Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
El Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, tiene por objeto la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE, y en particular su artículo 25.
Según el (1) Considerando, que la Comisión lleva a cabo investigaciones con el fin de hacer cumplir las normas establecidas en el Reglamento (UE) 2022/2065 relativo a un mercado único de servicios digitales, respecto a los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño. Y que a tal fin, ejerce las competencias de supervisión, investigación, ejecución y seguimiento conferidas a la Comisión por el Reglamento (UE) 2022/2065.
Según el artículo 1, Objeto, la presente Decisión establece las normas que deberá seguir la Comisión para informar a los interesados del tratamiento de sus datos personales de conformidad con los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, cuando realice las tareas de supervisión, investigación, ejecución y seguimiento que le atribuye el Reglamento (UE) 2022/2065.
El artículo 2, Ámbito de aplicación, se aplica a:
1. La categoría
de interesados siguientes;
a) sospechosos; b) víctimas; c) denunciantes; d) informantes; e) testigos; f) personal de una empresa; g) personas físicas cuyos datos personales figuren en los documentos u otros soportes recogidos como parte de las tareas de supervisión, investigación, ejecución y seguimiento a que se refiere el Reglamento (UE) 2022/2065; y
2. a la siguiente categoría de datos personales:
a) datos de identificación; b) datos de contacto; c) datos de participación en el caso; d) datos relacionados con el caso; e) cualquier otra información que se considere necesaria para cumplir los requisitos del Reglamento (UE) 2022/2065, incluidos los datos personales a que se refieren el artículo 10, apartado 1, y el artículo 11 del Reglamento (UE) 2018/1725.
A fin de acceder a normas similares y estándares
europeos, las empresas, organizaciones públicas y privados interesados en
asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías
sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com
______________________________________________________________
 | Diario Oficial | ES Serie L |
2025/628 | 1.4.2025 |
DECISIÓN (UE) 2025/628 DE LA COMISIÓN
de 31 de marzo de 2025
por la que se establecen normas internas relativas a la comunicación de información a los interesados y a las limitaciones de los derechos de determinados interesados en relación con el tratamiento de datos personales por la Comisión a efectos de la supervisión, la investigación, la ejecución y el seguimiento a que se refiere el Reglamento (UE) 2022/2065
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,
Considerando lo siguiente:
(1) | La Comisión lleva a cabo investigaciones con el fin de hacer cumplir las normas establecidas en el Reglamento (UE) 2022/2065 (2) con respecto a los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño. A tal fin, ejerce las competencias de supervisión, investigación, ejecución y seguimiento conferidas a la Comisión por el Reglamento (UE) 2022/2065. |
(2) | Las tareas que atribuye a la Comisión el Reglamento (UE) 2022/2065 son ejecutadas por la Dirección General de Redes de Comunicación, Contenido y Tecnologías de la Comisión. |
(3) | La Comisión trata información en el marco de las tareas de supervisión, investigación, ejecución y seguimiento que le atribuye el Reglamento (UE) 2022/2065. Dicha información puede comprender datos personales de personas físicas, como el personal de la empresa (por ejemplo, el responsable de control del cumplimiento normativo, el punto de contacto único), sospechosos, víctimas, denunciantes, informantes y testigos, así como otras personas físicas cuyos datos personales figuren en documentos obtenidos en el marco de las tareas de supervisión, investigación, ejecución y seguimiento que atribuye a la Comisión el Reglamento (UE) 2022/2065. |
(4) | El tratamiento de datos personales, en el sentido del artículo 3, punto 3, del Reglamento (UE) 2018/1725, llevado a cabo en el marco de las actividades de investigación y ejecución a que se refiere el Reglamento (UE) 2022/2065 podría tener lugar incluso antes de que la Comisión incoe el procedimiento formal con arreglo al artículo 66 del Reglamento (UE) 2022/2065. También podría continuar durante la investigación e incluso después de su cierre formal (por ejemplo, para las actividades de control o seguimiento del cumplimiento de las normas, evaluando la necesidad de iniciar nuevas actividades de investigación o un proceso judicial). |
(5) | Para realizar las tareas que le atribuye el Reglamento (UE) 2022/2065, la Comisión trata varias categorías de datos personales, como los datos de identificación, los datos de contacto, los datos de participación en el caso, los datos relacionados con el caso y cualquier otra información que se considere necesaria. Aunque es poco probable, entre las categorías de datos personales tratados podrían contarse también las categorías especiales de datos personales a que se refiere el artículo 10, apartado 1, del Reglamento (UE) 2018/1725 si concurre alguna de las circunstancias enumeradas en el artículo 10, apartados 2 o 3, de dicho Reglamento, así como los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 11 del Reglamento (UE) 2018/1725. En la realización de las tareas que le atribuye el Reglamento (UE) 2022/2065, la Comisión está obligada a respetar los derechos de las personas físicas en relación con el tratamiento de los datos personales reconocidos en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea, así como los derechos contemplados en el Reglamento (UE) 2018/1725. Al mismo tiempo, la Comisión, en las actividades que realice en el marco del Reglamento (UE) 2022/2065, debe cumplir las estrictas normas de confidencialidad y secreto profesional a que se refiere su artículo 84. |
(6) | En determinadas circunstancias, es necesario conciliar los derechos de los interesados recogidos en el Reglamento (UE) 2018/1725 con la efectividad de la Comisión en la realización de las tareas de supervisión, investigación, ejecución y seguimiento que le atribuye el Reglamento (UE) 2022/2065, respetando plenamente los derechos y libertades fundamentales de otros interesados al mismo tiempo. A tal fin, el artículo 25, apartado 1, del Reglamento (UE) 2018/1725 ofrece a la Comisión la posibilidad de limitar, en determinadas condiciones, la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22 del Reglamento (UE) 2018/1725. |
(7) | En determinadas circunstancias, es necesario conciliar los derechos de los interesados con la necesidad de salvaguardar los objetivos de las tareas de supervisión, investigación, ejecución y seguimiento realizadas en virtud del Reglamento (UE) 2022/2065, que constituye un objetivo importante de interés público general de la Unión en el sentido del artículo 25, apartado 1, letra c), del Reglamento (UE) 2018/1725. La Comisión podría aplicar limitaciones cuando, por ejemplo, el ejercicio de dichos derechos afectara gravemente a su capacidad para investigar de manera eficaz, lo que obstaculizaría la consecución de su objetivo. En tales casos, hay riesgo de destrucción de pruebas o de interferencia con personas clave (por ejemplo, testigos) durante la investigación. |
(8) | En determinadas circunstancias, es necesario equilibrar los derechos de los interesados con los derechos y libertades fundamentales de otras personas afectadas, como las víctimas o los testigos. De ser así, la Comisión podría decidir limitar el acceso a la identidad, las declaraciones y otros datos personales de dichas personas con el fin de proteger sus derechos y libertades amparándose en el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725. La Comisión podría actuar en este sentido, especialmente para proteger a estas personas de posibles represalias. |
(9) | Es necesario proteger la información confidencial relativa a los informantes, los denunciantes o cualquier otra persona física que haya comunicado información a la Comisión al realizar esta las tareas de supervisión, investigación, ejecución y seguimiento que le atribuye el Reglamento (UE) 2022/2065. La Comisión debe limitar el acceso a la identidad, las declaraciones y otros datos personales de dichas personas con el fin de proteger sus derechos y libertades amparándose en el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725. La Comisión puede revelar la identidad del denunciante o informante únicamente si este lo autoriza. Esta debe revelar su identidad si así lo exige una norma o una autoridad judicial. Si el interesado presenta una solicitud de acceso a sus datos personales, se le debe conceder el acceso a dichos datos, incluidos los facilitados por un denunciante o informante. Para proteger su confidencialidad, la Comisión no debe facilitar al interesado el nombre del informante o denunciante, ni cualquier otra información que permita su identificación directa o indirecta. |
(10) | Además, a fin de garantizar la aplicación efectiva del Reglamento (UE) 2022/2065, en particular en lo que se refiere a la cooperación entre la Comisión y los Estados miembros, la Comisión podría limitar los derechos de los interesados y salvaguardar así un objetivo importante de interés público general de la Unión o de un Estado miembro, tal como se contempla en el artículo 25, apartado 1, letra c), del Reglamento (UE) 2018/1725. La Comisión podría actuar en este sentido si la finalidad de tal limitación aplicada por una autoridad de un Estado miembro se vería comprometida si la Comisión no aplicara una limitación equivalente a los mismos datos personales. Además, a fin de garantizar la aplicación efectiva del Reglamento (UE) 2022/2065, la Comisión podría aplicar limitaciones para salvaguardar la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención, en consonancia con el artículo 25, apartado 1, letra b), del Reglamento (UE) 2018/1725. Al aplicar las limitaciones basadas en el artículo 25, apartado 1, letra c), del Reglamento (UE) 2018/1725, la Comisión debe consultar al Estado miembro que salvaguarde el objetivo importante de interés público general de que se trate sobre los posibles motivos pertinentes para aplicar limitaciones, así como sobre la necesidad y proporcionalidad de dichas limitaciones, a menos que dicha consulta ponga en peligro las actividades de la Comisión. Amparándose en el artículo 25, apartado 1, letra g), del Reglamento (UE) 2018/1725, la Comisión puede decidir limitar los derechos de los interesados para salvaguardar una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos mencionados anteriormente y a que se refiere el artículo 25, apartado 1, letras b) y c), del Reglamento (UE) 2018/1725. |
(11) | La Comisión solo debe aplicar limitaciones cuando respeten los derechos y libertades fundamentales establecidos en la Carta y sean estrictamente necesarias y proporcionadas en una sociedad democrática. La Comisión debe justificar dichas limitaciones. |
(12) | El artículo 25, apartado 6, del Reglamento (UE) 2018/1725 obliga al responsable del tratamiento a informar a los interesados de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos. |
(13) | Con arreglo al artículo 25, apartado 8, del Reglamento (UE) 2018/1725, la Comisión puede aplazar, omitir o denegar la comunicación al interesado de la información en la que se basa la aplicación de una limitación si el hecho de comunicar esta información fuera a dejar sin efecto la limitación. La Comisión debe evaluar en cada caso si la comunicación de la limitación puede dejarla sin efecto. |
(14) | La Comisión debe levantar la limitación tan pronto como las circunstancias que la justifiquen dejen de ser aplicables y debe evaluar dichas condiciones de forma periódica. |
(15) | Con el fin de cumplir lo dispuesto en los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725, la Comisión debe informar a los interesados de sus derechos y de las actividades que lleve a cabo que impliquen el tratamiento de sus datos personales, de manera transparente y coherente, mediante la publicación de un aviso de protección de datos en el sitio web de la Comisión. La Comisión debe informar individualmente, por los medios adecuados, a los denunciantes, los informantes, los testigos y, en su caso, al personal de la empresa (por ejemplo, el responsable de control del cumplimiento normativo, el punto de contacto único) sobre el tratamiento de sus datos personales. |
(16) | El artículo 16, apartado 5, del Reglamento (UE) 2018/1725 establece excepciones al derecho de los interesados a la información. Si se aplican dichas excepciones, la Comisión no necesita aplicar ninguna limitación al derecho a la información en el marco de la presente Decisión. Las excepciones establecidas en el artículo 16, apartado 5, letra b), del Reglamento (UE) 2018/1725 deben aplicarse cuando la comunicación de la información a que se refiere su artículo 16, apartados 1 a 4, resulte imposible, suponga un esfuerzo desproporcionado o pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En los casos en que los documentos obtenidos en el transcurso de la supervisión, investigación, ejecución y seguimiento a que se refiere el Reglamento (UE) 2022/2065 contengan datos personales de interesados no pertinentes para la investigación y distintos de los comunicados por cada interesado, la comunicación de dicha información podría resultar imposible o suponer un esfuerzo desproporcionado. Esto podría ocurrir cuando la Comisión obtenga datos personales a través de una denuncia o durante sus acciones de seguimiento para garantizar la aplicación efectiva y el cumplimiento del Reglamento (UE) 2022/2065. Pueden también aplicarse las excepciones establecidas en el artículo 16, apartado 5, letra b), del Reglamento (UE) 2018/1725 cuando la comunicación de dicha información a los sospechosos y las víctimas relacionados con un caso pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. |
(17) | En aplicación de los principios de transparencia, equidad y rendición de cuentas, la Comisión debe proceder con transparencia siempre que aplique excepciones y limitaciones y llevar un registro de estas. |
(18) | Para garantizar la protección de los derechos y libertades de los interesados y con arreglo al artículo 44, apartado 1, del Reglamento (UE) 2018/1725, la Comisión debe implicar al coordinador de la protección de datos de la Dirección General de Redes de Comunicación, Contenido y Tecnologías y al delegado de protección de datos de la Comisión durante el proceso de aplicación de limitaciones, y documentar esta consulta. En particular, es preciso consultar oportunamente al coordinador de la protección de datos sobre cualquier limitación que pueda aplicarse y comprobar su conformidad con la presente Decisión. |
(19) | El delegado de protección de datos de la Comisión debe realizar una revisión independiente de la aplicación de las limitaciones, a fin de garantizar el cumplimiento de la presente Decisión. |
(20) | Se ha consultado al Supervisor Europeo de Protección de Datos, quien emitió su dictamen el 22 de octubre de 2024. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Objeto
1. La presente Decisión establece las normas que deberá seguir la Comisión para informar a los interesados del tratamiento de sus datos personales de conformidad con los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725 cuando realice las tareas de supervisión, investigación, ejecución y seguimiento que le atribuye el Reglamento (UE) 2022/2065.
2. Asimismo, establece las condiciones en las que la Comisión puede limitar la aplicación de los artículos 4, 14 a 20 y 35 del Reglamento (UE) 2018/1725, de conformidad con el artículo 25, apartado 1, letras b), c), g) y h), de dicho Reglamento.
Artículo 2
Ámbito de aplicación
1. La presente Decisión se aplica al tratamiento de datos personales por parte de la Comisión de las siguientes categorías de interesados:
a) | sospechosos; |
b) | víctimas; |
c) | denunciantes; |
d) | informantes; |
e) | testigos; |
f) | personal de una empresa; |
g) | personas físicas cuyos datos personales figuren en los documentos u otros soportes recogidos como parte de las tareas de supervisión, investigación, ejecución y seguimiento a que se refiere el Reglamento (UE) 2022/2065. |
2. La presente Decisión se aplica al tratamiento de datos personales de las siguientes categorías de datos personales:
a) | datos de identificación; |
b) | datos de contacto; |
c) | datos de participación en el caso; |
d) | datos relacionados con el caso; |
e) | cualquier otra información que se considere necesaria para cumplir los requisitos del Reglamento (UE) 2022/2065, incluidos los datos personales a que se refieren el artículo 10, apartado 1, y el artículo 11 del Reglamento (UE) 2018/1725. |
Artículo 3
Limitaciones
1. A reserva de lo dispuesto en los artículos 3 a 8 de la presente Decisión, la Comisión podrá limitar la aplicación de los artículos 14 a 20 y 35 del Reglamento (UE) 2018/1725, así como el principio de transparencia establecido en su artículo 4, apartado 1, letra a), en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en sus artículos 14 a 20 cuando:
a) | el ejercicio de dichos derechos ponga en peligro la finalidad de las actividades de supervisión, investigación, ejecución y seguimiento que atribuye a la Comisión el Reglamento (UE) 2022/2065, en consonancia con el artículo 25, apartado 1, letras c) y g), del Reglamento (UE) 2018/1725; |
b) | el ejercicio de dichos derechos y obligaciones afecte negativamente a la protección del interesado o a los derechos y libertades de terceros, en consonancia con el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725; |
c) | el ejercicio de dichos derechos y obligaciones pueda poner en peligro la cooperación de la Comisión con los Estados miembros con el fin de garantizar la aplicación efectiva del Reglamento (UE) 2022/2065, en consonancia con el artículo 25, apartado 1, letras b) y g), del Reglamento (UE) 2018/1725. |
2. Antes de aplicar limitaciones en las circunstancias a que se refiere el apartado 1, letra c), la Comisión consultará a los Estados miembros pertinentes sobre los posibles motivos para imponer limitaciones y sobre la necesidad y proporcionalidad de dichas limitaciones, a menos que dicha consulta ponga en peligro las actividades de la Comisión.
3. Los apartados 1 y 2 del presente artículo se entenderán sin perjuicio de la aplicación de otras decisiones de la Comisión que establezcan normas internas sobre la comunicación de información a los interesados y la limitación de determinados derechos con arreglo al artículo 25 del Reglamento (UE) 2018/1725.
4. Antes de aplicar las limitaciones a que se refiere el apartado 1, la Comisión llevará a cabo y documentará una evaluación caso por caso de su necesidad y proporcionalidad. Dichas limitaciones serán las estrictamente necesarias para alcanzar su objetivo.
Artículo 4
Comunicación de información a los interesados
1. La Comisión publicará en su sitio web un aviso de protección de datos que informará a todos los interesados de sus actividades que impliquen el tratamiento de los datos personales de estos a efectos de las tareas de supervisión, investigación, ejecución y seguimiento que le atribuye el Reglamento (UE) 2022/2065. El aviso de protección de datos ofrecerá información sobre la posible limitación de los derechos de los interesados con arreglo al artículo 3. Esta información cubrirá los derechos que pueden ser objeto de limitaciones, los motivos por los que pueden aplicarse las limitaciones y su posible duración.
2. La Comisión informará individualmente, por los medios adecuados, a los denunciantes, los informantes, los testigos y, en su caso, al personal de la empresa sobre el tratamiento de sus datos personales.
3. Cuando la Comisión limite, de conformidad con el artículo 3, total o parcialmente, la comunicación de información a que se refiere el apartado 1, consignará y registrará las razones de la limitación de conformidad con el artículo 7 de la presente Decisión. Asimismo, la Comisión informará a los interesados sobre su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.
Artículo 5
Derecho de acceso del interesado, derecho de rectificación, derecho de supresión y derecho a la limitación del tratamiento
1. Cuando la Comisión limite, total o parcialmente, el derecho de los interesados de acceso a los datos, el derecho de rectificación, el derecho de supresión o el derecho a la limitación del tratamiento a que se refieren, respectivamente, los artículos 17 a 20 del Reglamento (UE) 2018/1725, informará de los siguientes aspectos al interesado en su respuesta a la solicitud de acceso, rectificación, supresión o limitación del tratamiento:
a) | la limitación aplicada y sus principales motivos; |
b) | la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos. |
2. La Comisión podrá aplazar, omitir o denegar la comunicación de información sobre las razones de la limitación y el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos durante el tiempo en que ello deje sin efecto la limitación. La Comisión evaluará caso por caso si esto está justificado. Tan pronto como dicha comunicación de información ya no deje sin efecto de la limitación, la Comisión facilitará la información al interesado.
Artículo 6
Comunicación de violaciones de la seguridad de los datos personales a los interesados
1. Cuando la Comisión tenga la obligación de comunicar una violación de la seguridad de los datos personales con arreglo al artículo 35, apartado 1, del Reglamento (UE) 2018/1725, podrá, en casos excepcionales, limitar dicha comunicación total o parcialmente. Consignará y registrará los motivos de la limitación, su fundamento jurídico de conformidad con el artículo 3 y una evaluación de su necesidad y proporcionalidad. La información registrada se comunicará al Supervisor Europeo de Protección de Datos en el momento de la notificación de la violación de la seguridad de los datos personales.
2. Cuando dejen de concurrir los motivos de la limitación, la Comisión comunicará al interesado la violación de la seguridad de los datos personales y los motivos principales de la limitación, así como de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.
3. Cuando la Comisión notifique la violación de la seguridad de los datos personales al Supervisor Europeo de Protección de Datos de conformidad con el artículo 34, apartado 1, del Reglamento (UE) 2018/1725, incluirá la información registrada de conformidad con el artículo 7 de la presente Decisión.
Artículo 7
Consignación y registro de las limitaciones
1. La Comisión consignará los motivos de toda limitación impuesta con arreglo a la presente Decisión, su fundamento jurídico y una evaluación tanto de los riesgos para los derechos y libertades de los interesados que acarree la limitación en cuestión como de la necesidad y proporcionalidad de esta, teniendo en cuenta los aspectos pertinentes establecidos en el artículo 25, apartado 2, del Reglamento (UE) 2018/1725.
2. Se indicará la manera en que el ejercicio del derecho por el interesado de que se trate socava uno o varios de los motivos aplicables contemplados en el artículo 25, apartado 1, letras b), c), g) y h), del Reglamento (UE) 2018/1725.
3. Se registrarán la anotación y, en su caso, los documentos que contengan los elementos de hecho y de Derecho subyacentes. Se pondrán a disposición del Supervisor Europeo de Protección de Datos previa solicitud.
4. La Comisión elaborará informes periódicos sobre la aplicación de las limitaciones a que se refiere el artículo 25 del Reglamento (UE) 2018/1725 en el marco de la presente Decisión.
Artículo 8
Duración de las limitaciones
1. Las limitaciones a que se refieren los artículos 4, 5 y 6 seguirán siendo aplicables mientras lo sigan siendo los motivos que las justifiquen y se levantarán en cuanto dichos motivos dejen de concurrir.
2. Cuando los motivos de una limitación dejen de concurrir, la Comisión levantará la limitación.
3. Además, comunicará al interesado los motivos por los que se aplica dicha limitación y le informará sobre la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.
4. La Comisión revisará la aplicación de las limitaciones contempladas en los artículos 4, 5 y 6 cada seis meses y al archivar el expediente. La revisión incluirá una evaluación de la necesidad y proporcionalidad de la limitación, teniendo en cuenta los aspectos pertinentes enumerados en el artículo 25, apartado 2, del Reglamento (UE) 2018/1725.
Artículo 9
Garantías y conservación
1. La Comisión aplicará garantías para prevenir los abusos y el acceso ilícito a los datos personales que sean objeto o puedan ser objeto de limitaciones o de excepciones, o la transferencia ilícita de estos. Dichas garantías podrán consistir en medidas técnicas y organizativas tales como:
a) | la definición clara de las funciones, responsabilidades, fases del procedimiento y derechos de acceso; |
b) | un entorno electrónico seguro que impida el acceso ilícito o accidental a datos electrónicos a personas no autorizadas, o la transferencia de estos; |
c) | el almacenamiento y tratamiento seguros de los documentos en papel, limitados a lo estrictamente necesario para alcanzar el objetivo del tratamiento; |
d) | la debida supervisión de las limitaciones y la revisión periódica de su aplicación. Las revisiones se efectuarán al menos cada seis meses y al archivar el expediente. |
2. Los datos personales se conservarán, de conformidad con las normas de conservación aplicables de la Comisión que han de definirse, en el registro de las actividades de tratamiento contemplado en el artículo 31 del Reglamento (UE) 2018/1725. Al final del período de conservación, los datos personales se suprimirán, anonimizarán o transferirán a los archivos de conformidad con el artículo 13 del Reglamento (UE) 2018/1725.
Artículo 10
Participación del coordinador de la protección de datos y del delegado de protección de datos de la Comisión
1. Antes de que se aplique cualquier limitación, el coordinador de la protección de datos de la Dirección General de Redes de Comunicación, Contenido y Tecnologías deberá dar su opinión al respecto y verificar la conformidad de dicha limitación con la presente Decisión.
2. Se informará sin demora injustificada al delegado de protección de datos de la Comisión cada vez que se limiten los derechos del interesado de conformidad con la presente Decisión. Se facilitará al delegado de protección de datos de la Comisión, previa petición, el acceso al registro y a todos los documentos que contengan los elementos de hecho y de Derecho subyacentes.
3. El delegado de protección de datos podrá solicitar una revisión de la aplicación de una limitación y se le informará por escrito del resultado de dicha revisión.
4. La Comisión documentará la participación del delegado de protección de datos de la Comisión y del coordinador de la protección de datos, en particular la información que se les haya facilitado, en cada uno de los casos en los que se limiten los derechos y obligaciones contemplados en el artículo 3, apartado 1.
Artículo 11
Entrada en vigor
La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 31 de marzo de 2025.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.
(2) Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (DO L 277 de 27.10.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj).
ELI: http://data.europa.eu/eli/dec/2025/628/oj
ISSN 1977-0685 (electronic edition)
No hay comentarios:
Publicar un comentario