10.4.2019   

ES

Diario Oficial de la Unión Europea

LI 99/1


DECISIÓN DEL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS

de 2 de abril de 2019

relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco de actividades realizadas por el Supervisor Europeo de Protección de Datos

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS (SEPD),

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos (en lo sucesivo, «el Reglamento»), y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular el artículo 25 y su capítulo VI,

Previa consulta a la Secretaría del Supervisor Europeo de Protección de Datos sobre esta decisión, de conformidad con el artículo 41, apartado 2, del Reglamento,

Considerando lo siguiente:

(1)

En el contexto de su funcionamiento, el SEPD podrá llevar a cabo investigaciones administrativas, procedimientos predisciplinarios, disciplinarios y de suspensión, sobre la base del artículo 86 del Estatuto de los funcionarios de la Unión Europea (2) y de conformidad con su anexo IX, así como la Decisión del Supervisor Europeo de Protección de Datos de 23 de abril de 2015 por la que se adoptan disposiciones de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios, y el Acuerdo de nivel de servicio relativo a la colaboración entre la DG HR de la Comisión Europea y el SEPD, firmado el 29 de enero de 2016, y podrá notificar los casos a la IDOC o a la OLAF, lo que implica el tratamiento de la información, incluidos los datos personales.

(2)

Los miembros del personal del SEPD tienen la obligación de notificar posibles actividades ilícitas, incluidos el fraude o la corrupción, perjudiciales para los intereses de la Unión, o una conducta relacionada con el desempeño de actividades profesionales que pueda constituir un incumplimiento grave de las obligaciones de los funcionarios de la Unión. Esto queda regulado por la Decisión del SEPD relativa a las normas internas en materia de denuncia de prácticas corruptas de 14 de junio de 2016.

(3)

El SEPD ha establecido una política para prevenir y abordar de forma eficaz y eficiente los casos reales o potenciales de acoso psicológico o sexual en el lugar de trabajo, tal como queda previsto en su Decisión de 10 de diciembre de 2014, por la que se adoptan medidas de ejecución relativas a los artículos 12 bis y 24 del Estatuto de los funcionarios sobre el procedimiento de lucha contra el acoso. La Decisión establece un procedimiento informal en el que la presunta víctima del acoso puede ponerse en contacto con consejeros confidenciales del SEPD.

(4)

De conformidad con el artículo 57, apartado 1, letra e), del Reglamento, el SEPD se ocupa de las denuncias sobre las actividades de tratamiento realizadas por las instituciones, órganos y organismos de la Unión Europea. En este contexto, el SEPD podrá llevar a cabo investigaciones sobre el objeto de la denuncia.

(5)

De conformidad con el artículo 57, apartado 1, letra f), del Reglamento, el SEPD lleva a cabo investigaciones sobre la aplicación del Reglamento para verificar el cumplimiento por parte de las instituciones, órganos y organismos de la Unión.

(6)

El SEPD podrá llevar a cabo investigaciones sobre posibles infracciones de la información clasificada de la UE (ICUE), sobre la base de la Decisión del Supervisor Europeo de Protección de Datos, de 18 de febrero de 2014, por la que se modifican sus normas en materia de seguridad de la ICUE.

(7)

El SEPD podrá realizar auditorías sobre sus actividades. Esto se lleva a cabo actualmente a través del Servicio de Auditoría Interna de la Comisión Europea (en lo sucesivo, «SAI»), sobre la base del Acuerdo de nivel de servicio firmado el 1 de junio de 2012, renovado. También podrá realizarlas el coordinador de control interno en toda su capacidad.

(8)

En el contexto de las tareas descritas en los considerandos n.o 1 a 7, el SEPD podrá proporcionar y recibir asistencia y cooperación con y de otras instituciones, órganos y organismos de la Unión, tal como se establece en los acuerdos de nivel de servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes.

(9)

El SEPD podrá proporcionar y recibir asistencia y cooperación con y procedente de las autoridades nacionales de terceros países y de las organizaciones internacionales, a petición de estas o por propia iniciativa, conforme a lo dispuesto en el artículo 51 del Reglamento.

(10)

El SEPD podrá proporcionar y recibir asistencia y cooperación con y procedente de las autoridades públicas de los Estados miembros de la UE, a petición de estas o por propia iniciativa.

(11)

Sobre la base del artículo 58, el SEPD puede intervenir en los asuntos ante el Tribunal de Justicia de la Unión Europea, bien para remitir un asunto al Tribunal, bien para defender decisiones impugnadas por el SEPD o para intervenir en asuntos relacionados con sus funciones.

(12)

En el contexto de las actividades mencionadas, el SEPD recoge y trata la información pertinente y varias categorías de datos personales, incluidos los datos de identificación de una persona física, la información de contacto, las funciones y tareas profesionales, la información sobre la conducta y el rendimiento profesional y privados, y los datos financieros. El SEPD actúa como responsable del tratamiento.

(13)

Existen garantías adecuadas para proteger los datos personales e impedir el acceso o la transferencia accidental o ilícita, tanto si se almacenan en un entorno físico como en un entorno electrónico. Una vez tratados, los datos se conservan de conformidad con las normas de retención del SEPD aplicables, tal como se definen en los registros de protección de datos basados en el artículo 31 del Reglamento. Al final del periodo de retención, la información relacionada con el caso, incluidos los datos personales, se suprimirá, se anonimizará o se transferirá a los archivos históricos.

(14)

En este contexto, el SEPD debe cumplir su obligación de facilitar información a los interesados en relación con las actividades de tratamiento mencionadas y respetar los derechos de los interesados, tal como se establece en el Reglamento.

(15)

Puede ser necesario conciliar los derechos de los interesados de conformidad con el Reglamento con las necesidades de las actividades antes mencionadas, respetando plenamente los derechos y libertades fundamentales de otros interesados. A tal efecto, el artículo 25 del Reglamento prevé, en condiciones estrictas, la posibilidad de limitar la aplicación de los artículos 14 a 20, 35 y 36, así como del artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 20. En este caso, es necesario adoptar normas internas en virtud de las cuales el SEPD puede limitar dichos derechos de conformidad con el mismo artículo del Reglamento.

(16)

Este podría ser el caso, en particular, cuando se proporcione información sobre el tratamiento de datos personales al interesado en la fase de evaluación preliminar de una investigación administrativa o durante la propia investigación, antes de una posible desestimación del asunto o de una fase predisciplinaria. En determinadas circunstancias, el hecho de facilitar dicha información podría afectar gravemente a la capacidad del SEPD para realizar la investigación de manera eficaz, siempre que, por ejemplo, exista el riesgo de que la persona afectada destruya las pruebas o interfiera con los posibles testigos antes de que sean entrevistados. Además, el SEPD podría necesitar proteger sus derechos y libertades, así como los derechos y libertades de otras personas implicadas.

(17)

Podría ser necesario proteger la confidencialidad de un testigo o un denunciante que haya solicitado no ser identificado. En tal caso, el SEPD podrá decidir limitar el acceso a la identidad, las declaraciones y otros datos personales del denunciante y de otras personas implicadas, a fin de proteger sus derechos y libertades.

(18)

Podría ser necesario proteger la confidencialidad de un miembro del personal que haya contactado con consejeros confidencialidades del SEPD en el contexto de un procedimiento de acoso. En tal caso, el SEPD podrá decidir limitar el acceso a la identidad, las declaraciones y otros datos personales de la presunta víctima, el presunto acosador y de otras personas implicadas, a fin de proteger sus derechos y libertades.

(19)

Al tramitar las denuncias sobre actividades de tratamiento llevadas a cabo por las instituciones, órganos y organismos de la Unión, es posible que el SEPD, en determinadas circunstancias, necesite preservar la eficacia de sus investigaciones y proteger, en caso necesario, a las personas implicadas y sus derechos y libertades.

(20)

Al realizar investigaciones sobre la aplicación del Reglamento para verificar el cumplimiento de las instituciones, órganos y organismos europeos del Reglamento, es posible que el SEPD, en determinadas circunstancias, necesite preservar la eficacia de sus investigaciones y proteger, en caso necesario, a las personas implicadas y sus derechos y libertades.

(21)

Al llevar a cabo investigaciones sobre posibles infracciones de la información clasificada de la UE, es posible que el SEPD, en determinadas circunstancias, necesite preservar la eficacia de sus investigaciones y proteger, según sea necesario, la seguridad interior de las instituciones, órganos y organismos de la Unión, incluidas sus redes de comunicaciones electrónicas, así como los derechos y libertades de los interesados implicados.

(22)

Al prestar o recibir asistencia y cooperación a otras instituciones, órganos y organismos de la Unión, a las autoridades públicas de los Estados miembros de la UE, a las autoridades nacionales de terceros países y a las organizaciones internacionales en el contexto de las actividades antes mencionadas, es posible que el SEPD, en determinadas circunstancias, necesite preservar la eficacia de sus investigaciones o de las llevadas a cabo por la entidad que coopera, y proteger, en caso necesario, a las personas implicadas y sus derechos y libertades.

(23)

Al hacer referencia o intervenir ante el Tribunal de Justicia de la Unión Europea, es posible que el SEPD necesite preservar la confidencialidad de los datos personales contenidos en los documentos obtenidos por las partes o los interesados en el contexto del asunto en cuestión.

(24)

El SEPD debe aplicar las limitaciones solo cuando respetan la esencia de los derechos y las libertades fundamentales y son una medida estrictamente necesaria y proporcionada en una sociedad democrática. El SEPD debe justificar los motivos de dichas limitaciones.

(25)

Sobre la base del principio de responsabilidad, el SEPD deberá mantener un registro de la aplicación de las limitaciones.

(26)

Al tratar los datos personales intercambiados con otras organizaciones en el contexto de sus funciones, el SEPD consultará y será consultado por dichas organizaciones sobre los posibles motivos pertinentes para imponer limitaciones y la necesidad y proporcionalidad de las limitaciones, a menos que ello ponga en peligro las actividades del SEPD.

(27)

El artículo 25, apartado 6, del Reglamento (UE) n.o 2018/1725 obliga al responsable del tratamiento a informar a los interesados de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante la SEPD.

(28)

De conformidad con el artículo 25, apartado 8, del Reglamento, el SEPD podrá aplazar, omitir o denegar la comunicación de la información que justifica la limitación al interesado si dicha comunicación dejase sin efecto la limitación impuesta. El SEPD debe evaluar caso por caso si la comunicación de la limitación anula su efecto.

(29)

Deberá levantar la limitación tan pronto como las condiciones que la justifiquen ya no sean aplicables y evaluar dichas condiciones de forma periódica.

(30)

A fin de garantizar la máxima protección de los derechos y libertades de los interesados y de conformidad con el artículo 44, apartado 1, del Reglamento, el delegado de protección de datos (DPD) deberá ser informado a su debido tiempo de cualquier limitación que se esté aplicando y verificar el cumplimiento de la presente Decisión.

(31)

La aplicación de las limitaciones mencionadas se entiende sin perjuicio de la posible aplicación de las disposiciones del artículo 16, apartado 5, y el artículo 17, apartado 4, relativas, respectivamente, al derecho de información cuando los datos no se han obtenido del interesado y al derecho de acceso del interesado.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto y ámbito de aplicación

La presente Decisión establece normas relativas a las condiciones en las que el SEPD puede limitar la aplicación de los artículos 14 a 20, 35 y 36, así como su artículo 4, sobre la base del artículo 25 del Reglamento.

Artículo 2

Limitaciones

1.   De conformidad con el artículo 25, apartado 1, del Reglamento, el SEPD podrá limitar la aplicación de los artículos 14 a 20, 35 y 36, así como su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20, cuando:

a)

lleva a cabo investigaciones administrativas y los procedimientos predisciplinarios, disciplinarios y de suspensión, con arreglo al artículo 86 del Estatuto de los funcionarios de la Unión Europea (3) y de conformidad con su anexo IX, así como la Decisión del SEPD de 23 de abril de 2015, y podrá notificar los asuntos a la IDOC o a la OLAF. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento;

b)

garantiza que los miembros del personal del SEPD puedan notificar de forma confidencial los hechos cuando consideren que existen irregularidades graves reguladas por la Decisión del SEPD relativa a las normas internas en materia de denuncia de prácticas corruptas de 14 de junio de 2016. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letra h), del Reglamento;

c)

garantiza que los miembros del personal del SEPD puedan informar de forma confidencial a los consejeros en el contexto de un procedimiento de acoso, tal como se define en la Decisión del Supervisor Europeo de Protección de Datos de 10 de diciembre de 2014. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letra h), del Reglamento;

d)

realiza investigaciones sobre cuestiones relativas a las denuncias sobre las actividades de tratamiento llevadas a cabo por las instituciones, órganos y organismos de la Unión, de conformidad con el artículo 57, apartado 1, letra e), del Reglamento. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento;

e)

lleva a cabo investigaciones sobre la aplicación del Reglamento para verificar el cumplimiento de las instituciones, órganos y organismos de la Unión, de conformidad con el artículo 57, apartado 1, letra f), del Reglamento. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento;

f)

lleva a cabo investigaciones sobre posibles violaciones de la seguridad de la información clasificada de la UE (ICUE), sobre la base de la Decisión del SEPD de 18 de febrero de 2014, por la que se modifican sus normas en materia de seguridad de la ICUE. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento;

g)

lleva a cabo auditorías internas relacionadas con todas las actividades y departamentos del SEPD. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento;

h)

presta o recibe asistencia y cooperación con y de otras instituciones, órganos y organismos de la Unión, en el contexto de las actividades anteriormente mencionadas, según lo establecido en los acuerdos de nivel de servicio, memorandos de acuerdo y acuerdos de cooperación pertinentes. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento;

i)

proporciona y recibe asistencia y cooperación con y procedente de las autoridades nacionales de terceros países y de las organizaciones internacionales, a petición de estas o por propia iniciativa, conforme a lo dispuesto en el artículo 51 del Reglamento. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento;

j)

proporciona y recibe asistencia y cooperación con y procedente de las autoridades públicas de los Estados miembros de la UE, a petición de estas o por propia iniciativa. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento;

k)

trata datos personales de documentos obtenidos por las partes o los coadyuvantes en el contexto del asunto en cuestión al remitir asuntos o al intervenir ante el Tribunal de Justicia de la Unión Europea, sobre la base del artículo 58, apartado 4, del Reglamento. Las limitaciones pertinentes podrán basarse en el artículo 25, apartado 1, letra e), del Reglamento;

2.   Las categorías de datos incluyen los datos de identificación de una persona física, la información de contacto, las funciones y tareas profesionales, la información sobre la conducta y el rendimiento profesional y privado, y los datos financieros.

3.   Toda restricción respetará la esencia de los derechos y las libertades fundamentales y será una medida necesaria y proporcionada en una sociedad democrática.

4.   Se llevará a cabo una prueba de necesidad y proporcionalidad, caso por caso, antes de aplicar limitaciones. Las limitaciones quedarán restringidas a lo estrictamente necesario para alcanzar los objetivos fijados.

5.   A efectos de la rendición de cuentas, el SEPD presentará un registro en el que se describan las razones de las limitaciones aplicadas, entre las enumeradas en el apartado 1, y el resultado de la prueba de necesidad y proporcionalidad. Dichos registros formarán parte de un registro ad hoc, que se pondrá a disposición del SEPD, previa solicitud. Se facilitará periódicamente un informe sobre la aplicación del artículo 25 del Reglamento.

6.   Al tratar los datos personales intercambiados con otras organizaciones en el contexto de sus funciones, el SEPD consultará y será consultado por dichas organizaciones sobre los posibles motivos pertinentes para imponer limitaciones y la necesidad y proporcionalidad de las limitaciones, a menos que ello ponga en peligro las actividades del SEPD.

Artículo 3

Riesgos para los derechos y las libertades de los interesados

La evaluación de los riesgos para los derechos y libertades de los interesados cuyos datos personales puedan estar sujetos a limitaciones, así como su periodo de retención, se citan en el registro de las actividades de tratamiento pertinentes de conformidad con el artículo 31 del Reglamento y, si procede, en las evaluaciones de impacto relativas a la protección de datos pertinentes basadas en el artículo 39 del Reglamento.

Artículo 4

Plazos de retención y garantías

El SEPD aplicará garantías para evitar los abusos o el acceso o la transferencia ilícitos de datos personales que pueden estar sujetos a limitaciones. Estas garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de ejecución internos del SEPD. Estas garantías incluirán:

a)

una definición adecuada de las funciones, responsabilidades y etapas del procedimiento;

b)

en su caso, un entorno electrónico seguro que impida el acceso o la transferencia ilícitas o accidentales de datos electrónicos a personas no autorizadas;

c)

en su caso, un almacenamiento y tratamiento seguros de los documentos en soporte papel.

d)

un seguimiento adecuado de las limitaciones y una revisión periódica, que se llevará a cabo al menos cada seis meses. También deberá realizarse una revisión cuando se produzcan cambios en los elementos esenciales del caso en cuestión. Las limitaciones se levantarán tan pronto como dejen de ser aplicables las circunstancias que las justifiquen.

Artículo 5

Información y revisión por el delegado de protección de datos

1.   El delegado de protección de datos (DPD) del SEPD será informado sin demora injustificada cuando los derechos de los interesados queden limitados de conformidad con la presente Decisión y se le facilitará el acceso al registro y a cualquier documento subyacente a los elementos de hecho y de Derecho.

2.   Dicho delegado podrá solicitar que se revise la aplicación de la limitación. El SEPD informará por escrito a su DPD del resultado de la revisión solicitada.

3.   La participación del delegado de protección de datos del SEPD en el procedimiento de limitación, incluidos los intercambios de información, se documentará de forma adecuada.

Artículo 6

Información a los interesados sobre las limitaciones de sus derechos

1.   El SEPD incluirá en los anuncios de protección de datos publicados en su sitio web información general a los interesados sobre las posibles limitaciones de los derechos de todos los interesados que se describen en el artículo 2, apartado 1. La información se referirá a qué derechos pueden limitarse, a los motivos y a la duración potencial de la limitación.

2.   Además, el SEPD informará individualmente a los interesados sobre las limitaciones actuales o futuras de sus derechos, sin demoras indebidas y por escrito, según se especifica en los artículos 7, 8 y 9.

Artículo 7

Derecho a la información que debe facilitarse a los interesados y comunicación de las violaciones de la seguridad de los datos

1.   Cuando, en el contexto de las actividades mencionadas en la presente Decisión, el SEPD limite, total o parcialmente, los derechos mencionados en los artículos 14 a 16 y 35 del Reglamento, se informará a los interesados de las razones principales en las que se basa la aplicación de la limitación, así como de su derecho a presentar una reclamación ante el SEPD y de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.

2.   El SEPD podrá aplazar, omitir o denegar la comunicación de información sobre las razones de la limitación a que se refiere el apartado 1 durante el tiempo en que anule el efecto de la limitación. Esta evaluación se realizará caso por caso.

Artículo 8

Derecho de acceso de los interesados, rectificación, supresión y limitación del tratamiento

1.   Cuando, en el contexto de las actividades mencionadas en la presente Decisión, el SEPD limite, total o parcialmente, el derecho de acceso a los datos personales, el derecho de rectificación, supresión y limitación del tratamiento a que se refieren, respectivamente, los artículos 17 a 20 del Reglamento, se informará a los interesados, en la respuesta a su solicitud, de las razones principales en las que se basa la aplicación de la limitación, así como de la posibilidad de presentar una reclamación ante el SEPD y de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.

2.   Cuando se limite total o parcialmente el derecho de acceso, el SEPD, al investigar la denuncia, solo informará al interesado de si los datos han sido tratados correctamente y, de no ser así, si se han efectuado las correcciones necesarias, de conformidad con el artículo 25, apartado 7, del Reglamento.

3.   El SEPD podrá aplazar, omitir o denegar la comunicación de información sobre las razones de la limitación a que se refieren los apartados 1 y 2 si anula el efecto de la limitación. Esta evaluación se realizará caso por caso.

Artículo 9

Confidencialidad de las comunicaciones electrónicas

1.   El SEPD, en circunstancias excepcionales y de conformidad con las disposiciones y la justificación de la Directiva 2002/58/CE, puede limitar el derecho a la confidencialidad de las comunicaciones electrónicas, tal como se contempla en el artículo 36 del Reglamento. En dicho caso, el SEPD detallará las circunstancias, los motivos, los riesgos pertinentes y las garantías relacionadas en las normas internas aplicables.

2.   Cuando, el SEPD limite el derecho a la confidencialidad de las comunicaciones electrónicas, se informará a los interesados, en la respuesta a su solicitud, de las razones principales en las que se basa la aplicación de la limitación, así como de la posibilidad de presentar una reclamación ante el SEPD y de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.

3.   El SEPD podrá aplazar, omitir o denegar la comunicación de información sobre las razones de la limitación a que se refieren los apartados 1 y 2 durante el tiempo en que anule el efecto de la limitación. Esta evaluación se realizará caso por caso.

Artículo 10

Entrada en vigor

La presente Decisión entrará en vigor el día de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 2 de abril de 2019

En nombre del Comité Europeo de Protección de Datos

Giovanni BUTTARELLI


(1)  DO L 295 de 21.11. 2018, p. 39.

(2)  Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).

(3)  Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).