Agencia Estatal Boletín Oficial del Estado
LA JUNTA ÚNICA DE RESOLUCIÓN,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 806/2014 del Parlamento Europeo y del Consejo, de 15 de julio de 2014, por el que se establecen normas uniformes y un procedimiento uniforme para la resolución de entidades de crédito y de determinadas empresas de servicios de inversión en el marco de un Mecanismo Único de Resolución y un Fondo Único de Resolución y se modifica el Reglamento (UE) n.o 1093/2010 (1) y, en particular, su artículo 42; su artículo 43, apartado 5; su artículo 50, apartado 3; su artículo 56, apartados 1 a 3; y sus artículos 61, 63 y 64,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (2),
Vista la consulta con el Supervisor Europeo de Protección de Datos,
Considerando lo siguiente:
(1) La Junta Única de Resolución (en lo sucesivo, la «JUR») cumple las funciones de una autoridad de resolución en el marco del Mecanismo Único de Resolución (en lo sucesivo, el («MUR») de conformidad con el Reglamento (UE) n.o 806/2014. La misión de la JUR consiste en garantizar la resolución ordenada de los bancos en quiebra, con una repercusión mínima en la economía real, el sistema financiero y las finanzas públicas de los EM participantes y otros países.
(2) La JUR puede llevar a cabo investigaciones internas e investigaciones administrativas, de oficio o tras recibir información confidencial por parte de miembros del personal de la Junta, en el marco del procedimiento de denuncia de irregularidades. También puede abrir procedimientos disciplinarios con arreglo al anexo IX del Estatuto de los funcionarios de la Unión Europea y régimen aplicable a los otros agentes de la Unión Europea (en lo sucesivo, el «Estatuto de los funcionarios»).
(3) La JUR puede, en el marco de las investigaciones internas, las investigaciones administrativas o los procedimientos disciplinarios, notificar casos a la Oficina de Investigación y Disciplina (IDOC) y a la Oficina Europea de Lucha contra el Fraude (OLAF), de conformidad con la Decisión de la Junta, en su sesión a puerta cerrada de 6 de noviembre de 2015, relativa a las condiciones para las investigaciones internas en el contexto de la prevención del fraude, la corrupción y cualquier actividad ilícita que suponga un perjuicio para los intereses de las Comunidades (SRB/ES/2015/01).
(4) La JUR, representada aquí por su director de ética y cumplimiento, quien también desempeña la función de responsable de protección de datos en la Junta, trata diversas categorías de datos personales; en particular, datos identificativos, datos de contacto y datos profesionales; y actúa como responsable del tratamiento de datos. Los datos personales se almacenan en un entorno electrónico seguro que impide el acceso ilícito a personas que no necesiten conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados se conservan de conformidad con las normas sobre conservación de documentos de la JUR. Al final del periodo de conservación, la información relacionada con el caso, incluidos los datos personales, se transfiere a los archivos históricos o se suprime de acuerdo con el principio de minimización de datos y exactitud de los mismos.
(5) Las normas internas deben aplicarse a todas las operaciones de tratamiento llevadas a cabo por la JUR en el desempeño de sus actividades de prevención, investigación, detección y enjuiciamiento de las infracciones, entre otras, del código deontológico de la JUR y del Estatuto de los funcionarios.
(6) Las normas internas deben aplicarse a las operaciones de tratamiento llevadas a cabo durante las investigaciones, tanto internas como externas, así como durante el seguimiento de la actuación consecutiva a los resultados de dichas investigaciones. Las normas internas deben aplicarse a las operaciones de tratamiento que formen parte de las actividades vinculadas a las funciones del director de ética y cumplimiento de la JUR y, cuando proceda, del responsable de protección de datos de la JUR. También se incluyen la asistencia y la cooperación prestadas, previa solicitud y al margen de sus investigaciones administrativas, por el director de ética y cumplimiento de la JUR, quien también actúa como responsable de protección de datos de la JUR, a las autoridades nacionales y las organizaciones internacionales, y la asistencia y la cooperación prestadas por estas en este contexto al director de ética y cumplimiento.
(7) La JUR tiene que justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar en lo esencial los derechos y las libertades fundamentales.
(8) En este marco, la JUR está obligada a respetar, en la medida de lo posible, los derechos fundamentales de los interesados durante los procedimientos mencionados, en particular, el derecho de acceso y rectificación, al derecho de supresión, el derecho a la portabilidad de los datos, etc., consagrados en el Reglamento (UE) 2018/1725.
(9) Sin embargo, la JUR puede verse obligada a aplazar la comunicación de información al interesado y a limitar otros derechos del interesado con el fin de proteger, en particular, sus propias investigaciones; las investigaciones y los procedimientos de otras autoridades públicas, incluidas la IDOC y la OLAF; los derechos de otras personas relacionadas con sus investigaciones; y sus propios procedimientos disciplinarios.
(10) La JUR puede, por tanto, aplazar la comunicación de información con el fin de proteger las investigaciones o los procedimientos disciplinarios.
(11) La JUR debe levantar la limitación tan pronto como dejen de cumplirse las circunstancias que la hubieran justificado.
(12) La JUR debe supervisar de manera periódica, cada seis meses, las circunstancias que justifiquen la limitación y revisarlas cuando sea necesario.
(13) La JUR debe consultar al responsable de protección de datos durante las revisiones.
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto y ámbito de aplicación
1. La presente Decisión establece las normas internas relativas a las condiciones en las que la JUR, en el marco de las investigaciones internas, las investigaciones administrativas y los procedimientos disciplinarios llevados a cabo por el director de ética y cumplimiento de la JUR o de las investigaciones realizadas por el responsable de protección de datos de la JUR en virtud del artículo 45, apartado 2, del Reglamento (UE) 2018/1725, puede limitar el ejercicio de los derechos consagrados en los artículos 14 a 21 y 35 y la aplicación del artículo 4 de dicho Reglamento, con arreglo a lo dispuesto en el artículo 25 del mismo.
2. Esta Decisión se aplica a las operaciones de tratamiento de datos personales realizadas por la JUR con el fin de llevar a cabo investigaciones internas, investigaciones administrativas y procedimientos disciplinarios. En el caso de las operaciones de tratamiento de datos personales por parte de la JUR con el fin de iniciar, llevar a cabo y cerrar procedimientos informales en el marco de la política de la JUR sobre la protección de la dignidad de las personas y la prevención del acoso psicológico y el acoso sexual, resulta aplicable una Decisión diferente relativa a las limitaciones de derechos (referencia: SRB/ES/2019/33).
3. Las categorías de datos afectadas son los datos sólidos (datos administrativos, teléfono, dirección privada, comunicaciones electrónicas y datos sobre tráfico [uso de aplicaciones informáticas o datos de Internet]) y los datos frágiles (evaluaciones, apertura de investigaciones, informes sobre investigaciones preliminares, etc.).
4. Con arreglo a las condiciones establecidas en la presente Decisión, las limitaciones podrán aplicarse a los siguientes derechos: derechos de acceso, rectificación, supresión y portabilidad; derechos a la información y la confidencialidad de las comunicaciones; y principios del tratamiento de datos, siempre que se refieran a un derecho.
Especificación del responsable del tratamiento y garantías
1. Las garantías establecidas para evitar las violaciones de la seguridad de los datos, las filtraciones o las revelaciones no autorizadas son las siguientes: limitación de los derechos de acceso a las carpetas electrónicas y al buzón funcional para la presentación de denuncias, armarios protegidos con llaves y formación específica sobre confidencialidad de las personas que manejan la información.
2. El responsable del tratamiento en estas operaciones de tratamiento es la JUR, representada aquí por su director de ética y cumplimiento, quien actúa también como responsable de protección de datos de la JUR.
3. Los datos personales recogidos se almacenan y conservan de conformidad con las normas relativas a la conservación de documentos de la JUR. El periodo de conservación respeta el principio de no conservar más tiempo del necesario para alcanzar el objetivo de la operación de tratamiento y, en su caso, para permitir la resolución de litigios judiciales o contenciosos administrativos.
Limitaciones
1. De conformidad con el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones solo se aplicarán para salvaguardar:
— la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;
— la seguridad interna de las instituciones y organismos de la Unión, incluida la de sus redes de comunicación electrónica;
— la protección de los procedimientos judiciales;
— la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;
— la protección del interesado o de los derechos y libertades de otros.
2. Toda limitación será una medida necesaria y proporcionada en una sociedad democrática y respetará en lo esencial los derechos y libertades fundamentales.
3. Se realizará una evaluación de la necesidad y la proporcionalidad sobre la base de las presentes normas internas. Con el fin de cumplir con la obligación de rendir cuentas en cada caso, esta evaluación será documentada, mediante una nota interna de evaluación, por el responsable del tratamiento de la operación de tratamiento de que se trate.
4. Las limitaciones se controlarán debidamente y se efectuará una revisión periódica de las mismas cada seis meses.
5. Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hubieran justificado.
6. El riesgo para los derechos y libertades del interesado consiste en este caso en la limitación temporal del ejercicio de sus derechos de información, supresión o defensa, entre otros, tal como se garantizan en el Reglamento (UE) 2018/1725. Estos riesgos se tendrán en cuenta en la evaluación de la necesidad y la proporcionalidad mencionada en el apartado 3 del presente artículo.
Participación del responsable de protección de datos
1. Siempre que se limite el ejercicio de los derechos de los interesados de conformidad con la presente Decisión, la JUR informará de ello, sin dilaciones indebidas y en cualquier procedimiento de limitación, al responsable de protección de datos de la JUR (en lo sucesivo, el «RPD»). Le facilitará el acceso al registro y a la evaluación de la necesidad y la proporcionalidad de la limitación.
2. El RPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. La JUR notificará por escrito al RPD el resultado de la revisión solicitada y el levantamiento de la limitación, cuando tenga lugar.
Comunicación de información al interesado
1. En los avisos de protección de datos publicados en la intranet, donde se informe a los interesados de sus derechos en el marco de determinado procedimiento, la JUR incluirá información sobre la posible limitación de dichos derechos. Esta información abarcará los derechos que pueden limitarse, las razones de la limitación y la posible duración de esta.
2. Además, la JUR informará individualmente a los interesados de sus derechos en relación con las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito, y sin perjuicio de lo dispuesto en el apartado siguiente.
3. Se informará a los interesados de los principales motivos en que se hubiera basado la aplicación de la limitación y de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.
Derecho de acceso del interesado
1. Cuando los interesados soliciten acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a los datos de una operación de tratamiento determinada, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, la JUR circunscribirá su evaluación de la solicitud únicamente a dichos datos personales.
2. Cuando la JUR limite, en su totalidad o en parte, el derecho de acceso a que se refiere el artículo 17 del Reglamento (UE) 2018/1725, deberá adoptar las siguientes medidas:
a) informará al interesado, en su respuesta a la solicitud, de la limitación y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea;
b) consignará los motivos de la limitación, incluida una evaluación de la necesidad y la proporcionalidad de esta; debiendo indicar a tal efecto, en la anotación, cómo comprometería la concesión de acceso el objetivo de las actividades de investigación de la JUR o de las limitaciones aplicadas de conformidad con el artículo 2, apartado 3, o cómo podría afectar negativamente a los derechos y libertades de otros interesados.
La comunicación de la información mencionada en la letra a) podrá aplazarse, omitirse o denegarse con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.
3. Se registrarán la anotación a que se refiere la letra b) del apartado 2 y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes. Además, se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud. Será de aplicación el artículo 25, apartado 7, del Reglamento (UE) 2018/1725.
Derecho de rectificación, supresión y limitación del tratamiento de datos
Cuando la JUR limite, total o parcialmente, el ejercicio de los derechos de rectificación, supresión o limitación del tratamiento a que se refieren el artículo 18; el artículo 19, apartado 1; y el artículo 20, apartado 1, del Reglamento (UE) 2018/1725, adoptará las medidas contempladas en el artículo 6, apartado 2, de la presente Decisión y registrará la correspondiente anotación de conformidad con lo dispuesto en el artículo 6, apartado 3, de esta.
Comunicación de una violación de la seguridad de los datos personales al interesado
Cuando la JUR limite la comunicación de una violación de la seguridad de los datos personales al interesado a que se refiere el artículo 35 del Reglamento (UE) 2018/1725, deberá anotar y registrar los motivos de la limitación de conformidad con lo dispuesto en el artículo 3, apartado 3, de la presente Decisión. Será de aplicación el artículo 3, apartado 4, de la presente Decisión.
Entrada en vigor
La presente Decisión entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 18 de septiembre de 2019.
Por la Junta Única de Resolución
Elke KÖNIG
Presidenta
(1) DO L 225 de 30.7.2014, p. 1.
(2) DO L 295 de 21.11.2018, p. 39.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
