Agencia Estatal Boletín Oficial del Estado
EL CONSEJO DE ADMINISTRACIÓN,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de estos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión 1247/2002/CE (1) (en lo sucesivo, «Reglamento»), y en particular su artículo 25,
Visto el Reglamento (UE) 2019/1896 del Parlamento Europeo y del Consejo, de 13 de noviembre de 2019, sobre la Guardia Europea de Fronteras y Costas y por el que se derogan los Reglamentos (UE) n.o 1052/2013 y n.o (UE) 2016/1624 (2) (en lo sucesivo, «Reglamento sobre la Guardia Europea de Fronteras y Costas» o «Reglamento GEFC»), y en particular su artículo 86, apartado 2,
Previa consulta al Supervisor Europeo de Protección de Datos el 16 de noviembre de 2021,
Considerando lo siguiente:
|
(1) |
La Agencia Europea de la Guardia de Fronteras y Costas (en lo sucesivo, «Agencia») está facultada para llevar a cabo investigaciones administrativas y procedimientos predisciplinarios, disciplinarios y de suspensión, de conformidad con el Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión Europea, establecidos en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (3) («Estatuto de los funcionarios»), y con la Decisión 26/2018 del Consejo de Administración, de 25 de octubre de 2018, por la que se adoptan disposiciones de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios. Si es necesario, también notifica los casos a la OLAF. |
|
(2) |
Los miembros del personal de la Agencia están obligados a notificar las actividades potencialmente ilícitas, incluidos el fraude y la corrupción, que vayan en detrimento de los intereses de la Unión. Los miembros del personal también están obligados a comunicar las actuaciones relativas al cumplimiento de las obligaciones profesionales que puedan constituir un incumplimiento grave de las obligaciones de los funcionarios de la Unión. Estas obligaciones están reguladas por la Decisión 17/2019 del Consejo de Administración, de 18 de julio de 2019, por la que se adoptan las Directrices de Frontex sobre denuncia de irregularidades. |
|
(3) |
La Agencia ha puesto en marcha una política destinada a prevenir y tratar eficazmente los casos reales o potenciales de acoso psicológico o sexual en el lugar de trabajo, tal como se establece en la Decisión 16/2019 del Consejo de Administración, de 18 de julio de 2019, por la que se adoptan medidas de ejecución en virtud del Estatuto de los funcionarios. La Decisión establece un procedimiento informal por el que la presunta víctima del acoso puede ponerse en contacto con los consejeros «confidenciales» de la Agencia. |
|
(4) |
La Agencia también puede llevar a cabo investigaciones sobre posibles infracciones de las normas de seguridad de la información clasificada de la Unión Europea (ICUE), sobre la base de sus normas de seguridad para la protección de la ICUE. |
|
(5) |
La Agencia está sujeta a auditorías internas y externas relativas a sus actividades, en particular por parte del Tribunal de Cuentas Europeo. Las auditorías internas las lleva a cabo la estructura de auditoría interna de la Agencia creada por la Decisión 43/2020 del Consejo de Administración, de 9 de diciembre de 2020, por la que se adopta la estructura organizativa modificada de la Agencia y la correspondiente Decisión del director ejecutivo de conformidad con el artículo 80 de la Decisión 19/2019 del Consejo de Administración, de 23 de julio de 2019, por la que se adopta el Reglamento Financiero de Frontex. |
|
(6) |
La Agencia tramita las denuncias externas, en particular las recibidas en el contexto del mecanismo de reclamaciones establecido de conformidad con el artículo 111 del Reglamento GEFC para supervisar y garantizar el respeto de los derechos fundamentales en todas las actividades de la Agencia. |
|
(7) |
Los participantes en las actividades de Frontex tienen la obligación de notificar incidentes graves de conformidad con el artículo 38, apartado 3, letra h), del Reglamento GEFC y con la Decisión del director ejecutivo, de 19 de abril de 2021, sobre procedimientos operativos normalizados (PON) — Notificación de incidentes graves (4). La Agencia también ha establecido un mecanismo de supervisión para supervisar la aplicación de las disposiciones del Reglamento GEFC sobre el uso de la fuerza por parte del personal estatutario, incluidas normas sobre presentación de informes y medidas específicas, como las de carácter disciplinario, en relación con el uso de la fuerza durante los despliegues. Esto está regulado por la Decisión 7/2021 del Consejo de Administración, de 20 de enero de 2021, por la que se establece un mecanismo de supervisión para supervisar la aplicación de las disposiciones sobre el uso de la fuerza por parte del personal estatutario del cuerpo permanente de la Guardia Europea de Fronteras y Costas. La Agencia también supervisa el uso de la fuerza por parte del personal enviado en comisión de servicios a la Agencia por los Estados miembros a largo plazo, el personal proporcionado por los Estados miembros para despliegues de corta duración y el personal que forma parte de la reserva de reacción rápida para intervenciones fronterizas rápidas, al tiempo que aplica la fuerza en las actividades operativas de Frontex de conformidad con la decisión pertinente del director ejecutivo. |
|
(8) |
En el contexto de tales investigaciones administrativas, auditorías, examen de denuncias e investigaciones, notificación de incidentes graves y actividades de seguimiento, la Agencia coopera con las autoridades competentes de los Estados miembros (5) y con otras instituciones, órganos y organismos de la Unión. |
|
(9) |
La Agencia puede cooperar con autoridades competentes de terceros países y con organizaciones internacionales, ya sea a petición de estas o por propia iniciativa. |
|
(10) |
La Agencia participa en los asuntos sometidos al Tribunal de Justicia de la Unión Europea y a los órganos jurisdiccionales nacionales cuando remite el asunto al Tribunal, defiende una decisión que ha adoptado y ha sido recurrida ante el Tribunal o interviene en asuntos relacionados con sus funciones. En este contexto, es posible que la Agencia tenga que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos por las partes o por las partes coadyuvantes. |
|
(11) |
Para desempeñar sus funciones, la Agencia recoge y trata información y varias categorías de datos personales, incluidos datos identificativos de personas físicas, información de contacto, datos sobre las funciones y tareas profesionales, información sobre la conducta y el rendimiento profesional y privado, y datos financieros. Por lo tanto, la Agencia actúa como responsable del tratamiento de los datos. |
|
(12) |
Con arreglo al Reglamento, la Agencia está, por tanto, obligada a facilitar información a los interesados sobre dichas actividades de tratamiento y a respetar sus derechos como titulares de datos. |
|
(13) |
La Agencia podría verse obligada a conciliar esos derechos con los objetivos de las investigaciones administrativas, las auditorías, las investigaciones, la notificación de incidentes graves y el seguimiento de la aplicación de las disposiciones del Reglamento GEFC sobre el uso de la fuerza y los procedimientos judiciales. También podría ser necesario buscar un equilibrio entre los derechos de un interesado y los derechos y las libertades fundamentales de otros interesados. A tal fin, el artículo 25 del Reglamento y el artículo 86, apartado 2, del Reglamento GEFC otorgan a la Agencia la posibilidad de limitar, en condiciones estrictas, la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20. A menos que se establezcan limitaciones en un acto jurídico adoptado sobre la base de los Tratados, es necesario adoptar normas internas con arreglo a las cuales la Agencia esté facultada para limitar esos derechos. |
|
(14) |
La Agencia podría, por ejemplo, tener que limitar la información que facilita a un interesado sobre el tratamiento de sus datos personales durante la fase de evaluación preliminar de una investigación administrativa o durante la propia investigación, antes de un posible archivo del caso o en la fase predisciplinaria, o cuando el interesado pueda ser objeto de medidas específicas, como las de carácter disciplinario, en relación con el uso de la fuerza durante los despliegues. En determinadas circunstancias, facilitar dicha información podría afectar gravemente a la capacidad de la Agencia para llevar a cabo la investigación o ejercer su supervisión de la función de uso de la fuerza de manera eficaz, cuando, por ejemplo, exista el riesgo de que la persona afectada pueda destruir pruebas o interferir con posibles testigos antes de ser entrevistados. |
|
(15) |
Es posible que la Agencia también necesite proteger los derechos y las libertades de los testigos, así como los de otras personas implicadas. Del mismo modo, la Agencia podría tener que limitar la información que facilita a un interesado sobre el tratamiento de sus datos personales cuando el suministro de esta información pueda afectar gravemente a las fases de evaluación y validación del proceso de notificación de incidentes graves de conformidad con el artículo 38, apartado 3, letra h), del Reglamento GEFC. |
|
(16) |
Podría ser necesario proteger el anonimato de aquellos testigos o denunciantes que hayan solicitado no ser identificados. En tal caso, la Agencia podría decidir limitar el acceso a la identidad, las declaraciones y otros datos personales de esas personas, a fin de proteger sus derechos y las libertades. En particular, la Agencia podría tener que proteger el anonimato de los testigos u otras personas que denuncien incidentes que impliquen el uso de la fuerza, de conformidad con el mecanismo de supervisión para supervisar la aplicación de las disposiciones del Reglamento GEFC sobre el uso de la fuerza. Del mismo modo, en el contexto de la notificación de incidentes graves de conformidad con el artículo 38, apartado 3, letra h), del Reglamento GEFC, la Agencia podría tener que proteger el anonimato de los participantes en una actividad de Frontex que hayan notificado un incidente de este tipo. |
|
(17) |
Podría ser necesario proteger la información confidencial relativa a un miembro del personal que se haya puesto en contacto con los asesores confidenciales de la Agencia. En tales casos, la Agencia podría tener que limitar el acceso a la identidad, las declaraciones y otros datos personales de la presunta víctima, el presunto acosador y otras personas implicadas, con el fin de proteger los derechos y las libertades de todos los afectados. |
|
(18) |
La Agencia trata los datos personales de su personal estatutario sobre aptitud médica y psicológica, incluidos, cuando sea necesario, la autorización para portar y utilizar armas de conformidad con el artículo 82, apartado 7, del Reglamento GEFC y la Decisión 3/2021 del Consejo de Administración, de 15 de enero de 2021 (6). Teniendo en cuenta el carácter sensible de los datos médicos y con el fin de proteger al interesado del acceso directo a expedientes que puedan ser perjudiciales para la salud y el estado mental de este, la Agencia proporcionará acceso indirecto a la información médica pertinente a través del asesor médico de la Agencia o de un proveedor médico externo para la información y el asesoramiento médicos pertinentes. |
|
(19) |
La Agencia solo debe aplicar limitaciones cuando estas respeten en lo esencial los derechos y las libertades fundamentales y sean una medida necesaria y proporcionada en una sociedad democrática. La Agencia deberá explicar las razones que justifiquen dichas limitaciones. |
|
(20) |
En aplicación del principio de rendición de cuentas, la Agencia debe llevar un registro de las limitaciones impuestas. |
|
(21) |
Al tratar los datos personales intercambiados con otras organizaciones en el marco de sus funciones, tanto la Agencia como dichas organizaciones se deben consultar mutuamente sobre los posibles motivos de imposición de limitaciones, así como sobre la necesidad y proporcionalidad de estas, a menos que ello ponga en peligro las actividades de la Agencia. |
|
(22) |
El artículo 25, apartado 6, del Reglamento obliga al responsable del tratamiento a informar a los interesados de las razones principales que justifican la limitación, así como de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos (SEPD). |
|
(23) |
De conformidad con el artículo 25, apartado 8, del Reglamento, la Agencia podrá aplazar, omitir o denegar la comunicación de la información que justifica la limitación al interesado si dicha comunicación dejase sin efecto la limitación impuesta. La Agencia debe evaluar caso por caso si la comunicación de la limitación la deja sin efecto. |
|
(24) |
La Agencia debe levantar la limitación tan pronto como las condiciones que la justifiquen ya no sean aplicables y debe evaluar dichas condiciones de forma periódica. |
|
(25) |
A fin de garantizar la máxima protección de los derechos y las libertades de los interesados y de conformidad con lo dispuesto en el artículo 44, apartado 1, del Reglamento, debe consultarse al agente de protección de datos (APD) de la Agencia a su debido tiempo cualquier limitación que pueda aplicarse y comprobar su conformidad con la presente Decisión. |
|
(26) |
La Agencia ha establecido normas específicas relativas al tratamiento de datos personales operativos, de conformidad con el artículo 90 del Reglamento GEFC, incluidas normas internas específicas sobre la conservación de datos personales operativos y normas sobre las limitaciones aplicadas a los derechos pertinentes de los interesados (7). |
DECIDE:
Objeto, ámbito de aplicación y responsabilidad
1. La presente Decisión establece normas relativas a las condiciones en las que la Agencia puede limitar la aplicación del artículo 4, 14 a 22, 35 y 36 del Reglamento, de conformidad con el artículo 25 del Reglamento y el artículo 86, apartado 2, del Reglamento GEFC.
La presente Decisión se aplica al tratamiento de datos personales por parte de la Agencia a efectos de tareas administrativas de conformidad con el artículo 87, apartado 1, letra h), del Reglamento GEFC.
2. De conformidad con el apartado 1 y en las condiciones establecidas en la presente Decisión, las limitaciones podrán aplicarse a los siguientes derechos: el derecho de información que debe otorgarse al interesado, el derecho de acceso del interesado, el derecho de rectificación, supresión y limitación del tratamiento y los derechos a la comunicación de una violación de la seguridad de los datos personales al interesado y a la confidencialidad de las comunicaciones electrónicas.
3. Las categorías de datos personales a que se refiere la presente Decisión son tanto datos objetivos o sólidos (por ejemplo, datos de identificación, datos de contacto, datos profesionales, datos administrativos, datos recibidos de fuentes específicas, datos de comunicaciones electrónicas y datos de tráfico) como datos subjetivos o blandos (por ejemplo, razonamiento, datos de comportamiento, valoraciones, datos relacionados con el rendimiento y la conducta y datos relacionados con el objeto del procedimiento o la actividad en cuestión o presentados en relación con los mismos).
4. La Agencia, en su calidad de responsable del tratamiento, está representada por el director ejecutivo. Se aplicarán las normas de aplicación del Reglamento de la Agencia en lo que se refiere a la responsabilidad del tratamiento de datos (8).
5. Se informará a los interesados de los responsables del tratamiento designados mediante información o registros publicados en el sitio web o en la intranet de la Agencia.
Limitaciones
1. La Agencia podrá limitar la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento y de su artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 22 en el contexto del tratamiento de datos personales indicado en el artículo 1, apartado 1, de la Decisión:
|
a) |
de conformidad con el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento, a la hora de llevar a cabo investigaciones administrativas o procedimientos predisciplinarios, disciplinarios o de suspensión con arreglo al artículo 86 y el anexo IX del Estatuto de los funcionarios, y a la Decisión 26/2018 del Consejo de Administración, de 25 de octubre de 2018, por la que se adoptan disposiciones generales de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios, a la hora de notificar casos a la OLAF y de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando el APD investigue asuntos directamente relacionados con sus funciones, en particular cuando lleve a cabo investigaciones sobre las actividades de tratamiento llevadas a cabo en la Agencia de conformidad con el artículo 5, apartado 11, de la Decisión 56/2021 del Consejo de Administración, de 15 de octubre de 2021 (9). La Agencia podrá limitar algunos de los derechos a que se refiere el artículo 1, apartado 2, de la Decisión de un miembro del personal, de una persona interesada o de un tercero con relación a cualquier información que pueda afectar gravemente a investigaciones o procedimientos predisciplinarios, disciplinarios o de suspensión futuros o en curso, incluidas las declaraciones de testigos y otros documentos; |
|
b) |
de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que los miembros del personal de la Agencia puedan notificar hechos de forma confidencial cuando consideren que existen irregularidades graves, tal como se establece en la Decisión 17/2019 del Consejo de Administración, de 18 de julio de 2019, por la que se adoptan las Directrices de Frontex sobre denuncia de irregularidades. La Agencia podrá limitar algunos de los derechos a que se refiere el artículo 1, apartado 2, de la Decisión de los interesados potencialmente implicados en las presuntas irregularidades en relación con cualquier información que pudiera comprometer el anonimato de la persona que denuncie una irregularidad grave; |
|
c) |
de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que los miembros del personal de la Agencia puedan obtener el apoyo de los asesores confidenciales, tal como se definen en la Decisión 16/2019 del Consejo de Administración, de 18 de julio de 2019, sobre la política de Frontex relativa a la protección de la dignidad de la persona y la prevención del acoso psicológico y sexual. La Agencia podrá limitar, en caso necesario, algunos de los derechos a que se refiere el artículo 1, apartado 2, de la Decisión de los presuntos acosadores, para proteger el anonimato de la posible víctima de acoso y el anonimato de los testigos; |
|
d) |
de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, a la hora de llevar a cabo auditorías internas y externas en relación con actividades o departamentos de la Agencia, en particular cuando las auditorías internas sean realizadas por la estructura de auditoría interna de la Agencia. La Agencia podrá limitar algunos de los derechos a que se refiere el artículo 1, apartado 2 de los interesados, en relación con aquellos datos que puedan comprometer la confidencialidad de la información recabada mediante la auditoría o interferir en la realización de una auditoría en curso; |
|
e) |
de conformidad con el artículo 25, apartado 1, letras b), e), g) y h), del Reglamento, en el contexto de investigaciones de la Fiscalía Europea. La Agencia podrá limitar algunos de los derechos a que se refiere el artículo 1, apartado 2, de la presente Decisión de los interesados en relación con la información necesaria para garantizar el correcto desarrollo y la confidencialidad de las investigaciones de la Fiscalía Europea; |
|
f) |
de conformidad con el artículo 25, apartado 1, letras c), e), g) y h), del Reglamento, a la hora de tramitar las denuncias, incluidas las recibidas por la Agencia en el contexto del mecanismo de denuncias establecido de conformidad con el artículo 111 del Reglamento GEFC para supervisar y garantizar el respeto de los derechos fundamentales en todas las actividades de la Agencia y con la decisión pertinente del director ejecutivo. La Agencia podrá limitar algunos de los derechos a que se refiere el artículo 1, apartado 2, de la presente Decisión de un miembro del personal que participe en una actividad de la Agencia (10) que sea objeto de una reclamación, en relación con cualquier información que pueda afectar gravemente a la revisión y tramitación de la reclamación; |
|
g) |
de conformidad con el artículo 25, apartado 1, letra c), e), g) y h), del Reglamento, a la hora de tramitar las notificaciones de incidentes con arreglo al artículo 38, apartado 3, letra h), del Reglamento GEFC y a la Decisión del director ejecutivo, de 19 de abril de 2021, sobre el procedimiento operativo normalizado (PON) — Notificación de incidentes graves. La Agencia podrá limitar algunos de los derechos a que se refiere el artículo 1, apartado 2, de la presente Decisión de los interesados incluidos en el Informe de incidente grave en relación con información que pueda afectar gravemente a la validación y evaluación del informe de incidente grave, así como a las acciones de seguimiento y el anonimato de los testigos u otras personas que informen de incidentes, incluidos los migrantes y los retornados; |
|
h) |
de conformidad con el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento, a la hora de supervisar la aplicación de las disposiciones sobre el uso de la fuerza por parte del personal estatutario del cuerpo permanente de la Guardia Europea de Fronteras y Costas con arreglo al artículo 55, apartado 5, letra a), del Reglamento GEFC y a la Decisión 7/2021 del Consejo de Administración, de 20 de enero de 2021, y a la hora de supervisar el uso de la fuerza por parte del personal enviado a la Agencia por los Estados miembros a largo plazo, el personal facilitado por los Estados miembros para despliegues de corta duración y el personal que forma parte de la reserva de reacción rápida para intervenciones fronterizas rápidas, cuando este personal haga uso de la fuerza en el marco de las actividades operativas de Frontex de conformidad con la decisión pertinente del director ejecutivo. La Agencia podrá limitar algunos de los derechos a que se refiere el artículo 1, apartado 2, de la presente Decisión de los interesados incluidos en un informe sobre el uso de la fuerza en relación con información (incluidas las declaraciones de testigos y otros documentos) que pueda afectar gravemente a la verificación del informe y a cualquier acción de seguimiento futura o en curso, incluidas las investigaciones y los procedimientos predisciplinarios, disciplinarios o de suspensión; |
|
i) |
de conformidad con el artículo 25, apartado 1, letras b), c), d), g) y h), del Reglamento, cuando preste asistencia a otras instituciones, órganos y organismos de la Unión o reciba asistencia de estos, o cuando coopere con ellos en el contexto de las actividades contempladas en las letras a) a h) del presente apartado y con arreglo a los acuerdos de nivel servicio, memorandos de entendimiento y acuerdos de trabajo pertinentes; |
|
j) |
de conformidad con el artículo 25, apartado 1, letras b), c), g) y h), del Reglamento, cuando preste asistencia y cooperación a las autoridades nacionales competentes de los Estados miembros, o reciba asistencia y cooperación de estas, bien a petición de las mismas o por propia iniciativa, en particular en el contexto de las actividades contempladas en las letras f) a h) del presente apartado y de conformidad con las disposiciones del Reglamento GEFC y las decisiones del Consejo de Administración; |
|
k) |
de conformidad con el artículo 25, apartado 1, letras b), c), g) y h), del Reglamento, cuando preste asistencia a las autoridades nacionales competentes de terceros países y a las organizaciones internacionales, o reciba asistencia de estas, o cuando coopere con dichas autoridades y organizaciones, en particular en virtud de memorandos de entendimiento y acuerdos de trabajo pertinentes; |
|
l) |
de conformidad con el artículo 25, apartado 1, letra e), del Reglamento, cuando se traten datos personales en el contexto de un procedimiento ante el Tribunal de Justicia de la Unión Europea o ante los órganos jurisdiccionales nacionales; |
|
m) |
de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, cuando la tramitación de las solicitudes de acceso de los miembros del personal a su expediente médico en relación con su aptitud médica y psicológica, si el acceso directo a dichos expedientes puede ser perjudicial para el interesado, teniendo en cuenta su estado de salud física o mental. En tales casos, la Agencia proporcionará acceso indirecto a la información médica pertinente a través del asesor médico de la Agencia o de un proveedor médico externo; |
|
n) |
de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento, a la hora de llevar a cabo análisis de seguridad que puedan dar lugar a investigaciones internas vinculadas a incidentes de ciberseguridad o al uso abusivo de sistemas informáticos, incluso con la participación externa del CERT-UE, cuando se encarga de garantizar la seguridad interna por medio de la videovigilancia, el control del acceso y actividades de investigación, de proteger los sistemas de comunicación e información y de aplicar contramedidas técnicas de seguridad. La Agencia podrá limitar algunos de los derechos a que se refiere el artículo 1, apartado 2, de la presente Decisión de los interesados en relación con información que pueda afectar gravemente a dichos análisis de seguridad, a los medios destinados a garantizar la seguridad interior, incluido el control del acceso, a las investigaciones de seguridad y a las contramedidas técnicas de seguridad. |
2. Cualquier limitación respetará la esencia de los derechos y las libertades fundamentales y será necesaria y proporcionada en una sociedad democrática.
3. Se llevará a cabo una prueba de necesidad y proporcionalidad, caso por caso, antes de aplicar limitaciones. Las limitaciones serán las estrictamente necesarias para alcanzar su objetivo.
4. A efectos de rendición de cuentas, la Agencia llevará un registro en el que se describirán los motivos de las limitaciones aplicadas, los fundamentos que se aplican de entre los enumerados en el apartado 1 y el resultado de la prueba de necesidad y proporcionalidad. Estos documentos formarán parte de un registro, que se pondrá a disposición del SEPD a petición suya. La Agencia elaborará y publicará informes periódicos sobre la aplicación del artículo 25 del Reglamento.
5. Al tratar los datos personales procedentes de otras organizaciones en el contexto de sus funciones, la Agencia consultará a dichas organizaciones sobre los posibles motivos de imposición de limitaciones y sobre la necesidad y proporcionalidad de las limitaciones de que se trate, a menos que ello ponga en peligro las actividades de la Agencia.
Riesgos para los derechos y las libertades de los interesados
1. Las evaluaciones de los riesgos para los derechos y las libertades de los interesados resultantes de la aplicación de limitaciones y los detalles sobre el período de aplicación de tales limitaciones se harán constar en el registro de actividades de tratamiento llevado por la Agencia en virtud del artículo 31 del Reglamento. También se harán constar en todas las evaluaciones de impacto en materia de protección de datos relativas a tales limitaciones que se lleven a cabo con arreglo al artículo 39 del Reglamento.
2. Siempre que la Agencia evalúe la necesidad y proporcionalidad de una limitación, tendrá en cuenta los posibles riesgos para los derechos y las libertades del interesado.
3. Las limitaciones no se aplicarán cuando el ejercicio del derecho limitado pueda privar a la limitación de su finalidad o afectar negativamente a los derechos o libertades de otros interesados.
Salvaguardias y plazos de conservación
1. La Agencia aplicará salvaguardias para evitar accesos a datos personales o transferencias de datos personales ilícitos o abusivos en relación con los cuales se apliquen o puedan aplicarse limitaciones. Dichas salvaguardias incluirán medidas técnicas y organizativas y se detallarán, en caso necesario, en las decisiones del Consejo de Administración de la Agencia, las decisiones del director ejecutivo, los planes operativos elaborados de conformidad con el artículo 38 del Reglamento GEFC, las decisiones internas, los procedimientos y las comunicaciones administrativas. Estas salvaguardias incluirán lo siguiente:
|
a) |
una definición clara de las funciones, responsabilidades y etapas del procedimiento; |
|
b) |
cuando proceda, un entorno electrónico seguro que impida el acceso ilícito y accidental a los datos electrónicos o la transferencia ilícita o accidental de datos electrónicos a personas no autorizadas; |
|
c) |
cuando proceda, un almacenamiento y un tratamiento seguro de los documentos en soporte papel; |
|
d) |
la debida supervisión de las limitaciones y la revisión periódica de su aplicación. |
Las revisiones a que se refiere la letra d) se llevarán a cabo al menos cada seis meses y podrán dar lugar a la supresión de las limitaciones de conformidad con el apartado 2. Las revisiones serán documentadas por el responsable del tratamiento designado a efectos de rendición de cuentas.
2. Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hubieran justificado.
3. Los datos personales se conservarán de acuerdo con las normas de conservación aplicables de la Agencia, que se definirán en los registros de protección de datos llevados conforme al artículo 31 del Reglamento. Al final del período de conservación, los datos personales se suprimirán, se anonimizarán o se transferirán a los archivos de conformidad con el artículo 13 del Reglamento.
Participación del agente de protección de datos
1. Se informará sin demora al APD cuando los derechos de los interesados estén limitados de conformidad con la presente Decisión. Se le dará acceso a los registros correspondientes y a todos los documentos relativos al contexto fáctico o jurídico.
2. El APD podrá solicitar que se revisen las limitaciones aplicadas. La Agencia informará por escrito a su APD del resultado de la revisión.
3. La Agencia documentará la participación del APD en la aplicación de las limitaciones, incluida la información que se comparta con él.
4. Los responsables del tratamiento designados informarán al APD cuando se levante una limitación.
Información dirigida a los interesados sobre las limitaciones de sus derechos
1. La Agencia incluirá una sección en los anuncios de protección de datos publicados en su sitio web y su intranet que proporcione información general a los interesados sobre las posibles limitaciones de sus derechos, de conformidad con el artículo 2, apartado 1. Esta información cubrirá los derechos que pueden ser objeto de limitaciones, los motivos por los que pueden aplicarse las limitaciones y su posible duración.
2. La Agencia informará a los interesados, individualmente, por escrito y sin demora injustificada, de las limitaciones actuales o futuras de sus derechos. La Agencia informará a los interesados de los motivos principales en los que se fundamenta la limitación aplicada, de su derecho a consultar al APD con el fin de impugnar la limitación y de su derecho a presentar una reclamación ante el SEPD.
3. La Agencia podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso. Tan pronto como dicha comunicación de información deje de anular el efecto de la limitación, la Agencia facilitará la información a los interesados.
Comunicación de una violación de la seguridad de los datos personales al interesado
1. Cuando la Agencia tenga la obligación de comunicar una violación de la seguridad de los datos con arreglo al artículo 35, apartado 1, del Reglamento, podrá, en casos excepcionales, limitar dicha comunicación total o parcialmente. La Agencia documentará en una nota los motivos de la limitación y su fundamento jurídico de conformidad con el artículo 2, e incluirá una evaluación de su necesidad y proporcionalidad. La nota se comunicará al SEPD en el momento en que se notifique la violación de la seguridad de los datos personales.
2. Cuando dejen de ser aplicables las razones de la limitación, la Agencia comunicará a los interesados la violación de la seguridad de los datos personales y le informará de los motivos principales de la limitación, así como de su derecho a presentar una reclamación ante el SEPD.
Confidencialidad de las comunicaciones electrónicas
1. En circunstancias excepcionales, la Agencia podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas previsto en el artículo 36 del Reglamento. Dichas limitaciones se ajustarán a lo dispuesto en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (11).
2. En caso de que la Agencia limite el derecho a la confidencialidad de las comunicaciones electrónicas, deberá informar a los interesados, en su respuesta a cualquier solicitud procedente de estos, de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD.
3. La Agencia podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso.
Entrada en vigor
La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Hecho mediante procedimiento escrito el 4 de abril de 2022.
Por el Consejo de Administración
Marko GAŠPERLIN
Presidente
(1) DO L 295 de 21.11.2018, p. 39.
(2) DO L 295 de 14.11.2019, p. 1.
(3) Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).
(4) Decisión del Director Ejecutivo n. R-ED-2021-51 de 19.4.2021 relativa al procedimiento operativo normalizado (PON) – Notificación de incidentes graves.
(5) A efectos de la presente Decisión, el término «Estados miembros» se refiere también a los Estados que participan en el desarrollo pertinente del acervo de Schengen en el sentido del Tratado de Funcionamiento de la Unión Europea y de su Protocolo (n.o 19) por el que se integra el acervo de Schengen en el marco de la Unión Europea.
(6) Decisión 3/2021 del Consejo de Administración, de 15 de enero de 2021, por la que se adoptan normas para que el director ejecutivo autorice al personal estatutario a portar y utilizar armas, en particular por lo que se refiere a la cooperación obligatoria con las autoridades nacionales competentes, y se garantiza que el personal estatutario siga cumpliendo las condiciones para expedir dichas autorizaciones.
(7) Decisión 69/2021 del Consejo de Administración, de 21 de diciembre de 2021, por la que se adoptan normas sobre el tratamiento de datos personales operativos por la Agencia.
(8) Decisión 56/2021 del Consejo de Administración, de 15 de octubre de 2021, por la que se adoptan normas de desarrollo sobre la aplicación del Reglamento (UE) 2018/1725 relativo a las tareas, funciones y competencias del agente de protección de datos, así como normas relativas a los responsables del tratamiento designados en Frontex.
(9) Decisión 56/2021 del Consejo de Administración, de 15 de octubre de 2021, por la que se adoptan normas de desarrollo sobre la aplicación del Reglamento (UE) 2018/1725 con relación a las tareas, funciones y competencias del agente de protección de datos, así como normas relativas a los responsables del tratamiento designados en Frontex.
(10) El término «Personal que participa en una actividad de la Agencia» se refiere, entre otros, a los miembros de los equipos, como el personal propio de la Agencia o los miembros de las categorías 2, 3 y 4 del cuerpo permanente.
(11) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
