Agencia Estatal Boletín Oficial del Estado
El Consejo de Administración
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2018/1725, del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular, su artículo 25,
Visto el Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Valores y Mercados), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión 2009/77/CE de la Comisión (2) que podrá ser modificado, derogado o sustituido, y en particular, su artículo 71,
Visto el dictamen del SEPD, de 20 de junio de 2019, y las orientaciones del SEPD sobre el artículo 25 del nuevo Reglamento y las normas internas,
Previa consulta al Comité de Personal,
Considerando lo siguiente:
(1) La AEVM lleva a cabo sus actividades de conformidad con el Reglamento (UE) n.o 1095/2010 (el «Reglamento AEVM» y la «AEVM»), que podrá ser modificado, derogado o sustituido.
(2) La AEVM trata diversas categorías de datos personales, incluidos los datos «objetivos» (como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos «subjetivos» (relacionados con el caso, como el razonamiento, los datos de comportamiento, los datos de conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con los mismos).
(3) La AEVM, representada por su director ejecutivo, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro de la propia AEVM, a fin de reflejar las diversas responsabilidades operativas para las distintas tareas específicas de tratamiento de datos personales.
(4) Los datos personales se almacenan en un entorno electrónico o en papel, de un modo seguro que impide el acceso ilícito a personas que no necesiten conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados no se retienen durante un tiempo superior al necesario y adecuado para los fines para los que se hubieran tratado durante el período especificado en los registros de protección de datos y las declaraciones de confidencialidad de la AEVM.
(5) Para el ejercicio de sus atribuciones, la AEVM está obligada respetar, en toda la medida de lo posible, los derechos fundamentales de los interesados, en particular, los relativos al derecho a la comunicación de información, el acceso y la rectificación, el derecho a la supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones, como queda consagrado en el Reglamento (UE) 2018/1725.
(6) Sin embargo, la AEVM puede verse obligada a limitar la comunicación de información al interesado y otros derechos del interesado para proteger, en particular, la confidencialidad y la efectividad de sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas, así como los derechos de otras personas relacionadas con sus investigaciones o con otro tipo de procedimientos que se lleven a cabo.
(7) En el marco de su funcionamiento administrativo, la AEVM puede llevar a cabo una serie de investigaciones, como investigaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con el fraude financiero, investigaciones relativas a casos de denuncias de irregularidades o acoso, auditorías internas, investigaciones sobre protección de datos o ética, investigaciones sobre las TIC, investigaciones sobre la seguridad de la información y actividades realizadas en el contexto de la gestión de riesgos e incidentes de seguridad. Además, para el ejercicio de sus misiones, la AEVM lleva a cabo investigaciones relacionadas con sus funciones directas de supervisión o ejecución y puede llevar a cabo investigaciones sobre posibles infracciones del Derecho de la Unión, así como investigaciones sobre un tipo particular de actividad financiera, o un tipo de producto o conducta, con el fin de evaluar posibles amenazas a la integridad de los mercados financieros o a la estabilidad del sistema financiero.
(8) Deben aplicarse las normas internas a todas las operaciones de tratamiento llevadas a cabo por la AEVM en el ejercicio de las investigaciones mencionadas. Estas normas internas también son aplicables a las operaciones de tratamiento de datos realizadas con anterioridad a la apertura de las investigaciones citadas anteriormente, durante las mismas y durante el seguimiento de la actuación consecutiva a los resultados de dichas investigaciones. También debe incluir la asistencia, la coordinación y/o la cooperación solicitadas a la AEVM por parte de las autoridades nacionales y las organizaciones internacionales en el contexto de sus propias investigaciones administrativas.
(9) Antes de hacer uso de las limitaciones previstas en estas normas internas, la AEVM debe considerar si se aplica alguna de las excepciones establecidas en el Reglamento (UE) 2018/1725. En los casos en los que resultan aplicables limitaciones con arreglo a estas normas internas, la AEVM debe explicar por qué estas limitaciones son estrictamente necesarias y proporcionadas en una sociedad democrática y respetar el contenido esencial de los derechos y las libertades fundamentales.
(10) La AEVM debe supervisar si las condiciones que justifican la limitación siguen aplicándose y levantar la limitación cuando dejen de ser aplicables.
(11) El responsable del tratamiento debe informar al responsable de la protección de datos cuando limite la aplicación de los derechos de determinados interesados en virtud de la presente Decisión, cuando amplíe dicha limitación y cuando se levante la limitación,
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto y ámbito de aplicación
1. La siguiente decisión establece las normas internas relativas a las condiciones en las que la AEVM, en el marco de las actividades establecidas en los apartados 2 a 5, puede limitar la aplicación de los derechos previstos en los artículos 14 a 21, y 35, y también del artículo 4 del mismo, de conformidad con el artículo 25 del Reglamento (UE) 2018/1725. Estas limitaciones se entienden sin perjuicio de las excepciones a los derechos de los interesados previstas en el Reglamento (UE) 2018/1725.
2. En el marco del funcionamiento administrativo de la AEVM, las limitaciones previstas en el punto 1 del presente artículo se aplicarán al tratamiento de los datos personales por parte de la AEVM a efectos de:
a) las investigaciones administrativas y los procedimientos disciplinarios;
b) el tratamiento de las irregularidades en colaboración con la Oficina Europea de Lucha contra el Fraude (OLAF);
c) el tratamiento de los casos de denuncia de irregularidades, los casos de acoso (formal e informal), así como las denuncias internas y externas;
d) las auditorías internas, la protección de datos y las investigaciones de carácter ético;
e) las investigaciones sobre las TIC, las investigaciones sobre seguridad de la información y las actividades realizadas en el contexto de la gestión de riesgos e incidentes de seguridad, gestionadas a nivel interno o con participación externa.
3. En el ejercicio de las misiones de la AEVM, las limitaciones previstas en el punto 1 del presente artículo se aplicarán al tratamiento de datos personales por parte de la AEVM a efectos de:
a) las investigaciones relacionadas con las funciones directas de supervisión y ejecución de la AEVM;
b) las investigaciones de posibles infracciones del Derecho de la Unión con arreglo al artículo 17 del Reglamento AEVM; y
c) las investigaciones sobre un tipo particular de actividad financiera o tipo de producto o tipo de conducta con el fin de evaluar las posibles amenazas a la integridad de los mercados financieros o a la estabilidad del sistema financiero con arreglo al artículo 22 del Reglamento de la AEVM.
4. Además, estas limitaciones se aplican a la asistencia, coordinación y/o cooperación que la AEVM presta a las autoridades nacionales de valores y mercados, incluidas las autoridades de terceros países, y a las organizaciones internacionales en el contexto de las investigaciones realizadas para el ejercicio de sus misiones estatutarias.
5. Las limitaciones mencionadas en el apartado 1 del presente artículo se aplicarán también a las operaciones de tratamiento llevadas a cabo antes de la apertura de las investigaciones u otras investigaciones administrativas mencionadas en los apartados 2 a 4 anteriores, durante estas investigaciones y durante el seguimiento de la actuación consecutiva a los resultados de estas investigaciones.
6. La presente Decisión se aplicará a cualquier categoría de datos personales tratados en el contexto de las actividades mencionadas en los apartados 2 a 5.
7. Con arreglo a las condiciones previstas en la presente Decisión, las limitaciones pueden aplicarse a los siguientes derechos: la comunicación de información a los interesados, el derecho de acceso, la rectificación, la supresión, la limitación del tratamiento y la comunicación de una violación de la seguridad de los datos personales al interesado.
Responsable del tratamiento encargado de las investigaciones y salvaguardias aplicables
1. Las salvaguardias establecidas para evitar las violaciones de datos personales, las fugas o la divulgación no autorizada en el contexto de las investigaciones mencionadas en el artículo 1 son las siguientes:
a) Los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda tener acceso el personal autorizado.
b) Todos los datos electrónicos se gestionarán con los dispositivos, sistemas de información, aplicaciones y recursos para el almacenamiento de medios aprobados por la AEVM. Deben utilizarse las aplicaciones del sistema de gestión de documentos de la AEVM para organizar, encontrar, compartir, mantener y proteger los datos electrónicos de la Agencia. El personal autorizado de la AEVM solo tendrá acceso a los datos electrónicos según el principio de «necesidad de conocimiento»;
c) Todas las personas que dispongan de acceso a los datos quedarán sujetas a una obligación de confidencialidad.
2. El responsable de las operaciones de tratamiento será la AEVM, representada por su director ejecutivo, que podrá delegar la función de responsable del tratamiento de datos. Se informará a los interesados sobre la identidad del responsable del tratamiento que se haya delegado por medio de los registros de protección de datos publicados en el sitio web de la AEVM.
3. El período de retención de los datos personales no se prolongará más allá de lo necesario y adecuado para los fines que justifiquen el tratamiento de los datos. El período de retención se especificará en los registros de protección de datos y en las declaraciones de confidencialidad a las que se hace referencia en el artículo 5, apartado 1.
4. Cuando la AEVM estudie aplicar una limitación, deberá cotejarse el riesgo para los derechos y las libertades del interesado, en particular, por lo que se refiere al riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por la AEVM, por ejemplo, mediante la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principal, pero no exclusivamente, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.
Limitaciones
1. La AEVM solo adoptará limitaciones para salvaguardar:
a) la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas para la seguridad pública y su prevención;
b) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular los objetivos de la política exterior y de seguridad común de la Unión o un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;
c) la seguridad interna de las instituciones y organismos de la Unión, incluida la de sus redes de comunicación electrónica;
d) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;
e) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, al ejercicio de la autoridad pública en los casos a los que se hace referencia en las letras a) y b);
f) la protección del interesado o de los derechos y libertades de terceros.
2. Como aplicación concreta de los fines descritos en el apartado 1 anterior, la AEVM puede introducir limitaciones en relación con los datos personales intercambiados con los servicios de la Comisión u otras instituciones, organismos, agencias y oficinas de la Unión, autoridades competentes de los Estados miembros o de terceros países u organizaciones internacionales, en las siguientes circunstancias:
a) cuando los servicios de la Comisión o de otras instituciones, organismos, agencias y oficinas de la Unión puedan limitar el ejercicio de esos derechos y obligaciones, sobre la base de los actos jurídicos contemplados en el artículo 25 del Reglamento (UE) 2018/1725, o de conformidad con el capítulo IX de dicho Reglamento o con los actos fundacionales de otras instituciones, organismos, agencias y oficinas de la Unión;
b) cuando las autoridades competentes de los Estados miembros puedan limitar el ejercicio de esos derechos y obligaciones sobre la base de los actos a que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3), o con arreglo a las medidas nacionales de transposición del artículo 13, apartado 3; del artículo 15, apartado 3; o del artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (4);
c) cuando el ejercicio de dichos derechos y obligaciones pueda poner en peligro la cooperación de la AEVM con terceros países u organizaciones internacionales en el desempeño de sus funciones o de las funciones del tercer país u organizaciones internacionales.
Antes de aplicar las limitaciones en las circunstancias mencionadas en el apartado 1, letras a) y b), la AEVM consultará a los servicios pertinentes de la Comisión, a las instituciones, organismos, agencias y oficinas pertinentes de la Unión o a las autoridades competentes de los Estados miembros, a menos que para la AEVM resulte evidente que la aplicación de una limitación está prevista en uno de los actos a que se hace referencia en dichas letra s).
3. Toda limitación deberá ser necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y las libertades de los interesados y el respeto del contenido esencial de los derechos y las libertades fundamentales en una sociedad democrática.
4. Si se estudia aplicar una limitación, deberá llevarse a cabo una prueba de la necesidad y la proporcionalidad basada en las presentes normas. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.
5. Las limitaciones serán levantadas tan pronto como dejen de concurrir las circunstancias que las hubieran justificado. En particular, cuando se considere que el ejercicio del derecho limitado ya no anula el efecto de la limitación impuesta ni afecta negativamente a los derechos o las libertades de los demás interesados.
Revisión por parte del responsable de la protección de datos
1. La AEVM informará a su Responsable de protección de datos (RPD), sin dilaciones indebidas, de toda situación en la que el responsable del tratamiento limite la aplicación de los derechos de los interesados o extienda la limitación de conformidad con la presente Decisión. El responsable del tratamiento facilitará al RPD el acceso a la nota interna que contenga la evaluación de la necesidad y proporcionalidad de la limitación, así como, en su caso, los elementos de hecho y de derecho subyacentes, y documentará la fecha en que se informó al RPD.
2. El RPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. Este notificará por escrito al RPD el resultado de la revisión solicitada.
3. El responsable del tratamiento notificará al RPD el levantamiento de las limitaciones.
4. El responsable del tratamiento documentará la participación del RPD a lo largo de las distintas fases del proceso, a partir de la fecha en que se informe al RPD.
5. La nota interna y, en su caso, los elementos de hecho y de derecho subyacentes se pondrán a disposición del Supervisor Europeo de Protección de Datos previa solicitud.
Comunicación de información al interesado
1. La AEVM publicará en su sitio web registros de protección de datos que informen a todos los interesados sobre sus actividades que impliquen el tratamiento de datos personales, incluida la información relativa a la posible limitación de los derechos de los interesados.
2. La AEVM notificará individualmente, a todos los interesados a los que considere afectados por la investigación, el registro de la protección de datos de las operaciones de tratamiento específicas de que se trate, sin demoras indebidas y por escrito.
3. En casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, la AEVM podrá limitar, total o parcialmente, el suministro de información a los interesados a que se refiere el apartado 2. En este caso, documentará en una nota interna de evaluación los motivos de la limitación, el fundamento jurídico de conformidad con el artículo 3 de la presente Decisión, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.
4. La limitación a que se refiere el apartado 3 seguirá en vigor mientras los motivos que la justifiquen sigan siendo aplicables.
Cuando las razones de la limitación dejen de ser aplicables, la AEVM notificará al interesado el registro de protección de datos pertinente y las principales razones de la limitación. Esta notificación podrá combinarse con una invitación a presentar observaciones sobre los resultados de la investigación en curso, como parte del ejercicio de los derechos a la defensa del interesado de que se trate. Al mismo tiempo, la AEVM informará al interesado en cuestión sobre el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o a interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
La AEVM revisará cada seis meses la aplicación de la limitación desde la fecha de su adopción y al cierre de la investigación pertinente.
Derecho de acceso del interesado
1. A raíz de una solicitud de un interesado, la AEVM podrá limitar, total o parcialmente, su derecho a obtener confirmación de si los datos personales que le conciernen están siendo tratados por la AEVM en el contexto de una investigación contemplada en el artículo 1 de la presente Decisión y, en su caso, el derecho de acceso a dichos datos y a otra información contemplada en el artículo 17 del Reglamento (UE) 2018/1725.
2. Cuando la AEVM limite el derecho de acceso, informará al interesado, en su respuesta a la solicitud, sobre la limitación y sobre los principales motivos de la misma, así como sobre la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
3. La comunicación de la información mencionada en el apartado 2 podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725. Cuando así sea, la AEVM documentará en una nota interna de evaluación los motivos de la limitación, incluida una evaluación de la necesidad, la proporcionalidad y la duración de la limitación.
4. La AEVM revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación o consulta pertinentes.
Derecho de rectificación, supresión y limitación del tratamiento de datos
1. A raíz de la solicitud de un interesado, la AEVM podrá, en el contexto de una investigación contemplada en el artículo 1 de la presente Decisión, limitar, total o parcialmente, el derecho de la persona interesada a obtener la rectificación de los datos personales que le conciernan, a suprimir o limitar el tratamiento de sus datos personales con arreglo a lo dispuesto en los artículos 18, 19 y 20 del Reglamento (UE) 2018/1725.
2. Cuando la AEVM limite la aplicación del derecho de rectificación, supresión o limitación del tratamiento antes mencionado, adoptará las medidas establecidas en el artículo 6, apartados 2 y 3, de la presente Decisión.
3. La AEVM revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación o consulta pertinentes.
Comunicación de una violación de la seguridad de los datos personales al interesado
1. La AEVM comunicará, sin demora injustificada, cualquier violación de los datos personales a la persona interesada en cuestión cuando dicha violación pueda suponer un riesgo elevado para los derechos y libertades de las personas físicas, tal como se establece en el artículo 35 del Reglamento (UE) 2018/1725.
2. En casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, la AEVM podrá restringir, total o parcialmente, el suministro de información a los interesados a que se refiere el apartado 1 del presente artículo. En tal caso, documentará en una nota interna de evaluación los motivos de la limitación, el fundamento jurídico de la conformidad con el artículo 3 de la presente Decisión, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.
3. La limitación a que se refiere el apartado 2 seguirá en vigor mientras los motivos que la justifiquen sigan siendo aplicables.
Cuando las razones de la limitación dejen de ser aplicables, la AEVM notificará al interesado la violación de la seguridad de los datos personales y le informará de las principales razones de la limitación. Al mismo tiempo, la AEVM informará al interesado en cuestión del derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o a interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
La AEVM revisará cada seis meses la aplicación de la limitación desde la fecha de su adopción y al cierre de la investigación pertinente.
Entrada en vigor
La presente Decisión entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Helsinki, el 1 de octubre de 2019
Por el Consejo de Administración
Steven MAIJOOR
Presidente
(1) DO L 295 de 21.11.2018, p. 39.
(2) DO L 331 de 15.12.2010, p. 84.
(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(4) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
