Agencia Estatal Boletín Oficial del Estado
EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artículo 286,
Visto el Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo (1) y, en particular, el apartado 8 de su artículo 24, Considerando lo siguiente:
(1) El Reglamento (CE) no 45/2001, en lo sucesivo denominado «el Reglamento», establece los principios y normas aplicables a todas las instituciones y organismos comunitarios y prevé el nombramiento, por parte de cada institución comunitaria y organismo comunitario, del responsable de la protección de datos.
(2) El apartado 8 del artículo 24 del Reglamento exige que cada institución u organismo comunitario adopte normas de desarrollo complementarias con respecto al responsable de la protección de datos, con arreglo a lo dispuesto en su anexo. Tales normas se referirán, en concreto, a las funciones, obligaciones y competencias del responsable de la protección de datos.
(3) Las normas de desarrollo precisan asimismo los procedimientos para el ejercicio de los derechos de los interesados, así como para el cumplimiento de las obligaciones de todas las personas pertinentes dentro de las instituciones u organismos comunitarios relacionados con el tratamiento de datos personales.
(4) Las normas de desarrollo del Reglamento no afectan al Reglamento (CE) no 1049/2001 (2), a la Decisión 2004/338/CE, Euratom (3) y, en particular, a su anexo II, a la Decisión 2001/264/CE (4) y, en particular, a la sección VI de la parte II de su anexo, ni a la Decisión del Secretario General del Consejo, Alto Representante de la Política Exterior y de Seguridad Común de 25 de junio de 2001 (5).
DECIDE:
Objeto y ámbito de aplicación
La presente Decisión establece, con relación al Consejo de la Unión Europea, nuevas normas de desarrollo del Reglamento (CE) no 45/2001, denominado en lo sucesivo «el Reglamento».
___________________________
(1) DO L 8 de 12.1.2001, p. 1.
(2) Reglamento (CE) no 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
(3) Decisión 2004/338/CE, Euratom, del Consejo, de 22 de marzo de 2004, por la que se aprueba su Reglamento interno (DO L 106 de 15.4.2004, p. 22).
(4) Decisión 2001/264/CE del Consejo, de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del Consejo (DO L 101 de 11.4.2001, p. 1); Decisión modificada por la Decisión 2004/194/CE (DO L 63 de 28.2.2004, p. 48).
(5) Decisión del Secretario General del Consejo, Alto Representante de la Política Exterior y de Seguridad Común de 25 de junio de 2001 sobre un código de buena conducta administrativa para la Secretaría General del Consejo de la Unión Europea y su personal en sus relaciones profesionales con el público (DO C 189 de 5.7.2001, p. 1).
Definiciones
A los efectos de la presente Decisión, y sin perjuicio de las definiciones establecidas en el Reglamento, se entenderá por:
a) «responsable del tratamiento»: la institución, dirección general, dirección, división, unidad o cualquier otra entidad organizativa que, por sí sola o conjuntamente con otras, determine los fines y los medios del tratamiento de datos personales y figure en la notificación que deberá enviarse al responsable de la protección de datos (en lo sucesivo «el RPD») de conformidad con el artículo 25 del Reglamento;
b) «persona de contacto»: el (los) auxiliar (es) administrativo (s) de la dirección general o, de no ser éste, cualquier miembro del personal que haya sido designado en consulta con el RPD, por su dirección general, como representante para tratar, en estrecha cooperación con el RPD, cuestiones relacionadas con la protección de datos.
c) «personal de la SGC»: todos los funcionarios de la Secretaría General del Consejo (en lo sucesivo «la SGC») y cualquier otra persona que se rija por el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades, establecidos por el Reglamento (CEE, Euratom, CECA) no 259/68 (1), denominado en lo sucesivo «el Estatuto», o que trabaje para la SGC en virtud de un contrato (becarios, asesores, contratistas, funcionarios de los Estados miembros en comisión de servicios, participantes de programas de prácticas).
RESPONSABLE DE LA PROTECCIÓN DE DATOS
Nombramiento y estatuto del responsable de la protección de los datos
1. El Secretario General Adjunto del Consejo nombrará al RPD y comunicará su nombre al Supervisor Europeo de Protección de Datos (en lo sucesivo denominado «el SEPD»). El RPD estará adscrito directamente al SEPD.
2. La duración del mandato del RPD será de tres años y podrá renovarse dos veces.
3. Con respecto al ejercicio de sus obligaciones, el RPD actuará con total independencia y en cooperación con el SEPD. En particular, el RPD no aceptará instrucciones de la Autoridad Facultada para Proceder a los Nombramientos en el seno de la SGC ni de ninguna otra persona en relación con la aplicación interna de las disposiciones del Reglamento o con su cooperación con el SEPD.
4. La evaluación del desempeño de las funciones y obligaciones del RPD se llevará a cabo tras haber consultado al SEPD. El RPD sólo podrá ser destituido de su cargo previo consentimiento del SEPD, en caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones.
5. Sin perjuicio del procedimiento previsto para su nombramiento, el RPD será informado de todos los contactos que se mantengan con terceros en relación con la aplicación del Reglamento, en especial, por lo que respecta a la interacción con el SEPD.
6. Sin perjuicio de las disposiciones pertinentes del Reglamento, el RPD y su personal se regirán por las normas y reglamentaciones aplicables a los funcionarios y demás agentes de las Comunidades Europeas.
Funciones
El RPD:
a) velará por que los responsables del tratamiento de los datos y los propios interesados sean informados de los derechos y obligaciones que les incumben con arreglo al Reglamento. En concreto, en el ejercicio de sus funciones, elaborará formularios de información y notificación, consultará a las partes interesadas y sensibilizará al público en general en cuanto a los temas de protección de datos;
b) atenderá las solicitudes del SEPD y, en el marco de sus competencias, cooperará con él cuando éste se lo pida o por iniciativa propia;
c) garantizará de forma autónoma la aplicación interna de las disposiciones del Reglamento en la SGC;
d) llevará un registro de las operaciones de tratamiento efectuadas por los responsables del tratamiento y autorizará a acceder al mismo a cualquier persona bien directamente, bien indirectamente, a través del SEPD;
e) notificará al SEPD todas las operaciones de tratamiento que pudieran presentar los riesgos específicos a que se refiere el apartado 2 del artículo 27 del Reglamento; f) de este modo, velará por reducir las probabilidades de que los derechos y libertades de los interesados se vean afectados negativamente por las operaciones de tratamiento.
_______________________
(1) DO L 56 de 4.3.1968, p. 1; Reglamento cuya última modificación la constituye el Reglamento (CE, Euratom) no 723/2004 (DO L 124 de 27.4.2004, p. 1).
Obligaciones
1. Además de las funciones generales que ha de desempeñar, el RPD:
a) actuará como asesor de la Autoridad Facultada para Proceder a los Nombramientos (AFPN) en el seno de la SGC y de los responsables del tratamiento en lo relativo a la aplicación de las disposiciones sobre protección de los datos. El RPD podrá ser consultado por la AFPN, por los responsables del tratamiento de que se trate, por el Comité de personal y por cualquier particular, sin seguir los conductos oficiales, con relación a cualquier asunto que se refiera a la interpretación o aplicación del Reglamento;
b) por iniciativa propia o a instancias de la AFPN, los responsables del tratamiento, el Comité de Personal o cualquier particular, investigará los asuntos e incidencias directamente relacionados con sus funciones de los que tenga conocimiento e informará de los resultados a la AFPN o a la persona que haya encargado la investigación. Si se juzga oportuno, todas las demás partes interesadas deberían también ser informadas. Si el que ha presentado la solicitud de investigación es un particular o actúa en nombre de un particular, el RPD deberá garantizar, en la medida de lo posible, la confidencialidad de la solicitud, salvo que se cuente con el consentimiento expreso del interesado para tratar la solicitud de otra forma;
c) cooperará en el ejercicio de sus funciones con los responsables de la protección de datos de otras instituciones u organismos comunitarios, en particular intercambiando experiencia y conocimientos;
d) representará al Consejo en todos los asuntos relacionados con la protección de datos; ello incluye, sin perjuicio de la Decisión 2004/338/CE, Euratom, su eventual participación en los comités y foros pertinentes a escala internacional; e) presentará al Secretario General Adjunto del Consejo un informe anual de actividad, que también pondrá a disposición de su personal.
2. Sin perjuicio de la letra b) del artículo 4, las letras b) y c) del apartado 1 del artículo 5 y el artículo 15, el RPD y su personal se abstendrán de divulgar la información o los documentos que lleguen a su poder en el ejercicio de sus funciones.
Competencias
En el ejercicio de sus funciones y obligaciones, el RPD:
a) tendrá acceso en todo momento a los datos objeto de las operaciones de tratamiento y a todos los locales, instalaciones de tratamiento de datos y soportes de datos;
b) podrá solicitar dictámenes jurídicos al Servicio Jurídico del Consejo;
c) podrá recurrir a servicios exteriores de expertos en tecnologías de la información previa autorización del ordenador, de conformidad con el Reglamento (CE, Euratom) no 1605/2002 del Consejo, de 25 de junio de 2002, por el que se aprueba el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas (1), y sus normas de desarrollo;
d) sin perjuicio de las obligaciones y competencias del SEPD, podrá proponer a la SGC medidas administrativas y emitir recomendaciones generales sobre la correcta aplicación del Reglamento;
e) en casos concretos, podrá dirigir a la SGC o a todas las partes interesadas cualquier otra recomendación que vaya encaminada a mejorar en la práctica la protección de los datos;
f) podrá señalar a la AFPN en el seno de la SGC cualquier incumplimiento por parte de un miembro del personal de las obligaciones que impone el Reglamento, y sugerir que se emprenda una investigación administrativa con vistas a la eventual aplicación del artículo 49 del Reglamento.
Recursos
Se dotará al RPD del personal y de los recursos necesarios para la ejecución de sus obligaciones.
DERECHOS Y OBLIGACIONES DE LOS INTERVINIENTES EN LA PROTECCIÓN DE DATOS
Autoridad Facultada para Proceder a los Nombramientos 1. En caso de reclamación en el sentido del artículo 90 del Estatuto de los funcionarios relativa a una violación del Reglamento, la AFPN consultará al RPD, quien emitirá su dictamen por escrito a más tardar quince días después de haber recibido la petición. Si, transcurrido este período, el RPD no hubiera facilitado su dictamen a la autoridad, éste ya no será necesario.
La AFPN no estará vinculada al dictamen del RPD.
2. El RPD informará en todos los supuestos en los que una cuestión que esté examinando tenga o pueda tener implicaciones sobre la protección de datos.
__________________________
(1) DO L 248 de 16.9.2002, p. 1.
Responsables del tratamiento
1. Los responsables del tratamiento se encargarán de velar por que todas las operaciones de tratamiento bajo su control se ajusten al Estatuto.
2. En particular, los responsables del tratamiento:
a) notificarán previamente al RPD cualquier operación de tratamiento o serie de tales operaciones prevista para un único objetivo o para varios objetivos relacionados entre sí, así como todo cambio sustancial en una operación de tratamiento existente. En cuanto a las operaciones de tratamiento efectuadas antes de la entrada en vigor del Reglamento (1 de febrero de 2001), el responsable del tratamiento las notificará sin demora;
b) asistirán al RPD y al SEPD en el ejercicio de sus respectivas obligaciones, en particular, facilitando la información que se les solicite en un plazo máximo de 30 días;
c) aplicarán las medidas organizativas y técnicas adecuadas y darán al personal de la SGC las instrucciones oportunas para garantizar tanto la confidencialidad del tratamiento como un nivel de seguridad adecuado a los riesgos que implique el tratamiento;
d) cuando proceda, consultarán al RPD si las operaciones de tratamiento se ajustan o no al Reglamento, en particular cuando tengan motivos para creer que ciertas operaciones de tratamiento son incompatibles con los artículos 4 a 10 del Reglamento. También podrán consultar al RPD o a los expertos en seguridad de las tecnologías de la información de la Dirección General A, la Oficina de Seguridad y la Oficina de Seguridad Informática (INFOSEC) sobre temas relativos a la confidencialidad de las operaciones de tratamiento y sobre las medidas de seguridad adoptadas con arreglo al artículo 22 del Reglamento.
Personas de contacto
1. Sin perjuicio de las responsabilidades del RPD, la persona de contacto:
a) dentro de su dirección general o servicio, ayudará a llevar un inventario de todos los tratamientos de datos personales existentes;
b) dentro de su dirección general o servicio, ayudará a identificar a los responsables del tratamiento respectivos;
c) tendrá derecho a obtener de los responsables del tratamiento y del personal la información adecuada y necesaria que precise para el desempeño de sus funciones administrativas dentro de su dirección general o servicio. Dicho derecho no incluye el derecho de acceso a los datos personales que haya sido tratados por cuenta del responsable del tratamiento.
2. Sin perjuicio de las responsabilidades de los responsables del tratamiento, las personas de contacto:
a) asistirán a los responsables del tratamiento en el ejercicio de sus obligaciones;
b) cuando proceda, facilitarán la comunicación entre el RPD y los responsables del tratamiento.
Personal de la SGC
1. En particular, el personal de la SGC contribuirá a la aplicación de las normas de confidencialidad y seguridad del tratamiento de datos personales previstas en los artículos 21 y 22 del Reglamento. Ningún miembro del personal de la SGC que tenga acceso a datos personales podrá tratarlos si no es bajo instrucciones del responsable del tratamiento, a no ser que estén obligados a hacerlo con arreglo a la legislación nacional o comunitaria.
2. Todo miembro del personal de la SGC podrá presentar ante el SEPD una reclamación relativa a un presunto incumplimiento de las disposiciones del Reglamento que regulan el tratamiento de los datos personales, sin seguir los conductos oficiales, tal como se establece en el Reglamento interno del SEPD.
Interesados
1. Además del derecho de los interesados a ser informados adecuadamente sobre todo tratamiento de datos personales que les concierna, de conformidad con los artículos 11 y 12 del Reglamento, los interesados podrán dirigirse a los responsables del tratamiento para ejercer sus derechos en virtud de los artículos 13 a 19 del Reglamento, tal como se especifica en la sección 5 de la presente Decisión.
2. Sin perjuicio de los recursos judiciales existentes, todo interesado podrá presentar una reclamación ante el SEPD cuando considere que se han violado sus derechos en virtud del Reglamento como consecuencia del tratamiento de sus datos personales por parte del Consejo, como se especifica en el Reglamento interno del SEPD.
3. Nadie habrá de sufrir perjuicio en razón de una reclamación presentada ante el SEPD o de un asunto planteado ante el SEPD por presunta violación de las disposiciones del Reglamento.
REGISTRO DE OPERACIONES DE TRATAMIENTO NOTIFICADAS
Procedimiento de notificación
1. El responsable del tratamiento notificará al RPD toda operación de tratamiento de datos personales mediante un impreso de notificación disponible en el sitio Intranet de la SGC (protección de datos). La notificación se transmitirá al RPD electrónicamente.
En el plazo de diez días hábiles, se enviará al RPD una nota a modo de confirmación de la notificación. Una vez recibida la confirmación de la notificación, el RPD la publicará en el registro.
2. La notificación incluirá toda la información que se especifica en el apartado 2 del artículo 25 del Reglamento. Cualquier cambio que modifique esta información deberá notificarse sin demora al RPD.
3. Las normas y procedimientos adicionales relativos al procedimiento de notificación que han de seguir los responsables del tratamiento formarán parte de las recomendaciones generales emitidas por el RPD.
Contenido y objeto del registro
1. El RPD llevará un registro de operaciones de tratamiento de datos efectuadas con datos personales, que se elaborará a través de las notificaciones recibidas de los responsables del tratamiento.
2. El registro contendrá al menos la información a que se refieren las letras a) a g) del apartado 2 del artículo 25 del Reglamento. No obstante, el RPD podrá limitar excepcionalmente la información prevista, con el fin de proteger la seguridad de una operación de tratamiento concreta.
3. El registro servirá de índice de las operaciones de tratamiento de datos personales desarrolladas en el Consejo. Brindará información a los interesados y les facilitará el ejercicio de sus derechos, establecidos en los artículos 13 a 19 del Reglamento.
Acceso al registro
1. El RPD adoptará las medidas oportunas para garantizar que cualquier persona tenga acceso al registro, bien directamente, bien indirectamente a través del SEPD. En particular, el RPD brindará a las personas interesadas información y ayuda sobre cómo y dónde presentar las solicitudes de acceso al registro.
2. Salvo cuando está autorizado el acceso en línea, las solicitudes de acceso al registro se harán por escrito, inclusive en forma electrónica, en una de las lenguas a que se refiere el artículo 314 del Tratado y de un modo lo bastante preciso como para que el RPD pueda identificar las operaciones de tratamiento de que se trate. Se enviará de inmediato al solicitante un acuse de recibo de su solicitud.
3. Cuando una solicitud no sea suficientemente precisa, el RPD pedirá al solicitante que aclare su solicitud y le ayudará a hacerlo. En caso de que la solicitud se refiera a una serie muy amplia de operaciones de tratamiento, el RPD podrá consultar de manera informal con el solicitante con el fin de encontrar una solución satisfactoria.
4. Cualquier persona podrá pedir al RPD una copia de la información que consta en el registro con relación a una operación de tratamiento notificada.
PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DE LOS INTERESADOS
1. Los derechos de los interesados a que se refiere esta sección sólo podrán ser ejercidos por los particulares afectados o, en casos excepcionales, en nombre de dichos particulares mediante la adecuada autorización. Las solicitudes deberán dirigirse por escrito al responsable del tratamiento de que se trate con copia al RPD. En caso necesario, el RPD ayudará al interesado a identificar al responsable del tratamiento. El RPD facilitará impresos específicos. Los responsables del tratamiento sólo admitirán la solicitud si se ha cumplimentado todo el impreso y se ha verificado correctamente la identidad del reclamante. El ejercicio, por parte de los interesados, de sus derechos será gratuito.
2. El responsable del tratamiento enviará al solicitante un acuse de recibo en el plazo de cinco días hábiles a partir del registro de la solicitud. Salvo que se disponga otra cosa, el responsable contestará al solicitante en el plazo máximo de 15 días hábiles a partir del registro de la solicitud, dándole satisfacción o declarando por escrito las razones de su denegación total o parcial, en particular cuando se considere que el solicitante no es el interesado.
3. En caso de anomalías o abuso manifiesto por parte del interesado en el ejercicio de sus derechos y cuando el interesado alegue que el tratamiento es ilegal, el responsable del tratamiento deberá consultar al RPD en relación con la solicitud o remitir al interesado al RPD, quien decidirá en cuanto a la pertinencia de la solicitud y al curso que deba dársele.
4. Cualquier persona interesada podrá consultar al RPD en relación con el ejercicio de sus derechos en un caso concreto.
Sin perjuicio de los recursos judiciales existentes, todo interesado podrá presentar una reclamación ante el SEPD cuando considere que, como consecuencia del tratamiento de sus datos personales, se han violado los derechos que le otorga el Reglamento.
Derecho de acceso
El interesado tendrá derecho a obtener del responsable del tratamiento, sin limitaciones y en todo momento dentro de los tres meses siguientes a la recepción de la solicitud, la información a que se refieren las letras a) a d) del artículo 13 del Reglamento, bien consultando personalmente dichos datos in situ, o bien mediante copia, incluso en formato electrónico, si procede, a elección del solicitante.
Derecho de rectificación
Todo interesado que solicite la rectificación de datos personales inexactos o incompletos especificará en su solicitud los datos de que se trata y la rectificación que debe hacerse. La solicitud será tramitada por el responsable del tratamiento de inmediato.
Derecho de bloqueo
El responsable del tratamiento tramitará sin demora toda petición de bloqueo de datos con arreglo al artículo 15 del Reglamento.
En la petición se especificarán los datos de que se trate y las razones para bloquearlos. El responsable del tratamiento informará al interesado que hizo la petición antes de desbloquear los datos.
Derecho de supresión
El interesado podrá pedir al responsable del tratamiento que suprima sus datos de inmediato cuando se trate de un tratamiento ilegal, en particular cuando se hayan infringido las disposiciones de los artículos 4 a 10 del Reglamento. En la petición se especificarán los datos de que se trate y se indicarán los motivos o pruebas de la ilegalidad del tratamiento. En los ficheros automatizados la supresión se efectuará, en principio, por todos los medios técnicos adecuados, eliminando la posibilidad de volver a tratar los datos suprimidos. Cuando por causas técnicas no sea posible la supresión, el responsable del tratamiento, previa consulta con el RPD y el interesado, procederá al bloqueo inmediato de dichos datos.
Notificación a terceros
Cuando se efectúe una rectificación, un bloqueo o una supresión a raíz de una petición del interesado, este último tendrá derecho a que el responsable del tratamiento lo notifique a todos aquellos terceros a quienes se les hayan revelado esos datos personales, a no ser que tal notificación resulte imposible o suponga un esfuerzo desproporcionado.
Derecho de oposición
El interesado tendrá derecho a oponerse al tratamiento de datos que le conciernan y a la divulgación o utilización de sus datos personales de conformidad con el artículo 18 del Reglamento. En la solicitud se especificarán los datos de que se trate y se indicarán los motivos que justifiquen la petición. Cuando la oposición sea fundada, el tratamiento en cuestión no podrá referirse ya a esos datos.
Decisiones individuales automatizadas
El interesado tendrá derecho a no ser sometido a las decisiones individuales automatizadas a que se refiere el artículo 19 del Reglamento, a no ser que dicha decisión esté expresamente autorizada en virtud de la legislación nacional o comunitaria o por una decisión del SEPD destinada a salvaguardar los intereses legítimos del interesado. En ambos casos, se brindará al interesado la posibilidad de exponer su punto de vista previamente y de consultar con el RPD.
Excepciones y limitaciones
1. Cuando existan razones legítimas de las contempladas en el artículo 20 del Reglamento que lo justifiquen claramente, el responsable del tratamiento podrá limitar los derechos contemplados en los artículos 17 a 21 de la presente Decisión. Salvo en caso de absoluta necesidad, el responsable del tratamiento consultará en primer lugar al RPD, cuyo dictamen no será vinculante para la institución. El responsable del tratamiento responderá sin demora a las solicitudes relativas a la aplicación de excepciones o de limitaciones al ejercicio de los derechos y motivará su decisión.
2. Toda persona afectada podrá solicitar al SEPD la aplicación de la letra c) del apartado 1 del artículo 47 del Reglamento.
PROCEDIMIENTO DE INVESTIGACIÓN
Modalidades prácticas
1. Las solicitudes de investigación se dirigirán al RPD por escrito y utilizando el impreso específico que este último facilite.
En caso de abuso manifiesto del derecho a solicitar una investigación, por ejemplo cuando el mismo particular haya hecho una solicitud idéntica poco tiempo antes, el RPD no estará obligado a contestar al solicitante.
2. En el plazo de quince días a partir de la recepción de la solicitud, el RPD enviará un acuse de recibo a la autoridad facultada para proceder a los nombramientos o a la persona que encargó la investigación y verificará si la petición debe tratarse de forma confidencial.
3. El RPD pedirá al responsable del tratamiento de los datos de que se trate una declaración escrita sobre la cuestión. El responsable del tratamiento dará respuesta al RPD en el plazo de 15 días. El RPD podría desear que otras partes, como la Oficina de Seguridad o la Oficina Infosec de la SGC, le faciliten información complementaria. Si procede, podrá pedir un dictamen sobre la cuestión al Servicio Jurídico del Consejo. Deberá facilitarse la información o el dictamen al RPD en el plazo de 30 días.
4. EL RPD responderá a la AFPN o a la persona que hizo la solicitud a más tardar tres meses después de su recepción.
Efecto
La presente Decisión surtirá efecto al día siguiente de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 13 de septiembre de 2004.
Por el Consejo
El Presidente
B. R. BOT
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
