LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vista la Directiva 2001/95/CE del Parlamento Europeo y del Consejo, de 3 de diciembre de 2001, relativa a la seguridad general de los productos (1), y en particular su artículo 11, apartado 1, párrafo tercero, y el punto 8 de su anexo II,
Visto el Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) n.o 765/2008 y (UE) n.o 305/2011 (2), y en particular su artículo 20,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (3), y en particular su artículo 28, apartado 1,
Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (4), y en particular su artículo 26, apartado 1,
Previa consulta al Comité establecido en virtud del artículo 15, apartado 1, de la Directiva 2001/95/CE,
Previa consulta al Supervisor Europeo de Protección de Datos, de conformidad con el artículo 42 del Reglamento (UE) 2018/1725,
Considerando lo siguiente:
(1) La Decisión de Ejecución (UE) 2019/417 de la Comisión (5) establece directrices para la gestión del Sistema de Intercambio Rápido de Información de la Unión Europea, «RAPEX», creado en virtud del artículo 12 de la Directiva 2001/95/CE, y su sistema de notificación.
(2) El artículo 28 del Reglamento (UE) 2018/1725 establece que, cuando dos o más responsables del tratamiento determinen conjuntamente los objetivos y medios del tratamiento, deben considerarse corresponsables del tratamiento. Las responsabilidades respectivas de los corresponsables del tratamiento pueden determinarse mediante normas de la UE, en particular en lo que se refiere al ejercicio de los derechos de los interesados y al cumplimiento por parte de aquellos de la obligación de facilitar información que les imponen los artículos 15 y 16 del Reglamento (UE) 2018/1725.
(3) El artículo 26 del Reglamento (UE) 2016/679 establece que, cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento de datos personales, deben considerarse corresponsables del tratamiento. Las responsabilidades respectivas de los corresponsables del tratamiento pueden determinarse por medio de normas de la UE, en particular en lo que se refiere al ejercicio de los derechos de los interesados y al cumplimiento por parte de aquellos de la obligación de facilitar información que les imponen los artículos 13 y 14 del Reglamento (UE) 2016/679.
(4) La Comisión y las autoridades nacionales actúan como corresponsables del tratamiento de los datos en el sistema Safety Gate/RAPEX.
(5) Es necesario fijar las respectivas funciones, responsabilidades y acuerdos entre la Comisión y las autoridades nacionales como corresponsables del tratamiento de conformidad con el artículo 28 del Reglamento (UE) 2018/1725 y el artículo 26 del Reglamento (UE) 2016/679.
(6) Procede, por tanto, modificar la Decisión de Ejecución (UE) 2019/417 en consecuencia.
HA ADOPTADO LA PRESENTE DECISIÓN:
La Decisión de Ejecución (UE) 2019/417 se modifica como sigue:
1) El artículo 1 se sustituye por el texto siguiente:
«Artículo 1
1. Las directrices para la gestión del Sistema de Intercambio Rápido de Información de la Unión Europea, «RAPEX», creado en virtud del artículo 12 de la Directiva 2001/95/CE, y su sistema de notificación figuran en el anexo I de la presente Decisión.
2. El régimen de corresponsabilidad respecto del Sistema de Intercambio Rápido de Información de la Unión Europea, «RAPEX», figura en el anexo II de la presente Decisión.».
2) El anexo pasa a titularse «anexo I».
3) Se añade el anexo II tal como figura en el anexo de la presente Decisión.
Los destinatarios de la presente Decisión son los Estados miembros.
Hecho en Bruselas, el 15 de mayo de 2023.
Por la Comisión
Didier REYNDERS
Miembro de la Comisión
(1) DO L 11 de 15.1.2002, p. 4.
(2) DO L 169 de 25.6.2019, p. 1.
(3) DO L 295 de 21.11.2018, p. 39.
(4) DO L 119 de 4.5.2016, p. 1.
(5) Decisión de Ejecución (UE) 2019/417 de la Comisión, de 8 de noviembre de 2018, por la que se establecen directrices para la gestión del Sistema de Intercambio Rápido de Información de la Unión Europea, «RAPEX», creado en virtud del artículo 12 de la Directiva 2001/95/CE, relativa a la seguridad general de los productos, y su sistema de notificación (DO L 73 de 15.3.2019, p. 121).
«ANEXO II
RÉGIMEN DE CORRESPONSABILIDAD RESPECTO DEL SISTEMA DE INTERCAMBIO RÁPIDO DE INFORMACIÓN DE LA UNIÓN EUROPEA (“RAPEX”), CREADO EN VIRTUD DEL ARTÍCULO 12 DE LA DIRECTIVA 2001/95/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO (1) (DIRECTIVA SOBRE SEGURIDAD GENERAL DE LOS PRODUCTOS)
1. Objeto y descripción del tratamiento
La aplicación Safety Gate/RAPEX es un sistema de notificación que sirve para el intercambio rápido de información entre las autoridades nacionales de los Estados miembros, los tres Estados del Espacio Económico Europeo pertenecientes a la Asociación Europea de Libre Comercio (“EEE/AELC”), a saber, Islandia, Liechtenstein y Noruega, y la Comisión sobre las medidas tomadas en relación con los productos peligrosos encontrados en el mercado de la Unión o del EEE/AELC. Dicho sistema de notificación tiene por objeto:
— impedir que se ofrezca a los consumidores productos peligrosos en el mercado interior;
— en caso necesario, tomar medidas correctoras tales como la retirada o la recuperación de dichos productos del mercado.
El intercambio de información se refiere a las medidas preventivas y restrictivas tomadas en relación con productos peligrosos de consumo y profesionales, excepto los alimentos, los piensos, los productos farmacéuticos y los productos sanitarios. El sistema Safety Gate/RAPEX abarca tanto las medidas ordenadas por las autoridades nacionales como las tomadas voluntariamente por los agentes económicos.
2. Objeto del régimen de corresponsabilidad
La Comisión y las autoridades nacionales actúan como corresponsables a efectos del tratamiento de los datos en el sistema Safety Gate/RAPEX. Por “autoridades nacionales” se entiende todas las autoridades de los Estados miembros y las autoridades de los países del EEE/AELC competentes en el ámbito de la seguridad de los productos y que participen en la red Safety Gate/RAPEX, en particular las autoridades encargadas del control de las fronteras exteriores y las autoridades de vigilancia del mercado responsables del seguimiento del cumplimiento de las exigencias de seguridad por parte de los productos.
A efectos del artículo 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (2) y del artículo 28 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (3), las siguientes actividades de tratamiento son responsabilidad de la Comisión como corresponsable del tratamiento de datos personales:
1) La Comisión podrá tratar la información relativa a las medidas tomadas respecto de los productos que presenten riesgos graves, y que hayan sido importados a o exportados desde la Unión o el Espacio Económico Europeo, con el fin de transmitirla a los Puntos de Contacto RAPEX.
2) La Comisión podrá tratar la información recibida de terceros países, organizaciones internacionales, empresas u otros sistemas de alerta rápida sobre productos procedentes de la UE y de terceros países que presenten un riesgo, con el fin de transmitirla a las autoridades nacionales.
Es responsabilidad de la Comisión garantizar el cumplimiento de las obligaciones y condiciones del Reglamento (UE) 2018/1725 en relación con estas actividades.
Las siguientes actividades de tratamiento son responsabilidad de las autoridades nacionales, en su calidad de corresponsables del tratamiento de datos personales:
1) Las autoridades nacionales podrán tratar la información con arreglo a los artículos 11 y 12 de la Directiva 2001/95/CE y al artículo 20 del Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo (4), con el fin de notificarla a la Comisión y a los demás Estados miembros y países del EEE/AELC.
2) Las autoridades nacionales podrán tratar la información que obtengan en sus actividades de seguimiento en relación con las notificaciones de Safety Gate/RAPEX, con el fin de notificarla a la Comisión y a los demás Estados miembros y países del EEE/AELC.
Es responsabilidad de las autoridades nacionales garantizar el cumplimiento de las obligaciones y condiciones del Reglamento (UE) 2016/679 en relación con estas actividades.
3. Responsabilidades, funciones y relación de los corresponsables para con los interesados
3.1. Categorías de interesados y de datos personales
Los corresponsables del tratamiento llevan a cabo el tratamiento conjunto de las siguientes categorías de datos personales:
a) Datos de contacto de los usuarios de Safety Gate/RAPEX.
Podrán tratarse los datos siguientes:
— nombre de los usuarios de Safety Gate/RAPEX,
— apellido(s) de los usuarios de Safety Gate/RAPEX,
— dirección de correo electrónico de los usuarios de Safety Gate/RAPEX,
— país de los usuarios de Safety Gate/RAPEX,
— idioma de preferencia de los usuarios de Safety Gate/RAPEX.
b) Datos de contacto de los autores y validadores de las notificaciones y reacciones enviadas a través del sistema Safety Gate/RAPEX.
Estos autores y validadores son:
— los puntos de contacto nacionales del sistema Safety Gate/RAPEX y los inspectores de las autoridades de vigilancia del mercado de los Estados miembros y los países del EEE/AELC, así como de los inspectores de las autoridades encargadas del control de las fronteras exteriores implicados en el procedimiento de notificación,
— el personal de la Comisión, como funcionarios, agentes temporales, agentes contractuales, becarios y proveedores de servicios externos.
Podrán tratarse los datos siguientes:
— nombre de los autores y validadores de las notificaciones y reacciones enviadas a través del sistema Safety Gate/RAPEX,
— apellido(s) de los autores y validadores de las notificaciones y reacciones enviadas a través del sistema Safety Gate/RAPEX,
— nombre de la autoridad autora o validadora de las notificaciones y reacciones enviadas a través del sistema Safety Gate/RAPEX,
— dirección de la autoridad autora o validadora de las notificaciones y reacciones enviadas a través del sistema Safety Gate/RAPEX,
— dirección de correo electrónico de los autores y validadores de las notificaciones y reacciones enviadas a través del sistema Safety Gate/RAPEX,
— número de teléfono de los autores y validadores de las notificaciones y reacciones enviadas a través del sistema Safety Gate/RAPEX.
c) Además, pueden introducirse en el sistema de forma accesoria dos tipos de datos personales:
i) cuando sea necesario para localizar los productos peligrosos, según se definen en el artículo 2, letra c), de la Directiva 2001/95/CE, los datos de contacto de los agentes económicos (fabricantes, exportadores, importadores, distribuidores o minoristas) pueden incluir datos personales, que se introducirán en el sistema. Estos datos los introducen en el sistema Safety Gate/RAPEX únicamente las autoridades nacionales basándose en la información recogida durante su investigación.
Podrán tratarse los datos siguientes:
— Nombre de los agentes económicos.
— Dirección de los agentes económicos.
— Ciudad de los agentes económicos.
— País de los agentes económicos.
— Información de contacto de los agentes económicos: esta casilla puede referirse a la persona física que represente a los fabricantes o a los representantes autorizados. No obstante, se pide a los Estados miembros que eviten introducir datos personales e introduzcan preferentemente datos de contacto no personales, como direcciones de correo electrónico genéricas.
— Dirección de contacto de los agentes económicos.
ii) Cuando se hayan incluido accesoriamente en otros documentos, como los informes de ensayo, los nombres de las personas que hayan realizado los ensayos sobre productos peligrosos o autentificado los informes de ensayo. Estos nombres figurarán en anexos y no podrán ser consultables. Se pide a los Estados miembros que supriman estos datos antes de la presentación si no se consideran necesarios a efectos del sistema.
3.2. Comunicación de información a los interesados
La Comisión proporcionará la información a que se refieren los artículos 15 y 16 y realizará las comunicaciones contempladas en los artículos 17 a 24 y 35 del Reglamento (UE) 2018/1725 de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo. La Comisión también tomará medidas adecuadas para ayudar a las autoridades nacionales a proporcionar la información a que se refieren los artículos 13 y 14 y a realizar las comunicaciones contempladas en los artículos 19 a 26 y 37 del Reglamento (UE) 2016/679 de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo, en relación con los datos siguientes:
— datos relativos a los usuarios de Safety Gate/RAPEX,
— datos relativos a los autores y validadores de las notificaciones y reacciones.
Se informa a los usuarios de Safety Gate/RAPEX acerca de sus derechos por medio de la declaración de privacidad disponible en Safety Gate/RAPEX.
Las autoridades nacionales tomarán medidas adecuadas para proporcionar la información a que se refieren los artículos 13 y 14 y para realizar las comunicaciones contempladas en los artículos 19 a 26 y 37 del Reglamento (UE) 2016/679 de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo, en relación con los datos siguientes:
— información sobre personas jurídicas por la que se pueda identificar a una persona física,
— nombres y otros datos de las personas que hayan realizado los ensayos sobre productos peligrosos o que hayan autentificado los informes de ensayo.
La información se proporcionará por escrito; también se podrá proporcionar por vía electrónica.
Las autoridades nacionales utilizarán el modelo de declaración de confidencialidad proporcionado por la Comisión al cumplir sus obligaciones relativas a los interesados.
3.3. Tramitación de las solicitudes de los interesados
Los interesados podrán ejercer los derechos que les otorgan el Reglamento (UE) 2018/1725 y el Reglamento (UE) 2016/679, respectivamente, con respecto a cada uno de las corresponsables del tratamiento y contra estos.
Los corresponsables del tratamiento tramitarán las solicitudes de los interesados conforme al procedimiento establecido a tal efecto por los corresponsables del tratamiento. El procedimiento pormenorizado para el ejercicio de los derechos de los interesados se explica en la declaración de confidencialidad.
Los corresponsables del tratamiento cooperarán y, cuando así se les solicite, se prestarán asistencia rápida y eficiente en la tramitación de las solicitudes de los interesados.
Si un corresponsable del tratamiento recibiera una solicitud de un interesado que no sea de su competencia, remitirá la solicitud sin demora, y a más tardar en un plazo de siete días naturales a contar desde su recepción, al corresponsable al que realmente competa. El corresponsable del tratamiento competente enviará un acuse de recibo al interesado en los siguientes tres días naturales, informando al mismo tiempo de ello al corresponsable del tratamiento que recibió la solicitud en primera instancia.
Al responder a la solicitud de acceso a datos personales presentada por un interesado, ningún corresponsable del tratamiento divulgará ni pondrá a disposición de ningún otro modo ningún dato personal tratado conjuntamente sin consultar previamente al otro corresponsable pertinente.
4. Otras responsabilidades y funciones de los corresponsables del tratamiento
4.1. Seguridad del tratamiento
Cada corresponsable del tratamiento aplicará medidas técnicas y organizativas adecuadas para:
a) garantizar y proteger la seguridad, la integridad y la confidencialidad de los datos personales tratados conjuntamente, de conformidad con la Decisión (UE, Euratom) 2017/46 de la Comisión (5) y la norma pertinente del Estado miembro de la UE o del país del EEE/AELC, respectivamente;
b) proteger los datos personales que obren en su poder contra todo tratamiento, pérdida, utilización, divulgación, adquisición o acceso no autorizados o ilícitos;
c) no divulgar los datos personales ni permitir el acceso a estos a ninguna persona distinta de los destinatarios o encargados del tratamiento acordados de antemano.
Cada corresponsable del tratamiento aplicará medidas técnicas y organizativas adecuadas para garantizar la seguridad del tratamiento con arreglo al artículo 33 del Reglamento (UE) 2018/1725 y al artículo 32 del Reglamento (UE) 2016/679, respectivamente.
Los corresponsables del tratamiento se prestarán asistencia rápida y eficiente en caso de incidente de seguridad, especialmente en caso de violación de la seguridad de los datos personales.
4.2. Gestión de los incidentes de seguridad, especialmente las violaciones de la seguridad de los datos personales
Los corresponsables del tratamiento gestionarán los incidentes de seguridad, especialmente las violaciones de la seguridad de los datos personales, de acuerdo con sus procedimientos internos y con la legislación aplicable.
En particular, cuando se les solicite, los corresponsables del tratamiento se prestarán asistencia de forma rápida y eficiente para facilitar la detección y la gestión de los incidentes de seguridad, especialmente las violaciones de la seguridad de los datos personales, en relación con la operación de tratamiento conjunto.
Los corresponsables del tratamiento se notificarán lo siguiente:
a) cualquier riesgo potencial o real para la disponibilidad, confidencialidad o integridad de los datos personales objeto del tratamiento conjunto;
b) cualquier incidente de seguridad relacionado con la operación de tratamiento conjunto;
c) cualquier violación de la seguridad de los datos personales (es decir, cualquier violación de la seguridad que tenga como consecuencia la destrucción, pérdida, alteración o divulgación no autorizada accidental o ilícita de los datos personales objeto del tratamiento conjunto o el acceso accidental o ilícito a dichos datos), las consecuencias probables de la violación de la seguridad de los datos personales y la evaluación del riesgo para los derechos y las libertades de las personas físicas, así como todas las medidas tomadas para subsanar dicha violación y mitigar los riesgos para los derechos y las libertades de las personas físicas;
d) cualquier violación de las salvaguardias técnicas u organizativas de la operación de tratamiento conjunto.
Cada corresponsable del tratamiento se encarga de todos los incidentes de seguridad, especialmente de las violaciones de la seguridad de los datos personales, que sucedan como consecuencia de un incumplimiento de las obligaciones que le atribuye la presente Decisión, el Reglamento (UE) 2018/1725 y el Reglamento (UE) 2016/679, respectivamente.
Los corresponsables del tratamiento documentarán los incidentes de seguridad (especialmente las violaciones de la seguridad de los datos personales) y se los notificarán mutuamente sin dilación indebida y, a más tardar, en las cuarenta y ocho horas siguientes al momento en que se tenga conocimiento del incidente de seguridad (especialmente una violación de la seguridad de los datos personales).
El corresponsable del tratamiento que se encargue de una violación de la seguridad de los datos personales documentará dicha violación y la notificará al Supervisor Europeo de Protección de Datos o a la autoridad de control nacional competente. Notificará la violación de la seguridad de los datos personales sin dilación indebida y, de ser posible, en las setenta y dos horas siguientes al momento en que haya tenido conocimiento de ella, a menos que sea improbable que dicha violación de la seguridad entrañe un riesgo para los derechos y las libertades de las personas físicas. El corresponsable del tratamiento comunicará a los demás corresponsables dicha notificación.
El corresponsable del tratamiento que se encargue de la violación de la seguridad de los datos personales la notificará a los interesados afectados cuando sea probable que la citada violación de la seguridad de los datos entrañe un riesgo elevado para los derechos y las libertades de dicha persona física. El corresponsable del tratamiento comunicará a los demás corresponsables dicha notificación.
4.3. Localización de datos personales
Los datos personales recogidos a efectos del proceso de notificación a través del sistema Safety Gate/RAPEX se almacenarán y recogerán en la aplicación Safety Gate/RAPEX, gestionada por la Comisión, a fin de que solo puedan acceder a la aplicación personas claramente identificadas y de que, por tanto, os datos almacenados en la aplicación estén bien protegidos.
Los datos personales recogidos a efectos de la operación de tratamiento solo se tratarán en el territorio de la UE y del EEE y no abandonarán dicho territorio, a menos que se cumpla lo dispuesto en los artículos 45, 46 o 49 del Reglamento (UE) 2016/679 o en los artículos 47, 48 o 50 del Reglamento (UE) 2018/1725.
De conformidad con el artículo 12, apartado 4, de la Directiva 2001/95/CE, el sistema Safety Gate/RAPEX está abierto a los países candidatos, a terceros países o a organizaciones internacionales, en el marco de acuerdos entre la UE y esos países u organizaciones y según lo que dispongan dichos acuerdos. Podrá intercambiarse información específica del sistema Safety Gate/RAPEX. Dicha información no contendrá datos personales.
4.4. Destinatarios
Solo se concederá acceso a datos personales al personal y a los contratistas autorizados de la Comisión y de las autoridades nacionales a efectos de la administración y el funcionamiento del sistema Safety Gate/RAPEX, que facilita la operación de tratamiento. Dicho acceso estará sujeto a los requisitos de identificación y contraseña siguientes:
— Safety Gate/RAPEX solo estará abierto a la Comisión y a los usuarios designados específicamente por las autoridades de los Estados miembros de la UE y por los países del EEE/AELC, así como por las autoridades del Reino Unido con respecto a los usuarios de Irlanda del Norte.
— El acceso a los datos personales recogidos en Safety Gate/RAPEX solo se concederá a los usuarios designados y autorizados de la aplicación que tengan un identificador de usuario y una contraseña. El acceso a la aplicación y la concesión de una contraseña solo serán posibles si así lo solicita la autoridad nacional competente con la supervisión general del equipo de la Comisión responsable de Safety Gate/RAPEX.
— Se concederá acceso a los datos personales recogidos al personal de la Comisión encargado de la operación de tratamiento y a las personas autorizadas con arreglo al principio de la “necesidad de conocer”. Dicho personal estará obligado a respetar acuerdos de confidencialidad legales y, en caso necesario, otros acuerdos adicionales.
Las personas con acceso a los datos personales recogidos serán las siguientes:
a) el personal y los contratistas de la Comisión;
b) los puntos de contacto e inspectores especificados de las autoridades de vigilancia del mercado de los Estados miembros de la UE y de los países del EEE/AELC, así como de las autoridades del Reino Unido con respecto a los usuarios de Irlanda del Norte;
c) los inspectores especificados de las autoridades encargadas del control de las fronteras externas de los Estados miembros de la UE y de los países del EEE/AELC.
Las personas con acceso a todos los datos personales recogidos y con la facultad de modificarlos previa solicitud serán las siguientes:
a) los miembros del equipo de Safety Gate/RAPEX de la Comisión;
b) los miembros del servicio de asistencia de Safety Gate/RAPEX de la Comisión.
La lista de todos los puntos de contacto de Safety Gate/RAPEX (usuarios designados por las autoridades nacionales de los países de la UE o del EEE) que contienen sus datos de contacto (nombre y apellidos, nombre de la autoridad, dirección de la autoridad, teléfono, fax, correo electrónico) se publicará en el sitio web público Europa del sistema Safety Gate/RAPEX (6). La gestión de los usuarios a nivel nacional será responsabilidad de los puntos de contacto nacionales de Safety Gate/RAPEX a través de la aplicación Safety Gate/RAPEX.
Todos los usuarios podrán consultar las notificaciones en estado “EC validated” (validadas por la CE). Solo los usuarios nacionales de Safety Gate/RAPEX tendrán acceso al borrador de sus notificaciones (antes de su envío a la CE). El personal de la Comisión y las personas autorizadas tendrán acceso a las notificaciones en estado “EC submitted status” (enviadas a la CE).
Cada corresponsable del tratamiento notificará a todos los demás corresponsables las transferencias de datos personales a los destinatarios en terceros países u organizaciones internacionales.
5. Responsabilidades específicas de los corresponsables del tratamiento
La Comisión se encargará y será responsable de:
a) decidir los medios, los requisitos y los objetivos del tratamiento;
b) registrar la operación de tratamiento:
c) facilitar el ejercicio de los derechos de los interesados;
d) tramitar las solicitudes de los interesados;
e) decidir limitar el ejercicio de derechos por parte de los interesados o suspender dichos derechos, cuando sea necesario y proporcionado;
f) velar por la protección de la intimidad desde el diseño y la protección de la intimidad por defecto;
g) determinar y evaluar la licitud, la necesidad y la proporcionalidad de las transmisiones y transferencias de datos personales;
h) llevar a cabo consultas previas con el Supervisor Europeo de Protección de Datos, cuando sea necesario;
i) garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal;
j) cooperar con el Supervisor Europeo de Protección de Datos, previa solicitud de este, en el desempeño de sus tareas.
Las autoridades nacionales se encargarán y serán responsables de:
a) registrar la operación de tratamiento:
b) velar por que los datos personales sometidos al tratamiento sean adecuados, exactos, pertinentes y limitados a lo necesario para los objetivos para los que sean tratados;
c) informar y comunicar de manera transparente a los interesados sus derechos;
d) facilitar el ejercicio de los derechos de los interesados;
e) recurrir únicamente a encargados del tratamiento que ofrezcan garantías suficientes de que podrán aplicar medidas técnicas y organizativas adecuadas de manera que el tratamiento cumpla los requisitos del Reglamento (UE) 2016/679 y garantice la protección de los derechos del interesado;
f) regir el tratamiento por el encargado por un contrato u otro acto jurídico del Derecho de la Unión o de un Estado miembro de conformidad con el artículo 28 del Reglamento (UE) 2016/679;
g) llevar a cabo una consulta previa con la autoridad nacional de control, cuando sea necesario;
h) garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal;
i) cooperar con la autoridad nacional de control, previa solicitud de esta, en el desempeño de sus tareas.
6. Duración del tratamiento
Los corresponsables del tratamiento no conservarán ni tratarán datos personales más tiempo del necesario para cumplir los objetivos y obligaciones fijados en la presente Decisión, es decir, durante el tiempo necesario para cumplir el objetivo de la recogida o del tratamiento ulterior. En particular:
a) Los datos de contacto de los usuarios de la aplicación Safety Gate/RAPEX se conservarán en el sistema mientras sean usuarios. Los datos de contacto se suprimirán de la aplicación de inmediato tras recibirse la notificación de que la persona ha dejado de ser usuaria del sistema.
b) Los datos de contacto de los inspectores de las autoridades de vigilancia del mercado de los Estados miembros y los países del EEE/AELC, así como de los inspectores de las autoridades encargadas del control de las fronteras exteriores, comunicados en las notificaciones y reacciones se conservarán en el sistema durante un período de cinco años a contar desde la validación de la notificación o reacción.
c) Los datos personales de otras personas físicas que puedan introducirse en el sistema se conservarán en una forma que permita su identificación durante un período de treinta años a contar desde el momento de la introducción de la información en Safety Gate/RAPEX, lo que corresponde al ciclo de vida máximo estimado de categorías de productos tales como los aparatos eléctricos o los vehículos de motor.
Las solicitudes legítimas de los interesados para que se bloqueen, modifiquen o supriman sus datos serán atendidas por la Comisión en un plazo de un mes a contar desde la recepción de la solicitud.
7. Responsabilidad por incumplimiento
La Comisión será responsable en caso de incumplimiento en consonancia con el capítulo VIII del Reglamento (UE) 2018/1725.
Las autoridades de los Estados miembros de la UE serán responsables en caso de incumplimiento en consonancia con el capítulo VIII del Reglamento (UE) 2016/679.
8. Cooperación entre los corresponsables del tratamiento
Previa petición, cada corresponsable del tratamiento prestará asistencia a los demás corresponsables de forma rápida y eficiente en la ejecución de la presente Decisión, cumpliendo al mismo tiempo todos los requisitos aplicables establecidos en el Reglamento (UE) 2018/1725 y en el Reglamento (UE) 2016/679, respectivamente, así como otras normas de protección de datos aplicables.
9. Solución de controversias
Los corresponsables del tratamiento procurarán resolver amistosamente cualquier controversia que surja al interpretar o aplicar la presente Decisión o en relación con esta.
Si en cualquier momento surge una cuestión, controversia o diferencia entre los corresponsables del tratamiento en relación con la presente Decisión, estos procurarán resolverla mediante un proceso de consulta.
Es preferible que todas las controversias las resuelvan en el nivel operativo a medida que se produzcan los puntos de contacto a que se refiere el punto 10 del presente anexo y que figuran en el sitio web público Europa del sistema Safety Gate.
La finalidad de la consulta será revisar y acordar, en la medida en que sea viable, las medidas tomadas para resolver el problema planteado; los corresponsables del tratamiento negociarán de buena fe a tal fin. Los corresponsables responderán a las solicitudes de solución amistosa en un plazo de siete días hábiles a contar desde la solicitud. El plazo para acordar una solución amistosa será de treinta días hábiles a contar desde la fecha de la solicitud.
Si la controversia no puede resolverse de forma amistosa, cada corresponsable del tratamiento podrá someterla a la mediación o recurrir a la vía judicial de la manera siguiente:
a) si se acude a la mediación, los corresponsables del tratamiento nombrarán conjuntamente a un mediador aceptable para cada uno de ellos, que deberá facilitar la resolución de la controversia en un plazo de dos meses a contar desde la fecha en que se le haya remitido la controversia;
b) si se recurre a la vía judicial, el asunto se remitirá al Tribunal de Justicia de la Unión Europea de conformidad con el artículo 272 del Tratado de Funcionamiento de la Unión Europea.
10. Puntos de contacto para la cooperación entre los corresponsables del tratamiento
Cada corresponsable del tratamiento designa un solo punto de contacto, con el que se pondrán en contacto los demás corresponsables en relación con las consultas, las reclamaciones y la comunicación de información objeto de la presente Decisión.
La lista pormenorizada de todos los puntos de contacto designados por la Comisión y las autoridades nacionales de los países de la UE o del EEE, que contiene sus datos de contacto (nombre y apellidos, nombre de la autoridad, dirección de la autoridad, teléfono, fax, correo electrónico), se publicará en el sitio web público Europa del sistema Safety Gate/RAPEX.».
(1) Directiva 2001/95/CE del Parlamento Europeo y del Consejo, de 3 de diciembre de 2001, relativa a la seguridad general de los productos (DO L 11 de 15.1.2002, p. 4).
(2) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(3) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(4) Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) n.o 765/2008 y (UE) n.o 305/2011 (DO L 169 de 25.6.2019, p. 1).
(5) Decisión (UE, Euratom) 2017/46 de la Comisión, de 10 de enero de 2017, sobre la seguridad de los sistemas de información y comunicación de la Comisión Europea (DO L 6 de 11.1.2017, p. 40).
(6) https://ec.europa.eu/safety/consumers/consumers_safety_gate/menu/documents/Safety_Gate_contacts.pdf.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid