Acuerdo entre la Unión Europea y la República Federativa de Brasil sobre Cooperación con y a través de la Agencia de la Unión Europea para la Cooperación Policial (Europol) y la Policía Federal de Brasil.

LA UNIÓN EUROPEA, denominada en lo sucesivo «Unión» o «UE»,

y

LA REPÚBLICA FEDERATIVA DE BRASIL, denominada en lo sucesivo «Brasil»,

denominadas conjuntamente en lo sucesivo «Partes contratantes»,

CONSIDERANDO que, al autorizar el intercambio de datos personales y no personales entre la Agencia de la Unión Europea para la Cooperación Policial (Europol) y las autoridades competentes de Brasil, el presente Acuerdo creará el marco para una cooperación operativa reforzada entre la Unión y Brasil en el ámbito policial, salvaguardando al mismo tiempo los derechos humanos y las libertades fundamentales de todas las personas afectadas, incluido el derecho a la intimidad y a la protección de datos;

CONSIDERANDO que el presente Acuerdo se entiende sin perjuicio de los acuerdos de asistencia judicial mutua entre Brasil y los Estados miembros de la Unión que permitan el intercambio de datos personales;

CONSIDERANDO que el presente Acuerdo no impone a las autoridades competentes ningún requisito para la transferencia de datos personales o no personales y que la transferencia de datos personales o no personales solicitados en virtud del presente Acuerdo sigue siendo voluntaria,

HAN CONVENIDO EN LO SIGUIENTE:

CAPÍTULO I

DISPOSICIONES GENERALES

ARTÍCULO 1

Objetivo y ámbito de aplicación

1.   El objetivo del presente Acuerdo es establecer relaciones de cooperación entre la Agencia de la Unión Europea para la Cooperación Policial (Europol) y las autoridades competentes de Brasil y permitir la transferencia de datos personales y no personales entre ellas para apoyar y reforzar la acción de las autoridades de los Estados miembros de la Unión y de Brasil, así como su cooperación mutua en la prevención y la lucha contra el delito, incluidos la delincuencia grave y el terrorismo, al mismo tiempo que se proporcionan garantías apropiadas con respecto a los derechos humanos y las libertades fundamentales de las personas, incluido el derecho a la intimidad y a la protección de datos.

2.   El ámbito de aplicación del presente Acuerdo abarca la cooperación entre Europol y las autoridades competentes de Brasil en los ámbitos de actividad de Europol y dentro de las competencias y funciones de esta, tal como se establecen en el Reglamento de Europol, aplicado de conformidad con el Tratado de la Unión Europea (TUE) y el Tratado de Funcionamiento de la Unión Europea (TFUE), y en el presente Acuerdo.

ARTÍCULO 2

Definiciones

A efectos del presente Acuerdo, se entenderá por:

1)	«Partes contratantes»: la Unión Europea y la República Federativa de Brasil;

2)	«Europol»: la Agencia de la Unión Europea para la Cooperación Policial, creada en virtud del Reglamento de Europol;

3)

«Reglamento de Europol»:el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53, ELI: http://data.europa.eu/eli/reg/2016/794/oj), con inclusión de cualquiera de sus modificaciones o de cualquier reglamento que lo sustituya;

4)

«autoridades competentes»: en el caso de Brasil, las autoridades policiales nacionales responsables, en virtud del Derecho nacional de Brasil, de la prevención y la lucha contra el delito, enumeradas en el anexo II (en lo sucesivo, «autoridades competentes de Brasil»), y respecto de las cuales actuará como punto de contacto central con Europol de conformidad con el artículo 26 un punto de contacto nacional designado en el seno de la Policía Federal brasileña, y, en el caso de la Unión, Europol.

5)	«organismos de la Unión»: instituciones, órganos, misiones y organismos creados por o sobre la base del TUE y el TFUE, enumerados en el anexo III;

6)	«delitos»: tipos de delitos enumerados en el anexo I y los delitos conexos; se considerarán conexos los tipos de delitos enumerados en el anexo I si se cometen con objeto de procurarse los medios para perpetrar, facilitar o cometer y asegurar la impunidad de quienes cometen dichos tipos de delitos;

7)	«datos personales»: toda información relativa a un interesado;

8)	«datos no personales»: información distinta de los datos personales;

9)

«interesado»: persona física identificada o identificable, siendo persona física identificable una persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

10)

«datos genéticos»: todos los datos personales relativos a las características genéticas de una persona que hayan sido heredadas o adquiridas y que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de dicha persona;

11)

«datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

12)

«tratamiento»: cualquier operación o conjunto de operaciones, efectuadas o no con medios automáticos, aplicadas a datos personales o conjuntos de datos personales, como la recogida, anotación, organización, conservación, adaptación o alteración, extracción, consulta, utilización, divulgación mediante transmisión, difusión o cualquier otra forma puesta a disposición, alineación o combinación, bloqueo, cancelación o destrucción;

13)	«violación de datos personales»: toda violación de la seguridad que ocasione la destrucción accidental o ilícita, la pérdida, alteración, comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma;

14)

«autoridad de control»: una o varias autoridades nacionales independientes que sean, por separado o en conjunto, responsables de la protección de datos en virtud del artículo 14 y que hayan sido notificadas de conformidad con dicho artículo, pudiendo incluir a aquellas autoridades cuya responsabilidad abarque también otros derechos humanos;

15)	«organización internacional»: una organización y sus organismos subordinados de Derecho internacional público, o cualquier otro organismo creado por, o basado en, un acuerdo entre dos o más países.

CAPÍTULO II

INTERCAMBIO DE DATOS PERSONALES Y PROTECCIÓN DE DATOS

ARTÍCULO 3

Finalidades del tratamiento de datos personales

1.   Los datos personales solicitados y recibidos en virtud del presente Acuerdo serán tratados únicamente con fines de prevención, investigación, detección o enjuiciamiento de delitos, o de ejecución de sanciones penales, dentro de los límites fijados por el artículo 4, apartado 5, y los mandatos respectivos de las autoridades competentes.

2.   Las autoridades competentes indicarán claramente, a más tardar en el momento de la transferencia de datos personales, la finalidad o finalidades específicas para las que se transfieren los datos. Para transmisiones a Europol, el fin o fines de esa transmisión se especificará de acuerdo con el fin o los fines específicos de tratamiento establecidos en el Reglamento de Europol. Las Partes contratantes podrán decidir de común acuerdo que los datos personales transferidos puedan ser tratados para un fin complementario, compatible y específico, que se especificará en el momento de dicho acuerdo común y entrará en el ámbito de aplicación del apartado 1.

ARTÍCULO 4

Principios generales en materia de protección de datos

1.   Las Partes contratantes dispondrán que los datos personales intercambiados en virtud del presente Acuerdo sean:

a)	tratados de manera leal, lícita, en consonancia con los requisitos de transparencia establecidos en el artículo 29, apartado 1, y exclusivamente al fin o los fines para los que hayan sido transferidos en virtud del artículo 3;

b)	adecuados, pertinentes y limitados a lo necesario en relación con el fin o los fines para los que son tratados;

c)

exactos y actualizados; a tal efecto, las Partes contratantes dispondrán que las autoridades competentes tomen todas las medidas razonables para garantizar que los datos personales que sean inexactos con respecto a los fines para los que son tratados se rectifiquen o se supriman sin demora injustificada;

d)	mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales;

e)	tratados de un modo que garantice una seguridad adecuada de los mismos.

2.   La autoridad competente transmisora podrá indicar, en el momento de la transferencia de los datos personales, cualquier limitación del acceso a los mismos o el uso que deba hacerse de ellos, en términos generales o específicos, así como en lo que se refiere a su transferencia ulterior, supresión o destrucción después de un determinado período, o al tratamiento ulterior de los mismos. Cuando la necesidad de tales limitaciones se manifieste después de que se hayan facilitado los datos personales, la autoridad competente transmisora informará de ello a la autoridad receptora.

3.   Las Partes contratantes se asegurarán de que la autoridad competente receptora se atenga a las limitaciones de acceso a los datos personales, o de uso de los mismos, indicadas por la autoridad competente transmisora a que se refiere el apartado 2.

4.   Las Partes contratantes dispondrán que sus autoridades competentes apliquen las medidas técnicas y organizativas apropiadas para poder demostrar que el tratamiento será conforme con el presente Acuerdo y que se protegerán los derechos de los interesados afectados.

5.   Las Partes contratantes velarán por que sus autoridades competentes no transfieran los datos personales que se hayan obtenido en vulneración manifiesta de los derechos humanos reconocidos por las normas de Derecho internacional vinculantes para las Partes contratantes. Las Partes contratantes se asegurarán de que los datos personales recibidos no se utilicen para solicitar, dictar o ejecutar la pena capital u otra forma de tortura u otros tratos o penas crueles, inhumanos o degradantes.

6.   Las Partes contratantes velarán por que se lleve un registro de todas las transferencias de datos personales con arreglo al presente Acuerdo y de la finalidad o finalidades de dichas transferencias.

ARTÍCULO 5

Categorías especiales de datos personales y categorías diferentes de interesados

1.   Estarán prohibidos la transferencia y el posterior tratamiento de datos personales de víctimas de delitos, testigos u otras personas que pudieran facilitar información sobre delitos, así como de menores de dieciocho años, salvo que la transferencia sea estrictamente necesaria y proporcionada en casos concretos para la prevención o la lucha contra un delito.

2.   Solo se permitirá la transferencia y el posterior tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, o de datos relativos a la salud, a la vida sexual o a las orientaciones sexuales de una persona física cuando sea estrictamente necesario y proporcionado en casos individuales para prevenir o combatir un delito y si dichos datos, salvo los datos biométricos, complementan otros datos personales.

3.   Las Partes contratantes velarán por que el tratamiento de los datos personales en virtud de los apartados 1 y 2 del presente artículo esté sujeto a garantías apropiadas ante riesgos específicos, entre ellas las limitaciones de acceso, las medidas de seguridad de los datos en el sentido del artículo 19 y las limitaciones a las transferencias ulteriores en virtud del artículo 7.

ARTÍCULO 6

Tratamiento automatizado de datos personales

Estarán prohibidas las decisiones basadas únicamente en el tratamiento automatizado de los datos personales intercambiados, incluida la elaboración de perfiles, que puedan producir efectos jurídicos negativos para el interesado o le afecten significativamente, salvo que se autorice por ley en la prevención y la lucha contra el delito y se ofrezcan garantías adecuadas para salvaguardar los derechos y libertades del interesado, incluido al menos el derecho a obtener la intervención humana.

ARTÍCULO 7

Transferencia ulterior de los datos personales recibidos

1.   Brasil velará por que sus autoridades competentes únicamente transfieran datos personales recibidos en virtud del presente Acuerdo a otras autoridades de Brasil si:

a)	Europol ha dado su autorización explícita previa;

b)	el fin o los fines de la transferencia ulterior son los mismos que el fin original o los fines originales de la transferencia realizada por Europol, y

c)	la transferencia ulterior está sujeta a las mismas condiciones y garantías que las aplicables a la transferencia original.

Sin perjuicio de lo dispuesto en el artículo 4, apartado 2, no será necesario cumplir el requisito establecido en el párrafo primero, letra a), del presente apartado cuando la propia autoridad receptora sea una autoridad competente de Brasil.

2.   La Unión velará por que Europol únicamente transfiera datos personales recibidos en virtud del presente Acuerdo a las autoridades de la Unión distintas de las enumeradas en el anexo III si:

a)	Brasil ha dado su autorización explícita previa;

b)	el fin o los fines de la transferencia ulterior son los mismos que el fin original o los fines originales de la transferencia realizada por Brasil, y

c)	la transferencia ulterior está sujeta a las mismas condiciones y garantías que las aplicables a la transferencia original.

Sin perjuicio de lo dispuesto en el artículo 4, apartado 2, no será necesario cumplir el requisito establecido en el párrafo primero, letra a), del presente apartado cuando la autoridad receptora sea uno de los organismos o autoridades enumerados en el anexo III.

3.   Brasil velará por que se prohíban las transferencias ulteriores de datos personales recibidos por sus autoridades competentes en virtud del presente Acuerdo a las autoridades de un país tercero o a una organización internacional, a menos que se cumplan las condiciones siguientes:

a)	Europol ha dado su autorización explícita previa;

b)	el fin o los fines de la transferencia ulterior son los mismos que el fin original o los fines originales de la transferencia realizada por Europol, y

c)	la transferencia ulterior está sujeta a las mismas condiciones y garantías que las aplicables a la transferencia original.

4.   Europol solo podrá conceder su autorización con arreglo al apartado 3, letra a), para una transferencia ulterior a la autoridad de un país tercero o a una organización internacional si existe una decisión de adecuación, un acuerdo internacional que ofrezca garantías apropiadas con respecto a la protección del derecho a la intimidad y los derechos y libertades fundamentales de las personas, un acuerdo de cooperación o cualquier otro motivo de Derecho para las transferencias de datos personales en el sentido del Reglamento de Europol que regule la transferencia ulterior.

5.   La Unión velará por que se prohíban las transferencias ulteriores de datos personales recibidos por Europol en virtud del presente Acuerdo a autoridades de países terceros o a una organización internacional, a menos que se cumplan las condiciones siguientes:

a)	Brasil ha dado su autorización explícita previa;

b)	el fin o los fines de la transferencia ulterior son los mismos que el fin original de la transferencia realizada por Brasil, y

c)	la transferencia ulterior está sujeta a las mismas condiciones y garantías que las aplicables a la transferencia original.

6.   En la aplicación del presente artículo, únicamente se autorizarán las transferencias ulteriores de categorías especiales de datos personales a que se refiere el artículo 5 si dichas transferencias ulteriores son estrictamente necesarias y proporcionadas en casos individuales en relación con los delitos.

ARTÍCULO 8

Derecho de acceso

1.   Las Partes contratantes velarán por que el interesado tenga derecho, en intervalos razonables, a obtener información sobre si los datos personales que le conciernen se tratan en virtud del presente Acuerdo y, en su caso, el acceso al menos a la información siguiente:

a)	confirmación de la existencia o no de tratamiento de datos que le conciernan;

b)	información, como mínimo, del fin o los fines del tratamiento, de las categorías de datos objeto de tratamiento y, en su caso, de los destinatarios o categorías de destinatarios a quienes se comuniquen los datos;

c)	la existencia del derecho a solicitar de la autoridad competente la rectificación, supresión de los datos personales relativos al interesado o la limitación de su tratamiento;

d)	indicación de la base jurídica con arreglo a la cual se realizará el tratamiento;

e)	el plazo previsto durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

f)	comunicación en forma inteligible de los datos personales objeto de tratamiento, así como de cualquier información disponible sobre el origen de los datos.

2.   En los casos en que se ejerza el derecho de acceso de conformidad con el apartado 1, se consultará por escrito a la Parte contratante, de forma no vinculante, antes de que se adopte la decisión definitiva sobre la solicitud de acceso.

3.   Las Partes contratantes podrán disponer que se pueda retrasar, denegar o limitar la comunicación de la información en respuesta a cualquier solicitud a que se refiere el apartado 1, en la medida y durante el tiempo en que dicho retraso, denegación o limitación constituya una medida necesaria y proporcionada, teniendo en cuenta los derechos e intereses fundamentales del interesado, con el fin de:

a)	garantizar que no se pongan en peligro ninguna investigación ni enjuiciamiento penal;

b)	proteger los derechos y libertades de terceros, o

c)	proteger la seguridad nacional y el orden público y prevenir delitos.

4.   Las Partes contratantes velarán por que la autoridad competente que haya recibido la solicitud informe al interesado por escrito de cualquier retraso, denegación o limitación de acceso, así como de los motivos de dicho retraso, denegación o limitación de acceso. Dichos motivos podrán omitirse cuando ello menoscabe la finalidad del retraso, la denegación o la limitación con arreglo al apartado 3. La autoridad competente informará al interesado de las posibilidades de presentar una reclamación ante las autoridades de control pertinentes y de otras vías de recurso administrativo y judicial disponibles establecidas en los ordenamientos jurídicos respectivos de las Partes contratantes.

ARTÍCULO 9

Derecho de rectificación, cancelación y limitación

1.   Las Partes contratantes velarán por que el interesado tenga derecho a que las autoridades competentes rectifiquen los datos personales inexactos transferidos en virtud del presente Acuerdo. Teniendo en cuenta el fin o los fines del tratamiento, esto incluye el derecho a que se completen los datos personales incompletos transferidos en virtud del presente Acuerdo.

2.   La rectificación incluirá la supresión de los datos personales que ya no sean necesarios para el fin o los fines para los que se tratan.

3.   Las Partes contratantes podrán prever la limitación del tratamiento en lugar de la supresión de los datos personales en caso de que hubiera motivos razonables para suponer que tal supresión podría perjudicar los intereses legítimos del interesado.

4.   Las autoridades competentes se informarán mutuamente de las medidas tomadas en virtud de los apartados 1, 2 y 3. La autoridad competente receptora rectificará, suprimirá o limitará el tratamiento de conformidad con las medidas adoptadas por la autoridad competente transmisora.

5.   Las Partes contratantes dispondrán que la autoridad competente que haya recibido la solicitud informe al interesado por escrito, sin demora indebida, y en cualquier caso en el plazo de tres meses a partir de la recepción de la solicitud, de conformidad con los apartados 1 o 2, de que los datos que le conciernen han sido rectificados, suprimidos, eliminados o limitados en su tratamiento.

6.   Las Partes contratantes dispondrán que la autoridad competente que haya recibido la solicitud informe por escrito al interesado sin demora indebida, y en cualquier caso en el plazo de tres meses a partir de la recepción de la solicitud, de cualquier denegación de rectificación, supresión o limitación del tratamiento, de las razones de dicha denegación y de la posibilidad de presentar una reclamación ante las autoridades de control pertinentes y de otras vías de recurso administrativo y judicial disponibles establecidas en los ordenamientos jurídicos respectivos de las Partes contratantes.

ARTÍCULO 10

Notificación a las autoridades afectadas de una violación de la seguridad de datos personales

1.   En caso de una violación de la seguridad de datos personales que afecte a los datos personales transferidos en virtud del Acuerdo, las Partes contratantes velarán por que las autoridades competentes pertinentes se notifiquen dicha violación sin demora, así como a sus respectivas autoridades de control, y adopten medidas para mitigar sus posibles efectos adversos.

2.   La notificación deberá, como mínimo:

a)	describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número de interesados afectados, y las categorías y el número de registros de datos personales afectados;

b)	describir las posibles consecuencias de la violación de la seguridad de los datos personales;

c)	describir las medidas adoptadas o propuestas por la autoridad competente para poner remedio a la violación de la seguridad de los datos personales, incluyendo las medidas adoptadas para mitigar los posibles efectos negativos.

3.   En caso de que no sea posible facilitar toda la información requerida al mismo tiempo, podrá facilitarse por fases. La información pendiente se facilitará sin demora injustificada.

4.   Las Partes contratantes velarán por que sus respectivas autoridades competentes documenten toda violación de la seguridad de los datos personales que afecte a datos personales transferidos en virtud del presente Acuerdo, incluidos los hechos relativos a la violación de la seguridad de los datos personales, sus efectos y las medidas correctoras adoptadas, permitiendo así a sus respectivas autoridades de control verificar el cumplimiento de los requisitos legales aplicables.

ARTÍCULO 11

Comunicación al interesado de una violación de la seguridad de los datos personales

1.   Las Partes contratantes dispondrán que, cuando sea probable que una violación de la seguridad de los datos personales a que se hace referencia en el artículo 10 afecte grave y negativamente a los derechos y libertades del interesado, sus respectivas autoridades competentes comuniquen al interesado, sin demora indebida, dicha violación.

2.   En la comunicación al interesado según lo dispuesto en el apartado 1 se describirá, a ser posible, la naturaleza de la violación de la seguridad de los datos personales, se recomendarán medidas para mitigar los posibles efectos adversos de la violación y, además, se incluirán el nombre y los datos de contacto del punto de contacto donde se puede obtener más información.

3.   La comunicación al interesado contemplada en el apartado 1 no será necesaria si:

a)	los datos personales afectados por la violación han sido objeto de medidas de protección tecnológica adecuadas que hagan ininteligibles los datos para cualquier persona que no esté autorizada a acceder a dichos datos;

b)	se han tomado medidas ulteriores que garantizan que ya no existe la probabilidad de que los derechos y libertades del interesado se vean gravemente afectados, o

c)

la comunicación al interesado contemplada en el apartado 1 supondría una carga desproporcionada, en particular habida cuenta del número de casos afectados. En tales circunstancias, se realizará en su lugar una comunicación pública o se adoptará una medida semejante por la que se informe de manera igualmente efectiva al interesado.

4.   La comunicación al interesado contemplada en el apartado 1 podrá retrasarse, limitarse u omitirse cuando sea probable que dicha comunicación:

a)	obstruya indagaciones, investigaciones o procedimientos administrativos o judiciales;

b)	perjudique la prevención, detección, investigación y enjuiciamiento de delitos o la ejecución de sanciones penales, el orden público o la seguridad nacional;

c)	afecte a los derechos y libertades de terceros,

siempre y cuando ello sea una medida necesaria y proporcionada, teniendo debidamente en cuenta los intereses legítimos del interesado.

ARTÍCULO 12

Conservación, revisión, corrección y supresión de datos personales

1.   Las Partes contratantes dispondrán que se establezcan plazos adecuados para la conservación de los datos personales recibidos en virtud del presente Acuerdo o para la revisión periódica de la necesidad de conservación de los datos personales, de modo que los datos personales no se conserven más tiempo del necesario para el fin o los fines para el o los que se transfieren.

2.   En cualquier caso, la necesidad de seguir conservando datos personales se revisará a más tardar tres años después de su transferencia y, si no se adopta ninguna decisión justificada y documentada sobre la continuación del almacenamiento de los datos personales, dichos datos se borrarán de forma automática transcurridos tres años.

3.   Cuando la autoridad competente tenga motivos para creer que los datos personales anteriormente transferidos por ella son incorrectos o inexactos, han dejado de estar actualizados o no deberían haber sido transferidos, informará de ello a la autoridad competente receptora, quien corregirá o suprimirá dichos datos y lo notificará a la autoridad competente transmisora.

4.   Cuando la autoridad competente tenga motivos para creer que los datos personales anteriormente recibidos son incorrectos o inexactos, han dejado de estar actualizados o no deberían haber sido transferidos, informará de ello a la autoridad competente transmisora, quien expondrá su posición al respecto. Cuando la autoridad competente transmisora concluya que los datos personales son incorrectos o inexactos, han dejado de estar actualizados o no deberían haber sido transferidos, informará de ello a la autoridad competente receptora, quien corregirá o suprimirá dichos datos y lo notificará a la autoridad competente transmisora.

ARTÍCULO 13

Registro y documentación

1.   Las Partes contratantes dispondrán la conservación de registros o documentación de la recogida, la alteración, el acceso, la divulgación (incluidas las transferencias ulteriores), la combinación y la supresión de datos personales.

2.   Los registros o la documentación a que se refiere el apartado 1 se pondrán a disposición de la autoridad de control pertinente previa solicitud para la verificación de la legalidad del tratamiento, el autocontrol y la garantía de la integridad y seguridad adecuadas de los datos.

ARTÍCULO 14

Autoridad de control

1.   Las Partes contratantes garantizarán que una autoridad pública responsable de la protección de datos (autoridad de control) supervise de manera independiente aquellos asuntos que afectan al derecho a la intimidad de las personas, incluidas las normas nacionales relevantes en virtud del presente Acuerdo, para proteger los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos personales. Las Partes contratantes se notificarán mutuamente la autoridad que cada una de ellas designe como autoridad de control.

2.   Las Partes contratantes velarán por que cada autoridad de control:

a)	actúe con total independencia en el desempeño de sus funciones y en el ejercicio de sus competencias; actúe sin influencia externa y no solicite ni acepte instrucciones; esté constituida por miembros cuyo mandato sea seguro e incluya garantías contra la destitución arbitraria;

b)	disponga de los recursos humanos, técnicos y financieros, así como de los locales y las infraestructuras necesarios para el desempeño efectivo de sus funciones y el ejercicio de sus competencias.

c)	disponga de competencias efectivas de investigación e intervención para supervisar a los organismos que quedan bajo su control y para emprender acciones legales.

d)	esté facultada para conocer de las reclamaciones de particulares sobre el uso de sus datos personales por las autoridades competentes bajo su supervisión.

ARTÍCULO 15

Recursos administrativos y judiciales

1.   Los interesados tendrán derecho a un recurso administrativo y judicial efectivo en caso de violación de los derechos y garantías reconocidos en el presente Acuerdo como consecuencia del tratamiento de sus datos personales. Las Partes contratantes se notificarán mutuamente la legislación nacional que cada una de ellas considere que consagra los derechos garantizados en virtud del presente artículo.

2.   El derecho a un recurso administrativo y judicial efectivo a que se refiere el apartado 1 incluirá el derecho a indemnización por los daños y perjuicios causados al interesado.

CAPÍTULO III

INTERCAMBIO DE DATOS NO PERSONALES

ARTÍCULO 16

Principios en materia de protección de datos para los datos no personales

1.   Las Partes contratantes dispondrán que los datos no personales intercambiados en virtud del presente Acuerdo sean tratados de manera leal y lícita, y de tal manera que se garantice una seguridad adecuada de los datos no personales.

2.   La autoridad competente transmisora podrá indicar, en el momento de la transferencia de los datos no personales, cualquier limitación del acceso a los mismos o el uso que deba hacerse de ellos, en términos generales o específicos, así como en lo que se refiere a su transferencia ulterior, supresión o destrucción después de un determinado período, o al tratamiento ulterior de los mismos. Cuando la necesidad de tales limitaciones se manifieste después de que se hayan facilitado los datos no personales, la autoridad competente transmisora informará de ello a la autoridad receptora.

3.   Las Partes contratantes se asegurarán de que la autoridad competente receptora se atenga a las limitaciones de acceso a los datos no personales, o de uso de los mismos, indicadas por la autoridad competente transmisora a que se refiere el apartado 2.

4.   Las Partes contratantes velarán por que sus autoridades competentes no transfieran los datos no personales que se hayan obtenido en vulneración manifiesta de los derechos humanos reconocidos por las normas de Derecho internacional vinculantes para las Partes contratantes. Las Partes contratantes se asegurarán de que los datos no personales recibidos no se utilicen para solicitar, dictar o ejecutar la pena capital u otra forma de tortura u otros tratos o penas crueles, inhumanos o degradantes.

ARTÍCULO 17

Transferencia ulterior de datos no personales recibidos

1.   Brasil velará por que sus autoridades competentes únicamente transfieran datos no personales recibidos en virtud del presente Acuerdo a otras autoridades de Brasil, a las autoridades de un país tercero o a una organización internacional si:

a)	Europol ha dado su autorización explícita previa;

b)	la transferencia ulterior está sujeta a las mismas condiciones y garantías que las aplicables a la transferencia original.

Sin perjuicio de lo dispuesto en el artículo 16, apartado 2, no será necesario cumplir el requisito establecido en el párrafo primero, letra a), del presente apartado cuando la autoridad receptora sea ella misma una autoridad competente de Brasil.

2.   La Unión velará por que Europol únicamente transfiera datos no personales recibidos en virtud del presente Acuerdo a autoridades de la Unión distintas de las enumeradas en el anexo III o a autoridades de países terceros o a una organización internacional si:

a)	Brasil ha dado su autorización explícita previa;

b)	la transferencia ulterior está sujeta a las mismas condiciones y garantías que las aplicables a la transferencia original.

Sin perjuicio de lo dispuesto en el artículo 16, apartado 2, no será necesario cumplir el requisito establecido en el párrafo primero, letra a), del presente apartado cuando la autoridad receptora sea uno de los organismos o las autoridades enumerados en el anexo III.

CAPÍTULO IV

DISPOSICIONES COMUNES PARA EL INTERCAMBIO DE DATOS PERSONALES Y NO PERSONALES

ARTÍCULO 18

Valoración de la fiabilidad de la fuente y la exactitud de los datos

1.   Las autoridades competentes indicarán, en la medida de lo posible y a más tardar en el momento de la transferencia de los datos, la fiabilidad de la fuente de los datos intercambiados en virtud del presente Acuerdo utilizando los siguientes códigos en función de sus criterios correspondientes:

a)	«(A)», cuando no quepa duda sobre la autenticidad, veracidad y competencia de la fuente, o si los datos son suministrados por una fuente que haya resultado en el pasado ser fiable en todos los casos;

b)	«(B)», cuando los datos sean facilitados por una fuente que haya resultado ser fiable en la mayoría de los casos;

c)	«(C)», cuando los datos sean facilitados por una fuente que haya resultado ser poco fiable en la mayoría de los casos;

d)	«(X)», cuando no pueda determinarse la fiabilidad de la fuente.

2.   Las autoridades competentes indicarán, en la medida de lo posible y a más tardar en el momento de la transferencia de los datos, la exactitud de los datos utilizando los siguientes códigos en función de sus criterios correspondientes:

a)	«(1)» para los datos cuya exactitud no se ponga en duda en el momento de la transferencia;

b)	«(2)» para los datos conocidos personalmente por la fuente, pero no conocidos personalmente por el funcionario que los transmite;

c)	«(3)» para los datos no conocidos personalmente por la fuente, pero corroborados por otra información ya registrada;

d)	«(4)» para los datos que no sean conocidos personalmente por la fuente ni puedan ser corroborados de ninguna manera.

3.   Cuando la autoridad competente receptora, sobre la base de información que ya posee, concluya que la evaluación de los datos facilitados por la autoridad competente transmisora o de su fuente, de conformidad con los apartados 1 y 2, debe ser corregida, informará a la autoridad competente e intentará acordar una modificación de dicha evaluación. La autoridad competente receptora no modificará la evaluación de los datos recibidos o de su fuente sin ese acuerdo.

4.   Si una autoridad competente recibe datos sin una evaluación, tratará, en la medida de lo posible y de acuerdo con la autoridad competente transmisora, de evaluar la fiabilidad de la fuente o la exactitud de los datos sobre la base de la información que ya obre en su poder.

5.   Si no se puede hacer una evaluación fiable, los datos se evaluarán de conformidad con el apartado 1, letra d), y con el apartado 2, letra d), cuando proceda.

ARTÍCULO 19

Seguridad de los datos

1.   Las Partes contratantes velarán por que los datos transferidos en virtud del presente Acuerdo se traten de manera que se garantice una seguridad adecuada de los mismos.

2.   Las Partes contratantes garantizarán la aplicación de medidas técnicas y organizativas para proteger los datos transferidos en virtud del presente Acuerdo. Europol y las autoridades competentes de Brasil especificarán la aplicación de dichas medidas.

3.   Por lo que respecta al tratamiento automatizado de datos, las Partes contratantes velarán por la aplicación de medidas destinadas a:

a)	denegar a personas no autorizadas el acceso a los equipos utilizados para el tratamiento de los datos (control de acceso a los equipos);

b)	impedir que los soportes de datos puedan ser leídos, copiados, modificados o retirados sin autorización (control de los soportes de datos);

c)	impedir la introducción no autorizada de datos y la inspección, modificación o supresión no autorizadas de datos conservados (control de la conservación);

d)	impedir que los sistemas de tratamiento automatizado puedan ser utilizados por personas no autorizadas por medio de equipos de comunicación de datos (control de los usuarios);

e)	garantizar que las personas autorizadas para utilizar un sistema de tratamiento automatizado solo puedan tener acceso a los datos para los que han sido autorizadas (control del acceso);

f)	garantizar la posibilidad de verificar y determinar a qué organismos pueden transmitirse o se han transmitido datos utilizando equipos de transmisión de datos (control de la transmisión);

g)	garantizar la posibilidad de verificar y determinar qué datos se han introducido en los sistemas de tratamiento automatizado, en qué momento y por quién (control de la introducción de datos);

h)	garantizar que sea posible verificar y establecer qué miembro del personal ha accedido a qué datos y a qué hora (registro de acceso);

i)	impedir que durante las transferencias de datos o durante el transporte de soportes de datos, los datos puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte);

j)	garantizar que los sistemas utilizados puedan repararse rápidamente en caso de avería (restablecimiento);

k)	garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento se señalen de forma inmediata (fiabilidad), y que los datos almacenados no se falseen por defectos de funcionamiento del sistema (autenticidad).

CAPÍTULO V

DIFERENCIAS

ARTÍCULO 20

Solución de diferencias

Todas las diferencias que puedan surgir en relación con la interpretación, aplicación o ejecución del presente Acuerdo, así como cualquier asunto relacionado con el mismo, darán lugar a consultas y negociaciones entre representantes de las Partes contratantes con vistas a alcanzar una solución mutuamente aceptable.

ARTÍCULO 21

Cláusula suspensiva

1.   En caso de incumplimiento de las obligaciones derivadas del presente Acuerdo, las Partes contratantes podrán suspender el presente Acuerdo de forma temporal, parcialmente o por completo, mediante notificación escrita a la otra Parte por vía diplomática. Dicha notificación por escrito no podrá efectuarse hasta después de que las Partes contratantes hayan abierto un período razonable de consulta sin llegar a una resolución; la suspensión surtirá efecto veinte días después de la fecha de recepción de dicha notificación. Dicha suspensión podrá ser levantada por la Parte contratante que lo suspenda previa notificación por escrito a la otra Parte contratante. El levantamiento de la suspensión tendrá lugar inmediatamente después de la recepción de la citada notificación.

2.   No obstante la suspensión del presente Acuerdo, los datos personales y no personales que entren en su ámbito de aplicación y hayan sido transferidos con anterioridad a su suspensión seguirán tratándose de conformidad con el presente Acuerdo.

ARTÍCULO 22

Terminación

1.   Cualquiera de las Partes contratantes podrá poner término al presente Acuerdo en cualquier momento mediante denuncia por escrito notificada por vía diplomática. La terminación se producirá tres meses después de la fecha de recepción de la denuncia.

2.   Si cualquiera de las Partes contratantes denuncia el presente Acuerdo en virtud del presente artículo, las Partes contratantes decidirán qué medidas es preciso adoptar para garantizar que se concluya de manera adecuada la cooperación iniciada en virtud del presente Acuerdo. En cualquier caso, en lo que respecta a todos los datos personales y no personales obtenidos a través de la cooperación en virtud del presente Acuerdo antes de que este deje de estar en vigor, las Partes garantizarán que después de que se produzca la terminación se mantenga el nivel de protección con arreglo al cual los datos personales y no personales fueron transferidos.

CAPÍTULO VI

DISPOSICIONES FINALES

ARTÍCULO 23

Relación con otros instrumentos internacionales

El presente Acuerdo no prejuzgará ni afectará de otro modo a las disposiciones jurídicas con respecto al intercambio de información previsto por cualquier tratado de asistencia judicial mutua, por cualquier otro acuerdo de cooperación o en las relaciones de trabajo en materia policial para el intercambio de información entre Brasil y cualquier Estado miembro de la Unión.

ARTÍCULO 24

Intercambio de información clasificada

Cuando así lo requiera el presente Acuerdo, Europol y las autoridades competentes de Brasil establecerán las modalidades de intercambio de información clasificada.

ARTÍCULO 25

Solicitudes de acceso público

Las solicitudes de acceso público a documentos que contengan datos personales o no personales transferidos en virtud del presente Acuerdo se presentarán a la Parte contratante que los transfiera para su consulta lo antes posible.

ARTÍCULO 26

Punto de contacto nacional y funcionarios de enlace

1.   Brasil designará un punto de contacto nacional en el seno de la Policía Federal brasileña que actuará como punto de contacto central entre Europol y las autoridades competentes de Brasil. Brasil notificará a la Unión el punto de contacto nacional designado.

2.   Brasil garantizará que el punto de contacto nacional esté disponible de forma permanente e ininterrumpida.

3.   Cualquier intercambio directo entre Europol y otras autoridades competentes de Brasil se limitará al contexto de operaciones específicas y requerirá la autorización previa y expresa del punto de contacto nacional.

4.   Europol y Brasil podrán reforzar su cooperación tal y como se establece en el presente Acuerdo mediante el despliegue de uno o varios funcionarios de enlace por parte de Brasil. Europol podrá enviar uno o varios funcionarios de enlace a Brasil. Europol y la Policía Federal de Brasil fijarán las tareas de los funcionarios de enlace, el número de funcionarios y los costes correspondientes.

ARTÍCULO 27

Línea segura de comunicación

Se creará una línea segura de comunicación a efectos del intercambio de datos personales y no personales entre Europol y las autoridades competentes de Brasil. Europol y la Policía Federal de Brasil fijarán las modalidades de creación, aplicación y funcionamiento de la línea segura de comunicación.

ARTÍCULO 28

Gastos

Las Partes contratantes se asegurarán de que cada autoridad competente sufrague los gastos derivados de la aplicación del presente Acuerdo, salvo disposición en contrario de Europol y la Policía Federal de Brasil.

ARTÍCULO 29

Notificación de aplicación

1.   Las Partes contratantes dispondrán que las autoridades competentes pongan a disposición del público un documento en el que se expongan de forma inteligible las disposiciones relativas al tratamiento de los datos personales transferidos en virtud del presente Acuerdo, incluidos los medios disponibles para el ejercicio de los derechos de los interesados. Las Partes contratantes notificarán una copia de dicho documento a la otra Parte contratante.

2.   Si no hay normas vigentes al respecto, las Partes contratantes velarán por que sus autoridades competentes aprueben normas que especifiquen cómo se garantizará en la práctica el cumplimiento de las disposiciones relativas al tratamiento de datos personales transferidos en virtud del presente Acuerdo. Las Partes contratantes notificarán una copia de estas normas a la otra Parte contratante y a las respectivas autoridades de control.

3.   Las notificaciones efectuadas por una Parte contratante con arreglo al artículo 14, apartado 1, el artículo 15, apartado 1, el artículo 26, apartado 1, y el artículo 29, apartados 1 y 2, se presentarán por vía diplomática, en una única nota verbal.

ARTÍCULO 30

Entrada en vigor y aplicación

1.   El presente Acuerdo será aprobado por las Partes contratantes de conformidad con sus respectivos procedimientos.

2.   El presente Acuerdo entrará en vigor en la fecha de recepción de la última notificación escrita en la que las Partes contratantes se hayan notificado mutuamente, por vía diplomática, que han concluido los procedimientos a que se refiere el apartado 1.

3.   La entrada en aplicación del presente Acuerdo requerirá que las notificaciones de una Parte contratante a que se refiere el artículo 29, apartado 3, sean aceptadas por vía diplomática por la otra Parte contratante. El presente Acuerdo entrará en aplicación el primer día siguiente a la fecha de recepción de la última admisión de las notificaciones a que se refiere el artículo 29, apartado 3.

4.   A partir de la fecha de entrada en aplicación del presente Acuerdo, las Partes contratantes velarán por que se deroguen sin demora cualesquiera otros instrumentos jurídicos que regulen la cooperación entre Europol y las autoridades competentes de Brasil.

ARTÍCULO 31

Modificaciones

1.   El presente Acuerdo podrá modificarse por escrito en cualquier momento, de común acuerdo entre las Partes contratantes, mediante notificación escrita intercambiada entre ellas por vía diplomática. Las modificaciones del presente Acuerdo entrarán en vigor de conformidad con el procedimiento jurídico establecido en el artículo 30, apartados 1 y 2.

2.   Los anexos del presente Acuerdo podrán modificarse, cuando sea necesario, mediante el intercambio de notas diplomáticas. Dichas modificaciones entrarán en vigor de conformidad con el procedimiento jurídico establecido en el artículo 30, apartados 1 y 2.

3.   Las Partes contratantes iniciarán consultas sobre las modificaciones del presente Acuerdo o de sus anexos a petición de cualquiera de las Partes contratantes.

ARTÍCULO 32

Revisión y evaluación

1.   Las Partes contratantes revisarán conjuntamente la aplicación del presente Acuerdo un año después de su entrada en vigor y, posteriormente, a intervalos regulares y adicionalmente, a petición de cualquiera de las Partes contratantes y por decisión conjunta.

2.   Las Partes contratantes evaluarán conjuntamente el presente Acuerdo cuatro años después de su fecha de aplicación.

3.   Las Partes contratantes decidirán por adelantado las modalidades de la revisión de la aplicación del presente Acuerdo y se comunicarán mutuamente la composición de sus respectivos equipos. Los equipos incluirán expertos pertinentes en los ámbitos de la protección de datos y policial. Sin perjuicio de las disposiciones legales aplicables, los participantes en la revisión conjunta deberán contar con la correspondiente habilitación de seguridad y tendrán la obligación de respetar el carácter confidencial de los debates. A efectos de cualquier revisión, la Unión y Brasil garantizarán el acceso a la documentación, los sistemas y el personal pertinentes.

ARTÍCULO 33

Textos auténticos

El presente Acuerdo se redacta en doble ejemplar en lenguas alemana, búlgara, checa, croata, danesa, eslovaca, eslovena, española estonia, finesa, francesa, griega, húngara, inglesa, irlandesa, italiana, letona, lituana, maltesa, neerlandesa, polaca, portuguesa, rumana y sueca, siendo cada uno de estos textos igualmente auténtico. En caso de divergencia entre las versiones del presente Acuerdo, prevalecerá el texto en lengua inglesa.

EN FE DE LO CUAL, los Plenipotenciarios abajo firmantes, debidamente autorizados a tal efecto, han firmado el presente Acuerdo.

 

 

 

 

ANEXO I

ÁMBITOS DELICTIVOS

Son delitos:

—	la delincuencia organizada,

—	el blanqueo de capitales,

—	la delincuencia relacionada con materiales nucleares y radiactivos,

—	el tráfico de inmigrantes,

—	la trata de seres humanos,

—	la delincuencia relacionada con vehículos de motor,

—	el homicidio voluntario y agresión con lesiones graves,

—	el tráfico ilícito de órganos y tejidos humanos,

—	el secuestro, detención ilegal y toma de rehenes,

—	el racismo y la xenofobia,

—	el robo y el hurto con circunstancias agravantes,

—	el tráfico ilícito de bienes culturales, incluidas las antigüedades y obras de arte,

—	la estafa y el fraude,

—	los delitos contra los intereses financieros de la Unión,

—	las operaciones con información privilegiada y manipulación del mercado financiero,

—	el chantaje y la extorsión,

—	la falsificación y la piratería,

—	la falsificación de documentos administrativos y el tráfico de documentos administrativos falsos,

—	la falsificación de moneda y medios de pago,

—	la ciberdelincuencia,

—	el tráfico ilícito de armas, municiones y explosivos,

—	el tráfico ilícito de especies animales protegidas,

—	el tráfico ilícito de especies y variedades vegetales protegidas,

—	los delitos contra el medio ambiente, incluida la contaminación procedente de buques,

—	el tráfico ilícito de sustancias hormonales y otros productos estimulantes del crecimiento,

—	los abusos sexuales y la explotación sexual, incluido el material sobre abuso de menores y la captación de menores con fines sexuales,

—	el genocidio, los crímenes contra la humanidad y los crímenes de guerra.

Las formas de delincuencia a que se refiere el presente anexo serán evaluadas por las autoridades competentes de Brasil de conformidad con el Derecho de Brasil y por Europol de conformidad con el Derecho aplicable de la Unión Europea y sus Estados miembros.

ANEXO II

AUTORIDADES COMPETENTES DE BRASIL

Las autoridades competentes de Brasil son:

La Policía Federal de Brasil,

Las policías civiles de los Estados y del Distrito Federal,

Las unidades del Ministerio de Justicia y Seguridad Pública responsables de la prevención y la lucha contra el delito de conformidad con el Derecho de Brasil.

ANEXO III

ORGANISMOS DE LA UNIÓN Y AUTORIDADES DE LOS ESTADOS MIEMBROS DE LA UNIÓN

a)

Organismos de la Unión:   Misiones y operaciones de la política común de seguridad y defensa, limitadas a las actividades policiales   Oficina Europea de Lucha contra el Fraude (OLAF)   Agencia Europea de la Guardia de Fronteras y Costas (Frontex)   Banco Central Europeo (BCE)   Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust)   Oficina de Propiedad Intelectual de la Unión Europea (OPIUE)   Autoridad de Lucha contra el Blanqueo de Capitales y la Financiación del Terrorismo (ALBC)

b)	Autoridades responsables en los Estados miembros de la Unión de la prevención y la lucha contra el delito, de conformidad con el artículo 2, letra a), y el artículo 7 del Reglamento de Europol.