Agencia Estatal Boletín Oficial del Estado

EL COLEGIO DE EUROJUST,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de estos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1) (en lo sucesivo, «Reglamento»), y en particular su artículo 25,

Visto el dictamen del Supervisor Europeo de Protección de Datos (SEPD) de 25 de junio de 2020,

Considerando lo siguiente:

(1)

Eurojust está facultado para llevar a cabo investigaciones administrativas, procedimientos predisciplinarios, disciplinarios y de suspensión, de conformidad con el Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión Europea, establecidos en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo («Estatuto de los funcionarios») (2), y con la Decisión de Eurojust, de 23 de septiembre de 2013, por la que se establecen disposiciones generales de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios. En caso necesario, notifica también los casos a la OLAF, de conformidad con la Decisión 2020-03 del Colegio de Comisarios, de 15 de julio de 2020, relativa a las condiciones de las investigaciones internas en Eurojust en relación con la prevención del fraude, la corrupción y cualquier actividad ilegal que vaya en detrimento de los intereses de la Unión.

(2)

Los miembros del personal de Eurojust están obligados a informar sobre actividades potencialmente ilegales, incluidos el fraude y la corrupción, que vayan en detrimento de los intereses de la Unión. Los agentes también están obligados a comunicar las actuaciones relativas al cumplimiento de las obligaciones profesionales que puedan constituir un incumplimiento grave de las obligaciones de los funcionarios de la Unión. Esto está regulado por la Decisión 2019-02 del Colegio de Comisarios, de 29 de enero de 2019, sobre las directrices de Eurojust en materia de denuncia de irregularidades.

(3)

Eurojust ha establecido una política para prevenir y combatir eficazmente los casos, reales o potenciales, de acoso psicológico o sexual en el lugar de trabajo, tal como prevé su Decisión de 31 de enero de 2012 sobre la política de Eurojust para proteger la dignidad de la persona y prevenir el acoso psicológico y sexual. La Decisión establece un procedimiento informal por el que la presunta víctima del acoso puede ponerse en contacto con los consejeros «confidenciales» de Eurojust.

(4)

Eurojust también puede investigar las posibles infracciones de las normas de seguridad de la información clasificada de la Unión Europea (ICUE), sobre la base de la Decisión 2016-4 del Colegio, de 22 de marzo de 2016, por la que se adoptan las normas de seguridad revisadas de Eurojust, modificada por la Decisión 2016-24 del Colegio de 13 de diciembre de 2016.

(5)	Eurojust está sujeto a auditorías internas y externas en relación con sus actividades.

(6)	En el contexto de tales investigaciones, auditorías e investigaciones administrativas, Eurojust coopera con otras instituciones, órganos, oficinas y agencias de la Unión.

(7)	Eurojust puede cooperar con las autoridades nacionales y organizaciones internacionales de terceros países, ya sea a petición suya o por propia iniciativa.

(8)	Eurojust también puede cooperar con las autoridades públicas de los Estados miembros de la UE, ya sea a petición suya o por propia iniciativa.

(9)

Eurojust participa en los asuntos sometidos al Tribunal de Justicia de la Unión Europea cuando remite el asunto al Tribunal de Justicia, defiende una decisión que ha adoptado y que ha sido recurrida ante el Tribunal de Justicia, o interviene en asuntos relacionados con sus funciones. En este contexto, Eurojust podría tener que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos por las partes o por las partes coadyuvantes.

(10)

Para desempeñar sus funciones, Eurojust recoge y procesa información y varias categorías de datos personales, que incluyen datos de identificación de personas físicas (por ejemplo, nombre, apellidos, fecha de nacimiento, etc.), información de contacto (por ejemplo, domicilio, número de teléfono, dirección de correo electrónico, etc.), funciones y tareas profesionales, información sobre actuaciones privadas y profesionales (datos sobre comportamiento que pueden ser pertinentes y limitados únicamente a los fines de las investigaciones administrativas en curso, los procedimientos predisciplinarios, disciplinarios y de suspensión, las actividades preliminares relacionadas con los casos de irregularidades potenciales comunicadas a la OLAF, el tratamiento de casos de irregularidades y otros procedimientos similares) y datos financieros. Eurojust actúa como responsable del tratamiento de los datos.

(11)	Con arreglo al Reglamento, Eurojust está, por tanto, obligado a facilitar información a los interesados sobre dichas actividades de tratamiento y a respetar sus derechos como interesados.

(12)

Eurojust podría estar obligado a conciliar esos derechos con los objetivos de las investigaciones administrativas, las auditorías, las investigaciones y los procedimientos judiciales. También podría ser necesario equilibrar los derechos de un interesado frente a los derechos y libertades fundamentales de otros interesados. A tal fin, el artículo 25 del Reglamento (UE) 2018/1725 ofrece a Eurojust la posibilidad de limitar, bajo condiciones estrictas, la aplicación de los artículos 14 a 22, 35 y 36, del Reglamento, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20. A menos que se establezcan limitaciones en un acto jurídico adoptado sobre la base de los Tratados, es necesario adoptar normas internas con arreglo a las cuales Eurojust tenga derecho a limitar esos derechos.

(13)

Eurojust podría, por ejemplo, limitar la información que proporciona a un interesado sobre el tratamiento de sus datos personales durante la fase de evaluación preliminar de una investigación administrativa o durante la propia investigación, antes de la posible desestimación del asunto o en la fase predisciplinaria. En determinadas circunstancias, facilitar dicha información podría afectar gravemente a la capacidad de Eurojust para llevar a cabo la investigación de manera eficaz, por ejemplo, cuando exista el riesgo de que la persona afectada pueda destruir pruebas o interferir con posibles testigos antes de su declaración. Eurojust también podría tener que proteger los derechos y libertades de los testigos, así como los de otras personas implicadas.

(14)	Podría ser necesario proteger el anonimato de aquellos testigos o denunciantes que hayan solicitado no ser identificados. En tal caso, Eurojust podría decidir limitar el acceso a la identidad, las declaraciones y otros datos personales de esas personas, a fin de proteger sus derechos y libertades.

(15)

Podría ser necesario proteger la información confidencial relativa a un miembro del personal que se haya puesto en contacto con asesores confidenciales de Eurojust en el contexto de un procedimiento por acoso. En tales casos, Eurojust podría tener que limitar el acceso a la identidad, las declaraciones y otros datos personales de la presunta víctima, el presunto acosador y otras personas implicadas, con el fin de proteger los derechos y libertades de todos los interesados.

(16)	Eurojust debe aplicar limitaciones solo cuando estas respeten la esencia de los derechos y libertades fundamentales, sean estrictamente necesarias y constituyan una medida proporcionada en una sociedad democrática. Eurojust deberá explicar las razones que justifican dichas limitaciones.

(17)	En aplicación del principio de responsabilidad, Eurojust debe llevar un registro de las limitaciones impuestas.

(18)

Al tratar los datos personales intercambiados con otras organizaciones en el marco de sus funciones, tanto Eurojust como dichas organizaciones deben consultarse mutuamente sobre los posibles motivos de imposición de limitaciones, así como sobre la necesidad y proporcionalidad de estas, a menos que ello ponga en peligro las actividades de Eurojust.

(19)	El artículo 25, apartado 6, del Reglamento obliga al responsable del tratamiento a informar a los interesados de los motivos principales en los que se fundamenta la limitación y de su derecho a presentar una reclamación ante el SEPD.

(20)

De conformidad con el artículo 25, apartado 8, del Reglamento, Eurojust puede aplazar, omitir o denegar la comunicación de información sobre los motivos de la aplicación de una limitación al interesado si ello anula de cualquier modo el efecto de la restricción. Eurojust debe evaluar caso por caso si la comunicación de la limitación anula su efecto.

(21)	Eurojust debe levantar la limitación tan pronto como dejen de cumplirse las condiciones que la justifican y evaluar periódicamente dichas condiciones.

(22)

A fin de garantizar la máxima protección de los derechos y libertades de los interesados y de conformidad con lo dispuesto en el artículo 44, apartado 1, del Reglamento, debe consultarse al DPD a su debido tiempo cualquier limitación que pueda aplicarse y comprobar su conformidad con la presente Decisión.

(23)	El artículo 16, apartado 5, y el artículo 17, apartado 4, del Reglamento prevén excepciones al derecho a la información y al derecho de acceso de los interesados. Si se aplican estas excepciones, Eurojust no necesita aplicar una limitación con arreglo a la presente Decisión.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto y alcance

1.   La presente Decisión establece normas relativas a las condiciones en las que Eurojust puede limitar la aplicación de los artículos 4, 14 a 22, 35 y 36, de conformidad con el artículo 25 del Reglamento.

2.   Con arreglo a las condiciones previstas en la presente Decisión, las limitaciones pueden aplicarse a los siguientes derechos: la comunicación de información a los interesados, el derecho de acceso, la rectificación, la supresión, la limitación del tratamiento, la comunicación de una violación de la seguridad de los datos personales al interesado y la confidencialidad de las comunicaciones electrónicas.

3.   La presente Decisión se aplica al tratamiento de datos personales por Eurojust en la medida en que este trate los datos personales para fines relacionados con las investigaciones administrativas, los procedimientos predisciplinarios, disciplinarios y de suspensión, las actividades preliminares relativas a los casos de irregularidades potenciales comunicadas a la OLAF, los procedimientos (formales e informales) de acoso, la tramitación de las denuncias internas y externas, la realización de auditorías internas, las investigaciones llevadas a cabo por el responsable de protección de datos de conformidad con el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y las investigaciones de seguridad (informática) que hayan sido llevadas a cabo internamente o con participación externa (por ejemplo, CERT-UE).

4.   Las categorías de datos personales a que se refiere la presente Decisión incluyen datos identificativos, de contacto, de comportamiento y financieros.

5.   Eurojust, en su calidad de responsable del tratamiento, estará representado por el director administrativo.

Artículo 2

Limitaciones

1.   Eurojust podrá limitar la aplicación de los artículos 14 a 22, 35 y 36, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20:

 a) con arreglo al artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento, al llevar a cabo una investigación administrativa o un procedimiento predisciplinario, disciplinario o de suspensión con arreglo al artículo 86 y el anexo IX del Estatuto de los funcionarios y la Decisión Eurojust de 23 de septiembre de 2013 por la que se establecen disposiciones generales de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios, y cuando se notifiquen los casos a la OLAF;

 b) de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que los miembros del personal de Eurojust puedan denunciar hechos de forma confidencial cuando consideren que existen graves irregularidades, tal como se establece en la Decisión 2019-02 del Colegio, de 29 de enero de 2019, sobre las directrices de Eurojust sobre la denuncia de irregularidades;

 c) con arreglo al artículo 25, apartado 1, letra h), del Reglamento, al garantizar que el personal de Eurojust pueda informar a los asesores confidenciales en el contexto de un procedimiento de acoso, tal como se define en su Decisión de 31 de enero de 2012 sobre la política de Eurojust para proteger la dignidad de la persona y prevenir el acoso psicológico y sexual;

 d) de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando lleve a cabo auditorías internas en relación con actividades o departamentos de Eurojust;

 e) de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento, cuando presten asistencia a otras instituciones, organismos, oficinas y agencias de la Unión, cuando reciban asistencia de dichas instituciones, organismos, oficinas y agencias o cuando cooperen con ellas en el contexto de las actividades contempladas en las letras a) a d) del presente apartado y con arreglo a los acuerdos de nivel servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes;

 f) de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando presten asistencia a las autoridades nacionales y organizaciones internacionales de terceros países, cuando reciban asistencia de dichas autoridades y organizaciones o cuando cooperen con estas, a petición de estas o por iniciativa propia;

 g) de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando presten asistencia a las autoridades públicas de los Estados miembros de la UE, cuando reciban asistencia de dichas autoridades o cuando cooperen con estas, ya sea a petición suya o por iniciativa propia;

 h) de conformidad con el artículo 25, apartado 1, letra e), del Reglamento, cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea;

 i) con arreglo al artículo 25, apartado 1, letra i), del Reglamento, cuando el tratamiento de datos personales sea necesario para la ejecución de las demandas civiles.

2.   Cualquier limitación respetará la esencia de los derechos y libertades fundamentales y será necesaria y proporcionada en una sociedad democrática.

3.   Se llevará a cabo una prueba de necesidad y proporcionalidad, caso por caso, antes de aplicar limitaciones. Las restricciones se limitarán a lo estrictamente necesario para alcanzar su objetivo.

4.   A efectos de rendición de cuentas, Eurojust elaborará un registro en el que se describirán los motivos de las limitaciones aplicadas, los fundamentos enumerados en el apartado 1 que se aplican y el resultado de la prueba de necesidad y proporcionalidad. Dichos registros formarán parte de un registro, que se pondrá a disposición del SEPD a petición suya. Eurojust elaborará informes periódicos sobre la aplicación del artículo 25 del Reglamento.

5.   Al tratar los datos personales procedentes de otras organizaciones en el contexto de sus funciones, Eurojust consultará a dichas organizaciones sobre los posibles motivos de imposición de limitaciones y sobre la necesidad y proporcionalidad de las limitaciones de que se trate, a menos que ello ponga en peligro las actividades de Eurojust.

Artículo 3

Riesgos para los derechos y libertades de los interesados

1.   Las evaluaciones de los riesgos para los derechos y libertades de los interesados que supongan la aplicación de limitaciones y los detalles sobre el período de aplicación de dichas limitaciones se harán constar en el registro de actividades de tratamiento mantenido por Eurojust en virtud del artículo 31 del Reglamento. También se harán constar en todas las evaluaciones de impacto de protección de datos relativas dichas limitaciones llevadas a cabo con arreglo al artículo 39 del Reglamento.

2.   Siempre que Eurojust evalúe la necesidad y proporcionalidad de una limitación, tendrá en cuenta los posibles riesgos para los derechos y libertades del interesado. En caso de que Eurojust estudie aplicar una limitación, deberá sopesarse el riesgo para los derechos y las libertades del interesado, en particular, el riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por Eurojust, por ejemplo, por la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.

Artículo 4

Garantías y períodos de conservación

1.   Eurojust aplicará garantías para evitar los abusos y el acceso o transferencia ilícita de datos personales respecto de los cuales se apliquen o puedan aplicarse limitaciones. Tales garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de ejecución internos de Eurojust. Estas garantías cumplirán lo siguiente:

 a) las garantías deberán incluir una definición clara de las funciones, responsabilidades y etapas del procedimiento;

 b) todos los datos electrónicos se almacenarán en una aplicación informática segura que impida el acceso o transferencia ilícita y accidental de dichos datos electrónicos a personas no autorizadas, de conformidad con las normas de seguridad de Eurojust, así como en carpetas electrónicas específicas a las que únicamente pueda acceder el personal autorizado. Deberán concederse de manera individualizada los niveles de acceso adecuados;

 c) los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda acceder el personal autorizado;

 d) las garantías deberán incluir la debida supervisión de las limitaciones y la revisión periódica de su aplicación;

 e) todas las personas que dispongan de acceso a los datos quedarán sujetas a una obligación de confidencialidad.

Las revisiones mencionadas en la letra d) se llevarán a cabo al menos cada seis meses.

2.   Las limitaciones se levantarán tan pronto como dejen de existir las circunstancias que las justifiquen.

3.   El período de conservación de los datos personales al que se refiere el artículo 1, apartado 4, no será superior a lo necesario y apropiado para los fines para los que se traten. Los datos personales se conservarán de conformidad con las normas de conservación de Eurojust aplicables establecidas en el artículo 18 y en el anexo del Reglamento sobre el tratamiento y la protección de datos personales en Eurojust (3), que se definirán en los registros de protección de datos mantenidos en virtud del artículo 31 del Reglamento. Al final del período de conservación, los datos personales se suprimirán, se anonimizarán o se transferirán a los archivos de conformidad con el artículo 13 del Reglamento.

Artículo 5

Participación por parte del responsable de la protección de datos

1.   Se informará sin demora al DPD de Eurojust cuando los derechos de los interesados estén limitados de conformidad con la presente Decisión. Se dará acceso a los registros correspondientes y a todos los documentos relativos al contexto fáctico o jurídico.

2.   El DPD de Eurojust podrá solicitar que se revisen las limitaciones aplicadas. Eurojust informará por escrito a su DPD del resultado de la revisión.

3.   Eurojust documentará la participación del DPD en la aplicación de las limitaciones, incluida la información que se comparta con él.

Artículo 6

Información dirigida a los interesados sobre las limitaciones de sus derechos

1.   Eurojust incluirá una sección en los anuncios de protección de datos publicados en su sitio web/intranet, que proporcione información general a los interesados sobre la posible limitación de sus derechos, de conformidad con el artículo 2, apartado 1. La información cubrirá los derechos que puedan ser objeto de limitaciones, los motivos por los que pueden aplicarse las limitaciones y su posible duración.

2.   Eurojust informará a los interesados individualmente, por escrito y sin demora injustificada, de las limitaciones en curso o futuras de sus derechos. Eurojust informará al interesado de los motivos principales en los que se fundamenta la limitación aplicada, de su derecho a consultar al DPD con el fin de impugnar la limitación y de su derecho a presentar una reclamación ante el SEPD.

3.   Eurojust podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso. Tan pronto como la acción deje de anular el efecto de la limitación, Eurojust facilitará la información al interesado.

Artículo 7

Comunicación de una violación de la seguridad de los datos personales al interesado

1.   Cuando Eurojust tenga la obligación de comunicar una violación de datos con arreglo al artículo 35, apartado 1, del Reglamento, podrá, en casos excepcionales, limitar dicha comunicación total o parcialmente. Eurojust documentará en una nota los motivos de la limitación, su fundamento jurídico de conformidad con el artículo 2 y una evaluación de su necesidad y proporcionalidad. La nota se comunicará al SEPD en el momento en que se notifique la violación de datos personales.

2.   Cuando dejen de ser aplicables las razones de la limitación, Eurojust comunicará al interesado la violación de los datos personales y le informará de los motivos principales de la limitación, así como de su derecho a presentar una reclamación ante el SEPD.

Artículo 8

Confidencialidad de las comunicaciones electrónicas

1.   En circunstancias excepcionales, Eurojust podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas con arreglo al artículo 36 del Reglamento. Dichas limitaciones se ajustarán a lo dispuesto en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (4).

2.   En caso de que Eurojust limite el derecho a la confidencialidad de las comunicaciones electrónicas, deberá informar al interesado, en su respuesta a cualquier solicitud procedente de este, de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD.

3.   Eurojust podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso.

Artículo 9

Entrada en vigor

La presente Decisión entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

Hecho en La Haya, el 15 de julio de 2020.

Por el Colegio de Eurojust

Ladislav HAMRAN

Presidente de Eurojust

 

 

(1)  DO L 295 de 21.11.2018, p. 39.

(2)  Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).

(3)  Reglamento interno sobre la protección y el tratamiento de datos personales en Eurojust (DO L 50 de 24.2.2020, p. 10).

(4)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).