se demuestre por qué se había propuesto la introducción de dichas descripciones; j) información anual sobre el número de proyectos de investigación e innovación emprendidos, que incluya información sobre los fines de dichos proyectos, las categorías de datos personales tratados, las garantías adicionales utilizadas, incluida la minimización de datos, las necesidades policiales que dichos proyectos pretenden abordar y el resultado de estos; k) información anual sobre el número de casos en los que Europol haya recurrido al tratamiento temporal de conformidad con el artículo 18, apartado 6 bis y, en su caso, el número de casos en que se haya ampliado el período de tratamiento; l) información anual sobre el número y los tipos de casos en los que se hayan tratado categorías especiales de datos personales, en virtud del artículo 30, apartado 2. Los ejemplos a que se refieren las letras f) e i) se anonimizarán en lo que respecta a los datos personales. Los ejemplos a que se refiere la letra g) se anonimizarán en lo que respecta a los datos personales, sin revelar detalles operativos y sin perjuicio de las investigaciones en curso.»; b) el apartado 5 se sustituye por el texto siguiente: «5.   El GCPC podrá elaborar unas conclusiones resumidas sobre el seguimiento político de las actividades de Europol, incluidas recomendaciones específicas no vinculantes dirigidas a Europol, y presentarlas al Parlamento Europeo y a los Parlamentos nacionales. El Parlamento Europeo remitirá dichas conclusiones, a efectos informativos, al Consejo, la Comisión y Europol.». 46) Se inserta el artículo siguiente: «Artículo 52 bis Foro consultivo 1.   El GCPC creará un foro consultivo que le asista, previa petición, mediante un asesoramiento independiente en materia de derechos fundamentales. El GCPC y el director ejecutivo podrán consultar al foro consultivo acerca de cualquier asunto relacionado con los derechos fundamentales. 2.   El GCPC determinará la composición del foro consultivo, sus métodos de trabajo y el modo en que la información se haya de transmitir al foro consultivo.». 47) En el artículo 58, el apartado 9 se sustituye por el texto siguiente: «9.   El Reglamento Delegado (UE) 2019/715 se aplicará a cualquier proyecto inmobiliario que pueda tener repercusiones significativas en el presupuesto de Europol.». 48) El artículo 60 se modifica como sigue: a) el apartado 4 se sustituye por el texto siguiente: «4.   Una vez recibidas las observaciones del Tribunal de Cuentas sobre las cuentas provisionales de Europol del año N con arreglo al artículo 246 del Reglamento (UE, Euratom) n.o 2018/1046 del Parlamento Europeo y del Consejo (*14), el contable de Europol elaborará las cuentas definitivas de Europol de ese año. El director ejecutivo presentará dichas cuentas definitivas al Consejo de Administración para que este emita dictamen al respecto. (*14)  Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).»;" b) el apartado 9 se sustituye por el texto siguiente: «9.   A petición del Parlamento Europeo, el director ejecutivo le presentará toda la información necesaria para el correcto desarrollo del procedimiento de aprobación de la gestión presupuestaria del ejercicio N, de conformidad con el artículo 106, apartado 3, del Reglamento Delegado (UE) 2019/715.». 49) El artículo 61 se sustituye por el texto siguiente: «Artículo 61 Normas financieras 1.   El Consejo de Administración aprobará las normas financieras aplicables a Europol, previa consulta a la Comisión. Estas normas no se apartarán del Reglamento Delegado (UE) 2019/715 salvo que sea específicamente necesario para el funcionamiento de Europol y previo acuerdo de la Comisión. 2.   Europol podrá conceder subvenciones relacionadas con la consecución de sus objetivos y el desempeño de sus funciones. 3.   Europol podrá conceder subvenciones sin necesidad de ninguna convocatoria de propuestas a los Estados miembros para la realización de actividades que se incluyan en los objetivos y funciones de Europol. 4.   Cuando esté debidamente justificado por fines operativos, tras la autorización del Consejo de Administración, la ayuda financiera podrá sufragar la totalidad de los costes de inversión en equipos e infraestructuras. Las normas financieras a que se refiere el apartado 1 podrán especificar los criterios con arreglo a los cuales la ayuda financiera podrá sufragar la totalidad de los costes de inversión a que se refiere el párrafo primero del presente apartado. 5.   En lo que se refiere al apoyo presupuestario a las actividades de los equipos conjuntos de investigación, Europol y Eurojust establecerán conjuntamente las normas y condiciones de tramitación de las solicitudes de apoyo.». 50) El artículo 68 se modifica como sigue: a) el apartado 1 se sustituye por el texto siguiente: «1.   A más tardar el 29 de junio de 2027, y posteriormente cada cinco años, la Comisión efectuará una evaluación para valorar, en particular, el impacto, la eficacia y la eficiencia de Europol y de sus prácticas de trabajo. Dicha evaluación podrá abordar, en particular, la posible necesidad de modificar la estructura, el funcionamiento, el ámbito de actuación y las funciones de Europol, y las repercusiones financieras de cualquier modificación de este tipo.»; b) se añade el apartado siguiente: «3.   A más tardar el 29 de junio de 2025, la Comisión presentará un informe al Parlamento Europeo y al Consejo en el que se evalúen los efectos operativos del cumplimiento de las funciones previstas en el presente Reglamento, en particular, el artículo 4, apartado 1, letra t), el artículo 18, apartado 2, letra e), el artículo 18, apartado 6 bis, y los artículos 18 bis, 26, 26 bis y 26 ter, en relación con los objetivos de Europol. El informe evaluará los efectos de dichas funciones en los derechos y libertades fundamentales establecidos en la Carta. También proporcionará un análisis de costes y beneficios de la ampliación de las funciones de Europol.». 51) Se insertan los artículos siguientes: «Artículo 74 bis Disposiciones transitorias relativas al tratamiento de datos personales en apoyo de una investigación penal específica en curso 1.   Cuando un Estado miembro, la Fiscalía Europea o Eurojust hayan facilitado datos personales que no atañan a las categorías de interesados enumeradas en el anexo II a Europol antes del 28 de junio de 2022, Europol podrá tratar dichos datos personales de conformidad con el artículo 18 bis, cuando: a) el Estado miembro afectado, la Fiscalía Europea o Eurojust informen a Europol a más tardar el 29 de septiembre de 2022 de que está autorizado a tratar dichos datos personales, de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión o nacional, en la investigación penal en curso para la que hubiera solicitado el apoyo de Europol cuando proporcionó inicialmente los datos; b) el Estado miembro afectado, la Fiscalía Europea o Eurojust soliciten a Europol, a más tardar el 29 de septiembre de 2022, que apoye la investigación penal en curso a que se refiere la letra a), y c) Europol valore que, de conformidad con el artículo 18 bis, apartado 1, letra b), no es posible apoyar la investigación penal en curso a que se refiere la letra a) del presente apartado sin tratar datos personales que no cumplan con lo dispuesto en el artículo 18, apartado 5. La valoración mencionada en la letra c) del presente apartado se registrará y remitirá al SEPD a efectos informativos cuando Europol deje de apoyar la investigación penal específica conexa. 2.   Cuando un Estado miembro, la Fiscalía Europea o Eurojust no cumpla alguno o varios de los requisitos establecidos en el apartado 1, letras a) y b), del presente artículo por lo que respecta a los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II que haya facilitado a Europol antes del 28 de junio de 2022, o cuando un Estado miembro, la Fiscalía Europea o Eurojust no cumpla el apartado 1, letra c), del presente artículo, Europol no tratará dichos datos personales de conformidad con el artículo 18 bis, sino que los suprimirá, sin perjuicio de lo dispuesto en el artículo 18, apartado 5, y en el artículo 74 ter, a más tardar el 29 de octubre de 2022. 3.   Cuando un tercer país a que se refiere el artículo 18 bis, apartado 6, haya facilitado datos personales que no atañan a las categorías de interesados enumeradas en el anexo II a Europol antes del 28 de junio de 2022, Europol podrá tratar dichos datos personales de conformidad con el artículo 18 bis, apartado 6, cuando: a) el tercer país haya facilitado los datos personales en apoyo de una investigación penal específica en uno o más Estados miembros a los que Europol apoye; b) el tercer país haya obtenido los datos en el contexto de una investigación penal de conformidad con los requisitos y garantías procesales aplicables en virtud de su Derecho penal nacional; c) el tercer país informe a Europol, a más tardar el 29 de septiembre de 2022, de que está autorizado a tratar dichos datos personales en la investigación penal en el contexto de la cual haya obtenido los datos; d) Europol valore que, de conformidad con el artículo 18 bis, apartado 1, letra b), no es posible apoyar la investigación penal específica a que se refiere la letra a) del presente apartado sin tratar datos personales que no cumplan con lo dispuesto en el artículo 18, apartado 5, y dicha valoración se registre y remita al SEPD a efectos informativos cuando Europol deje de apoyar la investigación penal específica conexa; y e) Europol compruebe, de conformidad con el artículo 18 bis, apartado 6, que la cantidad de datos personales no es manifiestamente desproporcionada en relación con la investigación penal específica a que se refiere la letra a) del presente apartado en uno o más Estados miembros a los que Europol apoya. 4.   Cuando un tercer país no cumpla el requisito establecido en el apartado 3, letra c), del presente artículo respecto de los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II que haya facilitado a Europol antes del 28 de junio de 2022, o cuando no se cumplan los demás requisitos establecidos en el apartado 3 del presente artículo, Europol no tratará dichos datos personales de conformidad con el artículo 18 bis, apartado 6, sino que los suprimirá, sin perjuicio de lo dispuesto en el artículo 18, apartado 5, y en el artículo 74 ter, a más tardar el 29 de octubre de 2022. 5.   Cuando un Estado miembro, la Fiscalía Europea o Eurojust haya facilitado datos personales que no atañan a las categorías de interesados enumeradas en el anexo II a Europol antes del 28 de junio de 2022, podrá solicitar a Europol a más tardar el 29 de septiembre de 2022, que conserve dichos datos y el resultado del tratamiento de dichos datos por parte de Europol cuando sea necesario para garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal. Europol conservará los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II de tal modo que exista una separación funcional de otros datos y solo tratará dichos datos con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, y únicamente durante el tiempo en que se esté tramitando el procedimiento judicial relacionado con la investigación penal para la que se hayan facilitado dichos datos. 6.   Cuando Europol haya recibido datos personales que no atañan a las categorías de interesados enumeradas en el anexo II antes del 28 de junio de 2022, Europol no conservará dichos datos con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, a menos que así se solicite de conformidad con el apartado 5. A falta de tal solicitud, Europol suprimirá dichos datos personales a más tardar el 29 de octubre de 2022. Artículo 74 ter Disposiciones transitorias relativas al tratamiento de datos personales en poder de Europol Sin perjuicio de lo dispuesto en el artículo 74 bis, respecto de los datos personales recibidos por Europol antes del 28 de junio de 2022, Europol podrá comprobar si dichos datos personales atañen a alguna de las categorías de interesados establecidas en el anexo II. Con este fin, Europol podrá llevar a cabo un análisis preliminar de dichos datos personales durante un período máximo de dieciocho meses a partir de la fecha en que se recibieran por primera vez o, en casos justificados y con la autorización previa del SEPD, durante un período más largo. El período máximo de tratamiento de los datos a que se refiere el párrafo primero será de tres años a partir del día de la recepción de los datos por Europol.».
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg:2022:991:oj#art-1