Está Vd. en

Documento DOUE-Z-2019-70031

Decisión de la Mesa de 17 de junio de 2019, sobre las normas de aplicación del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE.

Publicado en:
«DOUE» núm. 259, de 2 de agosto de 2019, páginas 2 a 24 (23 págs.)
Departamento:
Unión Europea
Referencia:
DOUE-Z-2019-70031

TEXTO ORIGINAL

LA MESA DEL PARLAMENTO EUROPEO,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (1), y en particular sus artículos 25 y 45, apartado 3,

Visto el artículo 25, apartado 2, del Reglamento interno del Parlamento Europeo,

Visto el Dictamen del Supervisor Europeo de Protección de Datos, de 2 de mayo de 2019, que fue consultado de conformidad con el artículo 41, apartado 2, del Reglamento (UE) 2018/1725 sobre el capítulo V de la presente Decisión,

Considerando lo siguiente:

(1)

El Reglamento (UE) 2018/1725 establece los principios y las normas aplicables al tratamiento de datos personales por todas las instituciones y órganos de la Unión y prevé el nombramiento, por cada institución y órgano de la Unión, de un delegado de protección de datos.

(2)

El objeto de las normas de aplicación del Parlamento Europeo relativas al Reglamento (UE) 2018/1725 (en lo sucesivo, «normas de aplicación») es especificar las tareas, funciones y competencias del delegado de protección de datos del Parlamento Europeo (en lo sucesivo, «delegado de protección de datos»).

(3)

Las normas de aplicación también tienen por objeto establecer los procedimientos que permitirán a los interesados ejercer sus derechos y, a todas aquellas personas que intervienen en el tratamiento de datos personales en el Parlamento Europeo, cumplir sus obligaciones.

(4)

Las normas de aplicación deben garantizar que el Parlamento Europeo observe debidamente sus obligaciones en virtud del Reglamento (UE) 2018/1725 sin impedir que dicha institución lleve a cabo de manera adecuada sus actividades legislativas, presupuestarias, políticas, analíticas, de control y de comunicación.

(5)

El Reglamento (UE) 2018/1725, y en particular las exclusiones que prevé de la aplicación de los derechos de los interesados, debe por lo tanto interpretarse de manera que se garantice la capacidad del Parlamento Europeo para ejercer plenamente sus competencias, en particular sus funciones legislativas y presupuestarias, así como sus funciones consultivas y de control político, tal y como se contemplan en los Tratados.

(6)

A tal fin, el ejercicio del derecho de supresión conforme al artículo 19 del Reglamento (UE) 2018/1725 debe interpretarse de modo que su aplicación evite toda injerencia indebida en la obligación del Parlamento Europeo de documentar debidamente y visibilizar sus actividades parlamentarias y establecer su trazabilidad por el público, en particular en el Pleno y en los procedimientos de los órganos parlamentarios, de conformidad con el principio de transparencia y apertura y de las normas aplicables sobre el archivo.

(7)

Asimismo, el derecho a la portabilidad de los datos con arreglo al artículo 22 del Reglamento (UE) 2018/1725 únicamente se aplica si el tratamiento está basado en el consentimiento o en la necesidad de cumplir un contrato y se efectúa por medios automatizados. El ejercicio de este derecho está limitado por la exclusión contemplada en el artículo 22, apartado 3, segunda frase, de dicho Reglamento, que debería entenderse en el sentido de que, salvo en lo que afecte a las actividades administrativas del Parlamento Europeo, la institución quedará exenta de la obligación de facilitar datos personales de conformidad con el artículo 22, apartados 1 y 2, de dicho Reglamento.

(8)

Asimismo, en lo que respecta a la aplicación de las normas de aplicación relativas a la corresponsabilidad de las Direcciones Generales del Parlamento Europeo con otros órganos o instituciones, o entre las Direcciones Generales del Parlamento, dicha corresponsabilidad solamente debe existir si son conjuntamente responsables de las mismas operaciones de tratamiento y en la medida en que lo sean, y no cuando actúen como meros intervinientes de modo secuencial, con operaciones de tratamiento temáticamente próximas pero distintas.

(9)

El artículo 13 de la presente Decisión debe entenderse en el sentido de que establece la posibilidad de que los grupos políticos y los diputados al Parlamento Europeo, sobre una base estrictamente voluntaria, soliciten asesoramiento al delegado de protección de datos sobre cuestiones relacionadas con la aplicación del Reglamento (UE) 2018/1725, teniendo en cuenta en particular la interacción entre los requisitos en materia de protección de datos y el libre ejercicio del mandato. Ese asesoramiento no es vinculante.

(10)

Asimismo, es necesario adoptar normas internas por las que se establezcan las condiciones en las que está permitido que el Parlamento Europeo limite la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, y también del artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 21 de dicho Reglamento, de conformidad con su artículo 25, con el fin de garantizar que el Parlamento Europeo pueda proseguir sus actividades y procedimientos.

(11)

En este marco, el Parlamento Europeo, cuando aplique limitaciones conforme al capítulo V de la presente Decisión, está obligado a respetar los derechos fundamentales de los interesados, tal como establece el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea y el Reglamento (UE) 2018/1725.

(12)

 

 

(13)

A tal fin, el Parlamento Europeo, antes de aplicar cualesquiera limitaciones particulares, debe llevar a cabo, caso por caso, una evaluación de la necesidad y la proporcionalidad de las respectivas limitaciones, teniendo en cuenta los riesgos para los derechos y libertades de los interesados.

 

El Parlamento Europeo debe justificar por qué las limitaciones son estrictamente necesarias y proporcionadas en una sociedad democrática y respetar en lo esencial los derechos y libertades fundamentales.

APRUEBA LA PRESENTE DECISIÓN:

CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1

Objeto

La presente Decisión establece las normas generales de aplicación del Reglamento (UE) 2018/1725 en el Parlamento Europeo, y en particular:

a) desarrolla las disposiciones del Reglamento (UE) 2018/1725 relativas a las tareas, funciones y competencias del delegado de protección de datos;

b) establece las modalidades de ejercicio de los derechos de los interesados;

c) establece las normas internas conforme a las que el Parlamento Europeo podrá aplicar exclusiones, excepciones o limitaciones con respecto a los derechos de los interesados de conformidad, en particular, con el artículo 25 del Reglamento (UE) 2018/1725.

Artículo 2

Responsable del tratamiento

1.   La unidad o servicio del Parlamento Europeo que determine los fines y medios del tratamiento de datos personales actuará como responsable del tratamiento respecto de dichos datos en el sentido del artículo 3, apartado 8, del Reglamento (UE) 2018/1725.

2.   Cuando la operación de tratamiento exceda las competencias de una unidad o servicio del Parlamento Europeo, la Dirección competente será la responsable del tratamiento en el sentido del artículo 3, apartado 8, del Reglamento (UE) 2018/1725, salvo que se acuerde la corresponsabilidad conforme al artículo 28 de dicho Reglamento.

3.   Cuando la operación de tratamiento exceda las competencias de una Dirección del Parlamento Europeo, la Dirección General del Parlamento Europeo competente será la responsable del tratamiento en el sentido del artículo 3, punto 8, del Reglamento (UE) 2018/1725, salvo que se acuerde la corresponsabilidad conforme al artículo 28 de dicho Reglamento.

4.   Cuando más de una Dirección General del Parlamento Europeo determine los fines y medios de una determinada operación de tratamiento o cuando una de las entidades organizativas con arreglo a los apartados 1 a 3 y al menos una entidad distinta de las instituciones y órganos de la Unión determinen los fines y medios de una determinada operación de tratamiento, los agentes competentes serán considerados corresponsables del tratamiento en el sentido del artículo 28, apartado 1, del Reglamento (UE) 2018/1725.

5.   El Parlamento Europeo será considerado responsable del tratamiento a los efectos del artículo 44, apartados 3 y 6, del Reglamento (UE) 2018/1725.

6.   El responsable del tratamiento se encargará de garantizar que las operaciones de tratamiento se efectúen de conformidad con el Reglamento (UE) 2018/1725 y deberá poder demostrar la conformidad con dicho Reglamento.

En especial, el responsable del tratamiento será responsable de:

 a) aplicar las medidas técnicas y organizativas adecuadas para dar aplicación a los principios de protección de datos desde el diseño y por defecto;

 b) ofrecer al personal bajo su autoridad instrucciones adecuadas para garantizar que el tratamiento es lícito, justo, transparente y confidencial, y proporcionar un nivel adecuado de seguridad a la vista de los riesgos que entraña el tratamiento;

 c) cooperar con el delegado de protección de datos y el Supervisor Europeo de Protección de Datos en el ejercicio de sus respectivas funciones, comunicándoles en particular toda información que le hayan solicitado;

 d) en tiempo oportuno, informar al delegado de protección de datos e involucrarle, en particular, en proyectos relativos a nuevas operaciones de tratamiento de datos o a modificaciones significativas de las operaciones existentes.

CAPÍTULO II
EL DELEGADO DE PROTECCIÓN DE DATOS
Artículo 3

Nombramiento, estatuto e independencia

1.   El secretario general nombrará al delegado de protección de datos de entre el personal del Parlamento Europeo, de conformidad con el artículo 43 y el artículo 44, apartados 8 y 9, del Reglamento (UE) 2018/1725. El delegado de protección de datos será nombrado de conformidad con el procedimiento aplicable en virtud del Estatuto de los funcionarios de la Unión Europea (en lo sucesivo, «Estatuto de los funcionarios») o del Régimen aplicable a los otros agentes de la Unión Europea (en lo sucesivo «Régimen aplicable a los otros agentes») establecidos en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (2), según corresponda. El delegado de protección de datos será nombrado por un mandato de cinco años renovable una sola vez.

2.   Para el ejercicio de sus tareas con arreglo a la presente Decisión, el delegado de protección de datos quedará dispensado de cualquier otra tarea en el seno del Parlamento Europeo. No obstante, el secretario general podrá decidir asignar al delegado de protección de datos otras tareas específicas, siempre que estas no den lugar a un conflicto de intereses con la función de delegado de protección de datos, en particular en relación con la aplicación de las disposiciones del Reglamento (UE) 2018/1725.

3.   El delegado de protección de datos se abstendrá de cualquier acción incompatible con la naturaleza de sus funciones.

4.   El delegado de protección de datos tendrá obligación de guardar secreto profesional de conformidad con el artículo 44, apartado 5, del Reglamento (UE) 2018/1725, también tras el cese de sus funciones.

5.   El delegado de protección de datos solamente podrá ser destituido de conformidad con el artículo 44, apartados 3 y 8, del Reglamento (UE) 2018/1725. Se consultará por escrito al Supervisor Europeo de Protección de Datos a los efectos de obtener su aprobación de dicha destitución de conformidad con el artículo 44, apartado 8, del Reglamento (UE) 2018/1725. Se enviará una copia de dicha aprobación al delegado de protección de datos.

6.   El Parlamento Europeo garantizará que el delegado de protección de datos no reciba instrucciones respecto del ejercicio de sus tareas, tal como se definen en los artículos 44 y 45 del Reglamento (UE) 2018/1725. En ese sentido, el delegado, en particular, no recibirá instrucciones del secretario general, especialmente en lo que respecta a su cooperación con el Supervisor Europeo de Protección de Datos, exigida conforme al Reglamento (UE) 2018/1725.

7.   El delegado de protección de datos informará directamente al secretario general.

Artículo 4

Tareas, funciones y competencias

1.   El delegado de protección de datos garantizará la aplicación del Reglamento (UE) 2018/1725 por parte de la Secretaría General del Parlamento Europeo y supervisará el cumplimiento del marco jurídico aplicable en materia de protección de datos personales. Sin perjuicio de lo dispuesto en el artículo 13 de la presente Decisión, el delegado de protección de datos, en principio, no será competente para supervisar la aplicación del Reglamento (UE) 2018/1725 por parte de los diputados al Parlamento Europeo ni de los grupos políticos del Parlamento Europeo.

2.   El delegado de protección de datos será consultado u ofrecerá asesoramiento de conformidad con el artículo 44, apartados 4 y 7, y con el artículo 45, apartado 1, letras d), e) y f), del Reglamento (UE) 2018/1725, y ejercerá todas las demás funciones contempladas en el artículo 45 de dicho Reglamento.

3.   El delegado de protección de datos notificará al secretario general toda violación o riesgo grave de violación de las disposiciones del Reglamento (UE) 2018/1725.

4.   Previa solicitud, el delegado de protección de datos emitirá un dictamen para el correspondiente responsable del tratamiento sobre las operaciones de tratamiento reales o propuestas, sobre la proporcionalidad y adecuación del tratamiento de determinados datos o sobre las medidas de seguridad. En particular, el dictamen podrá versar sobre cualquier asunto relacionado con el análisis de los riesgos para los derechos y libertades de los interesados.

5.   El servicio competente del Parlamento Europeo consultará al delegado de protección de datos antes de la aprobación de normas internas por las que se establezca el marco para el tratamiento de datos personales.

6.   El delegado de protección de datos ejercerá sus funciones en cooperación con el Supervisor Europeo de Protección de Datos. Será el punto de contacto entre el Parlamento Europeo y el Supervisor Europeo de Protección de Datos, y será informado de todas las comunicaciones entre las dos instituciones que versen sobre asuntos de su competencia.

7.   El delegado de protección de datos asistirá periódicamente a las reuniones convocadas por el Supervisor Europeo de Protección de Datos o por los delegados de protección de datos de las demás instituciones y órganos a fin de facilitar una buena cooperación.

8.   En todo momento, el delegado de protección de datos estará sujeto a las normas y disposiciones contempladas en el Estatuto de los funcionarios o en el Régimen aplicable a los otros agentes, según corresponda.

Artículo 5

Violaciones de la seguridad de los datos personales y seguridad de los datos

1.   Cuando se produzca una violación de la seguridad de los datos personales, el responsable del tratamiento informará sin demora al delegado de protección de datos sobre el incidente.

2.   El delegado de protección de datos establecerá y mantendrá un registro central a efectos de documentar dichas violaciones de la seguridad de los datos personales, de conformidad con el artículo 34, apartado 6, del Reglamento (UE) 2018/1725. El responsable del tratamiento que deba hacer frente a la violación completará el archivo con la información requerida por dicho artículo.

3.   El delegado de protección de datos organizará reuniones periódicas con el responsable principal de seguridad de los sistemas de información y con el gestor de riesgos del Parlamento Europeo, con el fin de garantizar el cumplimiento de los artículos 33 a 36 del Reglamento (UE) 2018/1725. El delegado de protección de datos podrá invitar a otros asistentes, cuando sea oportuno.

4.   A partir de los resultados de las reuniones mencionadas en el apartado 3, el delegado de protección de datos podrá:

 a) presentar al secretario general, con carácter anual, un análisis de riesgos para la protección de datos, que se actualizará en función de la evolución de los factores de riesgo;

 b) proponer al secretario general políticas de protección de datos, abordando, en particular, los riesgos de robo, fugas o manipulación no autorizada por medios electrónicos de datos;

 c) proponer al secretario general medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad de los datos personales adecuado a los riesgos para la protección de datos.

Artículo 6

Registro de las actividades de tratamiento y registro central

El delegado de protección de datos establecerá y mantendrá el registro central en el sentido del artículo 31, apartado 5, del Reglamento (UE) 2018/1725, en el que se guardarán los registros de las actividades de tratamiento. El delegado de protección de datos garantizará que el registro sea accesible para el público, también por medios electrónicos. Previa solicitud, también será posible acceder por medio del Supervisor Europeo de Protección de Datos.

Previa solicitud, los registros de las actividades de tratamiento del Parlamento Europeo se pondrán a disposición del Supervisor Europeo de Protección de Datos.

Artículo 7

Información y acceso

1.   El responsable del tratamiento informará inmediatamente al delegado de protección de datos en lo que respecta al establecimiento de un nuevo procedimiento administrativo o a la modificación de un procedimiento administrativo existente que afecten a las operaciones de tratamiento de datos personales.

2.   En todo momento, el delegado de protección de datos tendrá acceso a los datos personales que sean objeto de tratamiento, a las instalaciones del tratamiento de datos y a los soportes de datos.

Artículo 8

Auditoría interna

Cuando así lo solicite el auditor interno en el ámbito de sus competencias, el delegado de protección de datos colaborará con él, en particular al objeto de facilitar la realización de auditorías internas que impliquen el tratamiento de datos personales en la Secretaría General del Parlamento Europeo.

Artículo 9

Planteamiento basado en el riesgo

1.   En los procedimientos administrativos nuevos o modificados y en medidas técnicas u organizativas que impliquen el tratamiento de datos personales, el delegado de protección de datos, previa solicitud o por propia iniciativa, facilitará información al responsable del tratamiento y le ayudará a evaluar los riesgos para los derechos y libertades de los interesados.

2.   Tras la realización de dicha evaluación de riesgos, el delegado de protección de datos asesorará al responsable del tratamiento sobre si es necesario llevar a cabo una evaluación de impacto relativa a la protección de datos.

Artículo 10

Medidas técnicas y organizativas

1.   El delegado de protección de datos prestará asesoramiento al responsable del tratamiento en la evaluación de las soluciones técnicas y organizativas para efectuar operaciones de tratamiento.

2.   El delegado de protección de datos podrá recomendar al secretario general medidas técnicas u organizativas para aplicar el artículo 27 del Reglamento (UE) 2018/1725 cuando, sobre la base de una evaluación, concluya que una operación de tratamiento no garantiza la plena conformidad con dicho artículo.

Artículo 11

Responsables y encargados conjuntos del tratamiento

1.   Previa solicitud, el delegado de protección de datos podrá proporcionar un dictamen al responsable del tratamiento sobre la determinación de las correspondientes responsabilidades en el contexto de un acuerdo entre los responsables conjuntos del tratamiento, con arreglo al artículo 28, apartado 1, del Reglamento (UE) 2018/1725.

2.   Previa solicitud, el delegado de protección de datos podrá proporcionar un dictamen al responsable del tratamiento sobre las medidas técnicas y organizativas adecuadas que deba garantizar el encargado o el subencargado del tratamiento, de conformidad con el artículo 29, apartados 1 y 2, del Reglamento (UE) 2018/1725.

Artículo 12

Informe anual

El delegado de protección de datos elaborará un informe anual de actividades a la atención del secretario general y del Supervisor Europeo de Protección de Datos sobre las actividades en el ámbito de la protección de datos personales en la Secretaría General del Parlamento Europeo. El delegado de protección de datos pondrá dicho informe a la disposición del personal del Parlamento Europeo.

Artículo 13

Diputados al Parlamento Europeo y grupos políticos del Parlamento Europeo

1.   No obstante lo dispuesto en el artículo 4, apartado 1, de la presente Decisión, los diputados al Parlamento Europeo y los grupos políticos del Parlamento Europeo podrán solicitar asesoramiento al delegado de protección de datos sobre cuestiones relacionadas con la aplicación del Reglamento (UE) 2018/1725. Sin perjuicio de la propia responsabilidad de los diputados al Parlamento Europeo y de los grupos políticos del Parlamento Europeo al aplicar el Reglamento (UE) 2018/1725, en calidad de responsables del tratamiento en el sentido del artículo 3, apartado 8, del Reglamento (UE) 2018/1725, el delegado de protección de datos podrá, previa solicitud de un diputado al Parlamento o de un grupo político del Parlamento Europeo, ofrecer asesoramiento aplicando, mutatis mutandis, las correspondientes disposiciones de la presente Decisión.

2.   El delegado de protección de datos acordará, caso por caso, las disposiciones detalladas relativas a la asistencia a que se refiere el apartado 1, de conformidad con la presente Decisión. El ejercicio de dicha función de asesoramiento no deberá entrar en conflicto con las demás tareas del delegado de protección de datos.

CAPÍTULO III
PERSONAL AUXILIAR Y REDES
Artículo 14

Personal y recursos de protección de datos

1.   El secretario general podrá nombrar a miembros del personal para el Servicio de Protección de Datos para que asistan al delegado de protección de datos en el ejercicio de sus funciones.

2.   Los miembros del personal nombrados con arreglo al apartado 1 podrán representar al delegado de protección de datos en su ausencia. A tal fin, el delegado de protección de datos podrá atribuir delegaciones de poderes internas a miembros específicos de su personal. El Supervisor Europeo de Protección de Datos y el secretario general serán informados mediante copia de dichas delegaciones de poderes.

Artículo 15

Red de coordinadores de protección de datos

1.   Se establecerá en el Parlamento Europeo una red de coordinadores de protección de datos compuesta de al menos un miembro por cada Dirección General, una persona en representación de la coordinación de los grupos políticos y el delegado de protección de datos.

2.   El secretario general podrá especificar disposiciones concretas relativas al nombramiento, las funciones y las tareas de los coordinadores de protección de datos.

3.   El delegado de protección de datos organizará reuniones periódicas con los coordinadores de protección de datos.

CAPÍTULO IV
EJERCICIO DE DERECHOS POR PARTE DE LOS INTERESADOS
Artículo 16

Normas generales para la aplicación de los artículos 14 a 24 del Reglamento (UE) 2018/1725

1.   Únicamente el interesado o su representante debidamente autorizado podrán ejercer el derecho ser informados, el derecho de acceso, el derecho de rectificación, el derecho de supresión, el derecho a la limitación del tratamiento, el derecho de los destinatarios a que se les comunique la información, el derecho a la portabilidad de los datos, el derecho de oposición y los derechos relativos a las decisiones automatizadas, incluida la elaboración de perfiles, tal y como se contemplan en los artículos 14 a 24 del Reglamento (UE) 2018/1725.

2.   El interesado dirigirá al responsable del tratamiento las solicitudes para ejercer uno de sus derechos contemplados en el apartado 1. En el sitio web del Parlamento Europeo estará disponible en formato electrónico una plantilla no obligatoria para tal fin. En la solicitud deberán figurar:

 a) el nombre, los apellidos y los datos de contacto del interesado;

 b) una indicación del derecho que quiera ejercerse;

 c) en su caso, los documentos en apoyo de la solicitud;

 d) la categoría o categorías de datos personales de que se trate;

 e) la firma del solicitante y la fecha de la solicitud.

3.   La solicitud podrá presentarse por correo interno o externo, por correo electrónico o por cualquier otro medio escrito.

4.   El responsable del tratamiento pedirá las aclaraciones necesarias si las solicitudes están incompletas o poco claras. Hasta la aclaración final de dichas cuestiones no se iniciará el plazo aplicable en virtud del artículo 14, apartados 3 y 4, del Reglamento (UE) 2018/1725.

5.   El responsable del tratamiento comprobará la identidad del interesado de conformidad con el artículo 14, apartado 6, del Reglamento (UE) 2018/1725. La identidad del interesado se comprobará del modo menos intrusivo posible. Durante el período de comprobación de la identidad no se iniciará el plazo aplicable en virtud del artículo 14, apartados 3 y 4, del Reglamento (UE) 2018/1725.

6.   El responsable del tratamiento responderá a toda solicitud de los interesados para el ejercicio de sus derechos, incluso en aquellos casos en los que el Parlamento Europeo no conserve datos personales pertinentes. Se remitirá al interesado un acuse de recibo en un plazo de cinco días laborables a partir de la recepción de la solicitud. No obstante, el responsable del tratamiento no estará obligado a enviar un acuse de recibo si se da una respuesta de fondo a la solicitud en ese mismo plazo de cinco días laborables.

7.   La respuesta se enviará al interesado, dentro de los plazos previstos en el artículo 14, apartados 3 y 4, del Reglamento (UE) 2018/1725, por el mismo medio de comunicación escrito y en la misma lengua oficial de la Unión que utilizara el solicitante, a menos que este lo solicite de otro modo.

8.   En el tratamiento de una solicitud en virtud del artículo 14 del Reglamento (UE) 2018/1725, el responsable del tratamiento tendrá en cuenta la posible necesidad de aplicar una exclusión, una excepción o una limitación con arreglo al capítulo V de la presente Decisión.

9.   Si una solicitud es extremadamente compleja o cuando sea probable que el debido tratamiento de una solicitud derive en un riesgo para los derechos y libertades de otros interesados, el responsable del tratamiento consultará al delegado de protección de datos.

Artículo 17

Derecho a ser informado

(Artículos 15 y 16 del Reglamento (UE) 2018/1725)

1.   De conformidad con el artículo 14 del Reglamento (UE) 2018/1725, el responsable del tratamiento facilitará la información indicada en los artículos 15 y 16 de dicho Reglamento, también cuando esté previsto un tratamiento ulterior, en una forma generalizada en internet o en la intranet.

2.   Si es posible, y sin perjuicio de los medios de comunicación alternativos contemplados en virtud del artículo 14, apartados 1 y 7, del Reglamento (UE) 2018/1725, la información a que se refieren los artículos 15 y 16 de dicho Reglamento se facilitará de manera individualizada a los interesados de que se trate, ya sea por escrito o por medios electrónicos.

Artículo 18

Derecho de acceso

(Artículo 17 del Reglamento (UE) 2018/1725)

1.   Sin perjuicio de lo dispuesto en el apartado 2, cuando el interesado presente una solicitud de acceso a sus datos personales, el responsable del tratamiento recuperará los datos pertinentes de su lugar de almacenamiento, incluidos documentos en formato electrónico o en papel, y los pondrá a disposición del interesado por cualquiera de los siguientes medios:

 a) compilación elaborada por el responsable;

 b) documentos impresos o electrónicos;

 c) otros medios a la disposición del responsable del tratamiento y adaptados a la configuración del fichero.

2.   De conformidad con el artículo 17, apartado 3, del Reglamento (UE) 2018/1725, cuando el interesado realice una solicitud de acceso por medios electrónicos, y salvo que se solicite de otro modo, el responsable del tratamiento facilitará la información en un formato electrónico de uso común.

Artículo 19

Derecho de rectificación

(Artículo 18 del Reglamento (UE) 2018/1725)

1.   En la solicitud de rectificación se indicarán los datos personales que deben rectificarse o completarse, una prueba de su inexactitud o falta de completud y la corrección que debe efectuarse. En su caso, la solicitud podrá acompañarse de documentos justificativos.

2.   Se notificará al interesado la rectificación realizada. En caso de rechazo de la solicitud, el responsable del tratamiento informará al interesado acerca de los motivos de dicho rechazo.

Artículo 20

Derecho de supresión

(Artículo 19 del Reglamento (UE) 2018/1725)

1.   Las solicitudes de supresión especificarán los datos personales que deben suprimirse e indicarán las circunstancias que constituyan un motivo para dicha supresión en el sentido del artículo 19, apartado 1, del Reglamento (UE) 2018/1725.

2.   Se notificará al interesado la supresión realizada. En caso de rechazo de la solicitud, el responsable del tratamiento informará por escrito al interesado acerca de los motivos de dicho rechazo.

3.   La supresión entraña la desaparición física de los datos personales sin que sea necesario sustituirlos por un código.

Artículo 21

Derecho a la limitación del tratamiento

(Artículo 20 del Reglamento (UE) 2018/1725)

1.   Las solicitudes de limitación del tratamiento especificarán los datos personales de que se trate y los motivos de dicha limitación, tal como se establece en el artículo 20, apartado 1, del Reglamento (UE) 2018/1725.

2.   Se notificará al interesado la limitación del tratamiento realizada. En caso de rechazo de la solicitud, el responsable del tratamiento informará por escrito al interesado acerca de los motivos de dicho rechazo.

Artículo 22

Notificación a los destinatarios

(Artículo 21 del Reglamento (UE) 2018/1725)

1.   Tras finalizar uno de los procedimientos contemplados en los artículos 19 al 21 de la presente Decisión, el responsable del tratamiento iniciará sin demora el procedimiento en virtud del artículo 21 del Reglamento (UE) 2018/1725.

2.   En caso de que la notificación a los destinatarios resulte imposible o implique un esfuerzo desproporcionado, el responsable del tratamiento informará por escrito al interesado acerca de los motivos de dicho rechazo.

Artículo 23

Derecho a la portabilidad de los datos

(Artículo 22 del Reglamento (UE) 2018/1725)

1.   Las solicitudes en virtud del artículo 22 del Reglamento (UE) 2018/1725 especificarán los datos personales de que se trate.

2.   En caso de rechazo de la solicitud, el responsable del tratamiento informará por escrito al interesado acerca de los motivos de dicho rechazo.

Artículo 24

Derecho de oposición

(Artículo 23 del Reglamento (UE) 2018/1725)

1.   Las oposiciones especificarán los datos personales de que se trate y los motivos relativos a la situación personal que justifican dicha oposición.

2.   En caso de rechazo de la oposición, el responsable del tratamiento informará por escrito al interesado acerca de los motivos de dicho rechazo.

CAPÍTULO V
EXCLUSIONES, EXCEPCIONES Y LIMITACIONES
SECCIÓN 1

Exclusiones y excepciones

Artículo 25

Exclusiones

1.   Antes de aplicar una limitación conforme a la sección 2 del presente capítulo, el responsable del tratamiento examinará si se aplica alguna de las exclusiones contempladas en el Reglamento (UE) 2018/1725, en particular aquellas en virtud del artículo 15, apartado 4, del artículo 16, apartado 5, del artículo 19, apartado 3, y del artículo 35, apartado 3, de dicho Reglamento.

2.   En el tratamiento con fines de archivo en interés público, así como en el tratamiento con fines de investigación científica o histórica o con fines estadísticos, el responsable del tratamiento examinará si se aplican las exclusiones en virtud del artículo 16, apartado 5, letra b), y del artículo 19, apartado 3, letra d), del Reglamento (UE) 2018/1725.

Artículo 26

Excepciones

1.   En el tratamiento con fines de archivo en interés público, el responsable del tratamiento podrá aplicar excepciones conforme al artículo 25, apartado 4, del Reglamento (UE) 2018/1725. A tal fin, el responsable del tratamiento podrá establecer excepciones a los derechos contemplados en los artículos 17, 18, 20, 21, 22 y 23 del Reglamento (UE) 2018/1725 de conformidad con las condiciones establecidas en el artículo 25, apartado 4, de dicho Reglamento.

2.   En el tratamiento con fines de investigación científica o histórica o con fines estadísticos, el responsable del tratamiento podrá aplicar excepciones conforme al artículo 25, apartado 3, del Reglamento (UE) 2018/1725. A tal fin, el responsable del tratamiento podrá establecer excepciones a los derechos contemplados en los artículos 17, 18, 20 y 23 del Reglamento (UE) 2018/1725 de conformidad con las condiciones establecidas en el artículo 25, apartado 3, de dicho Reglamento.

3.   Dichas excepciones estarán sujetas a las salvaguardas adecuadas de conformidad con el artículo 13 del Reglamento (UE) 2018/1725 y del artículo 28, apartados 1 y 2, de la presente Decisión. Se establecerán medidas técnicas y organizativas de conformidad con el artículo 2, apartado 6, letra a), y con el artículo 10, de la presente Decisión, en particular para garantizar que se respeta la minimización de datos y, en su caso, la seudonimización.

SECCIÓN 2

Limitaciones

Artículo 27

Objeto y ámbito de aplicación

1.   La presente sección establece las condiciones generales en las que el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, de conformidad con su artículo 25.

Las condiciones generales a que se refiere el párrafo primero se completan con las disposiciones de los anexos de la presente Decisión, en los que se especifican las condiciones en las que el Parlamento Europeo podrá limitar los derechos de los interesados en cada una de sus actividades y procedimientos, en caso de que los datos personales sean objeto de tratamiento y fuese necesario aplicar limitaciones.

2.   La presente sección se aplica al tratamiento de datos personales a los efectos de las actividades y procedimientos llevados a cabo por el Parlamento Europeo, tal y como se especifica en los anexos de la presente Decisión.

3.   A los efectos del tratamiento y la limitación, se determinará el responsable del tratamiento competente conforme al artículo 2 de la presente Decisión.

Artículo 28

Salvaguardias

1.   Los datos personales objeto de limitación se almacenarán en un entorno físico o electrónico seguro que impida el acceso ilícito o la transferencia de datos a personas que no tienen necesidad de conocerlos.

2.   Una vez finalizado el tratamiento, los documentos que contienen los datos personales se conservarán de conformidad con las normas aplicables del Parlamento Europeo (3).

3.   Antes de aplicar una limitación, se valorará si la limitación es necesaria y proporcionada, así como los riesgos para los interesados, de conformidad con el artículo 35 de la presente Decisión.

Artículo 29

Limitaciones aplicables

1.   A reserva de los artículos 30 a 36 y de las especificaciones establecidas en los anexos de la presente Decisión aplicables, el responsable del tratamiento podrá aplicar limitaciones con respecto a los derechos del interesado mencionados expresamente en los anexos aplicables, cuando el ejercicio de tales derechos comprometería la finalidad de una de las actividades o procedimientos contemplados en dichos anexos.

2.   El responsable del tratamiento consignará y registrará los motivos de la limitación conforme a lo dispuesto en el artículo 35 de la presente Decisión.

Artículo 30

Comunicación de información a los interesados

1.   El Parlamento Europeo publicará en su sitio web los avisos de protección de datos que informen a todos los interesados acerca de aquellas de sus actividades que impliquen el tratamiento de sus datos personales y de una posible limitación de sus derechos en este contexto. En dicha información se especificarán los derechos que pueden ser objeto de limitación, los motivos de tales limitaciones, su duración potencial y las posibles vías de recurso.

2.   Si es posible, el responsable del tratamiento informará a cada interesado sin dilación indebida, en la forma más adecuada y directamente, acerca de sus derechos por lo que respecta a dichas limitaciones, que se determinarán caso por caso. En dicha información se especificarán los derechos que pueden ser objeto de limitación, los motivos de las posibles limitaciones, su duración potencial y las posibles vías de recurso.

Artículo 31

Derecho a ser informado

1.   En caso de que el responsable del tratamiento limite el derecho de información a que se refieren los artículos 15 y 16 del Reglamento (UE) 2018/1725, se informará a los interesados, de conformidad con el artículo 25, apartado 6, de dicho Reglamento, sobre los motivos principales que justifican la aplicación de la limitación y sobre su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.

2.   No obstante, la comunicación de la información podrá aplazarse, omitirse o denegarse, de conformidad con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, en tanto deje sin efecto la limitación.

3.   En caso de que el responsable del tratamiento aplace, omita o deniegue, en su totalidad o en parte, la comunicación de información a los interesados en el sentido del apartado 2 del presente artículo, consignará y registrará los motivos de su proceder de conformidad con el artículo 35 de la presente Decisión.

Artículo 32

Derecho de acceso de los interesados, derecho de rectificación, derecho de supresión, derecho a la limitación del tratamiento y obligación de notificación

1.   En caso de que el responsable del tratamiento limite, en su totalidad o en parte, el derecho de acceso a los datos personales por parte de los interesados, el derecho de rectificación, el derecho de supresión o el derecho a la limitación del tratamiento contemplados en los artículos 17, 18, 19 y 20, respectivamente, del Reglamento (UE) 2018/1725, así como la obligación de notificación con arreglo al artículo 21 de dicho Reglamento, informará a los interesados afectados, en su respuesta a la solicitud de acceso, rectificación, supresión o limitación del tratamiento, acerca de la limitación aplicada y de los principales motivos de dicha limitación, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.

2.   La comunicación de información sobre los motivos de la limitación a que se refiere el apartado 1 podrá aplazarse, omitirse o denegarse en tanto deje sin efecto la limitación.

3.   El responsable del tratamiento registrará los motivos del aplazamiento, la omisión o la denegación de conformidad con el artículo 35 de la presente Decisión.

4.   En caso de que se limite total o parcialmente el derecho de acceso y de que el interesado haya ejercido su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos, únicamente el interesado será informado por el Supervisor acerca de si los datos se han tratado correctamente y, de no ser así, de si se han efectuado correcciones de conformidad con el artículo 25, apartado 7, del Reglamento (UE) 2018/1725.

Artículo 33

Comunicación al interesado de una violación de la seguridad de los datos personales

En caso de que el responsable del tratamiento limite la aplicación del artículo 35 del Reglamento (UE) 2018/1725, consignará y registrará los motivos de su proceder de conformidad con el artículo 35 de la presente Decisión.

Artículo 34

Confidencialidad de las comunicaciones electrónicas

En caso de que el responsable del tratamiento limite la obligación del Parlamento Europeo de garantizar la confidencialidad de las comunicaciones electrónicas a que se refiere el artículo 36 del Reglamento (UE) 2018/1725, consignará y registrará los motivos de su proceder de conformidad con el artículo 35 de la presente Decisión.

Artículo 35

Evaluación de la necesidad y la proporcionalidad, consignación y registro de las limitaciones

1.   Antes de aplicar cualquier limitación, el responsable del tratamiento evaluará si las limitaciones son necesarias y proporcionadas, teniendo en cuenta los elementos pertinentes contemplados en el artículo 25, apartado 2, del Reglamento (UE) 2018/1725. Esta evaluación incluirá una valoración de los riesgos para los derechos y libertades de los interesados de que se trate, en particular el riesgo de que sus datos personales puedan ser objeto de un tratamiento ulterior sin su conocimiento y de que se les pueda impedir ejercer sus derechos de conformidad con el Reglamento (UE) 2018/1725. Se documentará mediante una nota de evaluación interna y se efectuará caso por caso.

2.   El responsable del tratamiento registrará los motivos de cualesquiera limitaciones que aplique de conformidad con la presente Decisión, incluida la evaluación realizada con arreglo al apartado 1.

A tal fin, al procederse a la consignación se indicará el modo en que el ejercicio de los derechos de los interesados comprometería la finalidad de una de las actividades o procedimientos que haya llevado a cabo el Parlamento Europeo, según se determinan en los anexos de la presente Decisión.

3.   Cuando, de conformidad con el Artículo 25, apartado, 8, del Reglamento (UE) 2018/1725, el responsable del tratamiento aplace, omita o deniegue el suministro de información a un interesado acerca de la aplicación de una limitación, también consignará, en su caso, los motivos de su proceder.

4.   La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se almacenarán en un registro central. Se pondrán a disposición del Supervisor Europeo de Protección de Datos previa solicitud.

Artículo 36

Duración de las limitaciones

1.   Las limitaciones a que se refieren los artículos 29 y 31 a 34 de la presente Decisión en relación con los anexos de la presente Decisión aplicables, se aplicarán mientras sigan siendo aplicables los motivos que las justifiquen.

2.   Cuando ya no concurran los motivos de una limitación a que se refieren los artículos 29 y 31 a 34 de la presente Decisión, en relación con los anexos de la presente Decisión aplicables, el responsable del tratamiento levantará la limitación. Al mismo tiempo, el responsable del tratamiento facilitará al interesado los principales motivos de la limitación y le informará de la posibilidad de presentar en todo momento una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso judicial ante el Tribunal de Justicia.

3.   El responsable del tratamiento revisará la aplicación de las limitaciones a que se refieren los artículos 29 y 31 a 34 de la presente Decisión, en relación con los anexos de la presente Decisión aplicables, cada seis meses a partir de su adopción y al cierre del procedimiento correspondiente. A continuación, a los efectos de las actividades y procedimientos contemplados en los anexos I, II, V, VI, VII, VIII, IX y X de la presente Decisión, el responsable del tratamiento supervisará con carácter anual la necesidad de mantener cualesquiera limitaciones.

Artículo 37

Revisión por parte del delegado de protección de datos

1.   El delegado de protección de datos será informado, sin dilación indebida, cada vez que se limiten los derechos de los interesados de conformidad con la presente sección.

A petición del delegado de protección de datos, se le facilitará acceso a las consignaciones y a todos los documentos que contengan los elementos de hecho y de derecho subyacentes.

2.   El delegado de protección de datos podrá solicitar al responsable del tratamiento una revisión de las limitaciones. El delegado de protección de datos será informado por escrito del resultado de la revisión solicitada.

3.   Todos los intercambios de información con el delegado de protección de datos que se produzcan a lo largo del procedimiento de conformidad con los apartados 1 y 2 se consignarán de forma adecuada.

Artículo 38
Anexos
Los anexos de la presente Decisión forman parte integrante de ella.
CAPÍTULO VI
DISPOSICIONES FINALES
Artículo 39

Vías de recurso

1.   Todo miembro del personal del Parlamento Europeo podrá presentar una reclamación, con arreglo a artículo 68 del Reglamento (UE) 2018/1725, ante el Supervisor Europeo de Protección de Datos. La presentación de dicha reclamación no tendrá como efecto la suspensión de los plazos para presentar una reclamación conforme al artículo 90 del Estatuto de los funcionarios.

2.   Independientemente del derecho mencionado en el apartado 1, todo miembro del personal del Parlamento Europeo podrá presentar ante la autoridad facultada para proceder a los nombramientos una reclamación, con arreglo al artículo 90 del Estatuto de los funcionarios, sobre una cuestión relativa al tratamiento de datos personales. En su reclamación, el miembro del personal indicará si se ha presentado una reclamación ante el Supervisor Europeo de Protección de Datos paralelamente a la reclamación sobre la base del Estatuto de los funcionarios.

En caso de reclamación presentada en virtud del artículo 90, apartado 2, del Estatuto de los funcionarios, los servicios competentes del Parlamento Europeo consultarán al delegado de protección de datos.

Artículo 40

Actos derogados

1.   Las normas de desarrollo del Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos – Decisión de la Mesa de 22 de junio de 2005 (4), quedan derogadas con efecto a partir del día de entrada en vigor de la presente Decisión.

2.   La decisión de la Mesa del Parlamento Europeo, de 3 de abril de 2019, sobre las normas de ejecución en materia de limitación de determinados derechos de los interesados en relación con la transferencia de datos personales por el Parlamento Europeo a las autoridades nacionales en el marco de investigaciones penales o financieras (5), queda derogada con efecto a partir del día de entrada en vigor de la presente Decisión.

Artículo 41

Entrada en vigor

La presente Decisión entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

(1)  Reglamento (UE) n.o 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(2)  DO L 56 de 4.3.1968, p. 1.

(3)  Decisión de la Mesa, de 2 de julio de 2012, relativa a la gestión de documentos en el Parlamento Europeo.

(4)  DO C 308 de 6.12.2005, p. 1.

(5)  DO C 163 de 13.5.2019, p. 1.

ANEXO I
Prevención e investigación internas de incidentes de seguridad, investigaciones de seguridad e investigaciones auxiliares

1)   Objeto y ámbito de aplicación

 

1.

El presente anexo se aplica al tratamiento de datos personales por parte del responsable del tratamiento a efectos de los procedimientos contemplados en el apartado 2.
 

2.

El presente anexo establece las condiciones específicas en las que el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, con el fin de salvaguardar la seguridad interna del Parlamento Europeo, incluida la de sus redes de comunicaciones electrónicas, de conformidad con el artículo 25, apartado 1, letra d), de dicho Reglamento, en la realización de evaluaciones de riesgos internas, controles de acceso, incluidas las comprobaciones de antecedentes personales, medidas de prevención e investigación de incidentes de seguridad, incluidos los incidentes de las tecnologías de la información y la comunicación (1), así como las investigaciones de seguridad y las investigaciones auxiliares por propia iniciativa o a petición de terceros (2).
 

3.

El presente anexo se aplica a las siguientes categorías de datos personales:

a)

datos de identificación;

b)

datos de contacto;

c)

datos profesionales;

d)

datos financieros;

e)

datos de tráfico, incluidas las horas de inicio y fin de sesión, el acceso a aplicaciones internas y recursos basados en la red y uso de internet;

f)

datos de videovigilancia;

g)

grabaciones sonoras;

h)

datos sobre la presencia de personas;

i)

datos relativos a las actividades externas de personas;

j)

datos relativos a sospechas de delitos, delitos, condenas penales o medidas de seguridad;

k)

todos los demás datos relacionados con el objeto de las correspondientes evaluaciones de riesgos, los controles de acceso, incluidas las comprobaciones de antecedentes personales, las investigaciones sobre incidentes de seguridad, las investigaciones de seguridad y las investigaciones auxiliares realizadas por el Parlamento Europeo por propia iniciativa o a petición de terceros.

2)   Limitaciones aplicables

A reserva de lo dispuesto en los artículos 30 a 36 de la presente Decisión, el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, cuando el ejercicio de esos derechos pudiera comprometer las evaluaciones de riesgos internas del Parlamento Europeo, los controles de acceso, incluidas las comprobaciones de antecedentes personales, las medidas de prevención e investigación de los incidentes de seguridad, las investigaciones de seguridad y las investigaciones auxiliares, incluidas las de sus redes de comunicaciones electrónicas, por ejemplo revelando sus instrumentos y métodos de investigación.

(1)  Decisión de la Mesa sobre la política de seguridad de los sistemas de tecnologías de la información y la comunicación del Parlamento Europeo, de 7 de septiembre de 2015.

(2)  Decisión de la Mesa sobre la Reglamentación relativa a la seguridad y la protección en el Parlamento Europeo, de 15 de enero de 2018.

ANEXO II
Procedimientos disciplinarios, investigaciones administrativas e investigaciones relativas a cuestiones relacionadas con el personal

1)   Objeto y ámbito de aplicación

 

1.

El presente anexo se aplica al tratamiento de datos personales por parte del responsable del tratamiento a efectos de los procedimientos contemplados en el apartado 2.
 

2.

En el presente anexo se establecen las condiciones específicas en las que, al desarrollar procedimientos disciplinarios, investigaciones administrativas e investigaciones relativas a cuestiones relacionadas con el personal de conformidad con el artículo 86 y el anexo IX del Estatuto de los funcionarios, e investigaciones en el contexto de solicitudes de asistencia presentadas en virtud del artículo 24 del Estatuto de los funcionarios y con respecto a presuntos casos de acoso, el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, con el fin de salvaguardar:

a)

otros objetivos importantes de interés público general de la Unión, como la capacidad del Parlamento Europeo para cumplir sus obligaciones en virtud del Estatuto de los funcionarios y para aplicar su política interna de personal, de conformidad con el artículo 25, apartado 1, letra c), de dicho Reglamento;

b)

la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas, de conformidad con el artículo 25, apartado 1, letra f), de dicho Reglamento;

c)

una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos enunciados en el artículo 25, apartado 1, letra c), de dicho Reglamento, de conformidad con su artículo 25, apartado 1, letra g); y

d)

la protección de los derechos y libertades de otros interesados, de conformidad con el artículo 25, apartado 1, letra h), de dicho Reglamento.

 

3.

El presente anexo se aplica a las siguientes categorías de datos personales:

a)

datos de identificación;

b)

datos de contacto;

c)

datos profesionales;

d)

datos sobre la presencia de personas;

e)

datos relativos a las actividades externas de personas;

f)

datos que revelen el origen racial o étnico o bien las creencias religiosas o filosóficas, o datos relativos a la salud;

g)

todos los demás datos relacionados con el objeto de los correspondientes procedimientos disciplinarios, investigaciones administrativas e investigaciones relativas a cuestiones relacionadas con el personal que haya llevado a cabo el Parlamento Europeo.

2)   Limitaciones aplicables

A reserva de lo dispuesto en los artículos 30 a 36 de la presente Decisión, el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, cuando el ejercicio de tales derechos comprometa la finalidad y eficacia de los procedimientos disciplinarios, las investigaciones administrativas o las investigaciones sobre cuestiones relacionadas con el personal, incluidas las investigaciones sobre presuntos casos de acoso, o pueda afectar negativamente a los derechos y libertades de otros interesados.

ANEXO III
Procedimientos de selección

1)   Objeto y ámbito de aplicación

 

1.

El presente anexo se aplica al tratamiento de datos personales por parte del responsable del tratamiento a los efectos de realizar procedimientos de selección.
 

2.

En el presente anexo se establecen las condiciones específicas en a las que, al realizar los procedimientos de selección (1), el responsable del tratamiento podrá limitar la aplicación del artículo 17 del Reglamento (UE) 2018/1725 con el fin de salvaguardar:

a) otros objetivos importantes de interés público general de la Unión, como la capacidad del Parlamento Europeo para cumplir sus obligaciones en virtud del Estatuto de los funcionarios y para aplicar su política interna de personal, de conformidad con el artículo 25, apartado 1, letra c), de dicho Reglamento, y

b) la protección de los derechos y libertades de otros interesados, de conformidad con el artículo 25, apartado 1, letra h), de dicho Reglamento.

 

3.

El presente anexo se aplica a las siguientes categorías de datos personales:

a)

datos de identificación;

b)

datos de contacto;

c)

datos profesionales;

d)

discursos grabados o pruebas de candidatos;

e)

fichas de evaluación;

f)

todos los demás datos relacionados con los correspondientes procedimientos de selección realizados por el Parlamento Europeo.

2)   Limitaciones aplicables

A reserva de lo dispuesto en los artículos 30 a 35 de la presente Decisión, el responsable del tratamiento podrá limitar la aplicación del derecho de acceso de los interesados a sus datos personales con arreglo al artículo 17 del Reglamento (UE) 2018/1725 cuando el ejercicio de dicho derecho pudiera comprometer la finalidad y eficacia de dichos procedimientos de selección, en particular revelando las evaluaciones realizadas por los comités de selección, o pudiera perjudicar los derechos y libertades de otros interesados, en particular revelando datos personales de otros candidatos.

3)   Duración de las limitaciones

No obstante lo dispuesto en el artículo 36 de la presente Decisión, se aplicarán las siguientes normas en lo que respecta a la duración de las limitaciones:

— Las limitaciones aplicadas de conformidad con el presente anexo seguirán siendo aplicables mientras lo sigan siendo los motivos que las justifiquen.

— El responsable del tratamiento levantará la limitación cuando ya no concurran los motivos de esta y el interesado haya solicitado de nuevo acceso a los datos personales de que se trate. Al mismo tiempo, el responsable del tratamiento facilitará al interesado los principales motivos de la limitación y le informará de la posibilidad de presentar en todo momento una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso judicial ante el Tribunal de Justicia.

(1)  Esto comprende los procedimientos de selección de personal temporal y contratado, así como los concursos internos.

ANEXO IV
Expedientes médicos

1)   Objeto y ámbito de aplicación

 

1.

El presente anexo se aplica al acceso a los datos médicos personales de los miembros del personal y de los diputados al Parlamento Europeo.
 

2.

El presente anexo establece las condiciones en las que el responsable del tratamiento podrá limitar la aplicación del artículo 17 del Reglamento (UE) 2018/1725, con el fin de salvaguardar la protección del interesado en el tratamiento de los datos médicos de los miembros del personal con arreglo al Estatuto de los funcionarios, y de los diputados al Parlamento Europeo con arreglo a las medidas de aplicación del Estatuto de los diputados al Parlamento Europeo (1), de conformidad con el artículo 25, apartado 1, letra h), de dicho Reglamento.
 

3.

El presente anexo se aplica a las siguientes categorías de datos personales:

a)

datos de identificación;

b)

datos de contacto;

c)

datos profesionales;

d)

datos médicos.

2)   Limitaciones aplicables

 

1.

A reserva de lo dispuesto en los artículos 30 a 35 de la presente Decisión, el responsable del tratamiento podrá limitar la aplicación del derecho de acceso directo a los datos médicos personales, incluidos los de naturaleza psicológica o psiquiátrica que afecten al interesado, que sean objeto de tratamiento por parte del Parlamento Europeo, cuando el acceso a dichos datos pueda representar un riesgo para la salud del interesado. Esta limitación será proporcionada con lo estrictamente necesario para proteger al interesado. Por lo tanto, se concederá acceso a la información a que se refiere el presente apartado, previa solicitud, a un médico elegido por el interesado.
 

2.

Antes de aplicar una limitación con arreglo al apartado 1, un médico asesor, que actúe en nombre del Parlamento Europeo, motivará dicha limitación, y los motivos aducidos se incluirán en el expediente médico de la persona de que se trate.

3)   Duración de las limitaciones

No obstante lo dispuesto en el artículo 36 de la presente Decisión, se aplicarán las siguientes normas en lo que respecta a la duración de las limitaciones:

— Las limitaciones aplicadas con arreglo al presente anexo seguirán siendo aplicables mientras lo sigan siendo los motivos que las justifiquen.

— El responsable del tratamiento levantará la limitación cuando ya no concurran los motivos de esta y el interesado haya solicitado de nuevo acceso a los datos médicos personales de que se trate. Al mismo tiempo, el responsable del tratamiento facilitará al interesado los principales motivos de la limitación e informará al interesado de la posibilidad de presentar en todo momento una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso judicial ante el Tribunal de Justicia.

(1)  Decisión de la Mesa del Parlamento Europeo, de 19 de mayo y 9 de julio de 2008, por la que se establecen medidas de aplicación del Estatuto de los diputados al Parlamento Europeo, modificada por las Decisiones de la Mesa de 11 de noviembre de 2009, 23 de noviembre de 2009, 14 de diciembre de 2009, 19 de abril de 2010, 5 de julio de 2010, 13 de diciembre de 2010, 14 de febrero de 2011, 23 de marzo de 2011, 14 de noviembre de 2011, 12 de diciembre de 2012, 1 de julio de 2013, 16 de junio de 2014, 15 de septiembre de 2014, 15 de diciembre de 2014, 26 de octubre de 2015, 14 de diciembre de 2015, 12 de diciembre de 2016, 13 de diciembre de 2017, 11 de junio de 2018, 2 de julio de 2018 y 10 de diciembre de 2018.

ANEXO V
Examen de las reclamaciones presentadas por el personal

1)   Objeto y ámbito de aplicación

 

1.

El presente anexo se aplica al tratamiento de datos personales por parte del responsable del tratamiento a efectos de la tramitación de reclamaciones en virtud del Estatuto de los funcionarios.
 

2.

El presente anexo establece las condiciones específicas en las que, al examinar las reclamaciones del personal con arreglo al artículo 90 del Estatuto de los funcionarios (1), el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, con el fin de salvaguardar:

a) otros objetivos importantes de interés público general de la Unión, como la capacidad del Parlamento Europeo para cumplir sus obligaciones en virtud del Estatuto de los funcionarios, de conformidad con el artículo 25, apartado 1, letra c), de dicho Reglamento, y

b) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas, de conformidad con el artículo 25, apartado 1, letra f), de dicho Reglamento.

 

3.

El presente anexo se aplica a las siguientes categorías de datos personales:

a) datos de identificación;

b) datos de contacto;

c) datos profesionales;

d) todos los demás datos relacionados con las correspondientes reclamaciones presentadas por el personal.

2)   Limitaciones aplicables

A reserva de lo dispuesto en los artículos 30 a 36 de la presente Decisión, el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, cuando el ejercicio de tales derechos comprometa el procedimiento de presentación de reclamaciones en virtud del Estatuto de los funcionarios.

(1)  En el examen de las reclamaciones presentadas por miembros del personal de conformidad con el artículo 90 del Estatuto de los funcionarios de la Unión Europea, el Parlamento Europeo podrá tratar datos personales de miembros del personal distintos del reclamante, a efectos de verificar el cumplimiento del principio de igualdad de trato.

ANEXO VI
Auditorías internas

1)   Objeto y ámbito de aplicación

 

1.

El presente anexo se aplica al tratamiento de datos personales por parte del responsable del tratamiento a los efectos realizar auditorías internas.
 

2.

El presente anexo establece las condiciones específicas en las que, al llevar a cabo auditorías internas a efectos de los artículos 118 y 119 del Reglamento (UE, Euratom) 2018/1046 (1) y en virtud de la Carta del auditor interno aprobada por la Mesa el 14 de enero de 2019, el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, con el fin de salvaguardar:

a) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular el interés financiero de la Unión o de un Estado miembro, de conformidad con el artículo 25, apartado 1, letra c), de dicho Reglamento, y

b) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos enunciados en el artículo 25, apartado 1, letra c), de dicho Reglamento, de conformidad con su artículo 25, apartado 1, letra g).

 

3.

El presente anexo se aplica a las siguientes categorías de datos personales:

a)

datos de identificación;

b)

datos de contacto;

c)

datos profesionales;

d)

datos financieros;

e)

datos de tráfico;

f)

datos sobre la presencia de personas;

g)

datos relativos a las actividades externas de personas;

h)

datos de afiliación política;

i)

todos los demás datos relacionados con el objeto de la correspondiente actividad de auditoría.

2)   Limitaciones aplicables

A reserva de lo dispuesto en los artículos 30 a 36 de la presente Decisión, el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, cuando el ejercicio de tales derechos comprometa la finalidad de la realización de auditorías internas por parte del Parlamento Europeo.

(1)  Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).

ANEXO VII
Procedimientos judiciales

1)   Objeto y ámbito de aplicación

 

1.

El presente anexo se aplica al tratamiento de datos personales por parte del responsable del tratamiento a efectos de procedimientos judiciales.
 

2.

El presente anexo establece las condiciones específicas en las que el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, con el fin de salvaguardar la protección de los procedimiento judiciales, de conformidad con su artículo 25, apartado 1, letra e).
 

3.

El presente anexo se aplica a las siguientes categorías de datos personales:

a)

datos de identificación;

b)

datos de contacto;

c)

datos profesionales;

d)

datos financieros;

e)

datos de tráfico;

f)

datos sobre la presencia de personas;

g)

datos relativos a las actividades externas de personas;

h)

todos los demás datos relacionados con el objeto de los correspondientes procedimientos judiciales.

2)   Limitaciones aplicables

A reserva de lo dispuesto en los artículos 30 a 36 de la presente Decisión, el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, cuando el ejercicio de tales derechos comprometa el desarrollo de procedimientos judiciales.

ANEXO VIII
Actividades de supervisión e investigación financieras

1)   Objeto y ámbito de aplicación

 

1.

El presente anexo se aplica al tratamiento de datos personales por parte del responsable del tratamiento a los efectos realizar actividades de supervisión e investigación en el sentido del apartado 2.
 

2.

El presente anexo establece las condiciones específicas en las que, al llevar a cabo la supervisión e investigaciones sobre la legalidad de las transacciones financieras realizadas por el Parlamento Europeo y en él, la supervisión e investigaciones sobre los derechos de los diputados (1), así como la supervisión e investigaciones sobre la financiación de los partidos políticos europeos, las fundaciones políticas europeas y los grupos políticos europeos, el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, con el fin de salvaguardar:

a) la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, de conformidad con el artículo 25, apartado 1, letra b), de dicho Reglamento,

b) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular el interés financiero de la Unión o de un Estado miembro, de conformidad con el artículo 25, apartado 1, letra c), de dicho Reglamento, y

c) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos enunciados en el artículo 25, apartado 1, letras b) y c), de dicho Reglamento, de conformidad con su artículo 25, apartado 1, letra g).

 

3.

El presente anexo se aplica a las siguientes categorías de datos personales:

a)

datos de identificación;

b)

datos de contacto;

c)

datos profesionales;

d)

datos financieros;

e)

datos de tráfico;

f)

datos sobre la presencia de personas;

g)

datos relativos a las actividades externas de personas;

h)

datos de afiliación política;

i)

todos los demás datos relacionados con el objeto de las correspondientes actividades de seguimiento e investigación realizadas por el Parlamento Europeo.

2)   Limitaciones aplicables

A reserva de lo dispuesto en los artículos 30 a 36 de la presente Decisión, el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, cuando el ejercicio de tales derechos comprometa la finalidad y eficacia de las actividades de seguimiento e investigación financieros realizadas por el Parlamento Europeo.

(1)  Esto comprende, en particular, investigaciones sobre las asignaciones para gastos generales, personal, equipos e instalaciones y viajes.

ANEXO IX
Cooperación con la Oficina Europea de Lucha contra el Fraude (OLAF)

1)   Objeto y ámbito de aplicación

 

1.

El presente anexo se aplica al tratamiento de datos personales, en particular la transferencia de datos personales, por parte del responsable del tratamiento con el fin de facilitar información y documentos a la OLAF, notificar casos a la OLAF o tratar información y documentos procedentes de la OLAF.
 

2.

El presente anexo establece las condiciones generales en las que, al facilitar información y documentación a la OLAF a petición de esta o por propia iniciativa, al notificar casos a la OLAF o al tratar información y documentos procedentes de la OLAF, el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, con el fin de salvaguardar:

a) la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, de conformidad con el artículo 25, apartado 1, letra b), de dicho Reglamento, y

b) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas, de conformidad con el artículo 25, apartado 1, letra f), de dicho Reglamento.

 

3.

El presente anexo no se aplicará al tratamiento de datos personales en los casos en los que la OLAF actúa como responsable del tratamiento, en particular cuando la OLAF trate datos personales conservados en los locales del Parlamento Europeo en virtud del artículo 4, apartado 2, y del artículo 6, del Reglamento (UE, Euratom) n.o 883/2013 del Parlamento Europeo y del Consejo (1).
 

4.

El presente anexo se aplica a las siguientes categorías de datos personales:

a)

datos de identificación;

b)

datos de contacto;

c)

datos profesionales, incluidos los contratos de los asistentes parlamentarios acreditados, de los asistentes locales y de los prestadores de servicios, así como los datos relativos a las misiones;

d)

datos financieros;

e)

datos de tráfico;

f)

datos sobre la presencia de personas;

g)

datos relativos a las actividades externas de personas;

h)

datos de afiliación política;

i)

cualquier otro dato relacionado con el objeto de la investigación pertinente llevada a cabo por la OLAF o por el Parlamento Europeo en cooperación con la OLAF.

2)   Limitaciones aplicables

 1. A reserva de los artículos 30 a 36 de la presente Decisión, el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 21 de dicho Reglamento, cuando el ejercicio de esos derechos pudiera comprometer el objetivo de las actividades de investigación de la OLAF o de las actividades de investigación del Parlamento Europeo en cooperación con la OLAF, en particular revelando sus instrumentos y métodos de investigación.

 2. A reserva de los artículos 30 a 36 de la presente Decisión, el Parlamento Europeo podrá limitar los derechos y obligaciones mencionados en el apartado 1 en relación con los datos personales obtenidos de la OLAF cuando el ejercicio de tales derechos y obligaciones pueda ser restringido por la OLAF sobre la base del artículo 2, apartado 3, de la Decisión (UE) 2018/1962 de la Comisión (2).

(1)  Reglamento (UE, Euratom) n.o 883/2013 del Parlamento Europeo y del Consejo, de 11 de septiembre de 2013, relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) y por el que se deroga el Reglamento (CE) n.o 1073/1999 del Parlamento Europeo y del Consejo y el Reglamento (Euratom) n.o 1074/1999 del Consejo (DO L 248 de 18.9.2013, p. 1).

(2)  Decisión (UE) 2018/1962 de la Comisión, de 11 de diciembre de 2018, por la que se establece el reglamento interno relativo al tratamiento de datos personales por la Oficina Europea de Lucha contra el Fraude (OLAF) en lo que respecta a la comunicación de información a los interesados y la restricción de algunos de sus derechos, de conformidad con el artículo 25 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (DO L 315 de 12.12.2018, p. 41).

ANEXO X
Cooperación con los Estados miembros en el contexto de investigaciones penales o financieras

1)   Objeto y ámbito de aplicación

 

1.

El presente anexo se aplica al tratamiento de datos personales, en particular la transferencia de datos personales, por el responsable del tratamiento con el fin de facilitar a las autoridades nacionales la información y los documentos que soliciten en el marco de investigaciones penales o financieras.
 

2.

El presente anexo establece las condiciones específicas en las que, al facilitar a las autoridades nacionales información y documentos que soliciten en el marco de investigaciones penales o financieras (1), el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, con el fin de salvaguardar:

a) la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, de conformidad con el artículo 25, apartado 1, letra b), de dicho Reglamento,

b) la protección de la independencia judicial y de los procedimientos judiciales, de conformidad con el artículo 25, apartado 1, letra e), de dicho Reglamento, y

c) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas, de conformidad con el artículo 25, apartado 1, letra f), de dicho Reglamento.

 

3.

El presente anexo se aplica a las siguientes categorías de datos personales:

a) datos de identificación;

b) datos de contacto;

c) datos profesionales;

d) datos financieros;

e) comunicaciones electrónicas;

f) datos de tráfico;

g) datos de videovigilancia;

h) grabaciones sonoras;

i) datos sobre la presencia de personas;

j) todos los demás datos relacionados con el objeto de la investigación pertinente realizada por las autoridades nacionales.

2)   Limitaciones aplicables

A reserva de lo dispuesto en los artículos 30 a 36 de la presente Decisión, el responsable del tratamiento podrá limitar la aplicación de los artículos 14 a 21, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 21 de dicho Reglamento, cuando el ejercicio de tales derechos comprometa el objeto de las investigaciones penales y financieras nacionales.

(1)  El Parlamento Europeo deberá facilitar a las autoridades nacionales la información y los documentos solicitados con arreglo al principio de cooperación leal consagrado en el artículo 4, apartado 3, del Tratado de la Unión Europea.

ANÁLISIS

  • Rango: Decisión
  • Fecha de disposición: 17/06/2019
  • Fecha de publicación: 02/08/2019
  • Fecha de entrada en vigor: 03/08/2019
Referencias anteriores
Materias
  • Acceso a la información
  • Derecho a la información
  • Ficheros con datos personales
  • Parlamento Europeo
  • Unión Europea

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid