Agencia Estatal Boletín Oficial del Estado

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Previa consulta al Supervisor Europeo de Protección de Datos,

Considerando lo siguiente:

(1)

En su Comunicación de mayo de 2008 (1), la Comisión anunció la concepción y la instauración del Portal Europeo e-Justicia (en lo sucesivo denominado «el Portal»), gestionado en estrecha cooperación con los Estados miembros.

(2)

En el Plan de acción plurianual 2009-2013 relativo a la justicia en red europea (2), de 8 de noviembre de 2008, se encomendó a la Comisión Europea la puesta en marcha del Portal, cuya inauguración tuvo lugar el 16 de julio de 2010. La adopción de la presente Decisión no ha sido necesaria hasta ahora, momento en el que el Portal admite la primera interconexión de registros nacionales que implica el tratamiento de datos de carácter personal.

(3)

El objetivo del Portal es contribuir a la implantación del espacio judicial europeo, propiciando y mejorando el acceso a la justicia y movilizando las tecnologías de la información y comunicación para facilitar los procesos judiciales electrónicos transfronterizos y la cooperación judicial.

(4)

Las instituciones, órganos, oficinas y agencias de la Unión Europea, así como los Estados miembros, en su labor de aplicación del Derecho de la Unión, deben respetar los derechos fundamentales y observar los principios reconocidos en la Carta de los Derechos Fundamentales de la Unión Europea, en particular el derecho a la protección de los datos de carácter personal consagrado en el artículo 8 de dicha Carta.

(5)

Habida cuenta de que las diversas tareas y funciones encomendadas a la Comisión y a los Estados miembros en relación con el Portal llevan aparejadas distintas responsabilidades y obligaciones en materia de protección de datos, es preciso delimitarlas claramente.

(6)

El carácter específico de las actividades relacionadas con el Portal europeo e-Justicia, desarrolladas conjuntamente por la Comisión y los Estados miembros, hace que el papel de la Comisión en el tratamiento de datos personales a través del Portal sea limitado. Debe precisarse que la Comisión no tiene responsabilidad alguna en cuanto al contenido de las bases de datos nacionales interconectadas a través del Portal.

(7)

El Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo (3) es aplicable al tratamiento de datos personales por la Comisión en el Portal. La Comisión es responsable, en particular, de aportar la infraestructura informática para las funciones del Portal, incluida la interconexión de las bases de datos nacionales.

(8)

De conformidad con el Reglamento (CE) no 45/2001, los fines del tratamiento de datos personales deben indicarse explícitamente. Por lo tanto, la Comisión solo debe proceder al tratamiento de datos personales en el Portal con la finalidad de facilitar el acceso a las bases de datos interconectadas que contengan datos personales, prestar servicios interactivos que permitan a los usuarios comunicarse directamente con las autoridades competentes de otro Estado miembro, facilitar el acceso a la información pública destinada a usuarios registrados, o proporcionar información de contacto.

(9)

La Comisión debe integrar en el sistema tecnologías que plasmen el concepto de «protección de datos desde el diseño». Para materializar ese concepto, deberá llevarse a cabo, durante la fase de diseño, una evaluación del impacto en la privacidad y la protección de datos de la función asociada con el tratamiento de datos personales a través del Portal, así como de otras funciones del Portal. Esa evaluación detectará todo posible riesgo para la protección de los datos. También determinará las medidas y salvaguardias oportunas que habrán de integrarse en el sistema con fines de protección de los datos personales.

(10)

La Comisión deberá llevar a cabo evaluaciones de seguridad continuas y apropiadas a medida que vaya desplegándose la actividad de interconexión de las bases de datos nacionales.

(11)

Solo podrá consultarse a través del Portal la información que esté a disposición del público en las bases de datos nacionales interconectadas. No deberá ser posible combinar la información procedente de distintas bases nacionales interconectadas para distintos fines a través del Portal.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto

La presente Decisión establece las funciones y responsabilidades de la Comisión Europea en relación con los requisitos de protección de datos al tratar datos personales en el Portal Europeo e-Justicia (en lo sucesivo denominado «el Portal»).

Artículo 2

Definiciones

A efectos de la presente Decisión, se aplicarán las definiciones establecidas en el Reglamento (CE) no 45/2001. Además, se aplicarán las siguientes definiciones:

a) «agente europeo de e-Justicia»: representante de un Estado miembro o de una organización asociada de e-Justicia europea al que se haya autorizado a modificar (parcialmente) el contenido del Portal;

b) «bases de datos nacionales interconectadas»: bases de datos que contengan información a disposición del público, gestionadas por los Estados miembros y otros organismos, como asociaciones profesionales y organizaciones sin ánimo de lucro y que estén interconectadas a través del Portal de forma que la información disponible a nivel nacional pueda consultarse a través del Portal;

c) «información a disposición del público»: información a la que pueda acceder el público a través de internet;

d) «usuario registrado»: usuario del Portal que se haya dado de alta en este, a través del Servicio de Autenticación de la Comisión Europea (ECAS), como «agente europeo de e-Justicia».

Artículo 3

Tratamiento de los datos

La Comisión procederá al tratamiento de los datos personales en el Portal únicamente en la medida en que sea necesario para:

a) facilitar el acceso a las bases de datos nacionales interconectadas que contengan datos personales;

b) prestar servicios interactivos que permitan a los usuarios registrados comunicarse directamente con las autoridades competentes de otro Estado miembro;

c) facilitar el acceso a la información pública destinada a los usuarios registrados;

d) proporcionar información de contacto.

Artículo 4

Funciones de responsable del tratamiento de los datos

1. La Comisión ejercerá las funciones de responsable del tratamiento de los datos de conformidad con el artículo 2, letra d), del Reglamento (CE) no 45/2001, en cumplimiento de las correspondientes responsabilidades del Portal a que se refiere el presente artículo.

2. La Comisión garantizará la disponibilidad, el mantenimiento y la seguridad de la infraestructura informática del Portal.

3. La Comisión será responsable de las operaciones de tratamiento siguientes:

a) organización;

b) comunicación por transmisión;

c) difusión o cualquier otra forma de facilitación;

d) alineación o combinación de datos personales derivados de la interconexión de las bases de datos nacionales o de los datos personales de los usuarios registrados.

4. La Comisión definirá los protocolos necesarios y aplicará las soluciones técnicas adecuadas para cumplir las responsabilidades que entraña la función de responsable del tratamiento de los datos.

5. La Comisión aplicará las medidas técnicas necesarias para garantizar la seguridad de los datos personales mientras estén en tránsito y durante su exposición en el Portal, y, en particular, la confidencialidad y la integridad de cualquier transmisión hacia y desde el Portal.

6. No podrá tenerse a la Comisión por responsable de los aspectos relativos a la protección de datos relacionados con:

a) la recogida inicial y el almacenamiento de cualquier dato derivado de la interconexión de las bases de datos nacionales;

b) cualquier decisión adoptada por los Estados miembros para facilitar esos datos a través del Portal;

c) el contenido de cualquiera de los datos derivados de la interconexión de las bases de datos nacionales accesibles a través del Portal.

7. Las obligaciones de la Comisión se entienden sin perjuicio de las responsabilidades de los Estados miembros y de otros organismos en cuanto al contenido y el funcionamiento de las bases de datos nacionales interconectadas que mantengan.

Artículo 5

Obligaciones de información

1. La Comisión proporcionará a los interesados la información que se especifica en los artículos 11 y 12 del Reglamento (CE) no 45/2001 en lo que respecta a la información de la que la Comisión es responsable en virtud de la presente Decisión.

2. Sin perjuicio de las obligaciones para con los interesados de los Estados miembros y demás organismos que gestionen las bases de datos nacionales interconectadas, la Comisión comunicará también a los interesados a quién dirigirse para el ejercicio efectivo de sus derechos de información, acceso, rectificación y oposición, de conformidad con la legislación aplicable en materia de protección de datos. La Comisión hará referencia a las declaraciones específicas de confidencialidad de los Estados miembros y otros organismos.

3. Además, también facilitará en el Portal:

a) traducciones, a las lenguas del Portal, de las declaraciones de confidencialidad de los Estados miembros a que se refiere el apartado 2;

b) una cláusula de confidencialidad global correspondiente al Portal, redactada de forma clara y comprensible, de conformidad con los artículos 11 y 12 del Reglamento (CE) no 45/2001.

Artículo 6

Almacenamiento de datos personales

1. Por lo que respecta a los intercambios de información procedente de las bases de datos nacionales interconectadas, no se almacenarán en el Portal datos personales de los interesados. Todos esos datos se almacenarán en las bases de datos nacionales gestionadas por los Estados miembros u otros organismos.

2. Tampoco se almacenarán en el Portal los datos personales relativos a los usuarios del Portal o facilitados por ellos, salvo cuando se hayan dado de alta como usuarios registrados. Los datos personales de los usuarios registrados se almacenarán hasta que estos soliciten la supresión de su registro. De conformidad con lo dispuesto en el artículo 3, los datos personales de los agentes europeos o de los puntos de contacto de e-Justicia solo se almacenarán mientras esas personas sigan ejerciendo su función.

Artículo 7

Fecha de entrada en vigor

La presente Decisión entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 5 de junio de 2014.

Por la Comisión

El Presidente José Manuel BARROSO

_____________________________

(1) COM (2008) 329 final de 30.5.2008.

(2) DO C 75 de 31.3.2009, p. 1.

(3) Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1)