Está Vd. en

Documento DOUE-L-2019-80236

Decisión (UE) 2019/236 de la Comisión, de 7 de febrero de 2019, por la que se establecen normas internas relativas a la comunicación de información a los interesados y a la limitación de algunos de sus derechos en el contexto del tratamiento de datos personales por la Comisión Europea a efectos de la seguridad interna de las instituciones de la Unión.

Publicado en:
«DOUE» núm. 37, de 8 de febrero de 2019, páginas 144 a 149 (6 págs.)
Departamento:
Unión Europea
Referencia:
DOUE-L-2019-80236

TEXTO ORIGINAL

LA COMISIÓN EUROPEA

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 249, apartado 1,

Considerando lo siguiente:

(1)

La Comisión necesita operar en un entorno seguro y protegido. Para ello, necesita un enfoque coherente e integrado en lo que se refiere a su seguridad, que proporcione un nivel adecuado de protección de las personas, los activos y la información acorde con los riesgos detectados y que garantice la seguridad de forma eficaz y oportuna. La Comisión se enfrenta a graves amenazas y desafíos en el ámbito de la seguridad, en particular por lo que se refiere al terrorismo, los ciberataques y el espionaje político y comercial.

(2)

A fin de garantizar la seguridad de las personas, los activos y la información, la Comisión, a través de su Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad, adopta medidas conforme a lo dispuesto en su Decisión (UE, Euratom) 2015/443 (1), que implica el tratamiento de varias categorías de datos personales. Dichas medidas incluyen la realización de comprobaciones de los antecedentes personales, de conformidad con el artículo 7, apartado 5, evaluaciones de amenazas, de conformidad con el artículo 12, e investigaciones de seguridad, con arreglo al artículo 13 de la Decisión (UE, Euratom) 2015/443. En el marco de su mandato de investigación, la Comisión recaba información de interés para la investigación, incluidos datos personales, procedente de diversas fuentes —autoridades públicas y personas físicas— y la intercambia con otras instituciones, órganos y organismos de la Unión, con las autoridades competentes de los Estados miembros y de terceros países y con organizaciones internacionales, antes, en el transcurso y después de la investigación o las actividades de coordinación.

(3)

Las categorías de datos personales tratados por la Comisión son, por ejemplo, datos de identificación, datos de contacto, datos profesionales y datos relacionados con una comprobación de los antecedentes personales, con una evaluación de las amenazas o con una investigación de seguridad, o proporcionados en este contexto. Los datos personales se almacenan en un entorno electrónico seguro, para impedir el acceso ilícito a los datos o su transferencia ilícita a personas ajenas a la Comisión. Los datos personales se conservan en los servicios de la Comisión responsables de la investigación hasta que esta finalice. A las distintas actividades de tratamiento se les aplican diferentes períodos de conservación, en función de la categoría de la investigación, pudiendo tratarse de casos de presunción de infracción penal, contrainteligencia o lucha contra el terrorismo. Al final del período de conservación, se elimina la información relacionada con el caso, incluidos los datos personales (2).

(4)

En el ejercicio de sus funciones, la Comisión, como responsable del tratamiento, está obligada a respetar los derechos de las personas físicas en relación con el tratamiento de datos personales reconocidos en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea, así como los derechos previstos en el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (3). Al mismo tiempo, la Comisión está obligada a respetar las estrictas normas de confidencialidad establecidas en el artículo 9 de la Decisión (UE, Euratom) 2015/443.

(5)

En determinadas circunstancias es necesario conciliar los derechos de los interesados en virtud del Reglamento (UE) 2018/1725 con la necesidad de que la Comisión desempeñe efectivamente sus funciones de garantizar la seguridad de las personas, los activos y la información en la Comisión con arreglo a la Decisión (UE, Euratom) 2015/443, en particular sus investigaciones de seguridad, y respetando plenamente los derechos y libertades fundamentales de otros interesados. A tal efecto, el artículo 25, apartado 1, letras c), d) y h), del Reglamento (UE) 2018/1725 ofrece a la Comisión la posibilidad de limitar la aplicación de los artículos 14 a 17, 19, 20 y 35 y del principio de transparencia establecido en el artículo 4, apartado 1, letra a), en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 17, 19 y 20 de dicho Reglamento.

(6)

A fin de garantizar que la Comisión desempeñe efectivamente sus funciones de garantizar la seguridad de las personas, los activos y la información en la Comisión con arreglo a la Decisión (UE, Euratom) 2015/443, en particular sus investigaciones de seguridad, respetando al mismo tiempo las normas de protección de los datos personales en virtud del Reglamento (UE) 2018/1725, es necesario adoptar normas internas con arreglo a las cuales la Comisión pueda limitar los derechos de los interesados de conformidad con el artículo 25, apartado 1, letras c), d) y h), del Reglamento (UE) 2018/1725.

(7)

Dichas normas internas deben abarcar todas las operaciones de tratamiento efectuadas por la Comisión en el ejercicio de sus funciones destinadas a garantizar la seguridad de las personas, los activos y la información en la Comisión con arreglo a lo dispuesto en la Decisión (UE, Euratom) 2015/443, en particular su función de investigación en el ámbito de la seguridad. Dichas normas deben aplicarse a las operaciones de tratamiento efectuadas antes de la apertura de una investigación, durante la misma y durante la supervisión del seguimiento de su resultado.

(8)

Con el fin de cumplir lo dispuesto en los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725, la Comisión debe informar a todas las personas de las actividades que lleve a cabo e impliquen el tratamiento de sus datos personales y de sus derechos, de manera transparente y coherente, mediante un anuncio de protección de datos publicado en el sitio web de la Comisión.

(9)

Además, la Comisión debe informar individualmente, en un formato adecuado, a los interesados implicados en una investigación de seguridad, es decir, a las personas afectadas y a los testigos. Por otra parte, la Comisión debe informar individualmente a las personas cuyos datos sean tratados en el contexto de las medidas de seguridad adoptadas en virtud del artículo 7, apartado 5, y del artículo 12, apartado 1, letras d) y e), de la Decisión (UE, Euratom) 2015/443, en concreto, en los registros en los locales de la Comisión y en los sistemas y equipos de comunicación e información.

(10)

Sobre la base del artículo 25 del Reglamento (UE) 2018/1725, puede ser necesario que la Comisión limite el suministro de información a los interesados y el ejercicio de otros derechos de los interesados con el fin de proteger, en particular, una investigación de seguridad, sus herramientas y métodos de investigación, las investigaciones y los procedimientos de seguridad de otras autoridades públicas, así como los derechos de otras personas relacionadas con dichas investigaciones o procedimientos.

(11)

En algunos casos, el hecho de facilitar información concreta a los interesados o revelar la existencia de una investigación o de medidas de seguridad adoptadas en virtud del artículo 12, apartado 1, letras d) y e), de la Decisión (UE, Euratom) 2015/443, a saber, registros en los locales de la Comisión y en los sistemas y equipos de comunicación e información, podría imposibilitar u obstaculizar gravemente el objetivo de la investigación y la capacidad de la Comisión para garantizar su seguridad y, en particular, llevar a cabo eficazmente investigaciones de seguridad en el futuro.

(12)

Además, con el fin de mantener una cooperación eficaz, tal como se contempla en el artículo 17, apartados 2 y 3 de la Decisión (UE, Euratom) 2015/443, puede ser necesario que la Comisión limite la aplicación de los derechos de los interesados a fin de proteger las operaciones de tratamiento de otras instituciones, órganos y organismos de la Unión, o de las autoridades competentes de los Estados miembros. A tal efecto, la Comisión debe consultar a las instituciones, órganos y organismos y autoridades sobre los motivos pertinentes para imponer limitaciones y sobre la necesidad y proporcionalidad de las mismas.

(13)

La Comisión también puede tener que limitar la comunicación de información a los interesados y la aplicación de otros derechos de los mismos en lo que respecta a los datos personales recibidos de terceros países u organizaciones internacionales, a fin de cumplir su obligación de cooperar con dichos países u organizaciones, salvaguardando, de este modo, un importante objetivo de interés público general de la Unión. Sin embargo, en determinadas circunstancias los intereses o los derechos fundamentales del interesado pueden prevalecer sobre el interés de la cooperación internacional.

(14)

 

 

(15)

La Comisión debe tratar todas las limitaciones de manera transparente y registrar cada aplicación de limitaciones en el sistema de registro correspondiente.

 

De conformidad con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, los responsables del tratamiento pueden aplazar, omitir o denegar la comunicación de información sobre los motivos que justifican la aplicación de una limitación al interesado si el hecho de proporcionar esta información pusiera en peligro de algún modo la finalidad de la limitación. Así sucede, en particular, en el caso de las limitaciones a los derechos previstos en los artículos 16 y 35 del Reglamento (UE) 2018/1725.

(16)

La Comisión debe revisar periódicamente las limitaciones impuestas con el fin de garantizar que los derechos de los interesados a ser informados de conformidad con los artículos 16 y 35 del Reglamento (UE) 2018/1725 estén limitados únicamente en la medida en que tales limitaciones sean necesarias para que la Comisión pueda garantizar su seguridad y, en particular, realizar sus investigaciones de seguridad.

(17)

 

 

(18)

 

 

(19)

Cuando se limiten otros derechos de los interesados, el responsable del tratamiento debe evaluar, caso por caso, si la comunicación de la limitación podría poner en peligro su finalidad.

 

El responsable de la protección de datos de la Comisión debe realizar una revisión independiente de la aplicación de las limitaciones, a fin de garantizar el cumplimiento de la presente Decisión.

 

El Supervisor Europeo de Protección de Datos emitió su dictamen el 10 de diciembre de 2018.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto y ámbito de aplicación

1.   La presente Decisión establece las normas que debe seguir la Comisión para informar a los interesados acerca del tratamiento de sus datos de conformidad con los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725 en el ejercicio de todas sus funciones de conformidad con la Decisión (UE, Euratom) 2015/443.

Asimismo, establece las condiciones en las que la Comisión puede limitar la aplicación de los artículos 4, 14 a 17, 19, 20 y 35 del Reglamento (UE) 2018/1725, de conformidad con el artículo 25, apartado 1, letras c), d) y h), de dicho Reglamento.

2.   La presente Decisión se aplica al tratamiento de datos personales por la Comisión a efectos de las actividades realizadas para garantizar la seguridad de las personas, los activos y la información en la Comisión con arreglo a lo dispuesto en la Decisión (UE, Euratom) 2015/443, o en relación con dichas actividades.

Artículo 2

Excepciones y limitaciones aplicables

1.   Cuando la Comisión ejerza sus funciones con respecto a los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

2.   Sin perjuicio de los artículos 3 a 7 de la presente Decisión, la Comisión podrá limitar la aplicación de los artículos 14 a 17, 19, 20 y 35 del Reglamento (UE) 2018/1725, y del principio de transparencia establecido en el artículo 4, apartado 1, letra a), de este Reglamento, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 17, 19 y 20 del Reglamento (UE) 2018/1725, cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda poner en peligro la seguridad interna de las instituciones, órganos y organismos de la Unión, incluidas sus redes de comunicaciones electrónicas, en particular revelando sus herramientas y métodos de investigación en el contexto de investigaciones de seguridad, o pueda afectar negativamente a los derechos y libertades de otros interesados.

3.   Sin perjuicio de los artículos 3 a 7, la Comisión podrá limitar los derechos y obligaciones a que se refiere el apartado 2 del presente artículo en lo que respecta a los datos personales obtenidos de otras instituciones, órganos y organismos de la Unión, de autoridades competentes de los Estados miembros o terceros países o de organizaciones internacionales, en las siguientes circunstancias:

a) cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda verse limitado por otras instituciones, órganos y organismos de la Unión, sobre la base de otros actos previstos en el artículo 25 del Reglamento (UE) 2018/1725, o de conformidad con el capítulo IX de dicho Reglamento, o de conformidad con el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (4) o con el Reglamento (UE) 2017/1939 del Consejo (5);

b) cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda verse limitado por parte de las autoridades competentes de los Estados miembros sobre la base de los actos a que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (6), o con arreglo a las medidas nacionales de transposición del artículo 13, apartado 3, del artículo 15, apartado 3, o del artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (7);

c) cuando el ejercicio de tales derechos y el cumplimiento de esas obligaciones pueda poner en peligro la cooperación de la Comisión con terceros países u organizaciones internacionales en lo que respecta al intercambio de información sobre posibles amenazas asociadas a la contrainteligencia y la lucha contra el terrorismo y en el ámbito de sus investigaciones de seguridad.

Antes de aplicar limitaciones en las circunstancias señaladas en las letras a) y b) del párrafo primero, la Comisión deberá consultar a las instituciones, órganos y organismos de la Unión pertinentes o a las autoridades competentes de los Estados miembros, a menos que para la Comisión resulte evidente que la aplicación de una limitación está prevista en uno de los actos a que se hace referencia en dichas letras, o que dicha consulta pueda poner en peligro el objetivo de sus actividades en virtud de la Decisión (UE, Euratom) 2015/443.

La letra c) del párrafo primero del presente apartado no se aplicará cuando sobre el interés de la Comisión en cooperar con los terceros países o las organizaciones internacionales prevalezcan los intereses o los derechos y libertades fundamentales de los interesados.

4.   Los apartados 1, 2 y 3 se entenderán sin perjuicio de la aplicación de otras decisiones de la Comisión por las que se establezcan normas internas sobre la comunicación de información a los interesados y la limitación de determinados derechos en virtud del artículo 25 del Reglamento (UE) 2018/1725 y del artículo 23 del Reglamento interno de la Comisión.

Artículo 3

Comunicación de información a los interesados

1.   La Comisión publicará en su sitio web anuncio relativos a la protección de datos que informen a todos los interesados de sus actividades relacionadas con el tratamiento de sus datos personales que lleve a cabo para desempeñar sus funciones de conformidad con la Decisión (UE, Euratom) 2015/443.

2.   La Comisión informará individualmente a los testigos y a las personas afectadas por una investigación de seguridad sobre el tratamiento de sus datos personales en un formato adecuado. Asimismo, informará individualmente a las personas cuyos datos se traten en el contexto de las medidas de seguridad adoptadas en virtud del artículo 7, apartado 5, y del artículo 12, apartado 1, letras d) y e), de la Decisión (UE, Euratom) 2015/443, en particular en los registros en los locales de la Comisión y en los sistemas y equipos de comunicación e información.

3.   Cuando la Comisión limite, total o parcialmente, la comunicación de información a los interesados a que se refiere el apartado 2 del presente artículo, consignará y registrará los motivos de la limitación de conformidad con el artículo 6 de la presente Decisión.

Artículo 4

Derecho de acceso de los interesados, derecho de supresión y derecho a la limitación del tratamiento

1.   Cuando la Comisión limite, total o parcialmente, el derecho de acceso a los datos por parte del interesado, el derecho de supresión o el derecho a la limitación del tratamiento, contemplados en los artículos 17, 19 y 20, respectivamente, del Reglamento (UE) 2018/1725, informará al interesado, en su respuesta a la petición de acceso, supresión o limitación del tratamiento, de la limitación aplicada y de las principales motivos de la misma, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer recurso judicial ante el Tribunal de Justicia de la Unión Europea.

2.   La comunicación de información sobre los motivos de la limitación contemplada en el apartado 1 del presente artículo podrá aplazarse, omitirse o denegarse en la medida en que pueda poner en peligro el objetivo de la limitación.

3.   La Comisión consignará y registrará los motivos de la limitación conforme a lo dispuesto en el artículo 6 de la presente Decisión.

4.   Cuando el derecho de acceso se limite total o parcialmente, el interesado podrá ejercer su derecho de acceso a través de la mediación del Supervisor Europeo de Protección de Datos, de conformidad con el artículo 25, apartados 6, 7 y 8, del Reglamento (UE) 2018/1725.

Artículo 5

Comunicación de violaciones de la seguridad de los datos personales a los interesados

Cuando la Comisión limite la comunicación al interesado de una violación de la seguridad de los datos personales, a que se refiere el artículo 35 del Reglamento (UE) 2018/1725, consignará y registrará los motivos de la limitación conforme a lo dispuesto en el artículo 6 de la presente Decisión.

Artículo 6

Consignación y registro de las limitaciones

1.   La Comisión consignará los motivos de cualquier limitación aplicada con arreglo a la presente Decisión, incluida la evaluación de la necesidad y proporcionalidad de la limitación, teniendo en cuenta los aspectos pertinentes previstos en el artículo 25, apartado 2, del Reglamento (UE) 2018/1725.

Para ello, la consignación indicará de qué modo el ejercicio del derecho podría poner en peligro el objetivo de las tareas de la Comisión con arreglo a la Decisión (UE, Euratom) 2015/443, o de las limitaciones aplicadas de conformidad con el artículo 2, apartados 2 o 3, o podría afectar negativamente a los derechos y libertades de otros interesados.

2.   La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.

Artículo 7

Duración de las limitaciones

1.   Las limitaciones contempladas en los artículos 3, 4 y 5 de la presente Decisión seguirán siendo aplicables mientras lo sigan siendo los motivos que las justifiquen.

2.   Cuando dejen de ser aplicables los motivos que justifiquen una limitación prevista en los artículos 3 o 5 de la presente Decisión, la Comisión suspenderá la limitación y comunicará los motivos de la misma al interesado. Al mismo tiempo, la Comisión informará al interesado sobre la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.

3.   La Comisión revisará la aplicación de las limitaciones a que se refieren los artículos 4 y 6 cada seis meses a partir de su aplicación y al cierre de la investigación en cuestión. Posteriormente, la Comisión evaluará cada año la necesidad de mantener cualquier limitación o aplazamiento.

Artículo 8

Revisión por parte del responsable de la protección de datos

1.   El responsable de la protección de datos de la Comisión será informado, sin demora injustificada, cada vez que se limiten los derechos de los interesados con arreglo a lo dispuesto en la presente Decisión. A petición del responsable de la protección de datos, se facilitará al mismo el acceso a las consignaciones y a todos los documentos que contengan los elementos de hecho y de Derecho subyacentes.

2.   El responsable de la protección de datos de la Comisión podrá solicitar que se revise la limitación. El responsable de la protección de datos será informado sobre el resultado de la revisión solicitada.

3.   Los intercambios de información con el responsable de la protección de datos a lo largo de todo el procedimiento se consignarán en la forma adecuada.

Artículo 9

La presente Decisión entrará en vigor el tercer día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 7 de febrero de 2019.

Por la Comisión

El Presidente

Jean-Claude JUNCKER

 

 

 

(1)  Decisión (UE, Euratom) 2015/443 de la Comisión, de 13 de marzo de 2015, sobre la seguridad en la Comisión (DO L 72 de 17.3.2015, p. 41).

(2)  La conservación de los expedientes en la Comisión está regulada por la Lista común de conservación, documento normativo cuya última versión es el documento SEC(2012) 713, en forma de calendario de conservación que establece los períodos de conservación de los distintos tipos de expedientes de la Comisión.

(3)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(4)  Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).

(5)  Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1).

(6)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(7)  Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

ANÁLISIS

Referencias anteriores
  • DE CONFORMIDAD con los arts. 14, 15 y 16 del Reglamento 2018/1725, de 23 de octubre (Ref. DOUE-L-2018-81849).
Materias
  • Acceso a la información
  • Comunicaciones electrónicas
  • Derechos de los ciudadanos
  • Derechos fundamentales
  • Información
  • Organismo y agencia CE
  • Protección de datos personales
  • Supervisor Europeo de Protección de Datos
  • Unión Europea

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid