Agencia Estatal Boletín Oficial del Estado

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se establece un Sistema Europeo de Información y Autorización de Viajes (SEIAV) y por el que se modifican los Reglamentos (UE) n.o 1077/2011, (UE) n.o 515/2014, (UE) 2016/399, (UE) 2016/1624 y (UE) 2017/2226 (1), y en particular su artículo 73, apartado 3, párrafo tercero, letra b), inciso iii),

Considerando lo siguiente:

(1)	El Reglamento (UE) 2018/1240 establece el Sistema Europeo de Información y Autorización de Viajes (SEIAV) para los nacionales de terceros países exentos de la obligación de estar en posesión de un visado para entrar y permanecer en el territorio de los Estados miembros.

(2)	El funcionamiento del Sistema Europeo de Información y Autorización de Viajes requiere el desarrollo y la aplicación técnica del sistema de información del SEIAV. El sistema debe incluir registros de todas las operaciones de tratamiento de datos realizadas.

(3)	Es necesario establecer normas sobre la conservación y el acceso a los registros. Los registros deben utilizarse únicamente para verificar el cumplimiento de las obligaciones de tratamiento de datos y garantizar la integridad y seguridad de los datos personales operativos.

(4)

Por lo que se refiere a la conservación de los registros, es necesario especificar el lugar en el que deben almacenarse, la forma en que han de registrarse técnicamente, incluso cuando procedan de diferentes componentes del Sistema Europeo de Información y Autorización de Viajes, así como las normas aplicables a la supresión de los registros una vez finalizado su período de conservación.

(5)

Por lo que se refiere al acceso a los registros, es necesario especificar las autoridades competentes, incluidas, en su caso, las personas pertenecientes a dichas autoridades a las que debe concederse acceso a los registros y los fines para los que se puede acceder a ellos. A fin de garantizar que las autoridades competentes puedan desempeñar sus funciones con el fin de supervisar la admisibilidad del tratamiento de datos y garantizar la seguridad e integridad de los datos, debe facilitarse la identificación de los registros mediante una función de búsqueda eficaz.

(6)

Los registros del acceso del personal debidamente autorizado de las autoridades nacionales de cada Estado miembro y del personal debidamente autorizado de las agencias de la Unión a los efectos contemplados en el artículo 13, apartado 4 bis, del Reglamento (UE) 2018/1240 deben conservarse de conformidad con los requisitos establecidos en el artículo 24, apartados 2 y 3, del Reglamento (UE) 2019/817.

(7)

La Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA) es responsable de la fase de diseño y desarrollo del sistema de información SEIAV. Las medidas establecidas por la presente Decisión deben permitir a la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia definir el diseño de la arquitectura física del Sistema Europeo de Información y Autorización de Viajes, incluida su infraestructura de comunicación, así como las especificaciones técnicas del sistema y desarrollar el Sistema Europeo de Información y Autorización de Viajes. La Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia debe completar dichas medidas mediante las especificaciones técnicas y el documento de control de interfaces del Sistema Europeo de Información y Autorización de Viajes.

(8)

De conformidad con los artículos 1 y 2 del Protocolo n.o 22 sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca no participa en la adopción del presente Reglamento y no queda vinculada por este ni sujeta a su aplicación. No obstante, dado que el Reglamento (UE) 2018/1240 desarrolla el acervo de Schengen, Dinamarca, de conformidad con el artículo 4 de dicho Protocolo, notificó el 21 de diciembre de 2018 su decisión de incorporar el Reglamento (UE) 2018/1240 en su legislación nacional.

(9)	La presente Decisión constituye un desarrollo de las disposiciones del acervo de Schengen en las que Irlanda no participa de conformidad con la Decisión 2002/192/CE del Consejo (2); por lo tanto, Irlanda no participa en su adopción y no queda vinculada por ella ni sujeta a su aplicación.

(10)

Por lo que respecta a Islandia y Noruega, la presente Decisión constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Acuerdo celebrado por el Consejo de la Unión Europea, la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen (3), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE del Consejo (4).

(11)

Por lo que respecta a Suiza, la presente Decisión constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, la aplicación y el desarrollo del acervo de Schengen (5) que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE del Consejo, leído en relación con el artículo 3 de la Decisión 2008/146/CE del Consejo (6).

(12)

Por lo que respecta a Liechtenstein, la presente Decisión constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen (7), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE, leído en relación con el artículo 3 de la Decisión 2011/350/UE del Consejo (8).

(13)

Por lo que respecta a Chipre, Bulgaria, Rumanía y Croacia, la presente Decisión constituye un acto que desarrolla el acervo de Schengen o está de algún modo relacionado con él a tenor del artículo 3, apartado 1, del Acta de adhesión de 2003, del artículo 4, apartado 1, del Acta de adhesión de 2005 y del artículo 4, apartado 1, del Acta de adhesión de 2011.

(14)     (15)

El Supervisor Europeo de Protección de Datos fue consultado de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (9) y emitió un dictamen el 4 de septiembre de 2020.   Las medidas contempladas en la presente Decisión se ajustan al dictamen del Comité de fronteras inteligentes (SEIAV).

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Conservación de los registros de las operaciones de tratamiento de datos

1.   Los registros de todas las operaciones de tratamiento de datos en el sistema de información del SEIAV que deben conservarse de conformidad con el artículo 69, apartado 1, del Reglamento (UE) 2018/1240, incluidos los registros que impliquen el acceso por parte de los transportistas, tal como se establece en el artículo 45, apartado 7, por las autoridades de fronteras y las de inmigración, conforme a lo dispuesto en el artículo 69, apartado 3, del Reglamento (UE) 2018/1240 y por los puntos de acceso central según lo dispuesto en el artículo 70, apartado 1, del Reglamento (UE) 2018/1240, serán registrados y conservados por la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia en el sistema central del SEIAV.

2.   Cada operación de tratamiento de datos dentro del sistema de información del SEIAV se anotará como un registro independiente.

El registro tendrá un campo específico que permita identificar los pormenores de la operación realizada.

3.   En el registro se anotará la hora y la fecha de cada operación de tratamiento de datos («sello de tiempo»).

4.   Cada entrada en el registro almacenará el identificador único de la autoridad, así como del funcionario o miembro del personal que acceda, modifique o borre los datos almacenados en el sistema central del SEIAV.

5.   El sistema central del SEIAV suprimirá diariamente los registros respetando los períodos de conservación previstos en el artículo 45, apartado 7, el artículo 69, apartado 4, y el artículo 70, apartado 4, del Reglamento (UE) 2018/1240.

Se utilizará un sello de tiempo para identificar las entradas del registro que deban borrarse al final del período de retención pertinente para cada tipo de registro.

Artículo 2

Acceso a los registros de las operaciones de tratamiento de datos

1.   El acceso a los registros conservados por la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia de conformidad con el Reglamento (UE) 2018/1240 se limitará a:

 a) administradores debidamente autorizados del SEIAV de la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia y del Responsable de Protección de Datos a efectos de lo dispuesto en el artículo 58, apartado 2, del Reglamento (UE) 2018/1240, en particular para garantizar el cumplimiento del artículo 69, apartado 4, de dicho Reglamento;

 b) personal debidamente autorizado y responsable de la protección de datos de la Agencia Europea de la Guardia de Fronteras y Costas, a efectos de lo dispuesto en el artículo 7, apartado 2, letra e), y en el artículo 61 del Reglamento (UE) 2018/1240 y de garantizar la legalidad del tratamiento de datos y la integridad y seguridad de los mismos;

 c) personal debidamente autorizado y responsables de la protección de datos de las unidades nacionales SEIAV, a efectos de lo dispuesto en el artículo 57, apartado 2.

2.   El Supervisor Europeo de Protección de Datos y las autoridades nacionales de control competentes que desempeñen las funciones de control a que se refieren los artículos 66 y 67 del Reglamento (UE) 2018/1240 tendrán acceso a los registros previa solicitud a eu-LISA o a las unidades nacionales SEIAV.

3.   Los registros y los campos específicos anotados en el sistema central del SEIAV, de conformidad con el artículo 1, podrán consultarse al menos por referencia al autor, la fecha de acceso o el tipo de operación de tratamiento.

4.   A efectos del artículo 45, apartados 5 y 7, del Reglamento (UE) 2018/1240, la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia podrá transmitir a las unidades nacionales SEIAV los registros necesarios para la resolución de un litigio derivado de la aplicación de dicho artículo, siempre que se cumplan las condiciones siguientes:

 a) la unidad nacional SEIAV en cuestión haya presentado una solicitud explícita y motivada de tales registros a la Agencia Europea de la Guardia de Fronteras y Costas como responsable del tratamiento de datos en el sentido del artículo 57, apartado 1, primera frase, de dicho Reglamento;

 b) la Agencia Europea de la Guardia de Fronteras y Costas haya verificado y aprobado la solicitud.

5.   Los registros que anoten el acceso a los registros efectuados de conformidad con el apartado 1 deberán ser trazables al menos en función del autor o de la fecha de acceso.

6.   Los registros que anoten el acceso a los registros efectuados de conformidad con el apartado 1 deberán poder consultarse al menos por referencia al autor, la fecha de acceso o el tipo de operación de tratamiento.

Artículo 3

Entrada en vigor

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 15 de abril de 2021.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1)  DO L 236 de 19.9.2018, p. 1.

(2)  Decisión 2002/192/CE del Consejo, de 28 de febrero de 2002, sobre la solicitud de Irlanda de participar en algunas de las disposiciones del acervo de Schengen (DO L 64 de 7.3.2002, p. 20).

(3)  DO L 176 de 10.7.1999, p. 36.

(4)  Decisión 1999/437/CE del Consejo, de 17 de mayo de 1999, relativa a determinadas normas de desarrollo del Acuerdo celebrado por el Consejo de la Unión Europea con la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen (DO L 176 de 10.7.1999, p. 31).

(5)  DO L 53 de 27.2.2008, p. 52.

(6)  Decisión 2008/146/CE del Consejo, de 28 de enero de 2008, relativa a la celebración, en nombre de la Comunidad Europea, del Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, la aplicación y el desarrollo del acervo de Schengen (DO L 53 de 27.2.2008, p. 1).

(7)  DO L 160 de 18.6.2011, p. 21.

(8)  Decisión 2011/350/UE del Consejo, de 7 de marzo de 2011, relativa a la celebración, en nombre de la Unión Europea, del Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen, sobre la supresión de controles en las fronteras internas y la circulación de personas (DO L 160 de 18.6.2011, p. 19).

(9)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).