Agencia Estatal Boletín Oficial del Estado
LA ALTA REPRESENTANTE DE LA UNIÓN PARA ASUNTOS EXTERIORES Y POLÍTICA DE SEGURIDAD,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vista la Decisión 2010/427/UE del Consejo de 26 de julio de 2010 por la que se establece la organización y el funcionamiento del Servicio Europeo de Acción Exterior (2010/427/UE) (1),
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (2) [«Reglamento (UE) 2018/1725»], y en particular su artículo 25,
Visto el dictamen del Supervisor Europeo de Protección de Datos, emitido el 28 de junio de 2019 de conformidad con el artículo 41, apartado 2, del Reglamento (UE) 2018/1725,
Considerando lo siguiente:
(1) El Servicio Europeo de Acción Exterior («SEAE») lleva a cabo sus actividades de conformidad con la Decisión 2010/427/UE.
(2) De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 21, 35 y 36, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 21, deben establecerse en normas internas del SEAE cuando no se encuentren fundamentadas en actos jurídicos adoptados con arreglo a los Tratados.
(3) Estas normas internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la proporcionalidad de una limitación, no deben aplicarse cuando un acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los derechos de los interesados.
(4) Cuando el SEAE ejerza sus funciones con respecto a los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, debe analizar si es de aplicación alguna de las excepciones establecidas en dicho Reglamento.
(5) Tales limitaciones pueden aplicarse a diferentes derechos de los interesados, incluidos la comunicación de información a los interesados, el derecho de acceso, la rectificación, la supresión, la limitación del tratamiento, la comunicación de una violación de la seguridad de los datos personales al interesado y la confidencialidad de las comunicaciones.
(6) En el marco de su organización y su funcionamiento, el SEAE lleva a cabo actividades con datos personales en las que puede ser necesario y proporcionado en una sociedad democrática imponer una limitación, de conformidad con el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, para salvaguardar un interés legítimo, respetando al mismo tiempo en lo esencial los derechos y libertades fundamentales de los interesados.
(7) Tales limitaciones pueden aplicarse a varias categorías de datos personales, incluidos los datos fácticos y los datos de evaluaciones.
(8) Las evaluaciones, las observaciones y los dictámenes se consideran datos personales en el sentido del artículo 3, apartado 1, del Reglamento (UE) 2018/1725. Las limitaciones, en particular al acceso, rectificación y supresión de tales evaluaciones, observaciones o dictámenes en el contexto de los procedimientos de selección y evaluación del personal y en el contexto de las actividades del servicio médico, del servicio de mediación y de los servicios de auditoría e inspección internas de las Delegaciones y oficinas de la Unión, están contempladas en estos procedimientos administrativos específicos.
(9) En relación con los procedimientos de selección y contratación de personal, las evaluaciones del personal y los procedimientos de contratación pública, solo puede ejercerse el derecho de acceso, rectificación, supresión y limitación en los momentos específicos que se contemplen en el procedimiento pertinente, con el fin de salvaguardar los derechos de otros interesados y respetar los principios de igualdad de trato y de confidencialidad de las deliberaciones.
(10) El interesado puede ejercer el derecho de rectificación de las valoraciones o dictámenes de los médicos y asesores médicos del SEAE presentando sus observaciones o un informe de un médico de su elección.
(11) En cuanto a los procedimientos de selección y contratación de personal, no es posible modificar ni la evaluación ni el dictamen del tribunal. Este derecho puede ejercerse recurriendo la decisión del tribunal. Las evaluaciones realizadas por los miembros del tribunal y los debates internos de este están protegidos por el secreto de las deliberaciones.
(12) En lo que se refiere a las evaluaciones del personal, incluidos los procedimientos de evaluación del desempeño, no es posible modificar ni la evaluación ni el dictamen de los distintos agentes que intervienen en el procedimiento de evaluación. Los interesados pueden ejercer su derecho de rectificación presentando sus observaciones o un recurso según disponga el procedimiento de evaluación del desempeño.
(13) Las limitaciones de los derechos y obligaciones en materia de datos personales deben aplicarse caso por caso y mantenerse en vigor solo durante el tiempo necesario para cumplir la finalidad de la limitación.
(14) El SEAE se ha comprometido a respetar, en la medida de lo posible, los derechos fundamentales de los interesados, en particular los relativos al derecho a la comunicación de información, el acceso y la rectificación, el derecho a la supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725. Sin embargo, puede que el SEAE también tenga que limitar dichos derechos y obligaciones para proteger sus actividades y los derechos y libertades fundamentales de los demás.
DECIDE:
Objeto y ámbito de aplicación
1. De conformidad con el artículo 25 del Reglamento (UE) 2018/1725 (el «Reglamento»), la presente Decisión establece normas que regulan las condiciones en las que el SEAE, en el marco de las actividades a que se refiere el apartado 2, podrá limitar la aplicación de los derechos y obligaciones contemplados en los artículos 14 a 21, 35 y 36 del Reglamento, y también en el artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 21.
2. La presente Decisión se aplica al tratamiento de datos personales por parte del SEAE a efectos de las actividades siguientes:
i) las investigaciones internas, en particular las investigaciones de seguridad, las investigaciones administrativas, especialmente en casos de acoso o de denuncia de irregularidades, los procedimientos disciplinarios y los procedimientos de suspensión;
ii) la notificación y la remisión de asuntos a la Oficina de Investigación y Disciplina de la Comisión (IDOC) y a la Oficina Europea de Lucha contra el Fraude (OLAF);
iii) los análisis de seguridad relacionados con incidentes de ciberseguridad o un mal uso del sistema informático, incluidos la participación externa del CERT-UE, la garantía de la seguridad interna por medio de videovigilancia, el control del acceso y las necesidades de las investigaciones, la garantía de los sistemas de comunicación e información y la ejecución de contramedidas técnicas de seguridad.
iv) las investigaciones de asuntos directamente relacionados con las tareas del delegado de protección de datos del SEAE (en lo sucesivo denominado el «DPD»);
v) las auditorías internas;
vi) las inspecciones de las Delegaciones y oficinas de la UE;
vii) las actividades del servicio médico y de los asesores médicos empleados por el SEAE;
viii) las actividades del servicio de mediación;
ix) los procedimientos de contratación pública;
x) los procedimientos de selección del personal y las evaluaciones del personal;
xi) la recopilación de datos con fines de inteligencia, incluidos la conciencia situacional, la contrainteligencia, la alerta temprana y los análisis de inteligencia para apoyar la labor de los distintos órganos decisorios de la UE en los ámbitos de la política exterior y de seguridad común (PESC), la política común de seguridad y defensa (PCSD), la lucha contra el terrorismo y las amenazas híbridas;
xii) los procedimientos sobre medidas restrictivas (sanciones) vinculadas a objetivos específicos de política exterior y de seguridad;
xiii) las actividades destinadas a proteger otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular los objetivos de la PESC.
A efectos de la presente Decisión, se entienden comprendidas dentro de estas actividades las acciones preparatorias y de seguimiento directamente relacionadas con ellas.
3. Las categorías de datos personales tratados en relación con las actividades mencionadas en el apartado anterior podrán contener datos fácticos y datos de evaluaciones. Son datos fácticos los datos relacionados con la identificación personal y otros datos administrativos, los metadatos relativos a comunicaciones electrónicas y los datos de tráfico. Son datos de evaluaciones la descripción y evaluación de las situaciones, circunstancias, opiniones y observaciones relativos a los interesados, la evaluación del comportamiento o el desempeño de los interesados y la motivación de las decisiones individuales en relación con el funcionamiento administrativo del SEAE.
Especificación del responsable del tratamiento y salvaguardas
1. El SEAE establecerá salvaguardas específicas para evitar las filtraciones, revelaciones no autorizadas o violaciones de la seguridad de datos sometidos a limitación, como:
a) medidas de seguridad reforzada para el almacenamiento de soportes físicos con datos personales;
b) medidas de seguridad específicas para bases de datos y herramientas electrónicas;
c) limitaciones de acceso y archivos de registro.
2. El responsable del tratamiento de los datos es el SEAE. Las entidades organizativas que pueden limitar los derechos y obligaciones a que se refiere el artículo 1, apartado 1, son los servicios responsables de las actividades descritas en el artículo 1, apartado 2.
3. Las limitaciones de los derechos y obligaciones en materia de datos personales deben mantenerse en vigor solo durante el tiempo necesario para cumplir la finalidad de la limitación. El período de conservación de los datos personales sometidos a limitación se definirá teniendo en cuenta la finalidad del tratamiento e incluirá el plazo necesario para la revisión administrativa y judicial.
Limitaciones
1. El SEAE podrá aplicar, caso por caso, limitaciones en virtud de la presente Decisión para salvaguardar:
a) la seguridad nacional, el orden público o la defensa de los Estados miembros, inclusive, sin carácter exhaustivo, la vigilancia y el tratamiento de los datos con fines de inteligencia o para la protección de vidas humanas, especialmente en respuesta a catástrofes naturales o de origen humano y a atentados terroristas;
b) la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, inclusive, sin carácter exhaustivo, la prevención de amenazas a la seguridad pública; dichas investigaciones podrán incluir investigaciones administrativas, procedimientos disciplinarios o investigaciones de la OLAF en la medida en que estén relacionadas con la prevención o la investigación de infracciones penales;
c) objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular los objetivos de la PESC o intereses económicos o financieros importantes de la Unión o de un Estado miembro, inclusive, sin carácter exhaustivo, en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social, y los procedimientos de contratación pública y las investigaciones en pos de objetivos importantes de interés público de la Unión;
d) la seguridad interna de las instituciones y organismos de la Unión, incluida, sin carácter exhaustivo, la de sus redes de información y comunicación electrónicas;
e) la protección de la independencia judicial y de los procedimientos judiciales, incluido el asesoramiento jurídico;
f) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas o del incumplimiento de las obligaciones que se derivan del Estatuto de los funcionarios (3) y del Reglamento Financiero (4), incluidos los asuntos sin relación con infracciones penales;
g) la función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos enunciados en las letras a) a c), incluido, sin carácter exhaustivo, el caso de una auditoría específica, una inspección o una investigación;
h) la protección del interesado o de los derechos y libertades de otros, incluida, sin carácter exhaustivo, la protección de los testigos, las personas interrogadas en el contexto de las investigaciones de seguridad, las investigaciones administrativas, las inspecciones y auditorías, los denunciantes de irregularidades y las presuntas víctimas de acoso;
i) la ejecución de demandas civiles.
2. Con sujeción a lo dispuesto en los artículos 4 a 8, el SEAE podrá limitar los derechos y las obligaciones a que se refiere el artículo 1, apartado 1, en relación con los datos personales obtenidos de otra institución, órgano u organismo de la Unión, de autoridades competentes de un Estado miembro o un tercer país o de una organización internacional, en los siguientes casos:
a) cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda verse limitado por parte de otra institución, órgano u organismo de la Unión sobre la base de actos pertinentes que hayan adoptado de conformidad con el artículo 25 o el capítulo IX del Reglamento o con sus actos constitutivos;
b) cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda verse limitado por parte de las autoridades competentes de un Estado miembro sobre la base de actos jurídicos adoptados de conformidad con el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5) o con arreglo a las medidas nacionales de transposición del artículo 13, apartado 3, del artículo 15, apartado 3, o del artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (6);
c) cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda comprometer la cooperación del SEAE con terceros países u organizaciones internacionales en el desempeño de sus funciones, a menos que los intereses o los derechos y libertades fundamentales de los interesados prevalezcan sobre esta necesidad de cooperar.
Antes de aplicar una limitación en virtud del presente apartado, el SEAE consultará a la institución, órgano u organismo de la Unión, la organización internacional o las autoridades competentes del Estado miembro pertinentes, a menos que sea evidente que la limitación esté contemplada en uno de los actos jurídicos a los que se refiere el presente apartado o que tal consulta comprometa las actividades del SEAE.
3. Antes de aplicar una limitación, el SEAE valorará si es necesaria y proporcionada en una sociedad democrática y si respeta en lo esencial los derechos y libertades fundamentales de los interesados.
Al valorar la necesidad y la proporcionalidad en cada caso, el SEAE hará lo siguiente:
i) Comparará el riesgo para los derechos y libertades del interesado con el riesgo para los derechos y libertades de los demás. Los riesgos para los derechos y libertades del interesado tienen que ver principalmente con su privacidad, su reputación y el momento en que pueden empezar a ejercer sus derechos de defensa.
ii) Valorará la necesidad de salvaguardar el objetivo de las actividades del SEAE mencionadas en el artículo 1, apartado 2, en particular el riesgo de destrucción u ocultación de pruebas.
Se documentará esta valoración de la necesidad y la proporcionalidad, así como los motivos de la limitación. A tal fin, toda limitación se consignará específicamente en el inventario gestionado por el responsable del tratamiento de los datos y se indicará de qué manera el ejercicio de los derechos y el cumplimiento de las obligaciones limitados a que se refiere el artículo 1, apartado 1, comprometería la finalidad de las actividades a que se refiere el artículo 1, apartado 2, o perjudicaría a los derechos y libertades de otros. También se registrarán los documentos que contengan los fundamentos de hecho y de Derecho de la limitación. Estos registros se pondrán a disposición del Supervisor Europeo de Protección de Datos previa solicitud.
El acceso a los registros del inventario, incluida la nota de evaluación, estará limitado mientras la razón que justifica la limitación siga siendo válida de conformidad con los apartados 4 y 5.
4. Se levantarán las limitaciones tan pronto como desaparezcan las razones que las justifiquen.
5. La necesidad de mantener una limitación se revisará con una periodicidad adecuada, como mínimo cada seis meses desde su adopción y, en cualquier caso, al concluir el procedimiento correspondiente de las actividades mencionadas en el artículo 1, apartado 2.
Revisión por parte del delegado de protección de datos
1. Las entidades organizativas notificarán al DPD, por escrito y sin dilaciones indebidas, las limitaciones del ejercicio de los derechos y del cumplimiento de las obligaciones a que se refiere el artículo 1, apartado 1, las revisiones de las limitaciones, y las extensiones y levantamientos de estas. El DPD tendrá acceso a los registros establecidos de conformidad con el artículo 3, apartado 3.
2. El DPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de la limitación. Este notificará por escrito al DPD el resultado de la revisión solicitada.
3. Los documentos a que se refiere el presente artículo se pondrán a disposición del SEPD previa solicitud.
Comunicación de información a los interesados e información sobre las limitaciones
1. El SEAE publicará en su sitio web o en su intranet las declaraciones de confidencialidad y los anuncios de protección de datos por los que informarán a los interesados sobre sus derechos y sus posibles limitaciones y sobre las actividades de tratamiento de datos personales que lleva a cabo.
2. El responsable del tratamiento podrá limitar el derecho a la información en lo que se refiere a las actividades contempladas en el artículo 1, apartado 2, incisos i), ii), iii), iv), v), vi), viii), xi), xii) y xiii). Sin perjuicio de lo dispuesto en el apartado 4, el SEAE informará, cuando ello sea proporcionado, a los interesados individualmente sobre la aplicación de la limitación por escrito y sin dilaciones indebidas. Cuando no se conceda una solicitud de un interesado debido a una limitación, se informará a los interesados de los principales motivos en los que se basa la limitación y de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.
3. Las limitaciones contempladas en el presente artículo se aplicarán con arreglo a lo dispuesto en los artículos 3 y 4.
4. La comunicación de información sobre una limitación en virtud de la presente Decisión podrá aplazarse, omitirse o denegarse si dicha comunicación puede dejar sin efecto la limitación. Este aplazamiento, omisión o denegación se aplicará con arreglo a lo dispuesto en los artículos 3 y 4.
Derecho de acceso
1. El derecho de acceso contemplado en el artículo 17 del Reglamento podrá limitarse respecto de las actividades contempladas en el artículo 1, apartado 2, incisos i), ii), iii), iv), v), vi), vii), viii), x), xi), xii) y xiii).
2. Cuando los interesados soliciten el acceso a datos personales suyos que hayan sido tratados en el contexto de una actividad específica de las contempladas en el artículo 1, apartado 2, el SEAE limitará su respuesta a los datos personales tratados para dicha actividad.
3. Cuando el SEAE limite, total o parcialmente, el derecho de acceso de los interesados a sus datos personales, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, informará al interesado en cuestión, en su respuesta a la solicitud de acceso, por escrito y sin dilaciones indebidas, de la limitación aplicada y de los principales motivos en que se basa. La comunicación de información sobre los motivos de la limitación podrá aplazarse, omitirse o denegarse en la medida en que ponga en peligro el objetivo de la limitación.
4. El SEAE podrá limitar, caso por caso, el derecho de los interesados a tener acceso directo a los datos médicos de índole psicológica o psiquiátrica, cuando el acceso a dichos datos pueda representar un riesgo para la salud del interesado. Esta limitación será proporcionada a lo estrictamente necesario para proteger al interesado. En tales casos, el acceso a la información se concederá al médico que escoja el interesado.
5. Las limitaciones contempladas en el presente artículo se aplicarán con arreglo a lo dispuesto en los artículos 3, 4 y 5.
Derecho de rectificación, supresión y limitación del tratamiento de datos
1. El derecho de rectificación, supresión y limitación del tratamiento contemplado en el artículo 18, el artículo 19, apartado 1, y el artículo 20, apartado 1, del Reglamento podrá limitarse respecto de las actividades contempladas en el artículo 1, apartado 2, incisos i), ii), iii), iv), v), vi), vii), viii), ix), x), xi), xii) y xiii).
2. En relación con datos médicos, los interesados pueden ejercer el derecho de rectificación de las valoraciones o dictámenes de los médicos o asesores médicos del SEAE presentando sus observaciones o un informe de un médico de su elección.
3. Las limitaciones contempladas en el presente artículo se aplicarán con arreglo a lo dispuesto en los artículos 3, 4 y 5.
Comunicación de violaciones de la seguridad de los datos personales a los interesados
1. El derecho de los interesados a la comunicación de las violaciones de la seguridad de los datos personales contemplado en el artículo 35 del Reglamento podrá limitarse respecto de las actividades contempladas en el artículo 1, apartado 2, incisos i), ii), iii), iv), v), vi), viii), xi), xii) y xiii).
2. Las limitaciones contempladas en el presente artículo se aplicarán con arreglo a lo dispuesto en los artículos 3, 4 y 5.
Confidencialidad de las comunicaciones electrónicas
1. La obligación de garantizar la confidencialidad de las comunicaciones electrónicas solo podrá limitarse respecto de las actividades contempladas en el artículo 1, apartado 2, incisos i), ii), iii), iv), xi), xii) y xiii) en los siguientes casos excepcionales:
a) si la limitación de la obligación de garantizar la confidencialidad de la identificación de la línea llamante es necesaria para rastrear llamadas molestas;
b) si la limitación de la obligación de garantizar la confidencialidad de los datos de identificación y localización de la línea llamante es necesaria para permitir a los servicios de emergencia llevar a cabo sus tareas con eficacia;
c) si la limitación de la obligación de garantizar la confidencialidad de las comunicaciones, los datos de tráfico y los datos de localización es necesaria para salvaguardar la seguridad nacional, el orden público o la defensa de los Estados miembros, la seguridad interna de las instituciones y organismos de la Unión, y la prevención, investigación, detección y enjuiciamiento de infracciones penales, de incumplimientos del Estatuto de los funcionarios y del Reglamento financiero o de utilizaciones no autorizadas del sistema de comunicación electrónica, a que se refiere el artículo 25 del Reglamento.
2. Las limitaciones contempladas en el presente artículo se aplicarán con arreglo a lo dispuesto en los artículos 3, 4 y 5.
Entrada en vigor
La presente Decisión entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 1 de octubre de 2019.
Federica MOGHERINI
La Alta Representante
(1) DO L 201 de 3.8.2010, p. 30.
(2) DO L 295 de 21.11.2018, p. 39.
(3) Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios y el régimen aplicable a los otros agentes de la Unión Europea (DO P 45 de 14.6.1962, p. 1385, en su versión consolidada).
(4) Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).
(5) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(6) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
