Agencia Estatal Boletín Oficial del Estado
LA ALTA REPRESENTANTE DE LA UNIÓN PARA ASUNTOS EXTERIORES Y POLÍTICA DE SEGURIDAD,
Vista la Decisión 2010/427/UE del Consejo, de 26 de julio de 2010, por la que se establece la organización y el funcionamiento del Servicio Europeo de Acción Exterior (2010/427/UE) (1) («Decisión SEAE del Consejo»), y en particular su artículo 11, apartado 3,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (2) («Reglamento»), y en particular sus artículos 43, 44 y 45,
Considerando lo siguiente:
(1) El régimen de responsabilidad más completo que establece el Reglamento para los responsables del tratamiento de datos exige la adopción de una nueva decisión de ejecución que sustituya a la Decisión PROC HR(2011) 016 de la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad, de 8 de diciembre de 2011, sobre las normas relativas a la protección de datos en el SEAE.
(2) Las funciones del delegado de protección de datos y las responsabilidades del responsable del tratamiento en el Servicio Europeo de Acción Exterior deben estar claramente establecidas y adaptarse a los requisitos del Reglamento,
DECIDE:
Objeto y ámbito de aplicación
1. De conformidad con el artículo 45, apartado 3, del Reglamento, la presente Decisión establece las tareas, funciones y facultades del delegado de protección de datos (en lo sucesivo denominado «DPD») del SEAE.
2. La presente Decisión también especifica los procedimientos internos y las responsabilidades de los responsables y encargados del tratamiento, así como el papel, las tareas y las funciones de los coordinadores y corresponsales de protección de datos, en particular según lo dispuesto en los artículos 26 y 29 del Reglamento.
Definiciones
A los efectos de la presente Decisión, y sin perjuicio de las definiciones establecidas en el Reglamento, se entenderá por:
a) «responsable del tratamiento»: el SEAE o sus entidades organizativas, incluidas las Delegaciones de la UE que, por sí solas o conjuntamente con otras, determinen los fines y medios del tratamiento de datos personales;
b) «representante del responsable del tratamiento»: los miembros de la dirección del SEAE o los jefes de las entidades organizativas del SEAE que supervisen a las entidades responsables del tratamiento a que se refiere la letra a) y que son asimismo responsables del tratamiento de datos personales;
c) «responsable delegado del tratamiento»: el servicio o personal de la entidad organizativa responsable del tratamiento al que se haya encomendado la gestión de la actividad de tratamiento de datos personales;
d) «corresponsables del tratamiento»: dos o más entidades organizativas que determinen conjuntamente los fines y medios del tratamiento de datos personales, así como las funciones y responsabilidades de los responsables del tratamiento, incluidas las funciones relativas al ejercicio de los derechos del interesado, en particular cuando el SEAE sea responsable del tratamiento conjuntamente con otras instituciones, órganos u organismos de la UE, o cualquier otra entidad;
e) «delegado de protección de datos» o «DPD»: el miembro del personal del SEAE designado por el SEAE, de conformidad con el artículo 43 del Reglamento, para ayudar, informar y asesorar a los responsables del tratamiento;
f) «coordinador y corresponsal de protección de datos» o «CCPD»: los miembros del personal del SEAE en la sede y en las Delegaciones de la UE, respectivamente, designados para asistir en cuestiones relativas a la protección de datos a sus responsables del tratamiento;
g) «encargado del tratamiento»: una entidad, interna del SEAE o externa a este, que trate datos personales por cuenta del responsable del tratamiento;
h) «anuncios de protección de datos»: las comunicaciones, tales como las declaraciones de confidencialidad, por las que el responsable del tratamiento facilita información a los interesados a tenor de los artículos 15 y 16 del Reglamento;
i) «personal del SEAE»: en virtud del artículo 6 de la Decisión SEAE del Consejo, los funcionarios y demás agentes de la UE que trabajen en el SEAE, incluido el personal de los servicios diplomáticos de los Estados miembros de la UE, los expertos nacionales en comisión de servicios y los becarios.
DELEGADO DE PROTECCIÓN DE DATOS
Designación del delegado de protección de datos
1. El secretario general del SEAE designará al DPD de entre el personal del SEAE, de conformidad con el artículo 43 del Reglamento, y comunicará su nombramiento al Supervisor Europeo de Protección de Datos (en lo sucesivo denominado «SEPD»).
2. Además de los requisitos del artículo 43, apartado 3, del Reglamento, el DPD deberá tener conocimientos sólidos de los servicios del SEAE y de su estructura, sistemas informáticos y normas y procedimientos administrativos. El DPD deberá tener buen juicio y conocimientos especializados en materia de protección datos y ser capaz de mantener una postura imparcial y objetiva conforme al Estatuto de los funcionarios.
3. El DPD será designado por un mandato de cinco años y este podrá ser renovado.
4. El DPD solo podrá ser destituido de su cargo previo consentimiento del SEPD, en caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones.
5. El DPD dependerá administrativamente del secretario general.
6. Los datos de contacto del DPD se publicarán en la intranet del SEAE y en el sitio web del SEAE y se comunicarán al SEPD.
Posición del delegado de protección de datos
1. El DPD actuará con independencia y cooperando con el SEPD. El SEAE no dará instrucciones al DPD en lo que respecta al desempeño de sus tareas.
2. El DPD no podrá ser destituido ni sancionado por desempeñar sus tareas.
3. El DPD será informado de todos los contactos establecidos con partes externas en relación con la aplicación del Reglamento y de la presente Decisión y, en particular, de todo contacto con el SEPD y los miembros de la red de DPD en las instituciones, órganos y organismos de la UE.
4. Los interesados podrán ponerse en contacto con el DPD en relación con cualquier cuestión relativa al tratamiento de sus datos personales o al ejercicio de los derechos que les otorga el Reglamento.
5. El DPD podrá ser consultado por el responsable del tratamiento o su representante, por el comité de personal y por cualquier miembro del personal sobre cualquier cuestión relativa a la interpretación o aplicación del Reglamento, sin necesidad de seguir los conductos oficiales. Nadie deberá sufrir perjuicio alguno por informar al DPD.
Tareas del delegado de protección de datos
El DPD:
a) será consultado sobre todas las cuestiones relativas a la protección de los datos personales;
b) proporcionará orientación y asesorará diligentemente a las entidades del SEAE y a los contratistas de estas que lleven a cabo actividades de tratamiento de datos personales sobre cómo ejecutar el Reglamento y la presente Decisión, en particular en lo relativo a la consulta sobre la notificación de las violaciones de la seguridad de los datos, las evaluaciones de impacto y la necesidad de consultar previamente al SEPD;
c) mantendrá contactos periódicos con los responsables del tratamiento con el fin de controlar el cumplimiento de la normativa de protección de datos y ayudarles en sus tareas, en particular contribuirán a elaborar y publicar los anuncios de protección de datos y a responder a las solicitudes de los interesados;
d) mantendrá contactos periódicos con los CCPD de la sede central del SEAE y de las Delegaciones de la UE y gestionará la red de CCPD del SEAE;
e) aumentará la sensibilización general en materia de protección de datos y organizará cursos formativos y sesiones informativas;
f) colaborará con los DPD de otras instituciones, órganos y organismos de la UE, en particular intercambiando experiencias y mejores prácticas;
g) llevará un registro central de las actividades de tratamiento realizadas por el SEAE sobre la base de los registros elaborados por los responsables del tratamiento de conformidad con el artículo 31 del Reglamento, y lo hará de acceso público;
h) ayudará a garantizar la representación en el plano internacional de la Alta Representante o del SEAE en todas las cuestiones relacionadas con la protección de datos.
Facultades
En el ejercicio de sus tareas, el DPD:
a) tendrá acceso, en todo momento, a los datos que sean objeto de tratamiento por las entidades del SEAE y sus contratistas y a todas las oficinas, centros de tratamiento de datos y soportes de datos;
b) presentará su dictamen a la autoridad facultada para proceder a los nombramientos antes de tomar una decisión sobre cuestiones relativas a la aplicación de las disposiciones en materia de protección de datos;
c) podrá proponer medidas administrativas y formular recomendaciones generales sobre la adecuada aplicación del Reglamento y de la presente Decisión;
d) podrá formular recomendaciones a la dirección, el personal del SEAE y cualquier parte externa pertinente para que se mejore en la práctica la protección de los datos;
e) podrá investigar asuntos relativos a la protección de datos y, además de la persona que solicitó la investigación o presentó la reclamación, podrá notificar el resultado de la investigación al responsable del tratamiento y a cualquier persona pertinente de la dirección del SEAE;
f) podrá elaborar plantillas y procedimientos instrucciones o políticas internos, para proporcionar orientación a los responsables y encargados del tratamiento;
g) podrá recurrir a los servicios de expertos externos, como, por ejemplo, especialistas informáticos;
h) podrá comunicar a la autoridad facultada para proceder a los nombramientos del SEAE que un miembro del personal incumple las obligaciones que imponen el Reglamento y la presente Decisión y proponer que se inicie una investigación administrativa;
i) podrá dictar directrices internas sobre protección de datos (notas orientativas del DPD), que deberán tenerse en cuenta al tratar datos personales.
Recursos
1. El DPD contará con el personal y los recursos necesarios para llevar a cabo las tareas contempladas en el artículo 5 de la presente Decisión.
2. Todo el personal del SEAE ayudará al DPD en el desempeño de las tareas contempladas en el artículo 5 de la presente Decisión, en particular los responsables y encargados del tratamiento proporcionarán la información solicitada sobre las actividades de tratamiento de datos, el acceso a datos personales y la elaboración de borradores de respuesta a las solicitudes de los interesados que ejerzan su derecho de acceso, modificación y supresión recibidas por el DPD pero que estén relacionadas con las actividades de tratamiento de las que responde el responsable del tratamiento.
3. El DPD podrá contar con un adjunto o un asistente y con personal administrativo y secretaría, según proceda. También podrá recurrir a otras entidades contratadas o del SEAE y a expertos externos.
4. Cuando se designe a un adjunto o un asistente, este ayudará al DPD en el desempeño de sus tareas y podrá representar al DPD en caso de ausencia. Los artículos 4, 5 y 6 de la presente Decisión se aplicarán también al adjunto y al asistente.
5. El DPD tendrá locales adecuados en los que pueda garantizarse la seguridad y la confidencialidad de la información, especialmente los datos personales, así como un almacenamiento y archivo adecuados de los datos y documentos.
6. El DPD contará con una herramienta electrónica para: i) gestionar los registros de las actividades de tratamiento de datos personales de conformidad con el artículo 31 del Reglamento y ii) almacenar los anuncios de protección de datos, las notificaciones de las violaciones de la seguridad de los datos, las evaluaciones de impacto relativas a la protección de datos, las solicitudes de los interesados y los registros de las transferencias de datos.
7. El SEAE ayudará al DPD a mantener y ampliar sus conocimientos especializados, por ejemplo, facilitando la participación en cursos, conferencias o actos interinstitucionales o externos relacionados con la protección de datos, así como en reuniones y cursos organizados por el SEPD y la red de DPD de las instituciones, órganos y organismos de la UE.
AGENTES QUE INTERVIENEN EN PROCEDIMIENTOS RELACIONADOS CON LA PROTECCIÓN DE DATOS
Responsables y encargados del tratamiento
1. Corresponde a los responsables delegados del tratamiento, los representantes de los responsables y los encargados del tratamiento garantizar, en nombre del responsable del tratamiento, que todas las actividades de tratamiento que estén bajo su control cumplan el Reglamento, en particular su artículo 26, y las disposiciones de la presente Decisión. Podrán, cuando sea necesario, encomendar tareas de tratamiento de datos al personal del SEAE que trabaje bajo su responsabilidad o a entidades contratadas, de conformidad con el artículo 29 del Reglamento.
2 En particular, los responsables del tratamiento:
a) garantizarán y demostrarán que el tratamiento se lleva a cabo de conformidad con el Reglamento y la presente Decisión, y rendirán cuentas de ello;
b) registrarán todas las actividades de tratamiento y cualquier cambio sustancial de una actividad de tratamiento existente;
c) velarán por que los interesados sean informados sobre el tratamiento de sus datos de conformidad con los artículos 15 y 16 del Reglamento, por medio de anuncios de protección de datos;
d) colaborarán con el DPD y el SEPD, en concreto facilitando información para responder a sus solicitudes en un plazo de 14 días naturales desde la fecha de la solicitud;
e) informarán al DPD cuando se recurra a un contratista para tratar datos personales en nombre del responsable del tratamiento;
f) designarán a un CCPD, le ayudarán en el desempeño de sus funciones e informarán al DPD de cualquier cambio en relación con la persona o el cometido del CCPD;
g) consultarán al DPD para saber si las actividades de tratamiento se ajustan a lo dispuesto en el Reglamento y en la presente Decisión y podrán consultar al DPD o a otros expertos sobre cuestiones relacionadas con la confidencialidad, la disponibilidad y la integridad de las actividades de tratamiento y sobre las medidas de seguridad adoptadas con arreglo al artículo 33 del Reglamento.
3. Los responsables del tratamiento podrán servirse de otras entidades del SEAE o contratadas como encargadas del tratamiento, de conformidad con las disposiciones del Reglamento, siempre que documenten en sus registros quién actúa como encargado del tratamiento y especifiquen las tareas que les sean encomendadas y las medidas de seguridad adoptadas.
4. El responsable del tratamiento velará por que el DPD sea informado sin demora de:
a) todas las cuestiones que tengan o puedan tener repercusiones en materia de protección de datos;
b) todas las comunicaciones y decisiones de gestión del SEAE en relación con la aplicación del Reglamento, en particular cualquier contacto con el SEPD.
Coordinador y corresponsal de protección de datos
1. En función de su tamaño y del tipo de datos personales objeto de tratamiento, las entidades organizativas del SEAE contarán con un CCPD que actuará como punto de referencia para la protección de datos. Cada dirección ejecutiva o dirección de la sede central del SEAE y de cada Delegación de la UE designará a un coordinador de protección de datos o un corresponsal de protección de datos. Todas las divisiones que tratan periódicamente grandes cantidades de datos personales, categorías especiales de datos o datos personales sensibles, cuyo tratamiento presenta un riesgo elevado, designarán también a su propio CCPD. La función de CCPD se asignará a un puesto que tenga una visión general de las actividades de la entidad.
2. El CCPD deberá tener las capacidades necesarias y adquirirá conocimientos sobre protección de datos. Recibirá formación inicial sobre protección de datos y podrá asistir a sesiones informativas y a reuniones de la red de CCPD.
3. El CCPD:
a) sin perjuicio de las responsabilidades del DPD, asistirá a los responsables del tratamiento en el cumplimiento de sus obligaciones;
b) facilitará la comunicación entre el DPD y los responsables del tratamiento;
c) servirá de punto de referencia para las cuestiones relacionadas con la protección de datos en su servicio y de enlace con el DPD;
d) informará a sus compañeros sobre las cuestiones relacionadas con el tratamiento de datos personales y los ayudará con estas;
e) enviará al personal información sobre actos de sensibilización y sesiones de formación;
f) colaborará con el DPD para crear y actualizar un inventario de las actividades de tratamiento de datos personales existentes o nuevas;
g) se pondrá en contacto con el DPD en relación con cualquier dato personal tratado en el servicio y le comunicará dicho tratamiento;
h) ayudará a encontrar a los responsables delegados y encargados del tratamiento pertinentes;
i) elaborará registros en su ámbito de especialización;
j) ayudará a los responsables del tratamiento a crear y revisar registros y a elaborar los anuncios de protección de datos;
k) ayudará en las verificaciones del cumplimiento y en las evaluaciones de impacto;
l) velará por que se publiquen los anuncios de protección de datos pertinentes y por que su servicio los utilice correctamente;
m) notificará al DPD cualquier violación de la seguridad de los datos;
n) preparará, con la colaboración del DPD, la respuesta a las solicitudes de los interesados que ejerzan sus derechos y tramitará las reclamaciones y las preguntas relativas a las actividades de tratamiento de datos en su servicio.
4. El CCPD tiene derecho a obtener la información necesaria para buscar las actividades de tratamiento de datos personales y a consultar al DPD en nombre de su servicio. Dicho derecho no incluye el derecho de acceso a los datos personales tratados bajo responsabilidad del responsable del tratamiento.
Autoridad facultada para proceder a los nombramientos
La autoridad facultada para proceder a los nombramientos consultará al DPD sobre cualquier solicitud o reclamación presentada con arreglo al artículo 90 del Estatuto de los funcionarios en relación con la aplicación del Reglamento.
Personal del SEAE
1. Todo el personal del SEAE aplicará las normas de confidencialidad y seguridad para el tratamiento de datos personales establecidas en los artículos 33, 34 y 35 del Reglamento. El personal del SEAE que tenga acceso a datos personales solo los tratará si recibe instrucciones a tal fin de los responsables del tratamiento.
2. Siempre que necesite tratar datos personales, el personal del SEAE informará de ello a su superior jerárquico para que los responsables del tratamiento documenten dicho tratamiento en sus registros de protección de datos y elaboren los anuncios de protección de datos necesarios.
3. El personal del SEAE podrá presentar al DPD una solicitud o comunicar una preocupación, incluida una presunta violación de la seguridad de los datos, o presentar ante el SEPD una reclamación en relación con una presunta infracción del Reglamento o de la presente Decisión, sin necesidad de informar a sus superiores jerárquicos.
4. Si un miembro del personal considera que un tercer país, un territorio o una o varias zonas específicas de un tercer país, o una organización internacional no garantizan un nivel de protección adecuado en el sentido del artículo 45, apartado 3, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3) o del artículo 36, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (4), lo notificará al DPD.
MEDIDAS Y PROCEDIMIENTOS
Medidas de seguridad y protección de datos desde el diseño y por defecto
1. Las salvaguardas y las medidas técnicas y organizativas para evitar las filtraciones, revelaciones no autorizadas o violaciones de la seguridad de los datos incluirán:
a) una definición adecuada de las funciones, las responsabilidades y las fases del procedimiento;
b) un entorno electrónico seguro que impida el acceso o transferencia ilícitos o accidentales de datos electrónicos a personas no autorizadas y que cuente con medidas de seguridad incorporadas en las diversas aplicaciones informáticas utilizadas;
c) un tratamiento y almacenamiento seguros de los documentos en papel;
d) una concesión individualizada del acceso electrónico y físico solo al personal autorizado que tenga derechos de acceso.
2. Antes de diseñar las actividades de tratamiento de datos, los responsables del tratamiento aplicarán la protección de datos desde el diseño y por defecto a que se refiere el artículo 27 del Reglamento. Con el fin de aplicar la protección de datos desde el diseño y por defecto, el responsable del tratamiento podrá consultar al DPD y a otros servicios pertinentes, incluidos los de informática y seguridad informática.
Notificación de las violaciones de la seguridad de los datos personales
Una vez tenga conocimiento de cualquier incidente, en particular de una violación de la seguridad, que provoque la destrucción, la pérdida, la alteración o la revelación accidental o ilícita de datos personales transferidos, almacenados o tratados de otra forma, o el acceso no autorizado a dichos datos («violación de la seguridad de los datos personales»), el responsable o el encargado del tratamiento lo notificará inmediatamente al DPD y en un plazo de 72 horas al SEPD y documentará adecuadamente el incidente.
Investigaciones y tramitación de solicitudes y reclamaciones por parte del DPD
1. El DPD podrá iniciar una investigación relativa a un supuesto incumplimiento de las obligaciones establecidas en el Reglamento por iniciativa propia o previa solicitud. Las solicitudes se dirigirán al DPD por escrito.
2. El DPD podrá solicitar al responsable del tratamiento de la actividad de tratamiento de datos en cuestión una declaración escrita al respecto. El responsable del tratamiento enviará la respuesta al DPD en un plazo de 14 días naturales desde la recepción de la solicitud. El DPD podrá solicitar acceso a información, documentos, soportes de datos, centros de datos, locales y sistemas adicionales de otros servicios del SEAE, en particular de la división de informática, la Dirección de Seguridad y la dirección general encargada de las investigaciones administrativas y los procedimientos disciplinarios. Deberá facilitarse la información o el dictamen al DPD en el plazo de 14 días naturales.
3. En caso de solicitudes manifiestamente infundadas, abusivas y excesivas, en particular cuando un mismo interesado haya formulado solicitudes de carácter repetitivo, el DPD podrá no admitir a trámite la solicitud con arreglo al artículo 14 del Reglamento. Se informará de ello al solicitante.
PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DE LOS INTERESADOS
1. Los interesados podrán ponerse en contacto con el responsable del tratamiento o con el DPD para ejercer sus derechos de conformidad con los artículos 14 a 24 del Reglamento.
2. Las solicitudes de ejercicio de los derechos de los interesados se harán por escrito. En caso necesario, el DPD ayudará al interesado a encontrar al responsable del tratamiento pertinente. El DPD enviará todas las solicitudes recibidas al responsable del tratamiento pertinente, que podrá consultar al DPD.
3. Los responsables del tratamiento tramitarán la solicitud y responderán directamente al interesado.
Tramitación de solicitudes para el ejercicio de los derechos de los interesados
1. Los responsables del tratamiento solo darán curso a la solicitud después de que se haya verificado la identidad del solicitante o, en caso de solicitud por parte de un representante del interesado, se haya aportado la autorización al interesado.
2. El responsable del tratamiento de la actividad de tratamiento de datos enviará al solicitante un acuse de recibo en el plazo de 14 días naturales desde la recepción de la solicitud por el SEAE. Salvo que se disponga otra cosa, el responsable del tratamiento responderá a la solicitud en el plazo de un mes desde el registro de la solicitud. El responsable del tratamiento tendrá dos opciones, bien conceder lo solicitado, bien indicar por escrito los motivos de la denegación total o parcial de lo solicitado. El plazo de respuesta podrá ampliarse hasta dos meses más en función de la complejidad del asunto y el número de solicitudes presentadas, de conformidad con el artículo 14, apartado 3, del Reglamento.
3. Se podrá rechazar la solicitud del interesado si
a) la solicitud no está motivada;
b) es de aplicación una excepción establecida en el Reglamento;
c) es de aplicación una limitación de conformidad con las normas internas (5) adoptadas sobre la base del artículo 25 del Reglamento.
4. En caso de solicitudes manifiestamente infundadas, abusivas y excesivas, en particular cuando un mismo interesado haya formulado solicitudes de carácter repetitivo, el responsable del tratamiento, tras haber consultado al DPD, podrá no admitir a trámite la solicitud con arreglo al artículo 14 del Reglamento. Se informará de ello al solicitante.
Excepciones y limitaciones
Las limitaciones establecidas de conformidad con las normas internas adoptadas sobre la base del artículo 25 del Reglamento y las excepciones establecidas en los artículos 15 a 19 y 21 a 24 del Reglamento solo se aplicarán tras haber consultado al DPD.
Comunicación sobre la presente Decisión
1. De conformidad con el artículo 41 del Reglamento, se informará al SEPD sobre la presente Decisión.
2. La presente Decisión se pondrá a disposición del personal del SEAE a través de medios adecuados, especialmente publicándola en el sitio web interno del SEAE.
Derogación
Queda derogada la Decisión PROC HR(2011) 016 de la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad, de 8 de diciembre de 2011, sobre las normas relativas a la protección de datos.
Efecto
La presente Decisión surtirá efecto el día siguiente al de su adopción.
Hecho en Bruselas, el 1 de octubre de 2019.
Federica MOGHERINI
La Alta Representante
(1) DO L 201 de 3.8.2010, p. 30.
(2) DO L 295 de 21.11.2018, p. 39.
(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(4) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
(5) Decisión de la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad sobre las normas internas relativas a la limitación de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento del Servicio Europeo de Acción Exterior [ADMIN(2019) 10].
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
