Derecho y NBIC

El Derecho de NBIC es una materia transversal, relacionada con tecnologías convergentes (Nanotecnologías, Biotecnologías, Tecnologías de la Información y ciencias Cognitivas). Enfatizan la creciente interconexión entre lo infinitamente pequeño (N), la creación de seres vivos (B), las máquinas pensantes (I) y el estudio del cerebro humano (C). Inciden en la ciencia y el derecho, tornando complejo establecer sus límites, desafíos y consecuencias económicas, político- sociales y éticas.

martes, 14 de noviembre de 2023

LIMITACION DE DERECHOS EN TRATAMIENTO DE DATOS PERSONALES EN FUNCIONAMIENTO DE EMPRESA COMUN PARA REDES Y SERVICIOS INTELIGENTES.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@hotmail.com

RESUMEN

La Empresa Común para las Redes y los Servicios Inteligentes (Empresa Común SNS) es una asociación público-privada con una doble misión:

fomentar la soberanía tecnológica de Europa en la 6G
impulsar el despliegue de la 5G en Europa

La Empresa Común SNS financia proyectos de investigación e innovación (I+i) para reforzar la posición industrial de Europa en la cadena de valor mundial de las redes y servicios inteligentes. Agrupa los recursos de la UE y la industria para acelerar el desarrollo de tecnologías para redes y servicios inteligentes que sean seguras y eficientes desde el punto de vista energético.

El objeto y ámbito de aplicación de la presente Decisión establece: - las normas relativas a las condiciones en las que la Empresa Común SNS, en el marco de sus procedimientos establecidos en el apartado 2, puede limitar la aplicación de los derechos previstos en los artículos 14 a 22, 35 y 36 del Reglamento (UE) 2018/1725, así como la aplicación de su artículo 4, de conformidad con el artículo 25 de dicho Reglamento; y - las categorías de datos pertinentes a efectos de los procedimientos mencionados son los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos, así como los datos relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos.

El articulado de la Decisión comprende también la: Designación del responsable del tratamiento, Especificación de las salvaguardias, Necesidad y proporcionalidad de las limitaciones, Obligación de información, Participación del delegado de protección de datos, Comunicación de una violación de datos personales al interesado, Confidencialidad de las comunicaciones electrónicas y Entrada en vigor.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com

__________________________________________________________

Diario Oficial
de la Unión Europea

Serie L

2023/2511

14.11.2023

DECISIÓN n.^o 18/2023 DEL CONSEJO DE ADMINISTRACIÓN DE LA EMPRESA COMÚN PARA LAS REDES Y LOS SERVICIOS INTELIGENTES

de 11 de octubre de 2023

por la que se establecen las normas internas relativas a la limitación de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la Empresa Común para las Redes y los Servicios Inteligentes [2023/2511]

EL CONSEJO DE ADMINISTRACIÓN,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.^o 45/2001 y la Decisión n.^o 1247/2002/CE (¹) [«el Reglamento (UE) 2018/1725»], y en particular su artículo 25,

Visto el Reglamento (UE) 2021/2085 del Consejo, de 19 de noviembre de 2021, por el que se establecen las empresas comunes en el marco de Horizonte Europa y se derogan los Reglamentos (CE) n.^o 219/2007, (UE) n.^o 557/2014, (UE) n.^o 558/2014, (UE) n.^o 559/2014, (UE) n.^o 560/2014, (UE) n.^o 561/2014 y (UE) n.^o 642/2014 (²) (en lo sucesivo, «Reglamento de base»), y, en particular, la Empresa Común para las Redes y los Servicios Inteligentes (en lo sucesivo, «la Empresa Común SNS»),

Visto el Documento de orientación del Supervisor Europeo de Protección de Datos (SEPD) sobre el artículo 25 del Reglamento (UE) 2018/1725 y las normas internas, de 24 de junio de 2020 (³),

Previa consulta al SEPD el 13 de junio de 2023, con arreglo a lo dispuesto en el artículo 41, apartado 2, del Reglamento (UE) 2018/1725,

Vistas las recomendaciones del SEPD de 19 de junio de 2023,

Previa información al personal de la Empresa Común SNS,

CONSIDERANDO LO SIGUIENTE:

1) Solo los actos jurídicos adoptados en virtud de los Tratados permiten limitar los derechos de los interesados. Cuando dichas limitaciones no puedan fundamentarse en actos jurídicos adoptados con arreglo a los Tratados, el Reglamento (UE) 2018/1725 contempla la posibilidad de incluir limitaciones en cuestiones relacionadas con el funcionamiento de la Empresa Común SNS por medio de normas internas, tras la evaluación de la necesidad y la proporcionalidad de dichas limitaciones.

2) De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que establecen los artículos 14 a 20, deberían basarse en normas internas adoptadas por la Empresa Común SNS.

3) En el marco de su funcionamiento administrativo, la Empresa Común SNS puede realizar investigaciones administrativas, tramitar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la Oficina Europea de Lucha contra el Fraude (OLAF), tramitar casos de denuncia de irregularidades, tramitar procedimientos (formales e informales) en casos de acoso, tramitar quejas internas y externas, realizar auditorías internas, emprender investigaciones a través del delegado de protección de datos (SEPD) en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y llevar a cabo investigaciones internas sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-EU);

4) La Empresa Común SNS también puede llevar a cabo investigaciones sobre posibles infracciones de las normas de seguridad de la información clasificada de la Unión Europea (ICUE), sobre la base de la Decisión que tiene previsto adoptar en lo relativo a sus normas de seguridad para la protección de la ICUE.

5) En el contexto de tales investigaciones administrativas, auditorías e investigaciones, la Empresa Común SNS coopera con otras instituciones, órganos y organismos de la Unión.

6) La Empresa Común SNS puede cooperar con autoridades nacionales de terceros países y con organizaciones internacionales, ya sea a petición de estas o por propia iniciativa.

7) La Empresa Común SNS también puede cooperar con las autoridades públicas de los Estados miembros de la UE, ya sea a petición de estas o por propia iniciativa.

8) La Empresa Común SNS participa en los asuntos sometidos al Tribunal de Justicia de la Unión Europea cuando remite el asunto al Tribunal, defiende una decisión que ha adoptado y ha sido recurrida ante el Tribunal o interviene en asuntos relacionados con sus funciones. En este contexto, es posible que la Empresa Común SNS tenga que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos por las partes o por las partes coadyuvantes.

9) Para el cumplimiento de sus funciones, la Empresa Común SNS recopila y trata diversas categorías de datos personales, como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos; y datos relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos (⁴).

10) La Empresa Común SNS, representada por su director ejecutivo, actúa como responsable del tratamiento de datos.

11) Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide el acceso ilícito a personas que no tengan un derecho lícito a conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados no se conservan durante un tiempo superior al necesario y adecuado para los fines para los que se hubieran tratado durante el período especificado en los avisos de protección de datos, las declaraciones de confidencialidad o los registros de la Empresa Común SNS.

12) Con arreglo al Reglamento (UE) 2018/1725, la Empresa Común SNS está, por tanto, obligada a facilitar información a los interesados sobre dichas actividades de tratamiento y a respetar sus derechos como titulares de datos.

13) La Empresa Común SNS puede verse obligada a conciliar esos derechos con los objetivos de las investigaciones administrativas, las auditorías, las investigaciones y los procedimientos judiciales. También podría ser necesario buscar un equilibrio entre los derechos de un interesado y los derechos y libertades fundamentales de otros interesados. A tal fin, el artículo 25 del Reglamento (UE) 2018/1725 ofrece a la Empresa Común SNS la posibilidad de limitar, bajo condiciones estrictas, la aplicación de los artículos 14 a 22, 35 y 36, del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20.

14) Las normas internas deberían aplicarse a dichas operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente, durante estos y durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos y durante todo el período en el que la limitación siga aplicándose. También deberían ser aplicables a la asistencia y la cooperación prestadas por la Empresa Común SNS a las autoridades nacionales y las organizaciones internacionales al margen de sus propias investigaciones administrativas.

15) En los casos en que resulten aplicables estas normas internas, la Empresa Común SNS deberá justificar que las limitaciones son estrictamente necesarias y proporcionadas en una sociedad democrática y que respetan el contenido esencial de los derechos y las libertades fundamentales.

16) En este contexto, la Empresa Común SNS ha de respetar, ateniéndose plenamente a los actos legislativos y orientaciones pertinentes, los derechos fundamentales de los interesados durante los procedimientos citados, en particular los relativos a la comunicación de información, el derecho de acceso, de rectificación y de supresión, el derecho a la limitación del tratamiento, a la comunicación de una violación de la seguridad de los datos personales al interesado o a la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725.

17) Sin embargo, la Empresa Común SNS puede verse obligada a limitar la comunicación de información a los interesados y otros derechos de los interesados para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones o con los procedimientos de otro tipo que se lleven a cabo.

18) Cuando estudie la posibilidad de aplicar una limitación, la Empresa Común SNS sopesará el riesgo para los derechos y las libertades del interesado, en particular, con respecto al riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por la Empresa Común SNS, por ejemplo, por la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.

19) En consecuencia, la Empresa Común SNS puede limitar la información a efectos de proteger la investigación y los derechos y libertades fundamentales de otros interesados.

20) A fin de garantizar la máxima protección de los derechos y libertades de los interesados y de conformidad con lo dispuesto en el artículo 44, apartado 1, del Reglamento (UE) 2018/1725, debe consultarse al delegado de protección de datos, en tiempo oportuno, cualquier limitación que pueda aplicarse y comprobar su conformidad con la presente Decisión.

21) La Empresa Común SNS debe controlar de manera periódica que se cumplan las condiciones que justifiquen la aplicación de la limitación y levantar la limitación en cuanto dejen de cumplirse.

22) El responsable del tratamiento debe notificar al delegado de protección de datos en el momento del aplazamiento y durante las revisiones.

23) Esta decisión se adoptará por procedimiento escrito de conformidad con el artículo 10 del reglamento interno del Consejo de Administración de la Empresa Común SNS.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto y ámbito de aplicación

1. La presente Decisión establece las normas relativas a las condiciones en las que la Empresa Común SNS, en el marco de sus procedimientos establecidos en el apartado 2, puede limitar la aplicación de los derechos previstos en los artículos 14 a 22, 35 y 36 del Reglamento (UE) 2018/1725, así como la aplicación de su artículo 4, de conformidad con el artículo 25 de dicho Reglamento.

2. Las categorías de datos pertinentes a efectos de los procedimientos mencionados son los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos, así como los datos relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos.

3. Cuando la Empresa Común SNS ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

Artículo 2

Designación del responsable del tratamiento

El responsable del tratamiento en las operaciones de tratamiento será la Empresa Común SNS, representada por su director ejecutivo.

Artículo 3

Restricciones

1. La Empresa Común SNS podrá limitar la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20:

a) de conformidad con el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento (UE) 2018/1725, al llevar a cabo investigaciones administrativas o procedimientos predisciplinarios, disciplinarios o de suspensión con arreglo al artículo 86 y el anexo IX del Estatuto de los funcionarios, y cuando se notifiquen los casos a la OLAF;

b) de conformidad con el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725, a la hora de garantizar que los miembros del personal de la Empresa Común SNS puedan denunciar hechos de forma confidencial cuando consideren que existen graves irregularidades, tal como se establece en la Decisión n.^o 09/2023 del Consejo de Administración de la Empresa Común SNS, relativa a las normas internas en materia de denuncia de prácticas corruptas;

c) de conformidad con el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725, al garantizar que los miembros del personal de la Empresa Común SNS puedan informar a los asesores confidenciales en el contexto de un procedimiento por acoso, tal como se define en la Decisión n.^o 13/2023 del Consejo de Administración de la Empresa Común SNS;

d) de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725, cuando se realicen auditorías internas y externas en relación con actividades o departamentos de la Empresa Común SNS;

e) de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento (UE) 2018/1725, cuando se preste asistencia a otras instituciones, órganos y organismos de la Unión, cuando se reciba asistencia de dichas instituciones, órganos y organismos o cuando se coopere con estos en el contexto de las actividades contempladas en las letras a) a d) del presente apartado y con arreglo a los acuerdos de nivel de servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes;

f) de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725, cuando se preste asistencia a las autoridades nacionales de terceros países y organizaciones internacionales, cuando se reciba asistencia de dichas autoridades y organizaciones o cuando se coopere con estas, a petición de estas o por iniciativa propia;

g) de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725, cuando se preste asistencia a las autoridades públicas de los Estados miembros de la UE, cuando se reciba asistencia de dichas autoridades o cuando se coopere con estas, ya sea a petición suya o por iniciativa propia;

h) de conformidad con el artículo 25, apartado 1, letra e), del Reglamento (UE) 2018/1725, cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un recurso ante el Tribunal de Justicia de la Unión Europea;

i) de conformidad con el artículo 25, apartado 1, letras c) y h), del Reglamento (UE) 2018/1725, cuando se traten datos personales durante las investigaciones llevadas a cabo por el delegado de protección de datos de conformidad con el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

j) de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento (UE) 2018/1725, cuando se traten datos personales durante investigaciones de seguridad informática realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-EU);

k) de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725, cuando se traten datos personales en el marco de un procedimiento de gestión de subvenciones o de contratación pública, después de la fecha límite para la presentación de solicitudes en las convocatorias de propuestas u ofertas en las licitaciones.

2. Como aplicación concreta de las limitaciones descritas en el apartado 1, la Empresa Común SNS podrá aplicar limitaciones en las siguientes circunstancias:

a) en relación con los datos personales intercambiados con servicios de la Comisión u otras instituciones, órganos y organismos de la Unión:

i. cuando dicho servicio de la Comisión o dicha institución, órgano u organismo de la Unión esté facultado para limitar el ejercicio de los derechos enumerados basándose en otros actos contemplados en el artículo 25 del Reglamento (UE) 2018/1725 o de conformidad con el capítulo IX de dicho Reglamento o con los actos fundacionales de otras instituciones, órganos u organismos de la Unión;

ii. cuando la finalidad de dicha limitación impuesta por dicho servicio de la Comisión o institución, órgano, agencia u organismo de la Unión se pudiera ver comprometida en caso de que la Empresa Común SNS no aplicara una limitación equivalente en relación con los datos personales en cuestión;

b) en relación con los datos personales intercambiados con autoridades competentes de los Estados miembros;

i. cuando dichas autoridades competentes de los Estados miembros estén facultadas para limitar el ejercicio de los derechos enumerados basándose en los actos a que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (⁵), o con arreglo a las medidas nacionales de transposición del artículo 13, apartado 3, el artículo 15, apartado 3, o el artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (⁶);

ii.

cuando la finalidad de dicha limitación por parte de esa autoridad competente se viera comprometida si la Empresa Común SNS no aplicara una limitación equivalente respecto de los mismos datos personales;

c) en relación con los datos personales intercambiados con terceros países u organizaciones internacionales, cuando haya pruebas claras de que el ejercicio de esos derechos y obligaciones puede comprometer la cooperación de la Empresa Común SNS con terceros países u organizaciones internacionales en el ejercicio de sus funciones. Antes de aplicar limitaciones en las circunstancias mencionadas en el párrafo primero, letras a) y b), la Empresa Común SNS consultará a los servicios pertinentes de la Comisión, a las instituciones, órganos u organismos pertinentes de la Unión o a las autoridades competentes de los Estados miembros, a menos que para la Empresa Común SNS resulte evidente que la aplicación de una limitación está contemplada en uno de los actos a que se hace referencia en dichas letra s).

3. Cuando la Empresa Común SNS limite, en todo o en parte, la aplicación de los derechos a que se refieren los apartados 1 y 2 anteriores, adoptará las medidas contempladas en los artículos 5 y 6 de la presente Decisión.

4. Cuando los interesados soliciten acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una operación de tratamiento determinada, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, la Empresa Común SNS circunscribirá su evaluación de la solicitud únicamente a dichos datos personales.

Artículo 4

Especificación de las salvaguardias

1. La Empresa Común SNS aplicará garantías para evitar los accesos a datos personales o las transferencias de datos personales ilícitos o abusivos en relación con los cuales se apliquen o puedan aplicarse limitaciones. Tales garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de ejecución internos de la Empresa Común SNS. Las garantías comprenderán:

a) una definición clara de las funciones, responsabilidades y etapas del procedimiento;

b) los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda tener acceso el personal autorizado;

c) todos los datos en formato electrónico se almacenarán en una aplicación informática segura que respete las normas de seguridad de la Empresa Común SNS y en carpetas electrónicas específicas a las que únicamente pueda acceder el personal autorizado. Se concederán de manera individualizada los niveles de acceso adecuados;

d) todas las personas que dispongan de acceso a los datos quedarán sujetas a una obligación de confidencialidad;

e) la debida supervisión de las limitaciones y la revisión periódica de su aplicación.

2. Con arreglo a lo dispuesto en el artículo 5, apartado 3, las salvaguardias a que hace referencia el apartado 1 deberán ser objeto de revisión periódica.

3. Los datos personales se conservarán de acuerdo con las normas de conservación aplicables de la Empresa Común SNS, que se definirán en los registros de protección de datos mantenidos conforme al artículo 31 del Reglamento (UE) 2018/1725. El período de conservación no superará en ningún caso el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos.

Artículo 5

Necesidad y proporcionalidad de las limitaciones

1. Toda limitación adoptada en virtud del artículo 3 de la presente Decisión será necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y las libertades de los interesados y el respeto del contenido esencial de los derechos y las libertades fundamentales en una sociedad democrática.

2. Si se estudia aplicar una limitación, se llevará a cabo una prueba de la necesidad y la proporcionalidad basada en las presentes normas. La prueba también se llevará a cabo en el contexto de la revisión periódica, una vez se haya evaluado si continúan siendo aplicables los fundamentos de hecho y de derecho en los que se basa la limitación. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.

La Empresa Común SNS elaborará informes periódicos sobre la aplicación del artículo 25 del Reglamento (UE) 2018/1725.

3. Las limitaciones tendrán carácter temporal. y permanecerán en vigor mientras los motivos que las justifiquen sigan siendo aplicables, en particular, cuando se considere que el ejercicio del derecho limitado ya no anula el efecto de la limitación impuesta ni afecta negativamente a los derechos o las libertades de otros interesados.

La Empresa Común SNS revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la indagación, el procedimiento o la investigación pertinentes. Posteriormente, el responsable del tratamiento deberá supervisar cada seis meses la necesidad de mantener cualquier limitación.

4. Cuando la Empresa Común SNS aplique, total o parcialmente, las limitaciones a que se refiere el artículo 3 de la presente Decisión, hará constar los motivos de la limitación y el fundamento jurídico con arreglo el artículo 3 de la presente Decisión, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.

La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes serán registrados. Se pondrán a disposición del SEPD, previa petición.

Artículo 6

Obligación de información

1. En los avisos de protección de datos, las declaraciones de confidencialidad o los registros en el sentido del artículo 31 del Reglamento (UE) 2018/1725, publicados en el sitio web o en la intranet de la Empresa Común SNS, donde se informe a los interesados de sus derechos en el marco de un procedimiento determinado, la Empresa Común SNS incluirá información sobre la posible limitación de dichos derechos. Esta información abarcará los derechos que pueden limitarse, las razones de la limitación y la posible duración de la misma.

Sin perjuicio de lo dispuesto en el artículo 5, apartado 4, de la presente Decisión, cuando resulte proporcionado, la Empresa Común SNS también notificará de manera individualizada a todos los titulares de datos que se consideren interesados en la operación de tratamiento concreta cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.

2. Cuando la Empresa Común SNS limite, de forma total o parcial, los derechos tal y como se establece en el artículo 3 de la presente Decisión, informará al interesado en cuestión de la limitación aplicada y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.

La comunicación de la información mencionada en el apartado 2 podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.

Artículo 7

Participación del delegado de protección de datos

1. La Empresa Común SNS consultará a su delegado de protección de datos (en lo sucesivo, «DPD»), sin dilaciones indebidas, antes de que el responsable del tratamiento limite la aplicación de los derechos de los interesados o prorrogue dicha limitación y durante el período en que dicha limitación se aplique, de conformidad con la presente Decisión. El responsable del tratamiento proporcionará al DPD acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación, y a cualquier documento relativo al contexto fáctico o jurídico.

2. El DPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. Este notificará por escrito al DPD el resultado de la revisión solicitada.

3. El DPD participará a lo largo de todo el procedimiento. El responsable del tratamiento notificará al DPD el levantamiento de las limitaciones.

4. La Empresa Común SNS documentará por escrito la participación del DPD en la aplicación de las limitaciones, incluida la información que se comparta con él.

Artículo 8

Comunicación de una violación de datos personales al interesado

1. Cuando la SNS tenga la obligación de comunicar una violación de la seguridad de los datos en virtud del artículo 35, apartado 1, del Reglamento (UE) 2018/1725, podrá, en casos excepcionales, limitar dicha comunicación total o parcialmente, La Empresa Común SNS documentará en una nota los motivos de la limitación, su fundamento jurídico de conformidad con el artículo 3 de la presente Decisión y una evaluación de su necesidad y proporcionalidad. La nota se comunicará al SEPD en el momento en que se notifique la violación de la seguridad de los datos personales.

2. Cuando dejen de ser aplicables las razones de la limitación, la Empresa Común SNS comunicará al interesado la violación de la seguridad de los datos personales y le informará de los motivos principales de la limitación, así como de su derecho a presentar una reclamación ante el SEPD.

Artículo 9

Confidencialidad de las comunicaciones electrónicas

1. En casos excepcionales, la Empresa Común SNS podrá limitar el derecho de confidencialidad de las comunicaciones electrónicas con arreglo al artículo 36 del Reglamento (UE) 2018/1725. Dichas limitaciones se ajustarán a lo dispuesto en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (⁷).

2. En caso de que la Empresa Común SNS limite el derecho a la confidencialidad de las comunicaciones electrónicas, deberá informar a los interesados, en su respuesta a cualquier solicitud procedente de estos, de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD.

3. La Empresa Común SNS podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso.

Artículo 10

Entrada en vigor

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 11 de octubre de 2023.

Por el Consejo de Administración

Colin WILLCOCK

El Presidente

(¹) DO L 295 de 21.11.2018, p. 39.

(²) DO L 427 de 30.11.2021, p. 17.

(³) Disponible en Documento de orientación sobre el artículo 25 del Reglamento 2018/1725, Supervisor Europeo de Protección de Datos (europa.eu) (disponible en inglés).

(⁴) En caso de corresponsabilidad del tratamiento, los datos se tratarán de acuerdo con los medios y los fines establecidos en el acuerdo pertinente entre los corresponsables del tratamiento definidos en el artículo 28 del Reglamento (UE) 2018/1725.

(⁵) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(⁶) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(⁷) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

ELI: http://data.europa.eu/eli/dec/2023/2511/oj

ISSN 1977-0685 (electronic edition)

lunes, 13 de noviembre de 2023

PROTECCIÓN DE DATOS: RETENCIONES FISCALES, CERTIFICADO DE RESIDENCIA FISCAL DIGITAL Y TRANSPARENCIA – SUPERVISOR DE PROTECCION DE DATOS EUROPEO

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@hotmail.com

RESUMEN

El Supervisor Europeo de Potección de Datos (SEPD) dictaminó sobre la Propuesta de Reglamento sobre la Proteccion relativa a una reducción más rápida y segura del exceso de retenciones a cuenta de impuestos. La propuesta tiene por objeto: apoyar el buen funcionamiento de la Unión de Mercados de Capitales («UMC») facilitando la inversión transfronteriza; y garantizar una fiscalidad justa mediante la prevención del fraude y los abusos fiscales.

El SEPD observa que la propuesta implicaría el tratamiento de datos personales, en particular datos personales relativos a los contribuyentes como personas físicas con derecho a recibir dividendos o intereses de valores sujetos a retención en origen en un Estado miembro.

De conformidad con el artículo 4, apartado 1, de la propuesta, los Estados miembros deben proporcionar un procedimiento automatizado para la emisión de un certificado de residencia fiscal digital (CRFN) a una persona considerada residente en su jurisdicción a efectos fiscales. Si bien la propuesta regularía el uso del CRFN en procedimientos de retención de impuestos, la exposición de motivos establece que el CRFN estandarizado también puede usarse para otros fines. De verificarse ello requeriría una propia base jurídica (independiente) con arreglo al Derecho de la Unión o de los Estados miembros. Por este motivo, el SEPD recomienda que se suprima el artículo 4, apartado 2, letra g) de la Propuesta o que se especifiquen los fines (distintos de la exención del impuesto sobre el valor añadido) para los que se utilizaría el eTRC, así como las categorías pertinentes de datos personales.

__________________________________________________________

Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Reglamento relativo a la protección de los depósitos, la cooperación transfronteriza y la transparencia

(C/2023/897)

El Supervisor Europeo de Protección de Datos (SEPD) es una institución independiente de la Unión Europea responsable, en virtud del artículo 52, apartado 2, del Reglamento (UE) 2018/1725, “[c]en lo que respecta al tratamiento de datos personales, [... ] garantizar que las instituciones y órganos de la Unión respeten los derechos y libertades fundamentales de las personas físicas, en particular el derecho a la protección de datos” y, en virtud del artículo 52, apartado 3, “asesorar a las instituciones y órganos de la Unión y sujetos en todas las materias relativas al tratamiento de datos personales”.

Según el Reglamento (UE) 2018/1725, «tras la adopción de propuestas de actos legislativos, recomendaciones o propuestas al Consejo con arreglo al artículo 218 del Tratado de Funcionamiento de la Unión Europea o al elaborar actos delegados o de ejecución, la Comisión consultará al [SEPD] en caso de cualquier impacto en la protección de los derechos y libertades de las personas físicas con respecto al procesamiento de datos personales”. El presente dictamen se refiere a la propuesta de Directiva del Consejo sobre una reducción más rápida y segura del exceso de retención en origen1

Este dictamen no excluye que el SEPD pueda hacer más observaciones o recomendaciones en el futuro, en particular si surgen nuevas preguntas o se dispone de nueva información. Además, el presente Dictamen se entiende sin perjuicio de cualesquiera medidas futuras que pueda adoptar el SEPD en el ejercicio de las competencias que le confiere el Reglamento (UE) 2018/1725. Este dictamen se limita a las disposiciones de la propuesta relevantes desde el punto de vista de la protección de datos.

El 19 de junio de 2023, la Comisión Europea publicó una propuesta de Directiva del Consejo relativa a un régimen más rápido y seguro de los excesos de retención de impuestos. La propuesta tiene por objeto introducir procedimientos de retención a cuenta más eficientes y, al mismo tiempo, proporcionar a los Estados miembros las herramientas necesarias para luchar eficazmente contra el fraude y los abusos fiscales.

El SEPD señala que la propuesta implicaría el tratamiento de datos personales, en particular datos personales relativos a los contribuyentes como personas físicas con derecho a recibir dividendos o intereses procedentes de valores sujetos a impuestos retenidos en la fuente en un Estado miembro. Además, la propuesta obligaría a los Estados miembros a establecer un proceso automatizado para la expedición del certificado de residencia fiscal digital («eTRC») a efectos fiscales de manera más general.

El SEPD acoge con satisfacción que la propuesta tenga como objetivo abordar aspectos pertinentes de la protección de datos, como la limitación de la finalidad, la minimización de los datos y la limitación del almacenamiento. El SEPD recuerda, sin embargo, que cualquier uso del eTRC para un fin distinto de la aplicación de los procedimientos del impuesto sobre el valor añadido establecidos por la Propuesta requeriría su propia base jurídica (independiente) con arreglo al Derecho de la Unión o de los Estados miembros. Por este motivo, el SEPD recomienda que se suprima el artículo 4, apartado 2, letra g) de la Propuesta o que se especifiquen los fines (distintos de la exención del impuesto sobre el valor añadido) para los que se utilizaría el eTRC, así como las categorías pertinentes de datos personales.

El SEPD también acoge con satisfacción que la propuesta circunscriba en qué medida pueden restringirse los derechos de los interesados. Para garantizar que las restricciones propuestas no se prolonguen más de lo estrictamente necesario y solo se apliquen en casos justificados, el SEPD recomienda incluir la expresión «en la medida en que el ejercicio de tales derechos pueda poner en peligro las investigaciones» en el artículo 20, apartado 1, de la propuesta.

1. Introducción

2. Observaciones generales

3. Certificado de residencia fiscal digital

4. Restricción de los derechos de los interesados

5. Papel de los intermediarios financieros certificados y autoridades competentes de los Estados miembros

6. Conservación de datos

7. Conclusiones

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, organismos y agencias de la Unión y a la libre circulación de estos datos (en adelante, el “PDUE”)2 , y en particular su artículo 42.1,

HA ADOPTADO EL PRESENTE DICTAMEN:

1. Introducción

1. El 19 de junio de 2023, la Comisión Europea publicó la Propuesta de Directiva del Consejo relativa a una reducción más rápida y segura del exceso de retenciones a cuenta (1) («la Propuesta»).

2. Según su exposición de motivos (2), los objetivos principales de la Propuesta son:

— apoyar el buen funcionamiento de la Unión de Mercados de Capitales («UMC») facilitando la inversión transfronteriza; y

— garantizar una fiscalidad justa mediante la prevención del fraude y los abusos fiscales.

3. Para lograr estos objetivos, la propuesta introduciría procedimientos de retención a cuenta más eficientes y, al mismo tiempo, proporcionaría a los Estados miembros las herramientas necesarias para luchar eficazmente contra el fraude y los abusos fiscales (3).

4. Como se explica en la exposición de motivos (4), la propuesta se basa en el Plan de acción para una fiscalidad equitativa y sencilla que apoya la estrategia de recuperación (5) y en el Plan de Acción para una Unión de los Mercados de Capitales para las personas y las empresas (6).

5. Este Dictamen del SEPD se emite en respuesta a una consulta de la Comisión Europea, de 19 de junio de 2023, de conformidad con el artículo 42, apartado 1, del RPDUE (7). El SEPD también observa positivamente que se le haya consultado informalmente con anterioridad, de conformidad con el considerando 60 del EUPDTR.

2 DO L 295 de 21.11.2018, p. 39.

3 COM(2023) 324 final,

4 COM(2023) 324 final, p. 3.

5 COM(2023) 324 final, p. 3.

6 COM(2023) 324 final. p. 3

7 Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones: Una unión de los mercados de capitales para las personas y las empresas – nuevo plan de acción, COM/2020/590 final.

8 Comunicación de la Comisión al Parlamento Europeo y al Consejo titulada "Plan de acción para una fiscalidad justa y simplificada en apoyo de la estrategia de recuperación", COM/2020/312 final.

2. Observaciones generales

6. El SEPD acoge con satisfacción los objetivos de la propuesta, a saber, apoyar el buen funcionamiento de la Unión de los Mercados de Capitales facilitando las inversiones transfronterizas y, al mismo tiempo, garantizando la justicia fiscal evitando el fraude y el abuso fiscales. .

7. El SEPD observa que la propuesta implicaría el tratamiento de datos personales, en particular datos personales relativos a los contribuyentes como personas físicas con derecho a recibir dividendos o intereses de valores sujetos a retención en origen en un Estado miembro. Además, la propuesta requeriría que los Estados miembros proporcionen un proceso automatizado para emitir un certificado de residencia fiscal digital (CRFN) a efectos fiscales más generales.

8. Según la exposición de motivos, los datos personales sólo se tratarían con el fin de verificar la aplicación correcta del tipo de retención en origen al contribuyente y mitigar el riesgo de fraude y abuso fiscal. Los datos personales solo se transmitirán entre entidades involucradas en procedimientos de desgravación fiscal en origen conforme a esta Directiva. La cantidad de datos personales que se transmitirán se limitaría a lo necesario para detectar casos de subdeclaración o no declaración, evasión o abuso fiscal. Finalmente, los datos personales sólo se conservarán durante el tiempo necesario para esta finalidad9

9. El SEPD acoge con satisfacción que la propuesta pretenda abordar aspectos relevantes de la protección de datos. El SEPD también observa con satisfacción que la propuesta contiene un considerando10 que recuerda que el Reglamento general de protección de datos11 (RGPD) se aplica a cualquier tratamiento de datos personales realizado en el marco de la propuesta. En el resto de este Dictamen, el SEPD hace observaciones y recomendaciones específicas sobre las disposiciones de la Propuesta que son particularmente relevantes desde una perspectiva de protección de datos.

3. Certificado de Residencia Fiscal Digital

10. De conformidad con el artículo 4, apartado 1, de la propuesta, los Estados miembros deben proporcionar un procedimiento automatizado para la emisión de un certificado de residencia fiscal digital (CRFN) a una persona considerada residente en su jurisdicción a efectos fiscales. Si bien la propuesta regularía el uso del CRFN en procedimientos de retención de impuestos, la exposición de motivos establece que el CRFN estandarizado también puede usarse para otros fines12.

11. El artículo 4(2) enumera la información que debe incluirse en el CRFN13.

El SEPD señala que la letra g) del artículo 4, apartado 2, se refiere a "cualquier información adicional que pueda resultar útil cuando el certificado se expida para fines distintos de la desgravación del exceso de retención en origen en virtud de la presente Directiva (...)".

12. A este respecto, el SEPD desea recordar que, de conformidad con el artículo 5, apartado 1, letra b), del RGPD, los datos personales deben recopilarse para fines específicos, explícitos y legítimos, y no procesarse posteriormente de manera que incompatible con estos fines. El artículo 6, apartado 1, del RGPD proporciona una lista exhaustiva y restrictiva de casos en los que el tratamiento de datos personales puede considerarse lícito14. De conformidad con el artículo 6, apartado 4, del RGPD, el tratamiento para un fin distinto de aquel para el que se recogieron los datos personales es posible si se basa en el derecho de la Unión o en el derecho del Estado miembro de que se trate, lo que constituye una obligación necesaria y proporcionada medida en una sociedad democrática para garantizar los objetivos mencionados en el artículo 23, apartado 1, del RGPD. Cualquier uso del CRFN para fines distintos de la aplicación de los procedimientos de retención de impuestos previstos en la propuesta requeriría, en principio, su propia base jurídica (separada) en el Derecho de la Unión o del Estado miembro en cuestión.

13. En este contexto, el SEPD recomienda eliminar el artículo 4(2)(g) de la propuesta o especificar en la propuesta los fines (distintos de la desgravación del exceso de retención en origen) para los cuales se utilizaría el CRFN. Después de especificar estos fines (fiscales) adicionales, la propuesta debe especificar las categorías de datos personales relevantes que se requerirían para cada uno de estos fines, teniendo en cuenta los principios de necesidad y proporcionalidad15.

4. Restricción de los derechos de los interesados

14. El artículo 20, apartado 1, de la propuesta establece que los Estados miembros limitarán los derechos de los interesados en virtud de los artículos 15 a 19 del RGPD (derecho de acceso, derecho de rectificación, derecho de supresión, derecho de limitación del tratamiento y obligación de notificación) sólo en la medida y durante el tiempo que sea estrictamente necesario para que sus autoridades competentes reduzcan el riesgo de fraude o evasión fiscal en los Estados miembros, en particular verificando que se aplica el tipo correcto de retención en origen al propietario registrado o que el propietario registrado obtiene la reparación, si tiene derecho, a su debido tiempo.

15. El SEPD recuerda que el artículo 23 del RGPD autoriza, en condiciones específicas, a un legislador nacional o de la Unión a limitar, mediante una medida legislativa, el alcance de las obligaciones y derechos previstos en los artículos 12 a 22, cuando tales La limitación respeta la esencia de los derechos y libertades fundamentales y constituye una medida necesaria y proporcionada en una sociedad democrática para garantizar, entre otras cosas, los objetivos.

13. Si el contribuyente es una persona natural, el CRFN incluirá al menos (a) el apellido, nombre, fecha y lugar de nacimiento del contribuyente; (b) número de identificación fiscal; (c) la dirección del contribuyente; (d) fecha de emisión; e) el período cubierto; f) identificación de la autoridad tributaria que expide el certificado.

14. Sentencia del Tribunal de Justicia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, apartado 67.

15. Consulte la guía rápida del SEPD sobre necesidad y proporcionalidad. 28 de junio de 2020.

16. El SEPD acoge con satisfacción el artículo 20, apartado 1, de la propuesta, que limita en qué medida pueden restringirse los derechos de los interesados en virtud de esta propuesta. El SEPD recuerda que los derechos de los interesados pueden limitarse, pero no negarse. Tan pronto como dejen de existir las circunstancias que justificaron la limitación, deberán restablecerse los derechos de los interesados.

17. El SEPD acoge con satisfacción el artículo 20, apartado 2, de la propuesta, que establece que, al procesar datos personales, los intermediarios financieros certificados y las autoridades competentes de los Estados miembros se consideran responsables del tratamiento, en el sentido del artículo 4, apartado 7, del RGPD. Directrices del SEPD 10/2020 sobre las restricciones previstas en el artículo 23 del RGPD, Por ejemplo, puede ser apropiado limitar el derecho de acceso en los casos en que dicho acceso comprometa una investigación17. 7 Sin embargo, esta restricción debería limitarse a la duración necesaria para la investigación específica y debería levantarse tan pronto como la administración tributaria cierre la investigación18. Para garantizar que la restricción propuesta no exceda la duración estrictamente necesaria y que se aplique sólo en casos justificados, el SEPD recomienda incluir las palabras "en la medida en que el ejercicio de estos derechos pueda comprometer las investigaciones" en el artículo 20de interés público general de la Unión o de un Estado miembro, incluso en materia fiscal16.

16 Artículo 23(1)(e) del RGPD.

17 Véase la orientación del SEPD sobre el artículo 25 del nuevo Reglamento y las normas internas publicado en diciembre de 2018, párrafo 6.

18 6. Retención de datos 5. Papel de las autoridades e intermediarios financieros certificados autoridades competentes de los Estados miembros

19 Artículo 5(1)(e) del RGPD.

6. Conservación de los Datos

18. De conformidad con el principio de limitación del período de conservación19, los datos personales deben conservarse en una forma que permita la identificación de las personas interesadas durante un período que no exceda el necesario para los fines para los cuales se procesan estos datos. Por lo tanto, el SEPD acoge con satisfacción los artículos 9, apartado 5, y 20, apartado 3, de la propuesta, que establecen un período máximo de conservación para el tratamiento de datos personales.

7. Conclusiones

19. En vista de lo anterior, el SEPD formula las recomendaciones siguientes:

(1) suprimir la letra g) del apartado 2 del artículo 4 de la Propuesta o especificar los fines (distintos de la desgravación del impuesto sobre el valor añadido) para los que se utilizaría el eTRC, así como las categorías pertinentes de datos personales;

(2) incluir la expresión «en la medida en que el ejercicio de dichos derechos pueda poner en peligro las investigaciones» en el artículo 20, apartado 1, de la propuesta.

Bruselas, 8 de agosto de 2023.

p.o. Leonardo CERVERA NAVAS

Secretario general

Wojciech Rafał WIEWIÓROWSKI

(1) COM(2023) 324 final.

(2) COM(2023) 324 final, p. 3.

(3) COM(2023) 324 final, p. 3.

(4) COM(2023) 324 final, p. 3.

(5) Comunicación de la Comisión al Parlamento Europeo y al Consejo «Un Plan de Acción para una fiscalidad justa y simple en apoyo de la estrategia de recuperación», COM/2020/312 final.

(6) Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones «Una Unión de los Mercados de Capitales para las personas y las empresas: nuevo plan de acción» [COM(2020) 590 final].

(7) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos y por el que se deroga el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).