Articulo 25 Cooperación administrativa en el ámbito de la fiscalidad

1. Todos los intercambios de información en virtud de la presente Directiva estarán sometidos al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (*2).No obstante, los Estados miembros limitarán, a efectos de la correcta aplicación de la presente Directiva, el alcance de las obligaciones y derechos previstos en el artículo 13, el artículo 14, apartado 1, y el artículo 15 del Reglamento (UE) 2016/679 en la medida necesaria para salvaguardar los intereses a que se refiere el artículo 23, apartado 1, letra e), de dicho Reglamento.

2. El Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (*3) será de aplicación a todo tratamiento de datos personales con arreglo a la presente Directiva por las instituciones, órganos y organismos de la Unión. No obstante, a efectos de la correcta aplicación de la presente Directiva, el alcance de las obligaciones y derechos previstos en el artículo 15, el artículo 16, apartado 1, y los artículos 17 a 21 del Reglamento (UE) 2018/1725 se limitará en la medida necesaria para salvaguardar los intereses a que se refiere el artículo 25, apartado 1, letra c), de dicho Reglamento.

3. Las “instituciones financieras obligadas a comunicar información”, los intermediarios, los “operadores de plataformas obligados a comunicar información”, los “proveedores de servicios de criptoactivos obligados a comunicar información” y las autoridades competentes de los Estados miembros se considerarán responsables del tratamiento de los datos, ya actúen por sí solos o conjuntamente. Cuando la Comisión trate datos personales a efectos de la presente Directiva, se considerará que lo hace en nombre de los responsables del tratamiento y cumplirá los requisitos aplicables a los encargados del tratamiento que se exigen en el Reglamento (UE) 2018/1725. El tratamiento se regirá por un contrato en el sentido del artículo 28, apartado 3, del Reglamento (UE) 2016/679 y del artículo 29, apartado 3, del Reglamento (UE) 2018/1725.

4. No obstante lo dispuesto en el apartado 1, cada Estado miembro garantizará que toda “institución financiera obligada a comunicar información”, todo intermediario, todo “operador de plataforma obligado a comunicar información” o todo “proveedor de servicios de criptoactivos obligado a comunicar información”, según sea el caso, que se encuentre bajo su jurisdicción:

a) comunique a toda persona física interesada que la información sobre ella será recopilada y transmitida de conformidad con la presente Directiva, y

b) proporcione a toda persona física interesada toda la información que esta tenga derecho a recibir del responsable del tratamiento de los datos con suficiente antelación para que pueda ejercer su derecho a la protección de sus datos personales y, en cualquier caso, antes de que la información sea comunicada.

No obstante lo dispuesto en la letra b) del párrafo primero, cada Estado miembro establecerá normas que obliguen a los "operadores de plataforma obligados a comunicar información" a informar a los "vendedores sujetos a comunicación de información" de la "contraprestación" comunicada.

5. La información tratada de conformidad con la presente Directiva se conservará durante un período de tiempo no superior al necesario para lograr los fines de la presente Directiva, y, en cualquier caso, de conformidad con la normativa nacional en materia de plazos aplicable a cada responsable del tratamiento de datos.

6. Todo Estado miembro en el que se haya producido una violación de la seguridad de los datos notificará sin demora a la Comisión la violación y toda medida correctora posterior. La Comisión informará sin demora a todos los Estados miembros de la violación de la seguridad de los datos que le haya sido notificada o de la que tenga conocimiento, así como de toda medida correctora.

Cada Estado miembro podrá suspender el intercambio de información con el Estado o Estados miembros en los que se haya producido la violación de la seguridad de los datos notificándolo por escrito a la Comisión y al Estado o Estados miembros afectados. Dicha suspensión tendrá efecto inmediato.

El Estado o Estados miembros en los que se haya producido la violación de la seguridad de los datos investigarán, contendrán y subsanarán la violación de la seguridad de los datos, y solicitarán, notificándolo por escrito a la Comisión, la suspensión del acceso a la CCN a efectos de la presente Directiva, si la violación de la seguridad de los datos no se puede detener de forma inmediata y adecuada. De mediar tal solicitud, la Comisión suspenderá el acceso a la CCN de tal Estado o Estados miembros a efectos de la presente Directiva.

Tras la notificación por parte del Estado miembro en el que se haya producido la violación de la seguridad de los datos de la subsanación de dicha violación, la Comisión reanudará el acceso a la CCN del Estado o Estados miembros afectados a efectos de la presente Directiva. En caso de que uno o varios Estados miembros soliciten a la Comisión que se verifique conjuntamente si se ha subsanado correctamente la violación, la Comisión reanudará el acceso a la CCN de dicho Estado o Estados miembros a efectos de la presente Directiva tras dicha verificación.

Cuando se produzca una violación de la seguridad de los datos en el directorio central o en la CCN a efectos de la presente Directiva y cuando puedan verse afectados los intercambios de los Estados miembros a través de la CCN, la Comisión informará sin demora injustificada a los Estados miembros de la violación de la seguridad de los datos y de toda medida correctora adoptada. Dichas medidas correctoras podrán consistir en la suspensión del acceso al directorio central o a la CCN a efectos de la presente Directiva hasta que se subsane la violación de la seguridad de los datos.

7. Los Estados miembros, asistidos por la Comisión, acordarán las modalidades prácticas necesarias para la aplicación del presente artículo, en particular los procesos de gestión de las violaciones de la seguridad de los datos que se ajusten a las buenas prácticas reconocidas internacionalmente y, cuando proceda, un acuerdo conjunto entre responsables del tratamiento de datos, un acuerdo entre encargados del tratamiento de datos y responsables del tratamiento de datos, o modelos de dichos acuerdos.

(*2) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(*3) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).