Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Université de Montpellier I Francia.
cferreyros@hotmail.com
PROLOGO
Esta Decisión
establece las normas relativas a las condiciones en las que Agencia de la Unión Europea para la Cooperación Policial,
EUROPOL, puede limitar la aplicación de los artículos
14 a 20 (Capítulo III Derechos del Interesado); 35 (Comunicación de una violación de la seguridad de los datos
personales al interesado y 36 (Confidencialidad de las comunicaciones electrónicas),
así como su artículo 4 (Principios
relativos al tratamiento de datos personales),
sobre la base del artículo 25 (Limitaciones)
del Reglamento (UE) 2018/1725[1]
Esta Decisión
pudiera incidir sobre las Políticas y Legislación de instituciones nacionales y
regionales similares existentes en los países de Latinoamérica.
----------------------------------------------------------------------------------------------------
INDICE
Artículo 1 - Objeto y ámbito
de aplicación
Artículo 2 - Descripción del
responsable del tratamiento
Artículo 3 - Limitaciones
Artículo 4 - Riesgos para los
derechos y libertades de los interesados
Artículo 5 - Plazos de
retención y garantías
Artículo 6 - Información y
revisión por el delegado de protección de datos
Artículo 7 - Información a
los interesados sobre las limitaciones de sus derechos
Artículo 8 - Derecho a la
información que debe facilitarse a los interesados y comunicación de las
violaciones de la seguridad de los datos
Artículo 9 - Derecho de
acceso, rectificación, supresión y limitación del tratamiento de los
interesados
Artículo 10 -
Confidencialidad de las comunicaciones electrónicas
Artículo 11 - Entrada en
vigor
--------------------------------------------------------------------------------------------------
DECISIÓN
DEL CONSEJO DE ADMINISTRACIÓN DE EUROPOL
de
9 de junio de 2020
sobre
normas internas relativas a las limitaciones de determinados derechos de los
interesados en relación con el tratamiento de datos personales administrativos
por Europol
EL
CONSEJO DE ADMINISTRACIÓN DE EUROPOL,
Visto
el Tratado de Funcionamiento de la Unión Europea,
Visto
el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo
de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial
(Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI,
2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (1) (en
lo sucesivo, el «Reglamento de Europol»), y en particular su artículo 46,
Visto
el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de
octubre de 2018, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por las instituciones, órganos y
organismos de la Unión, y a la libre circulación de esos datos, y por el que se
derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (2),
y, en particular, su artículo 25,
Visto
el documento de orientación sobre el artículo 25 del Reglamento (UE) 2018/1725
y las normas internas del Supervisor Europeo de Protección de Datos («SEPD»),
de diciembre de 2018,
Vistos
los comentarios del SEPD sobre el proyecto de Decisión del Consejo de
Administración de Europol sobre normas internas relativas a las limitaciones de
determinados derechos de los interesados en relación con el tratamiento de
datos personales administrativos por Europol a partir del 14 de enero de 2020,
Considerando
lo siguiente:
(1) Europol trata
datos operativos y datos no operativos (administrativos) no relacionados con
las investigaciones penales, como los datos personales relativos al personal de
Europol, los proveedores de servicios o los visitantes. El tratamiento de los
datos operativos entra en el ámbito de aplicación de las disposiciones del
Reglamento de Europol, mientras que los datos no operativos (administrativos)
están sujetos al Reglamento (UE) 2018/1725.
(2) De conformidad
con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725,
las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también
del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se
correspondan con los derechos y obligaciones que disponen los artículos 14 a
22, deberán basarse en normas internas adoptadas por Europol cuando no se
encuentren fundamentadas en actos jurídicos adoptados con arreglo a los
Tratados.
(3) Estas normas
internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la
proporcionalidad de la limitación, no deberán aplicarse cuando un acto jurídico
adoptado con arreglo a los Tratados prevea una limitación de los derechos de
los interesados.
(4) Europol podrá, en
el marco de su funcionamiento, llevar a cabo investigaciones administrativas y
un procedimiento predisciplinario, disciplinario y de suspensión. Las
investigaciones administrativas deberán ser llevadas a cabo por el Servicio de
Investigación Interna (SII), que también representará a la autoridad facultada
para celebrar los contratos de trabajo a que se refiere el artículo 6 del
régimen aplicable ante el Consejo Disciplinario con arreglo al artículo 86 del
Estatuto de los funcionarios de la Unión Europea (3) y
a la Decisión del Consejo de Administración de Europol por la que se establecen
disposiciones generales de aplicación relativas a las investigaciones
administrativas y los procedimientos disciplinarios (EDOC n.o 417349).
(5) Los miembros del
personal de Europol tienen la obligación de notificar posibles actividades
ilícitas, incluidos el fraude o la corrupción, perjudiciales para los intereses
de la Unión, o una conducta relacionada con el desempeño de actividades
profesionales que pueda constituir un incumplimiento grave de las obligaciones
de los funcionarios de la Unión. Esto se explica con más detalle en la Guía
para el personal de Europol en el marco de los procedimientos de denuncia de
irregularidades (EDOC n.o 903736).
(6) Europol ha
establecido una política para prevenir y tratar con eficacia y eficiencia los
casos reales o potenciales de acoso psicológico o sexual en el lugar de
trabajo, tal como se establece en la Decisión del Consejo de Administración de
Europol relativa a la política de protección de la dignidad de la persona y de
prevención del acoso psicológico y del acoso sexual (EDOC n.o 958626).
La Decisión establece un procedimiento informal en el que la presunta víctima
del acoso puede ponerse en contacto con consejeros confidenciales de Europol.
(7) El delegado de
protección de datos, de conformidad con el artículo 13 de la Decisión del
Consejo de Administración de Europol por la que se establecen normas de
aplicación relativas al delegado de protección de datos (EDOC n.o 845687),
puede realizar investigaciones sobre el asunto objeto de una solicitud.
(8) Europol podrá realizar
auditorías de sus actividades realizadas a través de la estructura de auditoría
interna (EAI) de Europol, que fue creada por el Consejo de Administración en su
reunión del 1 de mayo de 2017, de conformidad con el artículo 11, apartado 1,
del Reglamento de Europol, y solo es responsable ante este órgano.
(9) En el contexto de
las tareas mencionadas más arriba, Europol podrá proporcionar y recibir
asistencia y cooperación con y de otras instituciones, órganos y organismos de
la Unión, tal como se establece en los acuerdos de nivel de servicio,
memorandos de entendimiento y acuerdos de cooperación pertinentes.
(10) Podrá ser
necesario conciliar los derechos de los interesados de conformidad con el
Reglamento (UE) 2018/1725 con las necesidades de las actividades antes
mencionadas, respetando plenamente los derechos y libertades fundamentales de
otros interesados. A tal efecto, el artículo 25 del Reglamento (UE) 2018/1725
prevé, en condiciones estrictas, la posibilidad de limitar la aplicación de los
artículos 14 a 20, 35 y 36, así como del artículo 4 en la medida en que sus
disposiciones se correspondan con los derechos y obligaciones contemplados en
los artículos 14 a 20. En este caso, es necesario adoptar normas internas en
virtud de las cuales Europol pueda limitar esos derechos en consonancia con el
mismo artículo del Reglamento (UE) 2018/1725.
(11) Este podría ser
el caso, en particular, cuando se proporcione información sobre el tratamiento
de datos personales al interesado en la fase de evaluación preliminar de una
investigación administrativa o durante la propia investigación, antes de una
posible desestimación del asunto o de una fase predisciplinaria. En
determinadas circunstancias, el hecho de facilitar dicha información podría
afectar gravemente a la capacidad del SII para realizar la investigación de
manera eficaz, siempre que, por ejemplo, exista el riesgo de que la persona
afectada destruya las pruebas o interfiera con los posibles testigos antes de
que sean entrevistados. Además, Europol podría necesitar proteger sus derechos
y libertades, así como los derechos y libertades de otras personas implicadas.
(12) Podría ser
necesario proteger la confidencialidad de un testigo o un denunciante que haya
solicitado no ser identificado. En tal caso, Europol podrá decidir limitar el
acceso a la identidad, las declaraciones y otros datos personales del
denunciante y de otras personas implicadas, a fin de proteger sus derechos y
libertades.
(13) Podría ser
necesario proteger la confidencialidad de un miembro del personal que haya
contactado con consejeros confidencialidades de Europol en el contexto de un
procedimiento de acoso. En tal caso, Europol podrá decidir limitar el acceso a
la identidad, las declaraciones y otros datos personales de la presunta
víctima, el presunto acosador y de otras personas implicadas, a fin de proteger
sus derechos y libertades.
(14) Al tramitar las
investigaciones sobre las actividades de tratamiento llevadas a cabo en
Europol, es posible que el delegado de protección de datos, en determinadas
circunstancias, necesite preservar la eficacia de sus investigaciones y
proteger, en caso necesario, a las personas implicadas y sus derechos y
libertades.
(15) Europol deberá
aplicar las limitaciones solo cuando respetan la esencia de los derechos y las
libertades fundamentales y son una medida estrictamente necesaria y
proporcionada en una sociedad democrática. Europol deberá justificar los
motivos de dichas limitaciones.
(16) Sobre la base
del principio de responsabilidad, Europol deberá mantener un registro de la
aplicación de las limitaciones.
(17) Al tratar los
datos personales administrativos intercambiados con otras organizaciones en el
contexto de sus funciones, Europol consultará y será consultado por dichas
organizaciones sobre los posibles motivos pertinentes para imponer limitaciones
y la necesidad y proporcionalidad de las limitaciones, a menos que ello ponga
en peligro las actividades de Europol.
(18) El artículo 25,
apartado 6, del Reglamento (UE) 2018/1725 obliga al responsable del tratamiento
a informar a los interesados de las razones principales que justifican la
limitación y de su derecho a presentar una reclamación ante la SEPD.
(19) De conformidad
con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, Europol podrá
aplazar, omitir o denegar la comunicación de la información que justifica la
limitación al interesado si dicha comunicación dejase sin efecto la limitación
impuesta.
(20) Europol deberá
evaluar caso por caso y en cooperación con el delegado de protección de datos
si la comunicación de la limitación anula su efecto.
(21) A fin de
garantizar la máxima protección de los derechos y libertades de los interesados
y de conformidad con el artículo 44, apartado 1, del Reglamento (UE) 2018/1725,
el delegado de protección de datos deberá ser informado a su debido tiempo de
cualquier limitación que se esté aplicando y verificar el cumplimiento de la
presente Decisión.
(22) La aplicación de
las limitaciones mencionadas se entiende sin perjuicio de la posible aplicación
de las disposiciones del artículo 16, apartado 5, y el artículo 17, apartado 4,
del Reglamento (UE) 2018/1725, relativas, respectivamente, al derecho de
información cuando los datos no se han obtenido del interesado y al derecho de
acceso del interesado.
HA
ADOPTADO LA PRESENTE DECISIÓN:
Artículo
1
Objeto
y ámbito de aplicación
La
presente Decisión establece normas relativas a las condiciones en las que
Europol puede limitar la aplicación de los artículos 14 a 20, 35 y 36, así como
su artículo 4, sobre la base del artículo 25 del Reglamento (UE) 2018/1725.
Artículo
2
Descripción
del responsable del tratamiento
1. El
responsable de las operaciones de tratamiento será Europol, representada por su
director ejecutivo, quien podrá delegar la función de responsable del
tratamiento de datos.
2. Se
informará a los interesados de la identidad del responsable del tratamiento
delegado por medio de anuncios de protección de datos o de registros publicados
en el sitio web o la intranet de Europol.
Artículo
3
Limitaciones
1. Cuando
Europol ejerza sus funciones en relación con los derechos de los interesados en
virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las
excepciones establecidas en dicho Reglamento (UE) 2018/1725.
2. De
conformidad con el artículo 25, apartado 1, del Reglamento (UE) 2018/1725,
Europol podrá limitar la aplicación de los artículos 14 a 20, 35 y 36, así como
su artículo 4, en la medida en que sus disposiciones se correspondan con los
derechos y obligaciones previstos en los artículos 14 a 20 del Reglamento (UE) 2018/1725,
cuando:
a) El SII esté
llevando a cabo investigaciones previas e investigaciones administrativas y el
Consejo Disciplinario está tramitando procedimientos disciplinarios sobre la
base del Estatuto de los funcionarios de la Unión Europea, así como la Decisión
del Consejo de Administración de Europol por la que se establecen disposiciones
generales de aplicación relativas a las investigaciones administrativas y los
procedimientos disciplinarios. Las limitaciones pertinentes podrán basarse en
el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725.
b) En el
transcurso de los procedimientos de denuncia de irregularidades, a fin de
garantizar que el personal de Europol pueda comunicar de forma confidencial
hechos que consideren graves, tal como se indica en las Directrices sobre los
procedimientos de denuncia de irregularidades. Las limitaciones pertinentes
podrán basarse en el artículo 25, apartado 1, letra h), del Reglamento (UE)
2018/1725.
c) En los
procedimientos formales e informales de casos de acoso, garantizar que el
personal de Europol pueda informar confidencialmente a los asesores
confidenciales en el contexto de un procedimiento de acoso, tal como se define
en la Decisión del Consejo de Administración de Europol sobre la política
relativa a la protección de la dignidad de la persona y la prevención del acoso
psicológico y sexual. Las limitaciones pertinentes podrán basarse en el
artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725.
d) El delegado
de protección de datos está llevando a cabo investigaciones sobre las
actividades de tratamiento realizadas en Europol con arreglo al artículo 13 de
la Decisión del Consejo de Administración de Europol por la que se establecen
normas de aplicación relativas al delegado de protección de datos. Las
limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letras
c), g) y h), del Reglamento (UE) 2018/1725.
e) La
estructura de auditoría interna está llevando a cabo auditorías internas en
relación con todas las actividades y departamentos de Europol. Las limitaciones
pertinentes podrán basarse en el artículo 25, apartado 1, letras c), g) y h),
del Reglamento (UE) 2018/1725.
f) Europol
presta o recibe asistencia y cooperación con y de otras instituciones, órganos
y organismos de la Unión, en el contexto de las actividades anteriormente
mencionadas, según lo establecido en los acuerdos de nivel de servicio,
Memorándum de acuerdo y acuerdos de cooperación pertinentes. Las limitaciones
pertinentes podrán basarse en el artículo 25, apartado 1, letras c), d), g) y
h), del Reglamento (UE) 2018/1725.
3. Las
categorías de datos incluyen los datos de identificación de una persona física,
la información de contacto, las funciones y tareas profesionales, la
información sobre la conducta y el rendimiento profesional y privado, y los
datos financieros.
4. Toda
limitación respetará la esencia de los derechos y las libertades fundamentales
y será una medida necesaria y proporcionada en una sociedad democrática.
5. Se
llevará a cabo una prueba de necesidad y proporcionalidad, caso por caso, antes
de aplicar limitaciones. Las limitaciones quedarán restringidas a lo
estrictamente necesario para alcanzar los objetivos fijados.
6. Las
limitaciones deberán ser debidamente supervisadas por el responsable del
tratamiento de datos y se efectuará una revisión periódica con una prueba de
necesidad y proporcionalidad cada seis meses a partir de su adopción en
consulta con el delegado de protección de datos.
7. Las
limitaciones se levantarán tan pronto como dejen de cumplirse las
circunstancias que las hubieran justificado. El responsable del tratamiento de
datos, en consulta con el delegado de protección de datos, facilitará a los
interesados la información sobre la posibilidad de presentar una reclamación
ante el SEPD en cualquier momento o de interponer un recurso judicial ante el
Tribunal de Justicia de la Unión Europea.
8. A
efectos de la rendición de cuentas, Europol presentará un registro en el que se
describan las razones de las limitaciones aplicadas, entre las enumeradas en el
apartado 1, y el resultado de la prueba de necesidad y proporcionalidad. Dichos
registros formarán parte de un registro ad hoc conservada por
el delegado de protección de datos, que se pondrá a disposición del SEPD,
previa solicitud. Se facilitará periódicamente un informe sobre la aplicación
del artículo 25 del Reglamento (UE) 2018/1725.
9. Al
tratar los datos personales intercambiados con otras organizaciones en el
contexto de sus funciones, Europol consultará a estas dichas organizaciones
sobre los posibles motivos pertinentes para imponer limitaciones y la necesidad
y proporcionalidad de las limitaciones, a menos que ello ponga en peligro las
actividades de Europol.
Artículo
4
Riesgos
para los derechos y libertades de los interesados
La
evaluación de los riesgos para los derechos y libertades de los interesados
cuyos datos personales puedan estar sujetos a limitaciones, así como su período
de retención, se citan en el registro de las actividades de tratamiento
pertinentes de conformidad con el artículo 31 del Reglamento (UE) 2018/1725 y,
si procede, en las evaluaciones de impacto relativas a la protección de datos
pertinentes basadas en el artículo 39 de dicho Reglamento.
Artículo
5
Plazos
de retención y garantías
1. Europol
aplicará garantías para evitar los abusos o el acceso o la transferencia
ilícitos de datos personales que pueden estar sujetos a limitaciones. Estas
salvaguardias incluirán medidas técnicas y organizativas apropiadas para
proteger los datos personales contra su destrucción accidental o ilícita,
extravío accidental o divulgación, alteración y acceso no autorizados o cualquier
otra forma de tratamiento no autorizado. Estas garantías incluirán:
a) una
definición clara de las funciones, responsabilidades y etapas del
procedimiento;
b) en su caso,
un entorno electrónico seguro que impida el acceso o la transferencia ilícitas
o accidentales de datos electrónicos a personas no autorizadas;
c) en su caso,
un almacenamiento y tratamiento seguros de los documentos en soporte papel;
d) la debida
supervisión de las limitaciones y la revisión periódica de su aplicación.
2. El
período de retención de los datos personales podrá estar sujeto a limitaciones
no superará el necesario ni el adecuado para los fines que justifiquen el
tratamiento de los datos. En ningún caso deberá superar el período de retención
especificado en los avisos sobre la protección de datos, las declaraciones de
confidencialidad o los registros a los que se hace referencia más arriba.
Artículo
6
Información
y revisión por el delegado de protección de datos
1. El
delegado de protección de datos será consultado sin demora indebida cuando el
responsable del tratamiento de datos tenga la intención de aplicar limitaciones
a los derechos de los interesados de conformidad con la presente Decisión y se
le facilitará acceso al registro que contenga la evaluación de la necesidad y
la proporcionalidad, así como de cualquier documento que sustente los elementos
de hecho y de derecho.
2. La
participación del delegado de protección de datos en el procedimiento de limitación,
incluidos los intercambios de información, se documentará de forma adecuada.
Artículo
7
Información
a los interesados sobre las limitaciones de sus derechos
1. Europol
publicará en su intranet notificaciones de protección de datos que informen a todos
los interesados de las actividades de tratamiento que impliquen el tratamiento
de sus datos personales, que podrían estar sujetas a limitaciones de
conformidad con las presentes normas.
2. Los
responsables del tratamiento de datos informarán individualmente a los
interesados que sean parte en un procedimiento, a las partes afectadas por un
procedimiento o a los testigos sobre sus derechos y posibles limitaciones.
Artículo
8
Derecho
a la información que debe facilitarse a los interesados y comunicación de las
violaciones de la seguridad de los datos
1. Cuando,
en el contexto de las actividades mencionadas en la presente Decisión, Europol
limite, total o parcialmente, los derechos mencionados en los artículos 14 a 16
y 35 del Reglamento (UE) 2018/1725, se informará a los interesados de las
razones principales en las que se basa la aplicación de la limitación, así como
de su derecho a presentar una reclamación ante el SEPD y de interponer un
recurso judicial ante el Tribunal de Justicia de la Unión Europea.
2. Europol
podrá aplazar, omitir o denegar la comunicación de información sobre las
razones de la limitación a que se refiere el apartado 1 durante el tiempo en
que anule el efecto de la limitación. Esta evaluación se realizará caso por caso
en cooperación con el delegado de protección de datos.
Artículo
9
Derecho
de acceso, rectificación, supresión y limitación del tratamiento de los
interesados
1. Cuando,
en el contexto de las actividades mencionadas en la presente Decisión, el
Europol limite, total o parcialmente, el derecho de acceso a los datos
personales, el derecho de rectificación, supresión y limitación del tratamiento
a que se refieren, respectivamente, los artículos 17 a 20 del Reglamento (UE)
2018/1725, se informará a los interesados, en la respuesta a su solicitud, de
las razones principales en las que se basa la aplicación de la limitación, así
como de la posibilidad de presentar una reclamación ante el SEPD y de
interponer un recurso judicial ante el Tribunal de Justicia de la Unión
Europea.
2. Europol
podrá aplazar, omitir o denegar la comunicación de información sobre las
razones de la limitación a que se refieren el apartado 1 si anula el efecto de
la limitación. Esta evaluación se realizará caso por caso en cooperación con el
delegado de protección de datos.
Artículo
10
Confidencialidad
de las comunicaciones electrónicas
1. Europol,
en circunstancias excepcionales y de conformidad con las disposiciones y la
justificación de la Directiva 2002/58/CE del Parlamento Europeo y del
Consejo (4),
podrá limitar el derecho a la confidencialidad de las comunicaciones
electrónicas, tal como se contempla en el artículo 36 del Reglamento (UE)
2018/1725.
2. Cuando
Europol limite el derecho a la confidencialidad de las comunicaciones
electrónicas, se informará a los interesados, en la respuesta a su solicitud,
de las razones principales en las que se basa la aplicación de la limitación,
así como de la posibilidad de presentar una reclamación ante el SEPD y de
interponer un recurso judicial ante el Tribunal de Justicia de la Unión
Europea.
3. Europol
podrá aplazar, omitir o denegar la comunicación de información sobre las
razones de la limitación a que se refieren los apartados 1 y 2 durante el
tiempo en que anule el efecto de la limitación. Esta evaluación se realizará
caso por caso en cooperación con el delegado de protección de datos.
Artículo
11
Entrada
en vigor
La
presente Decisión entrará en vigor a los veinte días de su publicación en
el Diario Oficial de la Unión Europea.
Hecho
en La Haya, el 9 de junio de 2020.
Por
el Consejo de Administración
Andrei
LINTA
Presidente
(3) Estatuto
de los funcionarios de la Unión Europea, establecido por el Reglamento (CEE,
Euratom, CECA) n.o 259/68 del Consejo (DO L 56 de 4.3.1968, p. 1).
(4) Directiva
2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002,
relativa al tratamiento de los datos personales y a la protección de la
intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la
privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).
[1] REGLAMENTO (UE)
2018/1725 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de octubre
de 2018 relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por las instituciones, órganos y
organismos de la Unión, y a la libre circulación de esos datos, y por el que se
derogan el Reglamento (CE) n.o 45/2001
y la Decisión n.o 1247/2002/CE
No hay comentarios:
Publicar un comentario