Agencia Estatal Boletín Oficial del Estado

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) no 223/2014 del Parlamento Europeo y del Consejo, de 11 de marzo de 2014, relativo al Fondo de Ayuda Europea para las Personas Más Desfavorecidas (1), y, en particular, su artículo 30, apartado 4,

Considerando lo siguiente:

(1) Con arreglo al artículo 30, apartado 4, del Reglamento (UE) no 223/2014, todos los intercambios oficiales de información entre el Estado miembro y la Comisión deben efectuarse utilizando un sistema de intercambio electrónico de datos. Por tanto, es necesario establecer los términos y condiciones que dicho sistema debe cumplir.

(2) A fin de garantizar la mejora de la calidad de la información sobre la ejecución de los programas operativos, el mayor grado de utilidad del sistema y su simplificación, es necesario establecer unos requisitos básicos en cuanto a la forma y el alcance de la información que se va a intercambiar.

(3) Es necesario establecer los principios y las normas aplicables al funcionamiento del sistema por lo que respecta a la identificación de la parte responsable de cargar y actualizar los documentos.

(4) A fin de garantizar la reducción de la carga administrativa para los Estados miembros y la Comisión, velando, al mismo tiempo, por la eficiencia y la eficacia del intercambio electrónico de la información, es necesario establecer las características técnicas del sistema.

(5)Los Estados miembros y la Comisión también han de poder codificar y transferir los datos de dos maneras diferentes, que deben ser especificadas. Es necesario, además, establecer normas para los casos de fuerza mayor que obstaculicen la utilización del sistema de intercambio electrónico de datos, a fin de garantizar que tanto los Estados miembros como la Comisión puedan seguir intercambiando información por medios alternativos.

(6)Los Estados miembros y la Comisión deben velar por que la transferencia de datos a través del sistema de intercambio electrónico se lleve a cabo de una manera segura, que garantice la disponibilidad, la integridad, la autenticidad, la confidencialidad y la irrenunciabilidad de la información. Así pues, deben establecerse normas sobre seguridad.

(7) El presente Reglamento debe respetar los derechos fundamentales y observar los principios reconocidos en la Carta de los Derechos Fundamentales de la Unión Europea, en particular el derecho a la protección de los datos personales.

Por consiguiente, el presente Reglamento debe aplicarse de conformidad con estos derechos y principios.

En lo que se refiere al tratamiento de datos personales por parte de los Estados miembros, se aplica la Directiva 95/46/CE del Parlamento Europeo y del Consejo (2).

En lo que se refiere al tratamiento de datos personales por parte de las instituciones y organismos de la Unión y a la libre circulación de estos datos, se aplica el Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo (3).

(8) A fin de garantizar la rápida aplicación de las medidas establecidas en el presente Reglamento, este debe entrar en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

(9) Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité del Fondo de Ayuda Europea para las Personas Más Desfavorecidas.

__________________________

(1)Reglamento (UE) no 223/2014 del Parlamento Europeo y del Consejo, de 11 de marzo de 2014, relativo al Fondo de Ayuda Europea para las Personas Más Desfavorecidas (DO L 72 de 12.3.2014, p. 1).

(2)Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

(3)Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

HA ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I

DISPOSICIONES DE APLICACIÓN DEL REGLAMENTO (UE) No 223/2014 POR LO QUE RESPECTA AL FONDO DE AYUDA EUROPEA PARA LAS PERSONAS MÁS DESFAVORECIDAS (FEAD) SISTEMA DE INTERCAMBIO ELECTRÓNICO DE DATOS [Capacitación con arreglo al artículo 30, apartado 4, del Reglamento (UE) no 223/2014]

Artículo 1

Establecimiento de un sistema de intercambio electrónico de datos

La Comisión establecerá un sistema de intercambio electrónico de datos para todos los intercambios oficiales de información entre el Estado miembro y la Comisión.

Artículo 2

Contenido del sistema de intercambio electrónico de datos

El sistema de intercambio electrónico de datos (en lo sucesivo, «el SFC2014») deberá contener, como mínimo, la información que se especifica en los modelos, formatos y plantillas establecidos de conformidad con el Reglamento (UE) no 223/2014. La información facilitada en los formularios electrónicos integrados en el SFC2014 (en lo sucesivo, «los datos estructurados») no podrá reemplazarse por datos no estructurados, como los facilitados por medio de enlaces o los incluidos en documentos o imágenes adjuntos.

Cuando un Estado miembro remita la misma información en forma de datos estructurados y de datos no estructurados, en caso de incoherencia deberán utilizarse los datos estructurados.

Artículo 3

Funcionamiento del SFC2014

1.La Comisión, las autoridades designadas por el Estado miembro con arreglo al artículo 59, apartado 3, del Reglamento (UE, Euratom) no 966/2012 del Parlamento Europeo y del Consejo (1) y al artículo 31 del Reglamento (UE) no 223/2014 y los organismos en los que se haya delegado la labor de estas autoridades deberán introducir en el SFC2014 la información de cuya transmisión sean responsables y todas sus actualizaciones.

2.Toda transmisión de información a la Comisión deberá ser verificada y presentada por una persona distinta de la que introdujo los datos. Tanto el SFC2014 como los sistemas de información sobre gestión y control del Estado miembro conectados automáticamente al SFC2014 serán compatibles con esta separación de funciones.

3.Los Estados miembros designarán, a nivel nacional, a una o varias personas responsables de la gestión de los derechos de acceso al SFC2014, que desempeñarán las tareas siguientes:

a) identificar a los usuarios que soliciten acceso y asegurarse de que son empleados de la organización;

b) informar a los usuarios de sus obligaciones para preservar la seguridad del sistema;

c) comprobar que los usuarios están autorizados a acceder al nivel de privilegios requerido en relación con sus tareas y su posición jerárquica;

d) solicitar la supresión de los derechos de acceso cuando estos hayan dejado de ser necesarios o de estar justificados;

e) informar rápidamente de todo hecho sospechoso que pudiera afectar a la seguridad del sistema;

f) garantizar ininterrumpidamente la exactitud de los datos de identificación de los usuarios e informar de todo cambio que se produzca al respecto;

g) tomar las precauciones necesarias relativas a la protección de los datos y la confidencialidad comercial con arreglo a la legislación nacional y de la Unión;

h) informar a la Comisión de cualquier cambio que afecte a la capacidad de las autoridades del Estado miembro o de los usuarios del SFC2014 para asumir las responsabilidades contempladas en el apartado 1 o su capacidad personal para desempeñar las tareas contempladas en las letras a) a g).

__________________________

(1)Reglamento (UE, Euratom) no 966/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre las normas financieras aplicables al presupuesto general de la Unión y por el que se deroga el Reglamento (CE, Euratom) no 1605/2002 del Consejo (DO L 298 de 26.10.2012, p. 1).

4.Los intercambios de datos y las transacciones llevarán una firma electrónica obligatoria a tenor de la definición de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo (1).

Los Estados miembros y la Comisión reconocerán la eficacia y la admisibilidad jurídicas de la firma electrónica utilizada en el SFC2014 como prueba en los procedimientos judiciales.

La información procesada por el SFC2014 deberá respetar la privacidad y los datos personales de las personas físicas y la confidencialidad comercial de las entidades jurídicas, de conformidad con la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (2), la Directiva 2009/136/CE del Parlamento Europeo y del Consejo (3), la Directiva 1995/46/CE y el Reglamento (CE) no 45/2001.

Artículo 4

Características del SFC2014

A fin de garantizar la eficiencia y la eficacia del intercambio electrónico de la información, el SFC2014 tendrá las siguientes características:

a) formularios interactivos o precumplimentados por el sistema a partir de los datos registrados previamente en él;

b) cálculos automáticos, que reduzcan el esfuerzo de codificación de los usuarios;

c) controles incorporados de manera automática para verificar la coherencia interna de los datos transmitidos y de ellos con las disposiciones aplicables;

d) alertas generadas por el sistema que adviertan a los usuarios del SFC2014 de que determinadas acciones pueden o no realizarse;

e) seguimiento en línea del tratamiento de la información introducida en el sistema;

f)disponibilidad de los datos históricos relativos a toda la información introducida en relación con un programa operativo.

_______________________

(1)Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica (DO L 13 de 19.1.2000, p. 12).

(2)Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la intimidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(3)Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/CE, relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas; Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas; y Reglamento (CE) no 2006/2004, sobre la cooperación entre las autoridades nacionales encargadas de la aplicación de la legislación de protección de los consumidores (DO L 337 de 18.12.2009, p. 11).

Artículo 5

Transmisión de datos a través del SFC2014

1.Los Estados miembros y la Comisión podrán acceder al SFC2014, bien directamente a través de una interfaz de usuario interactiva (es decir, una aplicación web), bien a través de una interfaz técnica que utilice protocolos predeterminados (es decir, servicios web) y que permita que la sincronización y la transmisión de datos entre los sistemas de información de los Estados miembros y el SFC2014 se realicen automáticamente.

2.La fecha de transmisión electrónica de la información por parte del Estado miembro a la Comisión y viceversa se considerará la fecha de presentación del documento de que se trate. 3.En caso de fuerza mayor, avería del SFC2014 o desconexión de más de un día hábil de duración, la semana anterior al vencimiento de un plazo reglamentario para presentar información, entre el 23 y el 31 de diciembre o durante cinco días hábiles en cualquier otro momento, el intercambio de información entre el Estado miembro y la Comisión podrá hacerse en papel, utilizando los modelos, formatos y plantillas a los que se hace referencia en el artículo 2 del presente Reglamento. Cuando vuelva a funcionar el sistema de intercambio electrónico, se restablezca la conexión o finalice la causa de fuerza mayor, la parte interesada deberá consignar sin demora también en el SFC2014 la información ya enviada en papel.

4.En los casos a los que se refiere el apartado 3, la fecha del matasellos de correos se considerará la fecha de presentación del documento de que se trate.

Artículo 6

Seguridad de los datos transmitidos a través del SFC2014

1.La Comisión establecerá una política de seguridad de las tecnologías de la información para el SFC2014 (en lo sucesivo, «política de seguridad TI del SFC»), aplicable al personal que utilice el SFC2014, de conformidad con la legislación pertinente de la Unión, en particular con la Decisión C (2006) 3602 de la Comisión (1) y sus disposiciones de aplicación. La Comisión designará a una o varias personas responsables de definir, mantener y garantizar la correcta aplicación de la política de seguridad al SFC2014.

2.Los Estados miembros y las instituciones europeas distintas de la Comisión que hayan recibido derechos de acceso al SFC2014 cumplirán los términos y condiciones en materia de seguridad TI publicados en el portal SFC2014, así como las medidas implementadas por la Comisión en el SFC2014 para proteger la transmisión de los datos, en particular por lo que respecta a la utilización de la interfaz técnica contemplada en el artículo 5, apartado 1, del presente Reglamento.

3.Los Estados miembros y la Comisión aplicarán las medidas de seguridad adoptadas para proteger los datos que hayan almacenado y transmitido a través del SFC2014 y velarán por su eficacia. 4.Los Estados miembros adoptarán políticas nacionales, regionales o locales de seguridad de la información que cubran el acceso al SFC2014 y la introducción automática de datos y garanticen unos requisitos mínimos de seguridad. Dichas políticas nacionales, regionales o locales podrán remitir a otros documentos de seguridad. Los Estados miembros velarán por que estas políticas se apliquen a todas las autoridades que utilicen el SFC2014.

5.Las políticas nacionales, regionales o locales de seguridad TI incluirán lo siguiente:

a) los aspectos relativos a la seguridad TI del trabajo realizado por la persona o personas responsables de la gestión de los derechos de acceso contemplados en el artículo 3, apartado 3, del presente Reglamento, en caso de utilización directa;

b) en el caso de sistemas informáticos nacionales, regionales o locales conectados al SFC2014 a través de la interfaz técnica contemplada en el artículo 5, apartado 1, del presente Reglamento, las medidas de seguridad para dichos sistemas que permitan cumplir los requisitos de seguridad del SFC2014.

A efectos de la letra b) del párrafo primero, deberán cubrirse los siguientes aspectos, según proceda:

a) seguridad física;

b) soportes de datos y control de acceso;

c) control de almacenamiento;

d) acceso y control de contraseñas;

e) seguimiento;

f) interconexión con el SFC2014;

g) infraestructura de comunicaciones;

h) gestión de recursos humanos antes y después de la utilización, y durante la misma;

i) gestión de incidentes.

6.Las políticas nacionales, regionales o locales de seguridad TI se basarán en una evaluación de los riesgos, y las medidas descritas serán proporcionadas a los riesgos detectados.

7.Los documentos en los que se establezcan las políticas nacionales, regionales o locales de seguridad TI se pondrán a disposición de la Comisión cuando esta lo solicite.

8.Los Estados miembros designarán, a nivel nacional, a una o varias personas responsables de mantener y garantizar la aplicación de las políticas nacionales, regionales o locales de seguridad TI. Dicha persona o personas actuarán como punto de contacto con la persona o personas designadas por la Comisión a las que se hace referencia en el artículo 6, apartado 1, del presente Reglamento.

9.Tanto la política de seguridad TI del SFC como las políticas nacionales, regionales o locales de seguridad TI pertinentes se actualizarán en caso de cambios tecnológicos, identificación de nuevas amenazas u otras circunstancias pertinentes. En cualquier caso, se revisarán anualmente para que sigan ofreciendo una respuesta adecuada.

__________________________

(1)Decisión de la Comisión C (2006) 3602, de 16 de agosto de 2006, relativa a la seguridad de los sistemas de información utilizados por la Comisión Europea.

CAPÍTULO II DISPOSICIÓN FINAL

Artículo 7

El presente Reglamento entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 5 de mayo de 2014.

Por la Comisión El Presidente

José Manuel BARROSO