Agencia Estatal Boletín Oficial del Estado
EL BANCO EUROPEO DE INVERSIONES («BEI»),
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 309,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos y por el que se deroga el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1),
Vistos los dictámenes del Supervisor Europeo de Protección de Datos (SEPD) (2),
Considerando que:
(1) En el marco de la Política Antifraude del BEI (3) y del Mandato de la División Investigación de Fraudes del BEI (4), la División Investigación de Fraudes del BEI, dentro de la Inspección General («IG/IN») tiene la responsabilidad de investigar las denuncias de fraude, corrupción, colusión, coerción, obstrucción, blanqueo de capitales y financiación del terrorismo («Prácticas prohibidas») relacionadas con las actividades del BEI. IG/IN tiene el mandato de investigar: i) a los miembros de los órganos rectores, del personal y consultores del BEI, ii) a las partes vinculadas a los proyectos del BEI, iii) a las partes vinculadas a la adjudicación de contratos del BEI, y iv) a las partes vinculadas a las actividades de empréstito y a la tesorería del BEI. El mandato de la IG/IN incluye también la realización de análisis proactivos sobre la integridad en los ámbitos de mayor riesgo, con el fin de mejorar la eficacia y la eficiencia de las operaciones y actividades del BEI.
(2) En el marco del Código de Conducta del Personal del BEI (5) y de la política de denuncia de irregularidades del BEI (6), en su versión modificada y completada periódicamente, los miembros del personal del BEI tienen la obligación de informar de cualquier incumplimiento de los deberes profesionales, entre los que se incluyen cualquier actividad ilegal, práctica prohibida y/o infracción de los reglamentos, normas, políticas o líneas directrices del Grupo BEI, incluido el Código de Conducta, a los servicios competentes, en función de la infracción, por ejemplo, la Oficina de Conformidad del BEI («OCCO») y la Inspección General del BEI («IG»).
(3) En el marco del Mandato de la Oficina de Conformidad del Grupo («Mandato de GCCO») y de la Carta de la Política de Integridad y Conformidad, (7) la Oficina de Conformidad del Grupo se encarga de identificar y evaluar los riesgos de no conformidad dentro del Grupo BEI, así como de asesorar y realizar el seguimiento y elaborar los informes pertinentes, es decir, el riesgo de sanciones legales o reglamentarias o de pérdida financiera o pérdida de reputación a las que puede estar expuesto un miembro del Grupo BEI debido al incumplimiento del conjunto de leyes aplicables, reglamentos, códigos de conducta del personal y normas de buenas prácticas vigentes. De conformidad con el Mandato de GCCO, la Oficina lleva a cabo las investigaciones administrativas necesarias sobre un posible incumplimiento por parte de los miembros del personal de los Códigos de Conducta del Grupo BEI. El personal del Grupo BEI tiene el deber de cooperar en la realización de dichas investigaciones administrativas de la manera especificada por la Oficina de Conformidad del Grupo.
(4) En el desempeño de sus funciones respectivas, IG/IN y OCCO están obligados a respetar los derechos de las personas físicas en relación con el tratamiento de los datos de carácter personal reconocidos en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea, así como por actos jurídicos basados en dichas disposiciones. Al mismo tiempo, IG/IN y OCCO tienen la obligación de cumplir las estrictas normas de confidencialidad y secreto profesional a que se refiere el Reglamento del Personal del BEI y el Código de Conducta del Personal del BEI, y a garantizar el respeto de los derechos procedimentales de los interesados y los testigos, en particular, el derecho de toda persona a la presunción de inocencia.
(5) En determinadas circunstancias, es necesario conciliar los derechos de los interesados en virtud del Reglamento (UE) 2018/1725 («Reglamento») con los fines y las necesidades de las respectivas tareas de IG/IN y OCCO, así como con el pleno respecto de los derechos fundamentales y las libertades de los otros titulares de datos. A tal efecto, el artículo 25 del Reglamento otorga a IG/IN y a OCCO la posibilidad de restringir, según sus respectivos mandatos, la aplicación de los artículos 14 a 22, 35 y 36, así como del artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22. Para ello, es necesario un reglamento interno con arreglo al cual el responsable pertinente del tratamiento de los datos pueda restringir los derechos de los interesados con arreglo al artículo 25 del Reglamento.
(6) Las normas internas deben aplicarse, a lo largo de todo el proceso, a todas las operaciones de tratamiento llevadas a cabo por IG/IN y OCCO en el cumplimiento de sus respectivos mandatos, según se contempla respectivamente en la Política Antifraude del BEI, el Mandato de la División Investigación de Fraudes del BEI, la Carta de la Política de Integridad y Conformidad, así como en el Mandato de GCCO.
(7) En cumplimiento de lo dispuesto en los artículos 14, 15 y 16 del Reglamento, el responsable pertinente del tratamiento de datos debe informar a todos los interesados de las actividades de tratamiento de sus datos personales y de sus derechos de un modo transparente y coherente, en forma de anuncios de protección de datos publicados en el sitio web y la intranet del BEI, así como informar individualmente a los titulares de los datos pertinentes para sus actividades (interesados, testigos e informantes).
(8) Por estas razones, IG/IN y OCCO pueden necesitar invocar la aplicación de algunos de los motivos de restricción a que se refiere el artículo 25 del Reglamento (UE) 2018/1725 a las operaciones de tratamiento de datos efectuadas en el marco de sus funciones establecidas respectivamente en i) la Política Antifraude del BEI y los Procedimientos de Investigación en el caso de IG/IN (8), y ii) el Mandato de GCCO en el caso de OCCO.
(9) La comunicación entre la Oficina Europea de Lucha contra el Fraude («OLAF») y el BEI se realiza de conformidad con el acuerdo administrativo entre la OLAF y el BEI de 31 de marzo de 2016.
(10) Además, con el fin de mantener una cooperación eficaz, IG/IN y OCCO pueden necesitar aplicar restricciones a los derechos de los titulares de datos para proteger la información que contenga datos personales procedente de otros servicios del BEI, de otras instituciones, órganos, oficinas y agencias de la Unión Europea, de las autoridades competentes de los Estados miembros y de terceros países, así como de organizaciones internacionales. A tal efecto, IG/IN y OCCO deben consultar con dichos otros servicios del BEI, instituciones, organismos, oficinas, agencias, autoridades y organizaciones internacionales los motivos y la necesidad y proporcionalidad de las restricciones.
(11) IG/IN y OCCO deberán gestionar todas las restricciones de manera transparente y consignar cada aplicación de restricciones en el sistema de registro correspondiente.
(12) De conformidad con el artículo 25, apartado 8, los responsables del tratamiento podrán aplazar o denegar la comunicación de información sobre los motivos de la aplicación de una restricción al interesado cuando dicha comunicación deje sin efecto la restricción impuesta. En particular, si se restringen los derechos contemplados en los artículos 16 y 35, la notificación de dicha restricción podría comprometer la finalidad de la restricción. Con el fin de garantizar que el derecho de los interesados a ser informados en virtud de los artículos 16 y 35 del Reglamento (UE) 2018/1725 solo se restrinja en la medida en que subsistan los motivos del aplazamiento, el responsable pertinente del tratamiento de datos deberá revisar periódicamente su posición.
(13) Cuando se restrinjan los derechos de los interesados, el responsable del tratamiento deberá evaluar, caso por caso, si la comunicación de la restricción pudiera comprometer su finalidad.
(14) El BEI ha designado su propio responsable de la protección de datos («RPD»), de conformidad con el artículo 24 del Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (9).
(15) El RPD puede llevar a cabo una revisión independiente de la aplicación de las restricciones, a fin de garantizar el cumplimiento de la presente Decisión.
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto y ámbito de aplicación
1. El presente capítulo establece las normas que deberá cumplir el responsable pertinente del tratamiento de datos, según se define en el artículo 2, apartado 1, de la presente Decisión, para informar a los interesados sobre el tratamiento de sus datos, de conformidad con los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725.
Establece asimismo las condiciones en las que el responsable pertinente del tratamiento de datos podrá restringir la aplicación de los artículos 14 a 22, 35 y 36, así como el artículo 4 del Reglamento, de conformidad con el artículo 25 de dicho Reglamento.
2. El presente capítulo se aplica al tratamiento de datos personales por IG/IN al objeto de o en relación con las actividades realizadas para desempeñar las funciones de IG/IN mencionadas en la Política Antifraude del BEI y el Mandato de la División Investigación de Fraudes.
3. En el marco de su mandato, IG/IN trata varias categorías de datos personales, en particular, datos de identificación, datos de contacto, datos profesionales y datos relacionados con los asuntos.
Determinación del responsable del tratamiento y medidas de salvaguardia
1. El responsable del tratamiento de datos es el Jefe de la División IG/IN.
2. Los datos personales se almacenan en un entorno electrónico y físico seguro que impide el acceso o la transferencia ilícita de datos a personas que no deban conocerlos.
3. Los datos personales se conservan durante al menos cinco años y hasta un máximo de diez años a partir del cierre de la investigación. Los datos relativos a casos no fundamentados se conservarán hasta un máximo de cinco años.
4. En casos excepcionales y debidamente justificados, se aplicarán plazos más largos que los especificados anteriormente, previo acuerdo del RPD.
Excepciones y restricciones aplicables
1. Cuando IG/IN ejerza sus funciones con respecto a los derechos de los interesados en virtud del Reglamento, deberá considerar si alguna de las excepciones establecidas en dicho Reglamento es de aplicación.
2. Con arreglo a los artículos 4 a 7 de la presente Decisión, IG/IN podrá limitar la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento, así como de su artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22 del Reglamento, cuando el ejercicio de esos derechos y obligaciones pudiera comprometer el objetivo de la investigación y de otras actividades de IG/IN, incluso mediante la revelación de sus herramientas y métodos de investigación, o pudiera afectar negativamente a los derechos y libertades de otros titulares de datos.
3. Con arreglo a los artículos 4 a 7 de la presente Decisión, IG/IN podrá limitar los derechos y obligaciones a que se refiere el apartado 2 del presente artículo en lo que respecta a los datos personales obtenidos por uno o varios servicios del BEI, la OLAF u otras instituciones, organismos, agencias y oficinas de la Unión Europea, así como por las autoridades competentes de los Estados miembros, de terceros países o de organizaciones internacionales, en las circunstancias siguientes:
a) cuando el ejercicio de esos derechos y obligaciones pueda ser restringido por otros servicios del BEI, la OLAF u otras instituciones, organismos, agencias y oficinas de la Unión Europea, sobre la base de otros actos jurídicos contemplados en el artículo 25 del Reglamento, o de conformidad con el capítulo IX de dicho Reglamento;
b) cuando el ejercicio de esos derechos y obligaciones pueda ser restringido por las autoridades competentes de los Estados miembros sobre la base de los actos jurídicos a que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (10), o con arreglo a las medidas nacionales de transposición de los artículos 13, apartado 3; 15, apartado 3 o 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (11);
c) cuando el ejercicio de esos derechos y obligaciones pueda comprometer la cooperación de IG/IN con terceros países y organizaciones internacionales en el desempeño de sus funciones.
Antes de aplicar las restricciones en las circunstancias mencionadas en las letras a) y b) del párrafo primero, IG/IN consultará a los servicios pertinentes del BEI, la OLAF, las instituciones, organismos, oficinas, agencias de la Unión Europea o a las autoridades competentes de los Estados miembros, a menos que esté claro para IG/IN que la aplicación de la restricción está prevista en uno de los actos a que se hace referencia en dichas letra s).
La letra c) del párrafo primero no se aplicará cuando sobre el interés de la Unión Europea en cooperar con terceros países u organizaciones internacionales prevalezca el interés o los derechos y libertades fundamentales de los interesados.
Comunicación de información a los titulares de los datos
1. IG/IN publicará en el sitio web del BEI un anuncio relativo a la protección de datos que informará a todos los titulares de los datos de las actividades de tratamiento de sus datos personales.
2. IG/IN informará individualmente a todos los titulares de los datos que considere interesados, testigos o informadores en el sentido de la Política Antifraude y de los Procedimientos de Investigación del BEI.
3. Cuando IG/IN restrinja, total o parcialmente, la comunicación de información a los titulares de los datos a que se refiere el apartado 2, hará constar los motivos de la restricción, incluida una evaluación de la necesidad y la proporcionalidad de la restricción.
A tal efecto, la anotación deberá indicar de qué modo la comunicación de información comprometería la finalidad de las actividades de investigación de IG/IN o de las restricciones aplicadas de conformidad con el artículo 3, apartado 3, o podría afectar negativamente a los derechos y libertades de otros titulares de datos.
La anotación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de Datos (SEPD), previa solicitud.
4. La restricción a que se refiere el apartado 3 seguirá siendo de aplicación mientras los motivos que la justifican sigan siendo aplicables.
Cuando los motivos de la restricción dejen de ser aplicables, IG/IN comunicará la información de que se trate y los motivos de la restricción al titular de los datos. Al mismo tiempo, IG/IN informará al titular de los datos de la posibilidad de presentar una reclamación ante el SEPD en cualquier momento o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
IG/IN revisará la aplicación de la restricción al menos cada seis meses desde la fecha de su adopción y al cierre de la investigación en cuestión. Posteriormente, el responsable del tratamiento deberá supervisar anualmente la necesidad de mantener cualquier restricción.
Derecho de acceso del interesado
1. Cuando los interesados soliciten el acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una determinada operación de tratamiento, de conformidad con el artículo 17 del Reglamento, IG/IN deberá circunscribir su evaluación de la solicitud a dichos datos personales únicamente.
2. Cuando IG/IN restrinja, en su totalidad o en parte, el derecho de acceso a que se refiere el artículo 17 del Reglamento, deberá adoptar las medidas siguientes:
a) informará al interesado, en su respuesta a la solicitud, de la restricción y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el SEPD o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea;
b) consignará los motivos de la restricción, incluida una evaluación de la necesidad y proporcionalidad de la restricción; a tal efecto, la anotación deberá indicar cómo comprometería la comunicación de información el objetivo de las actividades de investigación de IG/IN o de las restricciones aplicadas de conformidad con el artículo 3, apartado 3, o cómo podría afectar negativamente a los derechos y libertades de otros titulares de datos.
La comunicación de la información mencionada en la letra a) podrá aplazarse, omitirse o denegarse con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento.
3. La anotación a que se refiere el apartado 2, párrafo primero, letra b) y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del SEPD, previa solicitud. Será de aplicación el artículo 25, apartado 7, del Reglamento (UE) 2018/1725.
Derecho de rectificación, supresión y limitación del tratamiento de datos
Cuando IG/IN restrinja, total o parcialmente, la aplicación del derecho a la rectificación, el derecho a la supresión o el derecho a la limitación del tratamiento a que se refieren los artículos 18; 19, apartado 1, y 20, apartado 1, del Reglamento (UE) 2018/1725, adoptará las medidas contempladas en el artículo 5, apartado 2, de la presente Decisión y registrará la anotación de conformidad con lo dispuesto en su artículo 5, apartado 3.
Comunicación de una violación de datos personales al interesado
Cuando IG/IN limite la comunicación de una violación de datos personales al interesado a que se refiere el artículo 35 del Reglamento, deberá anotar y registrar los motivos de la restricción de conformidad con lo dispuesto en el artículo 4, apartado 3, de la presente Decisión. Será de aplicación el artículo 4, apartado 4, de la presente Decisión.
Control del responsable de la protección de datos
IG/IN informará sin demora indebida al RPD siempre que restrinja la aplicación de los derechos del interesado de conformidad con la presente Decisión y le facilitará acceso al registro y a la evaluación de la necesidad y proporcionalidad de la restricción.
El RPD podrá solicitar por escrito a IG/IN una revisión de la aplicación de las restricciones. IG/IN informará al RPD por escrito sobre el resultado de la revisión solicitada.
Objeto y ámbito de aplicación
1. El presente capítulo establece las normas que deberá cumplir OCCO para informar a los interesados sobre el tratamiento de sus datos, de conformidad con los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725.
Establece asimismo las condiciones en las que OCCO podrá restringir la aplicación de los artículos 14 a 22, 35 y 36, así como el artículo 4, del Reglamento (UE) 2018/1725, de conformidad con el artículo 25 de dicho Reglamento.
2. El presente capítulo se aplica al tratamiento de datos personales por OCCO al objeto de o en relación con las actividades realizadas para desempeñar las funciones mencionadas en el Mandato de GCCO, la Carta de la Política de Integridad y Conformidad y otras normas y políticas internas.
3. En el marco de sus actividades, OCCO trata varias categorías de datos personales, en particular, datos de identificación, datos de contacto, datos profesionales y datos relacionados con los asuntos.
Determinación del responsable del tratamiento de datos y medidas de salvaguardia
1. La Oficina de Conformidad del Grupo actúa en calidad de responsable del tratamiento de datos.
2. Los datos personales se almacenan en un entorno electrónico y físico seguro que impide el acceso o la transferencia ilícita de datos a personas que no deban conocerlos.
3. Los datos personales tratados por OCCO se conservan durante al menos seis meses después de que el caso se desestime y hasta un máximo de cinco años a partir del cierre de la investigación administrativa.
4. En casos excepcionales y debidamente justificados, se aplicarán plazos más largos que los especificados anteriormente, previo acuerdo del RPD.
Excepciones y restricciones aplicables
1. Cuando OCCO ejerza sus funciones con respecto a los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, deberá considerar si alguna de las excepciones establecidas en dicho Reglamento es de aplicación.
2. Con arreglo a los artículos 12 a 15 de la presente Decisión, OCCO podrá limitar la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22 del Reglamento (UE) 2018/1725, cuando el ejercicio de esos derechos y obligaciones pudiera comprometer el objetivo de las investigaciones administrativas y de otras actividades de OCCO, incluso mediante la revelación de sus herramientas y métodos de investigación administrativa, o pudiera afectar negativamente a los derechos y libertades de otros titulares de datos.
3. Con arreglo a los artículos 12 a 15 de la presente Decisión, OCCO podrá limitar los derechos y obligaciones a que se refiere el apartado 2 del presente artículo en lo que respecta a los datos personales obtenidos por otros servicios del BEI, las instituciones, organismos, agencias y oficinas de la Unión Europea, las autoridades competentes de los Estados miembros, de terceros países o de organizaciones internacionales, en las circunstancias siguientes:
a) cuando el ejercicio de esos derechos y obligaciones pueda ser restringido por otros servicios del BEI, las instituciones, organismos, agencias y oficinas de la Unión Europea, sobre la base de otros actos jurídicos contemplados en el artículo 25 del Reglamento (UE) 2018/1725, o de conformidad con el capítulo IX de dicho Reglamento;
b) cuando el ejercicio de esos derechos y obligaciones pueda ser restringido por las autoridades competentes de los Estados miembros sobre la base de los actos jurídicos a que se refiere el artículo 23 del Reglamento (UE) 2016/679, o con arreglo a las medidas nacionales de transposición de los artículos 13, apartado 3; 15, apartado 3 o 16, apartado 3, de la Directiva (UE) 2016/680;
c) cuando el ejercicio de esos derechos y obligaciones pueda comprometer la cooperación de OCCO con terceros países u organizaciones internacionales en el desempeño de sus funciones.
Antes de aplicar las restricciones en las circunstancias mencionadas en las letras a) y b) del párrafo primero, OCCO consultará a los servicios pertinentes del BEI, las instituciones, organismos, oficinas, agencias de la Unión Europea o a las autoridades competentes de los Estados miembros, a menos que esté claro para OCCO que la aplicación de la restricción está prevista en uno de los actos a que se hace referencia en dichas letra s).
La letra c) del párrafo primero no se aplicará cuando sobre el interés de la Unión Europea en cooperar con terceros países u organizaciones internacionales prevalezca el interés o los derechos y libertades fundamentales de los interesados.
Comunicación de información a los titulares de los datos
1. OCCO publicará en la intranet del BEI un anuncio relativo a la protección de datos que informará a todos los titulares de los datos de sus actividades relacionadas con el tratamiento de sus datos personales.
2. OCCO informará individualmente a todos los titulares de los datos que considere interesados, testigos e informadores.
3. Cuando OCCO restrinja, total o parcialmente, la comunicación de información a los titulares de los datos a que se refiere el apartado 2, hará constar los motivos de la restricción, incluida una evaluación de la necesidad y la proporcionalidad de la restricción.
A tal efecto, la anotación deberá indicar de qué modo la comunicación de información comprometería la finalidad de la investigación administrativa o de otras actividades de OCCO, o de las restricciones aplicadas de conformidad con el artículo 11, apartado 3, o podría afectar negativamente a los derechos y libertades de otros titulares de datos.
La anotación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del SEPD, previa solicitud.
4. La restricción a que se refiere el apartado 3 seguirá siendo de aplicación mientras los motivos que la justifican sigan siendo aplicables.
Cuando los motivos de la restricción dejen de ser aplicables, OCCO comunicará la información de que se trate y los motivos de la restricción al titular de los datos. Al mismo tiempo, OCCO informará al titular de los datos de la posibilidad de presentar una reclamación ante el SEPD en cualquier momento o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
OCCO revisará la aplicación de la restricción al menos cada seis meses desde la fecha de su adopción y al cierre de la investigación administrativa en cuestión. Posteriormente, el responsable del tratamiento deberá supervisar anualmente la necesidad de mantener cualquier restricción.
Derecho de acceso del interesado
1. Cuando los interesados soliciten el acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una determinada operación de tratamiento, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, OCCO deberá circunscribir su evaluación de la solicitud a dichos datos personales únicamente.
2. Cuando OCCO restrinja, en su totalidad o en parte, el derecho de acceso a que se refiere el artículo 17 del Reglamento (UE) 2018/1725, deberá adoptar las medidas siguientes:
a) informar al interesado, en su respuesta a la solicitud, de la restricción y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el SEPD o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea;
b) consignar los motivos de la restricción, incluida una evaluación de la necesidad y proporcionalidad de la restricción; a tal efecto, la anotación deberá indicar cómo comprometería la comunicación de información el objetivo de la investigación administrativa o de otras actividades de OCCO, o de las restricciones aplicadas de conformidad con el artículo 11, apartado 3, o cómo podría afectar negativamente a los derechos y libertades de otros titulares de datos.
La comunicación de la información mencionada en la letra a) podrá aplazarse, omitirse o denegarse con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.
3. La anotación a que se refiere el apartado 2, párrafo primero, letra b) y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del SEPD, previa solicitud. Será de aplicación el artículo 25, apartado 7, del Reglamento (UE) 2018/1725.
Derecho de rectificación, supresión y limitación del tratamiento de datos
Cuando OCCO restrinja, total o parcialmente, la aplicación del derecho a la rectificación, supresión o limitación del tratamiento a que se refieren los artículos 18; 19, apartado 1, y 20, apartado 1, del Reglamento (UE) 2018/1725, adoptará las medidas contempladas en el artículo 13, apartado 2, de la presente Decisión y registrará la anotación de conformidad con lo dispuesto en su artículo 13, apartado 3.
Comunicación de una violación de datos personales al interesado
Cuando OCCO limite la comunicación de una violación de datos personales al interesado a que se refiere el artículo 35 del Reglamento (UE) 2018/1725, deberá anotar y registrar los motivos de la restricción de conformidad con lo dispuesto en el artículo 3, apartado 3, de la presente Decisión. Será de aplicación el artículo 12, apartado 4, de la presente Decisión.
Control del responsable de la protección de datos
OCCO informará sin demora indebida al RPD siempre que restrinja la aplicación de los derechos del interesado de conformidad con la presente Decisión y le facilitará acceso al registro y a la evaluación de la necesidad y proporcionalidad de la restricción.
El RPD podrá solicitar por escrito al responsable del tratamiento una revisión de la aplicación de las restricciones. OCCO informará al RPD por escrito sobre el resultado de la revisión solicitada.
Entrada en vigor
La presente Decisión ha sido aprobada por el Consejo de Administración del BEI el 6 de febrero de 2019 y entrará en vigor el día de su publicación en el sitio web del BEI.
Hecho en Luxemburgo el 6 de febrero de 2019.
(1) DO L 295 de 21.11.2018, p. 39.
(2) El tratamiento de datos personales en el contexto de las investigaciones de IG/IN y de las investigaciones administrativas de OCCO se ha notificado al SEPD.
(3) https://www.eib.org/attachments/strategies/anti_fraud_policy_20130917_en.pdf.
(4) http://www.eib.org/attachments/general/fraud_investigatons_charter_2017_en.pdf.
(5) http://www.eib.org/en/infocentre/publications/all/staff-code-of-conduct.htm.
(6) http://www.eib.org/en/infocentre/publications/all/eib-s-whistleblowing-policy.htm.
(7) http://www.eib.org/en/infocentre/publications/all/integrity-policy-and-compliance-charter.htm.
(8) http://www.eib.org/en/infocentre/publications/all/anti-fraud-procedures.htm
(9) Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).
(10) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(11) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de estos datos, y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
