Articulo 36 Protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penal
Artículo 36. Transferencias basadas en una decisión de adecuación
1. Los Estados miembros dispondrán que pueda realizarse una transferencia de datos personales a un tercer país o una organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.
2. Al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta, en particular, los elementos siguientes:
a) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluidas la seguridad pública, la defensa, la seguridad nacional, el Derecho penal y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de los datos, las normas profesionales y las medidas de seguridad, incluidas las normas para las transferencias ulteriores de datos personales a otro tercer país u organización internacional que se apliquen en el tercer país o en la organización internacional en cuestión, la jurisprudencia, así como los derechos del interesado efectivos y exigibles y un derecho de recurso administrativo y judicial efectivo de los interesados cuyos datos personales son transferidos;
b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las que esté sujeta una organización internacional, con la responsabilidad de garantizar y ejecutar el cumplimiento de las normas en materia de protección de datos, incluidos los poderes ejecutivos adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos y de cooperar con las autoridades de control de los Estados miembros, y
c) los compromisos internacionales asumidos por el tercer país o la organización internacional correspondiente, u otras obligaciones que deriven de convenios o instrumentos jurídicamente vinculantes o de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de datos personales.
3. La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del presente artículo. El acto de ejecución contendrá un mecanismo para su revisión periódica, como mínimo cada cuatro años, que tendrá en cuenta todos los acontecimientos que sean de interés en el tercer país u organización internacional. El acto de ejecución especificará su ámbito de aplicación territorial y sectorial y, cuando proceda, determinará cuál es la autoridad o autoridades de control a que se refiere el apartado 2, letra b), del presente artículo. El acto de ejecución se adoptará con arreglo al procedimiento de examen contemplado en el artículo 58, apartado 2.
4. La Comisión supervisará de forma permanente los acontecimientos en los terceros países y organizaciones internacionales que pudiesen afectar al funcionamiento de las decisiones adoptadas en virtud del apartado 3.
5. Cuando así lo revele la información disponible, en particular a raíz de la revisión prevista en el apartado 3 del presente artículo, la Comisión podrá decidir que un tercer país, o uno o más sectores específicos en ese tercer país, o una organización internacional han dejado de garantizar un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del presente artículo y podrá, en caso necesario, derogar, modificar o suspender la decisión a que se refiere el apartado 3 del presente artículo, mediante actos de ejecución, sin efecto retroactivo. Dichos actos de ejecución se adoptarán de acuerdo con el procedimiento de examen contemplado en el artículo 58, apartado 2.
Por razones imperiosas de urgencia debidamente justificadas, la Comisión adoptará actos de ejecución inmediatamente aplicables de conformidad con el procedimiento contemplado en el artículo 58, apartado 3.
6. La Comisión entablará consultas con el tercer país o la organización internacional con vistas a poner remedio a la situación que haya originado la decisión adoptada de conformidad con lo dispuesto en el apartado 5.
7. Los Estados miembros dispondrán que toda decisión de conformidad con lo dispuesto en el apartado 5 del presente artículo se entienda sin perjuicio de las transferencias de datos personales al tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o a la organización internacional de que se trate en virtud de lo dispuesto en los artículos 37 y 38.
8. La Comisión publicará en el Diario Oficial de la Unión Europea y en su página web una lista de los terceros países, territorios y sectores específicos en un tercer país, y de las organizaciones internacionales para los que haya decidido que sigue o no garantizado un nivel de protección adecuado.