Agencia Estatal Boletín Oficial del Estado
EL CONSEJO DE ADMINISTRACIÓN DE LA AGENCIA EUROPEA DE SEGURIDAD AÉREA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de estos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,
Visto el Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, de 4 de julio de 2018, sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia de la Unión Europea para la Seguridad Aérea y por el que se modifican los Reglamentos (CE) n.o 2111/2005, (CE) n.o 1008/2008, (UE) n.o 996/2010, (UE) n.o 376/2014 y las Directivas 2014/30/UE y 2014/53/UE del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) n.o 552/2004 y (CE) n.o 216/2008 del Parlamento Europeo y del Consejo y el Reglamento (CEE) n.o 3922/91 del Consejo (2) (el «Reglamento (UE) 2018/1139»), y en particular su artículo 132,
Visto el reglamento interno del Consejo de Administración de la Agencia Europea de Seguridad Aérea,
Consultado el Supervisor Europeo de Protección de Datos,
Informado el Comité de Personal,
Considerando lo siguiente:
|
(1) |
La Agencia Europea de Seguridad Aérea («AESA») está facultada para llevar a cabo investigaciones administrativas, procedimientos predisciplinarios, disciplinarios y de suspensión, de conformidad con el Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión Europea, establecidos en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo («Estatuto de los funcionarios») (3), y con la Decisión n.o 2011/216/E del Director Ejecutivo de la AESA, de 16 de diciembre de 2011, por la que se adoptan disposiciones de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios. En caso necesario, también notifica los casos a la OLAF. |
|
(2) |
Los miembros del personal de la AESA están obligados a informar sobre actividades potencialmente ilegales, incluidos el fraude y la corrupción, que vayan en detrimento de los intereses de la Unión. Los miembros del personal también están obligados a comunicar las actuaciones relativas al cumplimiento de las obligaciones profesionales que puedan constituir un incumplimiento grave de las obligaciones de los funcionarios de la Unión. Esto está regulado por la Decisión 15-2018 del Consejo de Administración de la AESA, de 14 de diciembre de 2018. |
|
(3)
(4) |
La AESA ha establecido una política para prevenir y combatir eficazmente los casos, reales o potenciales, de acoso psicológico o sexual en el lugar de trabajo, tal como prevé la Decisión de la AESA n.o 2008/180/A del Director Ejecutivo de la AESA, de 5 de agosto de 2009, por la que se adoptan medidas de ejecución de conformidad con el Estatuto de los funcionarios.
La Decisión establece un procedimiento informal por el que la presunta víctima del acoso puede ponerse en contacto con los consejeros «confidenciales» de la AESA. |
|
(5) |
La AESA también puede investigar las posibles infracciones de las normas de seguridad de la información clasificada de la Unión Europea («ICUE»), sobre la base de la Decisión de la AESA n.o 2020/010/ED del Director Ejecutivo de la AESA, de 17 de febrero de 2020, relativa a las normas de seguridad de la AESA para la protección de la información clasificada de la Unión Europea. |
|
(6)
(7) |
La AESA está sujeta a auditorías internas y externas en relación con sus actividades.
En el contexto de tales investigaciones, auditorías e investigaciones administrativas, la AESA coopera con otras instituciones, órganos, oficinas y agencias de la Unión. |
|
(8)
(9) |
La AESA puede cooperar con las autoridades nacionales y organizaciones internacionales de terceros países, ya sea a petición suya o por propia iniciativa.
La AESA también puede cooperar con las autoridades públicas de los Estados miembros de la UE, ya sea a petición suya o por propia iniciativa. |
|
(10) |
La AESA participa en los asuntos sometidos al Tribunal de Justicia de la Unión Europea cuando remite el asunto al Tribunal de Justicia, defiende una decisión que ha adoptado y que ha sido recurrida ante el Tribunal de Justicia, o interviene en asuntos relacionados con sus funciones. En este contexto, la AESA podría tener que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos por las partes o por las partes coadyuvantes. |
|
(11)
(12) |
La AESA está facultada para llevar a cabo inspecciones, otras actividades de supervisión e investigaciones de conformidad con el artículo 75, apartado 2, letra e) del Reglamento (UE) 2018/1139.
La AESA está facultada para llevar a cabo investigaciones relativas a la seguridad informática gestionadas internamente o con implicación externa (p. ej. CERT-EU) de conformidad con el artículo 75, apartado 2, letra d) del Reglamento (UE) 2018/1139. |
|
(13) |
El delegado de protección de datos de la AESA («DPD») está facultado para tramitar denuncias internas y externas y realizar auditorías internas e investigaciones de conformidad con el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 («el Reglamento»). |
|
(14)
(15) |
Para desempeñar sus funciones, la AESA recoge y procesa información y varias categorías de datos personales, que incluyen datos de identificación de personas físicas, información de contacto, funciones y tareas profesionales, información sobre actuaciones privadas y profesionales y datos financieros. La AESA actúa como responsable del tratamiento de los datos.
Con arreglo al Reglamento, la AESA está, por tanto, obligada a facilitar información a los afectados sobre dichas actividades de tratamiento y a respetar sus derechos como afectados. |
|
(16) |
La AESA podría estar obligada a conciliar esos derechos con los objetivos de las investigaciones administrativas, las auditorías, las investigaciones y los procedimientos judiciales. También podría ser necesario equilibrar los derechos de un afectado frente a los derechos y libertades fundamentales de otros afectados. A tal fin, el artículo 25 del Reglamento ofrece a la AESA la posibilidad de limitar, bajo condiciones estrictas, la aplicación de los artículos 14 a 22, 35 y 36, del Reglamento, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20. A menos que se establezcan limitaciones en un acto jurídico adoptado sobre la base de los Tratados, es necesario adoptar normas internas con arreglo a las cuales la AESA tenga derecho a limitar esos derechos. |
|
(17) |
La AESA podría, por ejemplo, tener que limitar la información que proporciona a un afectado sobre el tratamiento de sus datos personales durante la fase de evaluación preliminar de una investigación administrativa o durante la propia investigación, antes de la posible desestimación del asunto o en la fase predisciplinaria. En determinadas circunstancias, facilitar dicha información podría afectar gravemente a la capacidad de la AESA para llevar a cabo la investigación de manera eficaz, por ejemplo, cuando exista el riesgo de que la persona afectada pueda destruir pruebas o interferir con posibles testigos antes de su declaración. La AESA también podría tener que proteger los derechos y libertades de los testigos, así como los de otras personas implicadas. |
|
(18) |
Podría ser necesario proteger el anonimato de aquellos testigos o denunciantes que hayan solicitado no ser identificados. En tal caso, la AESA podría decidir limitar el acceso a la identidad, las declaraciones y otros datos personales de esas personas, a fin de proteger sus derechos y libertades. |
|
(19) |
Podría ser necesario proteger la información confidencial relativa a un miembro del personal que se haya puesto en contacto con asesores confidenciales de la AESA en el contexto de un procedimiento por acoso. En tales casos, la AESA podría tener que limitar el acceso a la identidad, las declaraciones y otros datos personales de la presunta víctima, el presunto acosador y otras personas implicadas, con el fin de proteger los derechos y libertades de todos los afectados. |
|
(20) |
La AESA debe aplicar limitaciones solo cuando estas respeten la esencia de los derechos y libertades fundamentales, sean estrictamente necesarias y constituyan una medida proporcionada en una sociedad democrática. La AESA deberá explicar las razones que justifican dichas limitaciones. |
|
(21)
(22) |
En aplicación del principio de responsabilidad, la AESA debe llevar un registro de las limitaciones impuestas.
Al tratar los datos personales intercambiados con otras organizaciones en el marco de sus funciones, tanto la AESA como dichas organizaciones deben consultarse mutuamente sobre los posibles motivos de imposición de limitaciones, así como sobre la necesidad y proporcionalidad de estas, a menos que ello ponga en peligro las actividades de la AESA. |
|
(23) |
El artículo 25, apartado 6, del Reglamento obliga al responsable del tratamiento a informar a los afectados de los motivos principales en los que se fundamenta la limitación y de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos (“SEPD”). |
|
(24) |
De conformidad con el artículo 25, apartado 8, del Reglamento, la AESA puede aplazar, omitir o denegar la comunicación de información sobre los motivos de la aplicación de una limitación al afectado si ello anula de cualquier modo el efecto de la restricción. La AESA debe evaluar caso por caso si la comunicación de la limitación anula su efecto. |
|
(25)
(26) |
La AESA debe levantar la limitación tan pronto como dejen de cumplirse las condiciones que la justifican y evaluar periódicamente dichas condiciones.
A fin de garantizar la máxima protección de los derechos y libertades de los afectados y de conformidad con lo dispuesto en el artículo 44, apartado 1, del Reglamento, debe consultarse al DPD a su debido tiempo cualquier limitación que pueda aplicarse y comprobar su conformidad con la presente Decisión. |
|
(27) |
El artículo 16, apartado 5, y el artículo 17, apartado 4, del Reglamento prevén excepciones al derecho a la información y al derecho de acceso de los afectados. Si se aplican estas excepciones, la AESA no necesita aplicar una limitación con arreglo a la presente Decisión. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto y alcance
1. La presente Decisión establece normas relativas a las condiciones en las que la AESA puede limitar la aplicación de los artículos 4, 14 a 22, 35 y 36, de conformidad con el artículo 25 del Reglamento.
2. La AESA, en su calidad de responsable del tratamiento, estará representada por su Director Ejecutivo.
Limitaciones
1. La AESA podrá limitar la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20:
|
a) |
con arreglo al artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento, al llevar a cabo una investigación administrativa o un procedimiento predisciplinario, disciplinario o de suspensión con arreglo al artículo 86 y el anexo IX del Estatuto de los funcionarios y la Decisión n.o 2011/216/E del Director Ejecutivo de la AESA, de 16 de diciembre de 2011, y cuando se notifiquen los casos a la OLAF; |
|
b) |
de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que los miembros del personal de la AESA puedan denunciar hechos de forma confidencial cuando consideren que existen graves irregularidades, tal como se establece en la Decisión 15-2018 del Consejo de Administración de la AESA de 14 diciembre de 2018; |
|
c) |
de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, al garantizar que el personal de la AESA pueda informar a los asesores confidenciales en el contexto de un procedimiento de acoso, tal como se define en la Decisión n.o 2008/180/A del Director Ejecutivo de la AESA de 5 de agosto de 2009; |
|
d) |
de conformidad con el artículo 25, apartado 1, letras b), c), d), f), g) y h), al investigar las posibles infracciones de las normas de seguridad de la información clasificada de la Unión Europea («ICUE»), sobre la base de la Decisión de la AESA n.o 2020/010/ED del Director Ejecutivo de la AESA, de 17 de febrero de 2020, relativa a las normas de seguridad de la AESA para la protección de la información clasificada de la Unión Europea; |
|
e)
f) |
de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando lleve a cabo auditorías internas en relación con actividades o departamentos de la AESA;
de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento, cuando preste asistencia a otras instituciones, organismos, oficinas y agencias de la Unión, cuando reciba asistencia de dichas instituciones, organismos, oficinas y agencias o cuando coopere con ellas en el contexto de las actividades contempladas en las letras a) a d) del presente apartado y con arreglo a los acuerdos de nivel servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes; |
|
g) |
de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando preste asistencia a las autoridades nacionales y organizaciones internacionales de terceros países, cuando reciba asistencia de dichas autoridades y organizaciones o cuando coopere con estas, a petición de estas o por iniciativa propia; |
|
h) |
de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando preste asistencia a las autoridades públicas de los Estados miembros de la UE, cuando reciba asistencia de dichas autoridades o cuando coopere con estas, ya sea a petición suya o por iniciativa propia; |
|
i) |
de conformidad con el artículo 25, apartado 1, letra e), del Reglamento, cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea; |
|
j) |
de conformidad con el artículo 25, apartado 1, letras c), g) y h) del Reglamento, cuando se traten datos personales al realizar inspecciones, otras actividades de supervisión e investigaciones de conformidad con el artículo 75, apartado 2, letra e) del Reglamento (UE) 2018/1139; |
|
k) |
de conformidad con el artículo 25, apartado 1, letras b), c), d), f), g) y h) del Reglamento, cuando se traten datos personales al llevar a cabo investigaciones relativas a la seguridad informática gestionadas internamente o con implicación externa (p. ej. CERT-EU) de conformidad con el artículo 75, apartado 2, letra d) del Reglamento (UE) 2018/1139. |
2. De conformidad con el artículo 25, apartado 1, letras b), c), f), g) y h) del Reglamento, el DPD puede limitar la aplicación de los artículos 14 a 22, 35 y 36, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20 cuando tramite denuncias internas y externas y lleve a cabo auditorías internas e investigaciones de conformidad con el artículo 45, apartado 2 del Reglamento.
3. Cualquier limitación respetará la esencia de los derechos y libertades fundamentales y será necesaria y proporcionada en una sociedad democrática.
4. Se llevará a cabo una prueba de necesidad y proporcionalidad, caso por caso, antes de aplicar limitaciones. Las restricciones se limitarán a lo estrictamente necesario para alcanzar su objetivo.
5. A efectos de rendición de cuentas, la AESA elaborará un registro en el que se describirán los motivos de las limitaciones aplicadas, los fundamentos enumerados en el apartado 1 que se aplican y el resultado de la prueba de necesidad y proporcionalidad. Dichos registros formarán parte de un registro, que se pondrá a disposición del SEPD a petición suya. La AESA elaborará informes periódicos sobre la aplicación del artículo 25 del Reglamento.
6. Al tratar los datos personales procedentes de otras organizaciones en el contexto de sus funciones, la AESA consultará a dichas organizaciones sobre los posibles motivos de imposición de limitaciones y sobre la necesidad y proporcionalidad de las limitaciones de que se trate, a menos que ello ponga en peligro las actividades de la AESA.
Riesgos para los derechos y libertades de los afectados
1. Las evaluaciones de los riesgos para los derechos y libertades de los afectados que supongan la aplicación de limitaciones y los detalles sobre el período de aplicación de dichas limitaciones se harán constar en el registro de actividades de tratamiento mantenido por la AESA en virtud del artículo 31 del Reglamento. También se harán constar en todas las evaluaciones de impacto de protección de datos relativas dichas limitaciones llevadas a cabo con arreglo al artículo 39 del Reglamento.
2. Siempre que la AESA evalúe la necesidad y proporcionalidad de una limitación, tendrá en cuenta los posibles riesgos para los derechos y libertades del afectado.
Garantías y períodos de conservación
1. La AESA aplicará garantías para evitar los abusos y el acceso o transferencia ilícita de datos personales respecto de los cuales se apliquen o puedan aplicarse limitaciones. Tales garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de ejecución internos de la AESA. Estas garantías deberán incluir lo siguiente:
a) una definición clara de las funciones, responsabilidades y etapas del procedimiento;
b) cuando proceda, un entorno electrónico seguro que impida el acceso ilícito y accidental a los datos electrónicos o la transferencia ilícita o accidental de datos electrónicos a personas no autorizadas;
c) cuando proceda, almacenamiento y tratamiento seguro de los documentos basados en papel;
d) la debida supervisión de las limitaciones y la revisión periódica de su aplicación.
Las revisiones mencionadas en la letra d) se llevarán a cabo al menos cada seis meses.
2. Las limitaciones se levantarán tan pronto como dejen de existir las circunstancias que las justifiquen.
3. Los datos personales se conservarán de acuerdo con las normas de conservación aplicables de la AESA, que se definirán en los registros de protección de datos mantenidos conforme al artículo 31 del Reglamento. Al final del período de conservación, los datos personales se suprimirán, se anonimizarán o se transferirán a los archivos de conformidad con el artículo 13 del Reglamento.
Participación del delegado de protección de datos
1. Se informará sin demora al DPD cuando los derechos de los afectados estén limitados de conformidad con la presente Decisión. Se dará acceso a los registros correspondientes y a todos los documentos relativos al contexto fáctico o jurídico.
2. El DPD podrá solicitar que se revisen las limitaciones aplicadas. La AESA informará por escrito a su DPD del resultado de la revisión.
3. La AESA documentará la participación del DPD en la aplicación de las limitaciones, incluida la información que se comparta con él.
Información dirigida a los afectados sobre las limitaciones de sus derechos
1. La AESA incluirá una sección en los anuncios de protección de datos publicados en su sitio web/intranet, que proporcione información general a los afectados sobre la posible limitación de sus derechos, de conformidad con el artículo 2, apartado 1. La información cubrirá los derechos que puedan ser objeto de limitaciones, los motivos por los que pueden aplicarse las limitaciones y su posible duración.
2. La AESA informará a los afectados individualmente, por escrito y sin demora injustificada, de las limitaciones en curso o futuras de sus derechos. La AESA informará al afectado de los motivos principales en los que se fundamenta la limitación aplicada, de su derecho a consultar al DPD con el fin de impugnar la limitación y de sus derechos a presentar una reclamación ante el SEPD.
3. La AESA podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso. Tan pronto como la acción deje de anular el efecto de la limitación, la AESA facilitará la información al afectado.
Comunicación de una violación de la seguridad de los datos personales al afectado
1. Cuando la AESA tenga la obligación de comunicar una violación de datos con arreglo al artículo 35, apartado 1, del Reglamento, podrá, en casos excepcionales, limitar dicha comunicación total o parcialmente. Documentará en una nota los motivos de la limitación, su fundamento jurídico de conformidad con el artículo 2 y una evaluación de su necesidad y proporcionalidad. La nota se comunicará al SEPD en el momento en que se notifique la violación de datos personales.
2. Cuando dejen de ser aplicables las razones de la limitación, la AESA comunicará al afectado la violación de los datos personales y le informará de los motivos principales de la limitación, así como de su derecho a presentar una reclamación ante el SEPD.
Confidencialidad de las comunicaciones electrónicas
1. En circunstancias excepcionales, la AESA podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas con arreglo al artículo 36 del Reglamento. Dichas limitaciones se ajustarán a lo dispuesto en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (4).
2. En caso de que la AESA limite el derecho a la confidencialidad de las comunicaciones electrónicas, deberá informar al afectado, en su respuesta a cualquier solicitud procedente de este, de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD.
3. La AESA podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso.
Entrada en vigor
La presente Decisión entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Varsovia, el 21 de octubre de 2020.
Piotr SAMSON
Presidente del Consejo de Administración
(1) DO L 295, 21.11.2018, p. 39.
(2) DO L 212 de 22.8.2018, p. 1.
(3) Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).
(4) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
