LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vista la Decisión n.o 1082/2013/UE del Parlamento Europeo y del Consejo, de 22 de octubre de 2013, sobre las amenazas transfronterizas graves para la salud y por la que se deroga la Decisión n.o 2119/98/CE (1), y en particular su artículo 8, apartado 2,
Considerando lo siguiente:
(1) |
La detección de un caso positivo de COVID-19 tras un determinado viaje transfronterizo cumple los criterios establecidos en el artículo 9, apartado 1, de la Decisión n.o 1082/2013/UE, ya que puede seguir causando una mortalidad humana significativa, puede aumentar rápidamente en magnitud, afecta a más de un Estado miembro y puede exigir una respuesta coordinada a nivel de la Unión. De conformidad con el punto 23 de la Recomendación (UE) 2020/1475, de 13 de octubre de 2020, sobre un enfoque coordinado de la restricción de la libre circulación en respuesta a la pandemia de COVID-19 (2), la información sobre un caso de COVID-19 detectado a la llegada de la persona al territorio de un Estado miembro debe compartirse inmediatamente con las autoridades sanitarias públicas de los países en los que la persona en cuestión haya permanecido durante los catorce días anteriores con fines de rastreo de contactos, utilizando el Sistema de Alerta Precoz y Respuesta (SAPR) establecido por el artículo 8 de la Decisión n.o 1082/2013/UE y gestionado por el Centro Europeo para la Prevención y el Control de las Enfermedades (ECDC). |
(2) |
De conformidad con la Recomendación (UE) 2020/1475, los Estados miembros pueden exigir a las personas que entren en su territorio que presenten formularios de localización de pasajeros (PLF), de conformidad con los requisitos de protección de datos. |
(3) |
Al imponer la cumplimentación de PLF nacionales con diversos formatos, los Estados miembros recogen los datos de los PLF de los pasajeros transfronterizos que entran en su territorio. Si entre las personas que han cumplimentado un PLF se detecta un caso de COVID-19, los datos recogidos en dicho PLF se pueden utilizar, entre otras cosas, para determinar el viaje de esa persona y transmitir la información pertinente a los Estados miembros que necesiten efectuar procedimientos de rastreo de contactos de las personas que podrían haber estado expuestas al pasajero infectado. |
(4) |
Con el fin de efectuar el rastreo de contactos en el contexto de la pandemia de COVID-19, las autoridades sanitarias públicas de algunos Estados miembros ya han intercambiado datos personales recogidos a través de los PLF nacionales. Este intercambio se ha llevado a cabo concretamente mediante la actual infraestructura técnica que se encuentra disponible a través del SAPR. |
(5) |
Esta infraestructura técnica disponible actualmente a través del SAPR todavía no está diseñada para gestionar el volumen de datos de los PLF generado por el uso sistemático y a gran escala de estos últimos. Por ejemplo, no traduce entre diferentes formatos nacionales y requiere una introducción manual, lo que afecta negativamente a la prontitud y la eficacia del rastreo de contactos. Este es el caso, en particular, cuando es necesario efectuar un rastreo de contactos de los pasajeros transfronterizos que han viajado por medios de transporte colectivo con asientos preasignados, como aeronaves, determinados trenes, transbordadores y cruceros, donde el número de pasajeros expuestos y la duración de la exposición a un pasajero infectado podrían ser relevantes. |
(6) |
Por tanto, debe crearse una infraestructura técnica, denominada «plataforma de intercambio de PLF», que posibilite un intercambio de datos seguro, rápido y eficaz entre las autoridades competentes del SAPR de los Estados miembros, que les permita transmitir a otras autoridades competentes del SAPR de manera interoperable y automática la información de sus sistemas nacionales de PLF digital ya existentes. Dicha infraestructura debe basarse en la plataforma de intercambio ya desarrollada por la Agencia de la Unión Europea para la Seguridad Aérea (AESA), sin que la AESA tenga ninguna función en relación con el tratamiento de datos personales a través de la plataforma de intercambio de PLF, tal como se establece en la presente Decisión de Ejecución. La plataforma de intercambio de PLF también debe permitir el intercambio de datos epidemiológicos limitados, necesarios para el rastreo de contactos, de conformidad con el artículo 9, apartado 3, de la Decisión n.o 1082/2013/UE. Con el fin de evitar un solapamiento de actividades o un conflicto de actuaciones con las estructuras y mecanismos existentes de seguimiento, alerta precoz y lucha contra las amenazas transfronterizas graves para la salud, la plataforma de intercambio de PLF debe desarrollarse en el marco del SAPR, como complemento de la funcionalidad de mensajería selectiva integrada en ese sistema. |
(7)
(8) |
La plataforma de intercambio de PLF debe ser gestionada por el ECDC, de conformidad con el artículo 8 del Reglamento (CE) n.o 851/2004 del Parlamento Europeo y del Consejo (3).
La plataforma de intercambio de PLF no debe almacenar los datos de los PLF ni los datos epidemiológicos que vayan a intercambiarse. |
(9) |
Si un Estado miembro no dispone de un sistema de PLF digital desarrollado a nivel nacional, puede utilizar el sistema de formulario de localización de pasajeros digital común de la Unión Europea (EUdPLF), que la Comisión encomendó para su desarrollo a la acción conjunta «Healthy Gateways» (subvención n.o 801493) (4). El objetivo del EUdPLF es crear un punto de entrada y una base de datos únicos para recoger los PLF. En el futuro, el EUdPLF deberá estar conectado a la plataforma de intercambio de PLF con el único fin de permitir el intercambio de datos entre los Estados miembros que posean sus propios sistemas nacionales de PLF digital, por una parte, y aquellos que utilicen el EUdPLF, por otra. La presente Decisión no cubre el establecimiento del EUdPLF ni regula el tratamiento de datos personales en relación con él. |
(10) |
La presente Decisión no regula el establecimiento de PLF nacionales, ya que la determinación de esta cuestión corresponde a los Estados miembros. Los Estados miembros pueden optar por recoger PLF de todos los pasajeros que lleguen a su territorio, o solo de aquellos cuyo destino final sea el Estado miembro de que se trate. Un rastreo de contactos transfronterizo eficaz basado en los datos de los PLF requiere que los Estados miembros recojan un conjunto mínimo común de datos de los PLF a través de sus PLF nacionales. Por lo tanto, deben establecerse esos datos mínimos de los PLF. Además, en aras de la rentabilidad, la sostenibilidad y una mayor seguridad de la solución, los Estados miembros deben considerar la posibilidad de adoptar un enfoque común a la hora de exigir PLF a todos los pasajeros, incluidos los pasajeros en tránsito, o solo a aquellos cuyo destino final sea el Estado miembro de que se trate. |
(11) |
El uso de la plataforma de intercambio de PLF debe ser voluntario y los Estados miembros deben tener libertad para notificar las alertas a través de la actual infraestructura técnica del SAPR, con carácter temporal y siempre que no comprometan la finalidad del rastreo de contactos. |
(12) |
Las autoridades competentes del SAPR solo deben intercambiar conjuntos bien definidos de datos recogidos a través de sus PLF y otros datos epidemiológicos limitados necesarios para el rastreo de contactos, en consonancia con el principio de minimización del tratamiento de datos personales. Si, sobre la base de los datos de los PLF de que dispone, el Estado miembro que notifica la alerta sobre un pasajero infectado es capaz de identificar a todos los Estados miembros afectados debe transmitir los datos únicamente a las autoridades competentes del SAPR de dichos Estados miembros. Este es el caso, por ejemplo, cuando el Estado miembro que detecta al pasajero infectado recoge PLF para todos los pasajeros, incluidos los pasajeros en tránsito, que llegan a su territorio con una conexión directa desde el lugar de salida inicial. |
(13) |
Cuando se detecte que un pasajero está infectado por SARS-CoV-2 en un Estado miembro, las autoridades competentes del SAPR de dicho Estado miembro deben poder compartir con las del Estado miembro de salida un conjunto limitado de datos extraídos de los PLF, que deben definirse de forma estricta como aquello que es necesario para efectuar el rastreo de contactos de las personas expuestas en el Estado miembro de salida y en el de residencia, si son distintos —en particular, la identidad y la información de contacto del pasajero infectado—. |
(14) |
Además, cuando se detecte que un pasajero está infectado por el SARS-CoV-2 en un Estado miembro, las autoridades competentes del SAPR de dicho Estado miembro también deben poder compartir un conjunto limitado de datos con las autoridades competentes del SAPR de todos los Estados miembros, o de los Estados miembros afectados si dichas autoridades disponen de información que les permita identificarlos. Los datos deben limitarse al lugar de salida, el lugar de llegada, la fecha de salida, el tipo de transporte utilizado (por ejemplo, avión, tren, autocar, transbordador, barco), el número de identificación del servicio de transporte (es decir, el número de vuelo, el número de tren, la matrícula del autocar o el nombre del transbordador o del barco), el número de asiento o de cabina del pasajero infectado, así como la hora de salida si los datos anteriores no son suficientes para identificar el transporte. Esto debería permitir a las autoridades competentes del SAPR receptoras determinar si los pasajeros expuestos han llegado a su territorio y, en caso afirmativo, efectuar el rastreo de contactos. |
(15) |
Al compartir datos con otras autoridades competentes del SAPR a través de la plataforma de intercambio de PLF, la autoridad competente del SAPR pertinente debe poder añadir información epidemiológica, limitada a lo necesario para efectuar el rastreo de contactos, a saber, el tipo de prueba diagnóstica de la COVID-19 realizada, la variante del virus SARS-CoV-2, la fecha de la toma de muestras y la fecha de aparición de los síntomas. |
(16) |
El tratamiento de los datos personales de los pasajeros infectados, intercambiados a través de la plataforma de intercambio de PLF, debe ser llevado a cabo por las autoridades competentes del SAPR de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5). El tratamiento de datos personales bajo la responsabilidad del ECDC como operador de la plataforma de intercambio de PLF con el fin de efectuar el rastreo de contactos, y de la Comisión como subencargada del tratamiento, debe cumplir lo dispuesto en el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (6). |
(17) |
El fundamento jurídico para el intercambio de datos personales de los pasajeros infectados, incluidos los relativos a la salud, entre las autoridades competentes del SAPR con el fin de efectuar el rastreo de contactos se establece en el artículo 9, apartado 1, y apartado 3, letra i), de la Decisión n.o 1082/2013/UE, de conformidad con el artículo 6, apartado 1, letra c), y el artículo 9, apartado 2, letra i), del Reglamento (UE) 2016/679. La presente Decisión debe establecer medidas adecuadas y concretas para salvaguardar los derechos y libertades del interesado. Entre ellas deben figurar medidas relativas a la definición de los conjuntos de datos necesarios que deben intercambiarse, las autoridades competentes del SAPR con las que deben intercambiarse los datos en los distintos casos, las medidas de seguridad apropiadas, incluido el cifrado, y las modalidades de tratamiento de los datos entre las autoridades nacionales competentes a través de la plataforma de intercambio de PLF dentro de la Unión Europea. |
(18) |
Las autoridades competentes del SAPR que participan en la plataforma de intercambio de PLF determinan conjuntamente el objetivo y los medios de tratamiento de los datos personales en dicha plataforma, por lo que son corresponsables del tratamiento. El artículo 26 del Reglamento (UE) 2016/679 impone a los corresponsables del tratamiento la obligación de determinar, de modo transparente, sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por dicho Reglamento. También contempla la posibilidad de que tales responsabilidades se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Por consiguiente, la presente Decisión debe determinar las funciones y responsabilidades respectivas de los corresponsables del tratamiento. |
(19) |
El ECDC, en su calidad de proveedor de soluciones técnicas y organizativas para la plataforma de intercambio de PLF, trata los datos de los PLF y los datos epidemiológicos por cuenta de los Estados miembros que participan en la plataforma de intercambio de PLF como corresponsables del tratamiento, por lo que es un encargado del tratamiento en el sentido del artículo 3, punto 12, del Reglamento (UE) 2018/1725. Según el artículo 28 del Reglamento (UE) 2016/679 y el artículo 29 del Reglamento (UE) 2018/1725, el tratamiento por el encargado debe regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado respecto del responsable del tratamiento y que especifique el tratamiento. Por lo tanto, es necesario establecer normas sobre el tratamiento por parte del ECDC como encargado del tratamiento. |
(20) |
El artículo 3, apartado 3, del Reglamento (CE) n.o 851/2004 establece que el ECDC, la Comisión y los Estados miembros cooperarán con vistas a promover la coherencia efectiva entre sus actividades respectivas. Por consiguiente, deben celebrarse acuerdos de nivel de servicio entre la Comisión y el ECDC para cooperar durante el desarrollo técnico y el funcionamiento de la plataforma de intercambio de PLF. En ellos se especificará el reparto de responsabilidades (organizativas, financieras y tecnológicas) entre las partes para facilitar la puesta en marcha de la plataforma de intercambio de PLF y las medidas técnicas relativas a su funcionamiento, mantenimiento y desarrollo ulterior. |
(21)
(22) |
Procede, por tanto, modificar la Decisión de Ejecución (UE) 2017/253 en consecuencia.
La plataforma de intercambio de PLF se financiará en 2021 a través del Instrumento de Asistencia Urgente, que se ha puesto en marcha para ayudar a los Estados miembros a responder a la pandemia de coronavirus abordando las necesidades de manera estratégica y coordinada a nivel europeo, y a través de las «Actividades de apoyo a la política europea de transporte, a la seguridad del transporte y a los derechos de los pasajeros, incluidas las actividades de comunicación». En el año 2022 se financiará con cargo al programa Europa Digital. |
(23) |
Teniendo en cuenta la fecha prevista para que la plataforma de intercambio de PLF esté en funcionamiento, la presente Decisión debe aplicarse a partir del 1 de junio de 2021. El intercambio de datos debe cesar tras doce meses o una vez que el director general de la Organización Mundial de la Salud haya declarado, de conformidad con el Reglamento Sanitario Internacional, que la emergencia de salud pública de importancia internacional causada por SARS-CoV-2 ha finalizado, si dicha declaración se hace antes. |
(24) |
El funcionamiento de la plataforma de intercambio de PLF debe limitarse al control de la pandemia de COVID-19. No obstante, podría ampliarse en el futuro mediante una decisión de ejecución modificativa a aquellas epidemias que puedan requerir que los Estados miembros intercambien datos de los PLF con el fin de efectuar el rastreo de contactos, de conformidad con los criterios del artículo 9, apartado 1, y las condiciones del artículo 9, apartado 3, de la Decisión n.o 1082/2013/UE. |
(25) |
El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 6 de mayo de 2021. |
(26) |
Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité de Amenazas Transfronterizas Graves para la Salud establecido en el artículo 18 de la Decisión n.o 1082/2013/UE. |
HA ADOPTADO LA PRESENTE DECISIÓN:
La Decisión de Ejecución (UE) 2017/253 se modifica como sigue:
1) Se inserta el artículo 1 bis siguiente:
«Artículo 1 bis
Definiciones
A los efectos de la presente Decisión, se entenderá por:
a) “formulario de localización de pasajeros” (PLF): formulario cumplimentado a petición de las autoridades sanitarias públicas que recoge como mínimo los datos de los pasajeros especificados en el anexo I y que ayuda a dichas autoridades a gestionar un incidente de salud pública al permitirles rastrear a los pasajeros que cruzan las fronteras y que pueden haber estado expuestos a una persona infectada por el SARS-CoV-2;
b) “datos del formulario de localización de pasajeros” (datos del PLF): datos personales recogidos a través de un PLF;
c) “punto de entrada digital”: ubicación digital única a través de la cual las autoridades competentes del SAPR pueden conectar de forma segura sus sistemas nacionales de PLF digital a la plataforma de intercambio de PLF;
d) “viaje”: desplazamiento transfronterizo efectuado por una persona, por medio de un transporte colectivo con asientos preasignados, atendiendo al lugar de salida inicial y al destino final de dicha persona, con uno o varios trayectos;
e) “trayecto”: desplazamiento transfronterizo único de un pasajero sin conexiones o cambios de vuelo, tren, buque o vehículo;
f) “pasajero infectado”: pasajero que cumple los criterios analíticos de infección por SARS-CoV-2;
g) “persona expuesta”: pasajero u otra persona que haya estado en contacto estrecho con un pasajero infectado;
h) “alerta”: notificación realizada mediante el Sistema de Alerta Precoz y Respuesta (SAPR), de conformidad con el artículo 9 de la Decisión 1082/2013/CE.».
2) Se insertan los artículos 2 bis, 2 ter y 2 quater siguientes:
«Artículo 2 bis
Plataforma para el intercambio de los datos de los PLF
1. Como complemento de la funcionalidad de mensajería selectiva integrada en el SAPR, se crea una plataforma en el marco de ese sistema para el intercambio seguro de los datos de los PLF de pasajeros infectados con el único fin de que las autoridades competentes del SAPR efectúen el rastreo de contactos de las personas expuestas en relación con el SARS-CoV-2 (en lo sucesivo, “plataforma de intercambio de PLF”).
La plataforma de intercambio de PLF deberá proporcionar un punto de entrada digital para que las autoridades competentes del SAPR conecten de forma segura sus sistemas nacionales de PLF digital o se conecten a través del sistema de formulario de localización de pasajeros digital común de la Unión Europea (EUdPLF), a fin de permitir el intercambio de los datos recogidos a través de los PLF.
Las autoridades competentes del SAPR podrán utilizar la plataforma de intercambio de PLF para intercambiar datos adicionales, es decir, datos epidemiológicos con el único fin de efectuar el rastreo de contactos de las personas expuestas en relación con el SARS-CoV-2, de conformidad con el artículo 2 ter , apartado 5.
2. El ECDC gestionará la plataforma de intercambio de PLF.
3. Con el fin de cumplir las obligaciones que se establecen en el artículo 2 de notificar las amenazas transfronterizas graves para la salud que se detecten en el contexto de la recogida de datos de los PLF, las autoridades competentes del SAPR de los Estados miembros que exijan la cumplimentación de PLF intercambiarán un conjunto de datos de los PLF, especificados en el artículo 2 ter , a través de la plataforma de intercambio de PLF.
4. Las autoridades competentes del SAPR podrán seguir cumpliendo las obligaciones que se establecen en el artículo 9, apartados 1 y 3, de la Decisión n.o 1082/2013/UE, de notificar las amenazas transfronterizas graves para la salud que se detecten en el contexto de la recogida de datos de los PLF a través de los demás canales de comunicación existentes a que se refiere el artículo 1, apartado 2, de la presente Decisión, con carácter temporal y siempre que esa elección no comprometa la finalidad del rastreo de contactos.
5. La plataforma de intercambio de PLF no deberá almacenar los datos de los PLF ni los datos epidemiológicos adicionales. Solo permitirá que las autoridades competentes del SAPR reciban los datos que les hayan enviado otras autoridades competentes del SAPR con el único fin de efectuar el rastreo de contactos en relación con el SARS-CoV-2. El ECDC solo deberá acceder a los datos para garantizar el buen funcionamiento de la plataforma de intercambio de PLF.
6. Las autoridades competentes del SAPR no deberán conservar los datos de los PLF ni los datos epidemiológicos recibidos a través de la plataforma de intercambio de PLF durante un período superior al período de conservación aplicable en el contexto de sus actividades nacionales de rastreo de contactos en relación con el SARS-CoV-2.
7. La Comisión deberá cooperar con el ECDC en el cumplimiento de las tareas que se le encomiendan por la presente Decisión, en particular en lo que se refiere a las medidas técnicas y organizativas relativas a la implantación, la ejecución, el funcionamiento, el mantenimiento y el ulterior desarrollo de la plataforma de intercambio de PLF.
8. El tratamiento de los datos personales en la plataforma de intercambio de PLF con el único fin de efectuar el rastreo de contactos en relación con el SARS-CoV-2 se llevará a cabo hasta el 31 de mayo de 2022 o hasta que el director general de la Organización Mundial de la Salud haya declarado, de conformidad con el Reglamento Sanitario Internacional, que la emergencia de salud pública de importancia internacional causada por SARS-CoV-2 ha finalizado, si esto último sucede primero.
Artículo 2 ter
Datos que deben intercambiarse
1. Al notificar una alerta en la plataforma de intercambio de PLF, las autoridades competentes del SAPR del Estado miembro en el que se ha detectado al pasajero infectado deberán transmitir los siguientes datos de los PLF a las autoridades competentes del SAPR del Estado miembro de salida inicial o de residencia, si son distintos, del pasajero infectado:
a) nombre;
b) apellidos;
c) fecha de nacimiento;
d) número de teléfono (fijo o móvil);
e) dirección de correo electrónico;
f) dirección de residencia.
2. Cuando dispongan de información adicional que permita identificar al Estado miembro que debe realizar el rastreo de contactos, las autoridades competentes del SAPR del Estado miembro de salida inicial del pasajero infectado podrán transmitir los datos del PLF recibidos a un Estado miembro de salida distinto del declarado en el PLF como Estado miembro de salida inicial.
3. Al notificar una alerta en la plataforma de intercambio de PLF, las autoridades competentes del SAPR del Estado miembro en el que se ha detectado al pasajero infectado deberán transmitir a las autoridades competentes del SAPR de todos los Estados miembros los siguientes datos de los PLF relativos a cada trayecto del viaje de ese pasajero:
a) el lugar de salida de cada medio de transporte utilizado;
b) el lugar de llegada de cada medio de transporte utilizado;
c) la fecha de salida de cada medio de transporte utilizado;
d) medios de transporte utilizados (por ejemplo, avión, tren, autocar, transbordador, barco);
e) el número de identificación de cada medio de transporte utilizado (por ejemplo, el número de vuelo, el número de tren, la matrícula del autocar, el nombre del transbordador o del barco);
f) el número de asiento o de cabina en cada medio de transporte utilizado;
g) cuando sea necesario, la hora de salida de cada medio de transporte utilizado.
4. Si, sobre la base de la información de que disponen, las autoridades competentes del SAPR del Estado miembro que notifica la alerta son capaces identificar a los Estados miembros afectados, transmitirán los datos indicados en el apartado 3 únicamente a las autoridades competentes del SAPR de dichos Estados miembros.
5. Las autoridades competentes del SAPR deberán poder facilitar los siguientes datos epidemiológicos, cuando sea necesario para realizar un rastreo de contactos eficaz:
a) el tipo de prueba realizada;
b) la variante del virus SARS-CoV-2;
c) la fecha de la toma de muestras;
d) la fecha de aparición de los síntomas.
Artículo 2 quater
Responsabilidades de las autoridades competentes del SAPR y del ECDC en el tratamiento de los datos de los PLF
1. Las autoridades competentes del SAPR que intercambien los datos de los PLF y aquellos a que se refiere el artículo 2 ter , apartado 5, serán corresponsables del tratamiento para la introducción y transmisión, hasta su recepción, de dichos datos a través de la plataforma de intercambio de PLF. Las respectivas responsabilidades de los corresponsables del tratamiento se asignarán de acuerdo con el anexo II. Todo Estado miembro que desee participar en el intercambio transfronterizo de datos de los PLF a través de la plataforma de intercambio de PLF deberá notificar previamente su intención al ECDC y también la autoridad competente del SAPR que haya sido designada responsable del tratamiento.
2. El ECDC será el encargado del tratamiento de los datos intercambiados a través de la plataforma de intercambio de PLF. Deberá establecer la plataforma de intercambio de PLF y garantizar la seguridad del tratamiento, incluida la transmisión, de los datos intercambiados a través de dicha plataforma, y deberá cumplir las obligaciones de un encargado del tratamiento establecidas en el anexo III.
3. EL ECDC y las autoridades competentes del SAPR autorizadas a acceder a la plataforma de intercambio de PLF pondrán a prueba, valorarán y evaluarán periódicamente la eficacia de las medidas técnicas y organizativas destinadas a garantizar la seguridad del tratamiento de los datos de los PLF intercambiados a través de la plataforma de intercambio de PLF.
4. El ECDC recurrirá a la Comisión como subencargada del tratamiento y velará por que se le apliquen las mismas obligaciones en materia de protección de datos que contiene la presente Decisión.».
3) En el artículo 3, apartado 3, el texto «el anexo I» se sustituye por «el anexo IV».
4) En el anexo, el título «ANEXO» se sustituye por «ANEXO IV».
5) Se insertan los anexos I, II y III que figuran en el anexo de la presente Decisión.
La presente Decisión entrará en vigor a los tres días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir del 1 de junio de 2021.
Hecho en Bruselas, el 27 de mayo de 2021.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 293 de 5.11.2013, p. 1.
(2) DO L 337 de 14.10.2020, p. 3.
(3) Reglamento (CE) n.o 851/2004 del Parlamento Europeo y del Consejo, de 21 de abril de 2004, por el que se crea un Centro Europeo para la Prevención y el Control de las Enfermedades (DO L 142 de 30.4.2004, p. 1).
(4) La acción conjunta «Preparación y acción en los puntos de entrada (puertos, aeropuertos y pasos en tierra) HEALTHY GATEWAYS», financiada por el Tercer Programa de Salud (2014-2020), reúne a veintiocho países europeos.
(5) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO L 119 de 4.5.2016, p. 1).
(6) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
CONJUNTO MÍNIMO DE DATOS DE LOS PLF QUE DEBEN RECOGERSE A TRAVÉS DEL PLF NACIONAL
EL PLF contendrá, como mínimo, los siguientes datos:
1) | nombre; |
2) | apellidos; |
3) | fecha de nacimiento; |
4) | número de teléfono (fijo o móvil); |
5) | dirección de correo electrónico; |
6) | dirección de residencia; |
7) | el destino final o el último destino en la UE de todo el viaje; |
8) | la siguiente información para cada trayecto del viaje hasta el Estado miembro que haya solicitado el PLF: a) lugar de salida; b) lugar de llegada; c) fecha de salida; d) medio de transporte (por ejemplo, avión, tren, autocar, transbordador, barco); e) hora de salida; f) número de identificación del medio de transporte (por ejemplo, número de vuelo, número de tren, matrícula del autocar, nombre del transbordador o del barco); g) número de asiento o de cabina. |
División de responsabilidades
1) | Cada autoridad competente del SAPR velará por que el tratamiento de los datos de los PLF y de los datos epidemiológicos adicionales intercambiados a través de la plataforma de intercambio de PLF se lleve a cabo de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (*). En particular, velará por que los datos que introduzca y transmita a través de la plataforma de intercambio de PLF sean exactos y se limiten a los datos establecidos en el artículo 2 ter de la presente Decisión. |
2) | Cada autoridad competente del SAPR sigue siendo la única responsable de la recogida, utilización, divulgación y cualquier otro tratamiento de los datos de los PLF y los datos epidemiológicos adicionales realizados fuera de la plataforma de intercambio de PLF. Cada autoridad competente del SAPR velará por que la transmisión de los datos se lleve a cabo de conformidad con las especificaciones técnicas establecidas para la plataforma de intercambio de PLF. |
3) | Las instrucciones dirigidas al encargado del tratamiento serán enviadas por cualquiera de los puntos de contacto de los corresponsables del tratamiento, de acuerdo con los demás corresponsables. |
4) | Solo las personas autorizadas por las autoridades competentes del SAPR podrán acceder a los datos de los PLF y a los datos epidemiológicos adicionales intercambiados a través de la plataforma de intercambio de PLF. |
5) | Cada autoridad competente del SAPR establecerá un punto de contacto con un buzón funcional que servirá para la comunicación de los corresponsables entre sí y de estos con el encargado del tratamiento. El proceso de toma de decisiones de los corresponsables se rige por el Grupo de Trabajo del Comité de Seguridad Sanitaria del SAPR. |
6) | Cada autoridad competente del SAPR dejará de ser corresponsable del tratamiento desde la fecha en que se retire de la plataforma de intercambio de PLF. No obstante, seguirá siendo responsable de la recogida y la transmisión de los datos de los PLF y de los datos epidemiológicos adicionales a través de la plataforma de intercambio de PLF que hayan tenido lugar antes de su retirada. |
7) | Cada autoridad competente del SAPR llevará un registro de las actividades de tratamiento bajo su responsabilidad. La corresponsabilidad podrá indicarse en dicho registro. |
Responsabilidades y funciones para la tramitación de las solicitudes de los interesados y la información a estos
1) | Cada autoridad competente del SAPR que exija un PLF facilitará a los pasajeros transfronterizos (en lo sucesivo, “los interesados”) información sobre las circunstancias del intercambio de los datos de su PLF y de sus datos epidemiológicos a través de la plataforma de intercambio de PLF con el fin de efectuar el rastreo contactos, de conformidad con los artículos 13 y 14 del Reglamento (UE) 2016/679. |
2) | Cada autoridad competente del SAPR actuará como punto de contacto para los interesados y tramitará las solicitudes relativas al ejercicio de sus derechos de conformidad con el Reglamento (UE) 2016/679, presentadas por ellos mismos o por sus representantes. Cada autoridad competente del SAPR designará un punto de contacto específico dedicado a las solicitudes recibidas de los interesados. Si una autoridad competente del SAPR recibe una solicitud de un interesado que no está dentro de su competencia, la remitirá sin demora a la autoridad competente del SAPR responsable e informará al ECDC. Si así se les solicita, las autoridades competentes del SAPR se ayudarán mutuamente en la tramitación de las solicitudes de los interesados relativas a la corresponsabilidad y se responderán mutuamente sin demora excesiva y, a más tardar, en el plazo de quince días desde la recepción de la solicitud de ayuda. |
3) | Cada autoridad competente del SAPR pondrá a disposición de los interesados el contenido del presente anexo, en especial las disposiciones establecidas en los puntos 1 y 2. |
Gestión de los incidentes de seguridad, especialmente las violaciones de la seguridad de los datos personales
1) | Las autoridades competentes del SAPR, en su calidad de corresponsables del tratamiento, se ayudarán mutuamente en la detección y el manejo de los incidentes de seguridad, especialmente las violaciones de la seguridad de los datos personales, relacionados con el tratamiento de los datos de los PLF y los datos epidemiológicos intercambiados a través de la plataforma de intercambio de PLF. |
2) | En particular, se notificarán mutuamente y notificarán al ECDC lo siguiente: a) todo riesgo potencial o real para la disponibilidad, confidencialidad o integridad de los datos de los PLF o los datos epidemiológicos que sean objeto de tratamiento en la plataforma de intercambio de PLF; b) toda violación de la seguridad de los datos, sus consecuencias probables y la evaluación del riesgo con respecto a los derechos y libertades de las personas físicas, así como toda medida adoptada para resolver dicha violación y mitigar dicho riesgo; c) todo incumplimiento de las salvaguardas técnicas u organizativas de la operación de tratamiento en la plataforma de intercambio de PLF. |
3) | Las autoridades competentes del SAPR comunicarán toda violación de la seguridad de los datos en relación con la operación de tratamiento en la plataforma de intercambio de PLF al ECDC, a las autoridades de control competentes y, en su caso, a los interesados, de conformidad con los artículos 33 y 34 del Reglamento (UE) 2016/679 o a raíz de una notificación del ECDC. |
4) | Cada autoridad competente del SAPR aplicará las medidas técnicas y organizativas adecuadas, destinadas a: a) garantizar y proteger la seguridad, integridad y confidencialidad de los datos personales tratados conjuntamente; b) proteger los datos personales que obren en su poder contra todo tratamiento, pérdida, utilización, divulgación, adquisición o acceso no autorizados o ilícitos; c) garantizar que el acceso a los datos personales no se comunique ni se permita a ninguna persona distinta de los destinatarios o encargados del tratamiento. |
Evaluación de impacto relativa a la protección de datos
Si un responsable del tratamiento, para cumplir las obligaciones que le imponen los artículos 35 y 36 del Reglamento (UE) 2016/679, necesita información de otro responsable del tratamiento, enviará una solicitud específica al buzón funcional al que se refiere la sección 1, subsección 1, punto 5. Este último responsable hará lo posible por facilitar esa información.
1) El ECDC deberá crear y garantizar una infraestructura de comunicación segura y fiable que interconecte a las autoridades competentes del SAPR de los Estados miembros que participan en la plataforma de intercambio de PLF.
El tratamiento por parte del ECDC de la plataforma de intercambio de PLF implica lo siguiente:
a) definir el conjunto mínimo de requisitos técnicos para permitir una subida y una descarga fluidas y seguras de las bases de datos de los PLF nacionales;
b) garantizar la interoperabilidad de las bases de datos de los PLF nacionales de forma segura y automatizada.
2) A fin de cumplir sus obligaciones como encargado del tratamiento de los datos de la plataforma de intercambio del PLF, el ECDC recurrirá a la Comisión como subencargada del tratamiento y velará por que se le apliquen las mismas obligaciones en materia de protección de datos que contiene la presente Decisión.
El ECDC podrá autorizar a la Comisión a recurrir a terceros como subencargados del tratamiento adicionales.
Si la Comisión recurre a subencargados del tratamiento, el ECDC deberá:
a) velar por que se apliquen a estos subencargados del tratamiento las mismas obligaciones en materia de protección de datos que contiene la presente Decisión;
b) informar a los responsables del tratamiento de cualquier cambio previsto en relación con la adición o sustitución de otros subencargados del tratamiento, dándoles así la oportunidad de oponerse por mayoría simple a tales cambios.
3) El ECDC deberá:
a) | crear y garantizar una infraestructura de comunicación segura y fiable que interconecte a las autoridades competentes del SAPR de los Estados miembros que participan en la plataforma de intercambio de PLF; |
b) | tratar los datos de los PLF y los datos epidemiológicos adicionales, basándose exclusivamente en las instrucciones documentadas dadas por los responsables del tratamiento, salvo que se le exija otra cosa en virtud del Derecho de la Unión; en tal caso, el ECDC informará a los responsables del tratamiento de ese requisito jurídico antes del tratamiento, salvo que el citado Derecho prohíba enviar esa información por motivos importantes de interés público; |
c) | establecer un plan de seguridad, una continuidad de la actividad y un plan de recuperación en caso de catástrofe; |
d) | adoptar las medidas necesarias para preservar la integridad de los datos de los PLF y los datos epidemiológicos adicionales tratados; |
e) | tomar todas las medidas de seguridad organizativa, física y electrónica más avanzadas que sean necesarias para el mantenimiento de la plataforma de intercambio de PLF; a tal fin, el ECDC deberá: i) designar una entidad responsable de la gestión de la seguridad en la plataforma de intercambio de PLF, comunicar a los responsables del tratamiento sus datos de contacto y garantizar su disponibilidad para reaccionar ante las amenazas para la seguridad, ii) asumir la responsabilidad respecto a la seguridad de la plataforma de intercambio de PLF, iii) velar por que todas las personas a las que se conceda acceso a la plataforma de intercambio de PLF estén sujetas a una obligación contractual, profesional o legal de confidencialidad; |
f) | adoptar todas las medidas de seguridad necesarias para evitar poner en peligro el correcto funcionamiento operativo de la plataforma de intercambio de PLF; a tal fin, el ECDC instaurará procedimientos específicos relativos al funcionamiento de la plataforma de intercambio de PLF y a la conexión de los servidores finales con dicha plataforma; esto incluye: i) un procedimiento de evaluación de riesgos a fin de detectar y estimar las amenazas potenciales para el sistema, ii) un procedimiento de auditoría y verificación a fin de: 1) comprobar la correspondencia entre las medidas de seguridad implementadas y la política de seguridad aplicable; 2) controlar periódicamente la integridad de los ficheros del sistema, los parámetros de seguridad y las autorizaciones concedidas; 3) detectar y vigilar las violaciones de la seguridad y las intrusiones; 4) introducir cambios para mitigar las deficiencias existentes en materia de seguridad; 5) permitir, también a petición de los responsables del tratamiento, la realización de auditorías independientes, en particular inspecciones, y de verificaciones de las medidas de seguridad, en condiciones que respeten lo dispuesto en el Protocolo n.o 7 del TFUE, sobre los privilegios y las inmunidades de la Unión Europea (2), y contribuir a ellas, iii) la modificación del procedimiento de control para documentar y medir el impacto de un cambio antes de aplicarlo y la información continua a los responsables del tratamiento sobre los cambios que puedan afectar a la comunicación con sus infraestructuras o a la seguridad de estas, iv) el establecimiento de un procedimiento de mantenimiento y reparación para especificar las normas y condiciones que han de respetarse cuando deba procederse al mantenimiento o la reparación de equipos, v) el establecimiento de un procedimiento en caso de incidentes de seguridad para definir el régimen de notificación y remisión a instancia superior, informar sin demora a los responsables del tratamiento para que notifiquen a las autoridades nacionales de supervisión de la protección de datos cualquier violación de la seguridad de los datos personales y definir un procedimiento disciplinario para las violaciones de la seguridad; |
g) | adoptar las medidas de seguridad física o electrónica más avanzadas para las instalaciones que alojen los equipos de la plataforma de intercambio de PLF y para los controles de los datos y el acceso de seguridad; a tal fin, el ECDC deberá: i) poner en ejecución medidas de seguridad física a fin de establecer perímetros de seguridad nítidos y permitir que se detecten las violaciones, ii) controlar el acceso a las instalaciones y mantener un registro de visitantes a efectos de seguimiento, iii) velar por que las personas externas a las que se haya concedido acceso a los locales sean acompañadas por personal debidamente autorizado, iv) velar por que no puedan añadirse, sustituirse ni retirarse equipos sin la autorización previa de los organismos responsables designados, v) controlar el acceso desde y hacia los sistemas nacionales de PLF en la plataforma de intercambio de PLF, vi) velar por que las personas que accedan a la plataforma de intercambio de PLF estén identificadas y autenticadas, vii) verificar los derechos de autorización relacionados con el acceso a la plataforma de intercambio de PLF en caso de que se produzca una violación de la seguridad que afecte a esta infraestructura, viii) aplicar medidas de seguridad técnica y organizativa para evitar el acceso no autorizado a los datos de los PLF y los datos epidemiológicos, ix) instaurar, cuando sea necesario, medidas para bloquear el acceso no autorizado a la plataforma de intercambio de PLF desde el dominio de las autoridades nacionales (es decir, bloquear una ubicación o una dirección IP); |
h) | tomar medidas para proteger su dominio, incluida la desconexión, en caso de que se produzca una desviación sustancial con respecto a los principios y conceptos de calidad o seguridad; |
i) | mantener un plan de gestión de riesgos relacionado con su ámbito de responsabilidad; |
j) | monitorizar, en tiempo real, el funcionamiento de todos los componentes de servicio de la plataforma de intercambio de PLF, elaborar estadísticas regulares y llevar registros; |
k) | garantizar que el servicio esté disponible las veinticuatro horas del día, siete días a la semana, con un tiempo de inactividad razonable para fines de mantenimiento; |
l) | prestar apoyo con respecto a todos los servicios de la plataforma de intercambio de PLF en inglés, por teléfono, correo electrónico o portal web, y aceptar las llamadas de los usuarios autorizados: los coordinadores de la plataforma de intercambio de PLF y sus respectivos servicios de asistencia, los responsables de proyectos y las personas designadas del ECDC; |
m) | ayudar en la medida de lo posible a los responsables del tratamiento con medidas técnicas y organizativas apropiadas, para que cumplan su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados establecidos en el capítulo III del Reglamento (UE) 2016/679; |
n) | ayudar a los responsables del tratamiento proporcionándoles información sobre la plataforma de intercambio de PLF, a fin de dar cumplimiento a las obligaciones derivadas de los artículos 32, 35 y 36 del Reglamento (UE) 2016/679; |
o) | garantizar que los datos de los PLF y los datos epidemiológicos transmitidos a través de la plataforma de intercambio de PLF sean ininteligibles para cualquier persona que no esté autorizada a acceder a ellos, en particular mediante la aplicación de un cifrado fuerte; |
p) | adoptar todas las medidas pertinentes para impedir que los operadores de la plataforma de intercambio de PLF accedan sin autorización a los datos de los PLF y los datos epidemiológicos transmitidos; |
q) | adoptar medidas para facilitar la interoperabilidad y la comunicación entre los responsables del tratamiento designados de la plataforma de intercambio de PLF; |
r) | llevar un registro de las actividades de tratamiento realizadas por cuenta de los responsables del tratamiento de conformidad con el artículo 31, apartado 2, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo. |
(*) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO L 119 de 4.5.2016, p. 1).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid