Considerando lo
siguiente:
1.
|
En el marco de su funcionamiento, la Oficina del ORECE podrá llevar a
cabo investigaciones administrativas y procedimientos predisciplinarios,
disciplinarios y suspensivos, sobre la base del anexo IX del Estatuto de los
funcionarios de la Unión Europea y régimen aplicable a los otros agentes de
la Unión Europea (3) y de
conformidad con la Decisión MC/2012/3 del Comité de Gestión de la Oficina del
Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (Oficina
del ORECE), por la que se establecen las disposiciones generales de
aplicación relativas a la realización de investigaciones administrativas y a
los procedimientos disciplinarios, lo que implica el tratamiento de
información, incluidos los datos personales.
|
2.
|
Los miembros del personal de la Oficina del ORECE tienen la obligación de
informar sobre posibles actividades ilegales, incluidos el fraude o la
corrupción, que vayan en detrimento de los intereses de la Unión, o de
conductas relacionadas con el desempeño de funciones profesionales que puedan
constituir un incumplimiento grave de las obligaciones de los miembros del
personal de la Unión. Lo anterior está regulado por la Decisión n.o MC/2018/11 del Comité de Gestión de la
Oficina del Organismo de Reguladores Europeos de las Comunicaciones
Electrónicas (Oficina del ORECE) por la que se establecen directrices sobre
la denuncia de irregularidades en la Oficina del ORECE.
|
3.
|
La Oficina del ORECE ha establecido una política para prevenir y tratar
con eficacia y eficiencia los casos reales o potenciales de acoso psicológico
o sexual en el lugar de trabajo, tal como se establece en la Decisión n.o MC/2016/15 del Comité de Gestión de la
Oficina del Organismo de Reguladores Europeos de las Comunicaciones
Electrónicas (Oficina del ORECE) relativa a la política de protección de la
dignidad de la persona y de prevención del acoso psicológico y del acoso
sexual.
|
4.
|
En el contexto de las actividades mencionadas, la Oficina del ORECE
recoge y trata la información pertinente y varias categorías de datos
personales, incluidos los datos de identificación de una persona física, la
información de contacto, las funciones y tareas profesionales, la información
sobre la conducta y el rendimiento profesional y privado, y los datos
financieros. La Oficina del ORECE actúa como
responsable del tratamiento.
|
5.
|
Existen garantías adecuadas para proteger los datos personales e impedir
el acceso o la transferencia accidental o ilícita, tanto si se almacenan en
un entorno físico como en un entorno electrónico. Una vez tratados, los datos
se conservan de conformidad con las normas de retención de la Oficina del
ORECE aplicables, tal como se definen en los registros de protección de datos
basados en el artículo 31 del Reglamento. Al final del período de retención,
la información relacionada con el caso, incluidos los datos personales, se
suprimirá, se anonimizará o se transferirá a los archivos históricos.
|
6.
|
En este contexto, la Oficina del ORECE debe cumplir su obligación de
facilitar información a los interesados en relación con las actividades de
tratamiento mencionadas y respetar los derechos de los interesados, tal como
se establece en el Reglamento.
|
7.
|
Puede ser necesario conciliar los derechos de los interesados de
conformidad con el Reglamento con las necesidades de las actividades antes
mencionadas, respetando plenamente los derechos y libertades fundamentales de
otros interesados. A tal efecto, el artículo 25 del Reglamento prevé, en
condiciones estrictas, la posibilidad de limitar la aplicación de los
artículos 14 a 20, 35 y 36, así como del artículo 4 en la medida en que sus
disposiciones se correspondan con los derechos y obligaciones contemplados en
los artículos 14 a 20. En este caso, es necesario adoptar normas internas en
virtud de las cuales la Oficina del ORECE puede limitar dichos derechos de conformidad
con el mismo artículo del Reglamento.
|
8.
|
Este podría ser el caso, en particular, cuando se proporcione información
sobre el tratamiento de datos personales al interesado en la fase de
evaluación preliminar de una investigación administrativa o durante la propia
investigación, antes de una posible desestimación del asunto o de una fase
predisciplinaria. En determinadas circunstancias, el hecho de facilitar dicha
información podría afectar gravemente a la capacidad de la Oficina del ORECE
para realizar la investigación de manera eficaz, siempre que, por ejemplo,
exista el riesgo de que la persona afectada destruya las pruebas o interfiera
con los posibles testigos antes de que sean entrevistados. Además, la Oficina
del ORECE podría necesitar proteger sus derechos y libertades, así como los
derechos y libertades de otras personas implicadas.
|
9.
|
Podría ser necesario proteger la confidencialidad de un testigo o un
denunciante que haya solicitado no ser identificado. En tal caso, la Oficina
del ORECE podrá decidir limitar el acceso a la identidad, las declaraciones y
otros datos personales del denunciante y de otras personas implicadas, a fin
de proteger sus derechos y libertades.
|
10.
|
Podría ser necesario proteger la confidencialidad de un miembro del
personal que haya contactado con consejeros confidenciales de la Oficina del
ORECE en el contexto de un procedimiento de acoso. En tal caso, la Oficina
del ORECE podrá decidir limitar el acceso a la identidad, las declaraciones y
otros datos personales de la presunta víctima, el presunto acosador y de
otras personas implicadas, a fin de proteger sus derechos y libertades.
|
11.
|
La Oficina del ORECE debe aplicar las restricciones solo cuando respetan
la esencia de los derechos y las libertades fundamentales y son una medida
estrictamente necesaria y proporcionada en una sociedad democrática. La
Oficina del ORECE debe justificar los motivos de dichas limitaciones.
|
12.
|
Sobre la base del principio de responsabilidad, la Oficina del ORECE
deberá mantener un registro de la aplicación de las limitaciones.
|
13.
|
El artículo 25, apartado 6, del Reglamento (UE) n.o 2018/1725 obliga al responsable del
tratamiento a informar a los interesados de las razones principales que
justifican la limitación y de su derecho a presentar una reclamación ante el
SEPD.
|
14.
|
De conformidad con el artículo 25, apartado 8, del Reglamento, el SEPD
podrá aplazar, omitir o denegar la comunicación de la información que
justifica la limitación al interesado si dicha comunicación dejase sin efecto
la limitación impuesta. La Oficina del ORECE debe evaluar caso por caso si la
comunicación de la limitación anula su efecto.
|
15.
|
La Oficina del ORECE deberá levantar la limitación tan pronto como las
condiciones que la justifiquen ya no sean aplicables y evaluar dichas
condiciones de forma periódica.
|
16.
|
Para garantizar la máxima protección de los derechos y libertades de los
interesados y de conformidad con el artículo 44, apartado 1, del Reglamento,
deberá informarse al DPD a su debido tiempo de cualquier limitación que se
aplique y verificar el cumplimiento de la presente Decisión.
|
17.
|
La aplicación de las limitaciones mencionadas se entiende sin perjuicio
de la posible aplicación de las disposiciones del artículo 16, apartado 5, y
el artículo 17, apartado 4, del Reglamento, relativas, respectivamente, al
derecho de información cuando los datos no se han obtenido del interesado y
al derecho de acceso del interesado.
|
18.
|
Se consultó al Supervisor Europeo de Protección de Datos («SEPD») el 27
de mayo de 2019.
|
EJECUTIVA
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1 Objeto
y ámbito de aplicación
La presente Decisión establece
normas relativas a las condiciones en las que la Oficina del ORECE puede
limitar la aplicación de los artículos 14 a 20, 35 y 36, así como su artículo
4, sobre la base del artículo 25 del Reglamento.
Artículo 2 Limitaciones
1. De
conformidad con el artículo 25, apartado 1, del Reglamento, la Oficina del
ORECE podrá limitar la aplicación de los artículos 14 a 20, 35 y 36, así como
su artículo 4, en la medida en que sus disposiciones se correspondan con los
derechos y obligaciones previstos en los artículos 14 a 20, cuando:
a.
|
lleva a cabo investigaciones administrativas y procedimientos
predisciplinarios, disciplinarios y suspensivos, sobre la base del anexo IX
del Estatuto de los funcionarios de la Unión Europea y del Régimen aplicable
a otros agentes de la Unión Europea y de conformidad con la Decisión
MC/2012/3 del Comité de Gestión de la Oficina del Organismo de Reguladores
Europeos de las Comunicaciones Electrónicas (Oficina del ORECE), por la que
se establecen las disposiciones generales de aplicación relativas a la
realización de investigaciones administrativas y a los procedimientos
disciplinarios, lo que implica el tratamiento de información, incluidos los
datos personales. Las limitaciones pertinentes podrán basarse en el artículo
25, apartado 1, letras c), g) y h), del Reglamento;
|
b.
|
garantiza que el personal de la Oficina del ORECE pueda comunicar
confidencialmente los hechos si considera que existen irregularidades graves
de conformidad con la Decisión n.o MC/2018/11 del Comité de Gestión de la Oficina del Organismo de
Reguladores Europeos de las Comunicaciones Electrónicas (Oficina del ORECE)
por la que se establecen directrices sobre la denuncia de irregularidades en
la Oficina del ORECE. Las limitaciones pertinentes podrán basarse en el
artículo 25, apartado 1, letra h), del Reglamento;
|
c.
|
garantiza que el personal de la Oficina del ORECE pueda informar
confidencialmente a los consejeros confidenciales en el contexto de un
procedimiento de acoso de conformidad con la Decisión n.o MC/2016/15 del Comité de gestión de la
Oficina del Organismo de Reguladores Europeos de las Comunicaciones
Electrónicas (Oficina del ORECE) relativa a la política de protección de la
dignidad de la persona y de prevención del acoso psicológico y del acoso
sexual. Las limitaciones pertinentes podrán basarse en el artículo 25,
apartado 1, letra h), del Reglamento.
|
2. Las
categorías de datos incluyen los datos de identificación de una persona física,
la información de contacto, las funciones y tareas profesionales, la
información sobre la conducta y el rendimiento profesional y privado, y los
datos financieros.
3. Toda
restricción respetará la esencia de los derechos y las libertades fundamentales
y será una medida necesaria y proporcionada en una sociedad democrática.
4. Se llevará a
cabo una prueba de necesidad y proporcionalidad, caso por caso, antes de
aplicar limitaciones. Las limitaciones quedarán restringidas a lo estrictamente
necesario para alcanzar los objetivos fijados, teniendo en cuenta los riesgos
para los derechos y libertades de los interesados.
5. A efectos de
la rendición de cuentas, la Oficina del ORECE presentará un registro en el que
se describan las razones de las limitaciones aplicadas, entre las enumeradas en
el apartado 1, y el resultado de la prueba de necesidad y proporcionalidad.
Dichos registros formarán parte de un registro ad hoc, que se
pondrá a disposición del SEPD, previa solicitud. Se facilitará periódicamente
un informe sobre la aplicación del artículo 25 del Reglamento.
Artículo 3 Riesgos
para los derechos y libertades de los interesados
La evaluación de los riesgos para
los derechos y libertades de los interesados cuyos datos personales puedan
estar sujetos a limitaciones, así como su período de retención, se citan en el
registro de las actividades de tratamiento pertinentes de conformidad con el
artículo 31 del Reglamento y, si procede, en las evaluaciones de impacto
relativas a la protección de datos pertinentes basadas en el artículo 39 del
Reglamento.
Artículo 4 Plazos
de retención y garantías
La Oficina del ORECE aplicará
garantías para evitar los abusos o el acceso o la transferencia ilícitos de
datos personales que pueden estar sujetos a limitaciones. Estas garantías
incluirán medidas técnicas y organizativas y quedarán detalladas, en caso
necesario, en las decisiones, procedimientos y normas de ejecución internos de
la Oficina del ORECE. Estas garantías
incluirán:
a
|
una definición adecuada de las funciones, responsabilidades y etapas del
procedimiento;
|
b
|
en su caso, un entorno electrónico seguro que impida el acceso o la
transferencia ilícitas o accidentales de datos electrónicos a personas no
autorizadas;
|
c
|
en su caso, un almacenamiento y tratamiento seguros de los documentos en
soporte papel;
|
d
|
un seguimiento adecuado de las limitaciones y una revisión periódica, que
se llevará a cabo al menos cada seis meses. También deberá realizarse una
revisión cuando se produzcan cambios en los elementos esenciales del caso en
cuestión. Las limitaciones se levantarán tan pronto como dejen de ser
aplicables las circunstancias que las justifiquen.
|
Artículo 5 Información
y revisión por el delegado de protección de datos
1. El DPD de la
Oficina del ORECE será informado sin demora injustificada cuando los derechos
de los interesados queden limitados de conformidad con la presente Decisión y
se le facilitará el acceso al registro y a cualquier documento subyacente a los
elementos de hecho y de Derecho.
2. Dicho
delegado podrá solicitar que se revise la aplicación de la limitación. La
Oficina del ORECE informará por escrito a su DPD del resultado de la revisión
solicitada.
3. La
participación del DPD de la Oficina del ORECE en el procedimiento de
limitación, incluidos los intercambios de información, se documentará de forma
adecuada.
Artículo 6 Información
a los interesados sobre las limitaciones de sus derechos
1. La Oficina
del ORECE incluirá en los anuncios de protección de datos publicados en su
sitio web información general a los interesados sobre las posibles limitaciones
de los derechos de todos los interesados que se describen en el artículo 2,
apartado 1, de la presente Decisión. La información se referirá a qué derechos
pueden limitarse, a los motivos y a la duración potencial de la limitación.
2. Además, la
Oficina del ORECE informará individualmente a los interesados sobre las
limitaciones actuales o futuras de sus derechos, sin demoras indebidas y por
escrito, según se especifica en los artículos 7, 8 y 9 de la presente Decisión.
Artículo 7 Derecho
a la información que debe facilitarse a los interesados y comunicación de las
violaciones de la seguridad de los datos
1. Cuando, en el
contexto de las actividades mencionadas en la presente Decisión, la Oficina del
ORECE limite, total o parcialmente, los derechos mencionados en los artículos 14
a 16 y 35 del Reglamento, se informará a los interesados de las razones
principales en las que se basa la aplicación de la limitación, así como de su
derecho a presentar una reclamación ante el SEPD y de interponer un recurso
judicial ante el Tribunal de Justicia de la Unión Europea.
2. La Oficina
del ORECE podrá aplazar, omitir o denegar la comunicación de información sobre
las razones de la limitación a que se refiere el apartado 1 durante el tiempo
en que anule el efecto de la limitación. Esta evaluación se realizará caso por
caso.
Artículo 8 Derecho
de acceso, rectificación, supresión y limitación del tratamiento de los
interesados
1. Cuando, en el
contexto de las actividades mencionadas en la presente Decisión, la Oficina del
ORECE limite, total o parcialmente, el derecho de acceso a los datos
personales, el derecho de rectificación, supresión y limitación del tratamiento
a que se refieren, respectivamente, los artículos 17 a 20 del Reglamento, se
informará a los interesados, en la respuesta a su solicitud, de las razones
principales en las que se basa la aplicación de la limitación, así como de la
posibilidad de presentar una reclamación ante el SEPD y de interponer un
recurso judicial ante el Tribunal de Justicia de la Unión Europea.
2. La Oficina
del ORECE podrá aplazar, omitir o denegar la comunicación de información sobre
las razones de la limitación a que se refieren el apartado 1 si anula el efecto
de la limitación. Esta evaluación se realizará caso por caso.
Artículo 9 Confidencialidad
de las comunicaciones electrónicas
1. La Oficina
del ORECE, en circunstancias excepcionales y de conformidad con las
disposiciones y la justificación de la Directiva 2002/58/CE del Parlamento
Europeo y del Consejo (4),
puede limitar el derecho a la confidencialidad de las comunicaciones
electrónicas, tal como se contempla en el artículo 36 del Reglamento. En dicho
caso, la Oficina del ORECE detallará las circunstancias, los motivos, los
riesgos pertinentes y las garantías relacionadas en las normas internas
aplicables.
2. Cuando la
Oficina del ORECE limite el derecho a la confidencialidad de las comunicaciones
electrónicas, se informará a los interesados, en la respuesta a su solicitud,
de las razones principales en las que se basa la aplicación de la limitación,
así como de la posibilidad de presentar una reclamación ante el SEPD y de
interponer un recurso judicial ante el Tribunal de Justicia de la Unión
Europea.
3. La Oficina
del ORECE podrá aplazar, omitir o denegar la comunicación de información sobre
las razones de la limitación a que se refieren los apartados 1 y 2 durante el
tiempo en que anule el efecto de la limitación. Esta evaluación se realizará
caso por caso.
Artículo 10 Entrada
en vigor
La presente Decisión entrará en
vigor el día de su publicación en el Diario Oficial de la Unión Europea.
Hecho en RIGA, el 10 de
septiembre de 2019.