Agencia Estatal Boletín Oficial del Estado
EL BANCO EUROPEO DE INVERSIONES («BEI»)
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 309,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos y por el que se deroga el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE,
Considerando que:
De conformidad con lo establecido en el artículo 38 de los Reglamentos del Personal I y II del BEI, podrán adoptarse medidas disciplinarias contra miembros del personal que no cumplan con sus obligaciones para con el BEI de acuerdo con el procedimiento establecido en el artículo 40 de dichos Reglamentos. De conformidad con lo establecido en el artículo 41 de los Reglamentos del Personal I y II del BEI, las controversias distintas de las derivadas de la aplicación de las medidas disciplinarias previstas en el artículo 38 de dichos Reglamentos podrán someterse a un Comité de conciliación. De acuerdo con lo establecido en la Política en materia de dignidad en el trabajo del BEI y las Directrices internas del BEI relativas al procedimiento delante del Comité de recursos, el BEI deberá ocuparse, respectivamente, de las denuncias de acoso y de los recursos contra las evaluaciones del rendimiento.
La organización y gestión de los procedimientos establecidos en los artículos 40 y 41 de los Reglamentos del Personal I y II del BEI, así como en la Política en materia de dignidad en el trabajo del BEI y en las Directrices internas del BEI relativas al procedimiento delante del Comité de recursos son competencia principal de la Dirección de Personal del BEI. En particular, la Dirección de Personal presta apoyo y asume la función de secretaría jurídica de los órganos encargados de dichos procedimientos.
En el desempeño de sus funciones, la Dirección de Personal está obligada a respetar los derechos de las personas físicas en relación con el tratamiento de los datos de carácter personal reconocidos en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea, así como por actos jurídicos basados en dichas disposiciones. Al mismo tiempo, la Dirección de Personal tiene la obligación de cumplir las estrictas normas de confidencialidad y secreto profesional a que se refiere el Reglamento del Personal del BEI y el Código de Conducta del Personal del BEI, y de garantizar el respeto de los derechos procedimentales de los interesados y los testigos, en particular, el derecho de toda persona a un juicio justo, los derechos de defensa y la presunción de inocencia.
En determinadas circunstancias, es necesario conciliar los derechos de los interesados en virtud del Reglamento (UE) 2018/1725 (1) con los fines y las necesidades de las tareas de la Dirección de Personal, así como con el pleno respeto de los derechos fundamentales y libertades de otros titulares de datos. A tal efecto, el artículo 25 de este reglamento otorga a la Dirección de Personal la posibilidad de restringir la aplicación de los artículos 14 a 22 y 35, así como también del artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22.
A fin de garantizar la eficacia de los procedimientos llevados a cabo por la Comisión de disciplina y la Comisión de conciliación, establecidos en virtud de lo previsto respectivamente en los artículos 40 y 41 de los Reglamentos del Personal I y II, y por el Comité de dignidad en el trabajo y el Comité de recursos, establecidos en virtud de lo previsto respectivamente en la Política en materia de dignidad en el trabajo y en el Procedimiento de recurso del BEI en materia de evaluación del rendimiento, con arreglo a las normas de protección de datos personales previstas en el Reglamento (UE) 2018/1725, es necesario adoptar normas internas al amparo de las cuales la Dirección de Personal pueda restringir los derechos de los titulares de datos de conformidad con el artículo 25, apartado 1, letras c), g) y h) del Reglamento (UE) 2018/1725.
Las normas internas deben aplicarse, a lo largo de todo el proceso, a todas las operaciones de tratamiento llevadas a cabo por la Dirección de Personal en el cumplimiento de su mandato conforme a lo previsto en los artículos 40 y 41 de los Reglamentos del Personal I y II del BEI, así como de conformidad con lo previsto en la Política en materia de dignidad en el trabajo y en las Directrices internas del BEI relativas al procedimiento de recurso en materia de evaluación del rendimiento. Dichas normas deben aplicarse a operaciones de tratamiento realizadas con anterioridad al inicio del cualquier procedimiento llevado a cabo por la Comisión de disciplina, la Comisión de conciliación, el Comité de dignidad en el trabajo y el Comité de recursos, mientras estos procedimientos están en curso y durante el seguimiento del resultado de los mismos.
En cumplimiento de lo dispuesto en los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725, el responsable del tratamiento de datos debe informar a todos los interesados de las actividades de tratamiento de sus datos personales y de sus derechos de un modo transparente y coherente, en forma de anuncios de protección de datos publicados en la intranet del BEI, así como informar individualmente a los titulares de los datos afectados por sus actividades, a saber: interesados, partes y testigos.
Además, con el fin de mantener una cooperación eficaz, la Dirección de Personal puede necesitar aplicar restricciones a los derechos de los titulares de datos para proteger la información que contenga datos personales procedente de otros servicios del BEI, de otras instituciones, órganos, oficinas y agencias de la Unión Europea, de las autoridades competentes de los Estados miembros y de terceros países, así como de organizaciones internacionales. A tal efecto, la Dirección de Personal debe consultar con dichos otros servicios del BEI, instituciones, organismos, oficinas, agencias, autoridades y organizaciones internacionales los motivos y la necesidad y proporcionalidad de las restricciones.
La Dirección de Personal deberá gestionar todas las restricciones de manera transparente y consignar cada aplicación de restricciones en el sistema de registro correspondiente.
De conformidad con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, los responsables del tratamiento podrán aplazar, omitir o denegar la comunicación de información sobre los motivos de la aplicación de una restricción al interesado cuando dicha comunicación deje sin efecto la restricción impuesta. Este es, en particular, el caso de las restricciones de los derechos contemplados en los artículos 16 y 35 del Reglamento (UE) 2018/1725. Con el fin de garantizar que el derecho de los interesados a ser informados en virtud de los artículos 16 y 35 del Reglamento (UE) 2018/1725 solo se restrinja en la medida en que subsistan los motivos del aplazamiento, la Dirección de Personal deberá revisar periódicamente su posición.
Cuando se restrinjan los derechos de los interesados, la Dirección de Personal deberá evaluar, caso por caso, si la comunicación de la restricción pudiera comprometer su finalidad.
El Responsable de la Protección de Datos (RPD) del BEI puede llevar a cabo una revisión independiente de la aplicación de las restricciones, a fin de garantizar el cumplimiento de la presente Decisión.
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto y ámbito de aplicación
1. La presente Decisión establece las normas que deberá cumplir el responsable del tratamiento de datos, según se define en el artículo 2, apartado 1, para informar a los interesados sobre el tratamiento de sus datos de conformidad con los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725.
Establece asimismo las condiciones en las que el responsable pertinente del tratamiento de datos podrá restringir la aplicación de los artículos 14 a 22 y 35, así como el artículo 4 del Reglamento, de conformidad con el artículo 25, apartado 1, letras c), g) y h) de dicho Reglamento.
2. La presente Decisión se aplica al tratamiento de datos personales por la Dirección de Personal al objeto de o en relación con las actividades realizadas para desempeñar las funciones mencionadas en los artículos 40 y 41 de los Reglamentos del Personal I y II del BEI, así como en la Política en materia de dignidad en el trabajo del BEI y en las Directrices internas del BEI relativas al procedimiento de recurso en materia de evaluación del rendimiento y en las posteriores modificaciones de los mismos.
3. En el marco de su mandato, la Dirección de Personal trata varias categorías de datos personales, en particular, datos de identificación, datos de contacto, datos profesionales y datos relacionados con los asuntos.
Determinación del responsable del tratamiento y medidas de salvaguardia
1. El responsable del tratamiento de datos es el Director General de Personal.
2. Los datos personales se almacenan en un entorno electrónico y físico seguro que impide el acceso o la transferencia ilícita de datos a personas que no deban conocerlos.
3. Los datos personales se conservan durante al menos seis meses y hasta un máximo de diez años. En el calendario de conservación de la Dirección de Personal puede hallarse más información acerca de la duración exacta de los períodos de conservación para cada procedimiento.
4. En casos excepcionales y debidamente justificados, se aplicarán plazos más largos que los especificados anteriormente, previo acuerdo del Responsable de la Protección de Datos.
Excepciones y restricciones aplicables
1. Cuando la Dirección de Personal ejerza sus funciones con respecto a los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, deberá considerar si alguna de las excepciones establecidas en dicho Reglamento es de aplicación.
2. Con arreglo a los artículos 4 a 7 de la presente Decisión, la Dirección de Personal podrá limitar la aplicación de los artículos 14 a 22 y 35 del Reglamento (UE) 2018/1725, así como de su artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 22 de dicho Reglamento, cuando el ejercicio de esos derechos y obligaciones pudiera comprometer el objetivo de los procedimientos previstos en los artículos 40 y 41 de los Reglamentos del Personal I y II del BEI, así como de la Política en materia de dignidad en el trabajo del BEI y de las Directrices internas del BEI relativas al procedimiento de recurso en materia de evaluación del rendimiento, o pudiera afectar negativamente a los derechos y libertades de otros titulares de datos.
3. Con arreglo a los artículos 4 a 7 de la presente Decisión, la Dirección de Personal podrá limitar los derechos y obligaciones a que se refiere el apartado 2 del presente artículo en lo que respecta a los datos personales obtenidos de otros servicios del BEI, o de instituciones, organismos, agencias y oficinas de la Unión Europea, de autoridades competentes de los Estados miembros o de organizaciones internacionales, en las circunstancias siguientes:
a) cuando el ejercicio de esos derechos y obligaciones pueda ser restringido por otros servicios del BEI o instituciones, organismos, agencias y oficinas de la Unión Europea sobre la base de otros actos jurídicos contemplados en el artículo 25 del Reglamento, o de conformidad con el capítulo IX de dicho Reglamento;
b) cuando el ejercicio de esos derechos y obligaciones pueda ser restringido por las autoridades competentes de los Estados miembros sobre la base de los actos jurídicos a que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (2), o con arreglo a las medidas nacionales de transposición de los artículos 13, apartado 3; 15, apartado 3 o 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (3);
c) cuando el ejercicio de esos derechos y obligaciones pueda comprometer la cooperación de la Dirección de Personal con terceros países y organizaciones internacionales en el desempeño de sus funciones.
Antes de aplicar las restricciones en las circunstancias mencionadas en las letras a) y b) del párrafo primero, la Dirección de Personal consultará a los servicios pertinentes del BEI, las instituciones, organismos, oficinas, agencias de la Unión Europea o a las autoridades competentes de los Estados miembros, a menos que esté claro para la Dirección de Personal que la aplicación de la restricción está prevista en uno de los actos a que se hace referencia en dichas letras.
La letra c) del párrafo primero no se aplicará cuando sobre el interés de la Unión Europea en cooperar con terceros países u organizaciones internacionales prevalezca el interés o los derechos y libertades fundamentales de los interesados.
4. Los apartados 1, 2 y 3 se entenderán sin perjuicio de la aplicación de otras decisiones del BEI por las que se establecen normas internas relativas a la comunicación de información a interesados y la restricción de ciertos derechos al amparo del artículo 25 del Reglamento (UE) 2018/1725.
Comunicación de información a los titulares de los datos
1. La Dirección de Personal publicará en la intranet del BEI anuncios de protección de datos en los que se informará a todos los titulares de los datos de las actividades de tratamiento de sus datos personales.
2. La Dirección de Personal informará individualmente a los titulares de datos que sean parte en un procedimiento, personas afectadas por un procedimiento o testigos.
3. Cuando la Dirección de Personal restrinja, total o parcialmente, la comunicación de información a los titulares de los datos a que se refiere el apartado 2, hará constar los motivos de la restricción, incluida una evaluación de la necesidad y la proporcionalidad de la restricción.
A tal efecto, la anotación deberá indicar de qué modo la comunicación de información comprometería la finalidad del procedimiento correspondiente o de las restricciones aplicadas de conformidad con el artículo 3, apartado 3, o podría afectar negativamente a los derechos y libertades de otros titulares de datos.
La anotación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de Datos (SEPD), previa solicitud.
4. La restricción a que se refiere el apartado 3 seguirá siendo de aplicación mientras los motivos que la justifican sigan siendo aplicables.
Cuando los motivos de la restricción dejen de ser aplicables, la Dirección de Personal comunicará la información de que se trate y los motivos de la restricción al titular de los datos. Al mismo tiempo, la Dirección de Personal informará al titular de los datos de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
La Dirección de Personal revisará la aplicación de la restricción al menos cada seis meses desde la fecha de su adopción y al cierre del procedimiento en cuestión. Posteriormente, el responsable del tratamiento deberá supervisar anualmente la necesidad de mantener cualquier restricción.
Derecho de acceso del interesado
1. Cuando los interesados soliciten el acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o de una determinada operación de tratamiento, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, la Dirección de Personal deberá circunscribir su evaluación de la solicitud a dichos datos personales únicamente.
2. Cuando la Dirección de Personal restrinja, en su totalidad o en parte, el derecho de acceso a que se refiere el artículo 17 del Reglamento, deberá adoptar las medidas siguientes:
a) informará al interesado, en su respuesta a la solicitud, de la restricción y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea;
b) consignará los motivos de la restricción, incluida una evaluación de la necesidad y proporcionalidad de la restricción; a tal efecto, la anotación deberá indicar cómo comprometería la comunicación de información el objetivo del procedimiento correspondiente o de las restricciones aplicadas de conformidad con el artículo 3, apartado 3, o cómo podría afectar negativamente a los derechos y libertades de otros titulares de datos.
La comunicación de la información mencionada en la letra a) podrá aplazarse, omitirse o denegarse con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.
3. La anotación a que se refiere el apartado 2, párrafo primero, letra b) y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del SEPD, previa solicitud. Será de aplicación el artículo 25, apartado 7, del Reglamento (UE) 2018/1725.
Derecho de rectificación, supresión y limitación del tratamiento de datos
Cuando la Dirección de Personal restrinja, total o parcialmente, la aplicación del derecho a la rectificación, el derecho a la supresión o el derecho a la limitación del tratamiento a que se refieren los artículos 18; 19, apartado 1, y 20, apartado 1, del Reglamento (UE) 2018/1725, adoptará las medidas contempladas en el artículo 5, apartado 2, de la presente Decisión y registrará la anotación de conformidad con lo dispuesto en su artículo 5, apartado 3.
Comunicación de una violación de datos personales al interesado
Cuando la Dirección de Personal limite la comunicación de una violación de datos personales al interesado a que se refiere el artículo 35 del Reglamento (UE) 2018/1725, deberá anotar y registrar los motivos de la restricción de conformidad con lo dispuesto en el artículo 4, apartado 3, de la presente Decisión. Será de aplicación el artículo 4, apartado 4, de la presente Decisión.
Control del Responsable de la Protección de Datos
La Dirección de Personal informará sin demora indebida al Responsable de la Protección de Datos (RPD) siempre que restrinja la aplicación de los derechos del interesado de conformidad con la presente Decisión y le facilitará el acceso al registro y a la evaluación de la necesidad y proporcionalidad de la restricción.
El RPD podrá solicitar por escrito a la Dirección de Personal una revisión de la aplicación de las restricciones. La Dirección de Personal informará por escrito al RPD sobre el resultado de la revisión solicitada.
Entrada en vigor
La presente Decisión fue aprobada por el Consejo de Administración del BEI el 26 de febrero de 2019 y entrará en vigor el día de su publicación en el sitio web del BEI.
Hecho en Luxemburgo, el 26 de febrero de 2019.
(1) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE, texto pertinente a efectos del EEE (DO L 295 de 21.11.2018, p. 39).
(2) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(3) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de estos datos, y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
