Agencia Estatal Boletín Oficial del Estado

(1)

La Agencia de la Unión Europea para la Cooperación Policial (Europol) se creó en virtud del Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (2) para apoyar y reforzar la actuación de las autoridades competentes de los Estados miembros, así como su cooperación mutua en la prevención y la lucha contra la delincuencia grave que afecte a dos o más Estados miembros, el terrorismo y las formas de delincuencia que lesionen un interés común protegido por una política de la Unión.

(2)

En materia de seguridad, Europa se enfrenta a un panorama cambiante, con amenazas para la seguridad que evolucionan y se vuelven cada vez más complejas. Los terroristas y otros delincuentes aprovechan la transformación digital y las nuevas tecnologías, en particular, tanto la interconectividad como la confusión de los límites entre el mundo físico y el digital, por ejemplo, ocultando sus delitos y su identidad mediante el recurso a tecnologías cada vez más sofisticadas. Los terroristas y otros delincuentes han demostrado su capacidad para adaptar su modus operandi y desarrollar nuevas actividades delictivas en tiempos de crisis, incluido el aprovechamiento de herramientas habilitadas por la tecnología para multiplicar y expandir la gama y la escala de sus actividades delictivas. El terrorismo sigue constituyendo una amenaza importante para la libertad y el modo de vida de los ciudadanos de la Unión.

(3)

Amenazas cambiantes y complejas se propagan a través de las fronteras, abarcan y facilitan toda una serie de delitos y se manifiestan en grupos de delincuencia organizada multidelictivos que participan en una amplia gama de actividades delictivas. Dado que la actuación a nivel nacional y la cooperación transfronteriza no bastan para hacer frente a dichas amenazas transnacionales en materia de seguridad, las autoridades competentes de los Estados miembros han ido recurriendo cada vez más al apoyo y los conocimientos especializados que ofrece Europol para prevenir y combatir la delincuencia grave y el terrorismo. Desde que el Reglamento (UE) 2016/794 comenzó a ser aplicable, la importancia operativa de las funciones de Europol ha aumentado sustancialmente. Además, el nuevo entorno de amenazas altera el alcance y el tipo del apoyo que los Estados miembros necesitan y esperan de Europol para garantizar la seguridad de los ciudadanos.

(4)

En consecuencia, se deben atribuir funciones adicionales a Europol en virtud del presente Reglamento para permitirle apoyar mejor a las autoridades competentes de los Estados miembros, al mismo tiempo que se mantienen las responsabilidades de los Estados miembros en el ámbito de la seguridad nacional establecidas en el artículo 4, apartado 2, del Tratado de la Unión Europea (TUE). El mandato reforzado de Europol debe equilibrarse con las garantías por lo que respecta a los derechos fundamentales y una mayor rendición de cuentas, asunción de responsabilidades y supervisión, incluido el control parlamentario y la supervisión ejercida por el Consejo de Administración de Europol (en lo sucesivo, «Consejo de Administración»). Para que Europol pueda cumplir su mandato reforzado, se le deben asignar recursos humanos y financieros adecuados para apoyar sus funciones adicionales.

(5)

Dado que la Unión se enfrenta a amenazas crecientes por parte de grupos de delincuencia organizada y por atentados terroristas, una respuesta policial eficaz debe incluir la disponibilidad de unidades especiales de intervención interoperables y bien entrenadas, especializadas en el control de las situaciones de crisis provocadas por el hombre. En la Unión, las unidades especiales de intervención de los Estados miembros cooperan sobre la base de la Decisión 2008/617/JAI del Consejo (3). Europol debe poder apoyar a dichas unidades especiales de intervención, mediante la prestación de apoyo técnico y financiero, que complemente los esfuerzos realizados por los Estados miembros.

(6)

En los últimos años, los ciberataques a gran escala, incluidos los ataques con origen en terceros países, se han dirigido contra entidades públicas y privadas en muchos territorios tanto dentro de la Unión como fuera de ella, afectando a diversos sectores, como el transporte, la salud y los servicios financieros. La prevención, detección, investigación y enjuiciamiento de tales ciberataques se ven apoyados por la coordinación y la cooperación entre los agentes pertinentes, incluidas la Agencia de la Unión Europea para la Ciberseguridad (ENISA), creada por el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (4), las autoridades competentes en materia de seguridad de las redes y los sistemas de información en el sentido de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (5), las autoridades competentes de los Estados miembros y las entidades privadas. A fin de garantizar la cooperación efectiva entre todos los agentes pertinentes a nivel de la Unión y nacional en materia de ciberataques y ciberamenazas, Europol debe cooperar con ENISA, en particular, mediante el intercambio de información y la prestación de apoyo analítico en ámbitos incluidos dentro de sus respectivas competencias.

(7)

Los delincuentes de alto riesgo desempeñan un papel destacado en las redes delictivas y sus actividades delictivas suponen un alto riesgo para la seguridad interior de la Unión. A fin de combatir los grupos de delincuencia organizada de alto riesgo y sus miembros dirigentes, Europol debe poder ayudar a los Estados miembros a centrar su respuesta investigadora en la identificación de los miembros y de los miembros dirigentes de tales redes, sus actividades delictivas y sus activos financieros.

(8)

Las amenazas que plantean los delitos graves necesitan una respuesta coordinada, coherente, multidisciplinar y multiinstitucional. Europol debe poder facilitar y apoyar iniciativas de seguridad impulsadas por los Estados miembros y basadas en la información de inteligencia que tengan como objetivo detectar, dar prioridad y hacer frente a las amenazas de delincuencia grave, como, por ejemplo, la plataforma multidisciplinar europea contra las amenazas delictivas (EMPACT, por sus siglas en inglés). Europol debe poder prestar apoyo administrativo, logístico, financiero y operativo a dichas iniciativas.

(9)

El Sistema de Información de Schengen (SIS), creado en el ámbito de la cooperación policial y judicial en materia penal por el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo (6), es un instrumento esencial para mantener un alto nivel de seguridad en el espacio de libertad, seguridad y justicia. Europol, como centro de intercambio de información en la Unión, recibe y posee información valiosa procedente de terceros países y organizaciones internacionales sobre personas sospechosas de estar implicadas en delitos que se incluyen en los objetivos de Europol. En el marco de sus objetivos y su función de apoyo a los Estados miembros en materia de prevención y lucha contra la delincuencia grave y el terrorismo, Europol debe apoyar a los Estados miembros en el tratamiento de los datos que le hayan facilitado terceros países u organismos internacionales, proponiendo que los Estados miembros puedan introducir en el SIS descripciones de información en una nueva categoría de descripciones de información en interés de la Unión (en lo sucesivo, «descripciones de información»), con objeto de poner dichas descripciones de información a disposición de los usuarios finales del SIS. A tal fin, se debe instaurar un mecanismo de información periódica para asegurar que los Estados miembros y Europol estén informados del resultado de la comprobación y análisis de esos datos y de si la información se ha introducido en el SIS. Las modalidades de cooperación entre los Estados miembros para el tratamiento de tales datos y la introducción de las descripciones en el SIS, en particular, en lo que se refiere a la lucha contra el terrorismo, deben ser objeto de una coordinación continua entre los Estados miembros. El Consejo de Administración debe especificar los criterios que sirvan de base a Europol para poder formular propuestas para la introducción de dichas descripciones de información en el SIS.

(10)

Europol tiene un importante papel que desempeñar en apoyo del mecanismo de evaluación y seguimiento para verificar la aplicación del acervo de Schengen establecido por el Reglamento (UE) n.o 1053/2013 del Consejo (7). Por consiguiente, Europol debe contribuir, previa solicitud de los Estados miembros, al mecanismo de evaluación y seguimiento de Schengen con sus conocimientos especializados, análisis, informes y demás información pertinente para verificar la aplicación del acervo de Schengen.

(11)

Las evaluaciones de riesgos ayudan a anticipar nuevas tendencias y a hacer frente a las nuevas amenazas que planteen la delincuencia grave y el terrorismo. Para apoyar a la Comisión y a los Estados miembros en la realización de evaluaciones de riesgos eficaces, Europol debe proporcionar a la Comisión y a los Estados miembros análisis de evaluación de amenazas basados en la información de que disponga sobre fenómenos y tendencias delictivas, sin perjuicio del Derecho de la Unión sobre gestión de riesgos aduaneros.

(12)

Con el fin de que la financiación de la Unión para la investigación en materia de seguridad logre su objetivo de garantizar que la investigación desarrolle todo su potencial y responda a las necesidades de las autoridades policiales, Europol debe ayudar a la Comisión a definir temas clave de investigación y a elaborar y ejecutar los programas marco de investigación e innovación de la Unión que sean pertinentes para lograr los objetivos de Europol. Cuando sea pertinente, Europol debe poder difundir los resultados de sus actividades de investigación e innovación como parte de su contribución a la creación de sinergias entre las actividades de investigación e innovación de los organismos pertinentes de la Unión. A la hora de diseñar y conceptualizar las actividades de investigación e innovación pertinentes para sus objetivos, Europol debe, en su caso, poder consultar al Centro Común de Investigación (JRC) de la Comisión. Europol debe adoptar todas las medidas necesarias para evitar conflictos de intereses. Cuando Europol asista a la Comisión en la identificación de temas clave de investigación y en la elaboración y ejecución de un programa marco de la Unión, no debe recibir financiación de dicho programa. Es importante que Europol pueda contar con una financiación adecuada y fiable para poder ayudar a los Estados miembros y a la Comisión en el ámbito de la investigación e innovación.

(13)

La Unión y los Estados miembros pueden adoptar medidas restrictivas relativas a la inversión extranjera directa por motivos de seguridad u orden público. A tal fin, el Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo (8) establece un marco para el control de las inversiones extranjeras directas en la Unión. Las inversiones extranjeras directas en tecnologías emergentes merecen especial atención, ya que pueden tener repercusiones significativas para la seguridad y el orden público, en particular, cuando dichas tecnologías son utilizadas por las autoridades competentes de los Estados miembros. Dada la participación de Europol en el seguimiento de las tecnologías emergentes y su participación activa en el desarrollo de nuevas formas de utilización de dichas tecnologías con fines policiales, en particular, a través de su laboratorio de innovación y a través del Centro de Innovación de la UE para la Seguridad Interior, Europol tiene amplios conocimientos sobre las oportunidades que ofrecen dichas tecnologías, así como sobre los riesgos asociados a su uso. Europol debe, por lo tanto, poder apoyar a los Estados miembros en el examen de inversiones extranjeras directas en la Unión y de los riesgos relacionados para la seguridad y el orden público que afecten a empresas que suministran tecnologías, incluido software, utilizadas por Europol para la prevención e investigación de delitos que se incluyen en los objetivos de Europol, o tecnologías críticas que puedan ser utilizadas para facilitar el terrorismo. En este contexto, la experiencia de Europol debe apoyar el examen de las inversiones extranjeras directas y los riesgos relacionados para la seguridad. Debe tenerse especialmente en cuenta si el inversor extranjero ya ha participado en actividades que afectan a la seguridad, si existe un riesgo grave de que el inversor extranjero participe en actividades ilegales o delictivas y si el inversor extranjero está controlado directa o indirectamente por el gobierno de un tercer país, incluso mediante subvenciones.

(14)

Europol proporciona conocimientos especializados en la lucha contra la delincuencia grave y el terrorismo. A petición de un Estado miembro, el personal de Europol debe poder prestar apoyo operativo a las autoridades competentes de dicho Estado miembro en operaciones e investigaciones, en particular facilitando el intercambio transfronterizo de información y prestando apoyo criminalístico y técnico en las operaciones e investigaciones, incluso en el contexto de equipos conjuntos de investigación. A petición de un Estado miembro, el personal de Europol debe tener derecho a estar presente durante la ejecución de las medidas de investigación en dicho Estado miembro. El personal de Europol no debe estar facultado para ejecutar medidas de investigación.

(15)

Uno de los objetivos de Europol es apoyar y reforzar la actuación de las autoridades competentes de los Estados miembros y su cooperación mutua en la prevención y la lucha contra las formas de delincuencia grave que lesionen un interés común protegido por una política de la Unión. Para reforzar ese apoyo, el director ejecutivo de Europol (en lo sucesivo, «director ejecutivo») debe poder proponer a las autoridades competentes de un Estado miembro que inicien, lleven a cabo o coordinen la investigación de un delito que afecte solo a dicho Estado miembro, pero que lesione un interés común protegido por una política de la Unión. Europol debe informar a Eurojust y, cuando proceda, a la Fiscalía Europea creada por el Reglamento (UE) 2017/1939 (9), de toda solicitud de ese tipo.

(16)

La publicación de la identidad y de determinados datos personales de los sospechosos o condenados que estén en búsqueda sobre la base de una resolución judicial nacional aumenta la probabilidad de que los Estados miembros localicen y detengan a dichas personas. Para apoyar a los Estados miembros a localizar y detener a dichas personas, Europol debe poder publicar en su sitio web información sobre los fugitivos más buscados en Europa en relación con los actos delictivos que se incluyen en los objetivos de Europol. Con la misma finalidad, Europol debe facilitar que el público proporcione información sobre tales personas a los Estados miembros y a Europol.

(17)

Una vez que Europol determine que los datos personales que recibe se incluyen en sus objetivos, debe poder tratar dichos datos personales en los cuatro supuestos siguientes. En el primer supuesto, los datos personales recibidos atañen a alguna de las categorías de interesados enumeradas en el anexo II del Reglamento (UE) 2016/794 (en lo sucesivo, «anexo II»). En el segundo supuesto, los datos personales recibidos consisten en datos de investigación que contienen datos que no atañen a ninguna de las categorías de interesados enumeradas en el anexo II, pero que han sido facilitados, a raíz de una solicitud de apoyo a Europol en una investigación penal específica, por un Estado miembro, la Fiscalía Europea, Eurojust o un tercer país, siempre que dicho Estado miembro, la Fiscalía Europea, Eurojust o ese tercer país esté autorizado a tratar tales datos de investigación de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión y del Derecho nacional. En este supuesto, Europol debe poder tratar dichos datos de investigación durante todo el tiempo en que esté apoyando esa investigación penal específica. En el tercer supuesto, los datos personales recibidos pueden no atañer a ninguna de las categorías de interesados enumeradas en el anexo II y no han sido facilitados a raíz de una solicitud de apoyo de Europol a una investigación penal específica. En este supuesto, Europol debe poder comprobar si dichos datos personales atañen a alguna de esas categorías de interesados. En el cuarto supuesto, los datos personales recibidos se han facilitado para fines de proyectos de investigación e innovación, y no atañen a las categorías de interesados enumeradas en el anexo II.

(18)

De conformidad con el artículo 73 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (10), cuando corresponda y en la medida de lo posible, Europol debe hacer una distinción clara entre los datos personales que atañen a las diferentes categorías de interesados enumeradas en el anexo II.

(19)

Cuando los Estados miembros utilicen la infraestructura de Europol para el intercambio de datos personales sobre delitos que no se incluyen en los objetivos de Europol, Europol no debe tener acceso a dichos datos y se le debe considerar un encargado del tratamiento en el sentido del artículo 87 del Reglamento (UE) 2018/1725. En tales casos, Europol debe poder tratar datos que no atañan a las categorías de interesados enumeradas en el anexo II. Cuando los Estados miembros empleen la infraestructura de Europol para el intercambio de datos personales sobre delitos que se incluyen en los objetivos de Europol y cuando otorguen a Europol acceso a dichos datos, los requisitos vinculados con las categorías de interesados enumeradas en el anexo II deben aplicarse a cualquier otro tratamiento de dichos datos por parte de Europol.

(20)

Europol debe poder comprobar si los datos personales recibidos en el contexto de la prevención y la lucha contra los delitos que se incluyen en sus objetivos atañen a alguna de las categorías de interesados enumeradas en el anexo II, respetando al mismo tiempo el principio de minimización de datos. A tal fin, Europol debe poder llevar a cabo un análisis preliminar de los datos personales recibidos con el único fin de determinar si dichos datos atañen a alguna de tales categorías de interesados cotejando dichos datos personales con los que ya obran en su poder, sin proceder al análisis ulterior de tales datos. Dicho análisis preliminar debe tener lugar antes, y al margen, del tratamiento de datos por parte de Europol a efectos de controles cruzados, análisis estratégicos, análisis operativos o de intercambio de información y después de que Europol haya determinado que los datos en cuestión son pertinentes y necesarios para el desempeño de sus funciones. Una vez que Europol haya determinado que dichos datos personales atañen a las categorías de interesados enumeradas en el anexo II, Europol debe poder tratar dichos datos personales a efectos de controles cruzados, análisis estratégicos, análisis operativos o de intercambio de información. Europol debe eliminar los datos personales si llega a la conclusión de que dichos datos no atañen a las categorías de interesados enumeradas en el anexo II.

(21)

La clasificación de datos personales en un conjunto de datos determinado puede variar con el tiempo como consecuencia de nueva información que vaya estando disponible en el contexto de investigaciones penales, por ejemplo, en relación con sospechosos adicionales. Por esa razón, Europol debe tener autorización para tratar datos personales cuando resulte estrictamente necesario y proporcionado a efectos de determinar las categorías de interesados a los que atañen los datos de los que se trate durante un período máximo de dieciocho meses a partir del momento en que Europol determine que dichos datos no se incluyen en sus objetivos. Europol debe poder ampliar dicho período hasta tres años en casos debidamente justificados y siempre que dicha prórroga sea necesaria y proporcionada. Tal prórroga debe ser comunicada al Supervisor Europeo de Protección de Datos (SEPD). Cuando el tratamiento de datos personales con el fin de determinar las categorías de interesados ya no sea necesario ni esté justificado, y, en cualquier caso, una vez finalizado el período máximo de tratamiento, Europol debe suprimir los datos personales.

(22)

La cantidad de datos recogidos en el marco de investigaciones penales ha ido aumentando de volumen y los conjuntos de datos se han vuelto más complejos. Los Estados miembros transmiten conjuntos de datos voluminosos y complejos a Europol, solicitando su análisis operativo para identificar vínculos con otros delitos que no sean el que es objeto de la investigación en cuyo contexto se recopilaron y con delincuentes en otros Estados miembros y fuera de la Unión. Dado que Europol puede detectar dichos vínculos transfronterizos con mayor eficacia que los Estados miembros a través de su propio análisis de los datos, Europol debe poder apoyar las investigaciones penales de los Estados miembros mediante el tratamiento de conjuntos de datos voluminosos y complejos para detectar dichos vínculos transfronterizos, siempre que se cumplan los estrictos requisitos y garantías establecidos en el presente Reglamento. Cuando sea necesario para apoyar eficazmente una investigación penal específica en curso en un Estado miembro, Europol debe poder tratar datos de investigación que las autoridades competentes de los Estados miembros estén autorizadas a tratar en dicha investigación penal específica de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho nacional y posteriormente facilitados a Europol. Entre esos datos deben incluirse los datos personales en el caso de que un Estado miembro no haya podido determinar si dichos datos atañen a las categorías de interesados enumeradas en el anexo II. Cuando un Estado miembro, la Fiscalía Europea o Eurojust facilite a Europol datos de investigación y solicite el apoyo de Europol para una investigación penal específica en curso, Europol debe poder tratar dichos datos durante todo el tiempo en que apoye esa investigación penal específica, de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión o nacional.

(23)

Para garantizar que el tratamiento de datos realizado en el contexto de una investigación penal sea necesario y proporcionado, los Estados miembros deben garantizar el cumplimiento del Derecho de la Unión y del Derecho nacional cuando faciliten datos de investigación a Europol. Al facilitar datos de investigación a Europol para solicitar su apoyo en una investigación penal específica, los Estados miembros deben tener en cuenta la magnitud y complejidad que implique el tratamiento de los datos, y el tipo y la importancia de la investigación. Los Estados miembros deben informar a Europol cuando, de conformidad con los requisitos y garantías procesales aplicables en virtud de su Derecho nacional, dejen de estar autorizados para tratar datos en la investigación penal específica en curso. Europol solo debe tratar datos personales que no atañan a las categorías de interesados enumeradas en el anexo II cuando valore que no es posible apoyar una investigación penal específica en curso sin el tratamiento de dichos datos personales. Europol debe documentar esta valoración. Europol debe conservar dichos datos de tal modo que exista una separación funcional de otros datos y solo debe tratarlos cuando sea necesario para su apoyo a la investigación penal específica en curso, como en el caso de una nueva pista.

(24)

Europol también debe poder tratar los datos personales que sean necesarios para apoyar una investigación penal específica en uno o varios Estados miembros si dichos datos son facilitados por un tercer país, siempre que: el tercer país sea objeto de una decisión de adecuación de conformidad con la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (11) (en lo sucesivo, «decisión de adecuación»); un acuerdo internacional con dicho tercer país se haya celebrado por la Unión de conformidad con el artículo 218 del Tratado de Funcionamiento de la Unión Europea (TFUE) que incluya la transferencia de datos personales con fines policiales (en lo sucesivo, «acuerdo internacional»); un acuerdo de cooperación que permita el intercambio de datos personales se haya celebrado entre Europol y el tercer país con anterioridad a la entrada en vigor del Reglamento (UE) 2016/794 (en lo sucesivo, «acuerdo de cooperación»); o se hayan establecido, en un instrumento jurídicamente vinculante, garantías adecuadas en relación con la protección de datos personales o Europol llegue a la conclusión, sobre la base de una valoración de todas las circunstancias que rodean a la transferencia de datos personales, de que existen esas garantías en dicho tercer país y siempre que el tercer país haya obtenido los datos en el contexto de una investigación penal de conformidad con los requisitos y garantías procesales aplicables en virtud de su Derecho penal nacional. Cuando un tercer país facilite a Europol datos de investigación, Europol debe comprobar que la cantidad de datos personales no sea manifiestamente desproporcionada en relación con la investigación penal específica que Europol apoye en el Estado miembro en cuestión, y, en la medida de lo posible, que no existan indicios objetivos de que los datos de investigación se hayan recopilado en el tercer país en vulneración manifiesta de los derechos fundamentales. Si Europol llega a la conclusión de que no se cumplen esas condiciones, no debe tratar los datos y debe suprimirlos. Si un tercer país facilita a Europol datos de investigación, el responsable de protección de datos debe poder notificarlo al SEPD, cuando proceda.

(25)

Para garantizar que un Estado miembro pueda utilizar los informes analíticos de Europol en el contexto del procedimiento judicial a raíz de una investigación penal, Europol debe poder conservar los datos de investigación correspondientes, a petición de dicho Estado miembro, de la Fiscalía Europea o de Eurojust, con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal. Europol debe conservar tales datos de tal modo que exista una separación funcional de otros datos y únicamente durante el tiempo en que el procedimiento judicial relacionado con la investigación penal se esté tramitando en el Estado miembro. Asimismo, es necesario garantizar el acceso de las autoridades judiciales competentes, así como los derechos de defensa, en particular, el derecho de los sospechosos o acusados, o de sus abogados, a consultar el expediente. A tal efecto, Europol debe registrar todas las pruebas y los métodos con los que las haya producido u obtenido, para permitir un control efectivo de las pruebas por parte de la defensa.

(26)

Europol debe poder tratar los datos personales que haya recibido antes de la entrada en vigor del presente Reglamento y que no atañan a las categorías de interesados enumeradas en el anexo II, y de conformidad con este, en dos supuestos. En el primer supuesto, Europol debe poder tratar dichos datos personales en apoyo a una investigación penal o para garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, siempre que se cumplan los requisitos establecidos en las disposiciones transitorias relativas al tratamiento de los datos personales recibidos en apoyo a una investigación penal. En el segundo supuesto, Europol debe poder comprobar si dichos datos personales atañen a alguna de las categorías de interesados enumeradas en el anexo II, mediante la realización de un análisis preliminar de dichos datos personales durante un plazo máximo de dieciocho meses a partir de la fecha en que se recibieran por primera vez o, en casos justificados y previa autorización del SEPD, durante un plazo más largo. El plazo máximo de tratamiento de datos personales a efectos de dicho análisis preliminar no debe exceder de tres años a partir de la fecha en que Europol los recibiera por primera vez.

(27)

Los casos transfronterizos de delincuencia grave o terrorismo requieren una estrecha cooperación entre las autoridades competentes de los Estados miembros afectados. Europol proporciona herramientas para apoyar esta cooperación en las investigaciones, en particular, mediante el intercambio de información. Para reforzar aún más esta cooperación en investigaciones penales específicas mediante análisis operativos conjuntos, los Estados miembros deben poder permitir a otros Estados miembros acceder directamente a la información que hayan facilitado a Europol, sin perjuicio de las restricciones generales o específicas que hayan indicado para la consulta de dicha información. Todo tratamiento de datos personales por parte de los Estados miembros en el marco de un análisis operativo conjunto debe llevarse a cabo de conformidad con el presente Reglamento y la Directiva (UE) 2016/680.

(28)

Europol y la Fiscalía Europea deben celebrar un acuerdo de trabajo que establezca las modalidades de su cooperación, teniendo debidamente en cuenta sus competencias respectivas. Europol debe colaborar estrechamente con la Fiscalía Europea y apoyar activamente sus investigaciones a petición de esta, también proporcionando apoyo analítico e información pertinente. Asimismo, Europol debe cooperar con la Fiscalía Europea desde el momento en que se denuncie un presunto delito ante la Fiscalía Europea hasta el momento en que esta determine si debe ejercer la acción penal o archivar el asunto. Europol debe informar sin demora indebida a la Fiscalía Europea de cualquier conducta delictiva respecto de la que la Fiscalía Europea pueda ejercer su competencia. Para mejorar la cooperación operativa entre Europol y la Fiscalía Europea, Europol debe permitir que la Fiscalía Europea tenga acceso a los datos en poder de Europol, sobre la base de un sistema de respuesta positiva o negativa que notifique solo a Europol en caso de respuesta positiva, de conformidad con el presente Reglamento, incluidas las posibles restricciones indicadas por el proveedor de la información a Europol. Si la información se encuentra sujeta a una restricción indicada por un Estado miembro, Europol debe remitir el asunto a dicho Estado miembro para que este dé cumplimiento a sus obligaciones en virtud del Reglamento (UE) 2017/1939. El Estado miembro de que se trate debe informar posteriormente a la Fiscalía Europea de conformidad con su procedimiento nacional. Las normas sobre transmisión de datos personales a los organismos de la Unión establecidas en el presente Reglamento deben aplicarse a la cooperación de Europol con la Fiscalía Europea. Europol también debe poder apoyar las investigaciones de la Fiscalía Europea mediante el análisis de conjuntos de datos voluminosos y complejos en consonancia con las salvaguardias y las garantías en materia de protección de datos previstas en el presente Reglamento.

(29)

Europol debe cooperar estrechamente con la Oficina Europea de Lucha contra el Fraude (OLAF) para detectar el fraude, la corrupción y cualquier otra actividad ilegal que afecte a los intereses financieros de la Unión. A tal fin, Europol debe transmitir sin demora indebida a la OLAF cualquier información respecto de la cual la OLAF pueda ejercer su competencia. Las normas sobre transmisión de datos personales a los organismos de la Unión establecidas en el presente Reglamento deben aplicarse a la cooperación de Europol con la OLAF.

(30)

La delincuencia grave y el terrorismo suelen tener conexiones fuera de la Unión. Europol puede intercambiar datos personales con terceros países, salvaguardando al mismo tiempo la protección de la intimidad y los derechos y libertades fundamentales de los interesados. Cuando sea fundamental para la investigación de un delito específico que se incluya en los objetivos de Europol, debe permitirse al director ejecutivo autorizar una categoría de transferencias de datos personales a terceros países, en función del caso concreto, cuando esa categoría de transferencias esté relacionada con la misma situación específica, conste de las mismas categorías de datos personales y las mismas categorías de interesados, sea necesaria y proporcionada a efectos de investigación de un delito específico y cumpla todos los requisitos del presente Reglamento. Las transferencias individuales que entren en una de las categorías de transferencias deben poder incluir solamente algunas de las categorías de datos personales y categorías de interesados cuya transferencia haya autorizado el director ejecutivo. Asimismo, debe ser posible autorizar una categoría de transferencias de datos personales en las situaciones específicas siguientes: cuando la transferencia de datos personales sea necesaria para proteger los intereses vitales del interesado o de otra persona; cuando la transferencia de datos personales sea esencial para prevenir una amenaza inminente y grave para la seguridad pública de un Estado miembro o de un tercer país; cuando la finalidad de la transferencia de datos personales consista en salvaguardar los intereses legítimos del interesado; o, en casos concretos, cuando se haga a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales o se haga para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial relativo a la prevención, investigación, detección o enjuiciamiento de una infracción penal o la ejecución de una sanción penal específica.

(31)

Las transferencias que no se basen en una autorización del director ejecutivo, una decisión de adecuación, un acuerdo internacional o un acuerdo de cooperación solo deben permitirse cuando se hayan establecido las garantías adecuadas en un instrumento jurídicamente vinculante relativas a la protección de los datos personales o cuando Europol llegue a la conclusión, basándose en una valoración de todas las circunstancias que rodean a la transferencia de los datos personales, de que existen dichas garantías. A los efectos de dicha valoración, Europol debe poder tener en cuenta los acuerdos bilaterales celebrados entre Estados miembros y terceros países que permitan el intercambio de datos personales y si la transferencia de datos personales ha de estar sujeta a obligaciones de confidencialidad y al principio de especificidad, garantizando que los datos no sean tratados para otros fines que no sean la transferencia. Además, es importante que Europol tenga en cuenta si los datos personales podrían utilizarse para solicitar, dictar o ejecutar una pena de muerte u otra forma de trato cruel o inhumano. Europol debe poder exigir garantías adicionales.

(32)

Para apoyar a los Estados miembros en la cooperación con entidades privadas cuando estas dispongan de información pertinente para prevenir y combatir la delincuencia grave y el terrorismo, Europol debe poder recibir datos personales procedentes de entidades privadas y, en circunstancias específicas en las que resulte necesario y proporcionado, intercambiar datos personales con entidades privadas.

(33)

Los delincuentes recurren cada vez más a servicios ofrecidos por entidades privadas para comunicarse y llevar a cabo actividades ilegales. Los delincuentes sexuales explotan a niños y comparten imágenes y vídeos que constituyen material de abusos sexuales a menores en todo el mundo en plataformas en línea o con pares a través de servicios de comunicaciones interpersonales independientes de la numeración. Los terroristas utilizan los servicios ofrecidos por proveedores de servicios en línea para reclutar voluntarios, planificar y coordinar atentados y difundir propaganda. Los ciberdelincuentes se aprovechan de la digitalización de nuestras sociedades y de la falta de cultura y capacidades digitales y otras competencias digitales del público en general, utilizando la suplantación de identidad y la ingeniería social para cometer otros tipos de ciberdelitos, como las estafas en línea, los ataques con programas de secuestro o el fraude en los pagos. Como resultado del mayor uso de los servicios en línea por parte de los delincuentes, las entidades privadas poseen cantidades cada vez mayores de datos personales, incluidos datos sobre el abonado, el tráfico y el contenido, que pueden ser pertinentes para las investigaciones penales.

(34)

Dada la naturaleza transfronteriza de internet, cabe la posibilidad de que el proveedor de servicios en línea y la infraestructura digital en la que se conservan los datos personales estén sujetos cada uno al ámbito de competencia de distintos territorios, ya sea dentro o fuera de la Unión. Por lo tanto, las entidades privadas pueden poseer conjuntos de datos pertinentes para las autoridades policiales y que contengan datos personales que sean competencia de varios territorios, así como datos personales que no puedan atribuirse fácilmente al ámbito de competencia de ningún territorio concreto. A las autoridades competentes de los Estados miembros les puede resultar difícil analizar eficazmente estos conjuntos de datos que sean competencia de varios territorios o que no puedan atribuirse a ninguno en concreto mediante soluciones nacionales. Además, en la actualidad no existe un punto de contacto único para las entidades privadas que decidan compartir de forma legal y voluntaria conjuntos de datos con las autoridades competentes de los Estados miembros. Por consiguiente, Europol debe disponer de medidas para facilitar la cooperación de las entidades privadas, también en lo que respecta al intercambio de información.

(35)

Para garantizar que las entidades privadas dispongan de un punto de contacto a nivel de la Unión para facilitar de forma legal y voluntaria conjuntos de datos que sean competencia de varios territorios o conjuntos de datos que no puedan atribuirse fácilmente a uno o varios territorios concretos, Europol debe poder recibir datos personales directamente de entidades privadas con el fin de facilitar a los Estados miembros la información necesaria para determinar el territorio competente e investigar delitos en los territorios correspondientes, de conformidad con el presente Reglamento. Dicha información podría incluir informes de contenido moderado respecto a los que pueda suponerse razonablemente su vinculación con actividades delictivas que se incluyen en los objetivos de Europol.

(36)

Para garantizar que los Estados miembros reciban la información necesaria para iniciar investigaciones destinadas a prevenir y combatir la delincuencia grave y el terrorismo sin demora indebida, Europol debe poder tratar y analizar datos personales con el fin de determinar las unidades nacionales afectadas y transmitirles los datos personales y cualquier resultado de su análisis y comprobación de dichos datos que sean pertinentes para determinar el territorio competente e investigar los delitos de que se trate en sus respectivos territorios. Europol también debe poder transmitir los datos personales y los resultados de su análisis y comprobación de dichos datos que sean pertinentes para determinar el territorio competente a los puntos de contacto o las autoridades de los terceros países de que se trate que sean objeto de una decisión de adecuación, o con los que se haya celebrado un acuerdo internacional o un acuerdo de cooperación, o cuando se establezcan, en un instrumento jurídicamente vinculante, garantías adecuadas en relación con la protección de los datos personales, o cuando Europol llegue a la conclusión, basándose en una valoración de todas las circunstancias que rodean a la transferencia de datos personales, de que existen dichas garantías en esos terceros países. Cuando el tercer país de que se trate no sea objeto de una decisión de adecuación o no sea parte en un acuerdo internacional o de cooperación o no exista ningún instrumento jurídicamente vinculante, o cuando Europol no llegue a la conclusión de que existen garantías adecuadas, Europol debe poder transferir el resultado de su análisis y comprobación de dichos datos al tercer país de que se trate de conformidad con el presente Reglamento.

(37)

De conformidad con el Reglamento (UE) 2016/794, en determinados casos y con condiciones, puede resultar necesario y proporcionado que Europol transfiera datos personales a entidades privadas que no estén establecidas en la Unión o en un tercer país que sea objeto de una decisión de adecuación o con el que se haya celebrado un acuerdo internacional o de cooperación, o cuando no se hayan establecido, en un instrumento jurídicamente vinculante, garantías adecuadas en relación con la protección de los datos personales, o cuando Europol no llegue a la conclusión de que existen garantías adecuadas. En tales casos, la transmisión debe estar sujeta a la autorización previa del director ejecutivo.

(38)

Para garantizar que esté en condiciones de determinar todas las unidades nacionales afectadas, Europol debe poder contactar con las entidades privadas si la información que hayan proporcionado es insuficiente para que Europol pueda determinar las unidades nacionales afectadas. Esto permitiría a dichas entidades privadas decidir si les interesa compartir información adicional con Europol y si pueden hacerlo legalmente. A tal fin, Europol debe poder informar a las entidades privadas de información que falte, en la medida en que ello resulte estrictamente necesario para el único propósito de determinar las unidades nacionales afectadas. Deben aplicarse garantías especiales a las transferencias de información de Europol a las entidades privadas, en aquellos casos en los que la entidad privada de que se trate no esté establecida en la Unión o en un tercer país que sea objeto de una decisión de adecuación o con el que se haya celebrado un acuerdo internacional o de cooperación, o cuando no se establezcan, en un instrumento jurídicamente vinculante, garantías adecuadas en relación con la protección de los datos personales, o cuando Europol no llegue a la conclusión de que existen dichas garantías adecuadas.

(39)

Cuando los Estados miembros, terceros países, organizaciones internacionales o entidades privadas comparten con Europol conjuntos de datos que sean competencia de varios territorios o conjuntos de datos que no puedan atribuirse al ámbito de competencia de uno o varios territorios concretos, es posible que dichos conjuntos de datos estén vinculados a datos personales en poder de entidades privadas. En tales situaciones, Europol debe poder enviar una solicitud a los Estados miembros, a través de sus unidades nacionales, para obtener los datos personales en poder de entidades privadas que estén establecidas o tengan un representante legal en el territorio de dichos Estados miembros. Dicha solicitud solo debe formularse cuando sea necesario obtener información adicional de tales entidades privadas para determinar a las unidades nacionales afectadas. La solicitud debe estar motivada y ser lo más precisa posible. Los datos personales pertinentes, que deben tener el carácter menos sensible posible y deben limitarse a lo estrictamente necesario y proporcionado para determinar las unidades nacionales pertinentes, deben facilitarse a Europol de conformidad con el Derecho aplicable de los Estados miembros afectados. Las autoridades competentes de los Estados miembros afectados deben examinar la solicitud de Europol y decidir, de conformidad con su Derecho nacional, si acceder a ella. Cualquier tratamiento de datos por parte de entidades privadas que se lleve a cabo al tramitar dichas solicitudes de las autoridades competentes de los Estados miembros debe permanecer sujeto al Derecho aplicable, en particular, en materia de protección de datos. Las entidades privadas deben facilitar a las autoridades competentes de los Estados miembros los datos requeridos para su posterior transmisión a Europol. En muchos casos, es posible que los Estados miembros afectados no puedan establecer un vínculo con su territorio más que por el hecho de que la entidad privada en poder de los datos pertinentes está establecida o representada legalmente en su territorio. Con independencia de si tienen o no competencia respecto al delito específico, los Estados miembros deben velar por que sus autoridades nacionales competentes puedan obtener datos personales procedentes de entidades privadas con el fin de facilitar a Europol la información necesaria para lograr sus objetivos, respetando plenamente las garantías procesales establecidas en su Derecho nacional.

(40)

Para garantizar que Europol no conserve los datos personales recibidos directamente de entidades privadas más tiempo del necesario para determinar las unidades nacionales afectadas, deben aplicarse plazos para la conservación de datos personales por parte de Europol. Una vez que Europol haya agotado todos los medios a su alcance para determinar las unidades nacionales afectadas y no pueda esperar razonablemente determinar otras unidades nacionales afectadas, la conservación de dichos datos personales ya no será necesaria ni proporcionada para determinar las unidades nacionales afectadas. Europol debe cancelar los datos personales en un plazo de cuatro meses a partir de su última transmisión, de haberlos transmitido a una unidad nacional o haberlos transferido al punto de contacto de un tercer país o a una autoridad de un tercer país, a menos que, de conformidad con el Derecho de la Unión y el Derecho nacional, una unidad nacional, un punto de contacto o una autoridad afectada vuelva a facilitar a Europol los datos personales como datos propios en ese plazo. Si los datos personales que se hayan vuelto a facilitar formaban parte de un conjunto más amplio de datos personales, Europol solo debe conservar aquellos datos personales que se hayan vuelto a facilitar por una unidad nacional, un punto de contacto o una autoridad afectada.

(41)

La cooperación de Europol con entidades privadas no debe suponer una duplicidad en las actividades de las unidades de información (o inteligencia) financiera (UIF) establecidas con arreglo a la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo (12), ni interferir con dichas actividades, y debe concernir únicamente a información que aún no deba facilitarse a las UIF de conformidad con dicha Directiva. Europol debe seguir cooperando con las UIF, en particular, a través de las unidades nacionales.

(42)

Europol debe poder prestar el apoyo necesario para que las autoridades competentes de los Estados miembros puedan interactuar con entidades privadas, en particular, proporcionando la infraestructura necesaria para esta interacción, por ejemplo, cuando las autoridades competentes de los Estados miembros remitan contenidos terroristas en línea, envíen órdenes de retirada de dicho contenido a proveedores de servicios en línea de conformidad con el Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo (13), o intercambien información con entidades privadas en el contexto de ciberataques. Cuando los Estados miembros utilicen la infraestructura de Europol para el intercambio de datos personales sobre delitos que no se incluyan en los objetivos de Europol, Europol no debe tener acceso a tales datos. Europol debe asegurarse por medios técnicos de que dicha infraestructura se limita estrictamente a proporcionar un canal para las interacciones entre las autoridades competentes de los Estados miembros y una entidad privada, y de que Europol proporciona todas las garantías necesarias para evitar el acceso por parte de una entidad privada a cualquier otra información en los sistemas de Europol que no guarde relación con el intercambio con dicha entidad privada.

(43)

Los atentados terroristas desencadenan la difusión a gran escala de contenidos terroristas a través de plataformas en línea que muestran imágenes de agresiones contra la vida o la integridad física o que incitan a agresiones inminentes contra la vida o la integridad física, propiciando así la glorificación del terrorismo y que se proporcione formación para este y, en última instancia, la radicalización y el reclutamiento de otras personas. Además, el mayor uso de internet para registrar o compartir el material de abusos sexuales a menores perpetúa el daño a las víctimas, ya que el material puede multiplicarse y distribuirse con facilidad. Con el fin de prevenir y combatir los delitos que se incluyen en los objetivos de Europol, Europol debe poder respaldar las acciones de los Estados miembros para hacer frente eficazmente a la difusión de contenidos terroristas en el contexto de situaciones de crisis en línea derivadas de acontecimientos reales actuales o recientes, la difusión en línea de material en línea de abusos sexuales a menores, y para apoyar las actuaciones de los proveedores de servicios de conformidad con sus obligaciones en virtud del Derecho de la Unión y sus actuaciones voluntarias. A tal fin, Europol debe poder intercambiar los datos personales pertinentes –incluidas las firmas digitales únicas y no reconvertibles («hash»), las direcciones IP o las URL relacionadas con dichos contenidos– con entidades privadas establecidas en la Unión o en un tercer país que sea objeto de una decisión de adecuación o, a falta de tal decisión, con el que se haya celebrado un acuerdo internacional o de cooperación, o cuando se establezcan, en un instrumento jurídicamente vinculante, garantías adecuadas en relación con la protección de los datos personales, o Europol llegue a la conclusión, basándose en una valoración de todas las circunstancias que rodean a la transferencia de datos personales, de que existen dichas garantías en ese tercer país. Dichos intercambios de datos personales solo deben tener lugar con el fin de suprimir contenidos terroristas y material en línea de abusos sexuales a menores, en particular, cuando se prevea la multiplicación exponencial y viralidad de dicho contenido y material a través de múltiples proveedores de servicios en línea. Nada de lo dispuesto en el presente Reglamento debe entenderse en el sentido de que impida a un Estado miembro utilizar las órdenes de retirada previstas en el Reglamento (UE) 2021/784 como instrumento para combatir los contenidos terroristas en línea.

(44)

Con el fin de evitar una duplicación de esfuerzos y posibles interferencias con las investigaciones, y minimizar la carga para los prestadores afectados de servicios de alojamiento de datos, Europol debe apoyar, intercambiar información y cooperar con las autoridades competentes de los Estados miembros en relación con las transmisiones y transferencias de datos personales a entidades privadas para hacer frente a situaciones de crisis en línea y a la difusión en línea de material en línea de abusos sexuales a menores.

(45)

El Reglamento (UE) 2018/1725 establece normas sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión. Si bien el Reglamento (UE) 2018/1725 se aplica al tratamiento de datos personales administrativos por parte de Europol que no guardan relación con investigaciones penales, como, por ejemplo, los datos del personal, el artículo 3, punto 2, y el capítulo IX de dicho Reglamento, que regulan el tratamiento de datos personales, no se aplican actualmente a Europol. A fin de garantizar la protección uniforme y coherente de las personas físicas en lo que respecta al tratamiento de datos personales, el capítulo IX del Reglamento (UE) 2018/1725 debe aplicarse a Europol, de conformidad con el artículo 2, apartado 2, de dicho Reglamento, y debe complementarse con disposiciones específicas para las operaciones específicas de tratamiento que Europol debe llevar a cabo para desempeñar sus funciones. Por consiguiente, se deben reforzar las competencias de supervisión del SEPD en relación con las operaciones de tratamiento de Europol, en consonancia con las correspondientes competencias aplicables al tratamiento de datos personales administrativos que se aplican a todas las instituciones, órganos y organismos de la Unión con arreglo al capítulo VI del Reglamento (UE) 2018/1725. A tal fin, cuando Europol trate datos personales para fines operativos, el SEPD debe poder ordenar a Europol que haga que sus operaciones de tratamiento cumplan el presente Reglamento y ordenar la suspensión de los flujos de datos a un destinatario en un Estado miembro, un tercer país o un organismo internacional, y debe poder imponer una sanción administrativa en caso de incumplimiento por parte de Europol.

(46)

El tratamiento de datos a efectos del presente Reglamento podría implicar el tratamiento de categorías especiales de datos personales tal como establece el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (14). El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues las fotografías se encuentran comprendidas en la definición de datos biométricos del artículo 3, punto 18, del Reglamento (UE) 2018/1725 solamente cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física.

(47)

El mecanismo de consulta previa en el que participa el SEPD, establecido por el Reglamento (UE) 2018/1725, es una salvaguardia importante para los nuevos tipos de operaciones de tratamiento. Sin embargo, dicho mecanismo no debe aplicarse a actividades operativas específicas, como los proyectos de análisis operativos, sino al uso de nuevos sistemas informáticos (TI) para el tratamiento de datos personales y a cualesquiera cambios importantes de dichos sistemas que impliquen un riesgo elevado para los derechos y libertades de los interesados. El plazo en el que debe exigirse al SEPD que proporcione asesoramiento por escrito en relación con dichas consultas no debe poder suspenderse. En el caso del tratamiento de actividades de gravedad significativa para el desempeño de las funciones de Europol, que son especialmente urgentes, Europol debe poder, con carácter excepcional, comenzar el tratamiento una vez iniciada la consulta previa, incluso si el plazo para la prestación de asesoramiento por escrito por parte del SEPD aún no ha vencido. Dicha urgencia puede surgir en situaciones de importancia significativa para el desempeño de las funciones de Europol, cuando el tratamiento sea necesario para prevenir y hacer frente a una amenaza inmediata de un delito que se incluya en los objetivos de Europol y para proteger los intereses vitales del interesado o de otra persona. El responsable de protección de datos de Europol debe participar en la valoración de la urgencia y la necesidad de dicho tratamiento antes del vencimiento del plazo para que el SEPD responda a la consulta previa. El responsable de protección de datos de Europol debe supervisar dicho tratamiento. El SEPD debe poder ejercer sus competencias en relación con este tratamiento.

(48)

Habida cuenta de los retos que el rápido desarrollo tecnológico y la explotación de las nuevas tecnologías por parte de terroristas y otros delincuentes plantean para la seguridad de la Unión, las autoridades competentes de los Estados miembros necesitan reforzar sus capacidades tecnológicas para determinar, asegurar y analizar los datos necesarios para investigar infracciones penales. Europol debe poder apoyar a los Estados miembros en el uso de tecnologías emergentes, en la consideración de nuevos enfoques y en el desarrollo de soluciones tecnológicas comunes para que los Estados miembros prevengan y combatan mejor los delitos que se incluyen en los objetivos de Europol. Al mismo tiempo, Europol debe garantizar que el desarrollo, el uso y el despliegue de nuevas tecnologías se guían por los principios de transparencia, explicabilidad, equidad y rendición de cuentas, no socavan los derechos y libertades fundamentales y cumplen el Derecho de la Unión. A tal efecto, Europol debe poder llevar a cabo proyectos de investigación e innovación en relación con las materias reguladas por el presente Reglamento, dentro del alcance general de los proyectos de investigación e innovación establecidos por el Consejo de Administración en un documento vinculante. Dicho documento debe actualizarse cuando proceda y facilitarse al SEPD. Debe ser posible que tales proyectos incluyan el tratamiento de datos personales únicamente cuando se cumplan determinadas condiciones, a saber, que el tratamiento de datos personales sea estrictamente necesario, que el objetivo del proyecto en cuestión no pueda lograrse mediante el uso de datos no personales o anónimos, y que se garantice el pleno respeto de los derechos fundamentales, en particular, la no discriminación.

El tratamiento de categorías especiales de datos personales con fines de investigación e innovación únicamente debe permitirse cuando sea estrictamente necesario. Dado el carácter sensible de dicho tratamiento, deben aplicarse garantías adicionales adecuadas, incluida la seudonimización. Para evitar sesgos en la toma de decisiones algorítmica, debe permitirse a Europol tratar datos personales que no atañan a las categorías de interesados enumeradas en el anexo II. Europol debe llevar registros de todo el tratamiento de datos personales realizado en el contexto de sus proyectos de investigación e innovación únicamente con el fin de comprobar la exactitud de los resultados del tratamiento de datos y únicamente durante el tiempo necesario para dicha comprobación. Las disposiciones sobre el desarrollo de nuevas herramientas por parte de Europol no deben constituir una base jurídica para su despliegue a escala de la Unión o nacional. Para dirigir la innovación y reforzar las sinergias en proyectos de investigación e innovación, es importante que Europol intensifique su cooperación con las redes pertinentes de profesionales de los Estados miembros y de otros organismos de la Unión dentro de sus respectivas competencias en ese ámbito, así como que apoye otras formas de cooperación relacionadas, como un apoyo de secretaría al Centro Europeo de Innovación para la Seguridad Interior en tanto que red colaborativa de laboratorios de innovación.

(49)

Europol debe desempeñar un papel clave a la hora de ayudar a los Estados miembros a desarrollar nuevas soluciones tecnológicas basadas en la inteligencia artificial que sean pertinentes para el logro de los objetivos de Europol y que beneficien a las autoridades competentes de los Estados miembros en toda la Unión. Dicha ayuda debe prestarse con pleno respeto a los derechos y libertades fundamentales, incluida la no discriminación. Europol debe desempeñar un papel clave en la promoción del desarrollo y el despliegue de una inteligencia artificial ética, fiable y centrada en el ser humano que esté sujeta a garantías sólidas en términos de protección, seguridad, transparencia, explicabilidad y derechos fundamentales.

(50)

Europol debe informar al SEPD antes de poner en marcha proyectos de investigación e innovación que impliquen el tratamiento de datos personales. Europol debe informar o consultar a su Consejo de Administración, conforme a determinados criterios que se deben fijar en directrices pertinentes. Europol no debe tratar datos para fines de proyectos de investigación e innovación sin el consentimiento del Estado miembro, el organismo de la Unión, el tercer país o la organización internacional que haya facilitado los datos a Europol, a menos que dicho Estado miembro, organismo de la Unión, tercer país u organización internacional haya otorgado su autorización previa a dicho tratamiento para tales fines. Para cada proyecto, Europol debe llevar a cabo, antes del tratamiento, una evaluación de impacto sobre la protección de datos para garantizar el respeto pleno de la protección de los datos y todos los demás derechos y libertades fundamentales de los interesados. La evaluación de impacto sobre la protección de datos debe incluir una valoración de la idoneidad, necesidad y proporcionalidad de los datos personales que vayan a tratarse para los fines específicos del proyecto, incluido el requisito de minimización de datos y una evaluación de cualquier posible sesgo en el resultado y en los datos personales que vayan a tratarse para los fines específicos del proyecto, así como las medidas previstas para hacer frente a esos riesgos. El desarrollo de nuevas herramientas por parte de Europol debe entenderse sin perjuicio de la base jurídica, incluidos los motivos para el tratamiento de los datos personales de que se trate, que posteriormente sería necesaria para su despliegue a escala de la Unión o nacional.

(51)

Dotar a Europol de herramientas y capacidades adicionales requiere reforzar el control democrático y la rendición de cuentas de esta. El control parlamentario conjunto constituye un elemento importante del seguimiento político de las actividades de Europol. Para permitir un seguimiento político eficaz de la manera en que Europol emplea las herramientas y capacidades adicionales puestas a su disposición en virtud del presente Reglamento, Europol debe proporcionar al Grupo de Control Parlamentario Conjunto (GCPC) y a los Estados miembros información anual detallada sobre el desarrollo, uso y eficacia de tales herramientas y capacidades y el resultado de su uso, en concreto, en relación con proyectos de investigación e innovación, así como nuevas actividades o la creación de nuevos centros especializados en el seno de Europol. Además, se debe invitar a dos representantes del GCPC, uno del Parlamento Europeo y otro de los Parlamentos nacionales, para reflejar la doble circunscripción del GCPC, al menos a dos reuniones ordinarias del Consejo de Administración al año para dirigirse a dicho Consejo de Administración en nombre del GCPC y discutir sobre el informe anual de actividades consolidado, el documento único de programación y el presupuesto anual, las preguntas y respuestas por escrito del GCPC, así como las relaciones exteriores y asociaciones, al mismo tiempo que se respetan las distintas funciones y responsabilidades del Consejo de Administración y del GCPC de conformidad con el presente Reglamento. El Consejo de Administración, junto con los representantes del GCPC, debe poder determinar otros asuntos de interés político que se deban discutir. En consonancia con el papel de supervisión del GCPC, los dos representantes de este órgano no deben tener derechos de voto en el Consejo de Administración. Las actividades de investigación e innovación previstas deben figurar en el documento único de programación que contiene la programación plurianual y el programa de trabajo anual de Europol y deben transmitirse al GCPC.

(52)

A propuesta del director ejecutivo, el Consejo de Administración debe designar un agente de derechos fundamentales que se encargue de apoyar a Europol para que vele por el respeto de los derechos fundamentales en todas sus actividades y tareas, y en particular, en sus proyectos de investigación e innovación y en el intercambio de datos personales con entidades privadas. Debe ser posible designar como agente de derechos fundamentales a un miembro en plantilla de Europol que haya recibido una formación especial jurídica y práctica en materia de derechos fundamentales. El agente de derechos fundamentales debe cooperar estrechamente con el responsable de la protección de datos en el ámbito de sus respectivas competencias. En la medida en que ataña a cuestiones de protección de datos, toda la responsabilidad debe recaer en el agente de derechos fundamentales.

(53)

Dado que el objetivo del presente Reglamento, a saber, apoyar y reforzar la actuación de las autoridades competentes de los Estados miembros y su cooperación mutua en la prevención y la lucha contra la delincuencia grave que afecte a dos o más Estados miembros, el terrorismo y las formas de delincuencia que lesionen un interés común protegido por una política de la Unión, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido al carácter transfronterizo de la delincuencia grave y el terrorismo, y a la necesidad de una respuesta coordinada a las amenazas a la seguridad conexas, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del TUE. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(54)

De conformidad con el artículo 3 del Protocolo n.o 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al TUE y al TFUE, Irlanda ha notificado su deseo de participar en la adopción y aplicación del presente Reglamento.

(55)

De conformidad con los artículos 1 y 2 del Protocolo n.o 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE, Dinamarca no participa en la adopción del presente Reglamento y no queda vinculada por él ni sujeta a su aplicación.

(56)

El SEPD, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 8 de marzo de 2021 (15).

(57)

El presente Reglamento respeta plenamente los derechos y garantías fundamentales, y observa los principios reconocidos, en particular, en la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), especialmente el derecho al respeto de la vida privada y familiar y el derecho a la protección de datos de carácter personal, tal como establecen los artículos 7 y 8 de la Carta, así como el artículo 16 del TFUE. Dada la importancia del tratamiento de datos personales para la labor policial en general, y para el apoyo prestado por Europol en particular, el presente Reglamento debe incluir garantías mejoradas y mecanismos de control democrático y rendición de cuentas para garantizar que las actividades y las tareas de Europol se lleven a cabo en plena conformidad con los derechos fundamentales consagrados en la Carta, en particular, con los derechos a la igualdad ante la ley, la no discriminación y la tutela judicial efectiva ante el órgano jurisdiccional nacional competente frente a cualquiera de las medidas adoptadas con arreglo al presente Reglamento. Todo tratamiento de datos personales en virtud del presente Reglamento se debe limitar a lo estrictamente necesario y proporcionado, y debe estar sujeto a condiciones claras, requisitos estrictos y una supervisión efectiva por parte del SEPD.

(58)

Por lo tanto, procede modificar el Reglamento (UE) 2016/794 en consecuencia.

(59)

A fin de permitir la rápida aplicación de las medidas establecidas en el presente Reglamento, este debe entrar en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

3)

El artículo 6 se modifica como sigue:

4)

En el artículo 7, el apartado 8 se sustituye por el texto siguiente:

«8.   Los Estados miembros velarán por que sus UIF estén facultadas para responder, dentro de los límites de sus mandatos y competencias y respetando las garantías procesales nacionales, a las solicitudes debidamente justificadas que formule Europol de conformidad con el artículo 12 de la Directiva (UE) 2019/1153 relativas a información financiera y análisis financieros, bien por medio de su unidad nacional o bien, si así lo permite el correspondiente Estado miembro, mediante contactos directos entre la UIF y Europol.».

5)

En el artículo 11, el apartado 1 se modifica como sigue:

6)

El artículo 12 se modifica como sigue:

7)

En el artículo 14, el apartado 4 se sustituye por el texto siguiente:

«4.   El Consejo de Administración podrá invitar a sus reuniones, en calidad de observador sin derecho a voto, a cualquier persona cuya opinión pueda ser de interés para la discusión.

Se invitará a dos representantes del GCPC a asistir a dos reuniones ordinarias del Consejo de Administración al año, en calidad de observadores sin derecho a voto para discutir las siguientes cuestiones de interés político:

El Consejo de Administración, junto con los representantes del GCPC, podrá determinar otras cuestiones de interés político que deban discutirse en las reuniones mencionadas en el párrafo primero.».

8)

El artículo 16 se modifica como sigue:

9)

El artículo 18 se modifica como sigue:

10)

se inserta el artículo siguiente:

«Artículo 18 bis

Tratamiento de datos personales en apoyo de una investigación penal

1.   Cuando sea necesario para apoyar una investigación penal específica en curso que entre en el ámbito de los objetivos de Europol, Europol podrá tratar los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II en el caso de que:

Los resultados de la valoración a la que se refiere la letra b) del párrafo primero se registrarán y remitirán al SEPD a título informativo, cuando Europol deje de apoyar la investigación mencionada en el párrafo primero.

2.   Cuando el Estado miembro a que se refiere el apartado 1, párrafo primero, letra a), deje de estar autorizado para tratar los datos en la investigación penal específica en curso a la que se refiere el apartado 1, de conformidad con los requisitos y garantías procesales establecidos en virtud del Derecho nacional aplicable, informará a Europol.

Cuando la Fiscalía Europea o Eurojust facilite datos de investigación a Europol y deje de estar autorizada para tratar los datos de la investigación penal específica en curso a la que se refiere el apartado 1, de conformidad con los requisitos y garantías procesales aplicables en virtud del Derecho de la Unión y del Derecho nacional, informará a Europol.

3.   Europol podrá tratar los datos de investigación de conformidad con el artículo 18, apartado 2, durante todo el tiempo en que apoye la investigación penal específica en curso para la que se hayan facilitado los datos de investigación de conformidad con el apartado 1, párrafo primero, letra a), del presente artículo, y únicamente con el fin de apoyar dicha investigación.

4.   Europol podrá conservar los datos de investigación facilitados de conformidad con el apartado 1, párrafo primero, letra a), y el resultado del tratamiento de dichos datos una vez transcurrido el período de tratamiento indicado en el apartado 3, a petición del proveedor de dichos datos de investigación, con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, y únicamente durante el tiempo en que se esté tramitando el procedimiento judicial relacionado con la investigación penal específica para la que se hayan facilitado dichos datos.

Los proveedores de los datos de investigación a que se refiere el apartado 1, párrafo primero, letra a), o, con su acuerdo, un Estado miembro en el que esté tramitándose un procedimiento judicial relacionado con una investigación penal conexa, podrá solicitar a Europol que conserve los datos de investigación y el resultado de su análisis operativo de dichos datos una vez transcurrido el período de tratamiento indicado en el apartado 3 con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, y únicamente durante el tiempo en que se esté tramitando en dicho otro Estado miembro un procedimiento judicial relacionado con una investigación penal conexa.

5.   Sin perjuicio del tratamiento de datos personales con arreglo al artículo 18, apartado 6 bis, los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II se conservarán de tal modo que exista una separación funcional de otros datos y solo se tratarán cuando ello sea necesario y proporcionado para los fines de los apartados 3, 4 y 6 del presente artículo.

El Consejo de Administración, a propuesta del director ejecutivo y previa consulta al SEPD, especificará las condiciones relativas al suministro y al tratamiento de datos personales de conformidad con los apartados 3 y 4.

6.   Los apartados 1 a 4 del presente artículo también se aplicarán cuando un tercer país según el artículo 25, apartado 1, letras a), b) o c), o el artículo 25, apartado 4 bis, facilite datos personales a Europol y dicho tercer país le facilite datos de investigación para análisis operativos que contribuyan a la investigación penal específica en uno o varios Estados miembros a los que Europol apoye, siempre que el tercer país obtuviera los datos en el contexto de una investigación penal de conformidad con los requisitos y garantías procesales aplicables en virtud de su Derecho penal nacional.

Cuando un tercer país facilite datos de investigación a Europol de conformidad con el párrafo primero, el responsable de protección de datos podrá notificarlo al SEPD, cuando proceda.

Europol comprobará que la cantidad de datos personales a los que se refiere el párrafo primero no sea manifiestamente desproporcionada en relación con la investigación penal específica en el Estado miembro de que se trate. Cuando Europol llegue a la conclusión de que existen indicios de que tales datos son manifiestamente desproporcionados o han sido obtenidos vulnerando claramente los derechos fundamentales, Europol no tratará los datos y los suprimirá.

Europol podrá consultar los datos personales tratados con arreglo al presente apartado solo cuando sea necesario para apoyar la investigación penal específica para la que hayan sido facilitados. Dichos datos personales se compartirán únicamente dentro de la Unión.».

11)

En el artículo 19, los apartados 1 y 2 se sustituyen por el texto siguiente:

«1.   El Estado miembro, organismo de la Unión, tercer país u organización internacional que facilite información a Europol determinará el fin o los fines para los que deba tratarse dicha información de conformidad con el artículo 18.

Cuando el proveedor de información a que se refiere el párrafo primero no haya cumplido lo dispuesto en dicho párrafo, Europol, de acuerdo con el proveedor de información en cuestión, tratará la información con el fin de determinar la pertinencia de dicha información, así como el fin o los fines de su ulterior tratamiento.

Europol tratará la información con un fin distinto a aquel para el que fue facilitada solo si así lo autoriza el proveedor de la información.

La información facilitada a efectos del artículo 18, apartado 2, letras a) a d), también podrá ser tratada por Europol a efectos del artículo 18, apartado 2, letra e), de conformidad con el artículo 33 bis.

2.   Los Estados miembros, organismos de la Unión, terceros países y organizaciones internacionales podrán indicar, en el momento de facilitar la información a Europol, cualquier restricción a su acceso o el uso que se deba hacer de ella, en términos generales o específicos, también por lo que respecta a su transferencia, transmisión, cancelación o destrucción. Cuando la necesidad de tales restricciones se manifieste después de haber facilitado la información, informarán de ello a Europol. Europol cumplirá con esas restricciones.».

12)

El artículo 20 se modifica como sigue:

13)

Se inserta el artículo siguiente:

«Artículo 20 bis

Relaciones con la Fiscalía Europea

1.   Europol entablará y mantendrá una estrecha relación con la Fiscalía Europea. En el marco de dicha relación, Europol y la Fiscalía Europea actuarán dentro de sus respectivos mandatos y competencias. Para ello, celebrarán un acuerdo de trabajo que establezca las modalidades de su cooperación.

2.   A solicitud de la Fiscalía Europea de conformidad con el artículo 102 del Reglamento (UE) 2017/1939, Europol apoyará las investigaciones de la Fiscalía Europea y cooperará con ella, facilitando información y apoyo analítico, hasta que la Fiscalía Europea determine si debe ejercer la acción penal o archivar el asunto.

3.   A fin de facilitar información a la Fiscalía Europea con arreglo al apartado 2 del presente artículo, Europol adoptará todas las medidas adecuadas para permitir que la Fiscalía Europea tenga acceso indirecto, sobre la base de un sistema de respuesta positiva o negativa, a los datos relacionados con las infracciones que sean competencia de la Fiscalía Europea, facilitados a efectos del artículo 18, apartado 2, letras a), b) y c). Ese sistema de respuesta positiva o negativa dará notificación a Europol solamente en caso de respuesta positiva y sin perjuicio de las posibles restricciones indicadas con arreglo al artículo 19, apartado 2, por los proveedores de información mencionados en el artículo 19, apartado 1.

En caso de respuesta positiva, Europol abrirá el procedimiento para que pueda compartirse la información que generó la respuesta positiva, de conformidad con la decisión del proveedor de la información a la que se refiere el artículo 19, apartado 1, y solo en la medida en que los datos que hayan generado la respuesta positiva resulten pertinentes para la solicitud presentada con arreglo al apartado 2 del presente artículo.

4.   Europol informará sin demora indebida a la Fiscalía Europea de cualquier conducta delictiva respecto de la cual la Fiscalía Europea pueda ejercer su competencia de conformidad con el artículo 22 y el artículo 25, apartados 2 y 3, del Reglamento (UE) 2017/1939 y sin perjuicio de las posibles restricciones indicadas con arreglo al artículo 19, apartado 2, del presente Reglamento por el proveedor de la información.

Cuando Europol informe a la Fiscalía Europea con arreglo al párrafo primero, lo notificará sin demora a los Estados miembros afectados.

Cuando alguna información relativa a la conducta delictiva respecto de la cual la Fiscalía Europea puede ejercer su competencia haya sido facilitada a Europol por un Estado miembro que haya indicado restricciones al uso de dicha información con arreglo al artículo 19, apartado 2, del presente Reglamento, Europol notificará a la Fiscalía Europea la existencia de dichas restricciones y remitirá el asunto al Estado miembro afectado. El Estado miembro afectado colaborará directamente con la Fiscalía Europea a fin de cumplir lo dispuesto en el artículo 24, apartados 1 y 4, del Reglamento (UE) 2017/1939.».

14)

En el artículo 21, se añade el apartado siguiente:

«8.   Si durante el tratamiento de la información en relación con una investigación penal específica o un proyecto específico, Europol detecta información pertinente acerca de una posible actividad ilegal que afecte a los intereses financieros de la Unión, Europol facilitará sin demora a la OLAF dicha información, sin perjuicio de las posibles restricciones indicadas con arreglo al artículo 19, apartado 2, por el Estado miembro que facilitó la información.

Cuando Europol facilite a la OLAF información con arreglo al párrafo primero, lo notificará sin demora a los Estados miembros afectados.».

15)

En el artículo 23, el apartado 7 se sustituye por el texto siguiente:

«7.   Las transferencias ulteriores de datos personales en poder de Europol por parte de Estados miembros, organismos de la Unión, terceros países, organizaciones internacionales o entidades privadas estarán prohibidas, a menos que Europol haya dado su autorización expresa previa.».

16)

El título de la sección 2 se sustituye por el texto siguiente:

«Transmisión, transferencia e intercambio de datos personales».

17)

El artículo 24 se sustituye por el texto siguiente:

«Artículo 24

Transmisión de datos personales a organismos de la Unión

1.   Europol únicamente transmitirá datos personales a un organismo de la Unión de conformidad con el artículo 71, apartado 2, del Reglamento (UE) 2018/1725, siempre que se respeten las posibles restricciones en virtud del presente Reglamento y sin perjuicio de lo dispuesto en el artículo 67 del presente Reglamento, si dichos datos son necesarios y proporcionados para el legítimo desempeño de las funciones del organismo de la Unión destinatario.

2.   Cuando otro organismo de la Unión haya solicitado la transmisión de datos personales, Europol verificará la competencia de ese otro organismo. Cuando Europol no pueda confirmar que la transmisión de datos personales es necesaria de conformidad con el apartado 1, pedirá al organismo de la Unión solicitante que aporte información complementaria.

El organismo de la Unión solicitante garantizará que pueda valorarse la necesidad de la transmisión de los datos personales.

3.   El organismo de la Unión destinatario tratará los datos personales mencionados en los apartados 1 y 2 únicamente para los fines para los que hayan sido transmitidos.».

18)

El artículo 25 se modifica como sigue:

19)

El artículo 26 se modifica como sigue:

20)

Se insertan los artículos siguientes:

«Artículo 26 bis

Intercambio de datos personales con entidades privadas en situaciones de crisis en línea

1.   En situaciones de crisis en línea, Europol podrá recibir datos personales directamente de entidades privadas y tratar dichos datos personales de conformidad con el artículo 18.

2.   Cuando Europol reciba datos personales procedentes de una entidad privada establecida en un tercer país, transmitirá dichos datos y los resultados de su análisis y comprobación de dichos datos solamente a un Estado miembro, o a un tercer país afectado según se contempla en el artículo 25, apartado 1, letras a), b) o c), o en el artículo 25, apartado 4 bis.

Europol podrá transferir los resultados de su análisis y comprobación de los datos a los que se refiere el apartado 1 del presente artículo al tercer país afectado en virtud del artículo 25, apartados 5 o 6.

3.   Europol podrá transmitir o transferir datos personales a entidades privadas, en función del caso concreto, respetando las posibles restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y sin perjuicio de lo dispuesto en el artículo 67, cuando la transmisión o la transferencia de dichos datos sea estrictamente necesaria para hacer frente a situaciones de crisis en línea, y los derechos y libertades fundamentales de los interesados afectados no primen sobre el interés público que requiera que esos datos personales se transmitan o transfieran.

4.   Cuando la entidad privada de que se trate no esté establecida en la Unión o en un tercer país según se contempla en el artículo 25, apartado 1, letras a), b) o c), o en el artículo 25, apartado 4 bis, la transferencia requerirá la autorización del director ejecutivo.

5.   Europol prestará asistencia, intercambiará información y cooperará con las autoridades competentes de los Estados miembros en relación con las transmisiones y las transferencias de datos personales a entidades privadas con arreglo a los apartados 3 o 4, en particular, para evitar que se dupliquen esfuerzos, para reforzar la coordinación y evitar interferencias con investigaciones en distintos Estados miembros.

6.   Europol podrá solicitar a los Estados miembros, a través de las unidades nacionales, que obtengan, de conformidad con el Derecho nacional, datos personales procedentes de entidades privadas que estén establecidas o tengan un representante legal en su territorio, con el fin de compartir dichos datos con Europol. Esta solicitud deberá estar motivada y ser lo más precisa posible. Dichos datos personales tendrán el carácter menos sensible posible y se limitarán estrictamente a lo que sea necesario y proporcionado con la finalidad de permitir que Europol apoye a los Estados miembros para hacer frente a las situaciones de crisis en línea.

No obstante la competencia de los Estados miembros en materia de difusión del contenido sobre el que Europol solicite datos personales, los Estados miembros garantizarán que sus autoridades competentes puedan tramitar las solicitudes a las que se refiere el párrafo primero de conformidad con el Derecho nacional, con el fin de facilitar a Europol la información necesaria para lograr sus objetivos.

7.   Europol garantizará que se lleve un registro detallado de todas las transferencias de datos personales y de los motivos para dichas transferencias, de conformidad con el presente Reglamento. A petición del SEPD, Europol pondrá tal registro a su disposición en virtud del artículo 39 bis.

8.   Si los datos personales recibidos o por transferir afectan a los intereses de un Estado miembro, Europol informará inmediatamente a la unidad nacional del Estado miembro de que se trate.

Artículo 26 ter

Intercambio de datos personales con entidades privadas para combatir la difusión en línea de material en línea de abusos sexuales a menores

1.   Europol podrá recibir datos personales directamente de entidades privadas y tratar dichos datos personales de conformidad con el artículo 18 para combatir la difusión en línea de material en línea de abusos sexuales a menores, a que se refiere el artículo 4, apartado 1, letra y).

2.   Cuando Europol reciba datos personales procedentes de una entidad privada establecida en un tercer país, transmitirá dichos datos y los resultados de su análisis y comprobación de dichos datos solamente a un Estado miembro, o a un tercer país afectado según se contempla en el artículo 25, apartado 1, letras a), b) o c), o en el artículo 25, apartado 4 bis.

Europol podrá transferir los resultados de su análisis y comprobación de los datos mencionados en el párrafo primero del presente apartado al tercer país afectado con arreglo al artículo 25, apartados 5 o 6.

3.   Europol podrá transmitir o transferir datos personales a entidades privadas, en función del caso concreto, siempre que se respeten las posibles restricciones indicadas con arreglo al artículo 19, apartados 2 o 3, y sin perjuicio del artículo 67, cuando la transmisión o la transferencia de dichos datos sea estrictamente necesaria para combatir la difusión en línea de material en línea de abusos sexuales a menores a que se refiere el artículo 4, apartado 1, letra y), y los derechos y libertades fundamentales de los interesados afectados no primen sobre el interés público que requiera que esos datos personales se transmitan o transfieran.

4.   Cuando la entidad privada de que se trate no esté establecida en la Unión o en un tercer país según se contempla en el artículo 25, apartado 1, letras a), b) o c), o en el artículo 25, apartado 4 bis, la transferencia requerirá la autorización del director ejecutivo.

5.   Europol prestará asistencia, intercambiará información y cooperará con las autoridades competentes de los Estados miembros en relación con las transmisiones y las transferencias de datos personales a entidades privadas con arreglo a los apartados 3 o 4, en particular, para evitar que se dupliquen esfuerzos, reforzar la coordinación y evitar interferencias con investigaciones en distintos Estados miembros.

6.   Europol podrá solicitar a los Estados miembros, a través de las unidades nacionales, que obtengan, de conformidad con el Derecho nacional, datos personales procedentes de entidades privadas que estén establecidas o tengan un representante legal en su territorio, con el fin de compartir dichos datos con Europol. Estas solicitudes deberán estar motivadas y ser lo más precisas posible. Dichos datos personales tendrán el carácter menos sensible posible y se limitarán estrictamente a lo que sea necesario y proporcionado para que Europol pueda combatir la difusión en línea de material en línea de abusos sexuales a menores, a que se refiere el artículo 4, apartado 1, letra y).

No obstante la competencia de los Estados miembros en materia de difusión del contenido sobre el que Europol solicite datos personales, los Estados miembros garantizarán que las autoridades competentes de los Estados miembros puedan tramitar las solicitudes a las que se refiere el párrafo primero de conformidad con el Derecho nacional con el fin de facilitar a Europol la información necesaria para lograr sus objetivos.

7.   Europol garantizará que se lleve un registro detallado de todas las transferencias de datos personales y de los motivos para dichas transferencias, de conformidad con el presente Reglamento. A petición del SEPD, Europol pondrá tal registro a su disposición en virtud del artículo 39 bis.

8.   Si los datos personales recibidos o por transferir afectan a los intereses de un Estado miembro, Europol informará inmediatamente a la unidad nacional del Estado miembro de que se trate.».

21)

En el artículo 27, los apartados 1 y 2 se sustituyen por el texto siguiente:

«1.   En la medida en que lo necesite para el desempeño de sus funciones, Europol podrá recibir y tratar información procedente de particulares.

Europol solo podrá tratar los datos personales procedentes de particulares si han sido recibidos a través de:

2.   Cuando Europol reciba información, incluidos datos personales, procedente de un particular residente en un tercer país que no sea aquel a que se refiere el artículo 25, apartado 1, letras a) o b), o el artículo 25, apartado 4 bis, solo podrá remitir dicha información a un Estado miembro o a ese tercer país.».

23)

Se inserta el artículo siguiente:

«Artículo 27 bis

Tratamiento de datos personales por Europol

1.   Sin perjuicio de lo dispuesto en el presente Reglamento, el artículo 3 y el capítulo IX del Reglamento (UE) 2018/1725 se aplicarán al tratamiento de datos personales por Europol.

El Reglamento (UE) 2018/1725, a excepción del capítulo IX, se aplicará al tratamiento de datos personales administrativos por Europol.

2.   Las referencias a “datos personales” en el presente Reglamento se entenderán como referencias a “datos personales operativos” tal como se definen en el artículo 3, punto 2, del Reglamento (UE) 2018/1725, salvo que se disponga otra cosa en el presente Reglamento.

3.   El Consejo de Administración adoptará normas para determinar los plazos de conservación de los datos personales administrativos.».

25)

El artículo 30 se modifica como sigue:

28)

Se inserta el artículo siguiente:

«Artículo 33 bis

Tratamiento de datos personales para investigación e innovación

1.   Europol podrá tratar datos personales para fines de sus proyectos de investigación e innovación a condición de que el tratamiento de dichos datos personales:

El tratamiento de datos personales por Europol en el contexto de los proyectos de investigación e innovación se guiará por los principios de transparencia, explicabilidad, equidad y rendición de cuentas.

2.   Sin perjuicio de lo dispuesto en el apartado 1, para el tratamiento de datos personales realizado en el contexto de los proyectos de investigación e innovación de Europol, se aplicarán las siguientes garantías:

3.   El Consejo de Administración establecerá en un documento vinculante el alcance general de los proyectos de investigación e innovación. Dicho documento se actualizará cuando proceda y se pondrá a disposición del SEPD para que este pueda desempeñar su función de supervisión.

4.   Europol conservará un documento con una descripción detallada del proceso y de la justificación del entrenamiento, la prueba y la validación de algoritmos para garantizar la transparencia del proceso y de los algoritmos, incluido el cumplimiento de las garantías establecidas en el presente artículo, y para permitir la comprobación de la exactitud de los resultados sobre la base de la utilización de dichos algoritmos. Previa solicitud, Europol pondrá dicho documento a disposición de las partes interesadas, incluidos los Estados miembros y el GCPC.

5.   Si los datos que vayan a tratarse para fines de un proyecto de investigación e innovación hubieran sido facilitados por un Estado miembro, un organismo de la Unión, un tercer país o una organización internacional, Europol solicitará el consentimiento de dicho proveedor de datos de conformidad con el artículo 19, apartado 2, a menos que el proveedor de datos haya concedido autorización previa para dicho tratamiento para fines de proyectos de investigación e innovación, ya sea en términos generales o con condiciones específicas.

Europol no tratará datos para proyectos de investigación e innovación sin el consentimiento del proveedor de los datos. Dicho consentimiento podrá retirarse en cualquier momento.».

29)

El artículo 34 se modifica como sigue:

30)

El artículo 35 se modifica como sigue:

31)

El artículo 36 se modifica como sigue:

32)

El artículo 37 se modifica como sigue:

33)

El artículo 38 se modifica como sigue:

34)

El artículo 39 se sustituye por el texto siguiente:

«Artículo 39

Consulta previa

1.   Sin perjuicio de lo dispuesto en el artículo 90 del Reglamento (UE) 2018/1725, la consulta previa al SEPD no se aplicará a actividades operativas específicas que no incluyan ningún tipo nuevo de tratamiento que implique un riesgo elevado para los derechos y libertades de los interesados.

2.   Europol podrá iniciar operaciones de tratamiento que estén sujetas a consulta previa del SEPD en virtud del artículo 90, apartado 1, del Reglamento (UE) 2018/1725, a menos que el SEPD haya proporcionado asesoramiento por escrito en virtud del artículo 90, apartado 4, de dicho Reglamento en los plazos previstos en dicha disposición, que se iniciarán en la fecha de recepción de la solicitud inicial de consulta y no podrán suspenderse.

3.   Cuando las operaciones de tratamiento a que se refiere el apartado 2 del presente artículo tengan una importancia sustancial para desempeñar las funciones de Europol y sean especialmente urgentes y necesarias para prevenir y combatir una amenaza inmediata de un delito que se incluya en los objetivos de Europol o para proteger los intereses vitales del interesado o de otra persona, Europol podrá iniciar excepcionalmente el tratamiento después de la consulta previa del SEPD prevista en el artículo 90, apartado 1, del Reglamento (UE) 2018/1725 y antes de que expire el plazo previsto en el artículo 90, apartado 4, de dicho Reglamento. En tal caso, Europol informará al SEPD antes del inicio de las operaciones de tratamiento.

El asesoramiento por escrito del SEPD en virtud del artículo 90, apartado 4, del Reglamento (UE) 2018/1725 se tendrá en cuenta de manera retroactiva, y la forma en que se lleve a cabo el tratamiento se adaptará en consecuencia.

El responsable de protección de datos participará en la valoración de la urgencia de dichas operaciones de tratamiento antes de que expire el plazo previsto en el artículo 90, apartado 4, del Reglamento (UE) 2018/1725 y supervisará el tratamiento en cuestión.

4.   El SEPD llevará un registro de todas las operaciones de tratamiento que se le hayan notificado en virtud del apartado 1. Dicho registro no será público.».

35)

Se inserta el artículo siguiente:

«Artículo 39 bis

Registro de categorías de actividades de tratamiento

1.   Europol llevará un registro de todas las categorías de actividades de tratamiento bajo su responsabilidad. Dicho registro contendrá la siguiente información:

2.   El registro a que se refiere el apartado 1 se efectuará por escrito, incluido el formato electrónico.

3.   Europol pondrá a disposición del SEPD, previa solicitud, el registro a que se refiere el apartado 1.».

37)

El artículo 41 se sustituye por el texto siguiente:

«Artículo 41

Designación del responsable de protección de datos

1.   El Consejo de Administración nombrará a un miembro del personal de Europol como responsable de protección de datos, que será designado para ese único cargo.

2.   El responsable de protección de datos será seleccionado atendiendo a sus cualidades profesionales y, en particular, sus conocimientos especializados de la normativa y las prácticas en materia de protección de datos, así como a su capacidad para desempeñar las funciones a que se refiere el artículo 41 ter del presente Reglamento y el Reglamento (UE) 2018/1725.

3.   La selección del responsable de protección de datos no podrá derivar en un conflicto de intereses entre su función de responsable de protección de datos y cualesquiera otras obligaciones oficiales que pueda tener, en particular, en relación con la aplicación del presente Reglamento.

4.   El responsable de protección de datos no podrá ser destituido ni sancionado por el Consejo de Administración por razón del ejercicio de sus funciones.

5.   Europol publicará los datos de contacto del responsable de protección de datos y los comunicará al SEPD.».

38)

Se insertan los artículos siguientes:

«Artículo 41 bis

Cargo de responsable de protección de datos

1.   Europol garantizará que el responsable de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

2.   Europol respaldará al responsable de protección de datos en el desempeño de las funciones mencionadas en el artículo 41 ter, facilitando los recursos y el personal necesarios para el desempeño de dichas funciones y facilitando el acceso a los datos personales y a las operaciones de tratamiento, y para mantener sus conocimientos especializados.

Con el fin de respaldar al responsable de protección de datos en el desempeño de sus funciones, se podrá designar a un miembro del personal de Europol como responsable adjunto de protección de datos.

3.   Europol garantizará que el responsable de protección de datos actúe de modo independiente y que no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones.

El responsable de protección de datos informará directamente al Consejo de Administración.

4.   Los interesados podrán ponerse en contacto con el responsable de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento y del Reglamento (UE) 2018/1725.

Nadie deberá sufrir perjuicio alguno por informar al responsable de protección de datos de una presunta infracción del presente Reglamento o del Reglamento (UE) 2018/1725.

5.   El Consejo de Administración adoptará normas de desarrollo referentes al responsable de protección de datos. Tales normas se referirán, en concreto, al procedimiento de selección para el cargo de responsable de protección de datos y a su destitución, a las funciones, obligaciones y competencias del responsable de protección de datos y a las garantías de su independencia.

6.   El responsable de protección de datos y su personal estarán obligados a mantener la confidencialidad de conformidad con el artículo 67, apartado 1.

7.   El responsable de protección de datos será nombrado para un mandato de cuatro años y podrá optar a un nuevo nombramiento.

8.   En caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones, el responsable de protección de datos será destituido de su cargo por el Consejo de Administración solo previo consentimiento del SEPD.

9.   El responsable de protección de datos y el responsable adjunto de protección de datos serán adscritos al SEPD por el Consejo de Administración.

10.   Las disposiciones aplicables al responsable de protección de datos se aplicarán mutatis mutandis al responsable adjunto de protección de datos.

Artículo 41 ter

Funciones del responsable de protección de datos

1.   El responsable de protección de datos desempeñará, en particular, las siguientes funciones en relación con el tratamiento de datos personales:

2.   El responsable de protección de datos podrá formular recomendaciones al Consejo de Administración para la mejora práctica de la protección de datos y asesorar sobre cuestiones relativas a la aplicación de las disposiciones en materia de protección de datos.

El responsable de protección de datos podrá investigar, de oficio o a instancias del Consejo de Administración o de cualquier persona física, las cuestiones y los incidentes directamente relacionados con sus funciones que lleguen a su conocimiento e informar a la persona que solicitó la investigación o al Consejo de Administración sobre los resultados de dicha investigación.

3.   El responsable de protección de datos ejercerá las funciones que dispone el Reglamento (UE) 2018/1725 en lo que atañe a los datos personales administrativos.

4.   En el ejercicio de sus funciones, el responsable de protección de datos y los miembros del personal de Europol que le asistan en el ejercicio de sus funciones tendrán acceso a todos los datos tratados por Europol y a todos los locales de Europol.

5.   Si el responsable de protección de datos considerara que no se han cumplido las disposiciones del presente Reglamento o del Reglamento (UE) 2018/1725 relativas al tratamiento de los datos personales administrativos, o las disposiciones del presente Reglamento o del artículo 3 y el capítulo IX del Reglamento (UE) 2018/1725 relativas al tratamiento de los datos personales, informará de ello al director ejecutivo y le pedirá que subsane el incumplimiento en un plazo determinado.

Si el director ejecutivo no subsanara el incumplimiento en el plazo fijado, el responsable de protección de datos informará al Consejo de Administración. El Consejo de Administración responderá en un plazo determinado acordado con el responsable de protección de datos. Si el Consejo de Administración no subsanara el incumplimiento en el plazo fijado, el responsable de protección de datos remitirá el asunto al SEPD.

Artículo 41 quater

Agente de derechos fundamentales

1.   El Consejo de Administración designará, a propuesta del director ejecutivo, a un agente de derechos fundamentales. Este podrá ser un miembro del personal en plantilla de Europol que haya recibido formación especial jurídica y práctica en materia de derechos fundamentales.

2.   El agente de derechos fundamentales desempeñará las siguientes funciones:

3.   Europol garantizará que el agente de derechos fundamentales no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones.

4.   El agente de derechos fundamentales informará directamente al director ejecutivo y preparará informes anuales sobre sus actividades, también sobre la medida en que las actividades de Europol respetan los derechos fundamentales. Dichos informes serán puestos a disposición del Consejo de Administración.

Artículo 41 quinquies

Formación sobre derechos fundamentales

Todo miembro del personal de Europol que participe en tareas operativas que conlleven el tratamiento de datos personales recibirá una formación obligatoria en materia de protección de los derechos y libertades fundamentales, incluida la relativa al tratamiento de datos personales. Dicha formación se impartirá en cooperación con la Agencia de los Derechos Fundamentales de la Unión Europea (FRA), creada por el Reglamento (CE) n.o 168/2007 del Consejo (*12), y la Agencia de la Unión Europea para la Formación Policial (CEPOL), creada por el Reglamento (UE) 2015/2219 del Parlamento Europeo y del Consejo (*13).

(*12)  Reglamento (CE) n.o 168/2007 del Consejo, de 15 de febrero de 2007, por el que se crea una Agencia de los Derechos Fundamentales de la Unión Europea (DO L 53 de 22.2.2007, p. 1)."

(*13)  Reglamento (UE) 2015/2219 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre la Agencia de la Unión Europea para la formación policial (CEPOL) y por el que se sustituye y deroga la Decisión 2005/681/JAI del Consejo (DO L 319 de 4.12.2015, p. 1).»."

39)

En el artículo 42, los apartados 1 y 2 se sustituyen por el texto siguiente:

«1.   A efectos del ejercicio de su función supervisora, las autoridades nacionales de control a que se refiere el artículo 41 de la Directiva (UE) 2016/680 tendrán acceso, en la unidad nacional o en los locales de los funcionarios de enlace, a los datos facilitados por su Estado miembro a Europol, de conformidad con los procedimientos nacionales aplicables, y a los registros de operaciones mencionados en el artículo 40 del presente Reglamento.

2.   Las autoridades nacionales de control tendrán acceso a las oficinas y los documentos de sus respectivos funcionarios de enlace en Europol.».

40)

El artículo 43 se modifica como sigue:

41)

El artículo 44 se modifica como sigue:

43)

El artículo 47 se modifica como sigue:

44)

El artículo 50 se sustituye por el texto siguiente:

«Artículo 50

Derecho a indemnización

1.   Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir una indemnización de conformidad con el artículo 65 del Reglamento (UE) 2018/1725 y el artículo 56 de la Directiva (UE) 2016/680.

2.   Cualquier litigio entre Europol y los Estados miembros en relación con la responsabilidad última por la indemnización concedida a una persona que haya sufrido daños y perjuicios materiales o inmateriales de conformidad con el apartado 1 del presente artículo se remitirá al Consejo de Administración. El Consejo de Administración decidirá sobre dicha responsabilidad por mayoría de dos tercios de sus miembros, sin perjuicio del derecho a impugnar dicha decisión de conformidad con el artículo 263 del TFUE.».

45)

El artículo 51 se modifica como sigue:

46)

Se inserta el artículo siguiente:

«Artículo 52 bis

Foro consultivo

1.   El GCPC creará un foro consultivo que le asista, previa petición, mediante un asesoramiento independiente en materia de derechos fundamentales.

El GCPC y el director ejecutivo podrán consultar al foro consultivo acerca de cualquier asunto relacionado con los derechos fundamentales.

2.   El GCPC determinará la composición del foro consultivo, sus métodos de trabajo y el modo en que la información se haya de transmitir al foro consultivo.».

48)

El artículo 60 se modifica como sigue:

49)

El artículo 61 se sustituye por el texto siguiente:

«Artículo 61

Normas financieras

1.   El Consejo de Administración aprobará las normas financieras aplicables a Europol, previa consulta a la Comisión. Estas normas no se apartarán del Reglamento Delegado (UE) 2019/715 salvo que sea específicamente necesario para el funcionamiento de Europol y previo acuerdo de la Comisión.

2.   Europol podrá conceder subvenciones relacionadas con la consecución de sus objetivos y el desempeño de sus funciones.

3.   Europol podrá conceder subvenciones sin necesidad de ninguna convocatoria de propuestas a los Estados miembros para la realización de actividades que se incluyan en los objetivos y funciones de Europol.

4.   Cuando esté debidamente justificado por fines operativos, tras la autorización del Consejo de Administración, la ayuda financiera podrá sufragar la totalidad de los costes de inversión en equipos e infraestructuras.

Las normas financieras a que se refiere el apartado 1 podrán especificar los criterios con arreglo a los cuales la ayuda financiera podrá sufragar la totalidad de los costes de inversión a que se refiere el párrafo primero del presente apartado.

5.   En lo que se refiere al apoyo presupuestario a las actividades de los equipos conjuntos de investigación, Europol y Eurojust establecerán conjuntamente las normas y condiciones de tramitación de las solicitudes de apoyo.».

50)

El artículo 68 se modifica como sigue:

51)

Se insertan los artículos siguientes:

«Artículo 74 bis

Disposiciones transitorias relativas al tratamiento de datos personales en apoyo de una investigación penal específica en curso

1.   Cuando un Estado miembro, la Fiscalía Europea o Eurojust hayan facilitado datos personales que no atañan a las categorías de interesados enumeradas en el anexo II a Europol antes del 28 de junio de 2022, Europol podrá tratar dichos datos personales de conformidad con el artículo 18 bis, cuando:

La valoración mencionada en la letra c) del presente apartado se registrará y remitirá al SEPD a efectos informativos cuando Europol deje de apoyar la investigación penal específica conexa.

2.   Cuando un Estado miembro, la Fiscalía Europea o Eurojust no cumpla alguno o varios de los requisitos establecidos en el apartado 1, letras a) y b), del presente artículo por lo que respecta a los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II que haya facilitado a Europol antes del 28 de junio de 2022, o cuando un Estado miembro, la Fiscalía Europea o Eurojust no cumpla el apartado 1, letra c), del presente artículo, Europol no tratará dichos datos personales de conformidad con el artículo 18 bis, sino que los suprimirá, sin perjuicio de lo dispuesto en el artículo 18, apartado 5, y en el artículo 74 ter, a más tardar el 29 de octubre de 2022.

3.   Cuando un tercer país a que se refiere el artículo 18 bis, apartado 6, haya facilitado datos personales que no atañan a las categorías de interesados enumeradas en el anexo II a Europol antes del 28 de junio de 2022, Europol podrá tratar dichos datos personales de conformidad con el artículo 18 bis, apartado 6, cuando:

4.   Cuando un tercer país no cumpla el requisito establecido en el apartado 3, letra c), del presente artículo respecto de los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II que haya facilitado a Europol antes del 28 de junio de 2022, o cuando no se cumplan los demás requisitos establecidos en el apartado 3 del presente artículo, Europol no tratará dichos datos personales de conformidad con el artículo 18 bis, apartado 6, sino que los suprimirá, sin perjuicio de lo dispuesto en el artículo 18, apartado 5, y en el artículo 74 ter, a más tardar el 29 de octubre de 2022.

5.   Cuando un Estado miembro, la Fiscalía Europea o Eurojust haya facilitado datos personales que no atañan a las categorías de interesados enumeradas en el anexo II a Europol antes del 28 de junio de 2022, podrá solicitar a Europol a más tardar el 29 de septiembre de 2022, que conserve dichos datos y el resultado del tratamiento de dichos datos por parte de Europol cuando sea necesario para garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal. Europol conservará los datos personales que no atañan a las categorías de interesados enumeradas en el anexo II de tal modo que exista una separación funcional de otros datos y solo tratará dichos datos con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, y únicamente durante el tiempo en que se esté tramitando el procedimiento judicial relacionado con la investigación penal para la que se hayan facilitado dichos datos.

6.   Cuando Europol haya recibido datos personales que no atañan a las categorías de interesados enumeradas en el anexo II antes del 28 de junio de 2022, Europol no conservará dichos datos con el fin de garantizar la veracidad, fiabilidad y trazabilidad del proceso de inteligencia criminal, a menos que así se solicite de conformidad con el apartado 5. A falta de tal solicitud, Europol suprimirá dichos datos personales a más tardar el 29 de octubre de 2022.

Artículo 74 ter

Disposiciones transitorias relativas al tratamiento de datos personales en poder de Europol

Sin perjuicio de lo dispuesto en el artículo 74 bis, respecto de los datos personales recibidos por Europol antes del 28 de junio de 2022, Europol podrá comprobar si dichos datos personales atañen a alguna de las categorías de interesados establecidas en el anexo II. Con este fin, Europol podrá llevar a cabo un análisis preliminar de dichos datos personales durante un período máximo de dieciocho meses a partir de la fecha en que se recibieran por primera vez o, en casos justificados y con la autorización previa del SEPD, durante un período más largo.

El período máximo de tratamiento de los datos a que se refiere el párrafo primero será de tres años a partir del día de la recepción de los datos por Europol.».