Agencia Estatal Boletín Oficial del Estado
EL COMITÉ EJECUTIVO DEL BANCO CENTRAL EUROPEO,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vistos los Estatutos del Sistema Europeo de Bancos Centrales y del Banco Central Europeo, y en particular su artículo 11.6,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,
Considerando lo siguiente:
|
(1)
(2) |
El Banco Central Europeo (BCE) desempeña sus funciones con arreglo a los Tratados y al Reglamento (UE) n.o 1024/2013 del Consejo (2).
En virtud de lo dispuesto en el artículo 45, apartado 3, del Reglamento (UE) 2018/1725, la Decisión (UE) 2020/655 del Banco Central Europeo (BCE/2020/28) (3) establece las normas generales de aplicación del Reglamento (UE) 2018/1725 en lo que respecta al BCE. en particular, detalla las normas sobre el nombramiento y las funciones, obligaciones y facultades del responsable de la protección de datos (RPD) del BCE. |
|
(3) |
En el ejercicio de las funciones que le han sido atribuidas, el BCE, y en particular su unidad organizativa pertinente, actúa como responsable del tratamiento de datos en la medida en que determina individual o colectivamente los fines y medios del tratamiento de datos personales. |
|
(4) |
Conforme al artículo 4, apartado 1, del Reglamento (UE) n.o 1024/2013, el BCE tiene competencia exclusiva para ejercer, con fines de supervisión prudencial y con vistas a garantizar la seguridad y la solidez de las entidades de crédito y la estabilidad del sistema financiero, funciones específicas respecto de las entidades de crédito establecidas en los Estados miembros que participan en el Mecanismo Único de Supervisión (MUS). |
|
(5) |
En el desempeño de esas funciones específicas, el BCE trata diversas categorías de datos que pueden referirse a personas físicas identificadas o identificables, tales como datos de identificación, datos de contacto, datos profesionales, datos financieros o administrativos, datos recibidos de fuentes específicas, datos sobre comunicación y tráfico electrónico, antecedentes penales, descripción de intereses financieros y no financieros, detalles sobre las relaciones de las personas o sus parientes cercanos con entidades supervisadas o con los miembros de sus órganos de administración, y datos relativos a los cargos para los que las personas han sido o pueden ser designadas. Los datos personales también pueden formar parte de las evaluaciones llevadas a cabo respecto de la autorización o revocación de la autorización de entidades de crédito; la revocación de la autorización de entidades de crédito y el procedimiento de adquisición de participaciones cualificadas; el derecho de establecimiento de entidades supervisadas significativas; la determinación del cumplimiento de los requisitos de idoneidad; las políticas retributivas de las entidades supervisadas significativas y los créditos que estas conceden a sus propios altos cargos y a personas relacionadas con ellos, y las alegaciones sobre posibles infracciones de los actos jurídicos a que se refiere el artículo 4, apartado 3, del Reglamento (UE) n.o 1024/2013. |
|
(6) |
Con el desempeño de esas funciones específicas, el BCE persigue objetivos importantes de interés público general de la Unión. Por ello, el desempeño de dichas funciones debe salvaguardarse conforme prevé el Reglamento (UE) 2018/1725, en particular su artículo 25, apartado 1, letras c) y g). Al desempeñar esas funciones, el BCE actúa en el interés público general de la Unión como autoridad pública encargada de ejercer con fines de supervisión funciones específicas respecto de las entidades de crédito establecidas en los Estados miembros participantes en el MUS. Esas funciones comprenden la vigilancia, inspección o regulación vinculadas al ejercicio del poder público de supervisión prudencial de las entidades de crédito. |
|
(7) |
En este contexto, procede detallar los motivos por los que el BCE puede limitar los derechos de los interesados respecto de los datos obtenidos en el desempeño por el BCE de sus funciones de supervisión con arreglo al Reglamento (UE) n.o 1024/2013. |
|
(8) |
Conforme a lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones de la aplicación de los artículos 14 a 22, 35 y 36 de dicho Reglamento, y en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 22, el artículo 4 de dicho Reglamento debe establecerse en normas internas o actos jurídicos adoptados con arreglo a los Tratados. Por consiguiente, el BCE debe establecer las normas que le permitan limitar los derechos de los interesados en el desempeño de sus funciones de supervisión. |
|
(9) |
Si bien la presente Decisión establece las normas con arreglo a las cuales el BCE puede limitar los derechos de los interesados en el ejercicio de sus funciones de supervisión, el Comité Ejecutivo tiene la intención de adoptar una decisión separada por la que se adopten normas internas relativas a la limitación de dichos derechos cuando el BCE trate datos personales en relación con su funcionamiento interno. |
|
(10) |
El BCE puede aplicar excepciones conforme al Reglamento (UE) 2018/1725 que hacen innecesario plantear limitaciones de derechos, en particular las del artículo 15, apartado 4, artículo 16, apartado 5, artículo 19, apartado 3, y artículo 35, apartado 3, de dicho Reglamento. Para el tratamiento con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, el BCE puede aplicar la excepción del artículo 16, apartado 5, letra b), o del artículo 19, apartado 3, letra d), del Reglamento (UE) 2018/1725. |
|
(11) |
El ejercicio de los derechos de los interesados a que se refieren los artículos 17, 18, 20, 21, 22 y 23 del Reglamento (UE) 2018/1725 puede imposibilitar u obstaculizar gravemente el logro de ciertos fines, incluidos, en su caso, los de archivo de interés público, investigación científica o histórica o estadísticos. Por lo tanto, la presente Decisión debe establecer excepciones respecto de esos derechos con arreglo al artículo 25, apartados 3 o 4, del Reglamento (UE) 2018/1725, con sujeción a las garantías apropiadas. |
|
(12) |
El BCE debe justificar que la limitación de los derechos de los interesados es estrictamente necesaria y proporcionada en una sociedad democrática para salvaguardar los objetivos perseguidos con el ejercicio de su autoridad pública y las funciones con ella relacionadas, y que, al imponer dicha limitación, respeta en lo esencial los derechos y libertades fundamentales. |
|
(13) |
En este contexto, el BCE está obligado a respetar todo lo posible los derechos fundamentales de los interesados, en particular los de información, acceso a los datos personales y rectificación, supresión, limitación del tratamiento, comunicación de las violaciones de la seguridad de los datos personales, y confidencialidad de las comunicaciones, conforme se establece en el Reglamento (UE) 2018/1725. |
|
(14)
(15) |
Sin embargo, el BCE puede verse en la obligación de limitar la información que facilite a los interesados, así como sus derechos, para proteger el desempeño de sus funciones de supervisión, en particular los procedimientos e investigaciones propios y de otras autoridades públicas y los derechos y libertades fundamentales de terceros afectados por sus procedimientos e investigaciones.
El BCE debe suprimir las limitaciones impuestas en la medida en que dejen de ser necesarias. |
|
(16)
(17) |
El RPD del BCE debe revisar la aplicación de las limitaciones para comprobar que se ajustan a la presente Decisión y al Reglamento (UE) 2018/1725.
De conformidad con el artículo 41, apartado 2, del Reglamento (UE) 2018/1725, se ha consultado al Supervisor Europeo de Protección de Datos, que emitió su dictamen el 12 de marzo de 2021. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto y ámbito de aplicación
1. La presente Decisión regula la limitación de los derechos de los interesados por el BCE cuando, en el ejercicio de sus funciones de supervisión, lleva a cabo actividades de tratamiento de datos personales registradas en el registro central en virtud del Reglamento (UE) n.o 1024/2013.
2. Los derechos de los interesados que pueden ser objeto de limitación se especifican en los artículos siguientes del Reglamento (UE) 2018/1725:
a) artículo 14 (transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado);
b) artículo 15 (información que debe facilitarse cuando los datos personales se obtengan del interesado);
c) artículo 16 (información que debe facilitarse cuando los datos personales no se hayan obtenido del interesado);
d) artículo 17 (derecho de acceso del interesado);
e) artículo 18 (derecho de rectificación);
f) artículo 19 [derecho de supresión («derecho al olvido»)];
g) artículo 20 (derecho a la limitación del tratamiento);
h) artículo 21 (obligación de notificación relativa a la rectificación o supresión de datos personales o a la limitación del tratamiento);
i) artículo 22 (derecho a la portabilidad de los datos);
j) artículo 35 (comunicación de una violación de la seguridad de los datos personales al interesado);
k) artículo 36 (confidencialidad de las comunicaciones electrónicas);
l) artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 22 del Reglamento (UE) 2018/1725.
Definiciones
A efectos de la presente Decisión, se entenderá por:
1) «tratamiento»: el definido en el artículo 3, punto 3, del Reglamento (UE) 2018/1725;
2) «datos personales»: los definidos en el artículo 3, punto 1, del Reglamento (UE) 2018/1725;
3) «interesado»: una persona física identificada o identificable; es identificable la persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante identificadores tales como un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de esa persona física;
4) «registro central»: el archivo público que lleva el RPD del BCE de todas las actividades de tratamiento de datos personales efectuadas en él, conforme establece el artículo 9 de la Decisión (UE) 2020/655 (BCE/2020/28);
5) «responsable del tratamiento de datos»: el BCE y, en particular, su unidad organizativa pertinente que sola o juntamente con otras determina los fines y medios del tratamiento de datos personales y que responde de la operación de tratamiento;
6) «instituciones y organismos de la Unión»: las instituciones y organismos a que se refiere el artículo 3, punto 10, del Reglamento (UE) 2018/1725.
Aplicación de las limitaciones
1. El responsable del tratamiento de datos podrá limitar los derechos a que se refiere el artículo 1, apartado 2, para salvaguardar los intereses y objetivos mencionados en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, en particular cuando el ejercicio de esos derechos suponga un peligro o un perjuicio de otra clase para:
a) el desempeño de las funciones de supervisión del BCE con arreglo al Reglamento (UE) n.o 1024/2013, incluido el correcto funcionamiento del sistema de supervisión;
b) la seguridad y solidez de las entidades de crédito y la estabilidad del sistema financiero dentro de la Unión y de cada Estado miembro;
c) la eficacia de la denuncia de infracciones de acuerdo con el artículo 23 del Reglamento (UE) n.o 1024/2013.
2. Para salvaguardar los intereses y objetivos mencionados en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, el responsable del tratamiento de datos podrá limitar los derechos a que se refiere el artículo 1, apartado 2, respecto de los datos personales obtenidos de otras instituciones y organismos de la Unión y autoridades competentes de los Estados miembros o terceros países u organizaciones internacionales, en cualquiera de los supuestos siguientes:
a) cuando el ejercicio de esos derechos pueda limitarse por otras instituciones y organismos de la Unión, de los cuales se hayan obtenido los datos personales, en virtud de otros actos previstos en el artículo 25 del Reglamento (UE) 2018/1725 o conforme al capítulo IX de dicho Reglamento o a los actos fundacionales de otras instituciones y organismos de la Unión;
b) cuando el ejercicio de esos derechos pueda limitarse por las autoridades competentes de los Estados miembros, de las cuales se hayan obtenido los datos personales, en virtud de los actos previstos en el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4), o conforme a las medidas nacionales de trasposición del apartado 3 de los artículos 13, 15 o 16, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (5);
c) cuando el ejercicio de esos derechos pueda suponer un peligro o un perjuicio de otra clase para la cooperación del BCE, en el desempeño de sus funciones, con terceros países u organizaciones internacionales, de los cuales se haya obtenido la información, salvo que los intereses o los derechos y libertades fundamentales de los interesados prevalezcan sobre el interés del BCE en la cooperación.
3. Antes de aplicar una limitación en los supuestos del apartado 2, letras a) y b), el responsable del tratamiento de datos:
a) tomará nota de los acuerdos concluidos con las instituciones y organismos pertinentes de la Unión o con las autoridades competentes de los Estados miembros, y
b) consultará a las instituciones y organismos pertinentes de la Unión o a las autoridades competentes de los Estados miembros salvo que considere que la aplicación de esa limitación está claramente prevista en uno de los actos o medidas a que se refiere el apartado 2, letras a) y b).
4. El responsable del tratamiento de datos solo podrá aplicar una limitación cuando, tras evaluar cada caso, concluya que la limitación:
a) es necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y libertades del interesado, y
b) respeta en lo esencial los derechos y libertades fundamentales de una sociedad democrática.
5. El responsable del tratamiento de datos documentará su evaluación en una nota interna en la que mencionará el fundamento jurídico de la limitación y sus causas, los derechos de los interesados que se limitan, los interesados afectados, la necesidad y proporcionalidad de la limitación y su probable duración.
6. La decisión por la que el responsable del tratamiento de datos limite los derechos del interesado conforme a esta decisión se tomará al nivel del jefe o subjefe del departamento pertinente en el que se lleve a cabo la operación principal de tratamiento de los datos personales.
Excepciones
1. Para el tratamiento con fines de investigación científica o histórica o fines estadísticos, el responsable del tratamiento de datos podrá aplicar excepciones de acuerdo con el artículo 25, apartado 3, del Reglamento (UE) 2018/1725. Para ello, podrá suspender los derechos a que se refieren los artículos 17, 18, 20 y 23 de dicho Reglamento, con arreglo a las condiciones de su artículo 25, apartado 3.
2. Para el tratamiento con fines de archivo de interés público, el responsable del tratamiento de datos podrá aplicar excepciones de acuerdo con el artículo 25, apartado 4, del Reglamento (UE) 2018/1725. Para ello, podrá suspender los derechos a que se refieren los artículos 17, 18, 20, 21, 22 y 23 de dicho Reglamento, de acuerdo con las condiciones de su artículo 25, apartado 4.
3. Dichas excepciones se someterán a garantías adecuadas conforme al artículo 13 del Reglamento (UE) 2018/1725 y al artículo 8 de la presente Decisión.
Información general sobre las limitaciones
El responsable del tratamiento de datos proporcionará información general sobre la posible limitación de los derechos de los interesados, para lo cual:
a) especificará los derechos que pueden limitarse y las causas y posible duración de la limitación;
b) incluirá la información de la letra a) en sus avisos y declaraciones de protección de datos y en el registro de las actividades de tratamiento conforme al artículo 31 del Reglamento (UE) 2018/1725.
Limitación de los derechos de acceso del interesado, rectificación, supresión o limitación del tratamiento
1. Cuando el responsable del tratamiento de datos limite total o parcialmente los derechos de acceso, rectificación, supresión o limitación del tratamiento, a que se refieren, respectivamente, el artículo 17, el artículo 18, el artículo 19, apartado 1, y el artículo 20, apartado 1, del Reglamento (UE) 2018/1725, informará al interesado, en el plazo establecido en el artículo 11, apartado 5, de la Decisión (UE) 2020/655 (BCE/2020/28), en su respuesta escrita a la solicitud, de la limitación aplicada, de sus motivos principales, y de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o recurrir al Tribunal de Justicia de la Unión Europea.
2. El responsable del tratamiento de datos conservará la nota interna de evaluación a que se refiere el artículo 3, apartado 5, y, en su caso, los documentos que contengan los fundamentos de hecho y de derecho, y presentará esta información al Supervisor Europeo de Protección de Datos si la solicita.
3. El responsable del tratamiento de datos podrá retrasar, omitir o denegar la presentación de información sobre los motivos de la limitación a que se refiere el apartado 1 siempre que la presentación de esa información socave el propósito de la limitación. El responsable del tratamiento de datos presentará esa información al interesado en el momento en que considere que hacerlo no socava ya el propósito de la limitación.
Duración de la limitación
1. El responsable del tratamiento de datos levantará la limitación aplicada en cuanto dejen de darse las circunstancias que la justificaron.
2. Cuando levante una limitación conforme al apartado 1, el responsable del tratamiento de datos deberá, sin demora:
a) si no lo hubiera hecho ya, informar al interesado de los motivos principales en que se basó la aplicación de la limitación;
b) informar al interesado de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos o recurrir al Tribunal de Justicia de la Unión Europea;
c) conceder al interesado el derecho objeto de la limitación levantada.
3. El responsable del tratamiento de datos revisará cada seis meses la necesidad de mantener una limitación aplicada conforme a la presente Decisión, y documentará su revisión en una nota interna de evaluación.
Garantías
El BCE aplicará las garantías organizativas y técnicas del anexo a fin de prevenir abusos o accesos o transmisiones indebidos.
Revisión por el responsable de la protección de datos
1. Cuando limite los derechos de un interesado, el responsable del tratamiento de datos involucrará en todo momento al RPD. En particular:
a) el responsable del tratamiento de datos consultará al RPD sin demoras indebidas;
b) a petición del RPD, el responsable del tratamiento de datos le dará acceso a los documentos que contengan los fundamentos de hecho y de derecho, incluida la nota interna de evaluación a que se refiere el artículo 3, apartado 5;
c) el responsable del tratamiento de datos documentará la participación del RPD, haciendo constar a qué información se le dio acceso y, en particular, la fecha de la primera consulta a que se refiere la letra a);
d) el RPD podrá solicitar al responsable del tratamiento de datos que revise la limitación;
e) el responsable del tratamiento de datos informará por escrito al RPD del resultado de la revisión solicitada, sin demoras indebidas y, en todo caso, antes de aplicar la limitación.
2. El responsable del tratamiento de datos informará al RPD cuando se levante la limitación.
Entrada en vigor
La presente Decisión entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Fráncfort del Meno, el 7 de septiembre de 2021.
La Presidenta del BCE
Christine LAGARDE
(1) DO L 295 de 21.11.2018, p. 39.
(2) Reglamento (UE) n.o 1024/2013 del Consejo, de 15 de octubre de 2013, que encomienda al Banco Central Europeo tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito (DO L 287 de 29.10.2013, p. 63).
(3) Decisión (UE) 2020/655 del Banco Central Europeo, de 5 de mayo de 2020, por la que se adoptan normas complementarias sobre la protección de datos en el Banco Central Europeo y se deroga la Decisión BCE/2007/1 (BCE/2020/28) (DO L 152 de 15.5.2020, p. 13).
(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(5) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
Las garantías organizativas y técnicas establecidas por el BCE para prevenir abusos o accesos o transmisiones indebidos son las siguientes:
a) en cuanto a las personas:
i) todas las personas que tienen acceso a información no pública del BCE responden del conocimiento y aplicación de las medidas y normas del BCE sobre la gestión y confidencialidad de la información,
ii) hay un procedimiento de control de seguridad que garantiza que solo las personas controladas y autorizadas tengan acceso a las instalaciones del BCE y a su información no pública,
iii) existen medidas de TI, información y concienciación en materia de seguridad física,
iv) se ofrece periódicamente formación al personal y a los proveedores externos,
v) el personal del BCE está sujeto a normas rigurosas de secreto profesional que se recogen en las Condiciones de contratación y el Reglamento del personal y cuya infracción da lugar a sanciones disciplinarias,
vi) existen normas y obligaciones contractuales que rigen el acceso de los proveedores externos o contratistas a la información no pública del BCE,
vii) existen controles de acceso y demarcaciones de seguridad que garantizan que el acceso a la información no pública del BCE solo se permite a personas autorizadas, con sujeción a las necesidades de negocio y a las exigencias de seguridad;
b) en cuanto a los procesos:
i) se dispone de procesos que garantizan la aplicación, el funcionamiento y el mantenimiento controlados de las aplicaciones de TI en las que se apoyan las actividades del BCE,
ii) las aplicaciones de TI utilizadas en las actividades del BCE cumplen las normas de seguridad del BCE,
iii) existe un programa de seguridad física global que evalúa permanentemente las amenazas a la seguridad e incluye medidas de seguridad física que garantizan una protección adecuada;
c) en cuanto a la tecnología:
i) todos los datos electrónicos almacenados en las aplicaciones de TI cumplen las normas de seguridad del BCE y están así protegidos frente a un acceso o una alteración no autorizados,
ii) las aplicaciones de TI se aplican, funcionan y se mantienen con un nivel de seguridad acorde con sus exigencias de confidencialidad, integridad y disponibilidad, que se basan en análisis de impacto de negocio,
iii) el nivel de seguridad de las aplicaciones de TI se valida periódicamente mediante evaluaciones de seguridad técnicas y no técnicas,
iv) el acceso a la información no pública del BCE se concede conforme al principio de necesidad de acceso, y el acceso privilegiado se limita y controla estrictamente,
v) existen controles para detectar e investigar infracciones de seguridad reales y potenciales.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
