Agencia Estatal Boletín Oficial del Estado
LA JUNTA ÚNICA DE RESOLUCIÓN:
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 806/2014 del Parlamento Europeo y del Consejo, de 15 de julio de 2014, por el que se establecen normas uniformes y un procedimiento uniforme para la resolución de entidades de crédito y de determinadas empresas de servicios de inversión en el marco de un Mecanismo Único de Resolución y un Fondo Único de Resolución y se modifica el Reglamento (UE) n.o 1093/2010 (1) y en particular su artículo 42, artículo 43, apartado 5, artículo 50, apartado 3, artículo 56, apartados 1 a 3, artículos 61, 63 y 64,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (2),
Vista la consulta con el Supervisor Europeo de Protección de Datos,
Considerando:
(1) Que la Junta Única de Resolución (en lo sucesivo, la «JUR») cumple las funciones de una autoridad de resolución como parte del Mecanismo Único de Resolución (en lo sucesivo, el «MUR») de conformidad con el Reglamento (UE) n.o 806/2014; que la misión de la JUR consiste en garantizar la resolución ordenada de los bancos en quiebra, con una repercusión mínima en la economía real, el sistema financiero, y las finanzas públicas de los EM participantes y otros países.
(2) Que el JUR puede tratar datos personales para los distintos sistemas instalados en sus locales (videovigilancia, control de acceso, libros de registro de visitantes). Esta información se recoge estrictamente por razones de seguridad (por ejemplo, para controlar el número de personas que se encuentran en el edificio a efectos de evacuación, en consonancia con las decisiones de seguridad de la CE), para prevenir, detectar y documentar cualquier incidencia de seguridad que se produzca en el interior de los edificios o de las zonas circundantes.
(3) La JUR, representada aquí por el Jefe de la Unidad de Servicios Corporativos y Tecnologías de la Información y la Comunicación de la JUR, trata diversas categorías de datos personales, en particular datos de identificación, datos de contacto y datos profesionales. Los datos personales se almacenan en un entorno electrónico seguro que impide el acceso ilícito a personas que no necesiten conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados se conservan de conformidad con las normas comunitarias sobre retención de datos. Al final del período de retención, la información recogida, incluidos los datos personales, se suprimirá de conformidad con el período máximo acordado: libros de registro de visitantes: 6 meses, sistema de videovigilancia: 30 días, sistema de control de acceso: 2 meses.
(4) Las normas internas se aplicarán a todas las operaciones de tratamiento llevadas a cabo por la JUR en el desempeño de sus actividades en cuestiones de seguridad y vigilancia, para la prevención, la detección o la investigación de incidencias de seguridad, la protección del personal, los bienes y la información de la Agencia y los visitantes de la JUR.
(5) Las normas internas deben aplicarse a las operaciones de tratamiento llevadas a cabo durante las investigaciones de incidencias de seguridad interna, así como durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos. Las normas internas deben aplicarse a las operaciones de tratamiento que formen parte de las actividades vinculadas al sector de infraestructuras y seguridad de la JUR. También debe incluir la asistencia y la cooperación prestada por las infraestructuras y seguridad de la JUR a las autoridades nacionales, las fuerzas del orden belgas, la OLAF, los servicios de urgencias y las organizaciones internacionales al margen de sus investigaciones administrativas;
(6) La JUR tiene que justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar la esencia de los derechos y las libertades fundamentales;
(7) En este marco, la JUR está obligada a respetar, en la medida de lo posible, los derechos fundamentales de los interesados durante los procedimientos mencionados, en particular, los relativos al derecho de acceso y rectificación, al derecho de supresión, a la portabilidad de los datos, etc., consagrados en el Reglamento (UE) 2018/1725;
(8) Sin embargo, la JUR puede estar obligada a aplazar la información al interesado y otros derechos del interesado, en particular, para proteger sus propias investigaciones de las incidencias de seguridad que afecten a los datos procedentes de los sistemas de videovigilancia o de control de acceso.
(9) La JUR podrá aplazar la información con el fin de proteger las investigaciones sobre incidencias de seguridad;
(10) La JUR debe levantar la limitación tan pronto como y en la medida en que dejen de cumplirse las circunstancias que las hubieran justificado;
(11) La JUR deberá supervisar las condiciones restrictivas de forma periódica, cada seis meses y revisarlas cuando sea necesario;
(12) Para ello, deberá consultar al RPD durante las revisiones.
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto y ámbito de aplicación
1. La presente Decisión establece las normas internas relativas a las condiciones en las que la JUR, en el marco de sus investigaciones internas de incidencias de seguridad, puede limitar la aplicación de los derechos previstos en los artículos 14 a 21, 35, y también del artículo 4 del mismo, de conformidad con el artículo 25 del Reglamento (UE) 2018/1725.
2. La presente Decisión se aplicará a las operaciones de tratamiento de datos personales por parte de la JUR con el fin de llevar a cabo investigaciones internas relativas a incidencias de seguridad, así como durante la supervisión del seguimiento de la actuación consecutiva a los resultados de dichas investigaciones.
3. Las categorías de datos afectadas son los datos sólidos (datos administrativos, teléfono, dirección privada, comunicaciones electrónicas y datos sobre tráfico) y/o los datos frágiles (evaluaciones, apertura de investigaciones, informes sobre investigaciones preliminares, etc.).
4. Con arreglo a las condiciones establecidas en la presente Decisión, las limitaciones podrán aplicarse a los siguientes derechos: derecho de acceso, rectificación, supresión y derechos de portabilidad, derechos de información, confidencialidad de la comunicación y principios del tratamiento de datos, siempre que se refieran a un derecho.
Especificación del responsable del tratamiento y salvaguardas
1. Las salvaguardas adoptadas para evitar las violaciones de datos, las filtraciones o las revelaciones no autorizadas son las siguientes: limitación de los derechos de acceso a las carpetas electrónicas y al buzón funcional para la presentación de reclamaciones, armarios protegidos con llaves y formación específica sobre confidencialidad de las personas que manejan la información.
2. El responsable del tratamiento de estas operaciones de tratamiento es la JUR, representada aquí por el Jefe de la Unidad de Servicios Corporativos y Tecnologías de la Información y la Comunicación de la JUR.
3. Los datos personales recogidos se almacenan y retienen de conformidad con las normas comunitarias relativas a la retención de documentos y con arreglo a la ley belga de 21 de marzo de 2007 (que regula la instalación y el uso de cámaras de videovigilancia). El período de retención respeta el principio de retención no más allá de lo necesario para el cumplimiento de la finalidad de la operación de tratamiento y, en su caso, para permitir la resolución de litigios judiciales o administrativos.
Limitaciones
1. De conformidad con el artículo 25, apartado 1, del Reglamento 2018/1725, las limitaciones solo se aplicarán para salvaguardar:
— la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;
— la seguridad interna de las instituciones y organismos de la Unión, incluida la de sus redes de comunicación electrónica;
— la protección de los procedimientos judiciales;
— la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;
— la protección del interesado o de los derechos y libertades de terceros;
2. Toda limitación será la necesaria y proporcionada en una sociedad democrática y respetará la esencia de los derechos y libertades fundamentales.
3. Se realizará una prueba de necesidad y proporcionalidad sobre la base de las presentes normas internas. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.
4. Las limitaciones se controlarán debidamente y se efectuará una revisión periódica cada seis meses.
5. Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hubieran justificado.
6. El riesgo para los derechos y libertades del interesado es la limitación temporal del ejercicio efectivo de sus derechos de información, supresión o defensa, entre otros, tal como garantiza el Reglamento (UE) 2018/1725. Estos riesgos no se tendrán en cuenta en el criterio de necesidad y proporcionalidad mencionado en el apartado 3 del presente artículo.
Participación por parte del responsable de la protección de datos
1. La JUR informará, sin demora justificada y a lo largo del procedimiento de limitación, al responsable de la protección de datos de la JUR (en lo sucesivo, «el RPD») siempre que se limite la aplicación de los derechos de los interesados de conformidad con la presente Decisión. Facilitará el acceso a los registros y la evaluación de la necesidad y la proporcionalidad de la restricción.
2. El RPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. La JUR notificará por escrito al RPD el resultado de la revisión solicitada y cuándo se ha levantado la limitación.
Comunicación de información al interesado
1. En los anuncios de protección de datos, publicados en la intranet y en el sitio web, donde se informe a los interesados de sus derechos en el marco de determinado procedimiento, la JUR incluirá información sobre la posible limitación de dichos derechos. Esta información abarcará los derechos que pueden limitarse, las razones de la limitación y la posible duración de esta.
2. Además, la JUR informará a los interesados individualmente de sus derechos en relación con las limitaciones presentes o futuras, sin demora injustificada y por escrito, y sin perjuicio de lo dispuesto en el apartado siguiente.
3. Se informará a los interesados de los principales motivos en que se hubiera basado la aplicación de la limitación y de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.
Derecho de acceso del interesado
1. Cuando los interesados soliciten el acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una determinada operación de tratamiento, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, la JUR deberá circunscribir su evaluación de la solicitud a dichos datos personales únicamente.
2. Cuando la Junta limite, en su totalidad o en parte, el derecho de acceso a que se refiere el artículo 17 del Reglamento (UE) 2018/1725, deberá adoptar las siguientes medidas:
a) informará al interesado, en su respuesta a la solicitud, de la limitación y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el SEPD o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea;
b) consignará los motivos de la limitación, incluida una evaluación de la necesidad y proporcionalidad de la limitación; a tal efecto, la anotación deberá indicar cómo comprometería la concesión de acceso el objetivo de las actividades de investigación de la JUR o de las limitaciones aplicadas de conformidad con el artículo 2, apartado 3, o cómo podría afectar negativamente a los derechos y libertades de otros interesados.
La comunicación de la información mencionada en la letra a) podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.
3. La anotación a que se refiere la letra b) del apartado 2 y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes serán registrados. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud. Será de aplicación el artículo 25, apartado 7, del Reglamento (UE) 2018/1725.
Derecho de rectificación, supresión y limitación del tratamiento de datos
Cuando la JUR limite, total o parcialmente, la aplicación del derecho a la rectificación, supresión o limitación del tratamiento a que se refieren el artículo 18; el artículo 19, apartado 1; y el artículo 20, apartado 1, del Reglamento (UE) 2018/1725, adoptará las medidas contempladas en el artículo 6, apartado 2, de la presente Decisión y las consignará de conformidad con lo dispuesto en su artículo 6, apartado 3.
Comunicación de una violación de datos personales al interesado
Cuando la JUR limite la comunicación de una violación de datos personales al interesado a que se refiere el artículo 35 del Reglamento (UE) 2018/1725, deberá anotar y registrar los motivos de la limitación de conformidad con lo dispuesto en el artículo 3, apartado 3, de la presente Decisión. Será de aplicación el artículo 3, apartado 4, de la presente Decisión.
Entrada en vigor
La presente Decisión entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 18 de septiembre de 2019.
Por la Junta Única de Resolución
Elke KÖNIG
La Presidenta
(1) DO L 225 de 30.7.2014, p. 1
(2) DO L 295 de 21.11.2018, p. 39.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
