Por: Carlos FERREYROS SOTO
Doctor en Derecho
Université de Montpellier I Francia.
M. Sc. Institut Agronomique Méditerranéen
cferreyros@hotmail.com
SINTESIS
Los Reglamentos delegados, son aquellos activados, previo mandato o habilitación contenida en un
acto legislativo, con el objeto de que la Comisión complete o modifique, en
elementos no esenciales, la eficaz aplicación del mismo, por medio de esta
norma de aplicación general y eficacia directa. Los actos legislativos delegantes "delimitarán
de forma expresa los objetivos, el contenido, el alcance y la duración de la
delegación de poderes. La regulación de los elementos esenciales de un ámbito
estará reservada al acto legislativo y, por lo tanto, no podrá ser objeto de
una delegación de poderes" (art. 290.1 TFUE). El reglamento
delegado deberá expresar esta naturaleza en su propio título, y no estará
revestido de la naturaleza de acto legislativo.
Este marco incluye una serie de componentes de
interoperabilidad para el tratamiento de cantidades significativas de datos
personales sensibles. Es importante que las personas cuyos datos se traten a
través de dichos componentes puedan ejercer de forma eficaz sus derechos como
titulares de los datos, tal y como exigen el Reglamento (UE) 2016/679, la
Directiva (UE) 2016/680 y el Reglamento (UE) 2018/1725 del Parlamento
Europeo y el Consejo.
El presente Reglamento Delegado comprende ocho (8) artículos y
un Anexo: Modelo de correo
electrónico para solicitar información
Artículo 2 -
Partes interesadas y responsabilidades
Artículo 3 -
Interfaz de usuario
Artículo 4 -
Gestión de contenidos
Artículo 5 -
Consideraciones de seguridad
Artículo 6 -
Protección de datos y derechos del titular de los datos
_________________________________________________________
REGLAMENTO DELEGADO (UE) 2021/2104 DE LA COMISIÓN
de 19 de agosto de 2021
por el que se establecen normas detalladas sobre el funcionamiento del portal web, con arreglo a las disposiciones del artículo 49, apartado 6, del Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad de los sistemas de información de la UE en el ámbito de las fronteras y los visados y por el que se modifican los Reglamentos (CE) n.o 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 y (UE) 2018/1861 del Parlamento Europeo y del Consejo, y las Decisiones 2004/512/CE y 2008/633/JAI del Consejo (1), y en particular su artículo 49, apartado 6.
Considerando lo siguiente:
(1) | El Reglamento (UE) 2019/817, junto con el Reglamento (UE) 2019/818 del Parlamento Europeo y del Consejo (2) establece un marco para garantizar la interoperabilidad entre los sistemas de información de la UE en el ámbito de las fronteras, los visados, la cooperación policial y judicial, el asilo y la migración. |
(2) | Este marco incluye una serie de componentes de interoperabilidad para el tratamiento de cantidades significativas de datos personales sensibles. Es importante que las personas cuyos datos se traten a través de dichos componentes puedan ejercer de forma eficaz sus derechos como titulares de los datos, tal y como exigen el Reglamento (UE) 2016/679 (3), la Directiva (UE) 2016/680 (4) y el Reglamento (UE) 2018/1725 (5) del Parlamento Europeo y el Consejo. |
(3) | Mediante el Reglamento (UE) 2019/817 se estableció un portal web con el fin de facilitar el ejercicio del derecho a la información y los derechos de acceso, rectificación, supresión o limitación de tratamiento de datos personales. |
(4) | Este portal debe permitir a las personas cuyos datos se tratan en el detector de identidades múltiples y que han sido informadas de la presencia de un vínculo rojo o blanco, extraer los datos de contacto de la autoridad competente del Estado miembro responsable de la verificación manual de las identidades diferentes. |
(5) | Con objeto de facilitar la comunicación entre el usuario del portal y la autoridad competente del Estado miembro responsable de la verificación manual de las identidades diferentes, el portal web debería incluir asimismo un modelo de correo electrónico, disponible en las lenguas determinadas en el presente Reglamento. También debería ofrecer una opción sobre la lengua que debe utilizarse en la respuesta. |
(6) | A fin de aclarar las responsabilidades respectivas en relación con el portal web, el presente Reglamento debe especificar las responsabilidades de la Agencia Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia («eu-LISA»), la Comisión y los Estados miembros. |
(7) | A efectos de un funcionamiento seguro y fluido del portal web, el presente Reglamento debe establecer normas relativas a la seguridad de la información en el portal web. Además, el acceso al portal web debe estar sujeto a registro a fin de evitar cualquier uso indebido. |
(8) | Dado que el Reglamento (UE) 2019/817 desarrolla el acervo de Schengen, de conformidad con el artículo 4 del Protocolo n.o 22 sobre la posición de Dinamarca, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, Dinamarca notificó la incorporación del Reglamento (UE) 2019/817 a su legislación nacional y, por tanto, está vinculada por este Reglamento. |
(9) | El presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen, en las que Irlanda no participa (6). Por consiguiente, Irlanda no participa en su adopción y no queda vinculada por este ni sujeta a su aplicación. |
(10) | Por lo que respecta a Islandia y Noruega, el presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Acuerdo celebrado por el Consejo de la Unión Europea, la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen (7), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE del Consejo (8). |
(11) | Por lo que respecta a Suiza, el presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen (9), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE, leído en relación con el artículo 3 de la Decisión 2008/146/CE del Consejo (10). |
(12) | Por lo que respecta a Liechtenstein, el presente Reglamento constituye un desarrollo de las disposiciones del acervo de Schengen en el sentido del Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen (11), que entran en el ámbito mencionado en el artículo 1, punto A, de la Decisión 1999/437/CE, leído en relación con el artículo 3 de la Decisión 2011/350/UE del Consejo (12). |
(13) | Por lo que respecta a Chipre, Bulgaria, Rumanía y Croacia, el presente Reglamento constituye un acto que desarrolla el acervo de Schengen o está relacionado con él de otro modo, en el sentido del artículo 3, apartado 1, del Acta de adhesión de 2003; del artículo 4, apartado 1, del Acta de adhesión de 2005 y del artículo 4, apartado 1, del Acta de adhesión de 2011, respectivamente. |
(14) | El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 31 de marzo de 2021. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
Dominio y acceso
1. El portal web utilizará el nombre de dominio «europa.eu» de la Unión Europea.
2. La descripción del portal web se pondrá a disposición para su indización por los principales motores de búsqueda públicos.
3. El portal web estará públicamente disponible, además de en las lenguas oficiales de los Estados miembros, en, al menos, las siguientes lenguas: ruso, árabe, japonés, chino, albanés, bosnio, macedonio, hindi y turco.
4. El portal web contendrá información a la que se hace referencia en los artículos 47 y 48 del Reglamento (UE) 2019/817 y una herramienta de búsqueda para obtener los datos de contacto de la autoridad competente del Estado miembro responsable de la creación de un vínculo rojo o blanco a raíz de la verificación manual de identidades diferentes. El portal web también podrá contener otra información necesaria para facilitar el ejercicio de los derechos a los que se hace referencia en los artículos 47 y 48 del Reglamento (UE) 2019/817.
5. El portal web será conforme a las normas, las directrices y la información de la Guía de la web Europa de la Comisión Europea, incluidas las directrices sobre accesibilidad.
6. El portal web impedirá que la información de contacto de las autoridades esté disponible para los motores de búsqueda y otras herramientas automáticas de recopilación de información de contacto.
Artículo 2
Partes interesadas y responsabilidades
1. La Agencia Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia («eu-LISA») desarrollará el portal web y garantizará su gestión técnica, como se contempla en el artículo 49, apartado 5, del Reglamento (UE) 2019/817, incluidos el alojamiento, funcionamiento y mantenimiento del portal web.
2. La Comisión facilitará a eu-LISA el contenido del portal web a que se hace referencia en el artículo 1, apartado 4, así como las correcciones o actualizaciones necesarias.
3. Los Estados miembros proporcionarán cumplida y oportunamente a eu-LISA los datos de contacto de todas las autoridades competentes para llevar a cabo el examen de cualquier solicitud contemplada en los artículos 47 y 48 del Reglamento (UE) 2019/817 y responder a ella, a fin de permitir la carga y actualización periódicas del contenido del portal web, como se contempla en el artículo 49, apartado 4, del Reglamento (UE) 2019/817.
4. Los Estados miembros dotarán a eu-LISA de un punto de contacto único responsable de la revisión y el mantenimiento.
5. eu-LISA revisará los datos de contacto facilitados y pedirá a todos los Estados miembros que revisen la información disponible con objeto de cargar los posibles cambios o adiciones. La revisión se realizará como mínimo una vez al año.
6. En relación con el tratamiento de datos en el portal web, las autoridades de los Estados miembros serán las responsables del tratamiento, de conformidad con el artículo 4, punto 7, del Reglamento (UE) 2016/679 o con el artículo 3, punto 8, de la Directiva (UE) 2016/680.
7. En relación con el tratamiento de los datos personales en el portal web, eu-LISA será la encargada del tratamiento en el sentido del artículo 3, punto 12, del Reglamento (UE) 2018/1725.
Artículo 3
Interfaz de usuario
1. El portal web incluirá una herramienta de búsqueda que permita a los usuarios introducir la referencia de la autoridad responsable de la verificación manual de las identidades diferentes a que se refiere el artículo 34, letra d) del Reglamento (UE) 2019/817 a fin de extraer la información de contacto de dicha autoridad.
2. Previa verificación de la validez y el carácter exhaustivo de los datos introducidos, el portal web extraerá los datos de contacto de dicha autoridad, de conformidad con el artículo 49, apartado 3, del Reglamento (UE) 2019/817.
3. El portal web permitirá al usuario abrir una solicitud de información enviando un modelo de correo electrónico a través de un formulario web para facilitar la comunicación entre el usuario del portal y la autoridad competente del Estado miembro responsable de la verificación manual de las identidades diferentes. El modelo incluirá un campo para el número de identificación único contemplado en el artículo 34, letra c), del Reglamento (UE) 2019/817, a fin de permitir que dicha autoridad pueda extraer los datos de enlace adecuados y los registros correspondientes.
4. El modelo de correo electrónico contendrá una solicitud de información adicional normalizada, que estará disponible en las lenguas a que se refiere el artículo 1, apartado 3. Dicho modelo de correo electrónico se establece en el anexo. Contendrá asimismo una opción sobre la lengua o las lenguas que se utilizarán en la respuesta, que contendrá al menos dos lenguas que podrá elegir cada Estado miembro. El usuario podrá elegir la lengua del modelo.
5. Previa presentación del modelo de correo electrónico cumplimentado a través del formulario web, el usuario recibirá un correo electrónico de acuse de recibo que contendrá los datos de contacto de la autoridad responsable del seguimiento de su solicitud y que permitirá a la persona ejercer sus derechos de conformidad con el artículo 48, apartado 1, del Reglamento (UE) 2019/817.
Artículo 4
Gestión de contenidos
1. El portal web garantizará la separación entre las páginas del sitio que contienen información para el público en general y la herramienta de búsqueda y las páginas del sitio que permiten al usuario extraer la información de la autoridad responsable de la verificación manual de identidades diferentes.
2. A fin de permitir que eu-LISA pueda gestionar los contenidos, el portal web incluirá una interfaz reservada a la administración, que estará protegida. Todo acceso a esta interfaz, así como los cambios realizados, se registrarán de conformidad con el artículo 7.
3. La interfaz reservada a la administración otorgará derechos a eu-LISA para crear, modificar o suprimir contenidos del portal web. Esta plataforma no permitirá a eu-LISA, en ningún caso, acceder a los datos relativos a nacionales de terceros países almacenados en los sistemas de información de la UE.
4. La solución de gestión de contenidos proporcionará un sistema de escalonamiento en el que todos los cambios puedan prepararse, consultarse y cargarse en el sistema en línea para su publicación en un momento determinado. El escalonamiento también deberá contar con herramientas para facilitar la gestión de contenidos y poder consultar el resultado de los cambios.
Artículo 5
Consideraciones de seguridad
1. El portal web se diseñará e implementará para garantizar la confidencialidad, la integridad y la disponibilidad de los servicios y para garantizar el reconocimiento de las transacciones, aplicando, como mínimo, los principios de seguridad de la aplicación siguientes:
a) | defensa en profundidad (mecanismos de seguridad por capas); |
b) | modelo de seguridad positiva (define lo que se permite y rechaza todo lo demás); |
c) | fallar de manera segura (gestión segura de los errores); |
d) | principio del mínimo privilegio; |
e) | mantener la seguridad simple (evitar arquitecturas complejas siempre que un enfoque más simple y más rápido sea posible); |
f) | detección y prevención de intrusiones (mediante el registro y la gestión de toda la información de seguridad pertinente), aplicando controles proactivos para proteger la información del portal web y los datos de contacto de los Estados miembros frente a ciberataques y fugas de información; |
g) | desconfiar de la infraestructura (la aplicación debe autenticar y autorizar cualquier acción procedente de otros sistemas existentes); |
h) | desconfiar de los servicios (desconfiar de todos los sistemas externos); |
i) | establecer la seguridad por defecto (los entornos de los sistemas operativos y el software deben configurarse de acuerdo con las mejores prácticas y estándares industriales). |
2. El portal web también se diseñará e implementará para garantizar la disponibilidad y la integridad de las entradas registradas.
3. A efectos de la seguridad y la protección de datos, el portal web incluirá una nota en la que se informará a los usuarios de las normas que rigen el uso del portal web, así como de las consecuencias de facilitar información incorrecta. La nota contendrá un formulario de aceptación de las normas que rigen el uso del portal web, que el usuario deberá suscribir antes de poder utilizar el portal web.
La implantación técnica y organizativa del portal web cumplirá el plan de seguridad, el plan de continuidad de las actividades y el plan de recuperación en caso de catástrofe a que se hace referencia en el artículo 42, apartado 3, del Reglamento (UE) 2019/817.
Artículo 6
Protección de datos y derechos del titular de los datos
1. El portal web cumplirá las normas en materia de protección de datos del Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 y la Directiva (UE) 2016/680.
2. El portal web incluirá una cláusula de confidencialidad, que será accesible a través de un enlace específico, así como desde cada página del portal web. La cláusula aparecerá de manera clara y exhaustiva.
Artículo 7
Registros
1. Sin perjuicio de los registros por escrito a que se refiere el artículo 48, apartado 10, del Reglamento (UE) 2019/817, todo acceso al portal web se consignará en un registro que contendrá la información siguiente:
a) | dirección IP del sistema utilizado por el solicitante; |
b) | fecha y hora de la solicitud; |
c) | información técnica sobre el entorno utilizado para la solicitud, como el tipo de dispositivo, la versión del sistema operativo o el modelo y la versión del navegador. |
2. La información registrada se utilizará únicamente a efectos estadísticos, así como para supervisar el uso del portal web con el fin de evitar cualquier uso indebido.
3. En caso de acceso a la interfaz reservada a la administración del portal web, además de los datos mencionados en el apartado 1, se registrarán los datos siguientes:
a) | identificación del usuario que accede a la interfaz reservada a la administración; |
b) | acciones realizadas en el portal web (crear, modificar o suprimir contenidos). |
4. A fin de optimizar el uso y el rendimiento del portal web, durante el uso de este podrá registrarse información técnica anónima suplementaria, siempre que no contenga datos personales.
5. La información registrada de conformidad con los apartados 1 y 3 se conservará durante un plazo de dos años.
6. eu-LISA conservará los registros de todas las operaciones de tratamiento de datos en el portal web.
7. eu-LISA, las autoridades de los Estados miembros y las agencias de la Unión definirán cada una la lista de personal debidamente autorizado para acceder a los registros de operaciones de tratamiento de datos del portal web.
Artículo 8
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con los Tratados.
Hecho en Bruselas, el 19 de agosto de 2021.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 135 de 22.5.2019, p. 27.
(2) Reglamento (UE) 2019/818 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad entre los sistemas de información de la UE en el ámbito de la cooperación policial y judicial, el asilo y la migración y por el que se modifican los Reglamentos (UE) 2018/1726, (UE) 2018/1862 y (UE) 2019/816 (DO L 135 de 22.5.2019, p. 85).
(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(4) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
(5) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(6) Este Reglamento no entra en el ámbito de aplicación de las medidas previstas en la Decisión 2002/192/CE del Consejo, de 28 de febrero de 2002, sobre la solicitud de Irlanda de participar en algunas de las disposiciones del acervo de Schengen (DO L 64 de 7.3.2002, p. 20).
(7) DO L 176 de 10.7.1999, p. 36.
(8) Decisión 1999/437/CE del Consejo, de 17 de mayo de 1999, relativa a determinadas normas de desarrollo del Acuerdo celebrado por el Consejo de la Unión Europea con la República de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del Acervo de Schengen (DO L 176 de 10.7.1999, p. 31).
(9) DO L 53 de 27.2.2008, p. 52.
(10) Decisión 2008/146/CE del Consejo, de 28 de enero de 2008, relativa a la celebración, en nombre de la Comunidad Europea, del Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen (DO L 53 de 27.2.2008, p. 1).
(11) DO L 160 de 18.6.2011, p. 21.
(12) Decisión 2011/350/UE del Consejo, de 7 de marzo de 2011, relativa a la celebración, en nombre de la Unión Europea, del Protocolo entre la Unión Europea, la Comunidad Europea, la Confederación Suiza y el Principado de Liechtenstein sobre la adhesión del Principado de Liechtenstein al Acuerdo entre la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen, sobre la supresión de controles en las fronteras internas y la circulación de personas (DO L 160 de 18.6.2011, p. 19).
ANEXO
Modelo de correo electrónico para solicitar información
El modelo de correo electrónico será el siguiente:
PARA: <autoridad responsable de la verificación manual de las identidades diferentes, cuyos datos ha extraído el portal>
DE: <dirección de correo electrónico del usuario>
ASUNTO: Solicitud de información relativa al detector de identidades múltiples [vínculo rojo/vínculo blanco]: <número de identificación único>
Cuerpo del correo:
Muy señora mía/Muy señor mío:
Recibí un formulario en el que se me informaba por escrito de la existencia de posibles discrepancias en mis datos personales.
Estas posibles discrepancias en los datos sobre mi identidad han dado lugar a la creación de un expediente con la referencia <número de identificación único>.
Quisiera recibir toda la información adicional relativa a este expediente a más tardar el < fecha que calculará el portal> en < idioma (1)> a esta dirección de correo electrónico.
(1) Cada Estado miembro decidirá las opciones lingüísticas del menú desplegable correspondiente.
