Agencia Estatal Boletín Oficial del Estado
EL COMITÉ EJECUTIVO DEL BANCO CENTRAL EUROPEO,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vistos los Estatutos del Sistema Europeo de Bancos Centrales y del Banco Central Europeo, y en particular su artículo 11.6,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,
Considerando lo siguiente:
|
(1) |
El Banco Central Europeo (BCE) desempeña sus funciones con arreglo a los Tratados. |
|
(2) |
En virtud de lo dispuesto en el artículo 45, apartado 3, del Reglamento (UE) 2018/1725, la Decisión (UE) 2020/655 del Banco Central Europeo (BCE/2020/28) (2) establece las normas generales que complementan el Reglamento (UE) 2018/1725 en lo relativo al BCE. En particular, detalla las normas sobre el nombramiento y las funciones, obligaciones y facultades del responsable de la protección de datos (RPD) del BCE. |
|
(3) |
En el ejercicio de las funciones que le han sido atribuidas, el BCE, y en particular su unidad organizativa pertinente, actúa como responsable del tratamiento de datos en la medida en que determina individual o colectivamente los fines y medios del tratamiento de datos personales. |
|
(4) |
En relación con el funcionamiento interno del BCE, se encomiendan a diversos departamentos del BCE (incluidos la Dirección General de Recursos Humanos (DG/HR), la Oficina de Cumplimiento y Gobernanza (CGO), la Dirección de Auditoría Interna (D/IA) y la Dirección General de Servicios Jurídicos (DG/L)) funciones incluidas en el marco jurídico que rige la contratación laboral en el BCE y que requieren el tratamiento de datos personales. Tales funciones podrían incluir, entre otras, medidas adoptadas en relación con la posible infracción de deberes profesionales (incluidas las investigaciones de conductas inapropiadas según el régimen del BCE relativo a la dignidad en el trabajo y el seguimiento de las denuncias de actividades ilegales o infracciones de los deberes profesionales que se hayan presentado por cualquier conducto, incluido el mecanismo de denuncia de infracciones del BCE); funciones relativas a los procedimientos de selección; tareas desempeñadas por DG-HR en el cumplimiento de sus funciones relativas a la gestión del rendimiento, los ascensos, el nombramiento directo del personal del BCE, el desarrollo profesional —incluida la evaluación del talento en y entre los departamentos—, los aumentos de sueldo y las gratificaciones, y las decisiones sobre movilidad y permisos; el examen y seguimiento de los recursos internos interpuestos por el personal del BCE (incluida la revisión administrativa, los procedimientos de reclamación, los procedimientos de recurso especiales o los comités médicos); las funciones consultivas de la CGO previstas en el régimen deontológico del BCE (establecido en el artículo 0 del Reglamento del personal del BCE) y las funciones de la CGO relativas a la vigilancia del cumplimiento de las normas sobre las actividades financieras privadas (incluida la cooperación con proveedores externos de servicios nombrados de acuerdo con el artículo 0.4.3.3 del Reglamento del personal del BCE), y las auditorías llevadas a cabo por la D/IA y las funciones desempeñadas en el marco de la Circular administrativa 01/2006 sobre investigaciones administrativas internas (3) al realizar actividades de investigación e investigaciones administrativas en situaciones que puedan implicar una dimensión disciplinaria que afecte a personal del BCE (incluidas las funciones de las personas que dirigen la investigación o los miembros del panel investigador cuando precisen obtener pruebas y determinar los hechos pertinentes). |
|
(5) |
En virtud de la Decisión (UE) 2016/456 del Banco Central Europeo (BCE/2016/3) (4), el BCE debe transmitir a la Oficina Europea de Lucha contra el Fraude, a petición de esta o por iniciativa propia, información que el BCE posea y que induzca a sospechar la existencia de posibles casos de fraude, corrupción u otras actividades ilegales que afecten a los intereses financieros de la Unión. La Decisión (UE) 2016/456 (BCE/2016/3) dispone que en tal caso se informe enseguida al interesado, siempre que ello no perjudique a la investigación y sin que en ningún caso puedan extraerse conclusiones en las que se identifique por su nombre al interesado antes de haberle dado la oportunidad de pronunciarse sobre todos los hechos que le conciernan, incluidas las pruebas en su contra. |
|
(6) |
En virtud del artículo 4, letra b), de la Decisión (UE) 2020/655 (BCE/2020/28), el RPD debe investigar, por propia iniciativa o a solicitud del BCE, los asuntos e incidentes relacionados con la protección de datos. |
|
(7) |
Compete a la División de Seguridad de la Dirección de Administración realizar investigaciones para asegurar en el BCE la seguridad física de personas, instalaciones y propiedades, obtener inteligencia sobre amenazas y analizar los incidentes de seguridad. |
|
(8) |
El BCE tiene el deber de cooperar lealmente con las autoridades nacionales, incluidas las encargadas de perseguir los delitos. Concretamente, la Decisión (UE) 2016/1162 del Banco Central Europeo (BCE/2016/19) (5) faculta al BCE, a solicitud de una autoridad nacional encargada de investigar delitos, para facilitar la información confidencial que obre en su poder relativa a las tareas que le encomienda el Reglamento (UE) n.o 1024/2013 del Consejo (6) u otras funciones del SEBC o del Eurosistema, a una ANC o a un BCN para que estos la transmitan a la autoridad nacional encargada de investigar delitos, siempre que se cumplan ciertas condiciones. |
|
(9) |
Conforme al Reglamento (UE) 2017/1939 del Consejo (7), el BCE, cuando sospeche que se ha cometido un delito en el ámbito de sus competencias, debe facilitar información sin demora a la Fiscalía Europea. |
|
(10) |
El BCE debe cooperar con los organismos de la UE que ejerzan funciones de supervisión, vigilancia o auditoría a que esté sujeto el BCE, como el Supervisor Europeo de Protección de Datos, el Tribunal de Cuentas Europeo y el Defensor del Pueblo Europeo, en el desempeño de sus funciones respectivas. En este marco, el BCE puede tratar datos personales para poder atender solicitudes de esos organismos, consultarles y proporcionarles información. |
|
(11) |
Conforme al régimen interno de resolución de conflictos del BCE, el personal del BCE puede ponerse en contacto con un mediador, en todo momento y por cualquier medio, para solicitar su apoyo en la resolución o prevención de conflictos laborales. Según ese régimen, toda comunicación con el mediador se considera confidencial. Todo lo mencionado en el curso de la mediación se considera información confidencial, y los participantes en la mediación solo pueden utilizarla a los efectos de la mediación, sin perjuicio de cualesquiera acciones legales. Excepcionalmente, el mediador puede divulgar la información que le parezca necesaria para prevenir un riesgo inminente de grave perjuicio para la integridad física o mental de una persona. |
|
(12) |
El BCE se esfuerza por asegurar unas condiciones de trabajo en las que se proteja la salud y la seguridad de su personal y se respete su dignidad en el trabajo, ofreciendo servicios de asesoramiento en apoyo de sus empleados, que pueden solicitar los servicios de un asesor social respecto de cualquier cuestión, incluidas las emocionales, personales y laborales. El asesor social no tiene acceso al expediente personal de los empleados del BCE, salvo que estos lo consientan expresamente. No pueden divulgarse las informaciones o declaraciones presentadas al asesor social, salvo que el interesado lo consienta expresamente o se exija por ley. |
|
(13) |
En relación con su funcionamiento interno, el BCE trata diversas categorías de datos que pueden referirse a personas físicas identificadas o identificables. Los anexos de la presente decisión incluyen listas no exhaustivas de las categorías de datos personales que el BCE trata en relación con su funcionamiento interno. Los datos personales podrían también integrarse en una evaluación que incluyese una valoración efectuada por el departamento responsable en relación con el asunto que se examina; por ejemplo, una evaluación realizada por DG/HR, DG/L, D/IA o un comité disciplinario o un panel de investigación de una infracción de deberes profesionales. |
|
(14) |
En el contexto de los considerandos 4 a 13, conviene especificar los motivos por los que el BCE puede limitar los derechos de los interesados. |
|
(15) |
Con el desempeño de sus funciones, el BCE persigue objetivos importantes de interés público general de la Unión. Por ello, ese desempeño debe salvaguardarse conforme prevé el Reglamento (UE) 2018/1725, en particular su artículo 25, apartado 1, letras b), c), d), f), g) y h). |
|
(16) |
Conforme a lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones de la aplicación de los artículos 14 a 22, 35, 36 y, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 22, el artículo 4 de dicho reglamento, deben establecerse en normas internas o actos jurídicos adoptados con arreglo a los Tratados. Por consiguiente, el BCE debe establecer las normas que le permitan limitar los derechos de los interesados en el desempeño de sus funciones. |
|
(17) |
El BCE debe justificar que la limitación de los derechos de los interesados es estrictamente necesaria y proporcionada en una sociedad democrática para salvaguardar los objetivos perseguidos con el ejercicio de su autoridad pública y las funciones con ella relacionadas, y que, al imponer dicha limitación, respeta en lo esencial los derechos y libertades fundamentales. |
|
(18) |
En este contexto, el BCE está obligado a respetar todo lo posible los derechos fundamentales de los interesados, en particular los de información, acceso a los datos personales y rectificación, supresión, limitación del tratamiento, comunicación de las violaciones de la seguridad de los datos personales, y confidencialidad de las comunicaciones, conforme se establece en el Reglamento (UE) 2018/1725. |
|
(19) |
Sin embargo, el BCE puede verse en la obligación de limitar la información facilitada a los interesados y los derechos de otros interesados para proteger el desempeño de sus funciones, en particular los procedimientos e investigaciones propios y de otras autoridades públicas y los derechos y libertades fundamentales de terceros afectados por sus procedimientos o investigaciones. |
|
(20) |
El BCE debe suprimir las limitaciones impuestas en la medida en que dejen de ser necesarias. |
|
(21) |
El RPD debe revisar la aplicación de las limitaciones para comprobar que se ajustan a la presente decisión y al Reglamento (UE) 2018/1725. |
|
(22) |
Si bien la presente decisión establece las normas con arreglo a las cuales el BCE puede limitar los derechos de los interesados al tratar datos personales en relación con su funcionamiento interno, el Comité Ejecutivo ha adoptado una decisión separada por la que se adoptan normas internas relativas a la limitación de derechos cuando el BCE desempeña sus funciones de supervisión. |
|
(23) |
El BCE puede aplicar excepciones conforme al Reglamento (UE) 2018/1725 que hacen innecesario plantear limitaciones de derechos, en particular las del artículo 15, apartado 4, artículo 16, apartado 5, artículo 19, apartado 3, y artículo 35, apartado 3, de dicho reglamento. |
|
(24) |
Con fines de archivo de interés público, pueden establecerse excepciones a los derechos de los interesados a que se refieren los artículos 17, 18, 20, 21, 22 y 23 del Reglamento (UE) 2018/1725, en normas internas o actos jurídicos adoptados en virtud de los Tratados por el BCE en relación con sus funciones de archivo y con sujeción a las condiciones y garantías requeridas conforme al artículo 25, apartado 4, del Reglamento (UE) 2018/1725. |
|
(25) |
Conforme al artículo 41, apartado 2, del Reglamento (UE) 2018/1725, se ha consultado al Supervisor Europeo de Protección de Datos, que emitió su dictamen el 12 de marzo de 2021. |
|
(26) |
Se ha consultado al Comité de Personal. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto y ámbito de aplicación
1. La presente decisión regula la limitación de los derechos de los interesados por el BCE cuando lleva a cabo actividades de tratamiento de datos personales, registradas en el registro central, en relación con su funcionamiento interno.
2. Los derechos de los interesados que pueden limitarse se especifican en los artículos siguientes del Reglamento (UE) 2018/1725:
a) artículo 14 (transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado);
b) artículo 15 (información que debe facilitarse cuando los datos personales se obtengan del interesado);
c) artículo 16 (información que debe facilitarse cuando los datos personales no se hayan obtenido del interesado);
d) artículo 17 (derecho de acceso del interesado);
e) artículo 18 (derecho de rectificación);
f) artículo 19 (derecho de supresión («derecho al olvido»);
g) artículo 20 (derecho a la limitación del tratamiento);
h) artículo 21 (obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento);
i) artículo 22 (derecho a la portabilidad de los datos);
j) artículo 35 (comunicación de una violación de la seguridad de los datos personales al interesado);
k) artículo 36 (confidencialidad de las comunicaciones electrónicas);
l) artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 22 del Reglamento (UE) 2018/1725.
Definiciones
A efectos de la presente decisión, se entenderá por:
|
1) |
«tratamiento»: el definido en el artículo 3, punto 3, del Reglamento (UE) 2018/1725; |
|
2) |
«datos personales»: los definidos en el artículo 3, punto 1, del Reglamento (UE) 2018/1725; |
|
3) |
«interesado»: una persona física identificada o identificable; es identificable la persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante identificadores tales como un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de esa persona física; |
|
4) |
«registro central»: el archivo público que lleva el RPD del BCE de todas las actividades de tratamiento de datos personales efectuadas en el BCE conforme establece el artículo 9 de la Decisión (UE) 2020/655 (BCE/2020/28); |
|
5) |
«responsable del tratamiento de datos»: el BCE y, en particular, su unidad organizativa pertinente que sola o juntamente con otras determina los fines y medios del tratamiento de datos personales y que responde de la operación de tratamiento; |
|
6) |
«instituciones y organismos de la Unión»: los definidos en el artículo 3, punto 10, del Reglamento (UE) 2018/1725. |
Aplicación de las limitaciones
1. Para las actividades de tratamiento de datos personales del artículo 1, apartado 1, el responsable del tratamiento de datos podrá limitar los derechos a que se refiere el artículo 1, apartado 2, para salvaguardar los intereses y objetivos mencionados en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, cuando el ejercicio de esos derechos suponga un peligro para cualquiera de las actividades siguientes:
|
a) |
la evaluación y denuncia de posibles infracciones de deberes profesionales y, en caso necesario, su investigación y seguimiento subsiguientes, incluida la suspensión de empleo, cuya salvaguardia prevé el artículo 25, apartado 1, letras b), c), f) y h), del Reglamento (UE) 2018/1725; |
|
b) |
los procedimientos formales o informales relativos a la dignidad en el trabajo, incluido el examen de casos que pueden dar lugar al procedimiento del artículo 0.5 del Reglamento del personal del BCE, cuya salvaguardia prevé el artículo 25, apartado 1, letras b), c), f) y h), del Reglamento (UE) 2018/1725; |
|
c) |
el correcto desempeño de las funciones de DG/HR conforme al régimen jurídico laboral del BCE, relacionadas con la gestión del rendimiento, los procedimientos de ascenso o nombramiento directo del personal del BCE, los procedimientos de selección y desarrollo profesional, cuya salvaguardia prevé el artículo 25, apartado 1, letras b), c) y h), del Reglamento (UE) 2018/1725; |
|
d) |
el examen y seguimiento de los recursos internos interpuestos por el personal del BCE (incluida la revisión administrativa, los procedimientos de reclamación, los procedimientos de recurso especiales o los comités médicos), cuya salvaguardia prevé el artículo 25, apartado 1, letras b), c) y h), del Reglamento (UE) 2018/1725; |
|
e) |
la denuncia de cualquier actividad ilegal o infracción de deberes profesionales a través del mecanismo de denuncia del BCE o la evaluación de peticiones formuladas por la Oficina de Cumplimiento y Gobernanza (CGO) para la protección de denunciantes o testigos frente a represalias, cuya salvaguardia prevé el artículo 25, apartado 1, letras b), c), f) y h), del Reglamento (UE) 2018/1725; |
|
f) |
las actividades de la CGO en el marco del régimen deontológico del BCE previsto en el artículo 0 del Reglamento del personal de BCE, las disposiciones sobre selección y nombramiento establecidas en el artículo 1A de dicho reglamento, y la vigilancia del cumplimiento de las normas sobre las actividades financieras privadas, incluidas tanto las funciones del proveedor externo de servicios nombrado en virtud del artículo 0.4.3.3 del Reglamento del personal del BCE como la evaluación y el seguimiento de las posibles infracciones resultantes de dicha vigilancia por la CGO, cuya salvaguardia prevé el artículo 25, apartado 1, letras b), c), f) y h), del Reglamento (UE) 2018/1725; |
|
g) |
las auditorías de la Dirección de Auditoría Interna, las actividades de investigación y las investigaciones administrativas internas, cuya salvaguardia prevé el artículo 25, apartado 1, letras b), c) y h), del Reglamento (UE) 2018/1725; |
|
h) |
el desempeño de las funciones del BCE de acuerdo con la Decisión (UE) 2016/456 (BCE/2016/3), en particular el deber del BCE de comunicar toda información sobre actividades ilegales, cuya salvaguardia prevé el artículo 25, apartado 1, letras b), c), g) y h), del Reglamento (UE) 2018/1725; |
|
i) |
las investigaciones del RPD sobre las actividades de tratamiento llevadas a cabo en el BCE de acuerdo con el artículo 4, letra b), de la Decisión (UE) 2020/655 (BCE/2020/28), cuya salvaguardia prevé el artículo 25, apartado 1, letras b) y h), del Reglamento (UE) 2018/1725; |
|
j) |
las investigaciones para asegurar en el BCE la seguridad física de personas, instalaciones y propiedades, con independencia de que se lleven a cabo a nivel interno o con apoyo externo, la obtención de inteligencia sobre amenazas y analizar los incidentes de seguridad, cuya salvaguardia prevé el artículo 25, apartado 1, letras b), c), d) y h), del Reglamento (UE) 2018/1725; |
|
k) |
los procedimientos judiciales, cuya salvaguardia prevé el artículo 25, apartado 1, letras b), c) y h), del Reglamento (UE) 2018/1725; |
|
l) |
la cooperación entre el BCE y las autoridades nacionales encargadas de investigar delitos, en particular la divulgación de información confidencial en poder del BCE a una autoridad nacional encargada de investigar delitos, a petición de esta, cuya salvaguardia prevé el artículo 25, apartado 1, letras b), c), d) y h), del Reglamento (UE) 2018/1725; |
|
m) |
la cooperación entre el BCE y la Fiscalía Europea conforme al Reglamento (UE) 2017/1939, en particular el deber del BCE de facilitar información sobre delitos, cuya salvaguardia prevé el artículo 25, apartado 1, letras b), c), d) y h), del Reglamento (UE) 2018/1725; |
|
n) |
la cooperación con los organismos de la UE que ejerzan funciones de supervisión, vigilancia o auditoría a que esté sujeto el BCE, cuya salvaguardia prevé el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento (UE) 2018/1725; |
|
o) |
el desempeño de las funciones del mediador conforme al régimen interno de resolución de conflictos del BCE, en particular el apoyo en la resolución o prevención de conflictos laborales, cuya salvaguardia prevé el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725; |
|
p) |
la prestación de servicios de asesoramiento por el asesor social en apoyo del personal del BCE, cuya salvaguardia prevé el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725. |
Las categorías de datos personales con respecto a las cuales pueden aplicarse las limitaciones a que se refiere el apartado 1 se especifican en los anexos I a XIV de la presente decisión.
2. El responsable del tratamiento solo podrá aplicar una limitación cuando al evaluar cada caso concluya que esta:
a) es necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y libertades del interesado, y
b) respeta en lo esencial los derechos y libertades fundamentales de una sociedad democrática.
3. El responsable del tratamiento de datos documentará su evaluación en una nota interna en la que mencionará el fundamento jurídico de la limitación y sus causas, los derechos de los interesados que se limitan, los interesados afectados, la necesidad y proporcionalidad de la limitación y su probable duración.
4. La decisión de que el responsable del tratamiento de datos limite los derechos de un interesado en virtud del apartado 1 se tomará al nivel del jefe o subjefe en cuyo departamento se lleve a cabo la actividad de tratamiento principal que afecte a los datos personales.
Información general sobre las limitaciones
El responsable del tratamiento de datos proporcionará información general sobre la posible limitación de los derechos de los interesados, para lo cual:
a) especificará los derechos que pueden limitarse y las causas y posible duración de la limitación;
b) incluirá la información de la letra a) en sus avisos y declaraciones de protección de datos y en el registro de las actividades de tratamiento conforme al artículo 31 del Reglamento (UE) 2018/1725.
Limitación de los derechos de acceso del interesado, rectificación, supresión o limitación del tratamiento
1. Cuando el responsable del tratamiento de datos limite total o parcialmente los derechos de acceso, rectificación, supresión o limitación del tratamiento, a que se refieren, respectivamente, el artículo 17, el artículo 18, el artículo 19, apartado 1, y el artículo 20, apartado 1, del Reglamento (UE) 2018/1725, informará al interesado, en el plazo establecido en el artículo 11, apartado 5, de la Decisión (UE) 2020/655 (BCE/2020/28), en su respuesta escrita a la solicitud, de la limitación aplicada, de sus motivos principales, y de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o recurrir al Tribunal de Justicia de la Unión Europea.
2. El responsable del tratamiento de datos conservará la nota interna de evaluación a que se refiere el artículo 3, apartado 3, y, en su caso, los documentos que contengan los fundamentos de hecho y de derecho, y presentará esta información al RPD y al Supervisor Europeo de Protección de Datos si la solicitan.
3. El responsable del tratamiento de datos podrá retrasar, omitir o denegar la presentación de información sobre los motivos de la limitación a que se refiere el apartado 1 siempre que la presentación de esa información socave el propósito de la limitación. El responsable del tratamiento de datos presentará esa información al interesado en el momento en que considere que hacerlo no socava ya el propósito de la limitación.
Duración de la limitación
1. El responsable del tratamiento de datos levantará la limitación aplicada en cuanto dejen de darse las circunstancias que la justificaron.
2. Cuando levante una limitación conforme al apartado 1, el responsable del tratamiento de datos deberá, sin demora:
a) si no lo hubiera hecho ya, informar al interesado de los motivos principales en que se basó la aplicación de la limitación;
b) informar al interesado de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos o recurrir al Tribunal de Justicia de la Unión Europea;
c) conceder al interesado el derecho objeto de la limitación levantada.
3. El responsable del tratamiento de datos revisará cada seis meses la necesidad de mantener una limitación aplicada conforme a la presente decisión, y documentará su revisión en una nota interna de evaluación.
Garantías
El BCE aplicará las garantías organizativas y técnicas del anexo XV a fin de prevenir abusos o accesos o transmisiones indebidos.
Revisión por el RPD
1. Cuando limite los derechos de un interesado, el responsable del tratamiento de datos involucrará en todo momento al RPD. En particular:
|
a) |
el responsable del tratamiento de datos consultará al RPD sin demoras indebidas; |
|
b) |
a petición del RPD, el responsable del tratamiento de datos le dará acceso a los documentos que contengan los fundamentos de hecho y de derecho, incluida la nota interna de evaluación a que se refiere el artículo 3, apartado 3; |
|
c) |
el responsable del tratamiento de datos documentará la participación del RPD, haciendo constar a qué información se le dio acceso y, en particular, la fecha de la primera consulta a que se refiere la letra a); |
|
d) |
el RPD podrá solicitar al responsable del tratamiento de datos que revise la limitación; |
|
e) |
el responsable del tratamiento de datos informará por escrito al RPD del resultado de la revisión solicitada, sin demoras indebidas y, en todo caso, antes de aplicar la limitación. |
2. El responsable del tratamiento de datos informará al RPD cuando la limitación se revise conforme al artículo 6, apartado 3, o cuando se levante.
Entrada en vigor
La presente decisión entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Fráncfort del Meno, el 22 de noviembre de 2022.
La Presidenta del BCE
Christine LAGARDE
(1) DO L 295 de 21.11.2018, p. 39.
(2) Decisión (UE) 2020/655 del Banco Central Europeo, de 5 de mayo de 2020, por la que se adoptan normas complementarias sobre la protección de datos en el Banco Central Europeo y se deroga la Decisión BCE/2007/1 (BCE/2020/28) (DO L 152 de 15.5.2020, p. 13).
(3) La Circular administrativa 01/2006 se aprobó el 21 de marzo de 2006 y está disponible en el sitio web del BCE.
(4) Decisión (UE) 2016/456 del Banco Central Europeo de 4 de marzo de 2016, relativa a las condiciones que rigen las investigaciones que la Oficina Europea de Lucha contra el Fraude efectúe en el Banco Central Europeo en materia de lucha contra el fraude, la corrupción y toda actividad ilegal que afecte a los intereses financieros de la Unión (BCE/2016/3) (DO L 79 de 30.3.2016, p. 34).
(5) Decisión (UE) 2016/1162 del Banco Central Europeo, de 30 de junio de 2016, sobre la divulgación de información confidencial en caso de investigación de delitos (BCE/2016/19) (DO L 192 de 16.7.2016, p. 73).
(6) Reglamento (UE) n.o 1024/2013 del Consejo, de 15 de octubre de 2013, que encomienda al Banco Central Europeo tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito (DO L 287 de 29.10.2013, p. 63).
(7) Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1).
La limitación a la que se refiere el artículo 3, apartado 1, letra a), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de identificación; |
|
b) |
datos de contacto; |
|
c) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
d) |
datos financieros (por ejemplo, información sobre salarios, subsidios u operaciones privadas); |
|
e) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
f) |
datos de localización; |
|
g) |
datos relativos a los productos o servicios suministrados; |
|
h) |
datos sobre actividades externas; |
|
i) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física; |
|
j) |
otros datos relativos a la evaluación y denuncia de posibles infracciones de deberes profesionales y, en caso necesario, su investigación y seguimiento subsiguientes. |
La limitación a la que se refiere el artículo 3, apartado 1, letra b), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de identificación; |
|
b) |
datos de contacto; |
|
c) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
d) |
datos financieros (por ejemplo, información sobre salarios, subsidios u operaciones privadas); |
|
e) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
f) |
datos de localización; |
|
g) |
datos relativos a los productos o servicios suministrados; |
|
h) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física; |
|
i) |
otros datos sobre procedimientos formales o informales relativos a la dignidad en el trabajo, incluido el examen de casos que pueden dar lugar al procedimiento del artículo 0.5 del Reglamento del personal del BCE. |
La limitación a la que se refiere el artículo 3, apartado 1, letra c), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de identificación; |
|
b) |
datos de contacto; |
|
c) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
d) |
datos financieros (por ejemplo, información sobre salarios, subsidios u operaciones privadas); |
|
e) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
f) |
datos de localización; |
|
g) |
datos relativos a los productos o servicios suministrados; |
|
h) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física; |
|
i) |
otros datos incluidos en casos concretos o relativos a ellos, en particular los casos que pueden dar lugar a decisiones que afecten negativamente al personal del BCE y al examen y seguimiento de recursos internos interpuestos por dicho personal; |
|
j) |
otros datos relativos a los procedimientos de selección. |
La limitación a la que se refiere el artículo 3, apartado 1, letra d), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de identificación; |
|
b) |
datos de contacto; |
|
c) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
d) |
datos financieros (por ejemplo, información sobre salarios, subsidios u operaciones privadas); |
|
e) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
f) |
datos de localización; |
|
g) |
datos relativos a los productos o servicios suministrados; |
|
h) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física; |
|
i) |
otros datos incluidos en casos concretos o relativos a ellos, en particular los casos que pueden dar lugar a decisiones que afecten negativamente al personal del BCE y al examen y seguimiento de recursos internos interpuestos por dicho personal. |
La limitación a la que se refiere el artículo 3, apartado 1, letra e), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de identificación; |
|
b) |
datos de contacto; |
|
c) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
d) |
datos financieros (por ejemplo, información sobre salarios, subsidios u operaciones privadas); |
|
e) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
f) |
datos de localización; |
|
g) |
datos relativos a los productos o servicios suministrados; |
|
h) |
datos sobre actividades externas; |
|
i) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física; |
|
j) |
otros datos relativos a presuntas actividades ilegales o infracciones de deberes profesionales o a solicitudes de protección de denunciantes o testigos. |
La limitación a la que se refiere el artículo 3, apartado 1, letra f), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de identificación; |
|
b) |
datos de contacto; |
|
c) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
d) |
datos financieros (por ejemplo, información sobre salarios, subsidios u operaciones privadas); |
|
e) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
f) |
datos sobre actividades externas; |
|
g) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física; |
|
h) |
otros datos relativos a actividades que se hayan comunicado a la CGO o que esta investigue. |
La limitación a la que se refiere el artículo 3, apartado 1, letra g), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de identificación; |
|
b) |
datos de contacto; |
|
c) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
d) |
datos financieros (por ejemplo, información sobre salarios, subsidios u operaciones privadas); |
|
e) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
f) |
datos sobre actividades externas; |
|
g) |
datos de localización; |
|
h) |
datos relativos a los productos o servicios suministrados; |
|
i) |
datos sociales y de conducta y otros tipos de datos específicos de la operación de tratamiento; |
|
j) |
información relativa a procedimientos administrativos u otras investigaciones; |
|
k) |
datos de tráfico electrónico; |
|
l) |
datos de videovigilancia; |
|
m) |
grabaciones sonoras; |
|
n) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física; |
|
o) |
datos relativos a procedimientos penales y sanciones administrativas o de otra clase; |
|
p) |
otros datos relativos a auditorías de la Dirección de Auditoría Interna y a actividades de investigación o investigaciones administrativas internas. |
La limitación a la que se refiere el artículo 3, apartado 1, letra h), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de identificación; |
|
b) |
datos de contacto; |
|
c) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
d) |
datos financieros (por ejemplo, información sobre salarios, subsidios u operaciones privadas); |
|
e) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
f) |
datos sobre actividades externas; |
|
g) |
datos de localización; |
|
h) |
datos relativos a los productos o servicios suministrados; |
|
i) |
datos de tráfico electrónico; |
|
j) |
datos de videovigilancia; |
|
k) |
grabaciones sonoras; |
|
l) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física; |
|
m) |
otros datos relativos al desempeño de las funciones del BCE de acuerdo con la Decisión (UE) 2016/456 (BCE/2016/3). |
La limitación a la que se refiere el artículo 3, apartado 1, letra i), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de identificación; |
|
b) |
datos de contacto; |
|
c) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
d) |
datos financieros(por ejemplo, información sobre salarios, subsidios u operaciones privadas); |
|
e) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
f) |
datos sobre actividades externas; |
|
g) |
localización de datos; |
|
h) |
datos relativos a los productos o servicios suministrados; |
|
i) |
datos de tráfico electrónico; |
|
j) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física; |
|
k) |
otros datos relativos a investigaciones del RPD de acuerdo con el artículo 4, letra b), de la Decisión (UE) 2020/655 (BCE/2020/28). |
La limitación a la que se refiere el artículo 3, apartado 1, letra j), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de identificación; |
|
b) |
datos de contacto; |
|
c) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
d) |
datos de localización; |
|
e) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
f) |
datos de tráfico electrónico; |
|
g) |
datos de videovigilancia; |
|
h) |
grabaciones sonoras; |
|
i) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud, o datos relativos a la vida o la orientación sexual de una persona física; |
|
j) |
datos relativos a procedimientos penales abiertos o registros de antecedentes penales; |
|
k) |
otros datos relativos a investigaciones para asegurar en el BCE la seguridad física de personas, instalaciones y propiedades, y para obtener inteligencia sobre amenazas y analizar los incidentes de seguridad. |
La limitación a la que se refiere el artículo 3, apartado 1, letra k), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de identificación; |
|
b) |
datos de contacto; |
|
c) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
d) |
datos financieros (por ejemplo, información sobre salarios, subsidios u operaciones privadas); |
|
e) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
f) |
datos sobre actividades externas; |
|
g) |
localización de datos; |
|
h) |
datos de tráfico electrónico; |
|
i) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física; |
|
j) |
otros datos relativos a procedimientos judiciales. |
La limitación a la que se refiere el artículo 3, apartado 1, letras l) a n), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los anexos I a XI, así como a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de identificación; |
|
b) |
datos de contacto; |
|
c) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
d) |
datos financieros (por ejemplo, información sobre salarios, subsidios u operaciones privadas); |
|
e) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
f) |
datos sobre actividades externas; |
|
g) |
datos de localización; |
|
h) |
datos relativos a los productos o servicios suministrados; |
|
i) |
datos de videovigilancia; |
|
j) |
datos de tráfico electrónico; |
|
k) |
grabaciones sonoras; |
|
l) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física; |
|
m) |
información sobre procedimientos administrativos u otras investigaciones; |
|
n) |
datos relativos a procedimientos penales y sanciones administrativas o de otra clase; |
|
o) |
otros datos relativos a la cooperación entre el BCE y las autoridades nacionales encargadas de investigar delitos, la Fiscalía Europea y los organismos de la UE que ejerzan funciones de supervisión, vigilancia o auditoría a que esté sujeto el BCE. |
La limitación a la que se refiere el artículo 3, apartado 1, letra o), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de contacto; |
|
b) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
c) |
datos financieros (por ejemplo, información sobre salarios, subsidios u operaciones privadas); |
|
d) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
e) |
datos sociales y de comportamiento y otros tipos de datos específicos de la operación de tratamiento; |
|
f) |
información sobre procedimientos administrativos u otras investigaciones; |
|
g) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física; |
|
h) |
otros datos relativos al desempeño de las funciones del mediador. |
La limitación a la que se refiere el artículo 3, apartado 1, letra p), de la presente decisión, podrá aplicarse con respecto a las categorías de datos que se mencionan en los registros de tratamiento pertinentes; entre otras, se trata de las categorías de datos siguientes:
|
a) |
datos de contacto; |
|
b) |
datos profesionales, incluidos los datos relativos a educación, formación y contratación laboral; |
|
c) |
datos financieros (por ejemplo, información sobre salarios, subsidios u operaciones privadas); |
|
d) |
datos relativos a las circunstancias familiares, de estilo de vida y sociales; |
|
e) |
datos sociales y de comportamiento y otros tipos de datos específicos de la operación de tratamiento; |
|
f) |
información sobre procedimientos administrativos u otras investigaciones; |
|
g) |
datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos; datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física; |
|
h) |
otros datos relativos a la prestación de servicios de asesoramiento por el asesor social. |
|
a) |
en cuanto a las personas:
|
|
b) |
en cuanto a los procesos:
|
|
c) |
en cuanto a la tecnología:
|
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
