Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
La Decisión
N° 253 del Consejo de Administración de la Agencia Ferroviaria de la
Unión Europea comprende las limitaciones de determinados derechos de los interesados
en relación con el tratamiento de datos personales en el marco de sus actividades
en las que la Agencia puede limitar la aplicación de los artículos
4, 14 a 22, 35 y 36, de conformidad con el artículo 25 Limitaciones del Reglamento
2018/1725 del Parlamento Europeo y del Consejo, de
23 de octubre de 2018 relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por las instituciones, órganos y organismos
de la Unión, y a la libre circulación de esos datos, y por el que se derogan el
Reglamento (CE) n.o
45/2001 y la Decisión n.o
1247/2002/CE.
El articulo
1° Objeto y Ámbito de aplicación de la Decisión N° 253:
1. Establece las normas relativas
a las condiciones en las que la Agencia puede limitar la aplicación de los artículos
4, 14 a 22, 35 y 36, de conformidad con el artículo 25 del Reglamento.
2.
La Agencia, en su calidad de responsable del tratamiento, está representada por
el director ejecutivo.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com
___________________________________________________________.____
DECISIÓN N.O 253
del Consejo de Administración de la Agencia Ferroviaria de la Unión Europea relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco de las actividades realizadas por la Agencia Ferroviaria de la Unión Europea [2023/1585]
EL CONSEJO DE ADMINISTRACIÓN DE LA AGENCIA FERROVIARIA DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,
Visto el Reglamento (UE) 2016/796 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia Ferroviaria de la Unión Europea y por el que se deroga el Reglamento (CE) n.o 881/2004 (2),
Consultado el Supervisor Europeo de Protección de Datos,
Considerando lo siguiente:
(1) | La Agencia está facultada para llevar a cabo investigaciones administrativas, procedimientos predisciplinarios, disciplinarios y de suspensión, de conformidad con el Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión Europea, establecidos en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo («Estatuto de los funcionarios») (3), y con la Decisión de la Agencia, de 8 de julio de 2022, por la que se establecen disposiciones generales de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios. Si es necesario, también notifica los casos a la OLAF. |
(2) | Los miembros del personal de la Agencia están obligados a informar sobre actividades potencialmente ilegales, en particular el fraude y la corrupción, que vayan en detrimento de los intereses de la Unión. Los miembros del personal también están obligados a comunicar las actuaciones relativas al cumplimiento de las obligaciones profesionales que puedan constituir un incumplimiento grave de las obligaciones de los funcionarios de la Unión, lo que está regulado por la Decisión de la Agencia sobre las normas internas relativas a la denuncia de irregularidades, de 15 de noviembre de 2018. |
(3) | La Agencia ha puesto en marcha una política destinada a prevenir y tratar eficazmente los casos reales o potenciales de acoso psicológico o sexual en el lugar de trabajo, tal como se establece en la Decisión ERA-ED-690/2013, por la que se adoptan medidas de ejecución en virtud del Estatuto de los funcionarios. La Decisión establece un procedimiento informal por el que la presunta víctima del acoso puede ponerse en contacto con los consejeros «confidenciales» de la Agencia. |
(4) | La Agencia también puede llevar a cabo investigaciones sobre posibles infracciones de las normas de seguridad de la información clasificada de la Unión Europea (ICUE), sobre la base de su política de información y TI por la que se adoptan las normas de seguridad para la protección de la ICUE. |
(5) | Las actividades de la Agencia están sujetas a auditorías internas y externas. |
(6) | En el contexto de tales investigaciones administrativas, auditorías e investigaciones, la Agencia coopera con otras instituciones, órganos y organismos de la Unión. |
(7) | La Agencia puede cooperar con autoridades nacionales de terceros países y con organizaciones internacionales, ya sea a petición de estas o por propia iniciativa. |
(8) | La Agencia también puede cooperar con las autoridades públicas de los Estados miembros de la UE, ya sea a petición de estas o por propia iniciativa. |
(9) | La Agencia participa en los asuntos sometidos al Tribunal de Justicia de la Unión Europea cuando remite el asunto al Tribunal, defiende una decisión que ha adoptado y ha sido recurrida ante el Tribunal o interviene en asuntos relacionados con sus funciones. En este contexto, es posible que la Agencia tenga que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos por las partes o por las partes coadyuvantes. |
(10) | Para desempeñar sus funciones, la Agencia recoge y trata información y varias categorías de datos personales, incluidos datos identificativos de personas físicas, información de contacto, datos sobre las funciones y tareas profesionales, información sobre la conducta y el rendimiento profesional y privado, y datos financieros. La Agencia actúa como responsable del tratamiento de los datos. |
(11) | Con arreglo al Reglamento (UE) 2018/1725 («Reglamento»), la Agencia está, por tanto, obligada a facilitar información a los interesados sobre dichas actividades de tratamiento y a respetar sus derechos como titulares de datos. |
(12) | La Agencia puede verse obligada a conciliar esos derechos con los objetivos de las investigaciones administrativas, las auditorías, las investigaciones y los procedimientos judiciales. También podría ser necesario buscar un equilibrio entre los derechos de un interesado y los derechos y libertades fundamentales de otros interesados. A tal fin, el artículo 25 del Reglamento ofrece a la Agencia la posibilidad de limitar, si se cumplen unas condiciones estrictas, la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento, y también del artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 20. A menos que se establezcan limitaciones en un acto jurídico adoptado sobre la base de los Tratados, es necesario adoptar normas internas con arreglo a las cuales la Agencia esté facultada para limitar esos derechos. |
(13) | Es posible que la Agencia necesite, por ejemplo, limitar la información que proporciona a un interesado sobre el tratamiento de sus datos personales durante la fase de evaluación preliminar de una investigación administrativa o durante la propia investigación, antes de la posible desestimación del asunto o en la fase predisciplinaria. En determinadas circunstancias, facilitar dicha información podría afectar gravemente a la capacidad de la Agencia para llevar a cabo la investigación de manera eficaz, por ejemplo, cuando exista el riesgo de que la persona afectada pueda destruir pruebas o influir en posibles testigos antes de su declaración. Es posible que la Agencia también necesite proteger los derechos y libertades de los testigos, así como los de otras personas implicadas. |
(14) | Podría ser necesario proteger el anonimato de aquellos testigos o denunciantes que hayan solicitado no ser identificados. En tal caso, la Agencia podría decidir limitar el acceso a la identidad, las declaraciones y otros datos personales de esas personas, a fin de proteger sus derechos y libertades. |
(15) | Podría ser necesario proteger la información confidencial relativa a un miembro del personal que se haya puesto en contacto con consejeros confidenciales de la Agencia en el contexto de un procedimiento por acoso. En tales casos, la Agencia podría tener que limitar el acceso a la identidad, las declaraciones y otros datos personales de la presunta víctima, el presunto acosador y otras personas implicadas, con el fin de proteger los derechos y libertades de todos los afectados. |
(16) | La Agencia solo debe aplicar limitaciones cuando estas respeten en lo esencial los derechos y las libertades fundamentales y sean una medida necesaria y proporcionada en una sociedad democrática. La Agencia deberá explicar las razones que justifiquen dichas limitaciones. |
(17) | En aplicación del principio de rendición de cuentas, la Agencia debe llevar un registro de las limitaciones impuestas. |
(18) | Al tratar los datos personales intercambiados con otras organizaciones en el marco de sus funciones, tanto la Agencia como dichas organizaciones se deben consultar mutuamente sobre los posibles motivos de imposición de limitaciones, así como sobre la necesidad y proporcionalidad de estas, a menos que ello ponga en peligro las actividades de la Agencia. |
(19) | El artículo 25, apartado 6, del Reglamento obliga al responsable del tratamiento a informar a los interesados de las razones principales que justifican la limitación, así como de su derecho a presentar una reclamación ante el SEPD. |
(20) | De conformidad con el artículo 25, apartado 8, del Reglamento, la Agencia podrá aplazar, omitir o denegar la comunicación de la información que justifica la limitación al interesado si dicha comunicación dejase sin efecto la limitación impuesta. La Agencia debe evaluar caso por caso si la comunicación de la limitación la deja sin efecto. |
(21) | La Agencia debe levantar la limitación tan pronto como las condiciones que la justifiquen ya no sean aplicables y debe evaluar dichas condiciones de forma periódica. |
(22) | A fin de garantizar la máxima protección de los derechos y libertades de los interesados y de conformidad con lo dispuesto en el artículo 44, apartado 1, del Reglamento, debe consultarse al delegado de protección de datos, en tiempo oportuno, cualquier limitación que pueda aplicarse y comprobar su conformidad con la presente Decisión. |
(23) | El artículo 16, apartado 5, y el artículo 17, apartado 4, del Reglamento prevén excepciones al derecho a la información y al derecho de acceso de los interesados. Si resultan aplicables estas excepciones, la Agencia no necesitará aplicar una limitación con arreglo a la presente Decisión. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Objeto y ámbito de aplicación
1. La presente Decisión establece normas relativas a las condiciones en las que la Agencia puede limitar la aplicación de los artículos 4, 14 a 22, 35 y 36, de conformidad con el artículo 25 del Reglamento.
2. La Agencia, en su calidad de responsable del tratamiento, está representada por el director ejecutivo.
Artículo 2
Limitaciones
1. La Agencia podrá limitar la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento, y también del artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 20:
a) | de conformidad con el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento, al llevar a cabo investigaciones administrativas o procedimientos predisciplinarios, disciplinarios o de suspensión con arreglo al artículo 86 y el anexo IX del Estatuto de los funcionarios y a la Decisión n.o 297 del Consejo de Administración de la Agencia (4), y cuando se notifiquen los casos a la OLAF; |
b) | de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que los miembros del personal de la Agencia puedan denunciar hechos de forma confidencial cuando consideren que existen irregularidades graves, tal como se establece en la Decisión n.o 183 del Consejo de Administración de la Agencia (5) sobre la denuncia de irregularidades y en la Decisión n.o 8 (6) sobre las investigaciones internas; |
c) | de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, al garantizar que los miembros del personal de la Agencia puedan informar a los asesores confidenciales en el contexto de un procedimiento de acoso, tal como se define en la Decisión ERA-ED-690-2013 (7) de la Agencia; |
d) | de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando lleve a cabo auditorías internas en relación con actividades o departamentos de la Agencia; |
e) | de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento, cuando preste asistencia a otras instituciones, órganos y organismos de la Unión, cuando reciba asistencia de dichas instituciones, órganos y organismos o cuando coopere con estos en el contexto de las actividades contempladas en las letras a) a d) del presente apartado y con arreglo a los acuerdos de nivel de servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes; |
f) | de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando preste asistencia a las autoridades nacionales y organizaciones internacionales de terceros países, cuando reciba asistencia de dichas autoridades y organizaciones o cuando coopere con estas, a petición de estas o por iniciativa propia; |
g) | de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando presten asistencia a las autoridades públicas de los Estados miembros de la UE, cuando reciban asistencia de dichas autoridades o cuando cooperen con estas, ya sea a petición suya o por iniciativa propia; |
h) | de conformidad con el artículo 25, apartado 1, letra e), del Reglamento, cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un recurso ante el Tribunal de Justicia de la Unión Europea. |
2. En una sociedad democrática, cualquier limitación deberá respetar la esencia de los derechos y libertades fundamentales y deberá ser necesaria y proporcionada.
3. Se llevará a cabo una prueba de necesidad y proporcionalidad, caso por caso, antes de aplicar limitaciones. Las limitaciones se ajustarán a lo estrictamente necesario para alcanzar su objetivo.
4. A efectos de rendición de cuentas, la Agencia llevará un registro en el que se describirán los motivos de las limitaciones aplicadas, los fundamentos que se aplican de entre los enumerados en el apartado 1 y el resultado de la prueba de necesidad y proporcionalidad. Estos documentos formarán parte de un registro, que se pondrá a disposición del SEPD a petición suya. La Agencia elaborará informes periódicos sobre la aplicación del artículo 25 del Reglamento.
5. Al tratar los datos personales procedentes de otras organizaciones en el marco de sus funciones, la Agencia consultará a dichas organizaciones sobre los posibles motivos de imposición de limitaciones y sobre la necesidad y proporcionalidad de las limitaciones de que se trate, a menos que ello ponga en peligro las actividades de la Agencia.
Artículo 3
Riesgos para los derechos y libertades de los interesados
1. Las evaluaciones de los riesgos para los derechos y libertades de los interesados que suponga la aplicación de limitaciones y los detalles sobre el período de aplicación de dichas limitaciones se harán constar en el registro de actividades de tratamiento llevado por la Agencia en virtud del artículo 31 del Reglamento. También se harán constar en todas las evaluaciones de impacto relativas a la protección de datos llevadas a cabo en relación con dichas limitaciones con arreglo al artículo 39 del Reglamento.
2. Siempre que la Agencia evalúe la necesidad y proporcionalidad de una limitación, tendrá en cuenta los posibles riesgos para los derechos y libertades del interesado.
Artículo 4
Garantías y plazos de conservación
1. La Agencia aplicará garantías para evitar accesos a datos personales o transferencias de datos personales ilícitos o abusivos en relación con los cuales se apliquen o puedan aplicarse limitaciones. Tales garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de aplicación internas de la Agencia. Estas garantías incluirán lo siguiente:
a) | una definición clara de las funciones, responsabilidades y etapas del procedimiento; |
b) | cuando proceda, un entorno electrónico seguro que impida el acceso ilícito y accidental a los datos electrónicos o la transferencia ilícita o accidental de datos electrónicos a personas no autorizadas; |
c) | cuando proceda, un almacenamiento y un tratamiento seguro de los documentos en soporte papel; |
d) | la debida supervisión de las limitaciones y la revisión periódica de su aplicación. |
2. Las revisiones mencionadas en la letra d) se llevarán a cabo al menos cada seis meses.
3. Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hubieran justificado.
4. Los datos personales se conservarán de acuerdo con las normas de conservación aplicables de la Agencia, que se definirán en los registros de protección de datos llevados conforme al artículo 31 del Reglamento. Al finalizar el período de conservación, los datos personales se suprimirán, se anonimizarán o se transferirán a los archivos contemplados en el artículo 13 del Reglamento.
Artículo 5
Participación del delegado de protección de datos
1. Cuando los derechos de los interesados estén limitados de conformidad con la presente Decisión, se informará de ello sin demora al delegado de protección de datos de la Agencia. Se le dará acceso a los registros correspondientes y a todos los documentos relativos al contexto fáctico o jurídico.
2. El delegado de protección de datos de la Agencia podrá solicitar que se revisen las limitaciones aplicadas. La Agencia informará por escrito del resultado de la revisión a su delegado de protección de datos.
3. La Agencia documentará la participación del delegado de protección de datos en la aplicación de las limitaciones, incluida la información que se comparta con él.
Artículo 6
Información dirigida a los interesados sobre las limitaciones de sus derechos
1. La Agencia incluirá una sección, en los avisos de protección de datos publicados en su sitio web o intranet, donde proporcione información general a los interesados sobre la posible limitación de sus derechos, de conformidad con el artículo 2, apartado 1. Esta información cubrirá los derechos que pueden ser objeto de limitaciones, los motivos por los que pueden aplicarse las limitaciones y su posible duración.
2. La Agencia informará a los interesados, individualmente, por escrito y sin demora injustificada, de las limitaciones actuales o futuras de sus derechos. La Agencia informará al interesado de las razones principales que justifican la aplicación de la limitación, de su derecho a consultar al delegado de protección de datos con el fin de impugnar la limitación y de su derecho a presentar una reclamación ante el SEPD.
3. La Agencia podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso. Tan pronto como dicha comunicación de información deje de anular el efecto de la limitación, la Agencia facilitará la información al interesado.
Artículo 7
Comunicación de una violación de la seguridad de los datos personales al interesado
1. Cuando la Agencia tenga la obligación de comunicar una violación de la seguridad de los datos con arreglo al artículo 35, apartado 1, del Reglamento, podrá, en casos excepcionales, limitar dicha comunicación total o parcialmente. La Agencia documentará en una nota los motivos de la limitación, su fundamento jurídico de conformidad con el artículo 2 y una evaluación de su necesidad y proporcionalidad. La nota se comunicará al SEPD en el momento en que se notifique la violación de la seguridad de los datos personales.
2. Cuando dejen de ser aplicables las razones de la limitación, la Agencia comunicará al interesado la violación de la seguridad de los datos personales y le informará de los motivos principales de la limitación, así como de su derecho a presentar una reclamación ante el SEPD.
Artículo 8
Confidencialidad de las comunicaciones electrónicas
1. En circunstancias excepcionales, la Agencia podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas previsto en el artículo 36 del Reglamento. Dichas limitaciones se ajustarán a lo dispuesto en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (8).
2. Sin perjuicio de lo estipulado en el artículo 8, apartado 3, en caso de que la Agencia limite el derecho a la confidencialidad de las comunicaciones electrónicas, deberá informar al interesado, en su respuesta a cualquier solicitud procedente de este, de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD.
Artículo 9
Entrada en vigor
La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Por el Consejo de Administración, 17 de febrero de 2021.
La Presidenta
Clio LIÉGEOIS
(1) DO L 295 de 21.11.2018, p. 39.
(2) . DO L 138 de 26.5.2016, p. 1, en lo sucesivo, «Reglamento de la Agencia».
(3) Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).
(4) Decisión n.o 297 del Consejo de Administración de la Agencia de la Unión Europea por la que se establecen disposiciones generales de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios, de 8 de julio de 2022.
(5) Decisión n.o 183 del Consejo de Administración de la Agencia Ferroviaria de la Unión Europea sobre las directrices relativas a la denuncia de irregularidades, de 15 de noviembre de 2018.
(6) Decisión n.o 8 del Consejo de Administración de la Agencia Ferroviaria Europea sobre las condiciones y modalidades de las investigaciones internas en materia de lucha contra el fraude, la corrupción y toda actividad ilegal que vaya en detrimento de los intereses de las Comunidades, de 17 de octubre de 2006.
(7) Decisión n.o 690/2013 de la Agencia Ferroviaria Europea sobre la política de protección de la dignidad de la persona y la prevención del acoso psicológico y sexual.
(8) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).
