Agencia Estatal Boletín Oficial del Estado
LA MESA,
Visto el Tratado constitutivo de la Comunidad Europea, en particular su artículo 286,
Visto el Reglamento (CE) n° 452001 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos y, en particular, el apartado 8 de su artículo 24,
Visto el apartado 2 del artículo 22 del Reglamento del Parlamento Europeo,
Considerando lo siguiente:
(1) El Reglamento (CE) n° 45/2001, (denominado en lo sucesivo «el Reglamento»), establece los principios y las normas aplicables a todas las instituciones y organismos comunitarios y prevé el nombramiento por parte de cada institución y organismo comunitarios de un responsable de la protección de datos.
(2) El apartado 8 del artículo 24 del Reglamento establece que cada institución u organismo comunitario adoptará normas de desarrollo complementarias respecto al responsable de la protección de datos, con arreglo a lo dispuesto en su anexo. Tales normas se referirán, en concreto, a las funciones, obligaciones y competencias del responsable de la protección de datos.
(3) Las normas de desarrollo complementarias precisarán los procedimientos para que los interesados puedan ejercer sus derechos y para que cumplan sus obligaciones todas aquellas personas que intervienen en el tratamiento de datos personales en el seno de las instituciones u organismos comunitarios.
DECIDE:
Objeto
1. La presente Decisión establece las disposiciones generales de aplicación del Reglamento por lo que se refiere al Parlamento Europeo. En particular, complementa las disposiciones del Reglamento en cuanto a las funciones, obligaciones y competencias del responsable o responsables de la protección de datos en el Parlamento Europeo.
2. Se fijan asimismo las modalidades de ejercicio de los derechos de los interesados y el procedimiento de notificación del tratamiento y el procedimiento de acceso al registro de los tratamientos efectuados por el responsable de la protección de datos.
Nombramiento, estatuto e independencia
1. El Secretario General designará al responsable de la protección de datos eligiéndolo de entre los funcionarios de las instituciones y organismos comunitarios, en función de sus cualidades personales y profesionales y, en particular, de sus conocimientos especializados en el ámbito de la protección de datos. El responsable de la protección de datos personales será nombrado de conformidad con el procedimiento previsto en el artículo 29 del Estatuto de los funcionarios.
2. El Secretario General comunicará al Supervisor Europeo de Protección de Datos el nombre del responsable de la protección de datos.
3. Para el ejercicio de sus funciones, el responsable de la protección de datos personales quedará dispensado de cualquier otra actividad en el seno del Parlamento Europeo. Podrá desempeñar otras funciones siempre que estas no deriven en un conflicto de intereses con la función de responsable en particular en relación con la aplicación de las disposiciones del Reglamento.
4. El responsable de la protección de datos será nombrado por un mandato de cinco años renovable una sola vez. No podrá ser destituido de su cargo sin el consentimiento del Supervisor Europeo de Protección de Datos y solamente en caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones. La consulta del Supervisor Europeo de Protección de Datos se hará por escrito, con copia dirigida al responsable.
5. El responsable de la protección de datos será independiente en el ejercicio de sus funciones. No aceptará instrucciones de nadie en este respecto, ya sea de la Autoridad facultada para proceder a los nombramientos (AFPN), del Secretario General o de cualquiera otra fuente en lo que se refiere a la aplicación interna de las disposiciones del Reglamento o a su cooperación con el Supervisor Europeo de Protección de Datos. El responsable de la protección de datos se abstendrá de cualquier acción incompatible con la naturaleza de sus funciones.
6. El responsable de la protección de datos indicará a las autoridades competentes del Parlamento Europeo el número de colaboradores y los recursos necesarios para llevar a cabo su cometido. Además, podrá recurrir a personal externo especializado para que le asista en el ejercicio de sus funciones.
7. El responsable de la protección de datos y sus colaboradores estarán sometidos en todo momento a las reglas y disposiciones del Estatuto de los funcionarios y al régimen aplicable a los otros agentes.
8. El responsable de la protección de datos y sus colaboradores, que estarán sujetos a lo dispuesto en el artículo 287 del Tratado, tendrán obligación, incluso tras la cesación de sus funciones, de guardar secreto profesional en lo relativo a todos los documentos o informaciones confidenciales que lleguen a su poder en el ejercicio de dichas funciones.
Responsables adjuntos
1. El Secretario General podrá designar responsables adjuntos de la protección de datos. Los apartados 4, 5, 7 y 8 del artículo 2 se aplicarán asimismo a los delegados adjuntos.
2. El responsable, los responsables adjuntos y los colaboradores de apoyo formarán parte integrante del servicio «Protección de datos». El servicio estará dirigido por el responsable.
3. El responsable podrá ser asistido en todas sus funciones por un adjunto, que podrá sustituirle en caso de ausencia o de impedimento.
Funciones
1. El responsable de la protección de datos velará, en el seno del Parlamento Europeo, por la aplicación de las disposiciones del Reglamento. Ejecutará sus tareas en cooperación con el Supervisor Europeo de Protección de Datos.
2. El responsable podrá ser consultado en todo momento por toda persona y concretamente por los interesados sobre cualquier cuestión referente a la aplicación del Reglamento. En particular, el responsable estará obligado a asesorar al servicio del Registro con miras a respetar las disposiciones de la Decisión de la Mesa de 28 de noviembre de 2001 relativa al acceso público a los documentos del Parlamento Europeo.
3. El responsable de la protección de datos representará a la Secretaría General del Parlamento para todos los asuntos relacionados con la protección de datos; en particular, podrá participar en las reuniones de los comités o los órganos pertinentes al nivel internacional.
Obligaciones
Las atribuciones del responsable de la protección de datos serán las siguientes:
— Información: el responsable informará a los encargados del tratamiento de datos en el Parlamento Europeo y a los interesados acerca de sus derechos y obligaciones en virtud del Reglamento. A tal fin, suministrará la información necesaria relativa a la legislación en vigor, los procedimientos en curso y los ficheros notificados existentes y facilitará el ejercicio de derechos y obligaciones.
— Peticiones del Supervisor Europeo de Protección de Datos: el responsable responderá a las solicitudes del Supervisor Europeo.
— Cooperación con el Supervisor Europeo de Protección de Datos: el responsable cooperará con el Supervisor Europeo, en su ámbito de competencias, a petición de este o por propia iniciativa, en particular, en el ámbito de la tramitación de reclamaciones y el ejercicio de las funciones de inspección.
— Información al Supervisor Europeo de Protección de Datos: el responsable informará al Supervisor Europeo sobre los hechos ocurridos en el Parlamento Europeo que sean de interés para la protección de datos personales.
— Registro de los tratamientos: el responsable llevará un registro de los tratamientos efectuados por los responsables de los tratamientos de conformidad con el artículo 26 del Reglamento y facilitará la consulta de este registro a cualquier persona.
— Notificación de los tratamientos que puedan suponer riesgos específicos: el responsable notificará al Supervisor Europeo de Protección de Datos todas las operaciones de tratamiento que puedan suponer riesgos específicos en el sentido del artículo 27 del Reglamento. En caso de duda en cuanto a la necesidad de un control previo, el responsable de la protección de datos consultará al Supervisor Europeo.
— Garantía de los derechos y libertades de los interesados: el responsable de la protección de datos velará por que los tratamientos no atenten contra los derechos y las libertades de los interesados y por garantizar que nadie resulte perjudicado por haber señalado a la atención del responsable de la protección de datos un hecho que, en su opinión, constituya una violación de las disposiciones del Reglamento.
Competencias
1. Para el ejercicio de sus funciones y en las condiciones previstas por el Reglamento, el responsable de la protección de datos podrá:
— formular por propia iniciativa recomendaciones dirigidas a los responsables del tratamiento o al Secretario General sobre asuntos referentes a la aplicación de las disposiciones relativas a la protección de datos o comprendidas en las presentes normas complementarias;
— examinar asuntos y hechos, por propia iniciativa o a petición del responsable del tratamiento, del Comité de Personal del Parlamento Europeo o de cualquier persona física, que estén directamente relacionados con sus atribuciones y que hayan sido puestos en su conocimiento. En tal examen respetará el principio de imparcialidad y los derechos del interesado. El responsable de la protección de datos transmitirá el resultado de su examen a la persona que se lo hubiera solicitado y al responsable del tratamiento;
— poner en conocimiento del Secretario General todo incumplimiento de las disposiciones del Reglamento;
— participar regularmente en reuniones con el Supervisor Europeo de Protección de Datos y/o los responsables de la protección de datos de las otras instituciones y organismos para establecer un intercambio recíproco de informaciones, garantizar la cooperación interinstitucional y armonizar la aplicación de los procedimientos vigentes;
— elaborar un informe de actividades anual a la atención del Secretario General y del Supervisor Europeo de Protección de Datos sobre las actividades en el ámbito de la protección de datos en el Parlamento Europeo, informe que pondrá a la disposición del personal del Parlamento Europeo;
— emitir dictamen sobre la licitud de operaciones de tratamiento existentes o previstas, sobre las medidas necesarias para garantizar su licitud, o sobre la pertinencia o la inadecuación de los datos o las medidas de seguridad. En particular, el dictamen podrá versar sobre cualquier asunto relacionado con la notificación de operaciones de tratamiento de datos.
2. El responsable de la protección de datos tendrá acceso en todo momento, a los datos objeto de operaciones de tratamiento, a todos los locales, a todas las instalaciones de tratamiento de datos y a todos los soportes de información.
Procedimiento de notificación de los tratamientos
1. Antes de proceder a un tratamiento de datos y con la antelación suficiente para permitir, en su caso, la realización de un control previo en el sentido del apartado 3 del artículo 27 del Reglamento, el responsable del tratamiento informará de ello al responsable de la protección de datos. A tal fin, podrá utilizar el formulario de notificación disponible en el correspondiente sitio intranet del Parlamento Europeo. La notificación respetará en todos los casos las disposiciones del apartado 3. La notificación estará firmada por el responsable del tratamiento y se transmitirá al servicio «Protección de datos» por correo interno, por correo electrónico o por telefax. En estos dos últimos casos, deberá hacerse llegar el original firmado en soporte papel al servicio «Protección de datos» en un plazo de diez días naturales a partir de la transmisión.
2. El responsable del tratamiento notificará sin demora los tratamientos ya en curso en la fecha de entrada en vigor del Reglamento, a saber, el 1 de febrero de 2002, con arreglo al procedimiento de notificación contemplado en el apartado 1.
3. Las informaciones que deberán proporcionarse comprenderán, como mínimo:
a) el nombre y la dirección del responsable del tratamiento y la indicación de los servicios del Parlamento Europeo encargados del tratamiento de datos de carácter personal con una finalidad determinada;
b) el objetivo u objetivos del tratamiento;
c) una descripción de la categoría o categorías de interesados y los datos o categorías de datos que se refieren a ellas;
d) el fundamento jurídico del tratamiento al que van destinados los datos;
e) los destinatarios o las categorías de destinatarios a quienes podrían comunicarse los datos;
f) una indicación general de los plazos para el bloqueo y la supresión de las diferentes categorías de datos;
g) las transferencias de datos previstas con destino a países terceros o a organizaciones internacionales, así como a destinatarios sujetos a la legislación nacional de un Estado miembro;
h) una descripción general que permita evaluar de modo preliminar la adecuación de las medidas tomadas para garantizar la seguridad del tratamiento en aplicación del artículo 22 del Reglamento.
4. El responsable del tratamiento informará inmediatamente al responsable de la protección de datos de toda modificación que afecte a las informaciones contempladas en el apartado 3.
Registro de los tratamientos
1. El responsable de la protección de datos llevará un registro de los tratamientos notificados en virtud del artículo 6. Este registro detallará todos los tratamientos notificados efectuados en el Parlamento Europeo e indicará, en particular, el servicio responsable del tratamiento, los datos tratados y la finalidad perseguida.
Este registro se destina a informar a cualquier persona y, además, facilita el ejercicio de los derechos reconocidos al interesado contemplados en los artículos 13 a 19 del Reglamento.
2. El registro contendrá las informaciones contempladas en las letras a) a g) del apartado 3 de artículo 6 de la presente Decisión.
3. El responsable podrá emprender iniciativas para la rectificación de los datos contenidos en el registro si lo considera necesario, con el objetivo de garantizar la exactitud de los mismos.
1. Solamente podrán ejercer los derechos de acceso, rectificación, bloqueo, supresión y oposición el interesado o su representante con el debido mandato.
2. La solicitud de ejercicio de uno de estos derechos deberá dirigirse al responsable del tratamiento. Está disponible un formulario en formato electrónico en el correspondiente sitio intranet del Parlamento Europeo. Deberán figurar en la solicitud:
— el nombre, los apellidos y la dirección del interesado;
— la mención del derecho ejercido;
— en su caso, los documentos acreditativos de la solicitud; la categoría o categorías de datos de que se trata;
— la firma y la fecha de la solicitud.
La solicitud podrá transmitirse por correo interno o externo, por correo electrónico o por telefax con posibilidad de certificar la transmisión y la recepción de la solicitud. En caso de que la solicitud contenga errores u omisiones, el responsable del tratamiento podrá pedir informaciones complementarias. El responsable del tratamiento estará obligado a verificar la legitimación del solicitante.
3. El responsable del tratamiento estará obligado a responder a la solicitud de ejercicio de derechos incluso en ausencia de datos personales tratados en el fichero. Se remitirá al solicitante un acuse de recibo en un plazo de cinco días laborables a partir de la recepción de la solicitud. No obstante, el responsable no estará obligado a enviar un acuse de recibo si da una respuesta sustancial a la solicitud en ese mismo plazo de cinco días laborables. La respuesta se transmitirá por el mismo medio utilizado por el interesado.
4. El responsable del tratamiento deberá indicar al interesado su derecho a presentar una reclamación al Supervisor Europeo de Protección de Datos si estima que los derechos que le reconoce el artículo 286 del Tratado han sido violados por el tratamiento de datos personales que le afecten.
5. El ejercicio de todos estos derechos será gratuito para el interesado.
6. Podrá denegarse la solicitud de ejercicio de un derecho en los casos previstos en el artículo 20 del Reglamento, sin perjuicio de la aplicación del artículo 17 de la presente Decisión.
Derecho de acceso
1. El interesado tendrá derecho a obtener del responsable del tratamiento en cualquier momento y sin restricciones, dentro de un plazo de tres meses a partir de la recepción de la solicitud y con carácter gratuito:
— confirmación de la existencia o no de tratamiento de datos que le conciernan;
— información, como mínimo, de los fines de dicho tratamiento, de las categorías de datos objeto de tratamiento y de los destinatarios o categorías de destinatarios a quienes se comuniquen los datos;
— comunicación en forma inteligible de los datos objeto de tratamiento, así como de cualquier información disponible sobre el origen de los datos;
— conocimiento de los criterios por los que se rige cualquier tratamiento automatizado de datos referido al interesado.
2. El interesado podrá acceder a sus datos personales mediante:
— consulta in situ;
— entrega de una copia certificada establecida por el responsable del tratamiento;
— entrega de una copia electrónica;
— otros medios a la disposición del responsable del tratamiento y adaptados a la configuración del fichero.
Derecho de rectificación
1. El interesado tendrá derecho a obtener del responsable del tratamiento una rectificación inmediata de los datos personales inexactos o incompletos.
2. En la solicitud de rectificación se indicarán los datos que deben rectificarse y la corrección que debe efectuarse. En su caso, la solicitud podrá acompañarse de documentos justificativos.
3. Si la solicitud de rectificación es aceptada, se ejecutará la rectificación sin demora y se informará de ello al interesado. En caso de denegación de la solicitud de rectificación, el responsable del tratamiento dispondrá de un plazo de quince días laborables para informar de la denegación al interesado mediante escrito motivado.
Derecho de bloqueo
1. El interesado tendrá derecho a hacer que el responsable del tratamiento bloquee sus datos cuando:
a) el interesado impugne su exactitud, durante un plazo que permita al responsable del tratamiento verificar que los datos son exactos y que están completos; o
b) el responsable de los datos ya no los necesite para la realización de sus tareas pero haya de conservarlos a efectos probatorios; o
c) el tratamiento de los datos sea ilícito y el interesado se oponga a su supresión, exigiendo en su lugar el bloqueo.
2. En la solicitud de bloqueo se indicarán los datos que deben bloquearse. El interesado que solicite y obtenga el bloqueo de sus datos deberá ser informado por el responsable del tratamiento. También se informará al interesado del levantamiento del bloqueo, con al menos quince días laborables de antelación a que se efectúe.
3. El responsable del tratamiento se pronunciará en un plazo de quince días laborables a partir de la recepción de la solicitud de bloqueo. Si se acepta la solicitud, se ejecutará en un plazo de treinta días laborables y se informará de ello al interesado. En caso de denegación de la solicitud de bloqueo, el responsable del tratamiento dispondrá de un plazo de quince días laborables para informar de la denegación al interesado mediante escrito motivado.
4. En los ficheros automatizados el bloqueo se efectuará por medios técnicos. El hecho de que los datos personales están bloqueados deberá indicarse en el sistema de tal modo que quede claro que no se pueden utilizar.
5. Con excepción del almacenamiento, los datos personales bloqueados en aplicación del presente artículo sólo serán objeto de tratamiento a efectos probatorios, o bien con el consentimiento del interesado o bien para la protección de los derechos de un tercero.
Derecho de supresión
1. El interesado tendrá derecho a hacer que el responsable del tratamiento suprima sus datos cuando el tratamiento de estos sea ilícito.
2. La solicitud de supresión deberá determinar los datos que deban suprimirse. Si el responsable del tratamiento contesta el carácter ilícito del tratamiento, deberá aportar la prueba de la licitud del mismo.
3. El responsable del tratamiento deberá dar una respuesta en el plazo de quince días laborables a partir de la recepción de la solicitud de supresión. Si la solicitud es aceptada, deberá aplicarse de inmediato. Si el responsable del tratamiento considera que la solicitud carece de justificación, dispondrá de quince días laborables para ponerlo en conocimiento del interesado mediante escrito motivado.
4. La supresión significa la desaparición física de los datos sin que sea necesario sustituirlos por un código ni crear otro fichero alternativo con los datos suprimidos. Si, por razones técnicas, no fuese posible suprimir los datos, el responsable del tratamiento procederá a bloquearlos de inmediato. Se informará debidamente al interesado acerca de este procedimiento.
Notificación a terceros
El interesado tendrá derecho a hacer que el responsable del tratamiento notifique a los terceros a quienes se hayan comunicado los datos toda rectificación, supresión o bloqueo efectuado en virtud de los artículos 10 a 12, a no ser que resulte imposible o suponga un esfuerzo desproporcionado. En caso de negativa a notificar a terceros a causa de imposibilidad o de esfuerzo desproporcionado, el responsable del tratamiento dispondrá de un plazo de quince días laborables para ponerlo en conocimiento del interesado mediante escrito motivado.
Derecho de oposición
1. El interesado tendrá derecho a oponerse en cualquier momento, por razones imperiosas y legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo en los casos contemplados en las letras b), c) y d) del artículo 5 del Reglamento.
2. El interesado tendrá derecho a ser informado antes de que los datos personales se comuniquen por primera vez a terceros o se utilicen por cuenta de terceros a efectos de prospección, y a que se le ofrezca expresamente el derecho a oponerse, sin gastos, a dicha comunicación o utilización.
3. La solicitud de oposición deberá determinar los datos concernidos.
4. El responsable del tratamiento deberá responder al interesado en el plazo de quince días laborables a partir de la recepción de la solicitud de oposición. Si el responsable del tratamiento considera que la solicitud carece de justificación, lo pondrá en conocimiento del interesado mediante escrito motivado.
5. En caso de oposición justificada, el tratamiento en cuestión mencionado en el apartado 1 ya no podrá efectuarse sobre esos datos.
Procedimiento de control
1. Todo responsable del tratamiento concernido deberá asistir al responsable de la protección de datos en el ejercicio de sus funciones y proporcionarle las informaciones que solicite en el plazo de veinte días laborables. En el ejercicio de sus funciones, el responsable de la protección de datos tendrá acceso, en todo momento, a los datos que están siendo objeto de operaciones de tratamiento, a todos los locales, todas las instalaciones de tratamiento de datos y todos los soportes de información.
2. El responsable de la protección de datos podrá tomar la decisión de efectuar en todo momento cualquier otro tipo de control para garantizar una correcta aplicación del Reglamento por parte del Parlamento Europeo.
Vías de recurso
1. Toda persona empleada por el Parlamento Europeo podrá presentar una reclamación, en el sentido del artículo 33 del Reglamento, ante el Supervisor Europeo de Protección de Datos. La presentación de dicha reclamación no tendrá como efecto la suspensión de los plazos para presentar una reclamación en el sentido del artículo 90 del Estatuto de los funcionarios.
2. Independientemente del derecho mencionado en el apartado 2, toda persona empleada por el Parlamento Europeo podrá presentar ante la AFPN una reclamación, en el sentido del artículo 90 del Estatuto de los funcionarios, sobre una cuestión relativa al tratamiento de los datos personales. En dicho caso, los servicios competentes consultarán la opinión del responsable de la protección de datos.
Limitaciones
1. El responsable del tratamiento podrá limitar los derechos estipulados en los artículos 9 a 13 de la presente Decisión por las razones previstas en el apartado 1 del artículo 20 del Reglamento. El responsable del tratamiento consultará previamente al responsable de la protección de datos.
2. En caso de que se aplique una limitación, el responsable informará, de conformidad con el Derecho comunitario, al interesado de las razones principales que justifican la limitación, así como de su derecho a recurrir al Supervisor Europeo de Protección de Datos y al Tribunal de Justicia.
3. El responsable del tratamiento contestará de inmediato a las solicitudes relativas a la aplicación de limitaciones al ejercicio de los derechos y motivará la decisión tomada al respecto.
Responsables del tratamiento
1. El Secretario General, mediante decisión específica, podrá designar una autoridad dependiente de él como responsable del tratamiento en el sentido de la letra d) del artículo 2 del Reglamento.
2. El responsable del tratamiento velará por que los tratamientos efectuados bajo su control sean conformes al Reglamento y, especialmente, se encargará de:
— ayudar al responsable de la protección de datos y al Supervisor Europeo de Protección de Datos en el ejercicio de sus funciones respectivas, comunicándoles en particular toda información que le hayan solicitado en el plazo máximo de veinte días laborables;
— aplicar las medidas técnicas y organizativas apropiadas y dar al personal del Parlamento Europeo, o a otras personas bajo su autoridad, las instrucciones adecuadas para asegurar al mismo tiempo la confidencialidad del tratamiento y un nivel de seguridad adecuado respecto de los riesgos que lleve consigo el tratamiento;
— notificar al responsable de la protección de datos todo tratamiento de datos antes de iniciarlo, de conformidad con el artículo 6.
Acceso a los documentos
1. El registro de los tratamientos será público y accesible en forma electrónica. Toda persona podrá consultarlo directamente y solicitar al responsable de la protección de datos del Parlamento Europeo una copia conforme de la inscripción de un tratamiento específico. También será posible acceder indirectamente al registro por medio del Supervisor Europeo de Protección de Datos.
2. Los documentos del responsable de la protección de datos y de sus servicios se someterán a la aplicación del Reglamento (CE) n° 10492001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisiónl.
Entrada en vigor
La presente Decisión entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Unión Europea.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
