Por:
Carlos A. FERREYROS SOTO
Doctor
en Derecho
Université
de Montpellier I Francia.
cferreyros@hotmail.com
PROLOGO
Este seis de Julio se publicó
la Decisión (UE) 2020/969 de la Comisión. Esta Decisión establece las
normas y procedimientos para la aplicación del Reglamento (UE) 2018/1725 por
parte de la Comisión y las disposiciones de aplicación relativas al responsable
de la protección de datos («RPD») de la Comisión.
Mediante esta Decisión, la Comisión
pretende garantizar el correcto funcionamiento de la Oficina del Responsable de
la Protección de Datos («RPD»), asignándoles obligaciones
claras a los responsables del tratamiento de datos, en particular, respecto a
los interesados, en la aplicación del
Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, y por la que se
deroga la Decisión 2008/597/CE de la Comisión.
La presente Decisión establece asimismo las normas a
las que debe atenerse la Comisión, en relación con las funciones de
supervisión, investigación, auditoría o consulta del RPD, para informar a los
interesados del tratamiento de sus datos personales de conformidad con los
artículos 14, 15 y 16 del Reglamento (UE) 2018/1725.
--------------------------------------------------------------------------------------
DECISIÓN (UE) 2020/969 DE LA COMISIÓN
de 3 de julio de 2020
por el que se establecen disposiciones de aplicación
relativas al responsable de la protección de datos, a las restricciones de los
derechos de los interesados y a la aplicación del Reglamento (UE) 2018/1725 del
Parlamento Europeo y del Consejo, y por la que se deroga la Decisión
2008/597/CE de la Comisión
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión
Europea, y en particular su artículo 249, apartado 1,
Visto el Reglamento (UE) 2018/1725 del Parlamento
Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales por
las instituciones, órganos y organismos de la Unión, y a la libre circulación
de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la
Decisión 1247/2002/CE (1), y en particular
su artículo 45, apartado 3,
Considerando que:
(1) Con el
fin de garantizar el correcto funcionamiento de la oficina del responsable de
la protección de datos («RPD») de la Comisión, es necesario determinar
detalladamente las tareas, funciones y competencias del RPD.
(2) El
Reglamento (UE) 2018/1725 asigna obligaciones claras a los responsables del
tratamiento de datos, en particular con respecto a los interesados. Con el
objeto de garantizar que la Comisión, en su calidad de responsable del
tratamiento, actúe de manera uniforme y transparente en relación con sus
responsabilidades, deben establecerse normas sobre la manera de determinar
quién, en los servicios de la Comisión, es responsable de una operación de
tratamiento que se lleva a cabo en nombre de la Comisión. A este respecto,
conviene introducir el concepto de responsable delegado con el fin de delimitar
con precisión las responsabilidades de los órganos de la Comisión, en
particular en lo que se refiere a las decisiones individuales relativas a los
derechos de los interesados. Además, es conveniente introducir el concepto de
responsable operativo, designado, bajo la responsabilidad del responsable
delegado, para garantizar la conformidad en la práctica y para tramitar las
solicitudes de los interesados en relación con una operación de tratamiento. El
nombramiento de un responsable operativo no impide la utilización en la
práctica de un punto de contacto, por ejemplo, en forma de buzón funcional para
las solicitudes de los interesados.
(3) En
algunos casos, varios servicios de la Comisión pueden llevar a cabo
conjuntamente una operación de tratamiento en cumplimiento de su misión. En
tales casos, deben garantizar la existencia de acuerdos internos para
determinar de manera transparente sus responsabilidades respectivas en virtud
del Reglamento (UE) 2018/1725, en particular las responsabilidades respecto de
los interesados, la notificación al Supervisor Europeo de Protección de Datos
(en lo sucesivo, «SEPD») y la llevanza de registros.
(4) A fin de
facilitar el ejercicio de las responsabilidades de los responsables delegados,
cada servicio de la Comisión debe nombrar un coordinador de la protección de
datos («CPD»). El coordinador de la protección de datos debe participar en la
red de coordinadores de la protección de datos de la Comisión, a fin de
garantizar una aplicación e interpretación coherentes del Reglamento (UE)
2018/1725 en la Comisión y debatir asuntos de interés común.
(5) Con miras
al desempeño de su tarea de asignar responsabilidades con arreglo al artículo
45, apartado 1, letra b), del Reglamento (UE) 2018/1725, el RPD debe formular
orientaciones adicionales sobre las funciones del CPD.
(6) La
Comisión trata varias categorías de datos personales a los efectos de las
actividades de supervisión, investigación, auditoría y consulta del RPD. En
particular, la Comisión trata datos de identificación, datos de contacto, datos
profesionales y datos de implicación en el asunto. Estos datos se conservan
durante cinco años desde la fecha del cierre de las actividades de conformidad
con la lista común de conservación de la Comisión (2).
(7) En
determinadas circunstancias, es necesario conciliar los derechos de los
interesados en virtud del Reglamento (UE) 2018/1725 con la necesidad que la
Comisión tiene de que el RPD lleve a cabo sus tareas de supervisión,
investigación, auditoría o consulta, así como la necesidad de confidencialidad
de los intercambios de información con otros servicios de la Comisión, y con el
pleno respeto de los derechos y libertades fundamentales de otros interesados.
A tal efecto, el artículo 25, apartado 1, del Reglamento (UE) 2018/1725 ofrece
a la Comisión la posibilidad de restringir la aplicación de los artículos 14 a
17, 19, 20 y 35, así como el principio de transparencia establecido en el
artículo 4, apartado 1, letra a), en la medida en que sus disposiciones se correspondan
con los derechos y obligaciones previstos en los artículos 14 a 17, 19 y 20 de
dicho Reglamento.
(8) A fin de
garantizar la confidencialidad y la eficacia de las tareas de supervisión,
investigación, auditoría o consulta del RPD, respetando al mismo tiempo las
normas de protección de los datos personales en virtud del Reglamento (UE)
2018/1725, es necesario adoptar normas internas con arreglo a las cuales el RPD
pueda restringir los derechos de los interesados de conformidad con el artículo
25 del Reglamento (UE) 2018/1725.
(9) Las
normas internas deberán aplicarse a todas las operaciones de tratamiento de
datos realizadas por la Comisión en el ejercicio de las funciones de
supervisión, investigación, auditoría o consulta del RPD. Deberán aplicarse a
las operaciones de tratamiento realizadas antes de la apertura de una
investigación o auditoría, en el transcurso de una investigación o auditoría y
durante el seguimiento de su resultado. Estas normas también deberán aplicarse
a las operaciones de tratamiento que formen parte de las tareas relacionadas
con la función de investigación o auditoría del RPD, tales como los
procedimientos de reclamación tramitados por el RPD. Las normas también deberán
aplicarse a la supervisión del RPD y a las consultas del RPD, cuando el RPD
proporcione asistencia y cooperación a los servicios de la Comisión al margen
de sus investigaciones y auditorías administrativas.
(10) A fin de
cumplir lo dispuesto en los artículos 14, 15 y 16 del Reglamento (UE)
2018/1725, la Comisión debe informar a todos los interesados de las tareas de
supervisión, investigación, auditoría o consulta del RPD que conlleven el
tratamiento de sus datos personales, así como de sus derechos con arreglo al
Reglamento (UE) 2018/1725. La Comisión debe informar a estas personas de manera
transparente y coherente, en forma de anuncios de protección de datos
publicados en el sitio web de la Comisión, así como informar a cada uno de los
interesados por una actividad de supervisión, investigación, auditoría o
consulta del RPD.
(11) En
determinadas circunstancias, la Comisión puede tener que restringir el
suministro de información a los interesados y el ejercicio de otros derechos de
los interesados. Puede hacerlo para proteger las funciones de supervisión,
investigación, auditoría o consulta del RPD, las investigaciones y los
procedimientos conexos de otros servicios de la Comisión, las herramientas y
métodos de las investigaciones y las auditorías del RPD, así como los derechos
de otras personas relacionados con las tareas del RPD.
(12) En algunos
casos, proporcionar información específica a los interesados o revelar la
existencia de una actividad de supervisión, investigación, auditoría o consulta
del RPD podría imposibilitar u obstaculizar gravemente el objetivo de la
operación de tratamiento y la capacidad del RPD para llevar a cabo dicha
actividad.
(13) Además, la
Comisión debe proteger la identidad de los informadores, que no deben sufrir
repercusiones negativas como consecuencia de su cooperación con el RPD.
(14) Por estas
razones, la Comisión puede tener que aplicar los motivos de restricción
contemplados en el artículo 25, apartado 1, letras c), g) y h), del Reglamento
(UE) 2018/1725 a las operaciones de tratamiento de datos realizadas en el marco
de las funciones de supervisión, investigación, auditoría o consulta del RPD
establecidas en el artículo 45 de dicho Reglamento.
(15) Además,
con el fin de mantener una cooperación eficaz, la Comisión puede tener que
aplicar restricciones a los derechos de los interesados para proteger la
información que contenga datos personales procedentes de otros servicios de la
Comisión, instituciones u organismos de la Unión. A tal efecto, el RPD debe
consultar a estos servicios, instituciones u organismos sobre los motivos
pertinentes y la necesidad y proporcionalidad de las restricciones.
(16) En el
marco de sus tareas de supervisión, investigación, auditoría o consulta, el RPD
intercambia información, incluidos datos personales, con otros servicios de la
Comisión. Por consiguiente, todos los servicios de la Comisión que tratan datos
personales, que son tratados a su vez por el RPD en el desempeño de sus
funciones, deben aplicar las normas establecidas en la presente Decisión con el
fin de proteger las operaciones de tratamiento realizadas por el RPD. En tales
circunstancias, los servicios de la Comisión de que se trate deben, por tanto,
consultar al RPD sobre los motivos pertinentes de las restricciones y su
necesidad y proporcionalidad, a fin de garantizar su aplicación coherente.
(17) El RPD y,
cuando proceda, los demás servicios de la Comisión deben tratar todas las
restricciones de manera transparente y registrar cada aplicación de
restricciones en el sistema de registro correspondiente.
(18) De
conformidad con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, los
responsables del tratamiento podrán aplazar o denegar la comunicación de
información sobre los motivos de la aplicación de una restricción al interesado
cuando dicha comunicación deje sin efecto la restricción impuesta. En
particular, si se restringen los derechos contemplados en los artículos 16 y
35, la notificación de dicha restricción podría comprometer la finalidad de la
restricción. A fin de garantizar que el derecho del interesado a ser informado
de conformidad con los artículos 16 y 35 del Reglamento (UE) 2018/1725 se
restrinja únicamente mientras subsistan los motivos del aplazamiento, la
Comisión debe revisar periódicamente su posición.
(19) Cuando se
aplique una restricción de otros derechos de los interesados, el RPD evaluará
caso por caso si la comunicación de la restricción pondría en peligro su
finalidad.
(20) El RPD
debe efectuar una revisión independiente de la aplicación de las restricciones
basadas en la presente Decisión por otros servicios de la Comisión, con el fin
de garantizar el cumplimiento de la presente Decisión.
(21) Cualquier
restricción aplicada con arreglo a la presente Decisión debe ser necesaria y
proporcionada, teniendo en cuenta los riesgos para los derechos y libertades de
los interesados.
(22) El
Supervisor Europeo de Protección de Datos fue informado y consultado de
conformidad con lo dispuesto en el artículo 41, apartados 1 y 2, del Reglamento
(UE) 2018/1725 y emitió su dictamen el 16 de septiembre de 2019.
(23) La
Decisión 2008/597/CE de la Comisión (3) establece
disposiciones de aplicación relativas al responsable de la protección de datos
con arreglo al Reglamento (CE) n.o 45/2001 del
Parlamento Europeo y del Consejo (4). El Reglamento
(UE) 2018/1725 derogó el Reglamento (CE) n.o 45/2001 con
efectos a partir del 11 de diciembre de 2019. A fin de garantizar que solo se
aplique un conjunto de disposiciones de aplicación al responsable de la
protección de datos, debe derogarse la Decisión 2008/597/CE.
HA ADOPTADO LA PRESENTE DECISIÓN:
CAPÍTULO 1
DISPOSICIONES GENERALES
Artículo 1
Objeto y ámbito de aplicación
1. La presente Decisión establece
normas y procedimientos para la aplicación del Reglamento (UE) 2018/1725 por
parte de la Comisión y las disposiciones de aplicación relativas al responsable
de la protección de datos («RPD») de la Comisión.
2. La presente Decisión establece
asimismo las normas a las que debe atenerse la Comisión, en relación con las
funciones de supervisión, investigación, auditoría o consulta del RPD, para
informar a los interesados del tratamiento de sus datos personales de conformidad
con los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725.
3. La presente Decisión establece
también las condiciones en las que la Comisión, en relación con las tareas de
supervisión, investigación, auditoría o consulta del RPD, podrá limitar la aplicación
de los artículos 4, 14 a 17, 19, 20 y 35 del Reglamento (UE) 2018/1725, de
conformidad con el artículo 25, apartado 1, letras c), g) y h).
4. La presente Decisión se aplica al
tratamiento de datos personales por la Comisión a efectos de o en relación con
las tareas del RPD a que se refiere el artículo 45 del Reglamento (UE)
2018/1725, en particular las funciones de supervisión, investigación, auditoría
y consulta del RPD.
Artículo 2
Responsabilidad del tratamiento
A efectos de la presente Decisión, se considerará que
la Comisión es el responsable del tratamiento en el sentido del artículo 3,
punto 8, del Reglamento (UE) 2018/1725.
Artículo 3
Definiciones
A efectos de la presente Decisión, se entenderá por:
1) «responsable de la
protección de datos» (RPD): la persona designada por la Comisión de conformidad
con el artículo 43 del Reglamento (UE) 2018/1725;
2) «tareas del RPD»: las
tareas del RPD a que se refiere el artículo 45 del Reglamento (UE) 2018/1725,
en particular las funciones de supervisión, investigación, auditoría y consulta
del RPD;
3) «coordinador de la
protección de datos» (CPD): el miembro del personal nombrado por una dirección
general o un servicio de la Comisión para asesorar y asistir a esa dirección
general o servicio en todos los aspectos de la protección de datos personales;
4) «responsable delegado del
tratamiento»: el jefe de la dirección general, servicio o gabinete que realice
un tratamiento por cuenta de la Comisión en cumplimiento de la misión de dicha
dirección general, servicio o gabinete;
5) «responsable operativo del
tratamiento»: el miembro del personal de la Comisión, de nivel directivo medio
o superior, designado por el responsable del tratamiento para garantizar la
llevanza de un registro de la operación de tratamiento y para ser el punto de
contacto principal de los interesados en relación con dicha operación de
tratamiento;
6) «acuerdo interno»: todo
acuerdo entre dos o más direcciones generales o servicios para definir sus
responsabilidades respectivas y coordinar la llevanza de un registro de una
operación de tratamiento que realicen conjuntamente o en la cual una o más direcciones
generales o servicios realicen parte de la operación de tratamiento del
responsable delegado del tratamiento;
7) «informador»: la persona
física que señala al RPD una presunta vulneración de las disposiciones del
Reglamento (UE) 2018/1725, o solicita que el RPD investigue cuestiones e
incidentes directamente relacionados con el ejercicio de sus funciones, que
dicha persona pone en su conocimiento.
CAPÍTULO 2
RESPONSABLE DE LA PROTECCIÓN DE DATOS Y COORDINADOR DE
LA PROTECCIÓN DE DATOS
Artículo 4
Nombramiento y cargo
El RPD será seleccionado entre el personal de la
Comisión en función de sus cualidades profesionales, en particular un sólido
conocimiento de los servicios de la Comisión, su estructura y sus normas y
procedimientos administrativos.
Artículo 5
Cometido y responsabilidades
1. El RPD contribuirá a crear en la
Comisión una cultura de protección de los datos personales basada en la
evaluación de riesgos y la rendición de cuentas.
2. El RPD supervisará la aplicación
del Reglamento (UE) 2018/1725 en la Comisión mediante, entre otras cosas, el
establecimiento y la ejecución anuales de un programa de trabajo en materia de
inspecciones y auditorías.
3. El RPD organizará y presidirá
periódicamente reuniones de los CPD.
4. El RPD conservará los registros de
las actividades de tratamiento de la Comisión en un registro central accesible
al público.
El RPD llevará también un registro interno de la
Comisión de las violaciones de datos personales a efectos del artículo 3, punto
16, del Reglamento (UE) 2018/1725.
5. En el ejercicio de sus funciones,
el RPD cooperará con los responsables de la protección de datos designados por
las demás instituciones y organismos de la Unión.
6. Se considerará que el RPD es el
responsable delegado del tratamiento a efectos de las decisiones individuales
relativas a los derechos de los interesados con arreglo al Reglamento (UE)
2018/1725 en relación con las operaciones de tratamiento del RPD.
Artículo 6
Competencias
En el cumplimiento de su cometido, el RPD:
a) cuando sea necesario para
el desempeño de sus funciones, tendrá acceso a los datos objeto de las
operaciones de tratamiento y a todas las oficinas, instalaciones de tratamiento
y soportes de datos;
b) podrá solicitar dictámenes al
Servicio Jurídico de la Comisión;
c) podrá, en caso de conflicto
entre el RPD y el responsable delegado del tratamiento sobre la interpretación
o aplicación del Reglamento (UE) 2018/1725, informar al responsable delegado
del tratamiento competente y al secretario general;
d) podrá asignar ficheros a las
direcciones generales o servicios de la Comisión de que se trate para que
lleven a cabo un seguimiento adecuado;
e) podrá llevar a cabo
investigaciones, previa solicitud o por iniciativa propia, de asuntos e
incidentes directamente relacionados con el ejercicio de sus funciones de
conformidad con el procedimiento establecido en el artículo 11;
f) podrá, al formular recomendaciones y
prestar asesoramiento:
i) pedir al responsable
delegado del tratamiento o al encargado del tratamiento que atiendan la
solicitud de un interesado en ejercicio de sus derechos en virtud del
Reglamento (UE) 2018/1725;
ii) formular advertencias al
responsable delegado del tratamiento o al encargado del tratamiento cuando una
operación de tratamiento de datos infrinja las disposiciones del Reglamento
(UE) 2018/1725 y pedirles que aseguren su conformidad, cuando proceda, de una
determinada manera y dentro de un plazo dado;
iii) pedir al responsable delegado del
tratamiento o al encargado del tratamiento que suspenda los flujos de datos
hacia un destinatario en un Estado miembro, un tercer país o una organización
internacional;
iv) solicitar al responsable
delegado del tratamiento o al encargado del tratamiento que le notifiquen, en
un plazo determinado, el curso dado a su recomendación o consejo;
g) podrá llamar la atención
del Secretario General sobre cualquier incumplimiento, por parte de un
responsable delegado del tratamiento, un responsable operativo del tratamiento
o un encargado del tratamiento, de las medidas adoptadas con arreglo al artículo
6, letra f);
h) será responsable de las
decisiones iniciales sobre las solicitudes de acceso a los documentos que obren
en su poder en virtud del Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo (5).
Artículo 7
Coordinadores de la protección de datos
1. El responsable delegado del tratamiento
designará un CPD y, en su caso, uno o más CPD adjuntos en la dirección general
o servicio bajo su responsabilidad. Por razones de coherencia o eficiencia, dos
o más responsables delegados del tratamiento podrán decidir nombrar un CPD o un
CPD adjunto común, o bien compartir los servicios de un CPD o un CPD adjunto ya
designado. Los responsables delegados del tratamiento interesados consignarán
su acuerdo por escrito.
2. El CPD designado por una dirección
general o servicio también será competente para el gabinete responsable de esa
dirección general o servicio. El CPD designado para la Secretaría General será
competente tanto para el gabinete del Presidente como para los gabinetes para
los que la Secretaría General es el único servicio de apoyo. Cuando un gabinete
sea responsable de varias direcciones generales o servicios, los responsables
delegados del tratamiento decidirán cuál de sus respectivos CPD será competente
para dicho gabinete.
3. Se informará al RPD, al personal
de la dirección general o servicio y al gabinete correspondiente de la
designación de todo nuevo CPD.
Los CPD de reciente nombramiento recibirán formación
con el objeto de adquirir las competencias necesarias para el ejercicio de sus
funciones en el plazo de seis meses desde la fecha de su designación. Los CPD
que hayan ocupado previamente un puesto de CPD en otra dirección general o
servicio o que hayan sido miembros del personal del RPD en los dos años
anteriores a su nombramiento como CPD estarán exentos de dicha obligación de
formación.
4. Los responsables delegados del
tratamiento adoptarán las disposiciones apropiadas para garantizar que el CPD
participe debida y oportunamente en todos los asuntos que atañan a la
protección de datos en su dirección general o servicio y que los dictámenes que
emita se pongan, a instancia suya, rápidamente en su conocimiento.
5. Los CPD se elegirán sobre la base
de sus conocimientos y experiencia en el funcionamiento de la dirección general
o servicio correspondiente, la motivación para el ejercicio de la función, las
competencias relacionadas con la protección de datos, el conocimiento de los
principios de los sistemas de información y la capacidad de comunicación.
6. La función de CPD podrá combinarse
con otras funciones. El responsable delegado del tratamiento velará por que
dichas funciones sean compatibles con la función de CPD.
7. La función de CPD formará parte de
la descripción del puesto de trabajo de cada miembro del personal designado
para ese cargo. En el informe de evaluación anual se hará referencia a sus
responsabilidades y resultados.
8. El CPD actuará como punto de
contacto entre el responsable delegado del tratamiento, el responsable
operativo del tratamiento y el responsable del tratamiento, y el RPD.
9. Los CPD tendrán derecho a obtener
cualquier información de su dirección general o servicio en la medida en que
ello sea necesario para el desempeño de sus funciones. Los CPD solo tendrán
acceso a los datos personales cuando sean necesarios para el desempeño de sus
funciones.
10. El CPD llevará registros y
facilitará estadísticas anonimizadas de las solicitudes de los interesados a la
dirección general, servicio o gabinete, especificando el número de solicitudes
y el número de solicitudes denegadas total o parcialmente. El RPD especificará
las categorías de solicitudes de las que se llevarán estadísticas. El RPD podrá
especificar otros detalles que deban facilitarse.
El CPD mantendrá estadísticas anonimizadas de las
violaciones de datos personales gestionadas por la dirección general, servicio
o gabinete, especificando el número total de violaciones de datos personales,
el número de violaciones de datos personales notificadas al SEPD y el número de
violaciones de datos personales comunicadas a los interesados.
11. El CPD hará una labor de
sensibilización en materia de protección de datos en su dirección general o
servicio y asesorará y asistirá a los responsables delegados del tratamiento y
a los responsables operativos del tratamiento en el cumplimiento de sus
obligaciones, especialmente en lo que se refiere a:
a) la aplicación de los principios
generales del Reglamento (UE) 2018/1725;
b) la documentación de las
operaciones de tratamiento;
c) la presentación al RPD de
los registros de las operaciones de tratamiento de los responsables delegados
del tratamiento de conformidad con el artículo 10;
d) la preparación de declaraciones de
confidencialidad.
12. Los CPD participarán en las
reuniones y, cuando sea necesario, en los grupos de trabajo de los CPD.
13. El RPD formulará orientaciones
adicionales sobre las responsabilidades y las funciones del CPD.
CAPÍTULO 3
RESPONSABLES DEL TRATAMIENTO
Artículo 8
Responsables delegados del tratamiento y responsables
operativos del tratamiento
1. Los responsables delegados del
tratamiento actuarán en nombre de la Comisión como responsables del tratamiento
a efectos de la aplicación del Reglamento (UE) 2018/1725.
2. Los responsables delegados del
tratamiento y los responsables operativos del tratamiento:
a) podrán consultar al RPD, a
través del CPD, sobre la conformidad de las operaciones de tratamiento, en
particular en caso de duda;
b) informarán al RPD, a través
del CPD, sobre la tramitación de cualquier solicitud recibida de un interesado
en ejercicio de sus derechos.
3. El responsable delegado del
tratamiento:
a) designará un responsable
operativo del tratamiento que le asista en la garantía del cumplimiento del
Reglamento (UE) 2018/1725, en particular con respecto a los interesados;
b) garantizará que existan
acuerdos internos con otras direcciones generales o servicios, cuando el
responsable delegado del tratamiento realice operaciones de tratamiento
conjuntas con esas direcciones generales o servicios o cuando dichas
direcciones generales o servicios realicen una parte de la operación de
tratamiento del responsable delegado del tratamiento.
Los acuerdos a que se refiere el párrafo primero de la
letra b) determinarán sus responsabilidades respectivas en el cumplimiento de
sus obligaciones en materia de protección de datos. En particular, indicarán el
responsable delegado del tratamiento que determinará los medios y fines de la
operación de tratamiento, así como el responsable operativo de la operación de
tratamiento y, en su caso, las personas o entidades que asistirán al
responsable operativo del tratamiento, entre otras cosas, con información en
caso de violación de datos o adecuación de los derechos de los interesados.
4. El responsable operativo del
tratamiento:
a) recibirá y tramitará todas las
solicitudes de los interesados;
b) notificará al Supervisor
Europeo de Protección de Datos (SEPD) las violaciones de datos personales;
c) informará al CPD y al RPD
de las violaciones de datos personales, y notificará al interesado, en su caso;
d) garantizará que el CPD tenga
conocimiento de todos los asuntos relacionados con la protección de datos, en
particular de las solicitudes de los interesados;
e) desempeñará cualquier otra
función dentro del ámbito de aplicación de la presente Decisión a petición del
responsable delegado del tratamiento.
CAPÍTULO 4
OTRAS OBLIGACIONES Y PROCEDIMIENTOS
Artículo 9
Información
El responsable delegado del tratamiento, en
cooperación con el CPD, informará al RPD cuando consulte o informe al SEPD de
conformidad con el Reglamento (UE) 2018/1725, y en particular con arreglo a sus
artículos 40 y 41. Además, el responsable delegado, del tratamiento el
responsable operativo del tratamiento o el CPD informarán al RPD de cualquier
otra interacción directa con el SEPD relacionada con la aplicación del
Reglamento (UE) 2018/1725.
Artículo 10
Registro
1. El RPD velará por que el registro
de las operaciones de tratamiento de la Comisión sea accesible a través del
sitio web del RPD en la intranet de la Comisión y a través de la página del RPD
en el sitio web Europa.
2. Los responsables delegados del tratamiento
notificarán los registros de sus operaciones de tratamiento, a través de su
CPD, al RPD utilizando el sistema de notificación en línea de la Comisión,
accesible a través del sitio web del RPD en la intranet de la Comisión.
Artículo 11
Procedimiento de investigación
1. Las solicitudes de investigación a
que se refiere el artículo 6, letra e), se dirigirán al RPD por escrito. En el
plazo de 15 días hábiles desde su recepción, el RPD enviará un acuse de recibo
a la persona que solicitó la investigación y comprobará si la tramitación de la
solicitud debe ser confidencial para garantizar la confidencialidad de la
propia solicitud, a menos que los interesados hayan dado su consentimiento
inequívoco para que la solicitud se tramite de otro modo. En caso de abuso
manifiesto del derecho a solicitar una investigación, el RPD no estará obligado
a informar al solicitante.
2. El RPD solicitará una declaración
escrita en este sentido al responsable delegado del tratamiento que asuma la
responsabilidad de la operación de tratamiento de datos en cuestión. El
responsable delegado del tratamiento facilitará su respuesta al RPD en un plazo
de 15 días hábiles. El RPD podrá solicitar información complementaria al
responsable delegado del tratamiento, al encargado del tratamiento o a otras
partes en el plazo de 15 días hábiles.
3. El RPD informará a la persona que
solicitó la investigación a más tardar tres meses después de la fecha de
recepción de la solicitud. Este plazo podrá suspenderse hasta que el RPD haya
obtenido toda la información necesaria que haya pedido.
4. Nadie deberá sufrir perjuicio
alguno por haberse puesto en conocimiento del RPD una infracción de las
disposiciones del Reglamento (UE) 2018/1725.
Artículo 12
Administración y gestión
1. El RPD estará adscrito
administrativamente a la Secretaría General. En este contexto, el RPD
participará en la preparación del plan de gestión anual y del proyecto de
presupuesto preliminar de la Secretaría General.
2. El RPD será el evaluador del
personal de la Oficina de Protección de Datos. El vicesecretario general será
el validador. El RPD participará en la coordinación de la gestión de la
Secretaría General, si procede.
CAPÍTULO 5
RESTRICCIÓN DE LOS DERECHOS DE LOS INTERESADOS
Artículo 13
Excepciones y restricciones aplicables
1. Cuando la Comisión ejerza sus
funciones con respecto a los derechos de los interesados de conformidad con el
Reglamento (UE) 2018/1725, examinará si es de aplicación alguna de las
excepciones establecidas en dicho Reglamento.
2. Sin perjuicio de lo dispuesto en
los artículos 14 a 18 de la presente Decisión, la Comisión podrá restringir la
aplicación de los artículos 14 a 17, 19, 20 y 35 del Reglamento (UE) 2018/1725,
así como el principio de transparencia establecido en el artículo 4, apartado
1, letra a), de dicho Reglamento, en la medida en que sus disposiciones se
correspondan con los derechos y obligaciones previstos en los artículos 14 a
17, 19 y 20 del Reglamento (UE) 2018/1725, cuando el ejercicio de dichos
derechos y obligaciones pueda comprometer la finalidad de las tareas del RPD,
por ejemplo mediante la revelación de sus instrumentos y métodos de
investigación o de auditoría, o afectar negativamente a los derechos y
libertades de otros interesados de conformidad con el artículo 25, apartado 1,
letras c), g) y h).
3. Sin perjuicio de lo dispuesto en
los artículos 14 a 18 de la presente Decisión, la Comisión podrá restringir los
derechos y obligaciones a que se refiere el apartado 2 del presente artículo en
relación con los datos personales obtenidos por el RPD de servicios de la
Comisión u otras instituciones y organismos de la Unión. La Comisión podrá
hacerlo cuando el ejercicio de esos derechos y obligaciones pueda ser
restringido por dichos servicios de la Comisión, instituciones u organismos de
la Unión sobre la base de otros actos previstos en el artículo 25 del
Reglamento (UE) 2018/1725, de conformidad con el capítulo IX de dicho
Reglamento o de conformidad con el Reglamento (UE) 2016/794 del Parlamento
Europeo y del Consejo (6) o el
Reglamento (UE) 2017/1939 del Consejo (7).
Antes de aplicar restricciones en las circunstancias a
que se refiere el párrafo primero, la Comisión consultará a las instituciones u
organismos de la Unión pertinentes, a menos que resulte evidente para la
Comisión que la aplicación de una restricción está prevista en uno de los actos
a que se hace referencia en dicho párrafo.
4. Toda restricción del ejercicio de
derechos y obligaciones a que se refiere el apartado 2 del presente artículo
será necesaria y proporcionada, teniendo en cuenta los riesgos para los
derechos y libertades de los interesados.
Artículo 14
Suministro de información a los interesados
1. La Comisión publicará en su sitio
web anuncios de protección de datos que informen a todos los interesados sobre
las tareas del RPD relacionadas con el tratamiento de sus datos personales.
2. La Comisión informará
individualmente, en un formato apropiado, a cualquier persona física que
considere persona interesada por las tareas del RPD o informador.
3. Cuando la Comisión restrinja,
total o parcialmente, el suministro de información a los interesados a que se
refiere el apartado 2, consignará y registrará los motivos de la restricción,
de conformidad con el artículo 17.
Artículo 15
Derecho de acceso de los interesados, derecho de
supresión y derecho a la limitación del tratamiento
1. Cuando la Comisión restrinja,
total o parcialmente, el derecho de acceso a los datos personales por parte de
los interesados, el derecho de supresión o el derecho a la limitación del
tratamiento a que se refieren los artículos 17, 19 y 20, respectivamente, del
Reglamento (UE) 2018/1725, informará al interesado, en su respuesta a la
solicitud de acceso, supresión o limitación del tratamiento de la restricción
aplicada y de los motivos principales para ello, así como de la posibilidad de
presentar una reclamación ante el Supervisor Europeo de Protección de Datos o
de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
2. La comunicación de información
sobre los motivos de la restricción a que se refiere el apartado 1 podrá
aplazarse, omitirse o denegarse en la medida en que ponga en peligro el
objetivo de la restricción.
3. La Comisión consignará y
registrará los motivos de la restricción conforme a lo dispuesto en el artículo
17.
4. Cuando el derecho de acceso se
restrinja total o parcialmente, el interesado podrá ejercer su derecho de
acceso a través del SEPD, de conformidad con el artículo 25, apartados 6, 7 y
8, del Reglamento (UE) 2018/1725.
Artículo 16
Comunicación de una violación de la seguridad de los
datos personales al interesado
Cuando la Comisión restrinja la comunicación de una
violación de la seguridad de los datos personales al interesado a que se
refiere el artículo 35 del Reglamento (UE) 2018/1725, deberá consignar y
registrar los motivos de la restricción conforme a lo dispuesto en el artículo
17 de la presente Decisión.
Artículo 17
Consignación y registro de las restricciones
1. La Comisión consignará los motivos
de cualquier restricción aplicada con arreglo a la presente Decisión, incluida
una evaluación caso por caso de la necesidad y proporcionalidad de la
restricción, teniendo en cuenta los elementos pertinentes del artículo 25,
apartado 2, del Reglamento (UE) 2018/1725.
Para ello, el registro indicará de qué manera el
ejercicio del derecho comprometería la finalidad de las tareas del RPD en
virtud de la presente Decisión o de las restricciones aplicadas de conformidad
con el artículo 13, apartados 2 o 3, o afectaría negativamente a los derechos y
libertades de otros interesados.
2. Se registrarán la consignación y,
en su caso, los documentos que contengan elementos subyacentes de hecho y de
derecho. Se pondrán a disposición del SEPD, previa petición.
Artículo 18
Duración de las restricciones
1. Las restricciones contempladas en
los artículos 14, 15 y 16 seguirán siendo aplicables mientras lo sigan siendo
los motivos que las justifiquen.
2. Cuando los motivos de restricción
a que se refieren los artículos 14 o 16 dejen de ser aplicables, la Comisión
levantará la restricción y comunicará los motivos de la restricción al
interesado. Al mismo tiempo, la Comisión informará al interesado de la
posibilidad de presentar una reclamación ante el SEPD en cualquier momento o de
interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
3. La Comisión revisará la aplicación
de las restricciones contempladas en los artículos 14 y 16 cada seis meses
desde la fecha de su adopción y, en cualquier caso, al cierre de la actividad
pertinente del RPD. Después, la Comisión supervisará anualmente la necesidad de
mantener cualquier restricción o aplazamiento.
Artículo 19
Revisión por parte del responsable de la protección de
datos
1. Cuando otros servicios de la
Comisión concluyan que los derechos de un interesado deben restringirse en
virtud de la presente Decisión, informarán al RPD. También facilitarán al RPD
acceso al registro y a cualquier documento que contenga elementos subyacentes
de hecho y de derecho.
2. El RPD podrá solicitar que el
responsable delegado del tratamiento del servicio de la Comisión en cuestión
revise la aplicación de las restricciones. El responsable delegado del
tratamiento del servicio de la Comisión de que se trate informará por escrito
al RPD del resultado de la revisión solicitada.
CAPÍTULO 6
DISPOSICIONES FINALES
Artículo 20
Derogación
Queda derogada la Decisión 2008/597/CE.
Artículo 21
Entrada en vigor
La presente Decisión entrará en vigor el vigésimo día
siguiente al de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 3 de julio de 2020.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(2) SEC
(2019) 900/2.
(3) Decisión
2008/597/CE de la Comisión, de 3 de junio de 2008, por la que se adoptan normas
de desarrollo relativas al Responsable de la Protección de Datos de conformidad
con el artículo 24, apartado 8, del Reglamento (CE) n.o 45/2001
relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales por las instituciones y los organismos
comunitarios y a la libre circulación de estos datos (DO L 193 de 22.7.2008, p. 7).
(4) Reglamento
(CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de
18 de diciembre de 2000, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales por las instituciones y los
organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).
(5) Reglamento
(CE) n.o 1049/2001 del Parlamento Europeo y del Consejo,
de 30 de mayo de 2001, relativo al acceso del público a los documentos del
Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
(6) Reglamento
(UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016,
relativo a la Agencia de la Unión Europea para la Cooperación Policial
(Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI,
2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).
(7) Reglamento
(UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece
una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1).
No hay comentarios:
Publicar un comentario