martes, 1 de febrero de 2022

DECISION EUROPEA DE COMUNICACION A LOS INTERESADOS Y LIMITACION DE DERECHOS EN EL TRATAMIENTO DE DATOS PERSONALES EN PETICIONES Y RECLAMACIONES EN VIRTUD DEL ESTATUTO DE FUNCIONARIOS.

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Université de Montpellier I Francia.

RESUMEN

La Decisión es una norma jurídica de Derecho comunitario europeo que vincula a sus destinatarios en todos sus elementos y de manera directa e inmediata. Una decisión puede dirigirse a las instituciones, órganos, organismos y funcionarios de la Unión, a uno o varios de sus Estados miembros, o a particulares.

La Decisión de Comunicación a los interesados y limitación de algunos de derechos en el tratamiento de datos personales  obliga a la Comisión Europea a responder a determinadas peticiones y reclamaciones en virtud del Estatuto de los funcionarios europeos quien determina los hechos pertinentes y hace una evaluación jurídica de estos para ayudar a la autoridad facultada para proceder a los nombramientos o a la autoridad facultada para proceder a la contratación a adoptar una decisión. 

El artículo 24 del Estatuto exige a la Comisión que asista a los funcionarios mediante la persecución de los autores de amenazas, ultrajes, injurias, difamaciones o atentados contra la persona y los bienes, de que el funcionario, o los miembros de su familia, sean objeto por su condición de tales o como consecuencia del ejercicio de sus funciones.

En el contexto de estas actividades, la Comisión recoge y procesa la información pertinente. Dicha información incluye datos personales, especialmente datos de identificación, contacto y comportamiento. Los servicios competentes de la Comisión transmiten datos personales a otros servicios de la Comisión en función de la necesidad de conocer.

Los datos personales se almacenan en un entorno físico y electrónico seguro que impide el acceso o la transferencia ilícita de datos a personas que no deban conocerlos. Una vez finalizado su tratamiento, los datos se conservan de conformidad con las normas aplicables de la Comisión

Objeto y ámbito de aplicación de la Decisión

1.   La presente Decisión establece las normas que deberá seguir la Comisión para informar a las personas interesadas del tratamiento de sus datos de conformidad con los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725 cuando tramite peticiones y reclamaciones con arreglo al Estatuto.

Asimismo, establece las condiciones en las que la Comisión puede limitar la aplicación de los artículos 4, 14 a 17, 19, 20 y 35 del Reglamento (UE) 2018/1725, de conformidad con el artículo 25, apartado 1, letras b), c), g) y h) de dicho Reglamento.

2.   La presente Decisión se aplicará al tratamiento de datos personales por parte de la Comisión a efectos de la tramitación de las peticiones y reclamaciones con arreglo a los artículos 22 quater y 24 y al artículo 90, apartados 1 y 2 del Estatuto.

3.   Las categorías de datos personales incluidos en el ámbito de la presente Decisión son los datos de identificación, de contacto y de comportamiento, así como las categorías especiales de datos personales en el sentido del artículo 10, apartado 1, del Reglamento (UE) 2018/1725.

_________________________________________________________________

DECISIÓN (UE) 2022/121 DE LA COMISIÓN

de 27 de enero de 2022

por la que se establecen normas internas relativas a la comunicación de información a las personas interesadas y a la limitación de algunos de sus derechos en el contexto del tratamiento de datos personales a efectos del examen de las peticiones y reclamaciones presentadas en virtud del Estatuto de los funcionarios

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 249, apartado 1,

Considerando lo siguiente:

(1)  El Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión, establecido en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (1) (en lo sucesivo, «Estatuto»), obliga a la Comisión a responder a determinadas peticiones y reclamaciones. Esta labor compete principalmente a la Unidad de «Apelaciones y Seguimiento de Asuntos» de la Dirección General de Recursos Humanos y Seguridad (en lo sucesivo, «DG HR»), que determina los hechos pertinentes y hace una evaluación jurídica de estos para ayudar a la autoridad facultada para proceder a los nombramientos o a la autoridad facultada para proceder a la contratación (en lo sucesivo, «Autoridad») a adoptar una decisión.

 

(2)  El artículo 22 quater del Estatuto obliga a la Comisión, de conformidad con los artículos 24 y 90 del Estatuto a establecer un procedimiento para examinar las reclamaciones presentadas por funcionarios referentes al trato recibido después o como consecuencia de la notificación de una irregularidad grave con arreglo a los artículos 22 bis y 22 ter del Estatuto (2).

 

(3)  El artículo 24 del Estatuto exige a la Comisión que asista a los funcionarios mediante la persecución de los autores de amenazas, ultrajes, injurias, difamaciones o atentados contra la persona y los bienes, de que el funcionario, o los miembros de su familia, sean objeto por su condición de tales o como consecuencia del ejercicio de sus funciones.

 

(4)  El artículo 90, apartados 1 y 2, del Estatuto permite a toda persona a la que se aplica el Estatuto solicitar a la Autoridad que adopte una decisión en relación con ella o presentar una reclamación contra una decisión que le sea lesiva.

 

(5)  En el contexto de estas actividades, la Comisión recoge y procesa la información pertinente. Dicha información incluye datos personales, especialmente datos de identificación, contacto y comportamiento. Los servicios competentes de la Comisión transmiten datos personales a otros servicios de la Comisión en función de la necesidad de conocer.

 

(6) Los datos personales se almacenan en un entorno físico y electrónico seguro que impide el acceso o la transferencia ilícita de datos a personas que no deban conocerlos. Una vez finalizado su tratamiento, los datos se conservan de conformidad con las normas aplicables de la Comisión (3).

 

(7) En el desempeño de sus funciones en virtud del Estatuto, la Comisión está obligada a respetar los derechos de las personas físicas en relación con el tratamiento de los datos personales reconocidos en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16, apartado 1, del Tratado, así como los derechos contemplados en el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (4). La Comisión está obligada asimismo a cumplir estrictas normas de confidencialidad y de secreto profesional.

 

(8) En determinadas circunstancias, es necesario conciliar los derechos de las personas interesadas amparados por el Reglamento (UE) 2018/1725 con la necesidad de salvaguardar la prevención, investigación, detección y el enjuiciamiento de delitos, y velar por la eficacia de la respuesta de la Comisión ante acusaciones de acoso y demás comportamientos impropios o agresiones, respetando plenamente los derechos y libertades fundamentales de otras personas interesadas. A tal efecto, el artículo 25, apartado 1, letras b), c), g) y h), del Reglamento (UE) 2018/1725 ofrece a la Comisión la posibilidad de limitar la aplicación de los artículos 14 a 17, 19, 20 y 35 y del principio de transparencia establecido en el artículo 4, apartado 1, letra a), en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 17, 19 y 20 de dicho Reglamento.

 

(9)  Este podría ser el caso, en particular, de la comunicación de información sobre el tratamiento de datos personales a una persona que haya sido objeto de una petición o reclamación (en lo sucesivo, «persona afectada»), especialmente si el procedimiento radica en una solicitud de asistencia con arreglo al artículo 24 del Estatuto en un caso de acoso. La Comisión puede decidir restringir la comunicación de dicha información a la persona afectada para proteger los derechos y libertades de la persona solicitante, denunciante o testigo de conformidad con el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725. La Comisión puede decidir hacerlo, especialmente para proteger a estas personas de posibles represalias por parte de las personas afectadas contra las que se hayan formulado acusaciones de buena fe que, sin embargo, no hayan dado lugar a la adopción de medidas por parte de la administración. En algunas situaciones puede ser necesario limitar la comunicación de dicha información para evitar que se produzcan acoso u otros comportamientos impropios o agresiones en la Comisión (en particular, en la entidad organizativa en el que la persona afectada y la persona solicitante, denunciante o testigo trabajen juntos).

 

(10) También podría ser necesario limitar otros derechos de la persona afectada cuando el ejercicio de esos derechos desvele información sobre la persona solicitante, denunciante o testigo que haya solicitado que no se revele su identidad. En tal caso, la Comisión puede decidir limitar el derecho de acceso a la declaración relativa a la persona afectada u otros derechos de esta para proteger los derechos y libertades de la persona solicitante, denunciante o testigo por las razones expuestas en el considerando 9. La Comisión puede decidir hacerlo en virtud del artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725.

 

(11) También puede ser necesario limitar los derechos de la persona afectada, con objeto de salvaguardar funciones de supervisión, inspección o reglamentación vinculadas al ejercicio de la autoridad pública en los casos en que esté en juego un objetivo importante de interés público general de la Unión, a saber, garantizar la eficacia de la respuesta de la Comisión ante acusaciones de acoso y de cualquier otro comportamiento impropio o de agresión. La lucha contra el acoso y contra cualquier otro comportamiento impropio o agresión constituye un objetivo importante de interés público general de la Unión y también de la Comisión. Además, la Comisión tiene el deber de asistir a su personal de conformidad con el artículo 24 del Estatuto. Para no disuadir a los miembros del personal de denunciar los casos de acoso y otros comportamientos impropios o agresiones ni de solicitar asistencia en este contexto, lo cual redunda en el interés público de la Unión, debe garantizarse que las personas afectadas no tengan conocimiento de la solicitud de asistencia que les concierne. Esto podría ser especialmente pertinente en aquellos casos en que la Autoridad considere que no se ha producido acoso en el sentido del Estatuto. En tal situación, el interés público de la Unión requeriría que la persona afectada no tuviera conocimiento de la petición de asistencia para preservar el recurso de los miembros del personal al procedimiento previsto en el artículo 24 del Estatuto y evitar nuevos conflictos. A este respecto, la Comisión puede decidir limitar los derechos de la persona afectada de conformidad con el artículo 25, apartado 1, letras c) y g), del Reglamento (UE) 2018/1725.

 

(12)  También puede ser necesario restringir los derechos de la persona afectada para salvaguardar la prevención, investigación, detección y el enjuiciamiento de delitos que los solicitantes, denunciantes o testigos notifiquen a la Comisión en relación con la persona afectada. Por ejemplo, las personas solicitantes, denunciantes o testigos pueden notificar comportamientos impropios y acoso psicológico y sexual. En estos casos, la Comisión puede decidir limitar los derechos de la persona afectada de conformidad con el artículo 25, apartado 1, letra b), del Reglamento (UE) 2018/1725.

 

(13)  El Estatuto exige a la Comisión que vele por que las peticiones y reclamaciones presentadas con arreglo a este se tramiten de forma confidencial. Para ello, al tiempo que se respetan las normas de protección de datos personales contempladas en el Reglamento (UE) 2018/1725, es preciso adoptar normas internas que permitan a la Comisión limitar los derechos de las personas interesadas de acuerdo con el artículo 25, apartado 1), letras b), c), g) y h), del Reglamento (UE) 2018/1725.

 

(14)  Las normas internas deben aplicarse a todas las operaciones de tratamiento llevadas a cabo por la Comisión en el ejercicio de sus funciones en relación con la tramitación de las peticiones y reclamaciones presentadas con arreglo al Estatuto.

 

(15)  Con el fin de cumplir lo dispuesto en los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725, la Comisión debe informar a cualquier persona interesada de las actividades que lleve a cabo que impliquen el tratamiento de los datos personales y los derechos de dicha persona, de manera transparente y coherente, mediante la publicación de un aviso de protección de datos en el sitio web de la Comisión. Cuando proceda, la Comisión debe informar individualmente, por los medios adecuados, a las personas interesadas implicadas en una petición o reclamación, es decir, las personas solicitantes y denunciantes, las personas afectadas y a las personas testigos.

 

(16)  La Comisión debe tratar todas las limitaciones de manera transparente y registrar cada limitación aplicada en el sistema de registro correspondiente.

 

(17)  Por lo que se refiere a las limitaciones a la aplicación del artículo 16 del Reglamento (UE) 2018/1725, que establece que, cuando los datos personales no se hayan obtenido de la persona interesada, esta debe ser informada en el plazo máximo de un mes, la Comisión debe elaborar, en el plazo de un mes, un registro en el que se describan los motivos por los que se aplique cualquier limitación. Dicho registro debe incluir una evaluación caso por caso de la necesidad y proporcionalidad de la limitación.

 

(18)  De conformidad con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, los responsables del tratamiento pueden aplazar, omitir o denegar la comunicación de información sobre los principales motivos de la aplicación de una limitación a la persona interesada si el hecho de comunicar esta información anulara el efecto de la limitación. Este es el caso, en particular, de las limitaciones a la aplicación de los artículos 16 y 35 de dicho Reglamento.

 

(19)  La Comisión debe revisar periódicamente las limitaciones impuestas para asegurarse de que los derechos de las personas interesadas a ser informadas con arreglo a los artículos 16 y 35 del Reglamento (UE) 2018/1725 estén restringidos únicamente en la medida en que tales limitaciones sean necesarias por los motivos expuestos en el considerando 8.

 

(20)  La aplicación de limitaciones debe revisarse cuando se responda a peticiones presentadas al amparo de los artículos 22 quater y 24 y del artículo 90, apartado 1, del Estatuto y a reclamaciones presentadas al amparo del artículo 22 quater y el artículo 90, apartado 2, del Estatuto, o cuando se archiven dichas peticiones y reclamaciones, si la fecha de esta actuación fuera anterior. Posteriormente, la Comisión ha de comprobar anualmente la necesidad de mantener cualquier tipo de limitación.

 

(21)  En determinados casos, puede resultar necesario mantener una limitación, en particular de la aplicación del artículo 16 del Reglamento (UE) 2018/1725, mientras la Comisión siga conservando los datos personales en cuestión. En tal caso, la persona interesada no debe ser informada del tratamiento de sus datos personales. Esta situación puede darse, en particular, cuando exista un alto riesgo de que la comunicación de información sobre el tratamiento de datos personales a la persona afectada menoscabe los derechos y libertades de terceros. Por ejemplo, cuando la Autoridad desestime una solicitud de asistencia presentada de buena fe por un supuesto comportamiento impropio de la persona afectada, y esta y la persona solicitante trabajen juntos en la misma entidad organizativa. En tal situación, se corre el riesgo de que la persona solicitante sea objeto de represalias y que el ambiente de trabajo de la entidad organizativa se vea afectado. En un caso similar, los datos personales de la persona afectada solo deben conservarse mientras sean pertinentes para la tramitación de la petición o reclamación y mientras esta última pueda ser objeto de litigio.

 

(22) El delegado de la protección de datos de la Comisión Europea debe realizar una revisión independiente de la aplicación de las limitaciones, a fin de garantizar el cumplimiento de la presente Decisión.

 

(23)  Se ha consultado al Supervisor Europeo de Protección de Datos, quien emitió su dictamen el 23 de septiembre de 2021.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto y ámbito de aplicación

1.   La presente Decisión establece las normas que deberá seguir la Comisión para informar a las personas interesadas del tratamiento de sus datos de conformidad con los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725 cuando tramite peticiones y reclamaciones con arreglo al Estatuto.

Asimismo, establece las condiciones en las que la Comisión puede limitar la aplicación de los artículos 4, 14 a 17, 19, 20 y 35 del Reglamento (UE) 2018/1725, de conformidad con el artículo 25, apartado 1, letras b), c), g) y h) de dicho Reglamento.

2.   La presente Decisión se aplicará al tratamiento de datos personales por parte de la Comisión a efectos de la tramitación de las peticiones y reclamaciones con arreglo a los artículos 22 quater y 24 y al artículo 90, apartados 1 y 2 del Estatuto.

3.   Las categorías de datos personales incluidos en el ámbito de la presente Decisión son los datos de identificación, de contacto y de comportamiento, así como las categorías especiales de datos personales en el sentido del artículo 10, apartado 1, del Reglamento (UE) 2018/1725.

Artículo 2

Excepciones y limitaciones aplicables

1.   Cuando la Comisión ejerza sus funciones con respecto a los derechos de las personas interesadas en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

2.   Sin perjuicio de lo dispuesto en los artículos 3 a 7, cuando el ejercicio de los derechos y obligaciones previstos en los artículos 14 a 17, 19, 20 y 35 del Reglamento (UE) 2018/1725 en relación con los datos personales tratados por la Comisión vaya en detrimento de los motivos contemplados en el artículo 25, apartado 1, letras b), c), g) o h), de dicho Reglamento, la Comisión podrá limitar la aplicación de:

   a) los artículos 14 a 17, 19, 20 y 35 del Reglamento (UE) 2018/1725, así como

 

   b)  el principio de transparencia establecido en el artículo 4, apartado 1, letra a), del Reglamento (UE) 2018/1725, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones establecidos en los artículos 14 a 17, 19 y 20 de dicho Reglamento, con el fin de salvaguardar la prevención, investigación, detección y enjuiciamiento de delitos que las personas solicitantes, denunciantes o testigos notifiquen a los servicios competentes de la Comisión en relación con la persona afectada por acusaciones de acoso u otros comportamientos impropios o agresiones.

3.   Los apartados 1 y 2 se entenderán sin perjuicio de la aplicación de otras decisiones de la Comisión que establezcan normas internas sobre la comunicación de información a las personas interesadas y la limitación de determinados derechos con arreglo al artículo 25 del Reglamento (UE) 2018/1725.

4.   Toda limitación de los derechos y obligaciones a que se refiere el apartado 2 será necesaria y proporcionada, teniendo en cuenta los riesgos para los derechos y libertades de las personas interesadas.

5.   Antes de aplicar limitaciones, la Comisión deberá llevar a cabo una evaluación «caso por caso» de la necesidad y proporcionalidad de estas. Las limitaciones serán las estrictamente necesarias para alcanzar su objetivo.

Artículo 3

Comunicación de información a las personas interesadas

1.   La Comisión publicará en su sitio web un aviso de protección de datos que informará a todas las personas interesadas de sus actividades que impliquen el tratamiento de los datos personales de estas a los efectos de tramitar peticiones y reclamaciones presentadas con arreglo al Estatuto.

2.   La Comisión informará individualmente, por los medios adecuados, a las personas solicitantes y denunciantes, a las personas afectadas, así como a las personas testigos a las que se haya solicitado información en relación con dichas peticiones o denuncias, sobre el tratamiento de sus datos personales.

3.   Cuando la Comisión limite, de conformidad con el artículo 2, total o parcialmente, la comunicación de la información a que se refiere el apartado 2 a las personas afectadas cuyos datos personales sean tratados con el fin de tramitar las peticiones y reclamaciones con arreglo al Estatuto, consignará y registrará los motivos de la limitación de conformidad con el artículo 6.

Artículo 4

Derecho de acceso de las personas interesadas, derecho de supresión y derecho a la limitación del tratamiento

1.   Cuando la Comisión limite, total o parcialmente, el derecho de acceso de las personas interesadas a sus datos personales, el derecho de supresión o el derecho a la limitación del tratamiento a que se refieren, respectivamente, los artículos 17, 19 y 20 del Reglamento (UE) 2018/1725, informará a la persona interesada, en su respuesta a la solicitud de acceso, supresión o limitación del tratamiento, de lo siguiente:

   a) la limitación impuesta y los motivos principales de dicha limitación;

 

   b) la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.

2.   La comunicación de la información sobre los motivos de la limitación a que se refiere el apartado 1 podrá aplazarse, omitirse o denegarse en la medida en que anule el objetivo de la limitación.

3.   La Comisión consignará los motivos de la limitación conforme a lo dispuesto en el artículo 6.

4.   Cuando el derecho de acceso se limite total o parcialmente, la persona interesada podrá ejercer su derecho de acceso a través de la mediación del Supervisor Europeo de Protección de Datos, de conformidad con el artículo 25, apartados 6, 7 y 8, del Reglamento (UE) 2018/1725.

Artículo 5

Comunicación de una violación de la seguridad de los datos personales a la persona interesada

Cuando la Comisión limite la comunicación de una violación de la seguridad de sus datos personales a la persona interesada, en virtud de lo dispuesto en el artículo 35 del Reglamento (UE) 2018/1725, consignará y registrará los motivos de la limitación conforme a lo dispuesto en el artículo 6. La Comisión comunicará el registro al Supervisor Europeo de Protección de Datos en el momento de la notificación de la violación de la seguridad de los datos personales.

Artículo 6

Consignación y registro de las limitaciones

1.   La Comisión registrará los motivos de toda limitación impuesta con arreglo a la presente Decisión, incluida la evaluación de la necesidad y proporcionalidad de la limitación en cuestión, teniendo en cuenta los aspectos pertinentes establecidos en el artículo 25, apartado 2, del Reglamento (UE) 2018/1725.

2.   El registro indicará cómo el ejercicio del derecho por la persona interesada de que se trate socavaría uno o varios de los motivos aplicables contemplados en el artículo 25, apartado 1, letras b), c), g) y h), del Reglamento (UE) 2018/1725.

3.   Se consignará el registro y, en su caso, los documentos que contengan elementos subyacentes de hecho y de derecho. Dichos documentos se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.

Artículo 7

Duración de las limitaciones

1.   Las limitaciones a que se refieren los artículos 3, 4 y 5 seguirán siendo aplicables mientras lo sigan siendo los motivos que las justifiquen.

2.   Cuando los motivos de una limitación contemplada en los artículos 3, 4 y 5 dejen de ser aplicables, la Comisión levantará la limitación.

3.   Además, comunicará a la persona interesada los principales motivos por los que se aplica dicha limitación y le informará sobre la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.

4.   La Comisión revisará la aplicación de las limitaciones a que se refieren los artículos 3, 4 y 5 cuando responda a peticiones presentadas con arreglo a los artículos 22 quater y 24 y al artículo 90, apartado 1, del Estatuto y a reclamaciones presentadas con arreglo al artículo 22 quater y al artículo 90, apartado 2, del Estatuto, o al archivar dichas peticiones y reclamaciones, si la fecha de esta actuación fuera anterior. Posteriormente, la Comisión revisará con periodicidad anual la necesidad de mantener cualquier limitación. La revisión incluirá una evaluación de la necesidad y proporcionalidad de la limitación, teniendo en cuenta los aspectos pertinentes establecidos en el artículo 25, apartado 2, del Reglamento (UE) 2018/1725.

Artículo 8

Garantías y períodos de conservación

1.   La Comisión, concretamente la Unidad de Apelaciones y Seguimiento de Asuntos de la DG HR, aplicará salvaguardias para prevenir los abusos y el acceso ilícito a los datos personales que sean objeto o puedan ser objeto de limitaciones, o la transferencia ilícita de estos. Dichas salvaguardias incluirán medidas técnicas y organizativas tales como:

  a) la definición clara de las funciones, responsabilidades, derechos de acceso y fases del procedimiento;

 

   b) un entorno electrónico seguro que impida el acceso o la transferencia ilícitos y accidentales de datos electrónicos a personas no autorizadas;

 

   c) el almacenamiento y tratamiento seguros de los documentos en papel limitado a lo estrictamente necesario para alcanzar el objetivo del tratamiento;

 

  d) la debida supervisión de las limitaciones y la revisión periódica de su aplicación. Las revisiones mencionadas en la letra d) se llevarán a cabo al menos cada seis meses.

2.   Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las justifiquen.

3.   Los datos personales se conservarán de conformidad con las normas de conservación aplicables de la Comisión, definidas en los registros mantenidos en virtud del artículo 31 del Reglamento (UE) 2018/1725. Al final del período de conservación, los datos personales se suprimirán, anonimizarán o transferirán a los archivos de conformidad con el artículo 13 del Reglamento (UE) 2018/1725.

Artículo 9

Revisión por parte del delegado de la protección de datos de la Comisión

1.   Se informará sin demora injustificada al delegado de la protección de datos de la Comisión cada vez que se limiten los derechos de las personas interesadas de conformidad con la presente Decisión. A petición del delegado de la protección de datos, se le facilitará el acceso al registro y a todos los documentos que contengan los elementos de hecho y de derecho subyacentes.

2.   El delegado de la protección de datos podrá solicitar que se revise la limitación. El delegado de la protección de datos será informado por escrito sobre el resultado de la revisión solicitada.

3.   La Comisión documentará la participación del delegado de la protección de datos en cada uno de los casos en los que se limiten los derechos y obligaciones contemplados en el artículo 2, apartado 2.

Artículo 10

Entrada en vigor

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 27 de enero de 2022.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN


(1)  DO L 56 de 4.3.1968, p. 1.

(2)  Comunicación administrativa n.o 79-2013, de 19 de diciembre de 2013, «Actualización de las modalidades de presentación de peticiones y reclamaciones (artículo 90, apartados 1 y 2, del Estatuto) y solicitudes de asistencia (artículo 24 del Estatuto)».

(3)  La conservación de expedientes en la Comisión está regulada por la lista común de conservación de expedientes de la Comisión, un documento reglamentario en forma de calendario de conservación que establece los plazos de conservación de los distintos tipos de expedientes de la Comisión [SEC (2019) 900]. Los períodos de conservación de los datos personales se indican en la declaración de confidencialidad relativa a la tramitación de las peticiones y reclamaciones con arreglo al Estatuto.

(4)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

 

 


lunes, 31 de enero de 2022

GUIA PARA DELEGADOS DE PROTECCION DE DATOS PERSONALES ELABORADA POR LA CNIL - FRANCIA

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Université de Montpellier I Francia.

RESUMEN

En noviembre del año pasado la Comisión Nacional de Informática y Libertades de Francia, la CNIL, publicó una Guía para Delegados de Protección de Datos, DPO.

Esta figura jurídica no ha sido contemplada en la regulación peruana de protección de datos personales, Ley N° 29733, Reglamento D.S. N° 003-2013-JUS, ni en la Directiva de Seguridad de la Información aprobada Por R.D. N° 019-2013-JUS/DGPDP. Y es lamentable su falta de actualización desde hace mas de diez años, teniendo en cuenta la legislación europea del RGPD, a fin resolver algunos diferendos relacionados a estos avances tecnológicos ni a la evolución jurídica. Ni mucho menos la Autoridad Nacional de Protección de Datos Personales o el propio Ministerio de Justicia - autoridad a la que se encuentra sujeta - se haya replanteado el que ésta autoridad del Poder Ejecutivo devenga una autoridad autónoma e independiente de cualquiera de los Poderes, como es la tendencia global.  

____________________________________________________________

La CNIL publica una guía para delegados de protección de datos

16 de noviembre de 2021

¿Por qué y cómo nombrar a un delegado de protección de datos? ¿Qué medios se le deben dar para cumplir sus misiones? La CNIL publica una guía para los delegados de protección de datos que reúne los principales conocimientos útiles y las mejores prácticas para ayudar a las organizaciones y apoyar a los RPD que ya están en funciones.

El papel del delegado

Aparecido en 2018 con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), el Delegado de Protección de Datos (DPD, o DPO según las siglas del título inglés de Data Protection Officer comúnmente utilizado) ocupa un papel central en la gobernanza de información personal. Debe informar y asesorar al controlador de datos, controlar el cumplimiento de las obligaciones legales de la organización y actuar como punto de contacto con la CNIL. Si bien no es responsable del cumplimiento de la organización, es una parte esencial de la misma, capaz de combinar experiencia y asesoramiento en todas las etapas de los proyectos que involucran el uso de datos personales.

Hoy en día, casi 30 000 personas en Francia realizan esta función (personas físicas y jurídicas combinadas) para 80 000 organizaciones que han designado un DPD. Entre estos, los sectores de administración pública, educación y salud son los más representados.

Las obligaciones de las organizaciones.

Las autoridades públicas y determinadas organizaciones privadas cuya actividad básica implique un tratamiento a gran escala de datos sensibles o datos que permitan un seguimiento regular y sistemático de las personas deben designar un DPO. Este nombramiento debe hacerse de acuerdo con criterios, en particular, habilidades, conocimientos y ausencia de conflicto de intereses.

Las obligaciones de las organizaciones no terminan ahí: también deben asegurarse de que el DPO no reciba instrucciones, que se involucre de manera oportuna en todas las cuestiones relacionadas con los datos personales y que esté en condiciones de desempeñar sus funciones. Estos requisitos pueden ser controlados y, si es necesario, sancionados por la CNIL.

Pero, ¿Cuáles son las traducciones concretas de estas obligaciones? ¿Cómo asegurar que el DPD elegido pueda cumplir satisfactoriamente sus misiones? La CNIL ofrece ahora una nueva guía práctica dedicada a la función DPO y que responde a estas preguntas.

Una guía de referencia para preguntas sobre el Delegado de Protección de Datos

Con la ayuda de numerosas asociaciones profesionales, la CNIL ha reunido en esta guía la principal información útil sobre el DPO.

Esta herramienta está organizada en cuatro partes:

 - El papel del DPD

 - El nombramiento del DPD

 - El ejercicio de la función del DPO

 - Apoyo al DPO por parte de la CNIL

Cada tema está ilustrado con casos concretos y respuestas a preguntas frecuentes sobre el tema. El lector también puede confiar en herramientas prácticas como una plantilla de carta de compromiso.

Desde su nombramiento hasta el final de su misión, esta guía permite obtener rápidamente información esencial y precisa sobre el DPO. La CNIL ha estado especialmente atenta a proporcionar elementos claros sobre cómo garantizar que el DPO pueda llevar a cabo sus misiones con total independencia, sin conflicto de intereses y con una eficacia real para la organización.

Descargue la Guía del Delegado de Protección de Datos en este enlace: https://www.cnil.fr/sites/default/files/atoms/files/guide_pratique_rgpd_-_delegues_a_la_protection_des_donnees.pdf



LA POLÍTICA EUROPEA EN MATERIA DE NANOTECNOLOGÍAS.

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Université de Montpellier I Francia.

RESUMEN

El fragmento del articulo cuyo  título original es La réglementation européenne en matière de nanotechnologies" pertenece a la autoría de Aida María Ponce Del Castillo; es un documento introductorio a la Política Europea de Nanotecnologías, cuya propuesta incluye una serie de aspectos de la Política y Estrategia en la materia, algunos recursos y enlaces. La traducción del francés al castellano fue realizada por el suscrito e incluye el enlace original al recurso. https://www.cairn.info/revue-courrier-hebdomadaire-du-crisp-2010-20-page-5.htmRepr

Pocos países en Latinoamérica han franqueado el paso en investigación sobre el tema y su convergencia e integración con otras tecnologías, salvo México, Colombia, Argentina y Brasil, inclusive estos dos últimos mantienen un Centro Argentino-Brasileño sobre  el tema.  En el Perú, este tema suscita interés, pero la propuesta política no ha sido aún atribuida a las funciones de la Presidencia del Consejo de Ministros, particularmente aquellas de Concytec, Secretaria de Gobierno y Transformación Digital, o del probable (posible ahora?) Ministerio de Ciencia y Tecnología.  

_____________________________________________________________

LA POLÍTICA EUROPEA EN MATERIA DE NANOTECNOLOGÍAS.

La nanotecnología forman parte de los elementos de las tecnologías convergentes que son susceptibles de transformar todos los sectores e incluso la forma de vida de los seres humanos. En consecuencia, no hay que olvidar que el reto de la regulación innovadora de las tecnologías deben tener en cuenta por el hecho que los beneficios deban favorecer a cada cual, los riesgos deberían ser reducidos al máximo y los impactos negativos deberían ser evitados.

Las primeras tentativas por parte de la Unión Europea de establecer una política en materia de nanotecnología se sitúan entre 1998 y 2002 con el quinto programa-marco y la implementación de diversos proyectos europeos[1]. Pero no es sino entre 2002 y 2006, con el sexto programa-marco, que la política europea en materia de nanotecnologías despegó, cuando los proyectos de nanotecnología se les dio prioridad[2]. En un primer tiempo, la Comisión esbozó su estrategia y adoptó la comunicación “Hacia una estrategia europea en favor de nanotecnologías” (COM 2004-338) aproximadamente a la mitad de su programa.

La Comunicación de la Comisión no propone un marco legislativo para las nanotecnologías, pero incluye recomendaciones sobre la investigación y el desarrollo, la infraestructura, la educación y la formación y la innovación, así como opiniones para iniciar un diálogo con las partes interesadas y los consumidores. La Comisión ha considerado el diálogo entre las partes interesadas como una prioridad, lo que permitió desprender informaciones que permitan establecer un estrategia más completa. No obstante, la Comisión está obligada a tomar más en cuenta las preocupaciones cuanto a los riesgos potenciales de las nanotecnologías en el plan de salud y del medio ambiente.

A pesar de las estrategias establecidas en su programa, la Unión Europea no está liderando el juego y, hasta ahora, Estados Unidos sigue en una posición de liderazgo, seguida de Asia. Como era de esperarse, el objetivo de la Comisión Europea es reforzar la posición de la UE mediante el desarrollo de aplicaciones industriales que aumentarían su participación en el mercado industrial y el número de sus patentes. La Comisión se encuentra confrontada al desafío de distinguir entre la estrategia de competitividad comercial y los imperativos de salud  y de seguridad para los usuarios de los productos nanotecnológicos. 

La calidad del diálogo y de la comunicación de la Comisión con las partes interesadas no es unánimemente apreciada. Para que el actual programa de la UE tenga resultados significativos, algunos consideran necesario involucrar al público - ciudadanos, consumidores, grupos vulnerables - en los debates más directos y más serios sobre las cuestiones de salud. Los resultados de los estudios sobre los riesgos potenciales de las nanopartículas para los seres humanos muestran que la toxicidad de las partículas progresa lentamente, por lo que se necesitan experiencias a largo plazo para identificar los efectos sanitarios sobre los seres humanos; no le interesa a nadie esperar a que se desarrolle el cáncer para tomar medidas preventivas. Los estudios existentes sobre los numerosos efectos tóxicos sobre los animales evidencian que la salud y la seguridad son cuestiones fundamentales que exigen más financiamiento para la investigación.

En su segunda comunicación, la Comisión anunció el plan de acción para las nanotecnologías y nanociencias 2005-2009[3]. Es evidente que el interés de la Comisión se ubica en diferentes sectores. Por ejemplo, la comunicación subraya su interés en el desarrollo de aplicaciones nanotecnológicas; el financiamiento de la evaluación y de la gestión del riesgo aumentó de 25 millones de euros para el período 2003-2006 a más de 50 millones de euros para el período 2007-2008. De otro lado, la Comisión reconoce que la protección de la salud, de la seguridad y del medioambiente debe ser mejorada principalmente perfeccionando la implementación de la legislación actual, pero no da ninguna cifra comparativa, y además, señala que “el Comité Científico de la UE ha subrayado la necesidad de proseguir la investigación sobre la seguridad de la salud humana y del medio ambiente[4]".

En el marco de esta estrategia, la UE ha adoptado el Código de Buena Conducta para una investigación responsable en nanociencias y nanotecnologías[5], que argumenta por un desarrollo responsable de la investigación en el ámbito de estas nuevas tecnologías. Los códigos de conducta voluntarios son instrumentos legislativos de autorregulación no vinculantes; ellos completan los reglamentos y pueden ser útiles cuando surgen dificultades para el establecimiento de normas específicas, pero, al no ser vinculantes, ellas pueden no tener sino una eficacia limitada.

En este caso particular, el Código de Conducta de la Comisión Europea es un buen instrumento para promover la cooperación entre los Estados miembros; él se basa en principios de significación, de sostenibilidad, de inclusión, de excelencia, de innovación y de responsabilidad para lograr una buena gobernanza en la investigación en materia de nanotecnologías. Su debilidad es que se limita a la investigación, que no incluye ninguna medida o indicador de implementación y que omite el aspecto de seguridad. De otro lado, al ser un instrumento no vinculante, se caracteriza por su flexibilidad y puede ser modificada según las circunstancias. El Código de Buena Conducta será el objeto de una revisión por parte de la Comisión cada dos años y, en 2010, podría ser mejorado para que pueda implementarse de manera efectiva, sirviendo así como un precursor de un futuro acuerdo.

En su respuesta a la estrategia de la Comisión en materia de nanotecnología, el Parlamento Europeo[6] rechaza enérgicamente la afirmación de la Comisión según la cual la legislación actual cubriría en principio los riesgos relacionados con nanomateriales y subraya que la protección de la salud, de la seguridad y del medio ambiente debería ser reforzado por la aplicación de la legislación vigente. En consecuencia, dada la falta de datos e información, el Parlamento Europeo pide que se vuelva a examinar toda la legislación pertinente, específicamente dirigida a evaluar la necesidad de revisar las disposiciones relativas a la protección de los trabajadores para garantizar la seguridad de todas las aplicaciones de los nanomateriales. La estrategia de la Comisión es acordar una especial atención al aumento del financiamiento de la investigación para desarrollar y comercializar los productos de la nanotecnología, de obtener informaciones relevantes respecto al análisis de riesgos, de mejorar los métodos de ensayo, de desarrollar las bases de datos públicos y de acelerar el desarrollo de orientaciones  y de normas en materia de pruebas realizadas por la OCDE (ISO y CEN)[7]. Con respecto al examen de la reglamentación, la Comisión presentará su revisión en 2011. Su próximo paso será el Plan de Acción Estratégica en materia de nanotecnologías (SNAP) para 2010-2015. A principios de 2010, ella lanzó el proceso de consulta pública, solicitando contribuciones a los ciudadanos, a las organizaciones y a las autoridades públicas. Los resultados de esta consulta se publican desde principios de marzo de 2010[8]

 


* Ponce Del Castillo Aida María, « La réglementation européenne en matière de nanotechnologies », Courrier hebdomadaire du CRISP, 2010/20 (n° 2065), p. 5-40. DOI : 10.3917/cris.2065.0005. URL : https://www.cairn.info/revue-courrier-hebdomadaire-du-crisp-2010-20-page-5.htm

[1] 15 Como la plataforma de Internet NANOFORUM para difundir información en la Comunidad las informaciones sobre la nanotecnología. Otros ejemplos incluyen NANOSAFE 1 y 2 (producción y uso seguro de los nanomateriales) IMPART (mejorar la comprensión del impacto de las nanopartículas sobre la salud humana y el medio ambiente) NANOCAP (refuerzo de las capacidades en el ámbito de la comprensión de los riesgos ambientales, la salud y la seguridad en el trabajo y de los aspectos éticos de la nanotecnología), etc.

[2] Un ejemplo de financiamiento concedido para el desarrollo de la nanotecnología es el sitio Cordis consagrado a las nanotecnologías y las nanociencias, a los materiales multifuncionales basados ​​en el conocimiento y nuevos procesos y dispositivos de producción (NMP). Podemos leer: "Con un presupuesto de 1.429 millones para 2002-2006, la prioridad del NMP es de promover la transición hacia productos y servicios basados ​​en el conocimiento a través de avances en nuevos conocimientos aplicables y la RDT a largo plazo. El NMP apoya prioritariamente proyectos de investigación en el campo de “la tecnología y de las nanociencias, de los materiales multifuncionales basados ​​sobre el conocimientos y nuevos procesos y dispositivos de producción”. Véase <http://cordis.-europa.eu/nmp/welcome.htm>.

[3] COM (2005) 243 final.

[4] 18 COM (2009) 607 final. Comunicación de la Comisión al Consejo, al Parlamento Europeo y al Comité Económico y Social Europeo.

Nanociencias y nanotecnologías: un plan de acción para Europa 2005-2009. Segundo informe de implementación 2007-2009, p. 4.

[5] 19 COM (2008) 424 final.

[6] Parlamento Europeo, Resolución no legislativa sobre los aspectos normativos de los nanomateriales, 24 de abril de 2009.

[7] COM (2009) 607 final, pág. 9.

[8] Comisión Europea, Informe sobre la consulta pública en línea de la Comisión Europea. Hacia un plan de acción estratégico en nanotecnología (SNAP) 2010-2015, Bruselas, mayo de 2010. Cf.

<http://ec.europa.eu/research/consultations/snap/report_en.pdf>.