EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de la Unión Europea y, en particular, su artículo 30, apartado 1, letra b), y su artículo 34, apartado 2, letra c),
Vista la propuesta de la Comisión,
Visto el dictamen del Parlamento Europeo, Considerando lo siguiente:
(1) La Decisión 2004/512/CE del Consejo, de 8 de junio de 2004, por la que se establece el Sistema de Información de Visados (VIS) (1), estableció un sistema de intercambio de datos sobre visados entre los Estados miembros. La creación del VIS constituye una de las iniciativas clave de las políticas de la Unión Europea destinadas a establecer un espacio de libertad, seguridad y justicia. El VIS debe tener como objetivo mejorar la aplicación de la política común de visados y contribuir también a la seguridad interior y la lucha contra el terrorismo en circunstancias claramente definidas y supervisadas.
(2) En su reunión del 7 de marzo de 2005, el Consejo adoptó en sus conclusiones que «para cumplir plenamente el objetivo de mejorar la seguridad interior y la lucha antiterrorista», debe garantizarse a las autoridades de los Estados miembros responsables en materia de seguridad interior el acceso al VIS «dentro del marco del ejercicio de sus competencias en el ámbito de la prevención y la detección de infracciones penales y de investigación en la materia, incluidos los actos o amenazas terroristas», «dentro del estricto respeto de las normas relativas a la protección de datos de carácter personal».
(3) Es esencial que, en la lucha contra el terrorismo y otros delitos graves, los servicios responsables tengan la información más completa y actualizada en sus sectores respectivos.
Los servicios nacionales competentes de los Estados miembros necesitan información para desempeñar sus tareas. La información que contiene el VIS puede ser necesaria para la prevención y la lucha contra el terrorismo y los delitos graves y, por lo tanto, debe estar disponible, con arreglo a las condiciones establecidas en la presente Decisión, para ser consultada por las autoridades designadas.
(4) Además, el Consejo Europeo ha declarado que Europol desempeña una función clave para la cooperación entre las autoridades de los Estados miembros en el ámbito de la investigación penal transfronteriza, al apoyar la investigación, los análisis y la prevención de la delincuencia en toda la Unión. En consecuencia, Europol también debe tener acceso a los datos del VIS, en el marco de sus funciones y de conformidad con el Convenio de 26 de julio de 1995, por el que se crea una Oficina Europea de Policía (2).
(5) La presente Decisión es complementaria del Reglamento (CE) no 767/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros (Reglamento VIS) (3), en la medida en que establece la base jurídica, prevista en el título VI del Tratado de la Unión Europea, que autoriza el acceso al VIS a las autoridades designadas y a Europol.
________________
(1) DO L 213 de 15.6.2004, p. 5.
(2) DO C 316 de 27.11.1995, p. 2. Convenio modificado en último lugar por el Protocolo por el que se modifica dicho Convenio (DO C 2 de 6.1.2004, p. 3).
(3) Véase la página 60 del presente Diario Oficial.
(6) Es necesario designar a las autoridades competentes de los Estados miembros, así como los puntos centrales de acceso a través de los cuales se facilita el acceso, y disponer de una lista de las unidades encargadas de las autoridades designadas autorizadas a acceder al VIS con fines específicos de prevención, detección e investigación de los delitos de terrorismo y otros delitos graves, como se menciona en la Decisión marco 2002/584/JAI del Consejo, de 13 de junio de 2002, relativa a la orden de detención europea y a los procedimientos de entrega entre Estados miembros (1). Es fundamental garantizar que el personal debidamente habilitado para acceder al VIS se limite a quienes «necesitan saber» y poseen los conocimientos adecuados en materia de seguridad de datos y de normas de protección de datos.
(7) Las unidades encargadas de las autoridades designadas deben presentar solicitudes de acceso al VIS a los puntos centrales de acceso. Dichos puntos deben tramitar a continuación las solicitudes de acceso al VIS al comprobar si se cumplen todas las condiciones de acceso. En un caso excepcional de urgencia, los puntos centrales de acceso deben tramitar la solicitud de inmediato y solo posteriormente efectuar la comprobación.
(8) A fin de proteger los datos personales y, en particular, de excluir el acceso regular, la tramitación de datos del VIS solo se efectuará en función del caso concreto. Casos concretos de este tipo se dan, en particular, cuando el acceso a la consulta esté vinculado con un acontecimiento específico, o con un peligro asociado a un delito grave, o con una persona específica con respecto a la cual haya motivos fundados para creer que cometerá o ha cometido actos de terrorismo u otros delitos graves o que guarda una relación pertinente con una persona así. Las autoridades designadas y Europol realizarán búsquedas en los datos contenidos en el VIS únicamente cuando tengan motivos fundados para creer que dicha búsqueda facilitará información que les ayudará sustancialmente en la prevención, detección o investigación de un delito grave.
(9) Cuando la propuesta de Decisión marco sobre la protección de datos de carácter personal tratados en el marco de la cooperación policial y judicial en materia penal haya entrado en vigor, deberá aplicarse a los datos de carácter personal tratados con arreglo a la presente Decisión. No obstante, hasta que las normas establecidas en dicha Decisión marco sean aplicables y para completarlas, habrá que prever las disposiciones adecuadas para garantizar la necesaria protección de los datos. Cada Estado miembro debe garantizar un nivel de protección de datos adecuado en su legislación nacional que corresponda al menos con el que se deriva del Convenio del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y la respectiva jurisprudencia relativa al artículo 8 del Convenio para la protección de los derechos humanos y de las libertades fundamentales y, para los Estados miembros que lo hayan ratificado, el Protocolo adicional al Convenio de 8 de noviembre de 2001, y tener en cuenta la Recomendación no R (87) 15 del Comité de Ministros del Consejo de Europa, de 17 de septiembre de 1987, por la que se regula la utilización de datos personales en el sector policial.
(10) El control eficaz de la aplicación de la presente Decisión debe evaluarse a intervalos regulares.
(11) Dado que los objetivos de la presente Decisión, a saber, la creación de obligaciones y condiciones de acceso para la consulta de datos del VIS por las autoridades designadas de los Estados miembros y por Europol, no pueden ser alcanzados de manera suficiente por los Estados miembros y, por consiguiente, debido a las dimensiones y los efectos de la acción, pueden lograrse mejor a escala de la Unión Europea, el Consejo puede adoptar medidas, de acuerdo con el principio de subsidiariedad mencionado en el artículo 2 del Tratado de la Unión Europea y definido en el artículo 5 del Tratado constitutivo de la Comunidad Europea. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, la presente Decisión no excede de lo necesario para alcanzar dichos objetivos.
(12) Con arreglo al artículo 47 del Tratado de la Unión Europea, la presente Decisión no afecta a las competencias de la Comunidad Europea, en particular a las ejercidas en virtud del Reglamento (CE) no 767/2008 y de la Directiva 95/46/ CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (2).
(13) La presente Decisión constituye un desarrollo de las disposiciones del acervo de Schengen, en el que el Reino Unido no participa de conformidad con la Decisión 2000/ 365/CE del Consejo, de 29 de mayo de 2000, sobre la solicitud del Reino Unido de Gran Bretaña e Irlanda del Norte de participar en algunas de las disposiciones del acervo de Schengen (3). Por consiguiente, el Reino Unido no participa en su adopción y no está vinculado ni sometido a su aplicación.
(14) La presente Decisión constituye un desarrollo de las disposiciones del acervo de Schengen, en el que Irlanda no participa de conformidad con la Decisión 2002/192/CE del Consejo, de 28 de febrero de 2002, sobre la solicitud de Irlanda de participar en algunas de las disposiciones del acervo de Schengen (4). Por consiguiente, Irlanda no participa en su adopción y no está vinculada ni sometida a su aplicación.
________________
(1) DO L 190 de 18.7.2002, p. 1.
(2) DO L 281 de 23.11.1995, p. 31. Directiva modificada por el Reglamento (CE) no 1882/2003 (DO L 284 de 31.10.2003, p. 1).
(3) DO L 131 de 1.6.2000, p. 43.
(4) DO L 64 de 7.3.2002, p. 20.
(15) No obstante, con arreglo a la Decisión marco 2006/960/JAI del Consejo, de 18 de diciembre de 2006, sobre la simplificación del intercambio de información e inteligencia entre los servicios de seguridad de los Estados miembros de la Unión Europea (1), las autoridades competentes de los Estados miembros cuyas autoridades designadas tengan acceso al VIS con arreglo a la presente Decisión pueden facilitar la información contenida en el VIS al Reino Unido y a Irlanda. La información conservada en los registros nacionales sobre visados del Reino Unido e Irlanda puede facilitarse a las autoridades judiciales y policiales competentes de los demás Estados miembros. Cualquier forma de acceso directo de las autoridades centrales del Reino Unido e Irlanda al VIS requeriría, con arreglo a su situación actual de participación en el acervo de Schengen, un acuerdo entre la Comunidad y dichos Estados miembros, posiblemente complementado por otras disposiciones que especifiquen las condiciones y procedimientos para dicho acceso.
(16) En lo que respecta a Islandia y Noruega, la presente Decisión constituye, con excepción del artículo 7, un acto de desarrollo de las disposiciones del acervo Schengen en el sentido del Acuerdo celebrado por el Consejo de la Unión Europea con la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen (2), que entra dentro del ámbito a que se refiere el artículo 1, letra B, de la Decisión 1999/437/CE del Consejo (3), relativa a determinadas normas de desarrollo de dicho Acuerdo.
(17) Por lo que se refiere a Suiza, la presente Decisión desarrolla, con excepción del artículo 7, disposiciones del acervo de Schengen, en el sentido del Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de este Estado a la ejecución, aplicación y desarrollo del acervo de Schengen, que entran en el ámbito mencionado en el artículo 1, letra B, de la Decisión 1999/437/CE, en relación con el artículo 4, apartado 1, de la Decisión 2004/849/CE del Consejo (4).
(18) La presente Decisión, salvo el artículo 6, constituye un acto basado en el acervo de Schengen o relativo al mismo según la definición del artículo 3, apartado 2, del Acta de adhesión de 2003 y del artículo 4, apartado 2, del Acta de adhesión de 2005.
(19) La presente Decisión respeta los derechos fundamentales y observa los principios reflejados, en particular, en la Carta de los Derechos Fundamentales de la Unión Europea.
DECIDE:
Objeto y ámbito de aplicación
La presente Decisión establece las condiciones en que las autoridades designadas de los Estados miembros y la Oficina Europea de Policía (Europol) podrán tener acceso para consultar el Sistema de Información de Visados (VIS) con fines de prevención, detección e investigación de delitos de terrorismo y otros delitos graves.
Definiciones
1. A efectos de la presente Decisión, se entenderá por:
a) «Sistema de Información de Visados (VIS)», el Sistema de Información de Visados establecido en la Decisión 2004/ 512/CE;
b) «Europol», la Oficina Europea de Policía creada en el Convenio de 26 de julio de 1995 por el que se crea una Oficina Europea de Policía (Convenio Europol);
c) «delitos de terrorismo», los delitos tipificados en la legislación nacional que corresponden o son equivalentes a los delitos contemplados en los artículos 1 a 4 de la Decisión marco 2002/475/JAI del Consejo, de 13 de junio de 2002, sobre la lucha contra el terrorismo (5);
d) «delitos graves», las formas de delincuencia que corresponden o son equivalentes a aquellas a que se refiere el artículo 2, apartado 2, de la Decisión marco 585/2002/JAI;
e) «autoridades designadas», las autoridades responsables de la prevención, detección e investigación de delitos de terrorismo y otros delitos graves designadas por los Estados miembros con arreglo al artículo 3.
2. También se aplicarán las definiciones contenidas en el Reglamento (CE) no 767/2008.
Autoridades designadas y puntos centrales de acceso
1. Los Estados miembros designarán las autoridades a que se refiere el artículo 2, apartado 1, letra e), que tendrán acceso a los datos del VIS con arreglo a la presente Decisión.
2. Cada Estado miembro dispondrá de una lista de autoridades designadas. A más tardar el 2 de diciembre de 2008, cada Estado miembro comunicará en una declaración a la Comisión y a la Secretaría General del Consejo sus autoridades designadas y podrá en cualquier momento modificar o sustituir su declaración por otra.
_____________
(1) DO L 386 de 18.12.2006, p. 89.
(2) DO L 176 de 10.7.1999, p. 36.
(3) DO L 176 de 10.7.1999, p. 31.
(4) Decisión 2004/849/CE del Consejo, de 25 de octubre de 2004, relativa a la firma, en nombre de la Unión Europea, y a la aplicación provisional de determinadas disposiciones del Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de este Estado a la ejecución, aplicación y desarrollo del acervo de Schengen (DO L 368 de 15.12.2004, p. 26).
(5) DO L 164 de 22.6.2002, p. 3.
3. Cada Estado miembro designará un (os) punto (s) central (es) de acceso a través del (de los) cual (es) se facilitará el acceso. Los Estados miembros podrán designar más de un punto central de acceso para reflejar su estructura organizativa y administrativa en cumplimiento de sus requisitos constitucionales o jurídicos. A más tardar el 2 de diciembre de 2008, cada Estado miembro notificará en una declaración a la Comisión y a la Secretaría General del Consejo su (s) punto (s) central (es) de acceso y podrá en todo momento modificar su declaración o sustituirla por otra.
4. La Comisión publicará las declaraciones mencionadas en los apartados 2 y 3 en el Diario Oficial de la Unión Europea.
5. Cada Estado miembro dispondrá de una lista nacional de las unidades encargadas dependientes de las autoridades designadas que estarán autorizadas a acceder directamente al VIS a través del (de los) punto (s) central (es) de acceso.
6. Únicamente el personal de las unidades encargadas debidamente habilitado, así como el (los) punto (s) central (es) de acceso, estarán autorizados a acceder al VIS con arreglo al artículo 4.
Procedimiento de acceso al VIS
1. Cuando se cumplan las condiciones del artículo 5, las unidades encargadas mencionadas en el artículo 3, apartado 5, presentarán una solicitud escrita o electrónica motivada a los puntos centrales de acceso mencionados en el artículo 3, apartado 3, para acceder al VIS. Tras recibir una solicitud de acceso, los puntos centrales de acceso comprobarán si se cumplen las condiciones de acceso mencionadas en el artículo 5.
De cumplirse todas estas condiciones, el personal debidamente habilitado de los puntos centrales de acceso procesará las solicitudes. Los datos del VIS consultados se transmitirán a las unidades encargadas mencionadas en el artículo 3, apartado 5, de un modo que no comprometa la seguridad de los datos.
2. En un caso excepcional de urgencia, los puntos centrales de acceso podrán recibir solicitudes escritas, electrónicas o verbales.
En estos casos, los puntos centrales de acceso procesarán las solicitudes de inmediato y solo comprobarán posteriormente si se cumplen todas las condiciones del artículo 5, incluida la existencia de un caso excepcional de urgencia. La comprobación posterior se realizará a la mayor brevedad después de procesar la solicitud.
Condiciones de acceso a los datos del VIS por las autoridades designadas de los Estados miembros 1. Las autoridades designadas tendrán acceso para consultar el VIS dentro de los límites de sus competencias y cuando se cumplan todas las condiciones siguientes:
a) el acceso para consultar el sistema deberá ser necesario a efectos de prevención, detección o investigación de delitos de terrorismo o de otros delitos graves;
b) el acceso para consultar el sistema deberá ser necesariamente en un caso concreto;
c) existen motivos fundados para considerar que la consulta de los datos del VIS contribuirá sustancialmente a la prevención, detección o investigación de cualquiera de los delitos de que se trata.
2. La consulta del VIS se limitará a la búsqueda de cualquiera de los siguientes datos VIS en el expediente de solicitud:
a) apellidos, apellidos de nacimiento [apellido (s) anterior (es)]; nombre (s); sexo; fecha, lugar y país de nacimiento;
b) nacionalidad actual y nacionalidad de origen;
c) tipo y número de documento de viaje, autoridad que lo expidió y fechas de expedición y de expiración;
d) destino principal y duración de la estancia prevista;
e) motivo del viaje;
f) fechas de llegada y de salida previstas;
g) primera frontera de entrada o itinerario de tránsito previstos;
h) residencia;
i) impresiones dactilares;
j) tipo de visado y número de la etiqueta adhesiva de visado;
k) información detallada sobre la persona que ha cursado una invitación o que puede sufragar los gastos de mantenimiento del solicitante durante la estancia.
3. En caso de respuesta positiva, la consulta del VIS dará acceso a todos los datos mencionados en el apartado 2, así como a:
a) cualquier otro dato que figure en el formulario de solicitud;
b) fotografías;
c) datos introducidos en relación con cualquier visado expedido, denegado, anulado, retirado o prorrogado.
Condiciones de acceso a los datos del VIS por las autoridades designadas de un Estado miembro en relación con el cual aún no se ha puesto en aplicación el Reglamento (CE) no 767/2008
1. Las autoridades designadas de un Estado miembro en relación con el cual aún no se ha puesto en aplicación el Reglamento (CE) no 767/2008 tendrán acceso para consultar el VIS, dentro de los límites de sus competencias, y
a) en las mismas condiciones previstas en el artículo 5, apartado 1, y
b) mediante una petición escrita o electrónica, debidamente motivada, dirigida a una autoridad designada del Estado miembro al que se aplica el Reglamento (CE) no 767/2008; a continuación, esta autoridad pedirá a su (s) punto (s) de acceso nacional central (es) que consulte (n) el VIS.
2. El Estado miembro en relación con el cual aún no se ha puesto en aplicación el Reglamento (CE) no 767/2008 pondrá a disposición de los Estados miembros a los que se aplica el Reglamento (CE) no 767/2008 su información sobre visados, previa petición escrita o electrónica debidamente motivada, que cumpla las condiciones establecidas en el artículo 5, apartado 1.
3. El artículo 8, apartados 1 y 3 a 6, el artículo 9, apartado 1, el artículo 10, apartados 1 y 3, el artículo 12 y el artículo 13, apartados 1 y 3, de la presente Decisión se aplicarán en consecuencia.
Condiciones de acceso de Europol a los datos del VIS 1. El acceso de Europol para consultar el VIS tendrá lugar dentro de los límites de su mandato, y
a) cuando sea necesario para desempeñar sus funciones con arreglo al artículo 3, apartado 1, punto 2, del Convenio Europol, y para los fines de análisis específico previstos en el artículo 10 del Convenio Europol, o
b) cuando sea necesario para desempeñar sus funciones con arreglo al artículo 3, apartado 1, punto 2, del Convenio Europol, y para el análisis de tipo general y estratégico a que se refiere el artículo 10 del Convenio Europol, siempre que antes de su tratamiento Europol mantenga los datos del VIS anónimos y en una forma que haga imposible la identificación de las personas afectadas.
2. El artículo 5, apartados 2 y 3, de la presente Decisión se aplicará en consecuencia.
3. A los fines de la presente Decisión, Europol designará una unidad especializada, con funcionarios europeos debidamente autorizados para actuar como el punto de acceso central para acceder a la consulta del VIS.
4. El tratamiento de la información obtenida por Europol tras su acceso al VIS estará supeditado al consentimiento del Estado miembro que haya introducido los datos en el VIS. Dicho consentimiento se obtendrá a través de la unidad nacional de Europol de dicho Estado miembro.
Protección de datos de carácter personal
1. El tratamiento de los datos de carácter personal consultados con arreglo a la presente Decisión estará sometido a las normas expuestas a continuación y a la legislación nacional del Estado miembro que los consulte. En relación con el tratamiento de datos de carácter personal consultados con arreglo a la presente Decisión, cada Estado miembro garantizará un adecuado nivel de protección de los datos en su legislación nacional que equivalga al menos al correspondiente al Convenio de 28 de enero de 1981 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y, para aquellos Estados miembros que lo hayan ratificado, al Protocolo Adicional de dicho Convenio, de 8 de noviembre de 2001, y deberá tener en cuenta la Recomendación no R (87) 15 del Comité de Ministros del Consejo de Europa, de 17 de septiembre de 1987, por la que se regula la utilización de los datos personales en el sector policial.
2. El tratamiento de datos de carácter personal efectuado por Europol en virtud de la presente Decisión se hará de conformidad con el Convenio Europol y sus normas de aplicación, y será supervisado por la autoridad común independiente de control creada en el artículo 24 del Convenio.
3. Los datos de carácter personal obtenidos del VIS con arreglo a la presente Decisión serán tratados únicamente a efectos de la prevención, detección, investigación y represión de delitos de terrorismo u otros delitos penales graves.
4. Los datos de carácter personal obtenidos del VIS con arreglo a la presente Decisión no podrán transmitirse ni ponerse a disposición de terceros países ni de organizaciones internacionales.
Sin embargo, en un caso excepcional de urgencia, dichos datos podrán transmitirse o ponerse a disposición de terceros países o de organizaciones internacionales exclusivamente a los efectos de prevenir y detectar delitos terroristas y otros delitos graves, y en las condiciones establecidas en el artículo 5, apartado 1, de la presente Decisión, con el consentimiento del Estado miembro que haya introducido los datos en el VIS y de conformidad con la legislación nacional del Estado miembro que transmite los datos o los pone a disposición. Con arreglo a la legislación nacional, los Estados miembros garantizarán que se conservan registros de estas transmisiones y los pondrán a disposición previa petición de las autoridades nacionales de protección de datos. La transmisión de datos por el Estado miembro que los introdujo en el VIS con arreglo al Reglamento (CE) no 767/2008 estará sometida a la legislación nacional del dicho Estado miembro.
5. Controlará la legalidad del tratamiento de los datos de carácter personal con arreglo a la presente Decisión el/los órgano ( s) competente (s) que, conforme a la legislación nacional, esté (n) encargado (s) de la supervisión del tratamiento de los datos de carácter personal. Los Estados miembros garantizarán que dichos órganos dispondrán de los recursos suficientes para cumplir las funciones que tienen asignadas con arreglo a la presente Decisión.
6. El/los órgano (s) a que se refiere el apartado 5 velará (n) por que se realice al menos cada cuatro años una auditoría del tratamiento de los datos de carácter personal con arreglo a la presente Decisión, y en su caso de acuerdo con las normas de auditoría internacionales.
7. Los Estados miembros y Europol permitirán al/a los órgano ( s) competente (s) a que se refieren los apartados 2 y 5 obtener la información necesaria para permitirles llevar a cabo sus tareas de conformidad con el presente artículo.
8. Antes de que se le autorice a procesar datos almacenados en el VIS, el personal de las autoridades que tenga acceso al VIS recibirá la formación adecuada en relación con la seguridad de los datos y las normas de protección de datos y tendrá información respecto de los delitos y las penas pertinentes.
Seguridad de los datos
1. El Estado miembro responsable garantizará la seguridad de los datos durante su transmisión a las autoridades designadas y al recibirlos de estas.
2. Cada Estado miembro adoptará las medidas de seguridad en relación con los datos que deban buscarse en el VIS con arreglo a la presente Decisión y su posterior almacenamiento, en particular para:
a) proteger los datos físicamente, entre otras cosas mediante la elaboración de planes de emergencia para la protección de infraestructuras críticas;
b) prohibir el acceso de las personas no autorizadas a las instalaciones nacionales en que el Estado miembro almacena datos (controles de entrada a la instalación);
c) impedir que los soportes de datos puedan ser leídos, copiados, modificados o retirados por una persona no autorizada (control de los soportes de datos);
d) impedir que puedan conocerse, modificarse o suprimirse sin autorización, datos personales almacenados (control del almacenamiento);
e) impedir el tratamiento no autorizado de datos del VIS (control del procesamiento de datos);
f) garantizar que el personal autorizado para acceder al VIS solo pueda consultar los datos que prevea su autorización de acceso, mediante identificaciones individuales y de utilización única, así como la obligatoriedad de claves de acceso confidenciales (control de acceso a los datos);
g) velar por que todas las autoridades con derecho de acceso al VIS creen perfiles descriptivos de las funciones y responsabilidades de las personas autorizadas para acceder y consultar datos, y pongan estos perfiles sin demora a disposición de las autoridades a que se refiere el artículo 8, apartado 5, a petición de estas (perfiles del personal);
h) garantizar la posibilidad de verificar y comprobar a qué autoridades pueden ser remitidos datos personales a través de las instalaciones de transmisión de datos (control de la transmisión);
i) garantizar la posibilidad de controlar y determinar qué datos han sido extraídos del VIS, en qué momento, por quién y con qué fin (control del registro de datos);
j) impedir la lectura y copia no autorizadas de datos personales durante su transmisión desde el VIS, en particular mediante técnicas adecuadas de criptografiado (control de transporte).
k) hacer un seguimiento de la eficacia de las medidas de seguridad previstas en el presente apartado y adoptar las medidas organizativas necesarias en materia de controles internos para garantizar el cumplimiento de lo dispuesto en la presente Decisión (auditoría interna).
Responsabilidad
1. Cualquier persona o Estado miembro que haya sufrido un daño como consecuencia de una operación de tratamiento ilegal o de un acto incompatible con la presente Decisión tendrá derecho a recibir una indemnización del Estado miembro responsable del daño sufrido. Dicho Estado miembro quedará eximido de su responsabilidad, total o parcialmente, si demuestra que no es responsable del acontecimiento que originó el daño.
2. Si el incumplimiento por un Estado miembro de las obligaciones que le impone la presente Decisión causa daños al VIS, dicho Estado miembro será considerado responsable de los daños, a no ser que otro Estado miembros no hubiese adoptado las medidas adecuadas para impedir que se produjeran dichos daños o para atenuar sus efectos.
3. Las reclamaciones contra un Estado miembro por los daños mencionados en los apartados 1 y 2 estarán sujetas a las disposiciones del Derecho nacional del Estado miembro demandado.
Autocontrol
Los Estados miembros velarán por que toda autoridad habilitada para acceder a los datos del VIS tome las medidas necesarias para dar cumplimiento a la presente Decisión y coopere, en caso necesario, con los órganos nacionales a que se refiere el artículo 8, apartado 5.
Sanciones
Los Estados miembros adoptarán las medidas necesarias para garantizar que cualquier utilización de datos introducidos en el VIS contraria a las disposiciones de la presente Decisión se castigue con sanciones efectivas, proporcionadas y disuasorias, que podrán ser de carácter administrativo o penal.
Conservación de datos del VIS en ficheros nacionales
1. Solo podrán conservarse datos obtenidos del VIS en ficheros nacionales cuando sea menester en un caso determinado de acuerdo con la finalidad del VIS y con arreglo a los objetivos establecidos en la presente Decisión y a las disposiciones jurídicas pertinentes, incluidas las relativas a la protección de datos, y por un plazo no superior al que requiera el caso concreto de que se trate.
2. Lo dispuesto en el apartado 1 se entiende sin perjuicio de las disposiciones de la legislación nacional de un Estado miembro sobre la introducción por sus autoridades designadas en sus ficheros nacionales de datos que ese Estado miembro haya introducido en el VIS con arreglo al Reglamento (CE) no 767/ 2008.
3. Toda utilización de datos que no sea conforme con los apartados 1 y 2 se considerará una desviación de la finalidad con arreglo al Derecho nacional de cada Estado miembro.
Derecho de acceso, corrección y supresión
1. El derecho de toda persona a acceder a los datos que se refieran a ella extraídos del VIS con arreglo a la presente Decisión se ejercerá respetando el derecho del Estado miembro en el que se hubiere invocado tal derecho.
2. Si el Derecho nacional así lo dispone, la autoridad nacional de control decidirá si se facilita información y con arreglo a qué modalidades.
3. Un Estado miembro que no sea el Estado que introdujo los datos en el VIS con arreglo al Reglamento (CE) no 767/2008 no podrá facilitar información relativa a dichos datos, a no ser que previamente hubiere dado al Estado miembro que los introdujo la ocasión de pronunciarse al respecto.
4. Cuando sea indispensable para la ejecución de una medida legal consignada en la descripción o para la protección de los derechos y libertades de terceros, no se comunicará la información a la persona interesada.
5. Toda persona tiene derecho a hacer rectificar datos sobre su persona que contengan errores de hecho o a hacer suprimir datos sobre su persona que contengan errores de derecho. Si las autoridades designadas recibieran una solicitud de este tipo o tuvieran algunas otra prueba que sugiera que los datos introducidos en el VIS son inexactos, informarán inmediatamente a la autoridad encargada de los visados del Estado miembro que introdujo los datos en el VIS, que comprobará los datos de que se trata y, en su caso, los corregirá o suprimirá inmediatamente con arreglo al artículo 21 del Reglamento (CE) no 7672008.
6. Se informará a la persona interesada lo antes posible y en cualquier caso en el plazo máximo de 60 días desde la fecha en que solicitó el acceso, o antes si la legislación nacional así lo dispone.
7. Se informará a la persona interesada lo antes posible del resultado del ejercicio de sus derechos de rectificación y supresión y, en todo caso, en el plazo máximo de tres meses desde la fecha en que solicitó la rectificación o la supresión, o antes si la legislación nacional así lo dispone.
8. En cada Estado miembro, cualquier persona tendrá derecho a incoar una acción o presentar una reclamación ante las autoridades u órganos jurisdiccionales competentes del Estado miembro que haya denegado el derecho de acceso, de corrección o de supresión de datos que se refieran a ella previsto en el presente artículo.
Costes
Cada Estado miembro y Europol crearán y mantendrán a sus expensas la infraestructura técnica necesaria para aplicar la presente Decisión, y serán responsables de sufragar los costes derivados del acceso al VIS para los fines de la presente Decisión.
Registros
1. Cada Estado miembro y Europol velarán por que todas las operaciones de tratamiento de datos derivadas del acceso al VIS para fines de consulta de acuerdo con la presente Decisión queden registradas para comprobar si la consulta es o no admisible, controlar la legalidad del tratamiento de datos, para fines de control interno y para garantizar el correcto funcionamiento del sistema y la integridad y seguridad de los datos.
En el registro se indicarán:
a) el fin exacto de la consulta a que se refiere el artículo 5, apartado 1, letra a), incluido el delito de terrorismo u otro delito grave de que se trate, y, para Europol, el fin exacto del acceso de la consulta mencionada en el artículo 7, apartado 1;
b) el número de referencia nacional respectivo;
c) la fecha y hora exacta de acceso al sistema;
d) en su caso, si se recurrió al procedimiento mencionado en el artículo 4, apartado 2;
e) los datos utilizados para la consulta;
f) los tipos de datos consultados;
g) conforme a las normas nacionales y a las normas del Convenio Europol, la marca identificadora del funcionario que haya realizado la búsqueda y la del funcionario que haya ordenado la búsqueda o la facilitación de datos.
2. Los registros que contengan datos de carácter personal solo se utilizarán para el control de la legalidad del tratamiento de datos, a efectos de protección de datos, y para garantizar la seguridad de los datos. Solo los registros que contengan datos de carácter no personal podrán utilizarse para el control y la evaluación a que se refiere el artículo 17.
3. Los registros se protegerán con medidas adecuadas contra el uso indebido y el acceso no autorizado, y se suprimirán transcurrido un período de un año desde la expiración del período de conservación a que se refiere el artículo 23, apartado 1, del Reglamento (CE) no 767/2008, a menos que sean necesarios para los procedimientos de control mencionados en el apartado 2 del presente artículo y ya iniciados.
Seguimiento y evaluación
1. La Autoridad de Gestión contemplada en el Reglamento (CE) no 767/2008 garantizará el establecimiento de sistemas de control del funcionamiento del VIS con arreglo a la presente Decisión en relación con los objetivos, y ello desde el punto de vista de los resultados, la rentabilidad, la seguridad y la calidad del servicio.
2. A efectos de mantenimiento técnico, la Autoridad de Gestión tendrá acceso a la información necesaria relacionada con las operaciones de tratamiento que se realizan en el VIS.
3. Dos años después de que se ponga en funcionamiento el VIS y cada dos años en lo sucesivo, la Autoridad de Gestión presentará un informe al Parlamento Europeo, al Consejo y a la Comisión sobre el funcionamiento técnico del VIS con arreglo a la presente Decisión. Este informe contendrá información sobre el funcionamiento del VIS con respecto a los indicadores cuantitativos definidos previamente por la Comisión, en particular con respecto a la necesidad y utilización del artículo 4, apartado 2.
4. Tres años después de que se ponga en funcionamiento el VIS y cada cuatro años en lo sucesivo, la Comisión realizará una evaluación global del VIS con arreglo a la presente Decisión. Esta evaluación incluirá un examen de los resultados en comparación con los objetivos y estudiará si los principios que subyacen a la presente Decisión siguen siendo válidos, la aplicación de la presente Decisión con respecto al VIS, la seguridad del VIS y las consecuencias para las operaciones futuras. La Comisión transmitirá los informes de evaluación al Parlamento Europeo y al Consejo.
5. Los Estados miembros y Europol suministrarán a la Autoridad de Control y a la Comisión la información necesaria para elaborar los informes a que se refieren los apartados 3 y 4.
Esta información no deberá nunca poner en peligro los métodos de trabajo ni incluir datos que revelen fuentes, miembros del personal o investigaciones de las autoridades designadas.
6. La Autoridad de Gestión facilitará a la Comisión la información necesaria para realizar las evaluaciones globales a que se refiere el apartado 4.
7. Durante el período transitorio antes de que la Autoridad de Gestión asuma sus funciones, la Comisión será responsable de elaborar y presentar los informes a que se refiere el apartado 3.
Entrada en vigor y aplicación
1. La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
2. La presente Decisión surtirá efecto a partir de la fecha que determine el Consejo, una vez que la Comisión le haya comunicado que el Reglamento (CE) no 767/2008 ha entrado en vigor y es plenamente aplicable.
La Secretaría General del Consejo publicará dicha fecha en el Diario Oficial de la Unión Europea.
Hecho en Luxemburgo, el 23 de junio de 2008.
Por el Consejo
El Presidente
I. JARC
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid