LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 249, apartado 1,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión 1247/2002/CE (1), y en particular su artículo 45, apartado 3,
Considerando que:
(1) |
Con el fin de garantizar el correcto funcionamiento de la oficina del responsable de la protección de datos («RPD») de la Comisión, es necesario determinar detalladamente las tareas, funciones y competencias del RPD. |
(2) |
El Reglamento (UE) 2018/1725 asigna obligaciones claras a los responsables del tratamiento de datos, en particular con respecto a los interesados. Con el objeto de garantizar que la Comisión, en su calidad de responsable del tratamiento, actúe de manera uniforme y transparente en relación con sus responsabilidades, deben establecerse normas sobre la manera de determinar quién, en los servicios de la Comisión, es responsable de una operación de tratamiento que se lleva a cabo en nombre de la Comisión. A este respecto, conviene introducir el concepto de responsable delegado con el fin de delimitar con precisión las responsabilidades de los órganos de la Comisión, en particular en lo que se refiere a las decisiones individuales relativas a los derechos de los interesados. Además, es conveniente introducir el concepto de responsable operativo, designado, bajo la responsabilidad del responsable delegado, para garantizar la conformidad en la práctica y para tramitar las solicitudes de los interesados en relación con una operación de tratamiento. El nombramiento de un responsable operativo no impide la utilización en la práctica de un punto de contacto, por ejemplo, en forma de buzón funcional para las solicitudes de los interesados. |
(3) |
En algunos casos, varios servicios de la Comisión pueden llevar a cabo conjuntamente una operación de tratamiento en cumplimiento de su misión. En tales casos, deben garantizar la existencia de acuerdos internos para determinar de manera transparente sus responsabilidades respectivas en virtud del Reglamento (UE) 2018/1725, en particular las responsabilidades respecto de los interesados, la notificación al Supervisor Europeo de Protección de Datos (en lo sucesivo, «SEPD») y la llevanza de registros. |
(4) |
A fin de facilitar el ejercicio de las responsabilidades de los responsables delegados, cada servicio de la Comisión debe nombrar un coordinador de la protección de datos («CPD»). El coordinador de la protección de datos debe participar en la red de coordinadores de la protección de datos de la Comisión, a fin de garantizar una aplicación e interpretación coherentes del Reglamento (UE) 2018/1725 en la Comisión y debatir asuntos de interés común. |
(5) |
Con miras al desempeño de su tarea de asignar responsabilidades con arreglo al artículo 45, apartado 1, letra b), del Reglamento (UE) 2018/1725, el RPD debe formular orientaciones adicionales sobre las funciones del CPD. |
(6) |
La Comisión trata varias categorías de datos personales a los efectos de las actividades de supervisión, investigación, auditoría y consulta del RPD. En particular, la Comisión trata datos de identificación, datos de contacto, datos profesionales y datos de implicación en el asunto. Estos datos se conservan durante cinco años desde la fecha del cierre de las actividades de conformidad con la lista común de conservación de la Comisión (2). |
(7) |
En determinadas circunstancias, es necesario conciliar los derechos de los interesados en virtud del Reglamento (UE) 2018/1725 con la necesidad que la Comisión tiene de que el RPD lleve a cabo sus tareas de supervisión, investigación, auditoría o consulta, así como la necesidad de confidencialidad de los intercambios de información con otros servicios de la Comisión, y con el pleno respeto de los derechos y libertades fundamentales de otros interesados. A tal efecto, el artículo 25, apartado 1, del Reglamento (UE) 2018/1725 ofrece a la Comisión la posibilidad de restringir la aplicación de los artículos 14 a 17, 19, 20 y 35, así como el principio de transparencia establecido en el artículo 4, apartado 1, letra a), en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 17, 19 y 20 de dicho Reglamento. |
(8) |
A fin de garantizar la confidencialidad y la eficacia de las tareas de supervisión, investigación, auditoría o consulta del RPD, respetando al mismo tiempo las normas de protección de los datos personales en virtud del Reglamento (UE) 2018/1725, es necesario adoptar normas internas con arreglo a las cuales el RPD pueda restringir los derechos de los interesados de conformidad con el artículo 25 del Reglamento (UE) 2018/1725. |
(9) |
Las normas internas deberán aplicarse a todas las operaciones de tratamiento de datos realizadas por la Comisión en el ejercicio de las funciones de supervisión, investigación, auditoría o consulta del RPD. Deberán aplicarse a las operaciones de tratamiento realizadas antes de la apertura de una investigación o auditoría, en el transcurso de una investigación o auditoría y durante el seguimiento de su resultado. Estas normas también deberán aplicarse a las operaciones de tratamiento que formen parte de las tareas relacionadas con la función de investigación o auditoría del RPD, tales como los procedimientos de reclamación tramitados por el RPD. Las normas también deberán aplicarse a la supervisión del RPD y a las consultas del RPD, cuando el RPD proporcione asistencia y cooperación a los servicios de la Comisión al margen de sus investigaciones y auditorías administrativas. |
(10) |
A fin de cumplir lo dispuesto en los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725, la Comisión debe informar a todos los interesados de las tareas de supervisión, investigación, auditoría o consulta del RPD que conlleven el tratamiento de sus datos personales, así como de sus derechos con arreglo al Reglamento (UE) 2018/1725. La Comisión debe informar a estas personas de manera transparente y coherente, en forma de anuncios de protección de datos publicados en el sitio web de la Comisión, así como informar a cada uno de los interesados por una actividad de supervisión, investigación, auditoría o consulta del RPD. |
(11) |
En determinadas circunstancias, la Comisión puede tener que restringir el suministro de información a los interesados y el ejercicio de otros derechos de los interesados. Puede hacerlo para proteger las funciones de supervisión, investigación, auditoría o consulta del RPD, las investigaciones y los procedimientos conexos de otros servicios de la Comisión, las herramientas y métodos de las investigaciones y las auditorías del RPD, así como los derechos de otras personas relacionados con las tareas del RPD. |
(12) |
En algunos casos, proporcionar información específica a los interesados o revelar la existencia de una actividad de supervisión, investigación, auditoría o consulta del RPD podría imposibilitar u obstaculizar gravemente el objetivo de la operación de tratamiento y la capacidad del RPD para llevar a cabo dicha actividad. |
(13) |
Además, la Comisión debe proteger la identidad de los informadores, que no deben sufrir repercusiones negativas como consecuencia de su cooperación con el RPD. |
(14) |
Por estas razones, la Comisión puede tener que aplicar los motivos de restricción contemplados en el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725 a las operaciones de tratamiento de datos realizadas en el marco de las funciones de supervisión, investigación, auditoría o consulta del RPD establecidas en el artículo 45 de dicho Reglamento. |
(15) |
Además, con el fin de mantener una cooperación eficaz, la Comisión puede tener que aplicar restricciones a los derechos de los interesados para proteger la información que contenga datos personales procedentes de otros servicios de la Comisión, instituciones u organismos de la Unión. A tal efecto, el RPD debe consultar a estos servicios, instituciones u organismos sobre los motivos pertinentes y la necesidad y proporcionalidad de las restricciones. |
(16) |
En el marco de sus tareas de supervisión, investigación, auditoría o consulta, el RPD intercambia información, incluidos datos personales, con otros servicios de la Comisión. Por consiguiente, todos los servicios de la Comisión que tratan datos personales, que son tratados a su vez por el RPD en el desempeño de sus funciones, deben aplicar las normas establecidas en la presente Decisión con el fin de proteger las operaciones de tratamiento realizadas por el RPD. En tales circunstancias, los servicios de la Comisión de que se trate deben, por tanto, consultar al RPD sobre los motivos pertinentes de las restricciones y su necesidad y proporcionalidad, a fin de garantizar su aplicación coherente. |
(17) |
El RPD y, cuando proceda, los demás servicios de la Comisión deben tratar todas las restricciones de manera transparente y registrar cada aplicación de restricciones en el sistema de registro correspondiente. |
(18) |
De conformidad con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, los responsables del tratamiento podrán aplazar o denegar la comunicación de información sobre los motivos de la aplicación de una restricción al interesado cuando dicha comunicación deje sin efecto la restricción impuesta. En particular, si se restringen los derechos contemplados en los artículos 16 y 35, la notificación de dicha restricción podría comprometer la finalidad de la restricción. A fin de garantizar que el derecho del interesado a ser informado de conformidad con los artículos 16 y 35 del Reglamento (UE) 2018/1725 se restrinja únicamente mientras subsistan los motivos del aplazamiento, la Comisión debe revisar periódicamente su posición. |
(19) |
Cuando se aplique una restricción de otros derechos de los interesados, el RPD evaluará caso por caso si la comunicación de la restricción pondría en peligro su finalidad. |
(20) |
El RPD debe efectuar una revisión independiente de la aplicación de las restricciones basadas en la presente Decisión por otros servicios de la Comisión, con el fin de garantizar el cumplimiento de la presente Decisión. |
(21) |
Cualquier restricción aplicada con arreglo a la presente Decisión debe ser necesaria y proporcionada, teniendo en cuenta los riesgos para los derechos y libertades de los interesados. |
(22) |
El Supervisor Europeo de Protección de Datos fue informado y consultado de conformidad con lo dispuesto en el artículo 41, apartados 1 y 2, del Reglamento (UE) 2018/1725 y emitió su dictamen el 16 de septiembre de 2019. |
(23) |
La Decisión 2008/597/CE de la Comisión (3) establece disposiciones de aplicación relativas al responsable de la protección de datos con arreglo al Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (4). El Reglamento (UE) 2018/1725 derogó el Reglamento (CE) n.o 45/2001 con efectos a partir del 11 de diciembre de 2019. A fin de garantizar que solo se aplique un conjunto de disposiciones de aplicación al responsable de la protección de datos, debe derogarse la Decisión 2008/597/CE. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto y ámbito de aplicación
1. La presente Decisión establece normas y procedimientos para la aplicación del Reglamento (UE) 2018/1725 por parte de la Comisión y las disposiciones de aplicación relativas al responsable de la protección de datos («RPD») de la Comisión.
2. La presente Decisión establece asimismo las normas a las que debe atenerse la Comisión, en relación con las funciones de supervisión, investigación, auditoría o consulta del RPD, para informar a los interesados del tratamiento de sus datos personales de conformidad con los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725.
3. La presente Decisión establece también las condiciones en las que la Comisión, en relación con las tareas de supervisión, investigación, auditoría o consulta del RPD, podrá limitar la aplicación de los artículos 4, 14 a 17, 19, 20 y 35 del Reglamento (UE) 2018/1725, de conformidad con el artículo 25, apartado 1, letras c), g) y h).
4. La presente Decisión se aplica al tratamiento de datos personales por la Comisión a efectos de o en relación con las tareas del RPD a que se refiere el artículo 45 del Reglamento (UE) 2018/1725, en particular las funciones de supervisión, investigación, auditoría y consulta del RPD.
Responsabilidad del tratamiento
A efectos de la presente Decisión, se considerará que la Comisión es el responsable del tratamiento en el sentido del artículo 3, punto 8, del Reglamento (UE) 2018/1725.
Definiciones
A efectos de la presente Decisión, se entenderá por:
1) |
«responsable de la protección de datos» (RPD): la persona designada por la Comisión de conformidad con el artículo 43 del Reglamento (UE) 2018/1725; |
2) |
«tareas del RPD»: las tareas del RPD a que se refiere el artículo 45 del Reglamento (UE) 2018/1725, en particular las funciones de supervisión, investigación, auditoría y consulta del RPD; |
3) |
«coordinador de la protección de datos» (CPD): el miembro del personal nombrado por una dirección general o un servicio de la Comisión para asesorar y asistir a esa dirección general o servicio en todos los aspectos de la protección de datos personales; |
4) |
«responsable delegado del tratamiento»: el jefe de la dirección general, servicio o gabinete que realice un tratamiento por cuenta de la Comisión en cumplimiento de la misión de dicha dirección general, servicio o gabinete; |
5) |
«responsable operativo del tratamiento»: el miembro del personal de la Comisión, de nivel directivo medio o superior, designado por el responsable del tratamiento para garantizar la llevanza de un registro de la operación de tratamiento y para ser el punto de contacto principal de los interesados en relación con dicha operación de tratamiento; |
6) |
«acuerdo interno»: todo acuerdo entre dos o más direcciones generales o servicios para definir sus responsabilidades respectivas y coordinar la llevanza de un registro de una operación de tratamiento que realicen conjuntamente o en la cual una o más direcciones generales o servicios realicen parte de la operación de tratamiento del responsable delegado del tratamiento; |
7) |
«informador»: la persona física que señala al RPD una presunta vulneración de las disposiciones del Reglamento (UE) 2018/1725, o solicita que el RPD investigue cuestiones e incidentes directamente relacionados con el ejercicio de sus funciones, que dicha persona pone en su conocimiento. |
Nombramiento y cargo
El RPD será seleccionado entre el personal de la Comisión en función de sus cualidades profesionales, en particular un sólido conocimiento de los servicios de la Comisión, su estructura y sus normas y procedimientos administrativos.
Cometido y responsabilidades
1. El RPD contribuirá a crear en la Comisión una cultura de protección de los datos personales basada en la evaluación de riesgos y la rendición de cuentas.
2. El RPD supervisará la aplicación del Reglamento (UE) 2018/1725 en la Comisión mediante, entre otras cosas, el establecimiento y la ejecución anuales de un programa de trabajo en materia de inspecciones y auditorías.
3. El RPD organizará y presidirá periódicamente reuniones de los CPD.
4. El RPD conservará los registros de las actividades de tratamiento de la Comisión en un registro central accesible al público.
El RPD llevará también un registro interno de la Comisión de las violaciones de datos personales a efectos del artículo 3, punto 16, del Reglamento (UE) 2018/1725.
5. En el ejercicio de sus funciones, el RPD cooperará con los responsables de la protección de datos designados por las demás instituciones y organismos de la Unión.
6. Se considerará que el RPD es el responsable delegado del tratamiento a efectos de las decisiones individuales relativas a los derechos de los interesados con arreglo al Reglamento (UE) 2018/1725 en relación con las operaciones de tratamiento del RPD.
Competencias
En el cumplimiento de su cometido, el RPD:
a) |
cuando sea necesario para el desempeño de sus funciones, tendrá acceso a los datos objeto de las operaciones de tratamiento y a todas las oficinas, instalaciones de tratamiento y soportes de datos; |
b) |
podrá solicitar dictámenes al Servicio Jurídico de la Comisión; |
c) |
podrá, en caso de conflicto entre el RPD y el responsable delegado del tratamiento sobre la interpretación o aplicación del Reglamento (UE) 2018/1725, informar al responsable delegado del tratamiento competente y al secretario general; |
d) |
podrá asignar ficheros a las direcciones generales o servicios de la Comisión de que se trate para que lleven a cabo un seguimiento adecuado; |
e) |
podrá llevar a cabo investigaciones, previa solicitud o por iniciativa propia, de asuntos e incidentes directamente relacionados con el ejercicio de sus funciones de conformidad con el procedimiento establecido en el artículo 11; |
f) |
podrá, al formular recomendaciones y prestar asesoramiento:
|
g) |
podrá llamar la atención del Secretario General sobre cualquier incumplimiento, por parte de un responsable delegado del tratamiento, un responsable operativo del tratamiento o un encargado del tratamiento, de las medidas adoptadas con arreglo al artículo 6, letra f); |
h) |
será responsable de las decisiones iniciales sobre las solicitudes de acceso a los documentos que obren en su poder en virtud del Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo (5). |
Coordinadores de la protección de datos
1. El responsable delegado del tratamiento designará un CPD y, en su caso, uno o más CPD adjuntos en la dirección general o servicio bajo su responsabilidad. Por razones de coherencia o eficiencia, dos o más responsables delegados del tratamiento podrán decidir nombrar un CPD o un CPD adjunto común, o bien compartir los servicios de un CPD o un CPD adjunto ya designado. Los responsables delegados del tratamiento interesados consignarán su acuerdo por escrito.
2. El CPD designado por una dirección general o servicio también será competente para el gabinete responsable de esa dirección general o servicio. El CPD designado para la Secretaría General será competente tanto para el gabinete del Presidente como para los gabinetes para los que la Secretaría General es el único servicio de apoyo. Cuando un gabinete sea responsable de varias direcciones generales o servicios, los responsables delegados del tratamiento decidirán cuál de sus respectivos CPD será competente para dicho gabinete.
3. Se informará al RPD, al personal de la dirección general o servicio y al gabinete correspondiente de la designación de todo nuevo CPD.
Los CPD de reciente nombramiento recibirán formación con el objeto de adquirir las competencias necesarias para el ejercicio de sus funciones en el plazo de seis meses desde la fecha de su designación. Los CPD que hayan ocupado previamente un puesto de CPD en otra dirección general o servicio o que hayan sido miembros del personal del RPD en los dos años anteriores a su nombramiento como CPD estarán exentos de dicha obligación de formación.
4. Los responsables delegados del tratamiento adoptarán las disposiciones apropiadas para garantizar que el CPD participe debida y oportunamente en todos los asuntos que atañan a la protección de datos en su dirección general o servicio y que los dictámenes que emita se pongan, a instancia suya, rápidamente en su conocimiento.
5. Los CPD se elegirán sobre la base de sus conocimientos y experiencia en el funcionamiento de la dirección general o servicio correspondiente, la motivación para el ejercicio de la función, las competencias relacionadas con la protección de datos, el conocimiento de los principios de los sistemas de información y la capacidad de comunicación.
6. La función de CPD podrá combinarse con otras funciones. El responsable delegado del tratamiento velará por que dichas funciones sean compatibles con la función de CPD.
7. La función de CPD formará parte de la descripción del puesto de trabajo de cada miembro del personal designado para ese cargo. En el informe de evaluación anual se hará referencia a sus responsabilidades y resultados.
8. El CPD actuará como punto de contacto entre el responsable delegado del tratamiento, el responsable operativo del tratamiento y el responsable del tratamiento, y el RPD.
9. Los CPD tendrán derecho a obtener cualquier información de su dirección general o servicio en la medida en que ello sea necesario para el desempeño de sus funciones. Los CPD solo tendrán acceso a los datos personales cuando sean necesarios para el desempeño de sus funciones.
10. El CPD llevará registros y facilitará estadísticas anonimizadas de las solicitudes de los interesados a la dirección general, servicio o gabinete, especificando el número de solicitudes y el número de solicitudes denegadas total o parcialmente. El RPD especificará las categorías de solicitudes de las que se llevarán estadísticas. El RPD podrá especificar otros detalles que deban facilitarse.
El CPD mantendrá estadísticas anonimizadas de las violaciones de datos personales gestionadas por la dirección general, servicio o gabinete, especificando el número total de violaciones de datos personales, el número de violaciones de datos personales notificadas al SEPD y el número de violaciones de datos personales comunicadas a los interesados.
11. El CPD hará una labor de sensibilización en materia de protección de datos en su dirección general o servicio y asesorará y asistirá a los responsables delegados del tratamiento y a los responsables operativos del tratamiento en el cumplimiento de sus obligaciones, especialmente en lo que se refiere a:
a) |
la aplicación de los principios generales del Reglamento (UE) 2018/1725; |
b) |
la documentación de las operaciones de tratamiento; |
c) |
la presentación al RPD de los registros de las operaciones de tratamiento de los responsables delegados del tratamiento de conformidad con el artículo 10; |
d) |
la preparación de declaraciones de confidencialidad. |
12. Los CPD participarán en las reuniones y, cuando sea necesario, en los grupos de trabajo de los CPD.
13. El RPD formulará orientaciones adicionales sobre las responsabilidades y las funciones del CPD.
Responsables delegados del tratamiento y responsables operativos del tratamiento
1. Los responsables delegados del tratamiento actuarán en nombre de la Comisión como responsables del tratamiento a efectos de la aplicación del Reglamento (UE) 2018/1725.
2. Los responsables delegados del tratamiento y los responsables operativos del tratamiento:
a) |
podrán consultar al RPD, a través del CPD, sobre la conformidad de las operaciones de tratamiento, en particular en caso de duda; |
b) |
informarán al RPD, a través del CPD, sobre la tramitación de cualquier solicitud recibida de un interesado en ejercicio de sus derechos. |
3. El responsable delegado del tratamiento:
a) |
designará un responsable operativo del tratamiento que le asista en la garantía del cumplimiento del Reglamento (UE) 2018/1725, en particular con respecto a los interesados; |
b) |
garantizará que existan acuerdos internos con otras direcciones generales o servicios, cuando el responsable delegado del tratamiento realice operaciones de tratamiento conjuntas con esas direcciones generales o servicios o cuando dichas direcciones generales o servicios realicen una parte de la operación de tratamiento del responsable delegado del tratamiento. |
Los acuerdos a que se refiere el párrafo primero de la letra b) determinarán sus responsabilidades respectivas en el cumplimiento de sus obligaciones en materia de protección de datos. En particular, indicarán el responsable delegado del tratamiento que determinará los medios y fines de la operación de tratamiento, así como el responsable operativo de la operación de tratamiento y, en su caso, las personas o entidades que asistirán al responsable operativo del tratamiento, entre otras cosas, con información en caso de violación de datos o adecuación de los derechos de los interesados.
4. El responsable operativo del tratamiento:
a) |
recibirá y tramitará todas las solicitudes de los interesados; |
b) |
notificará al Supervisor Europeo de Protección de Datos (SEPD) las violaciones de datos personales; |
c) |
informará al CPD y al RPD de las violaciones de datos personales, y notificará al interesado, en su caso; |
d) |
garantizará que el CPD tenga conocimiento de todos los asuntos relacionados con la protección de datos, en particular de las solicitudes de los interesados; |
e) |
desempeñará cualquier otra función dentro del ámbito de aplicación de la presente Decisión a petición del responsable delegado del tratamiento. |
Información
El responsable delegado del tratamiento, en cooperación con el CPD, informará al RPD cuando consulte o informe al SEPD de conformidad con el Reglamento (UE) 2018/1725, y en particular con arreglo a sus artículos 40 y 41. Además, el responsable delegado, del tratamiento el responsable operativo del tratamiento o el CPD informarán al RPD de cualquier otra interacción directa con el SEPD relacionada con la aplicación del Reglamento (UE) 2018/1725.
Registro
1. El RPD velará por que el registro de las operaciones de tratamiento de la Comisión sea accesible a través del sitio web del RPD en la intranet de la Comisión y a través de la página del RPD en el sitio web Europa.
2. Los responsables delegados del tratamiento notificarán los registros de sus operaciones de tratamiento, a través de su CPD, al RPD utilizando el sistema de notificación en línea de la Comisión, accesible a través del sitio web del RPD en la intranet de la Comisión.
Procedimiento de investigación
1. Las solicitudes de investigación a que se refiere el artículo 6, letra e), se dirigirán al RPD por escrito. En el plazo de 15 días hábiles desde su recepción, el RPD enviará un acuse de recibo a la persona que solicitó la investigación y comprobará si la tramitación de la solicitud debe ser confidencial para garantizar la confidencialidad de la propia solicitud, a menos que los interesados hayan dado su consentimiento inequívoco para que la solicitud se tramite de otro modo. En caso de abuso manifiesto del derecho a solicitar una investigación, el RPD no estará obligado a informar al solicitante.
2. El RPD solicitará una declaración escrita en este sentido al responsable delegado del tratamiento que asuma la responsabilidad de la operación de tratamiento de datos en cuestión. El responsable delegado del tratamiento facilitará su respuesta al RPD en un plazo de 15 días hábiles. El RPD podrá solicitar información complementaria al responsable delegado del tratamiento, al encargado del tratamiento o a otras partes en el plazo de 15 días hábiles.
3. El RPD informará a la persona que solicitó la investigación a más tardar tres meses después de la fecha de recepción de la solicitud. Este plazo podrá suspenderse hasta que el RPD haya obtenido toda la información necesaria que haya pedido.
4. Nadie deberá sufrir perjuicio alguno por haberse puesto en conocimiento del RPD una infracción de las disposiciones del Reglamento (UE) 2018/1725.
Administración y gestión
1. El RPD estará adscrito administrativamente a la Secretaría General. En este contexto, el RPD participará en la preparación del plan de gestión anual y del proyecto de presupuesto preliminar de la Secretaría General.
2. El RPD será el evaluador del personal de la Oficina de Protección de Datos. El vicesecretario general será el validador. El RPD participará en la coordinación de la gestión de la Secretaría General, si procede.
Excepciones y restricciones aplicables
1. Cuando la Comisión ejerza sus funciones con respecto a los derechos de los interesados de conformidad con el Reglamento (UE) 2018/1725, examinará si es de aplicación alguna de las excepciones establecidas en dicho Reglamento.
2. Sin perjuicio de lo dispuesto en los artículos 14 a 18 de la presente Decisión, la Comisión podrá restringir la aplicación de los artículos 14 a 17, 19, 20 y 35 del Reglamento (UE) 2018/1725, así como el principio de transparencia establecido en el artículo 4, apartado 1, letra a), de dicho Reglamento, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 17, 19 y 20 del Reglamento (UE) 2018/1725, cuando el ejercicio de dichos derechos y obligaciones pueda comprometer la finalidad de las tareas del RPD, por ejemplo mediante la revelación de sus instrumentos y métodos de investigación o de auditoría, o afectar negativamente a los derechos y libertades de otros interesados de conformidad con el artículo 25, apartado 1, letras c), g) y h).
3. Sin perjuicio de lo dispuesto en los artículos 14 a 18 de la presente Decisión, la Comisión podrá restringir los derechos y obligaciones a que se refiere el apartado 2 del presente artículo en relación con los datos personales obtenidos por el RPD de servicios de la Comisión u otras instituciones y organismos de la Unión. La Comisión podrá hacerlo cuando el ejercicio de esos derechos y obligaciones pueda ser restringido por dichos servicios de la Comisión, instituciones u organismos de la Unión sobre la base de otros actos previstos en el artículo 25 del Reglamento (UE) 2018/1725, de conformidad con el capítulo IX de dicho Reglamento o de conformidad con el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (6) o el Reglamento (UE) 2017/1939 del Consejo (7).
Antes de aplicar restricciones en las circunstancias a que se refiere el párrafo primero, la Comisión consultará a las instituciones u organismos de la Unión pertinentes, a menos que resulte evidente para la Comisión que la aplicación de una restricción está prevista en uno de los actos a que se hace referencia en dicho párrafo.
4. Toda restricción del ejercicio de derechos y obligaciones a que se refiere el apartado 2 del presente artículo será necesaria y proporcionada, teniendo en cuenta los riesgos para los derechos y libertades de los interesados.
Suministro de información a los interesados
1. La Comisión publicará en su sitio web anuncios de protección de datos que informen a todos los interesados sobre las tareas del RPD relacionadas con el tratamiento de sus datos personales.
2. La Comisión informará individualmente, en un formato apropiado, a cualquier persona física que considere persona interesada por las tareas del RPD o informador.
3. Cuando la Comisión restrinja, total o parcialmente, el suministro de información a los interesados a que se refiere el apartado 2, consignará y registrará los motivos de la restricción, de conformidad con el artículo 17.
Derecho de acceso de los interesados, derecho de supresión y derecho a la limitación deltratamiento
1. Cuando la Comisión restrinja, total o parcialmente, el derecho de acceso a los datos personales por parte de los interesados, el derecho de supresión o el derecho a la limitación del tratamiento a que se refieren los artículos 17, 19 y 20, respectivamente, del Reglamento (UE) 2018/1725, informará al interesado, en su respuesta a la solicitud de acceso, supresión o limitación del tratamiento de la restricción aplicada y de los motivos principales para ello, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
2. La comunicación de información sobre los motivos de la restricción a que se refiere el apartado 1 podrá aplazarse, omitirse o denegarse en la medida en que ponga en peligro el objetivo de la restricción.
3. La Comisión consignará y registrará los motivos de la restricción conforme a lo dispuesto en el artículo 17.
4. Cuando el derecho de acceso se restrinja total o parcialmente, el interesado podrá ejercer su derecho de acceso a través del SEPD, de conformidad con el artículo 25, apartados 6, 7 y 8, del Reglamento (UE) 2018/1725.
Comunicación de una violación de la seguridad de los datos personales al interesado
Cuando la Comisión restrinja la comunicación de una violación de la seguridad de los datos personales al interesado a que se refiere el artículo 35 del Reglamento (UE) 2018/1725, deberá consignar y registrar los motivos de la restricción conforme a lo dispuesto en el artículo 17 de la presente Decisión.
Consignación y registro de las restricciones
1. La Comisión consignará los motivos de cualquier restricción aplicada con arreglo a la presente Decisión, incluida una evaluación caso por caso de la necesidad y proporcionalidad de la restricción, teniendo en cuenta los elementos pertinentes del artículo 25, apartado 2, del Reglamento (UE) 2018/1725.
Para ello, el registro indicará de qué manera el ejercicio del derecho comprometería la finalidad de las tareas del RPD en virtud de la presente Decisión o de las restricciones aplicadas de conformidad con el artículo 13, apartados 2 o 3, o afectaría negativamente a los derechos y libertades de otros interesados.
2. Se registrarán la consignación y, en su caso, los documentos que contengan elementos subyacentes de hecho y de derecho. Se pondrán a disposición del SEPD, previa petición.
Duración de las restricciones
1. Las restricciones contempladas en los artículos 14, 15 y 16 seguirán siendo aplicables mientras lo sigan siendo los motivos que las justifiquen.
2. Cuando los motivos de restricción a que se refieren los artículos 14 o 16 dejen de ser aplicables, la Comisión levantará la restricción y comunicará los motivos de la restricción al interesado. Al mismo tiempo, la Comisión informará al interesado de la posibilidad de presentar una reclamación ante el SEPD en cualquier momento o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
3. La Comisión revisará la aplicación de las restricciones contempladas en los artículos 14 y 16 cada seis meses desde la fecha de su adopción y, en cualquier caso, al cierre de la actividad pertinente del RPD. Después, la Comisión supervisará anualmente la necesidad de mantener cualquier restricción o aplazamiento.
Revisión por parte del responsable de la protección de datos
1. Cuando otros servicios de la Comisión concluyan que los derechos de un interesado deben restringirse en virtud de la presente Decisión, informarán al RPD. También facilitarán al RPD acceso al registro y a cualquier documento que contenga elementos subyacentes de hecho y de derecho.
2. El RPD podrá solicitar que el responsable delegado del tratamiento del servicio de la Comisión en cuestión revise la aplicación de las restricciones. El responsable delegado del tratamiento del servicio de la Comisión de que se trate informará por escrito al RPD del resultado de la revisión solicitada.
Derogación
Queda derogada la Decisión 2008/597/CE.
Entrada en vigor
La presente Decisión entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 3 de julio de 2020.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 295 de 21.11.2018, p. 39.
(2) SEC (2019) 900/2.
(3) Decisión 2008/597/CE de la Comisión, de 3 de junio de 2008, por la que se adoptan normas de desarrollo relativas al Responsable de la Protección de Datos de conformidad con el artículo 24, apartado 8, del Reglamento (CE) n.o 45/2001 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 193 de 22.7.2008, p. 7).
(4) Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).
(5) Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
(6) Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).
(7) Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid