Agencia Estatal Boletín Oficial del Estado
EL CONSEJO DE ADMINISTRACIÓN DE LA EMPRESA COMÚN CLEAN SKY 2,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1) , y en particular su artículo 25,
Visto el Reglamento (UE) n.o 558/2014 del Consejo, de 6 de mayo de 2014, por el que se establece la Empresa Común Clean Sky 2 (2) (en lo sucesivo, «la ECCS2»),
Visto el documento de orientación del Supervisor Europeo de Protección de Datos (SEPD) sobre el artículo 25 del Reglamento (UE) 2018/1725 y las normas internas que limitan los derechos de los interesados (3),
Previa consulta al SEPD, de conformidad con el artículo 41, apartado 2, del Reglamento (UE) 2018/1725.
Considerando lo siguiente:
|
(1) |
La ECCS2 lleva a cabo sus actividades de conformidad con el Reglamento (UE) n.o 558/2014. |
|
(2) |
De conformidad con el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, así como del artículo 4 de dicho Reglamento, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, deben basarse en normas internas que debe adoptar la ECCS2 cuando no se encuentren fundamentadas en actos jurídicos adoptados con arreglo a los Tratados. |
|
(3) |
Esas normas internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la proporcionalidad de la limitación, no deben aplicarse cuando un acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los derechos de los interesados. |
|
(4) |
En el marco de su funcionamiento administrativo, la ECCS2 puede hacer indagaciones administrativas, incoar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la Oficina Europea de Lucha contra el Fraude (OLAF), tramitar casos de denuncia de irregularidades, tramitar procedimientos (formales e informales) en casos de acoso, tramitar reclamaciones internas y externas, realizar auditorías internas, llevar a cabo investigaciones a través del delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y llevar a cabo investigaciones internas sobre seguridad (informática). |
|
(5) |
La ECCS2 trata diversas categorías de datos personales, incluidos los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos) (4). |
|
(6) |
La ECCS2, representada por su director ejecutivo, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro de la ECCS2, al objeto de reflejar las diversas responsabilidades operativas con respecto a las tareas específicas de tratamiento de datos personales. |
|
(7) |
Los datos personales se almacenan de un modo seguro en un entorno electrónico o en papel que garantice las salvaguardias necesarias para impedir el acceso ilícito o la transferencia ilícita a las personas que no tengan un derecho legítimo a acceder a dichos datos personales. Los datos personales tratados no se conservan durante un tiempo superior al necesario y al adecuado para los fines para los que se hubieran tratado durante el período especificado en los avisos de protección de datos, las declaraciones de confidencialidad o los registros de la ECCS2. |
|
(8) |
Las normas internas deben aplicarse a todas las operaciones de tratamiento de datos llevadas a cabo por la ECCS2 en el ejercicio de sus indagaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, procedimientos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitación de reclamaciones internas y externas, auditorías internas, investigaciones llevadas a cabo por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE). |
|
(9) |
Las normas internas deben aplicarse a las operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados anteriormente, durante estos y durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos. También deben ser aplicables a la asistencia y la cooperación prestadas por la ECCS2 a las autoridades nacionales y las organizaciones internacionales al margen de sus propias investigaciones administrativas. |
|
(10) |
En los casos en que resulten aplicables estas normas internas, la ECCS2 deberá justificar que las limitaciones son estrictamente necesarias y proporcionadas en una sociedad democrática y que respetan el contenido esencial de los derechos y las libertades fundamentales. |
|
(11) |
En este contexto, la ECCS2 debe respetar, en la medida de lo posible y ateniéndose plenamente a los actos legislativos y orientaciones pertinentes, los derechos fundamentales de los interesados durante los procedimientos citados, en particular los relativos a la comunicación de información, el derecho de acceso, de rectificación y de supresión, el derecho a la limitación del tratamiento, a la comunicación de una violación de la seguridad de los datos personales al interesado o a la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725. |
|
(12) |
Sin embargo, la ECCS2 puede verse obligada a limitar la comunicación de información a los interesados y otros derechos de los interesados para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones o con los procedimientos de otro tipo que se lleven a cabo. |
|
(13) |
En consecuencia, la ECCS2 puede limitar la comunicación de información a efectos de proteger la investigación y los derechos y libertades fundamentales de otros interesados. |
|
(14) |
La ECCS2 debe controlar de manera periódica que se cumplan las condiciones que justifiquen la aplicación de la limitación y levantar la limitación en cuanto dejen de cumplirse. |
|
(15) |
El responsable del tratamiento debe informar al delegado de protección de datos en el momento del aplazamiento y durante las revisiones. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto y ámbito de aplicación
1. La presente Decisión establece las normas relativas a las condiciones en las que la ECCS2, en el marco de sus procedimientos establecidos en el apartado 2, puede limitar la aplicación de los derechos previstos en los artículos 14 a 21, 35 y 36, así como la aplicación del artículo 4, del Reglamento (UE) 2018/1725, de conformidad con el artículo 25 de dicho Reglamento.
2. En el marco del funcionamiento administrativo de la ECCS2, la presente Decisión se aplica a las operaciones de tratamiento de datos personales llevadas a cabo por la oficina del programa a efectos de llevar a cabo indagaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, tramitaciones de casos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitaciones de reclamaciones internas y externas, auditorías internas, investigaciones llevadas a cabo por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).
3. Las categorías de datos en cuestión son los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los detalles administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).
4. Cuando la ECCS2 ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones previstas en el artículo 25, apartados 3 y 4, de dicho Reglamento.
5. Con arreglo a las condiciones establecidas en la presente Decisión, las limitaciones podrán aplicarse a los siguientes derechos: la comunicación de información a los interesados, el derecho de acceso, de rectificación y de supresión, el derecho a la limitación del tratamiento, a la comunicación de una violación de la seguridad de los datos personales al interesado o a la confidencialidad de las comunicaciones.
Especificación del responsable del tratamiento
El responsable de las operaciones de tratamiento será la ECCS2, representada por su director ejecutivo, quien podrá delegar la función de responsable del tratamiento. Se informará a los interesados de la identidad del responsable del tratamiento delegado por medio de avisos de protección de datos o registros publicados en el sitio web o la intranet de la ECCS2.
Especificación de las salvaguardias
1. La ECCS2 establecerá las siguientes salvaguardias para impedir el uso indebido o la transferencia ilícita de datos personales o el acceso ilícito a estos datos (5):
|
a) |
Los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda tener acceso el personal autorizado. |
|
b) |
Todos los datos en formato electrónico deberán almacenarse en una aplicación informática segura que respete las normas de seguridad de la ECCS2 y en carpetas electrónicas específicas a las que únicamente pueda acceder el personal autorizado. Deberán concederse de manera individualizada los niveles de acceso adecuados. |
|
c) |
La base de datos estará protegida con contraseña en virtud de un sistema de autenticación única y conectada automáticamente al identificador y la contraseña del usuario. Queda estrictamente prohibida la sustitución de los usuarios. Los registros electrónicos se conservarán de manera segura para salvaguardar la confidencialidad y la privacidad de los datos que contengan. |
|
d) |
Todas las personas que tengan acceso a los datos estarán sujetas a una obligación de confidencialidad. |
2. El período de conservación de los datos personales a los que hace referencia el artículo 1, apartado 3, no superará el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos. En ningún caso deberá superar el período de conservación especificado en los avisos de protección de datos, las declaraciones de confidencialidad o los registros a que hace referencia el artículo 6.
3. Cuando la ECCS2 estudie aplicar una limitación, deberá sopesarse el riesgo para los derechos y las libertades del interesado, en particular, con respecto al riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por la ECCS2, por ejemplo, por la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.
Limitaciones
1. La ECCS2 solo adoptará limitaciones para salvaguardar:
|
a) |
la seguridad nacional, el orden público o la defensa de los Estados miembros; |
|
b) |
la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención; |
|
c) |
otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular los objetivos de la política exterior y de seguridad común de la Unión o un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social; |
|
d) |
la seguridad interna de instituciones y organismos de la Unión, incluida la de sus redes de comunicación electrónica; |
|
e) |
la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas; |
|
f) |
una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos enunciados en las letras a) a c); |
|
g) |
la protección del interesado o de los derechos y libertades de otros; |
|
h) |
la ejecución de demandas civiles. |
2. Como aplicación específica de los fines descritos en el apartado 1, la ECCS2 podrá aplicar limitaciones en las siguientes circunstancias:
|
a) |
En relación con los datos personales intercambiados con servicios de la Comisión u otras instituciones, órganos y organismos de la Unión,
|
|
b) |
En relación con los datos personales intercambiados con autoridades competentes de los Estados miembros,
|
|
c) |
En relación con los datos personales intercambiados con terceros países u organizaciones internacionales, cuando haya pruebas claras de que el ejercicio de esos derechos y obligaciones puede comprometer la cooperación de la ECCS2 con terceros países u organizaciones internacionales en el ejercicio de sus funciones. |
Antes de aplicar limitaciones en las circunstancias mencionadas en el párrafo primero, letras a) y b), la ECCS2 consultará a los servicios pertinentes de la Comisión, a las instituciones, órganos u organismos de la Unión o a las autoridades competentes de los Estados miembros, a menos que para la ECCS2 resulte evidente que la aplicación de una limitación está contemplada en uno de los actos a que se hace referencia en dichas letra s).
Limitaciones de los derechos de los interesados
1. En casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar los derechos siguientes, cuando resulte necesario y proporcionado, en el contexto de las operaciones de tratamiento enumeradas en el apartado 2:
|
a) |
Derecho a la información |
|
b) |
Derecho de acceso |
|
c) |
Derecho de rectificación, de supresión y derecho a la limitación del tratamiento de datos |
|
d) |
Derecho a la comunicación de una violación de la seguridad de los datos personales al interesado |
|
e) |
Derecho a la confidencialidad de las comunicaciones electrónicas. |
2. De conformidad con el artículo 25, apartado 2, letra a), del Reglamento (UE) 2018/1725, en casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá aplicar limitaciones en el contexto de las siguientes operaciones de tratamiento:
|
a) |
la realización de indagaciones administrativas y procedimientos disciplinarios; |
|
b) |
las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF; |
|
c) |
los procedimientos de denuncia de irregularidades; |
|
d) |
los procedimientos (formales e informales) en casos de acoso; |
|
e) |
las tramitaciones de reclamaciones internas y externas; |
|
f) |
las auditorías internas; |
|
g) |
las investigaciones llevadas a cabo por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725; |
|
h) |
las investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE); |
|
i) |
en el marco de un procedimiento de gestión de subvenciones o de contratación pública, después de la fecha límite para la presentación de solicitudes en las convocatorias de propuestas u ofertas en las licitaciones (7). |
La limitación seguirá en vigor mientras los motivos que la justifiquen sigan siendo aplicables.
3. En el contexto del procedimiento aplicable a los casos de acoso, los derechos contemplados en el apartado 1 podrán limitarse en las mismas condiciones, a excepción del derecho a comunicar una violación de datos personales al interesado a que se refiere el apartado 1, letra d).
4. Cuando la ECCS2 limite, total o parcialmente, la aplicación de los derechos mencionados en el apartado 1, adoptará las medidas previstas en los artículos 6 y 7 de la presente Decisión.
5. Cuando los interesados soliciten acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una operación de tratamiento determinada, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, la ECCS2 circunscribirá su evaluación de la solicitud únicamente a dichos datos personales.
Necesidad y proporcionalidad de las limitaciones
1. Toda limitación contemplada en el artículo 5 deberá ser necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y las libertades de los interesados y el respeto del contenido esencial de los derechos y las libertades fundamentales en una sociedad democrática.
2. Si se estudia aplicar una limitación, deberá llevarse a cabo una prueba de la necesidad y la proporcionalidad basada en las presentes normas. La prueba también se llevará a cabo en el contexto de cada revisión periódica, de acuerdo con una evaluación sobre si aún son de aplicación los motivos fácticos y legales de la limitación. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.
3. Las limitaciones serán temporales y se levantarán tan pronto como dejen de cumplirse las circunstancias que las hayan justificado, en particular cuando se considere que el ejercicio del derecho limitado ya no anula el efecto de la limitación impuesta ni afecta negativamente a los derechos o las libertades de otros interesados.
La ECCS2 revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación o el procedimiento pertinentes. Posteriormente, el responsable del tratamiento deberá supervisar cada seis meses la necesidad de mantener cualquier limitación.
4. Cuando la ECCS2 aplique, de forma total o parcial, las limitaciones contempladas en el artículo 5 de la presente Decisión, hará constar los motivos de la limitación y el fundamento jurídico con arreglo al apartado 1, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.
Se registrarán la consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.
Obligación de información
1. En los avisos de protección de datos, las declaraciones de confidencialidad o los registros en el sentido del artículo 31 del Reglamento (UE) 2018/1725, publicados en el sitio web o en la intranet de la ECCS2, donde se informe a los interesados de sus derechos en el marco de un procedimiento determinado, la ECCS2 incluirá información sobre la posible limitación de dichos derechos. Esta información abarcará los derechos que pueden limitarse, las razones de la limitación y la posible duración de esta.
Sin perjuicio de lo dispuesto en el artículo 6, apartado 4, cuando resulte proporcionado, la ECCS2 también informará de manera individualizada a todos los interesados que se consideren afectados por la operación de tratamiento concreta de cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.
2. Cuando la ECCS2 limite, de forma total o parcial, los derechos establecidos en el artículo 5, informará al interesado en cuestión de la limitación aplicada y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
La comunicación de la información mencionada en el apartado 2 podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.
Revisión por parte del delegado de protección de datos
1. La ECCS2 informará a su delegado de protección de datos (en lo sucesivo, «DPD»), sin dilaciones indebidas, de toda situación en que el responsable del tratamiento limite la aplicación de los derechos de los interesados o prorrogue la limitación de conformidad con la presente Decisión. El responsable del tratamiento proporcionará al DPD acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación y documentará en dicho registro la fecha de la notificación al DPD.
2. El DPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. El responsable del tratamiento notificará por escrito al DPD el resultado de la revisión solicitada.
3. El DPD participará en todo el procedimiento. El responsable del tratamiento notificará al DPD el levantamiento de las limitaciones.
Entrada en vigor
La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Bruselas, 28 de abril de 2020.
En nombre del Consejo de Administración, mediante procedimiento escrito n.o 2020-02
Axel KREIN
Director Ejecutivo
(1) DO L 295 de 21.11.2018, p. 39.
(2) DO L 169 de 7.6.2014, p. 77.
(3) Disponible en: https://edps.europa.eu/sites/edp/files/publication/20-03-09_guidance_on_article_25_of_the_new_regulation_and_internal_rules_en.pdf
(4) En caso de corresponsabilidad del tratamiento, los datos se tratarán de acuerdo con los medios y los fines establecidos en el acuerdo pertinente entre los corresponsables del tratamiento definidos en el artículo 28 del Reglamento (UE) 2018/1725.
(5) Esta lista no es exhaustiva.
(6) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
(7) Esta operación de tratamiento solo se aplicará al artículo 5, apartado 1, letra c).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
