Por: Carlos A. FERREYROS SOTO
Université de Montpellier I Francia.
M. Sc. Institut Agronomique Méditerranéen
_________________________________________________
DECISIÓN
DE EJECUCIÓN (UE) 2021/858 DE LA COMISIÓN
de
27 de mayo de 2021
por
la que se modifica la Decisión de Ejecución (UE) 2017/253 en lo que respecta a
las alertas activadas por amenazas transfronterizas graves para la salud y para
el rastreo de contactos de los pasajeros identificados mediante formularios de
localización de pasajeros
(Texto
pertinente a efectos del EEE)
LA
COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión
Europea,
Vista la Decisión n.o 1082/2013/UE
del Parlamento Europeo y del Consejo, de 22 de octubre de 2013, sobre
las amenazas transfronterizas graves para la salud y por la que se deroga la
Decisión n.o 2119/98/CE (1), y en particular
su artículo 8, apartado 2,
Considerando lo siguiente:
(1) La detección de un caso positivo de
COVID-19 tras un determinado viaje transfronterizo cumple los criterios
establecidos en el artículo 9, apartado 1, de la Decisión n.o 1082/2013/UE,
ya que puede seguir causando una mortalidad humana significativa, puede
aumentar rápidamente en magnitud, afecta a más de un Estado miembro y puede
exigir una respuesta coordinada a nivel de la Unión. De conformidad con el
punto 23 de la Recomendación (UE) 2020/1475, de 13 de octubre de
2020, sobre un enfoque coordinado de la restricción de la libre circulación en
respuesta a la pandemia de COVID-19 (2), la información sobre un caso de COVID-19
detectado a la llegada de la persona al territorio de un Estado miembro debe
compartirse inmediatamente con las autoridades sanitarias públicas de los
países en los que la persona en cuestión haya permanecido durante los catorce
días anteriores con fines de rastreo de contactos, utilizando el Sistema de
Alerta Precoz y Respuesta (SAPR) establecido por el artículo 8 de la
Decisión n.o 1082/2013/UE y gestionado por el Centro
Europeo para la Prevención y el Control de las Enfermedades (ECDC).
(2) De conformidad con la Recomendación (UE)
2020/1475, los Estados miembros pueden exigir a las personas que entren en su
territorio que presenten formularios de localización de pasajeros (PLF), de
conformidad con los requisitos de protección de datos.
(3) Al imponer la cumplimentación de PLF
nacionales con diversos formatos, los Estados miembros recogen los datos de los
PLF de los pasajeros transfronterizos que entran en su territorio. Si entre las
personas que han cumplimentado un PLF se detecta un caso de COVID-19, los datos
recogidos en dicho PLF se pueden utilizar, entre otras cosas, para determinar
el viaje de esa persona y transmitir la información pertinente a los Estados
miembros que necesiten efectuar procedimientos de rastreo de contactos de las
personas que podrían haber estado expuestas al pasajero infectado.
(4) Con el fin de efectuar el rastreo de
contactos en el contexto de la pandemia de COVID-19, las autoridades sanitarias
públicas de algunos Estados miembros ya han intercambiado datos personales
recogidos a través de los PLF nacionales. Este intercambio se ha llevado a cabo
concretamente mediante la actual infraestructura técnica que se encuentra
disponible a través del SAPR.
(5) Esta infraestructura técnica disponible
actualmente a través del SAPR todavía no está diseñada para gestionar el
volumen de datos de los PLF generado por el uso sistemático y a gran escala de
estos últimos. Por ejemplo, no traduce entre diferentes formatos nacionales y
requiere una introducción manual, lo que afecta negativamente a la prontitud y
la eficacia del rastreo de contactos. Este es el caso, en particular, cuando es
necesario efectuar un rastreo de contactos de los pasajeros transfronterizos
que han viajado por medios de transporte colectivo con asientos preasignados,
como aeronaves, determinados trenes, transbordadores y cruceros, donde el
número de pasajeros expuestos y la duración de la exposición a un pasajero
infectado podrían ser relevantes.
(6) Por tanto, debe crearse una
infraestructura técnica, denominada «plataforma de intercambio de PLF», que
posibilite un intercambio de datos seguro, rápido y eficaz entre las
autoridades competentes del SAPR de los Estados miembros, que les permita
transmitir a otras autoridades competentes del SAPR de manera interoperable y
automática la información de sus sistemas nacionales de PLF digital ya
existentes. Dicha infraestructura debe basarse en la plataforma de intercambio
ya desarrollada por la Agencia de la Unión Europea para la Seguridad Aérea
(AESA), sin que la AESA tenga ninguna función en relación con el tratamiento de
datos personales a través de la plataforma de intercambio de PLF, tal como se
establece en la presente Decisión de Ejecución. La plataforma de intercambio de
PLF también debe permitir el intercambio de datos epidemiológicos limitados,
necesarios para el rastreo de contactos, de conformidad con el artículo 9,
apartado 3, de la Decisión n.o 1082/2013/UE.
Con el fin de evitar un solapamiento de actividades o un conflicto de
actuaciones con las estructuras y mecanismos existentes de seguimiento, alerta
precoz y lucha contra las amenazas transfronterizas graves para la salud, la
plataforma de intercambio de PLF debe desarrollarse en el marco del SAPR, como
complemento de la funcionalidad de mensajería selectiva integrada en ese
sistema.
(7) La plataforma de intercambio de PLF debe
ser gestionada por el ECDC, de conformidad con el artículo 8 del
Reglamento (CE) n.o 851/2004 del Parlamento Europeo y del
Consejo (3).
(8) La plataforma de intercambio de PLF no
debe almacenar los datos de los PLF ni los datos epidemiológicos que vayan a
intercambiarse.
(9) Si un Estado miembro no dispone de un
sistema de PLF digital desarrollado a nivel nacional, puede utilizar el sistema
de formulario de localización de pasajeros digital común de la Unión Europea
(EUdPLF), que la Comisión encomendó para su desarrollo a la acción conjunta
«Healthy Gateways» (subvención n.o 801493) (4). El objetivo del EUdPLF es crear un punto de
entrada y una base de datos únicos para recoger los PLF. En el futuro, el
EUdPLF deberá estar conectado a la plataforma de intercambio de PLF con el
único fin de permitir el intercambio de datos entre los Estados miembros que posean
sus propios sistemas nacionales de PLF digital, por una parte, y aquellos que
utilicen el EUdPLF, por otra. La presente Decisión no cubre el establecimiento
del EUdPLF ni regula el tratamiento de datos personales en relación con él.
(10) La presente Decisión no regula el
establecimiento de PLF nacionales, ya que la determinación de esta cuestión
corresponde a los Estados miembros. Los Estados miembros pueden optar por
recoger PLF de todos los pasajeros que lleguen a su territorio, o solo de
aquellos cuyo destino final sea el Estado miembro de que se trate. Un rastreo
de contactos transfronterizo eficaz basado en los datos de los PLF requiere que
los Estados miembros recojan un conjunto mínimo común de datos de los PLF a
través de sus PLF nacionales. Por lo tanto, deben establecerse esos datos
mínimos de los PLF. Además, en aras de la rentabilidad, la sostenibilidad y una
mayor seguridad de la solución, los Estados miembros deben considerar la
posibilidad de adoptar un enfoque común a la hora de exigir PLF a todos los
pasajeros, incluidos los pasajeros en tránsito, o solo a aquellos cuyo destino
final sea el Estado miembro de que se trate.
(11) El uso de la plataforma de intercambio de
PLF debe ser voluntario y los Estados miembros deben tener libertad para
notificar las alertas a través de la actual infraestructura técnica del SAPR,
con carácter temporal y siempre que no comprometan la finalidad del rastreo de
contactos.
(12) Las autoridades competentes del SAPR solo
deben intercambiar conjuntos bien definidos de datos recogidos a través de sus
PLF y otros datos epidemiológicos limitados necesarios para el rastreo de
contactos, en consonancia con el principio de minimización del tratamiento de
datos personales. Si, sobre la base de los datos de los PLF de que dispone, el
Estado miembro que notifica la alerta sobre un pasajero infectado es capaz de
identificar a todos los Estados miembros afectados debe transmitir los datos
únicamente a las autoridades competentes del SAPR de dichos Estados miembros.
Este es el caso, por ejemplo, cuando el Estado miembro que detecta al pasajero
infectado recoge PLF para todos los pasajeros, incluidos los pasajeros en
tránsito, que llegan a su territorio con una conexión directa desde el lugar de
salida inicial.
(13) Cuando se detecte que un pasajero está
infectado por SARS-CoV-2 en un Estado miembro, las autoridades competentes del
SAPR de dicho Estado miembro deben poder compartir con las del Estado miembro
de salida un conjunto limitado de datos extraídos de los PLF, que deben
definirse de forma estricta como aquello que es necesario para efectuar el
rastreo de contactos de las personas expuestas en el Estado miembro de salida y
en el de residencia, si son distintos —en particular, la identidad y la
información de contacto del pasajero infectado—.
(14) Además, cuando se detecte que un pasajero
está infectado por el SARS-CoV-2 en un Estado miembro, las autoridades
competentes del SAPR de dicho Estado miembro también deben poder compartir un
conjunto limitado de datos con las autoridades competentes del SAPR de todos
los Estados miembros, o de los Estados miembros afectados si dichas autoridades
disponen de información que les permita identificarlos. Los datos deben
limitarse al lugar de salida, el lugar de llegada, la fecha de salida, el tipo
de transporte utilizado (por ejemplo, avión, tren, autocar, transbordador,
barco), el número de identificación del servicio de transporte (es decir, el
número de vuelo, el número de tren, la matrícula del autocar o el nombre del
transbordador o del barco), el número de asiento o de cabina del pasajero
infectado, así como la hora de salida si los datos anteriores no son
suficientes para identificar el transporte. Esto debería permitir a las
autoridades competentes del SAPR receptoras determinar si los pasajeros
expuestos han llegado a su territorio y, en caso afirmativo, efectuar el
rastreo de contactos.
(15) Al compartir datos con otras autoridades
competentes del SAPR a través de la plataforma de intercambio de PLF, la
autoridad competente del SAPR pertinente debe poder añadir información
epidemiológica, limitada a lo necesario para efectuar el rastreo de contactos,
a saber, el tipo de prueba diagnóstica de la COVID-19 realizada, la variante
del virus SARS-CoV-2, la fecha de la toma de muestras y la fecha de aparición
de los síntomas.
(16) El tratamiento de los datos personales de
los pasajeros infectados, intercambiados a través de la plataforma de
intercambio de PLF, debe ser llevado a cabo por las autoridades competentes del
SAPR de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y
del Consejo (5). El tratamiento de datos personales bajo la
responsabilidad del ECDC como operador de la plataforma de intercambio de PLF
con el fin de efectuar el rastreo de contactos, y de la Comisión como
subencargada del tratamiento, debe cumplir lo dispuesto en el Reglamento (UE)
2018/1725 del Parlamento Europeo y del Consejo (6).
(17) El fundamento jurídico para el intercambio
de datos personales de los pasajeros infectados, incluidos los relativos a la
salud, entre las autoridades competentes del SAPR con el fin de efectuar el
rastreo de contactos se establece en el artículo 9, apartado 1, y
apartado 3, letra i), de la Decisión n.o 1082/2013/UE,
de conformidad con el artículo 6, apartado 1, letra c), y el
artículo 9, apartado 2, letra i), del Reglamento (UE) 2016/679. La
presente Decisión debe establecer medidas adecuadas y concretas para
salvaguardar los derechos y libertades del interesado. Entre ellas deben
figurar medidas relativas a la definición de los conjuntos de datos necesarios
que deben intercambiarse, las autoridades competentes del SAPR con las que
deben intercambiarse los datos en los distintos casos, las medidas de seguridad
apropiadas, incluido el cifrado, y las modalidades de tratamiento de los datos
entre las autoridades nacionales competentes a través de la plataforma de
intercambio de PLF dentro de la Unión Europea.
(18) Las autoridades competentes del SAPR que
participan en la plataforma de intercambio de PLF determinan conjuntamente el
objetivo y los medios de tratamiento de los datos personales en dicha
plataforma, por lo que son corresponsables del tratamiento. El artículo 26
del Reglamento (UE) 2016/679 impone a los corresponsables del tratamiento la
obligación de determinar, de modo transparente, sus responsabilidades
respectivas en el cumplimiento de las obligaciones impuestas por dicho
Reglamento. También contempla la posibilidad de que tales responsabilidades se
rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a
ellos. Por consiguiente, la presente Decisión debe determinar las funciones y
responsabilidades respectivas de los corresponsables del tratamiento.
(19) El ECDC, en su calidad de proveedor de
soluciones técnicas y organizativas para la plataforma de intercambio de PLF,
trata los datos de los PLF y los datos epidemiológicos por cuenta de los
Estados miembros que participan en la plataforma de intercambio de PLF como
corresponsables del tratamiento, por lo que es un encargado del tratamiento en
el sentido del artículo 3, punto 12, del Reglamento (UE) 2018/1725.
Según el artículo 28 del Reglamento (UE) 2016/679 y el artículo 29
del Reglamento (UE) 2018/1725, el tratamiento por el encargado debe regirse por
un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los
Estados miembros que vincule al encargado respecto del responsable del
tratamiento y que especifique el tratamiento. Por lo tanto, es necesario
establecer normas sobre el tratamiento por parte del ECDC como encargado del
tratamiento.
(20) El artículo 3, apartado 3, del
Reglamento (CE) n.o 851/2004 establece que el ECDC, la Comisión y
los Estados miembros cooperarán con vistas a promover la coherencia efectiva
entre sus actividades respectivas. Por consiguiente, deben celebrarse acuerdos
de nivel de servicio entre la Comisión y el ECDC para cooperar durante el
desarrollo técnico y el funcionamiento de la plataforma de intercambio de PLF.
En ellos se especificará el reparto de responsabilidades (organizativas,
financieras y tecnológicas) entre las partes para facilitar la puesta en marcha
de la plataforma de intercambio de PLF y las medidas técnicas relativas a su
funcionamiento, mantenimiento y desarrollo ulterior.
(21) Procede, por tanto, modificar la Decisión
de Ejecución (UE) 2017/253 en consecuencia.
(22) La plataforma de intercambio de PLF se
financiará en 2021 a través del Instrumento de Asistencia Urgente, que se
ha puesto en marcha para ayudar a los Estados miembros a responder a la
pandemia de coronavirus abordando las necesidades de manera estratégica y
coordinada a nivel europeo, y a través de las «Actividades de apoyo a la
política europea de transporte, a la seguridad del transporte y a los derechos
de los pasajeros, incluidas las actividades de comunicación». En el año 2022 se
financiará con cargo al programa Europa Digital.
(23) Teniendo en cuenta la fecha prevista para
que la plataforma de intercambio de PLF esté en funcionamiento, la presente
Decisión debe aplicarse a partir del 1 de junio de 2021. El
intercambio de datos debe cesar tras doce meses o una vez que el director general
de la Organización Mundial de la Salud haya declarado, de conformidad con el
Reglamento Sanitario Internacional, que la emergencia de salud pública de
importancia internacional causada por SARS-CoV-2 ha finalizado, si dicha
declaración se hace antes.
(24) El funcionamiento de la plataforma de
intercambio de PLF debe limitarse al control de la pandemia de COVID-19. No
obstante, podría ampliarse en el futuro mediante una decisión de ejecución
modificativa a aquellas epidemias que puedan requerir que los Estados miembros
intercambien datos de los PLF con el fin de efectuar el rastreo de contactos,
de conformidad con los criterios del artículo 9, apartado 1, y las
condiciones del artículo 9, apartado 3, de la Decisión n.o 1082/2013/UE.
(25) El Supervisor Europeo de Protección de
Datos, al que se consultó de conformidad con el artículo 42,
apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el
6 de mayo de 2021.
(26) Las medidas previstas en la presente
Decisión se ajustan al dictamen del Comité de Amenazas Transfronterizas Graves
para la Salud establecido en el artículo 18 de la Decisión n.o 1082/2013/UE.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
La Decisión de Ejecución (UE) 2017/253 se
modifica como sigue:
1) Se
inserta el artículo 1 bis siguiente:
«Artículo 1 bis
Definiciones
A los efectos de la presente Decisión, se entenderá
por:
a) “formulario de localización de
pasajeros” (PLF): formulario cumplimentado a petición de las autoridades
sanitarias públicas que recoge como mínimo los datos de los pasajeros
especificados en el anexo I y que ayuda a dichas autoridades a gestionar
un incidente de salud pública al permitirles rastrear a los pasajeros que
cruzan las fronteras y que pueden haber estado expuestos a una persona
infectada por el SARS-CoV-2;
b) “datos del formulario de localización
de pasajeros” (datos del PLF): datos personales recogidos a través de un PLF;
c) “punto de entrada digital”: ubicación
digital única a través de la cual las autoridades competentes del SAPR pueden
conectar de forma segura sus sistemas nacionales de PLF digital a la plataforma
de intercambio de PLF;
d) “viaje”: desplazamiento transfronterizo
efectuado por una persona, por medio de un transporte colectivo con asientos
preasignados, atendiendo al lugar de salida inicial y al destino final de dicha
persona, con uno o varios trayectos;
e) “trayecto”: desplazamiento
transfronterizo único de un pasajero sin conexiones o cambios de vuelo, tren,
buque o vehículo;
f) “pasajero infectado”: pasajero que
cumple los criterios analíticos de infección por SARS-CoV-2;
g) “persona expuesta”: pasajero u otra
persona que haya estado en contacto estrecho con un pasajero infectado;
h) “alerta”: notificación realizada
mediante el Sistema de Alerta Precoz y Respuesta (SAPR), de conformidad con el
artículo 9 de la Decisión 1082/2013/CE.».
2) Se
insertan los artículos 2 bis, 2 ter y 2 quater siguientes:
«Artículo 2 bis
Plataforma para el intercambio de los datos de los
PLF
1. Como complemento de la
funcionalidad de mensajería selectiva integrada en el SAPR, se crea una
plataforma en el marco de ese sistema para el intercambio seguro de los datos
de los PLF de pasajeros infectados con el único fin de que las autoridades competentes
del SAPR efectúen el rastreo de contactos de las personas expuestas en relación
con el SARS-CoV-2 (en lo sucesivo, “plataforma de intercambio de PLF”).
La plataforma de intercambio de PLF deberá
proporcionar un punto de entrada digital para que las autoridades competentes
del SAPR conecten de forma segura sus sistemas nacionales de PLF digital o se
conecten a través del sistema de formulario de localización de pasajeros
digital común de la Unión Europea (EUdPLF), a fin de permitir el intercambio de
los datos recogidos a través de los PLF.
Las autoridades competentes del SAPR podrán
utilizar la plataforma de intercambio de PLF para intercambiar datos
adicionales, es decir, datos epidemiológicos con el único fin de efectuar el
rastreo de contactos de las personas expuestas en relación con el SARS-CoV-2,
de conformidad con el artículo 2 ter, apartado 5.
2. El ECDC gestionará la
plataforma de intercambio de PLF.
3. Con el fin de cumplir las
obligaciones que se establecen en el artículo 2 de notificar las amenazas
transfronterizas graves para la salud que se detecten en el contexto de la
recogida de datos de los PLF, las autoridades competentes del SAPR de los
Estados miembros que exijan la cumplimentación de PLF intercambiarán un
conjunto de datos de los PLF, especificados en el artículo 2 ter,
a través de la plataforma de intercambio de PLF.
4. Las autoridades competentes del
SAPR podrán seguir cumpliendo las obligaciones que se establecen en el
artículo 9, apartados 1 y 3, de la Decisión n.o 1082/2013/UE,
de notificar las amenazas transfronterizas graves para la salud que se detecten
en el contexto de la recogida de datos de los PLF a través de los demás canales
de comunicación existentes a que se refiere el artículo 1,
apartado 2, de la presente Decisión, con carácter temporal y siempre que
esa elección no comprometa la finalidad del rastreo de contactos.
5. La plataforma de intercambio de
PLF no deberá almacenar los datos de los PLF ni los datos epidemiológicos
adicionales. Solo permitirá que las autoridades competentes del SAPR reciban
los datos que les hayan enviado otras autoridades competentes del SAPR con el
único fin de efectuar el rastreo de contactos en relación con el SARS-CoV-2. El
ECDC solo deberá acceder a los datos para garantizar el buen funcionamiento de
la plataforma de intercambio de PLF.
6. Las autoridades competentes del
SAPR no deberán conservar los datos de los PLF ni los datos epidemiológicos
recibidos a través de la plataforma de intercambio de PLF durante un período
superior al período de conservación aplicable en el contexto de sus actividades
nacionales de rastreo de contactos en relación con el SARS-CoV-2.
7. La Comisión deberá cooperar con
el ECDC en el cumplimiento de las tareas que se le encomiendan por la presente Decisión,
en particular en lo que se refiere a las medidas técnicas y organizativas
relativas a la implantación, la ejecución, el funcionamiento, el mantenimiento
y el ulterior desarrollo de la plataforma de intercambio de PLF.
8. El tratamiento de los datos
personales en la plataforma de intercambio de PLF con el único fin de efectuar
el rastreo de contactos en relación con el SARS-CoV-2 se llevará a cabo hasta
el 31 de mayo de 2022 o hasta que el director general de la
Organización Mundial de la Salud haya declarado, de conformidad con el
Reglamento Sanitario Internacional, que la emergencia de salud pública de
importancia internacional causada por SARS-CoV-2 ha finalizado, si esto último
sucede primero.
Artículo 2 ter
Datos que deben intercambiarse
1. Al notificar una alerta en la
plataforma de intercambio de PLF, las autoridades competentes del SAPR del
Estado miembro en el que se ha detectado al pasajero infectado deberán
transmitir los siguientes datos de los PLF a las autoridades competentes del SAPR
del Estado miembro de salida inicial o de residencia, si son distintos, del
pasajero infectado:
a) nombre;
b) apellidos;
c) fecha de nacimiento;
d) número de teléfono (fijo o móvil);
e) dirección de correo electrónico;
f) dirección de residencia.
2. Cuando dispongan de información
adicional que permita identificar al Estado miembro que debe realizar el
rastreo de contactos, las autoridades competentes del SAPR del Estado miembro
de salida inicial del pasajero infectado podrán transmitir los datos del PLF
recibidos a un Estado miembro de salida distinto del declarado en el PLF como
Estado miembro de salida inicial.
3. Al notificar una alerta en la
plataforma de intercambio de PLF, las autoridades competentes del SAPR del
Estado miembro en el que se ha detectado al pasajero infectado deberán
transmitir a las autoridades competentes del SAPR de todos los Estados miembros
los siguientes datos de los PLF relativos a cada trayecto del viaje de ese
pasajero:
a) el lugar de salida de cada medio de transporte
utilizado;
b) el lugar de llegada de cada medio de
transporte utilizado;
c) la fecha de salida de cada medio de transporte
utilizado;
d) medios de transporte utilizados (por
ejemplo, avión, tren, autocar, transbordador, barco);
e) el número de identificación de cada
medio de transporte utilizado (por ejemplo, el número de vuelo, el número de
tren, la matrícula del autocar, el nombre del transbordador o del barco);
f) el número de asiento o de cabina en cada medio
de transporte utilizado;
g) cuando sea necesario, la hora de salida de cada
medio de transporte utilizado.
4. Si, sobre la base de la
información de que disponen, las autoridades competentes del SAPR del Estado
miembro que notifica la alerta son capaces identificar a los Estados miembros
afectados, transmitirán los datos indicados en el apartado 3 únicamente a
las autoridades competentes del SAPR de dichos Estados miembros.
5. Las autoridades competentes del
SAPR deberán poder facilitar los siguientes datos epidemiológicos, cuando sea
necesario para realizar un rastreo de contactos eficaz:
a) el tipo de prueba realizada;
b) la variante del virus SARS-CoV-2;
c) la fecha de la toma de muestras;
d) la fecha de aparición de los síntomas.
Artículo 2 quater
Responsabilidades de las autoridades competentes
del SAPR y del ECDC en el tratamiento de los datos de los PLF
1. Las autoridades competentes del
SAPR que intercambien los datos de los PLF y aquellos a que se refiere el
artículo 2 ter, apartado 5, serán corresponsables del
tratamiento para la introducción y transmisión, hasta su recepción, de dichos
datos a través de la plataforma de intercambio de PLF. Las respectivas
responsabilidades de los corresponsables del tratamiento se asignarán de
acuerdo con el anexo II. Todo Estado miembro que desee participar en el
intercambio transfronterizo de datos de los PLF a través de la plataforma de
intercambio de PLF deberá notificar previamente su intención al ECDC y también
la autoridad competente del SAPR que haya sido designada responsable del
tratamiento.
2. El ECDC será el encargado del
tratamiento de los datos intercambiados a través de la plataforma de
intercambio de PLF. Deberá establecer la plataforma de intercambio de PLF y
garantizar la seguridad del tratamiento, incluida la transmisión, de los datos
intercambiados a través de dicha plataforma, y deberá cumplir las obligaciones
de un encargado del tratamiento establecidas en el anexo III.
3. EL ECDC y las autoridades
competentes del SAPR autorizadas a acceder a la plataforma de intercambio de
PLF pondrán a prueba, valorarán y evaluarán periódicamente la eficacia de las
medidas técnicas y organizativas destinadas a garantizar la seguridad del
tratamiento de los datos de los PLF intercambiados a través de la plataforma de
intercambio de PLF.
4. El
ECDC recurrirá a la Comisión como subencargada del tratamiento y velará por que
se le apliquen las mismas obligaciones en materia de protección de datos que
contiene la presente Decisión.».
3) En el artículo 3, apartado 3, el texto «el
anexo I» se sustituye por «el anexo IV».
4) En el anexo, el título «ANEXO» se sustituye
por «ANEXO IV».
5) Se insertan los anexos I, II y III que figuran
en el anexo de la presente Decisión.
Artículo 2
La presente Decisión entrará en vigor a los tres días
de su publicación en el Diario
Oficial de la Unión Europea.
Será aplicable a partir del 1 de junio de
2021.
Hecho en Bruselas, el 27 de mayo de 2021.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 293 de 5.11.2013, p. 1.
(2) DO L 337 de 14.10.2020, p. 3.
(3) Reglamento
(CE) n.o 851/2004
del Parlamento Europeo y del Consejo, de 21 de abril de 2004, por el
que se crea un Centro Europeo para la Prevención y el Control de las
Enfermedades (DO L 142 de 30.4.2004, p. 1).
(4) La
acción conjunta «Preparación y acción en los puntos de entrada (puertos,
aeropuertos y pasos en tierra) HEALTHY GATEWAYS», financiada por el Tercer
Programa de Salud (2014-2020), reúne a veintiocho países europeos.
(5) Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos y por el que se
deroga la Directiva 95/46/CE (DO L 119 de 4.5.2016, p. 1).
(6) Reglamento
(UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre
de 2018, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales por las instituciones, órganos y organismos de
la Unión, y a la libre circulación de esos datos, y por el que se derogan el
Reglamento (CE) n.o 45/2001
y la Decisión n.o 1247/2002/CE
(DO L 295 de 21.11.2018, p. 39).
ANEXO
«ANEXO I
CONJUNTO MÍNIMO DE DATOS DE LOS
PLF QUE DEBEN RECOGERSE A TRAVÉS DEL PLF NACIONAL
EL PLF contendrá, como mínimo, los siguientes datos:
1) nombre;
2) apellidos;
3) fecha de nacimiento;
4) número de teléfono (fijo o móvil);
5) dirección de correo electrónico;
6) dirección de residencia;
7) el destino final o el último destino en la UE
de todo el viaje;
8) la
siguiente información para cada trayecto del viaje hasta el Estado miembro que
haya solicitado el PLF:
a) lugar de salida;
b) lugar de llegada;
c) fecha de salida;
d) medio de transporte (por ejemplo, avión, tren,
autocar, transbordador, barco);
e) hora de salida;
f) número de identificación del medio de
transporte (por ejemplo, número de vuelo, número de tren, matrícula del
autocar, nombre del transbordador o del barco);
g) número de asiento o de cabina.
ANEXO II
RESPONSABILIDADES
DE LOS ESTADOS MIEMBROS PARTICIPANTES COMO CORRESPONSABLES DEL TRATAMIENTO DE
LA PLATAFORMA DE INTERCAMBIO DE PLF
SECCIÓN 1
División de
responsabilidades
1) Cada autoridad competente del SAPR velará
por que el tratamiento de los datos de los PLF y de los datos epidemiológicos
adicionales intercambiados a través de la plataforma de intercambio de PLF se
lleve a cabo de conformidad con el Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo (*). En particular, velará por que los datos que
introduzca y transmita a través de la plataforma de intercambio de PLF sean
exactos y se limiten a los datos establecidos en el artículo 2 ter de
la presente Decisión.
2) Cada autoridad competente del SAPR sigue
siendo la única responsable de la recogida, utilización, divulgación y
cualquier otro tratamiento de los datos de los PLF y los datos epidemiológicos
adicionales realizados fuera de la plataforma de intercambio de PLF. Cada
autoridad competente del SAPR velará por que la transmisión de los datos se
lleve a cabo de conformidad con las especificaciones técnicas establecidas para
la plataforma de intercambio de PLF.
3) Las instrucciones dirigidas al encargado
del tratamiento serán enviadas por cualquiera de los puntos de contacto de los
corresponsables del tratamiento, de acuerdo con los demás corresponsables.
4) Solo las personas autorizadas por las
autoridades competentes del SAPR podrán acceder a los datos de los PLF y a los
datos epidemiológicos adicionales intercambiados a través de la plataforma de
intercambio de PLF.
5) Cada autoridad competente del SAPR
establecerá un punto de contacto con un buzón funcional que servirá para la
comunicación de los corresponsables entre sí y de estos con el encargado del
tratamiento. El proceso de toma de decisiones de los corresponsables se rige
por el Grupo de Trabajo del Comité de Seguridad Sanitaria del SAPR.
6) Cada autoridad competente del SAPR dejará
de ser corresponsable del tratamiento desde la fecha en que se retire de la
plataforma de intercambio de PLF. No obstante, seguirá siendo responsable de la
recogida y la transmisión de los datos de los PLF y de los datos
epidemiológicos adicionales a través de la plataforma de intercambio de PLF que
hayan tenido lugar antes de su retirada.
7) Cada autoridad competente del SAPR llevará
un registro de las actividades de tratamiento bajo su responsabilidad. La
corresponsabilidad podrá indicarse en dicho registro.
SECCIÓN 2
Responsabilidades y
funciones para la tramitación de las solicitudes de los interesados y la
información a estos
1) Cada autoridad competente del SAPR que
exija un PLF facilitará a los pasajeros transfronterizos (en lo sucesivo, “los
interesados”) información sobre las circunstancias del intercambio de los datos
de su PLF y de sus datos epidemiológicos a través de la plataforma de
intercambio de PLF con el fin de efectuar el rastreo contactos, de conformidad
con los artículos 13 y 14 del Reglamento (UE) 2016/679.
2) Cada autoridad competente del SAPR actuará
como punto de contacto para los interesados y tramitará las solicitudes
relativas al ejercicio de sus derechos de conformidad con el Reglamento (UE)
2016/679, presentadas por ellos mismos o por sus representantes. Cada autoridad
competente del SAPR designará un punto de contacto específico dedicado a las
solicitudes recibidas de los interesados. Si una autoridad competente del SAPR
recibe una solicitud de un interesado que no está dentro de su competencia, la
remitirá sin demora a la autoridad competente del SAPR responsable e informará
al ECDC. Si así se les solicita, las autoridades competentes del SAPR se
ayudarán mutuamente en la tramitación de las solicitudes de los interesados
relativas a la corresponsabilidad y se responderán mutuamente sin demora
excesiva y, a más tardar, en el plazo de quince días desde la recepción de la
solicitud de ayuda.
3) Cada autoridad competente del SAPR pondrá a
disposición de los interesados el contenido del presente anexo, en especial las
disposiciones establecidas en los puntos 1 y 2.
SECCIÓN 3
Gestión de los
incidentes de seguridad, especialmente las violaciones de la seguridad de los
datos personales
1) Las autoridades competentes del SAPR, en su calidad de corresponsables del tratamiento, se ayudarán mutuamente en la detección y el manejo de los incidentes de seguridad, especialmente las violaciones de la seguridad de los datos personales, relacionados con el tratamiento de los datos de los PLF y los datos epidemiológicos intercambiados a través de la plataforma de intercambio de PLF.
2) En particular, se notificarán mutuamente y notificarán al ECDC lo siguiente:
a) todo riesgo potencial o real para la
disponibilidad, confidencialidad o integridad de los datos de los PLF o los
datos epidemiológicos que sean objeto de tratamiento en la plataforma de
intercambio de PLF;
b) toda violación de la seguridad de los
datos, sus consecuencias probables y la evaluación del riesgo con respecto a
los derechos y libertades de las personas físicas, así como toda medida
adoptada para resolver dicha violación y mitigar dicho riesgo;
c) todo incumplimiento de las salvaguardas
técnicas u organizativas de la operación de tratamiento en la plataforma de
intercambio de PLF.
4) Cada autoridad competente del SAPR aplicará las medidas
técnicas y organizativas adecuadas, destinadas a:
a) garantizar y proteger la seguridad,
integridad y confidencialidad de los datos personales tratados conjuntamente;
b) proteger los datos personales que obren
en su poder contra todo tratamiento, pérdida, utilización, divulgación,
adquisición o acceso no autorizados o ilícitos;
c) garantizar que el acceso a los datos
personales no se comunique ni se permita a ninguna persona distinta de los
destinatarios o encargados del tratamiento.
SECCIÓN 4
Evaluación de
impacto relativa a la protección de datos
Si un responsable del tratamiento, para cumplir las
obligaciones que le imponen los artículos 35 y 36 del Reglamento (UE)
2016/679, necesita información de otro responsable del tratamiento, enviará una
solicitud específica al buzón funcional al que se refiere la sección 1,
subsección 1, punto 5. Este último responsable hará lo posible por facilitar
esa información.
ANEXO III
RESPONSABILIDADES DEL ECDC COMO
ENCARGADO DEL TRATAMIENTO DE LA PLATAFORMA DE INTERCAMBIO DE PLF
1)
El ECDC deberá crear y garantizar una
infraestructura de comunicación segura y fiable que interconecte a las
autoridades competentes del SAPR de los Estados miembros que participan en la
plataforma de intercambio de PLF.
El tratamiento por parte del ECDC de la plataforma de
intercambio de PLF implica lo siguiente:
a) definir el conjunto mínimo de
requisitos técnicos para permitir una subida y una descarga fluidas y seguras
de las bases de datos de los PLF nacionales;
b) garantizar la interoperabilidad de las
bases de datos de los PLF nacionales de forma segura y automatizada.
2) A fin de cumplir sus obligaciones como encargado del tratamiento de los datos de la plataforma de intercambio del PLF, el ECDC recurrirá a la Comisión como subencargada del tratamiento y velará por que se le apliquen las mismas obligaciones en materia de protección de datos que contiene la presente Decisión.
El ECDC podrá autorizar a la Comisión a recurrir a
terceros como subencargados del tratamiento adicionales.
Si la Comisión recurre a subencargados del
tratamiento, el ECDC deberá:
a) velar por que se apliquen a estos
subencargados del tratamiento las mismas obligaciones en materia de protección
de datos que contiene la presente Decisión;
b) informar a los responsables del
tratamiento de cualquier cambio previsto en relación con la adición o
sustitución de otros subencargados del tratamiento, dándoles así la oportunidad
de oponerse por mayoría simple a tales cambios.
3) El ECDC deberá:
a) crear y garantizar una infraestructura
de comunicación segura y fiable que interconecte a las autoridades competentes
del SAPR de los Estados miembros que participan en la plataforma de intercambio
de PLF;
b) tratar los datos de los PLF y los datos
epidemiológicos adicionales, basándose exclusivamente en las instrucciones
documentadas dadas por los responsables del tratamiento, salvo que se le exija
otra cosa en virtud del Derecho de la Unión; en tal caso, el ECDC informará a
los responsables del tratamiento de ese requisito jurídico antes del
tratamiento, salvo que el citado Derecho prohíba enviar esa información por
motivos importantes de interés público;
c) establecer un plan de seguridad, una
continuidad de la actividad y un plan de recuperación en caso de catástrofe;
d) adoptar las medidas necesarias para
preservar la integridad de los datos de los PLF y los datos epidemiológicos
adicionales tratados;
e) tomar
todas las medidas de seguridad organizativa, física y electrónica más avanzadas
que sean necesarias para el mantenimiento de la plataforma de intercambio de
PLF; a tal fin, el ECDC deberá:
i) designar una entidad responsable de la
gestión de la seguridad en la plataforma de intercambio de PLF, comunicar a los
responsables del tratamiento sus datos de contacto y garantizar su
disponibilidad para reaccionar ante las amenazas para la seguridad,
ii) asumir la responsabilidad respecto a la
seguridad de la plataforma de intercambio de PLF,
iii) velar por que todas las personas a las que se
conceda acceso a la plataforma de intercambio de PLF estén sujetas a una
obligación contractual, profesional o legal de confidencialidad;
f) adoptar
todas las medidas de seguridad necesarias para evitar poner en peligro el
correcto funcionamiento operativo de la plataforma de intercambio de PLF; a tal
fin, el ECDC instaurará procedimientos específicos relativos al funcionamiento
de la plataforma de intercambio de PLF y a la conexión de los servidores
finales con dicha plataforma; esto incluye:
i) un procedimiento de evaluación de
riesgos a fin de detectar y estimar las amenazas potenciales para el sistema,
ii) un
procedimiento de auditoría y verificación a fin de:
1) comprobar la correspondencia entre las
medidas de seguridad implementadas y la política de seguridad aplicable;
2) controlar periódicamente la integridad
de los ficheros del sistema, los parámetros de seguridad y las autorizaciones
concedidas;
3) detectar y vigilar las violaciones de la
seguridad y las intrusiones;
4) introducir cambios para mitigar las
deficiencias existentes en materia de seguridad;
5) permitir, también a petición de los
responsables del tratamiento, la realización de auditorías independientes, en
particular inspecciones, y de verificaciones de las medidas de seguridad, en
condiciones que respeten lo dispuesto en el Protocolo n.o 7 del TFUE,
sobre los privilegios y las inmunidades de la Unión Europea (2), y contribuir a
ellas,
iv) el establecimiento de un procedimiento
de mantenimiento y reparación para especificar las normas y condiciones que han
de respetarse cuando deba procederse al mantenimiento o la reparación de
equipos,
v) el establecimiento de un procedimiento
en caso de incidentes de seguridad para definir el régimen de notificación y
remisión a instancia superior, informar sin demora a los responsables del
tratamiento para que notifiquen a las autoridades nacionales de supervisión de
la protección de datos cualquier violación de la seguridad de los datos
personales y definir un procedimiento disciplinario para las violaciones de la
seguridad;
i) poner en ejecución medidas de
seguridad física a fin de establecer perímetros de seguridad nítidos y permitir
que se detecten las violaciones,
ii) controlar el acceso a las instalaciones
y mantener un registro de visitantes a efectos de seguimiento,
iii) velar por que las personas externas a las que
se haya concedido acceso a los locales sean acompañadas por personal
debidamente autorizado,
iv) velar por que no puedan añadirse,
sustituirse ni retirarse equipos sin la autorización previa de los organismos
responsables designados,
v) controlar el acceso desde y hacia los
sistemas nacionales de PLF en la plataforma de intercambio de PLF,
vi) velar por que las personas que accedan a
la plataforma de intercambio de PLF estén identificadas y autenticadas,
vii) verificar los derechos de autorización
relacionados con el acceso a la plataforma de intercambio de PLF en caso de que
se produzca una violación de la seguridad que afecte a esta infraestructura,
viii) aplicar medidas de seguridad técnica y
organizativa para evitar el acceso no autorizado a los datos de los PLF y los
datos epidemiológicos,
ix) instaurar, cuando sea necesario, medidas
para bloquear el acceso no autorizado a la plataforma de intercambio de PLF
desde el dominio de las autoridades nacionales (es decir, bloquear una
ubicación o una dirección IP);
i) mantener un plan de gestión de riesgos
relacionado con su ámbito de responsabilidad;
j) monitorizar, en tiempo real, el
funcionamiento de todos los componentes de servicio de la plataforma de
intercambio de PLF, elaborar estadísticas regulares y llevar registros;
k) garantizar que el servicio esté
disponible las veinticuatro horas del día, siete días a la semana, con un
tiempo de inactividad razonable para fines de mantenimiento;
l) prestar apoyo con respecto a todos los
servicios de la plataforma de intercambio de PLF en inglés, por teléfono,
correo electrónico o portal web, y aceptar las llamadas de los usuarios
autorizados: los coordinadores de la plataforma de intercambio de PLF y sus
respectivos servicios de asistencia, los responsables de proyectos y las
personas designadas del ECDC;
m) ayudar en la medida de lo posible a los
responsables del tratamiento con medidas técnicas y organizativas apropiadas,
para que cumplan su obligación de responder a las solicitudes de ejercicio de
los derechos de los interesados establecidos en el capítulo III del Reglamento
(UE) 2016/679;
n) ayudar a los responsables del
tratamiento proporcionándoles información sobre la plataforma de intercambio de
PLF, a fin de dar cumplimiento a las obligaciones derivadas de los artículos
32, 35 y 36 del Reglamento (UE) 2016/679;
o) garantizar que los datos de los PLF y
los datos epidemiológicos transmitidos a través de la plataforma de intercambio
de PLF sean ininteligibles para cualquier persona que no esté autorizada a
acceder a ellos, en particular mediante la aplicación de un cifrado fuerte;
p) adoptar todas las medidas pertinentes
para impedir que los operadores de la plataforma de intercambio de PLF accedan
sin autorización a los datos de los PLF y los datos epidemiológicos
transmitidos;
q) adoptar medidas para facilitar la
interoperabilidad y la comunicación entre los responsables del tratamiento
designados de la plataforma de intercambio de PLF;
r) llevar un registro de las actividades
de tratamiento realizadas por cuenta de los responsables del tratamiento de
conformidad con el artículo 31, apartado 2, del Reglamento (UE) 2018/1725
del Parlamento Europeo y del Consejo.
»
(*) Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE (DO L 119 de 4.5.2016, p. 1).
