En lo que a protección de datos se refiere el art. 66 del RSIS señala expresamente que resulta de aplicación al SIS II la normativa siguiente:

El Reglamento (UE) 2016/679 (en adelante RGPD) será aplicable al tratamiento de datos personales realizado por las autoridades y servicios nacionales competentes, excepto el tratamiento para fines de prevención, detección, investigación o enjuiciamiento de delitos, o de ejecución de sanciones penales, incluida la protección frente a amenazas para la seguridad pública y la prevención de estas, en cuyo caso será de aplicación la Directiva (UE) 2016/680.

Se reconoce, en el art. 67 RSIS, a los interesados la posibilidad de ejercer los derechos que les asisten remitiéndose en este sentido a los artículos 15, 16 y 17 del RGPD y del artículo 14 y artículo 16, apartados 1 y 2, de la Directiva (UE) 2016/680.

Un Estado miembro que no sea el Estado miembro emisor podrá facilitar al interesado información relativa a cualquiera de los datos personales del interesado que estén siendo tratados, únicamente si ha dado antes al Estado miembro emisor ocasión de pronunciarse al respecto. La comunicación entre esos Estados miembros tendrá lugar mediante el intercambio de información complementaria (art. 67.2 RSIS).

Tras ser presentada una solicitud de acceso, rectificación o supresión, el Estado miembro informará al interesado lo antes posible y, en todo caso, dentro de los plazos a que se refiere el art. 12, apartado 3, del RGPD.

Los Estados miembros tomarán, de conformidad con el Derecho nacional, la decisión de no facilitar la información al interesado, en su totalidad o en parte, en la medida en que dicha limitación total o parcial sea una medida necesaria y proporcionada en una sociedad democrática, y la mantendrán mientras siga siéndolo, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos del interesado, con el fin de:

a) evitar la obstrucción de procedimientos de instrucción, investigaciones o procedimientos judiciales o administrativos.

b) no comprometer la prevención, detección, investigación o enjuiciamiento de delitos o la ejecución de sanciones penales.

c)  proteger la seguridad pública.

d)  proteger la seguridad nacional.

e) proteger los derechos y libertades de otras personas.

El Estado miembro debe informar al interesado por escrito, sin dilaciones indebidas, de cualquier denegación o restricción del acceso y de los motivos de la denegación o restricción.

Incidencias de Seguridad

Cualquier acontecimiento que repercuta o pueda repercutir en la seguridad del SIS o pueda causar daños o pérdidas de datos del SIS o de información complementaria será considerado un incidente de seguridad, especialmente cuando se haya podido producir un acceso ilegal a los datos o cuando se haya puesto o se haya podido poner en peligro la disponibilidad, integridad y confidencialidad de estos. (ar. 60 RSIS).

Los incidentes de seguridad se gestionarán de tal modo que se garantice una respuesta rápida, efectiva y adecuada.

Sin perjuicio de la notificación y comunicación de cualquier violación de la seguridad de los datos personales de conformidad con el artículo 33 del Reglamento (UE) 2016/679 o con el artículo 30 de la Directiva (UE) 2016/680, los Estados miembros, Europol, Eurojust y la Agencia Europea de la Guardia de Fronteras y Costas notificarán sin demora a la Comisión, a eu-LISA, a la autoridad de control competente y al Supervisor Europeo de Protección de Datos los incidentes de seguridad que se produzcan.

Plazos de conservación

El art. 53 RSIS se dedica al plazo de revisión de las descripciones sobre las personas.

Pues bien, la norma general es que las descripciones sobre personas se conservarán solo durante el tiempo necesario para alcanzar los fines para los que hayan sido introducidas (art. 53.1 RSIS).

Se establecen diferentes plazos que van desde 1 año a los 5 años para su revisión, dependiendo las categorías de datos tratadas. Si bien, esos plazos son precisamente para eso, para su revisión.

En este sentido el Estado miembro emisor podrá decidir, tras una evaluación completa del caso concreto, de la que deberá quedar constancia, que se conserve la descripción sobre una persona durante un período de tiempo más largo que el de revisión, cuando ello sea necesario y proporcionado para los fines que motivaron la introducción de la descripción.

Desde el momento en que una oficina SIRENE (una infraestructura de comunicación entre el sistema central y el sistema nacional, que provee una red virtual codificada dedicada a los datos del SIS II y el intercambio de datos entre las autoridades responsables de suministrar toda la información complementaria) tiene constancia de que una descripción sobre una persona ha cumplido su objetivo y, por consiguiente, debe suprimirse, lo notificará inmediatamente a la autoridad que haya creado la descripción. La autoridad dispondrá de quince días naturales desde la recepción de esa notificación para indicar que la descripción se ha suprimido o se suprimirá, o para justificar su conservación. Si no se recibiese ninguna respuesta antes de expirar el plazo de quince días, la oficina SIRENE se asegurará de que se suprima la descripción.

Supervisión por las autoridades de control

El art. 69 RSIS dota de competencia en este sentido a la Agencia Española de Protección de Datos para verificar la legalidad del tratamiento de datos personales del SIS en su territorio, velando por que se lleve a cabo una auditoría al menos cada cuatro años bien por la propia autoridad de control o bien encargando directamente por estas a un auditor independiente especializado en protección de datos.

Por otro lado, las autoridades de control y el Supervisor Europeo de Protección de Datos, dentro de sus respectivos ámbitos de competencia:

a) intercambiarán la información pertinente.

b) se asistirán mutuamente en la realización de inspecciones y auditorías.

c) examinarán las dificultades de interpretación y aplicación del RSIS y otros actos jurídicos aplicables de la UE.

d) estudiarán los problemas que se planteen en el ejercicio del control independiente o al ejercer sus derechos los interesados.

e) elaborarán propuestas armonizadas para hallar soluciones comunes a los problemas.

f) y fomentarán el conocimiento de los derechos en materia de protección de datos, en la medida necesaria.

Las autoridades de control y el Supervisor Europeo de Protección de Datos se reunirán al menos dos veces al año en el marco del Comité Europeo de Protección de Datos, que enviará anualmente al Parlamento Europeo, al Consejo y a la Comisión un informe conjunto de actividades en lo que respecta a la supervisión coordinada.

Si bien es cierto que este sistema persigue garantizar un alto nivel de seguridad dentro del espacio de libertad, seguridad y justicia de la Unión Europea, en lo que a protección de datos se refiere y como titulares de nuestros datos podemos pedir el acceso a los mismos poniéndonos en contacto con la autoridad competente de cualquier Estado del espacio Schengen (en general, será la autoridad nacional de protección de datos personales), o a través del consulado de un estado de Schengen en el país en el que residamos.