Agencia Estatal Boletín Oficial del Estado
EL CONSEJO DE ADMINISTRACIÓN DE EUROPOL,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (1) (en lo sucesivo, el «Reglamento de Europol»), y en particular su artículo 46,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (2), y, en particular, su artículo 25,
Visto el documento de orientación sobre el artículo 25 del Reglamento (UE) 2018/1725 y las normas internas del Supervisor Europeo de Protección de Datos («SEPD»), de diciembre de 2018,
Vistos los comentarios del SEPD sobre el proyecto de Decisión del Consejo de Administración de Europol sobre normas internas relativas a las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales administrativos por Europol a partir del 14 de enero de 2020,
Considerando lo siguiente:
|
(1) |
Europol trata datos operativos y datos no operativos (administrativos) no relacionados con las investigaciones penales, como los datos personales relativos al personal de Europol, los proveedores de servicios o los visitantes. El tratamiento de los datos operativos entra en el ámbito de aplicación de las disposiciones del Reglamento de Europol, mientras que los datos no operativos (administrativos) están sujetos al Reglamento (UE) 2018/1725. |
|
(2) |
De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, deberán basarse en normas internas adoptadas por Europol cuando no se encuentren fundamentadas en actos jurídicos adoptados con arreglo a los Tratados. |
|
(3) |
Estas normas internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la proporcionalidad de la limitación, no deberán aplicarse cuando un acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los derechos de los interesados. |
|
(4) |
Europol podrá, en el marco de su funcionamiento, llevar a cabo investigaciones administrativas y un procedimiento predisciplinario, disciplinario y de suspensión. Las investigaciones administrativas deberán ser llevadas a cabo por el Servicio de Investigación Interna (SII), que también representará a la autoridad facultada para celebrar los contratos de trabajo a que se refiere el artículo 6 del régimen aplicable ante el Consejo Disciplinario con arreglo al artículo 86 del Estatuto de los funcionarios de la Unión Europea (3) y a la Decisión del Consejo de Administración de Europol por la que se establecen disposiciones generales de aplicación relativas a las investigaciones administrativas y los procedimientos disciplinarios (EDOC n.o 417349). |
|
(5) |
Los miembros del personal de Europol tienen la obligación de notificar posibles actividades ilícitas, incluidos el fraude o la corrupción, perjudiciales para los intereses de la Unión, o una conducta relacionada con el desempeño de actividades profesionales que pueda constituir un incumplimiento grave de las obligaciones de los funcionarios de la Unión. Esto se explica con más detalle en la Guía para el personal de Europol en el marco de los procedimientos de denuncia de irregularidades (EDOC n.o 903736). |
|
(6) |
Europol ha establecido una política para prevenir y tratar con eficacia y eficiencia los casos reales o potenciales de acoso psicológico o sexual en el lugar de trabajo, tal como se establece en la Decisión del Consejo de Administración de Europol relativa a la política de protección de la dignidad de la persona y de prevención del acoso psicológico y del acoso sexual (EDOC n.o 958626). La Decisión establece un procedimiento informal en el que la presunta víctima del acoso puede ponerse en contacto con consejeros confidenciales de Europol. |
|
(7) |
El delegado de protección de datos, de conformidad con el artículo 13 de la Decisión del Consejo de Administración de Europol por la que se establecen normas de aplicación relativas al delegado de protección de datos (EDOC n.o 845687), puede realizar investigaciones sobre el asunto objeto de una solicitud. |
|
(8) |
Europol podrá realizar auditorías de sus actividades realizadas a través de la estructura de auditoría interna (EAI) de Europol, que fue creada por el Consejo de Administración en su reunión del 1 de mayo de 2017, de conformidad con el artículo 11, apartado 1, del Reglamento de Europol, y solo es responsable ante este órgano. |
|
(9) |
En el contexto de las tareas mencionadas más arriba, Europol podrá proporcionar y recibir asistencia y cooperación con y de otras instituciones, órganos y organismos de la Unión, tal como se establece en los acuerdos de nivel de servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes. |
|
(10) |
Podrá ser necesario conciliar los derechos de los interesados de conformidad con el Reglamento (UE) 2018/1725 con las necesidades de las actividades antes mencionadas, respetando plenamente los derechos y libertades fundamentales de otros interesados. A tal efecto, el artículo 25 del Reglamento (UE) 2018/1725 prevé, en condiciones estrictas, la posibilidad de limitar la aplicación de los artículos 14 a 20, 35 y 36, así como del artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 20. En este caso, es necesario adoptar normas internas en virtud de las cuales Europol pueda limitar esos derechos en consonancia con el mismo artículo del Reglamento (UE) 2018/1725. |
|
(11) |
Este podría ser el caso, en particular, cuando se proporcione información sobre el tratamiento de datos personales al interesado en la fase de evaluación preliminar de una investigación administrativa o durante la propia investigación, antes de una posible desestimación del asunto o de una fase predisciplinaria. En determinadas circunstancias, el hecho de facilitar dicha información podría afectar gravemente a la capacidad del SII para realizar la investigación de manera eficaz, siempre que, por ejemplo, exista el riesgo de que la persona afectada destruya las pruebas o interfiera con los posibles testigos antes de que sean entrevistados. Además, Europol podría necesitar proteger sus derechos y libertades, así como los derechos y libertades de otras personas implicadas. |
|
(12) |
Podría ser necesario proteger la confidencialidad de un testigo o un denunciante que haya solicitado no ser identificado. En tal caso, Europol podrá decidir limitar el acceso a la identidad, las declaraciones y otros datos personales del denunciante y de otras personas implicadas, a fin de proteger sus derechos y libertades. |
|
(13) |
Podría ser necesario proteger la confidencialidad de un miembro del personal que haya contactado con consejeros confidencialidades de Europol en el contexto de un procedimiento de acoso. En tal caso, Europol podrá decidir limitar el acceso a la identidad, las declaraciones y otros datos personales de la presunta víctima, el presunto acosador y de otras personas implicadas, a fin de proteger sus derechos y libertades. |
|
(14) |
Al tramitar las investigaciones sobre las actividades de tratamiento llevadas a cabo en Europol, es posible que el delegado de protección de datos, en determinadas circunstancias, necesite preservar la eficacia de sus investigaciones y proteger, en caso necesario, a las personas implicadas y sus derechos y libertades. |
|
(15) |
Europol deberá aplicar las limitaciones solo cuando respetan la esencia de los derechos y las libertades fundamentales y son una medida estrictamente necesaria y proporcionada en una sociedad democrática. Europol deberá justificar los motivos de dichas limitaciones. |
|
(16) |
Sobre la base del principio de responsabilidad, Europol deberá mantener un registro de la aplicación de las limitaciones. |
|
(17) |
Al tratar los datos personales administrativos intercambiados con otras organizaciones en el contexto de sus funciones, Europol consultará y será consultado por dichas organizaciones sobre los posibles motivos pertinentes para imponer limitaciones y la necesidad y proporcionalidad de las limitaciones, a menos que ello ponga en peligro las actividades de Europol. |
|
(18) |
El artículo 25, apartado 6, del Reglamento (UE) 2018/1725 obliga al responsable del tratamiento a informar a los interesados de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante la SEPD. |
|
(19) |
De conformidad con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, Europol podrá aplazar, omitir o denegar la comunicación de la información que justifica la limitación al interesado si dicha comunicación dejase sin efecto la limitación impuesta. |
|
(20) |
Europol deberá evaluar caso por caso y en cooperación con el delegado de protección de datos si la comunicación de la limitación anula su efecto. |
|
(21) |
A fin de garantizar la máxima protección de los derechos y libertades de los interesados y de conformidad con el artículo 44, apartado 1, del Reglamento (UE) 2018/1725, el delegado de protección de datos deberá ser informado a su debido tiempo de cualquier limitación que se esté aplicando y verificar el cumplimiento de la presente Decisión. |
|
(22) |
La aplicación de las limitaciones mencionadas se entiende sin perjuicio de la posible aplicación de las disposiciones del artículo 16, apartado 5, y el artículo 17, apartado 4, del Reglamento (UE) 2018/1725, relativas, respectivamente, al derecho de información cuando los datos no se han obtenido del interesado y al derecho de acceso del interesado. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto y ámbito de aplicación
La presente Decisión establece normas relativas a las condiciones en las que Europol puede limitar la aplicación de los artículos 14 a 20, 35 y 36, así como su artículo 4, sobre la base del artículo 25 del Reglamento (UE) 2018/1725.
Descripción del responsable del tratamiento
1. El responsable de las operaciones de tratamiento será Europol, representada por su director ejecutivo, quien podrá delegar la función de responsable del tratamiento de datos.
2. Se informará a los interesados de la identidad del responsable del tratamiento delegado por medio de anuncios de protección de datos o de registros publicados en el sitio web o la intranet de Europol.
Limitaciones
1. Cuando Europol ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento (UE) 2018/1725.
2. De conformidad con el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, Europol podrá limitar la aplicación de los artículos 14 a 20, 35 y 36, así como su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20 del Reglamento (UE) 2018/1725, cuando:
|
a) |
El SII esté llevando a cabo investigaciones previas e investigaciones administrativas y el Consejo Disciplinario está tramitando procedimientos disciplinarios sobre la base del Estatuto de los funcionarios de la Unión Europea, así como la Decisión del Consejo de Administración de Europol por la que se establecen disposiciones generales de aplicación relativas a las investigaciones administrativas y los procedimientos disciplinarios. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725. |
|
b) |
En el transcurso de los procedimientos de denuncia de irregularidades, a fin de garantizar que el personal de Europol pueda comunicar de forma confidencial hechos que consideren graves, tal como se indica en las Directrices sobre los procedimientos de denuncia de irregularidades. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725. |
|
c) |
En los procedimientos formales e informales de casos de acoso, garantizar que el personal de Europol pueda informar confidencialmente a los asesores confidenciales en el contexto de un procedimiento de acoso, tal como se define en la Decisión del Consejo de Administración de Europol sobre la política relativa a la protección de la dignidad de la persona y la prevención del acoso psicológico y sexual. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725. |
|
d) |
El delegado de protección de datos está llevando a cabo investigaciones sobre las actividades de tratamiento realizadas en Europol con arreglo al artículo 13 de la Decisión del Consejo de Administración de Europol por la que se establecen normas de aplicación relativas al delegado de protección de datos. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725. |
|
e) |
La estructura de auditoría interna está llevando a cabo auditorías internas en relación con todas las actividades y departamentos de Europol. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725. |
|
f) |
Europol presta o recibe asistencia y cooperación con y de otras instituciones, órganos y organismos de la Unión, en el contexto de las actividades anteriormente mencionadas, según lo establecido en los acuerdos de nivel de servicio, Memorándum de acuerdo y acuerdos de cooperación pertinentes. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento (UE) 2018/1725. |
3. Las categorías de datos incluyen los datos de identificación de una persona física, la información de contacto, las funciones y tareas profesionales, la información sobre la conducta y el rendimiento profesional y privado, y los datos financieros.
4. Toda limitación respetará la esencia de los derechos y las libertades fundamentales y será una medida necesaria y proporcionada en una sociedad democrática.
5. Se llevará a cabo una prueba de necesidad y proporcionalidad, caso por caso, antes de aplicar limitaciones. Las limitaciones quedarán restringidas a lo estrictamente necesario para alcanzar los objetivos fijados.
6. Las limitaciones deberán ser debidamente supervisadas por el responsable del tratamiento de datos y se efectuará una revisión periódica con una prueba de necesidad y proporcionalidad cada seis meses a partir de su adopción en consulta con el delegado de protección de datos.
7. Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hubieran justificado. El responsable del tratamiento de datos, en consulta con el delegado de protección de datos, facilitará a los interesados la información sobre la posibilidad de presentar una reclamación ante el SEPD en cualquier momento o de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.
8. A efectos de la rendición de cuentas, Europol presentará un registro en el que se describan las razones de las limitaciones aplicadas, entre las enumeradas en el apartado 1, y el resultado de la prueba de necesidad y proporcionalidad. Dichos registros formarán parte de un registro ad hoc conservada por el delegado de protección de datos, que se pondrá a disposición del SEPD, previa solicitud. Se facilitará periódicamente un informe sobre la aplicación del artículo 25 del Reglamento (UE) 2018/1725.
9. Al tratar los datos personales intercambiados con otras organizaciones en el contexto de sus funciones, Europol consultará a estas dichas organizaciones sobre los posibles motivos pertinentes para imponer limitaciones y la necesidad y proporcionalidad de las limitaciones, a menos que ello ponga en peligro las actividades de Europol.
Riesgos para los derechos y libertades de los interesados
La evaluación de los riesgos para los derechos y libertades de los interesados cuyos datos personales puedan estar sujetos a limitaciones, así como su período de retención, se citan en el registro de las actividades de tratamiento pertinentes de conformidad con el artículo 31 del Reglamento (UE) 2018/1725 y, si procede, en las evaluaciones de impacto relativas a la protección de datos pertinentes basadas en el artículo 39 de dicho Reglamento.
Plazos de retención y garantías
1. Europol aplicará garantías para evitar los abusos o el acceso o la transferencia ilícitos de datos personales que pueden estar sujetos a limitaciones. Estas salvaguardias incluirán medidas técnicas y organizativas apropiadas para proteger los datos personales contra su destrucción accidental o ilícita, extravío accidental o divulgación, alteración y acceso no autorizados o cualquier otra forma de tratamiento no autorizado. Estas garantías incluirán:
|
a) |
una definición clara de las funciones, responsabilidades y etapas del procedimiento; |
|
b) |
en su caso, un entorno electrónico seguro que impida el acceso o la transferencia ilícitas o accidentales de datos electrónicos a personas no autorizadas; |
|
c) |
en su caso, un almacenamiento y tratamiento seguros de los documentos en soporte papel; |
|
d) |
la debida supervisión de las limitaciones y la revisión periódica de su aplicación. |
2. El período de retención de los datos personales podrá estar sujeto a limitaciones no superará el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos. En ningún caso deberá superar el período de retención especificado en los avisos sobre la protección de datos, las declaraciones de confidencialidad o los registros a los que se hace referencia más arriba.
Información y revisión por el delegado de protección de datos
1. El delegado de protección de datos será consultado sin demora indebida cuando el responsable del tratamiento de datos tenga la intención de aplicar limitaciones a los derechos de los interesados de conformidad con la presente Decisión y se le facilitará acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad, así como de cualquier documento que sustente los elementos de hecho y de derecho.
2. La participación del delegado de protección de datos en el procedimiento de limitación, incluidos los intercambios de información, se documentará de forma adecuada.
Información a los interesados sobre las limitaciones de sus derechos
1. Europol publicará en su intranet notificaciones de protección de datos que informen a todos los interesados de las actividades de tratamiento que impliquen el tratamiento de sus datos personales, que podrían estar sujetas a limitaciones de conformidad con las presentes normas.
2. Los responsables del tratamiento de datos informarán individualmente a los interesados que sean parte en un procedimiento, a las partes afectadas por un procedimiento o a los testigos sobre sus derechos y posibles limitaciones.
Derecho a la información que debe facilitarse a los interesados y comunicación de las violaciones de la seguridad de los datos
1. Cuando, en el contexto de las actividades mencionadas en la presente Decisión, Europol limite, total o parcialmente, los derechos mencionados en los artículos 14 a 16 y 35 del Reglamento (UE) 2018/1725, se informará a los interesados de las razones principales en las que se basa la aplicación de la limitación, así como de su derecho a presentar una reclamación ante el SEPD y de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.
2. Europol podrá aplazar, omitir o denegar la comunicación de información sobre las razones de la limitación a que se refiere el apartado 1 durante el tiempo en que anule el efecto de la limitación. Esta evaluación se realizará caso por caso en cooperación con el delegado de protección de datos.
Derecho de acceso, rectificación, supresión y limitación del tratamiento de los interesados
1. Cuando, en el contexto de las actividades mencionadas en la presente Decisión, el Europol limite, total o parcialmente, el derecho de acceso a los datos personales, el derecho de rectificación, supresión y limitación del tratamiento a que se refieren, respectivamente, los artículos 17 a 20 del Reglamento (UE) 2018/1725, se informará a los interesados, en la respuesta a su solicitud, de las razones principales en las que se basa la aplicación de la limitación, así como de la posibilidad de presentar una reclamación ante el SEPD y de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.
2. Europol podrá aplazar, omitir o denegar la comunicación de información sobre las razones de la limitación a que se refieren el apartado 1 si anula el efecto de la limitación. Esta evaluación se realizará caso por caso en cooperación con el delegado de protección de datos.
Confidencialidad de las comunicaciones electrónicas
1. Europol, en circunstancias excepcionales y de conformidad con las disposiciones y la justificación de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (4), podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas, tal como se contempla en el artículo 36 del Reglamento (UE) 2018/1725.
2. Cuando Europol limite el derecho a la confidencialidad de las comunicaciones electrónicas, se informará a los interesados, en la respuesta a su solicitud, de las razones principales en las que se basa la aplicación de la limitación, así como de la posibilidad de presentar una reclamación ante el SEPD y de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.
3. Europol podrá aplazar, omitir o denegar la comunicación de información sobre las razones de la limitación a que se refieren los apartados 1 y 2 durante el tiempo en que anule el efecto de la limitación. Esta evaluación se realizará caso por caso en cooperación con el delegado de protección de datos.
Entrada en vigor
La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Hecho en La Haya, el 9 de junio de 2020.
Por el Consejo de Administración
Andrei LINTA
Presidente
(1) DO L 135 de 24.5.2016, p. 53.
(2) DO L 295 de 21.11.2018, p. 39.
(3) Estatuto de los funcionarios de la Unión Europea, establecido por el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (DO L 56 de 4.3.1968, p. 1).
(4) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
