Agencia Estatal Boletín Oficial del Estado
EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,
Visto el Reglamento (CEE, Euratom) n.o 354/83 del Consejo, de 1 de febrero de 1983, relativo a la apertura al público de los archivos históricos de la Comunidad Económica Europea y de la Comunidad Europea de la Energía Atómica (1), modificado por el Reglamento (CE, Euratom) n.o 1700/2003 del Consejo (2), y el Reglamento (UE) 2015/496 del Consejo (3), y en particular sus artículos 1, 2 y 8 y su artículo 9, apartado 1
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (4), y en particular su artículo 13 y su artículo 25, apartado 4,
Considerando lo siguiente:
|
(1) |
De conformidad con el Reglamento (CEE, Euratom) n.o 354/83, modificado por el Reglamento (CE, Euratom) n.o 1700/2003 y por el Reglamento (UE) 2015/496, las instituciones de la Unión están obligadas a crear sus archivos históricos, a abrirlos al público transcurridos treinta años y a adoptar normas internas para la aplicación del Reglamento. Estas normas internas incluirán normas para la conservación y apertura al público de los archivos históricos y sobre la protección de los datos personales contenidos en ellos. |
|
(2) |
En su dictamen de 10 de octubre de 2012 sobre la propuesta de la Comisión de un Reglamento del Consejo por el que se modifica el Reglamento (CEE, Euratom) n.o 354/83, el Supervisor Europeo de Protección de Datos («SEPD») subrayó la necesidad de adoptar normas de aplicación adecuadas para garantizar que las cuestiones relativas a la protección de datos se aborden de manera eficaz en el contexto de la conservación legítima de registros con fines jurídicos, financieros, administrativos y de archivo, de conformidad con las normas de protección de datos aplicables a las instituciones y los órganos de la Unión. |
|
(3) |
Los registros que conserva el SEPD constituyen la base de sus operaciones y de su trabajo diario. Forman parte de los activos organizativos del SEPD y son importantes fuentes de información administrativa, probatoria e histórica. Son esenciales para la organización en sus operaciones actuales y futuras, para la responsabilidad proactiva y la transparencia, así como para el conocimiento y la comprensión de su historia y sus procedimientos. En consecuencia, deben gestionarse conforme a normas eficaces aplicables a todos los servicios y al personal. |
|
(4) |
Las normas internas sobre la gestión de registros y archivos deben tener en cuenta las obligaciones pertinentes en materia de seguridad de la información, tal como se establece, en particular, en la Decisión del SEPD de 9 de marzo de 2020 (adaptada el 11 de noviembre de 2022) sobre las normas de seguridad para la protección de la información clasificada de la UE, así como las acciones de transformación digital del SEPD. Deben aprovechar las soluciones de gestión de documentos digitales existentes e incorporar los últimos avances en materia de integridad y archivo electrónicos, así como las normas y mejores prácticas internacionales. |
|
(5) |
Se insta a las instituciones, órganos y organismos de la Unión a reconocer la identificación electrónica y los servicios de confianza que contempla el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo (5) a efectos de la cooperación administrativa, aprovechando en particular las buenas prácticas existentes y los resultados de los proyectos en curso en los ámbitos previstos por dicho Reglamento. |
|
(6) |
Los registros del SEPD deben ser electrónicos por defecto, aunque pueden contemplarse excepciones. El SEPD conserva los registros que se crean, reciben y gestionan en el curso de sus actividades. Todos los registros, independientemente del formato y del entorno tecnológico en que se recojan, creen o reciban, se capturan y mantienen en un repositorio electrónico oficial de registros. |
|
(7) |
Las normas internas sobre la gestión de registros y archivos deben abarcar el ciclo de vida de los registros y garantizar la autenticidad, fiabilidad, integridad y facilidad de uso de los registros y sus metadatos a lo largo del tiempo. |
|
(8) |
Una gestión eficaz y adecuada de los registros y archivos permite al SEPD garantizar una toma de decisiones informada y eficiente, aplicar el principio de responsabilidad de las acciones públicas, cumplir las obligaciones de transparencia y las obligaciones legales, gestionar los riesgos empresariales, proteger los derechos y obligaciones del SEPD, proporcionar documentación probatoria en los litigios y preservar la memoria institucional. |
|
(9) |
Las normas internas sobre la gestión de registros y archivos deben adaptarse a la obligación de proporcionar acceso a los documentos en poder del SEPD de conformidad con los principios, las disposiciones y los límites establecidos en el Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (6). |
|
(10) |
Las normas internas sobre gestión de registros y archivos también deben cumplir las obligaciones en materia de protección de datos establecidas en el Reglamento (UE) 2018/1725. De conformidad con dicho Reglamento, el SEPD deberá facilitar información a los interesados sobre el tratamiento de sus datos personales y facilitar el ejercicio de los derechos de los interesados previstos en los artículos 17 a 24 del mismo. Estos derechos deben equilibrarse con los objetivos de los fines de archivo en aras del interés público. |
|
(11) |
Todos los miembros del personal deben ser responsables de la creación y la gestión correcta de los registros relacionados con las políticas, los procesos, los procedimientos y las acciones de los que son responsables, de acuerdo con las normas y los procedimientos aplicables. |
|
(12) |
Los datos y la información del SEPD se pondrán a disposición y se compartirán de la forma más amplia posible para facilitar el trabajo colaborativo entre su personal, mejorar la recuperación y la reutilización de los datos y la información, y promover la sinergia de los recursos con el fin de mejorar la eficiencia general. |
|
(13) |
El acceso a los datos y a la información puede restringirse cuando la información sensible o las obligaciones legales requieran que el acceso sea limitado. En particular, las medidas de protección relacionadas con el nivel de confidencialidad de la información, los datos personales u otras razones claramente definidas pueden requerir un acceso más limitado y específico basado en el principio de necesidad de conocer. |
|
(14) |
Se consultó a las funciones independientes del Delegado de Protección de Datos y del Servicio Jurídico del SEPD sobre las medidas adoptadas en la presente Decisión. |
|
(15) |
Se consultó al Supervisor Europeo de Protección de Datos, en su calidad de autoridad de control de las instituciones, órganos y organismos de la UE, de conformidad con el artículo 41, apartado 2, del Reglamento (UE) 2018/1725, quien emitió un dictamen el 3 de octubre de 2025 (7). |
|
(16) |
En aras de la claridad y la seguridad jurídica, las políticas anteriores del SEPD en materia de gestión de registros y archivos deben derogarse y sustituirse por la presente Decisión. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto y ámbito de aplicación
1. La presente Decisión establece normas relativas a la gestión de los registros y archivos del SEPD en papel o en formato electrónico, así como a la conservación y apertura al público de los archivos del SEPD.
2. La presente Decisión se aplica a los registros conservados por el SEPD y a sus archivos, independientemente de su formato, soporte, antigüedad o ubicación.
3. La presente Decisión es aplicable a todos los miembros del personal del SEPD a los que se aplique el Estatuto de los funcionarios y el Régimen aplicable a otros agentes de la Unión Europea, es decir, funcionarios, agentes temporales y agentes contractuales. También se aplicará a los expertos nacionales en comisión de servicios y a los becarios.
4. La presente Decisión no se aplica al personal de la Secretaría del Comité Europeo de Protección de Datos (CEPD). Tal y como se especifica en la sección IV, apartado 2, inciso iv), del Memorando de entendimiento entre el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos (8), la gestión de registros se incluye en la lista de tareas que debe llevar a cabo la Secretaría del CEPD de conformidad con el artículo 75, apartado 6, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (9).
Definiciones
A los efectos de la presente Decisión, se entenderá por:
|
a) |
«archivos» los registros que deben conservarse permanentemente por su valor administrativo, fiscal, jurídico, histórico o informativo; |
|
b) |
«autenticidad» el hecho de que se pueda demostrar que un registro es lo que pretende ser, que ha sido creado o enviado por la persona que supuestamente lo ha creado o enviado y que ha sido creado o enviado cuando se pretendía; |
|
c) |
«documento» cualquier contenido, independientemente de su soporte (escrito en papel, almacenado en formato electrónico o como grabación sonora, visual o audiovisual) relativo a una cuestión relacionada con las políticas, actividades y decisiones que entran dentro del ámbito de responsabilidad del SEPD; |
|
d) |
«SEPD» el Supervisor Europeo de Protección de Datos como órgano de la Unión; |
|
e) |
«firma electrónica» los datos en formato electrónico que se adjuntan o se asocian lógicamente a otros datos en formato electrónico y que el signatario utiliza para firmar; |
|
f) |
«sello de tiempo electrónico» los datos en formato electrónico que vinculan otros datos en formato electrónico con un momento concreto, aportando la prueba de que estos últimos datos existían en ese momento; |
|
g) |
«Supervisor Europeo de Protección de Datos» o «Supervisor» la persona designada como Supervisor Europeo de Protección de Datos por el Parlamento Europeo y el Consejo de conformidad con el artículo 53 del Reglamento (UE) n.o 1725/2018; |
|
h) |
«expediente» un conjunto de registros y otros documentos conexos sobre una actividad específica, organizados con fines probatorios, de responsabilidad o de información y de memoria institucional corporativa para apoyar la eficiencia de dicha actividad; |
|
i) |
«sistema de clasificación» o «régimen de clasificación» la herramienta para vincular los registros al contexto de su creación. Se presenta como una estructura jerárquica de niveles de clasificación y se basa en las actividades empresariales que generan registros en un entorno organizativo específico de la empresa; |
|
j) |
«integridad» el hecho de que un registro esté completo y no haya sufrido modificaciones; |
|
k) |
«metadatos» información estructurada o semiestructurada que permite la creación, la gestión y el uso de registros a lo largo del tiempo y en el contexto de dominios y entre estos; |
|
l) |
«repositorio electrónico oficial de registros» el sistema o sistemas de registros en los que se recopilan y organizan los registros que conserva el SEPD para permitir su recuperación, distribución, uso, eliminación o conservación; |
|
m) |
«conservación» las operaciones y los procesos técnicos que permiten conservar los registros a lo largo del tiempo, mantener su integridad y autenticidad y garantizar el acceso a su contenido; |
|
n) |
«sello electrónico cualificado» un sello electrónico avanzado, creado por un dispositivo cualificado de creación de sellos electrónicos y basado en un certificado cualificado de sello electrónico; |
|
o) |
«firma electrónica cualificada» una firma electrónica avanzada creada por un dispositivo cualificado de creación de firmas electrónicas y basada en un certificado cualificado para firmas electrónicas; |
|
p) |
«registro(s)» información, independientemente de su forma o soporte, creada, recibida y conservada como prueba y como activo por el SEPD, en cumplimiento de obligaciones legales o en el ejercicio de sus actividades; |
|
q) |
«sistema de registros» o «sistema de gestión de registros» un sistema de información que captura, gestiona y proporciona acceso a los registros a lo largo del tiempo. Un sistema de registros puede consistir en elementos técnicos, como programas informáticos, y elementos no técnicos, como las políticas, los procedimientos, las personas y otros agentes, y las responsabilidades asignadas; |
|
r) |
«registro» el acto de capturar un registro junto con los metadatos pertinentes en un sistema de registros; determinar que está completo y correctamente constituido desde un punto de vista administrativo o jurídico; certificar que ha sido enviado por un autor a un destinatario en una fecha determinada o que ha sido incorporado a uno de los repositorios oficiales del SEPD; |
|
s) |
«fiabilidad» el hecho de que el contenido de un registro pueda considerarse fiable como representación íntegra y exacta de las transacciones, las actividades y los hechos que certifica, y que se puede confiar en el registro en el curso de transacciones o actividades posteriores; |
|
t) |
«plazo de conservación» una instrucción exhaustiva que abarca la disposición de los registros para garantizar que se conserven durante el tiempo necesario en función de su valor administrativo, fiscal, jurídico, histórico o informativo; |
|
u) |
«facilidad de uso» el hecho de que un registro pueda localizarse, recuperarse, presentarse e interpretarse en un plazo que las partes interesadas consideren razonable. |
Creación de registros
1. Los registros del SEPD se crearán como registros electrónicos y se conservarán en sus repositorios electrónicos oficiales. Sin embargo, en circunstancias excepcionales, como, por ejemplo, a raíz de obligaciones jurídicas o de protocolo, cuando no sea posible digitalizar un documento debido al formato o tamaño, o para el valor específico y único de la versión analógica, los registros podrán crearse en un soporte diferente o conservarse en un formato diferente.
2. Los registros en formato analógico creados o recibidos por el SEPD se digitalizarán sistemáticamente y se incorporarán a un repositorio electrónico oficial. La versión electrónica digitalizada resultante sustituye a la validez del formato analógico a partir de ese momento.
3. Los servicios del SEPD garantizarán que los registros de correo electrónico que proporcionen pruebas e información sobre sus actividades y transacciones se identifiquen, gestionen y conserven de conformidad con los requisitos de conservación de registros establecidos en la presente Decisión.
4. Todos los registros creados o recibidos por un miembro del personal en relación con el SEPD o como resultado del trabajo oficial del SEPD son propiedad del SEPD.
Captura de registros
1. Los servicios del SEPD revisarán periódicamente los tipos de información creados o recibidos en el curso de sus respectivas actividades con el fin de identificar cuáles deben ser capturados en un repositorio electrónico oficial y, teniendo en cuenta el contexto en el que se produjeron, para organizar su gestión a lo largo de todo su ciclo de vida.
2. Los registros capturados no se modificarán. Podrán ser eliminados o sustituidos por versiones posteriores hasta que se cierre el archivo al que pertenecen.
Registro de documentos
1. Los documentos redactados o recibidos por el SEPD deben registrarse en uno de los sistemas de gestión de registros si contienen información importante, que no sea efímera, o si pueden implicar una acción o un seguimiento por parte de los servicios del SEPD.
2. Cualquier documento o contenido procedente de plataformas de trabajo colaborativo que cumpla los criterios establecidos en el apartado 1 deberá registrarse en uno de los sistemas oficiales de gestión de registros del SEPD.
3. Los sistemas de registros deben generar identificadores únicos para los registros que se registren.
4. Los documentos clasificados solo se registrarán en sistemas de conservación de registros autorizados y diseñados para el tratamiento de documentos del nivel de clasificación pertinente.
Sistema de clasificación
1. El SEPD utilizará y mantendrá un sistema de clasificación que refleje sus actividades.
2. Los documentos registrados se organizan en expedientes y estos expedientes están vinculados a la parte del sistema de clasificación que describe las actividades en el contexto de su creación.
3. Se debe crear un único expediente oficial para cada asunto que entre dentro del ámbito de competencia de un servicio determinado del SEPD. Cada expediente oficial debe completarse con registros creados o recibidos en relación con el asunto correspondiente.
Sistemas y procesos electrónicos
Los servicios del SEPD conservarán y gestionarán sus registros mediante procesos electrónicos y sistemas y estructuras electrónicos con interfaces para garantizar el almacenamiento, el acceso y la recuperación de los registros, a menos que las normas aplicables del SEPD exijan lo contrario.
Validez de los documentos y procedimientos
1. Un documento creado o recibido por el SEPD se considerará válido o admisible a efectos de registro cuando se cumplan las siguientes condiciones:
|
a) |
se identifica a la persona de la que proviene; |
|
b) |
el contexto en el que se creó el documento es fiable y el documento cumple las condiciones que garantizan su integridad; |
|
c) |
el documento cumple los requisitos formales establecidos en el Derecho de la Unión o nacional aplicable; |
|
d) |
en el caso de un documento electrónico, el documento se crea de manera que se garantice la integridad, fiabilidad y facilidad de uso de su contenido y de los metadatos que lo acompañan. |
2. Una versión electrónica creada mediante la digitalización de un documento analógico creado o recibido por el SEPD se considerará válida o admisible a efectos de registro cuando se cumplan las siguientes condiciones:
|
a) |
no se exige firma alguna en virtud de una disposición del Derecho de la Unión o del Derecho de un Estado miembro o de un tercer país afectado; |
|
b) |
su formato ofrece garantías de integridad, fiabilidad, durabilidad, legibilidad a lo largo del tiempo y facilidad de acceso a la información que contiene. |
Cuando no se requiera un documento analógico firmado, dicha versión electrónica podrá utilizarse para cualquier intercambio de información y para cualquier procedimiento dentro del SEPD.
3. Cuando una disposición del Derecho de la Unión o del Derecho nacional exija un original firmado de un documento, un documento redactado o recibido por el SEPD cumplirá ese requisito si el documento contiene alguno de los siguientes elementos:
|
a) |
una o varias firmas electrónicas manuscritas o cualificadas; |
|
b) |
una o varias firmas electrónicas, distintas de las cualificadas, que ofrezcan garantías suficientes respecto de la identificación del firmante y la expresión de su voluntad en el documento firmado. |
4. Cuando un procedimiento específico del SEPD requiera la firma de una persona autorizada o la aprobación de una persona en una o varias fases del procedimiento, dicho procedimiento podrá gestionarse mediante sistemas informáticos, siempre que cada persona esté identificada de forma clara e inequívoca y que el sistema en cuestión ofrezca garantías de que el contenido no se alterará durante el procedimiento.
Firmas electrónicas, sellos, sellos de tiempo
1. Cuando un procedimiento implique al SEPD y a otras entidades, y requiera la firma de una persona autorizada o la aprobación de una persona en una o varias fases del procedimiento, este último podrá ser gestionado por sistemas informáticos en los que las condiciones de utilización y las garantías técnicas se determinen mediante acuerdo de las partes implicadas.
2. Las firmas electrónicas simples, avanzadas o cualificadas sustituirán a las firmas manuscritas siempre que sea posible.
3. El SEPD determinará, además de los requisitos legales vigentes, las categorías de documentos que puedan requerir una firma avanzada o cualificada.
4. Una firma electrónica cualificada tendrá el efecto jurídico equivalente de una firma manuscrita.
5. Un sello electrónico cualificado gozará de la presunción de integridad de los datos y de exactitud del origen de los datos a los que esté vinculado.
6. Un sello de tiempo electrónico cualificado gozará de la presunción de la exactitud de la fecha y la hora que indica y de la integridad de los datos a los que se vinculan la fecha y la hora.
7. En la aplicación del presente artículo y de otros artículos relacionados con la firma electrónica, el SEPD aplicará el Reglamento (UE) n.o 910/2014, en su versión modificada por el Reglamento (UE) 2024/1183.
Seguridad y protección de la información
1. Los registros, expedientes, sistemas de información y archivos se gestionarán de conformidad con la política de seguridad de la información del SEPD y las políticas aplicables asociadas.
2. La información clasificada deberá tratarse con arreglo a las normas aplicables del SEPD.
Criterios de conservación y almacenamiento
1. El período de conservación de las distintas categorías de archivos se establecerá para el SEPD mediante decisiones administrativas, como los plazos de conservación elaborados sobre la base del contexto organizativo, la legislación vigente y las obligaciones jurídicas del SEPD.
2. El almacenamiento y la conservación de los registros, durante el período requerido, se llevarán a cabo con arreglo a las siguientes condiciones:
|
a) |
los documentos se almacenarán en la forma en que se hayan creado, enviado o recibido, o en una forma que preserve la autenticidad, fiabilidad e integridad de su contenido y de los metadatos que los acompañan; |
|
b) |
el contenido de los documentos y sus metadatos pertinentes deberán ser legibles durante todo su período de almacenamiento por cualquier persona autorizada a tener acceso a ellos; |
|
c) |
cuando los registros se envíen o reciban electrónicamente, la información necesaria para determinar el origen o el destino del documento, así como la fecha y hora de la captura o incorporación al registro formarán parte de los metadatos mínimos que deben almacenarse; |
|
d) |
en el caso de procedimientos electrónicos gestionados por sistemas informáticos, los datos relativos a las etapas formales del procedimiento y sus flujos de trabajo de aprobación deberán conservarse en condiciones que permitan garantizar la identificación de dichas etapas y de los autores y participantes durante el tiempo que exijan los requisitos financieros, jurídicos y administrativos aplicables. |
Estrategia de conservación digital
El SEPD establecerá y aplicará una estrategia de conservación digital para garantizar el acceso a largo plazo a los registros electrónicos sobre la base de los plazos de conservación a que se refiere el artículo 11, apartado 1. El SEPD velará por que se disponga de los procesos, las herramientas y los recursos necesarios para garantizar la autenticidad, fiabilidad e integridad de los registros, así como su accesibilidad durante el tiempo necesario.
Evaluación
1. La evaluación de los registros y expedientes del SEPD se llevará a cabo de forma periódica, con el fin de determinar si deben transferirse a los archivos o eliminarse.
2. Se conservará un conjunto de metadatos sobre los registros y expedientes evaluados en el repositorio electrónico oficial como prueba de dichos registros y expedientes y de su transferencia a los archivos o su eliminación, y para poder responder a solicitudes de búsqueda internas o externas.
3. Los registros y expedientes que se consideren de valor histórico se prepararán para su conservación permanente y su transferencia a los archivos históricos.
4. La responsabilidad de un servicio por el contenido intelectual de cualquier registro o expediente continuará después de la transferencia a los Archivos del SEPD.
Tratamiento de los datos personales contenidos en los archivos del SEPD
1. Al tratar datos personales con fines de archivo en interés público, el SEPD aplicará las garantías adecuadas para asegurar el cumplimiento del artículo 13 del Reglamento (UE) 2018/1725. Dichas garantías incluirán medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de datos. Estas garantías incluirán:
|
a) |
la selección de los registros y expedientes para su traslado a los archivos históricos se llevará a cabo sobre la base de los plazos de conservación del SEPD. Antes del cierre y la transferencia de cualquier registro o expediente, el departamento responsable deberá velar, como parte del procedimiento de cierre administrativo, por que solo se conserven los datos personales necesarios y proporcionados para los fines de archivo histórico. Esta evaluación se llevará a cabo caso por caso, de conformidad con el principio de minimización de datos. Las modalidades y los criterios de esta evaluación se especificarán con más detalle en las normas de aplicación de la presente Decisión. El resto de archivos, incluidos los expedientes de datos personales estructurados, como los historiales personales y médicos, o aquellos a que se refiere el artículo 26 del Estatuto de los funcionarios de la UE y el Régimen aplicable a los otros agentes (10), no se transferirán a los archivos históricos, sino que se eliminarán al final de su período de conservación administrativa, tal como se determine en las normas aplicables pertinentes y de conformidad con las normas de aplicación de la presente Decisión; |
|
b) |
los plazos de conservación del SEPD autorizarán la eliminación administrativa de tipos específicos de registros, identificados en ellos, antes del vencimiento del período de conservación administrativa aplicable a los expedientes correspondientes. En consecuencia, estos tipos de registros quedarán excluidos del tratamiento con fines de archivo en interés público; |
|
c) |
antes de evaluar los expedientes que se prevé transferir a los archivos del SEPD, los servicios del SEPD evaluarán la posible presencia de registros que contengan categorías especiales de datos personales [tal como se definen en el artículo 10, apartado 1, del Reglamento (UE) 2018/1725]. Asimismo, evaluarán la necesidad y la proporcionalidad del tratamiento con fines de archivo en interés público y consultarán al servicio de archivos del SEPD para determinar las medidas concretas adecuadas que deben aplicarse de conformidad con el artículo 10, apartado 2, letra j). |
2. De conformidad con el artículo 25, apartado 4, del Reglamento (UE) 2018/1725, el SEPD podrá aplicar excepciones a los derechos de los interesados a que se refieren los artículos 17 (Derecho de acceso del interesado), 18 (Derecho de rectificación), 20 (Derecho a la limitación del tratamiento), 21 (Obligación de notificación en relación con la rectificación o supresión de datos personales o la limitación del tratamiento) y 23 (derecho de oposición) del Reglamento (UE) 2018/1725, con sujeción a las condiciones y garantías adecuadas previstas en el artículo 13 del Reglamento (UE) 2018/1725, en la medida en que la aplicación de una excepción sea necesaria para cumplir fines de archivo en interés público y para preservar la integridad de los archivos históricos del SEPD. Las excepciones a los siguientes derechos de los interesados podrán aplicarse de conformidad con lo dispuesto en el artículo 25, apartado 4, del Reglamento (UE) 2018/1725:
|
a) |
el derecho de acceso, tal como se establece en el artículo 17 del Reglamento (UE) 2018/1725, en la medida en que el ejercicio de dicho derecho pueda imposibilitar o perjudicar gravemente la consecución de los fines específicos para los que se tratan los datos personales con fines de archivo en interés público, y dicha excepción sea necesaria para el cumplimiento de dichos fines. Al evaluar y documentar las medidas que deban adoptarse en relación con la solicitud del interesado, se tendrá especialmente en cuenta la información facilitada por este, así como la naturaleza, el alcance y el tamaño de los registros potencialmente afectados; |
|
b) |
el derecho de rectificación, tal y como se establece en el artículo 18 del Reglamento (UE) 2018/1725, en la medida en que la rectificación imposibilite preservar la integridad y autenticidad de los registros seleccionados para su conservación permanente en los archivos históricos. Esto se entiende sin perjuicio de la posibilidad de añadir una declaración complementaria o una anotación al registro en cuestión, salvo que ello resulte imposible o suponga un esfuerzo administrativo desproporcionado; |
|
c) |
el derecho a la limitación del tratamiento, tal como se establece en el artículo 20 del Reglamento (UE) 2018/1725, en la medida en que los datos personales figuren en registros seleccionados para su conservación permanente en los archivos históricos del SEPD como parte integrante e indispensable de dichos registros; |
|
d) |
la obligación de notificar la rectificación o supresión de datos personales o la limitación del tratamiento, tal como se establece en el artículo 21 del Reglamento (UE) 2018/1725, en la medida en que esta notificación pueda imposibilitar u obstaculizar gravemente el logro de los fines específicos del archivo en interés público, y dicha excepción sea necesaria para cumplir dichos fines. A la hora de evaluar y documentar las medidas que deban adoptarse en relación con el requisito de notificación, se prestará especial atención a la información disponible y a la naturaleza y el alcance específicos de los registros potencialmente afectados; |
|
e) |
el derecho a oponerse al tratamiento, tal como se establece en el artículo 23 del Reglamento (UE) 2018/1725, en la medida en que los datos personales figuren en registros seleccionados para su conservación permanente en los archivos históricos del SEPD como parte integrante e indispensable de dichos registros. |
3. El SEPD presentará, a efectos de rendición de cuentas, un registro en el que se describan los motivos de las excepciones aplicadas, el derecho del interesado del que se ha eximido y el resultado de la evaluación realizada. Dichos registros y, en su caso, los documentos relativos al contexto fáctico o jurídico formarán parte de un registro «ad hoc», que se pondrá a disposición del Supervisor Europeo de Protección de Datos, previa solicitud, en su calidad de autoridad de control de la protección de datos.
4. El SEPD consultará al delegado de protección de datos cuando considere la aplicación de excepciones a los derechos de los interesados de conformidad con la presente Decisión en un caso concreto y, en cualquier caso, antes de tomar la decisión de aplicar dicha excepción en virtud de la presente Decisión. El delegado de protección de datos tendrá acceso al registro y a cualquier documento que respalde los elementos fácticos y jurídicos. La participación del delegado de protección de datos en este proceso se documentará debidamente.
Depósito de los archivos históricos del SEPD en el Instituto Universitario Europeo (HAEUI)
1. De conformidad con el artículo 8, apartado 1, del Reglamento (CEE, Euratom) n.o 354/83, modificado por el Reglamento (UE) 2015/496, el SEPD depositará los documentos que forman parte de sus archivos históricos y que ha abierto al público en el HAUEI.
2. El depósito puede ser físico para los expedientes originales en papel, o electrónico para los registros creados y conservados digitalmente. En este último caso, se adoptarán medidas específicas para garantizar que el HAUEI de Florencia tenga acceso a los archivos electrónicos del SEPD, de conformidad con el artículo 1 del anexo del Reglamento (CEE, Euratom) n.o 354/83, en su versión modificada por el Reglamento (UE) 2015/496.
3. El SEPD proporcionará al HAEUI, en la medida de lo posible, acceso a copias digitalizadas de los registros conservados en un soporte analógico con el fin de promover la consulta en línea y la transparencia de los archivos históricos del SEPD.
4. Se tendrán debidamente en cuenta los registros que incluyan documentos clasificados o registros afectados por excepciones relativas a la intimidad y la integridad de las personas físicas o a los intereses comerciales de una persona física o jurídica, incluida la propiedad intelectual a que se refiere el artículo 2 del Reglamento (CEE, Euratom) n.o 354/83, en su versión modificada por el Reglamento (CE, Euratom) n.o 1700/2003.
5. El HAEUI será el principal punto de acceso a los archivos históricos del SEPD abiertos al público.
6. El gestor de registros y archivos del SEPD enviará al HAEUI descripciones de los archivos que sean objeto del depósito en el HAEUI. A fin de facilitar el intercambio de metadatos con el HAEUI, la interoperabilidad se utilizará de conformidad con las normas internacionales.
7. El HAEUI actúa como encargado del tratamiento, de conformidad con el artículo 8, apartado 11, del Reglamento (CEE, Euratom) n.o 354/83, en su versión modificada por el Reglamento (UE) 2015/496, siguiendo instrucciones del SEPD, que actúa como responsable del tratamiento de los datos personales incluidos en sus archivos históricos depositados en el HAEUI.
8. El SEPD proporcionará las instrucciones necesarias para el tratamiento de los datos personales incluidos en los archivos depositados en el HAEUI y supervisará su funcionamiento.
Estructuras internas del SEPD
1. El SEPD velará por que se establezcan las estructuras organizativas, administrativas y físicas necesarias para la aplicación de la presente Decisión, sus modalidades de aplicación y cualquier procedimiento asociado.
2. Se designará a un gestor de registros y archivos («RAM»), con competencias y habilidades pertinentes en la materia, para promover y mantener procesos y sistemas eficientes de gestión de registros y garantizar la coordinación con todos los servicios.
3. Se designará a un gestor adjunto de registros y archivos («DRAM») para apoyar al RAM en todas sus funciones y garantizar la continuidad de la función en su ausencia.
4. Cada servicio tendrá un corresponsal de gestión de registros y archivos («RAMC») encargado de coordinar la aplicación de la presente Decisión y de sus modalidades de aplicación.
Los RAMC de los distintos servicios formarán una red interna presidida por el RAM y el RAM adjunto.
La red se reunirá periódicamente para abordar cuestiones comunes y compartir las mejores prácticas.
5. El RAM colaborará con el responsable local de seguridad (LSO), el responsable local de ciberseguridad, el responsable local de seguridad de la información (LISO), el delegado de protección de datos (DPO) o cualquier otra función en relación con las cuestiones y responsabilidades de gestión de registros para garantizar un enfoque coherente y un flujo de información eficaz.
Funciones y responsabilidades
1. El jefe de la Secretaría del SEPD será responsable de garantizar la aplicación de la presente Decisión y de sus modalidades de aplicación y procedimientos conexos.
2. Todos los servicios del SEPD y los miembros individuales del personal tienen el deber de velar por gestionar los documentos y registros que crean o utilizan de manera responsable y adecuada, de conformidad con la presente Decisión, con otros procedimientos en vigor y con sus respectivas tareas.
3. El RAM:
|
a) |
coordinará y supervisará la aplicación de la presente Decisión y de las normas asociadas y garantizará que se apliquen de manera coherente en todo el SEPD; |
|
b) |
será responsable de establecer y mantener el sistema de clasificación y los plazos de conservación del SEPD en colaboración con la red del RAMC; |
|
c) |
proporcionará orientación y apoyo a los servicios del SEPD en cuestiones relacionadas con la gestión de registros y archivos; |
|
d) |
presidirá la red de RAMC; |
|
e) |
se encargará de la gestión de los registros informáticos y los sistemas de gestión de casos del SEPD; |
|
f) |
representará al SEPD (como organismo de la UE) en otros foros externos; |
|
g) |
se asegurará de que los registros y expedientes se transfieran a los archivos históricos del SEPD y se pongan a disposición de los departamentos del SEPD cuando lo soliciten; |
|
h) |
realizará, cuando sea necesario y en cooperación con el servicio de origen, el servicio equivalente o su sucesor, una segunda revisión de los registros, expedientes y archivos transferidos; |
|
i) |
garantizará el depósito de los archivos históricos del SEPD en el HAEUI, con el fin de poner a disposición del público los registros de más de 30 años de antigüedad. |
El adjunto al RAM prestará apoyo al RAM en las tareas mencionadas anteriormente y le sustituirá en caso de ausencia.
4. Los RAMC garantizarán el intercambio de información y la coordinación en materia de gestión de registros y asuntos de archivo dentro de sus respectivos servicios, y coordinarán la aplicación de la presente Decisión y sus modalidades de aplicación.
Información, formación y asistencia
El RAM se coordinará con el DPO, el LSO y todas las funciones pertinentes, a fin de garantizar que se apliquen las medidas de información, formación y apoyo necesarias para la aplicación de la presente Decisión y las modalidades de aplicación conexas en los servicios del SEPD.
Modalidades de aplicación
Esta decisión irá acompañada de modalidades de aplicación.
El secretario general será responsable de la adopción de las modalidades de aplicación en coordinación con los servicios y garantizará su aplicación.
Revisión y actualización
La presente Decisión y sus modalidades de aplicación se revisarán y actualizarán periódicamente teniendo en cuenta, en particular:
a) la evolución de la gestión de documentos y archivos, incluida la aparición de normas pertinentes;
b) las obligaciones del SEPD en lo que respecta a la transparencia, el acceso público a los documentos y la apertura al público de los archivos;
c) la evolución de las tecnologías de la información y la comunicación;
d) las normas aplicables sobre el valor probatorio de los registros electrónicos;
e) cualquier nueva obligación a la que pueda estar sujeto el SEPD.
Derogación de políticas anteriores del SEPD en materia de gestión de registros y archivos
La política de gestión de registros del SEPD y su política de archivos quedan derogadas y sustituidas por la presente Decisión.
Entrada en vigor
La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 25 de noviembre de 2025.
Por el SEPD
Wojciech Rafał WIEWIÓROWSKI
Supervisor Europeo de Protección de Datos
(1) DO L 43 de 15.2.1983, p. 1, ELI: http://data.europa.eu/eli/reg/1983/354/oj.
(2) Reglamento (CE, Euratom) n.o 1700/2003 del Consejo, de 22 de septiembre de 2003, por el que se modifica el Reglamento (CEE, Euratom) n.o 354/83 relativo a la apertura al público de los archivos históricos de la Comunidad Económica Europea y de la Comunidad Europea de la Energía Atómica (DO L 243 de 27.9.2003, p. 1, ELI: http://data.europa.eu/eli/reg/2003/1700/oj).
(3) Reglamento (UE) 2015/496 del Consejo, de 17 de marzo de 2015, por el que se modifica el Reglamento (CEE, Euratom) n.o 354/83 en lo que respecta al depósito de los archivos históricos de las instituciones en el Instituto Universitario Europeo de Florencia (DO L 79 de 25.3.2015, p. 1, ELI: http://data.europa.eu/eli/reg/2015/496/oj).
(4) DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.
(5) Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj), modificado por el Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(6) DO L 145 de 31.5.2001, p. 43, ELI: http://data.europa.eu/eli/reg/2001/1049/oj.
(7) Dictamen de supervisión 14/2025, de 3 de octubre de 2025, sobre el proyecto de decisión del Supervisor Europeo de Protección de Datos («SEPD») relativo a la gestión de registros y archivos.
(8) Memorando de entendimiento entre el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos, de 25 de mayo de 2018.
(9) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(10) Reglamento n.o 31 (CEE) 11 (CEEA) por el que se establece el Estatuto de los funcionarios y el régimen aplicable a los otros agentes de la Comunidad Económica Europea y de la Comunidad Europea de la Energía Atómica (DO 45, 14.6.1962, p. 1385/62, ELI: http://data.europa.eu/eli/reg/1962/31(1)/oj).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
