EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 240, apartado 3,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 45, apartado 3,
Considerando lo siguiente:
(1)
(2) |
El Reglamento (UE) 2018/1725 establece principios y normas aplicables a todas las instituciones y organismos de la Unión, así como el nombramiento de un delegado de protección de datos por cada institución u organismo de la Unión.
El artículo 45, apartado 3, del Reglamento (UE) 2018/1725 exige que cada institución u organismo de la Unión adopte normas complementarias respecto al delegado de protección de datos (en lo sucesivo, «normas de aplicación»). Las normas de aplicación deben referirse en particular a las tareas, funciones y competencias del delegado de protección de datos del Consejo y de la Secretaría General del Consejo (DPD). |
(3) |
Las normas de aplicación deben establecer los procedimientos para el ejercicio de los derechos de los interesados, así como para el cumplimiento de las obligaciones de todos los agentes pertinentes dentro del Consejo y de la Secretaría General del Consejo (SGC) en relación con el tratamiento de datos personales. |
(4) |
El Reglamento (UE) 2018/1725 atribuye responsabilidades claras a los responsables del tratamiento de datos, en particular con respecto a los derechos de los interesados. Las normas de aplicación deben garantizar que el Consejo y la SGC cumplan sus responsabilidades como responsables del tratamiento de datos de manera uniforme y transparente. Deben establecerse normas para determinar quién es responsable de una operación de tratamiento que se lleva a cabo en nombre del Consejo o de la SGC. A este respecto, conviene introducir el concepto de «responsable delegado» con el fin de indicar con precisión las responsabilidades de los órganos de la SGC, en particular en lo que se refiere a las decisiones individuales relativas a los derechos de los interesados. Además, es conveniente introducir el concepto de «responsable operativo», designado, bajo la responsabilidad del responsable delegado, para garantizar la conformidad en la práctica y para tramitar las solicitudes de los interesados en relación con una operación de tratamiento. Con el fin de indicar con precisión las responsabilidades en la SGC para cada actividad de tratamiento, el responsable operativo debe indicarse con precisión en el registro. El nombramiento de un responsable operativo no impide la utilización en la práctica de un punto de contacto, por ejemplo, en forma de buzón funcional para las solicitudes de los interesados. |
(5) |
En determinados casos, varias direcciones generales o servicios de la SGC pueden llevar a cabo conjuntamente una operación de tratamiento en cumplimiento de su misión. En tales casos, deben garantizar la existencia de acuerdos internos para determinar de manera transparente sus responsabilidades respectivas en virtud del Reglamento (UE) 2018/1725, en particular las responsabilidades respecto de los derechos de los interesados, la notificación al Supervisor Europeo de Protección de Datos (SEPD) y los registros. |
(6) |
A fin de facilitar el ejercicio de las responsabilidades de los responsables delegados, cada dirección general u otro servicio de la SGC debe nombrar un coordinador de la protección de datos. El coordinador de la protección de datos debe prestar asistencia a la dirección general u otro servicio de la SGC para todos los aspectos de la protección de datos personales y participar en la red de coordinadores de la protección de datos de la SGC con el fin de garantizar una aplicación e interpretación coherentes del Reglamento (UE) 2018/1725. |
(7)
(8) |
Con arreglo al artículo 45, apartado 1, letra b), del Reglamento (UE) 2018/1725, el DPD puede formular orientaciones adicionales sobre las funciones del coordinador de la protección de datos.
El artículo 25, apartado 1, del Reglamento (UE) 2018/1725 permite a cada institución u organismo de la Unión limitar la aplicación de los artículos 14 a 17, 19, 20 y 35 de dicho Reglamento, así como el principio de transparencia establecido en su artículo 4, apartado 1, letra a), en la medida en que sus disposiciones se correspondan con los derechos y obligaciones establecidos en los artículos 14 a 17, 19 y 20 de dicho Reglamento. |
(9) |
En determinados casos, el DPD puede tener que limitar los derechos de los interesados para llevar a cabo las tareas de supervisión, investigación, auditoría o consulta establecidas en el artículo 45 del Reglamento (UE) 2018/1725, respetando al mismo tiempo las normas de protección de los datos personales establecidas por dicho Reglamento. Es necesario adoptar normas internas que permitan al DPD limitar los derechos de los interesados de conformidad con el artículo 25 (en lo sucesivo, «normas internas»). |
(10) |
Las normas internas deben aplicarse a todas las operaciones de tratamiento de datos realizadas por el Consejo y la SGC en el ejercicio de las funciones de supervisión, investigación, auditoría o consulta del DPD. Las normas internas también deben aplicarse a las operaciones de tratamiento que formen parte de las tareas relacionadas con la función de investigación o auditoría del DPD, tales como los procedimientos de reclamación tramitados por el DPD. Las normas internas deben aplicarse asimismo a la supervisión del DPD y a las consultas del DPD cuando este proporcione asistencia y cooperación a las direcciones generales y los servicios de la SGC al margen de sus investigaciones y auditorías administrativas. |
(11) |
El Consejo y la SGC pueden tener que aplicar las limitaciones basadas en los motivos a que se refiere el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725 a las operaciones de tratamiento de datos llevadas a cabo en el marco de las funciones de supervisión, investigación, auditoría o consulta del DPD cuando sea necesario para proteger las funciones del DPD, las investigaciones y procedimientos conexos y los instrumentos y métodos de las investigaciones y auditorías del DPD, así como los derechos de otras personas relacionadas con las funciones del DPD. |
(12)
(13) |
Con el fin de mantener una cooperación eficaz, el Consejo y la SGC pueden tener que aplicar limitaciones a los derechos de los interesados para proteger la información que contenga datos personales procedentes de otras direcciones generales y servicios de la SGC, u otras instituciones u organismos de la Unión. A tal efecto, el DPD debe consultar a tales direcciones generales y servicios u otras instituciones u organismos sobre la pertinencia de los motivos de las limitaciones, así como sobre la necesidad y la proporcionalidad de esas limitaciones.
El DPD y, cuando proceda, las direcciones generales y los servicios de la SGC deben tratar todas las limitaciones de manera transparente y registrar cada aplicación de limitaciones en el sistema de registros correspondiente. |
(14) |
De conformidad con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, los responsables del tratamiento pueden aplazar o denegar la comunicación de información sobre los motivos de la aplicación de una limitación al interesado si dicha comunicación puede, de alguna manera, comprometer el motivo de la limitación. En particular si se limitan los derechos establecidos en los artículos 16 y 35 de dicho Reglamento, la notificación de dicha limitación podría comprometer la finalidad de la misma. A fin de garantizar que el derecho del interesado a ser informado de conformidad con dichos artículos se limite únicamente mientras subsistan los motivos del aplazamiento, el DPD o las direcciones generales o servicios de la SGC que apliquen dicha limitación deben revisar periódicamente su posición. |
(15)
(16) |
Cuando se limiten otros derechos de los interesados, el DPD evaluará en cada caso si la comunicación de la limitación puede comprometer su finalidad.
El DPD debe efectuar una revisión independiente de la aplicación de las limitaciones basadas en la presente Decisión por otras direcciones generales o servicios de la SGC, con el fin de garantizar el cumplimiento de la presente Decisión. |
(17)
(18) |
En una sociedad democrática, cualquier limitación aplicada sobre la base de la presente Decisión debe ser necesaria y proporcionada.
De conformidad con el artículo 41, apartados 1 y 2, del Reglamento (UE) 2018/1725, se informó y consultó al SEPD, el cual emitió su dictamen (2). |
(19) |
Las normas de aplicación del Reglamento (UE) 2018/1725 no afectan al Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo (3), a la Decisión 2004/338/CE, Euratom del Consejo (4), en particular su anexo II, a la Decisión 2013/488/UE del Consejo (5), en particular la sección VI de la parte II de su anexo, ni a la Decisión del Secretario General del Consejo/Alto Representante de la Política Exterior y de Seguridad Común de 25 de junio de 2001 (6). |
(20) |
La Decisión 2004/644/CE del Consejo (7) establece normas de desarrollo relativas al Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo. El Reglamento (UE) 2018/1725 derogó el Reglamento (CE) n.o 45/2001 con efectos a partir del 11 de diciembre de 2019. A fin de garantizar que solo se aplique un conjunto de normas de aplicación, debe derogarse la Decisión 2004/644/CE. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto y ámbito de aplicación
1. La presente Decisión establece normas y procedimientos para la aplicación del Reglamento (UE) 2018/1725 por el Consejo y la Secretaría General del Consejo (SGC) y establece normas de aplicación adicionales relativas al delegado de protección de datos del Consejo (DPD).
2. La presente Decisión establece las normas que deben aplicar el Consejo y la SGC en relación con las funciones del DPD de supervisión, investigación, auditoría o consulta, al informar a los interesados del tratamiento de sus datos personales de conformidad con los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725.
3. La presente Decisión establece las condiciones en las que, en relación con las tareas del DPD de supervisión, investigación, auditoría o consulta, el Consejo y la SGC podrán limitar la aplicación de los artículos 4, 14 a 17, 19, 20 y 35 del Reglamento (UE) 2018/1725, de conformidad con el artículo 25, apartado 1, letras c), g) y h), de dicho Reglamento.
4. La presente Decisión se aplica al tratamiento de datos personales por el Consejo y la SGC a efectos de las funciones del DPD enumeradas en el artículo 45 del Reglamento (UE) 2018/1725.
Responsabilidad del tratamiento
A efectos de la presente Decisión, se considerará responsable del tratamiento en el sentido del artículo 3, punto 8, del Reglamento (UE) 2018/1725 al Consejo y a la SGC.
Definiciones
A efectos de la presente Decisión, se entenderá por:
1) «delegado de protección de datos (DPD)»: la persona designada por el secretario general del Consejo en virtud del artículo 43 del Reglamento (UE) 2018/1725;
2) «funciones del DPD»: las funciones a que se refiere el artículo 45 del Reglamento (UE) 2018/1725;
3) «personal de la SGC»: todos los funcionarios de la SGC y cualquier otra persona que se rija por el Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión, establecido en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (8) (en lo sucesivo, «Estatuto»), o que trabaje para la SGC en virtud de un contrato (por ejemplo, becarios, asesores, contratistas, funcionarios de los Estados miembros en comisión de servicios);
4) «responsable delegado»: el jefe de la dirección general de la SGC u otro servicio que, solo o conjuntamente con otras personas, determine los fines y medios del tratamiento de datos personales en nombre del Consejo o de la SGC en el cumplimiento de la misión de dicha dirección general o servicio;
5) «responsable operativo»: el miembro del personal de la SGC de nivel jerárquico medio o superior designado por el responsable delegado para asistirle en la tarea de garantizar el cumplimiento del Reglamento (UE) 2018/1725 para las operaciones de tratamiento de las que sea responsable y servir de punto de contacto principal con los interesados;
6) «coordinador de la protección de datos»: el miembro del personal de la SGC designado en cada dirección general u otro servicio de la SGC, en consulta con el DPD, para asistir a dicha dirección general o servicio en todos los aspectos de la protección de datos personales y para tratar, como su representante, las cuestiones relativas a la protección de datos en estrecha cooperación con el DPD.
DELEGADO DE PROTECCIÓN DE DATOS
Nombramiento y estatuto del delegado de protección de datos
1. El secretario general del Consejo designará al DPD entre el personal de la SGC y lo registrará ante el Supervisor Europeo de Protección de Datos (SEPD), de conformidad con el artículo 43 del Reglamento (UE) 2018/1725.
2. El DPD será designado atendiendo a sus cualidades profesionales y, en particular, sus conocimientos especializados del Derecho y la práctica en materia de protección de datos, así como su capacidad para desempeñar las funciones a que se refiere el artículo 45 del Reglamento (UE) 2018/1725. El DPD tendrá asimismo un buen conocimiento de la SGC, de su estructura y de sus normas y procedimientos administrativos. Para poder desempeñar sus funciones, el DPD quedará liberado de cualquier otra tarea dentro de la SGC.
3. El DPD será designado para un mandato de cinco años, que podrá ser renovado.
4. El DPD y su personal estarán directamente adscritos al secretario o secretaria general del Consejo y responderán directamente ante él o ella.
5. En el desempeño de sus funciones, el DPD actuará de manera independiente y no recibirá instrucción alguna del secretario general del Consejo, de los responsables delegados o de los responsables operativos, ni de ninguna otra persona, en relación con la aplicación interna de las disposiciones del Reglamento (UE) 2018/1725 o su cooperación con el SEPD.
6. El Consejo y la SGC respaldarán al DPD en el desempeño de las funciones mencionadas en el artículo 45 del Reglamento (UE) 2018/1725, facilitando los recursos necesarios para el desempeño de dichas funciones y para que dé acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
7. El DPD no podrá ser destituido ni sancionado por desempeñar sus funciones. El DPD solo podrá ser destituido con arreglo a lo dispuesto en el artículo 44, apartado 8, del Reglamento (UE) 2018/1725. Con el fin de obtener el consentimiento del SEPD para dicha destitución con arreglo a dicho artículo, se consultará al SEPD por escrito. Se enviará al DPD una copia de dicho consentimiento.
8. La SGC, en particular los responsables delegados y los responsables operativos, garantizarán que el DPD participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
Funciones y obligaciones
1. El DPD realizará las funciones contempladas en el artículo 45 del Reglamento (UE) 2018/1725. En particular el DPD:
a) garantizará la aplicación y ejecución del Reglamento (UE) 2018/1725 por parte del Consejo y la SGC, y realizará un seguimiento del cumplimiento de dicho Reglamento y del marco jurídico aplicable en materia de protección de datos personales;
b) asesorará al Secretario General del Consejo, a los responsables delegados y a los responsables operativos en lo relativo a la aplicación de las disposiciones sobre protección de los datos;
c) asesorará y ayudará a los responsables delegados y a los responsables operativos al realizar una evaluación de impacto relativa a la protección de datos con arreglo a los artículos 39 y 40 del Reglamento (UE) 2018/1725;
d) garantizará que las operaciones de tratamiento no tengan efectos adversos sobre los derechos y las libertades de los interesados;
e) sensibilizará sobre el marco jurídico aplicable en materia de protección de datos personales y contribuir a la creación de una cultura de protección de datos personales en la SGC.
El DPD podrá ser consultado por el Secretario General, por los responsables del tratamiento de que se trate, por el Comité de Personal y por cualquier particular, sin seguir los conductos oficiales, con relación a cualquier asunto que se refiera a la aplicación o ejecución del Reglamento (UE) 2018/1725.
2. El DPD llevará un registro de las actividades de tratamiento que será accesible al público, de conformidad con el artículo 12.
3. El DPD llevará un registro interno de las violaciones de la seguridad de los datos personales en el sentido del artículo 3, punto 16, del Reglamento (UE) 2018/1725.
4. El DPD asesorará al responsable delegado, cuando así se le solicite, en relación con el recurso a una limitación de la aplicación de los artículos 14 a 22, 35 y 36, así como del artículo 4 del Reglamento (UE) 2018/1725.
5. El DPD organizará y presidirá reuniones periódicas de los coordinadores de la protección de datos.
6. El DPD presentará al Secretario General del Consejo un informe anual de actividad, que también pondrá a disposición del personal de la SGC.
7. El DPD cooperará con los delegados de protección de datos designados por las demás instituciones y organismos de la Unión, y asistirá periódicamente a reuniones convocadas por el SEPD o los delegados de protección de datos de las demás instituciones y organismos de la Unión con objeto de facilitar la cooperación, en particular mediante el intercambio de experiencia y mejores prácticas.
8. El DPD será considerado el responsable delegado para las operaciones de tratamiento desarrolladas en el ejercicio de sus tareas.
Competencias
En el ejercicio de sus funciones y obligaciones, el DPD:
a) tendrá acceso en todo momento a los datos objeto de las operaciones de tratamiento y a todos los locales, instalaciones de tratamiento de datos y soportes de datos;
b) podrá solicitar dictámenes jurídicos al Servicio Jurídico del Consejo;
c) podrá solicitar otras formas de apoyo de las direcciones generales y los servicios pertinentes de la SGC;
d) podrá asignar expedientes a las direcciones generales y servicios de la SGC de que se trate para que lleven a cabo un seguimiento adecuado;
e) podrá llevar a cabo investigaciones, previa solicitud o por iniciativa propia, de asuntos e incidentes directamente relacionados con el ejercicio de sus funciones de conformidad con el procedimiento establecido en el artículo 14;
f) podrá proponer medidas administrativas al Secretario General del Consejo y emitir recomendaciones generales sobre la correcta aplicación del Reglamento (UE) 2018/1725;
g) podrá formular recomendaciones a la SGC, a los responsables delegados y a los responsables operativos para la mejora práctica de la aplicación del Reglamento (UE) 2018/1725, entre lo que se incluye:
i) instar al responsable delegado o al encargado del tratamiento a que atiendan la solicitud de un interesado en ejercicio de sus derechos en virtud del Reglamento (UE) 2018/1725,
ii) formular advertencias al responsable delegado o al encargado del tratamiento cuando una operación de tratamiento de datos infrinja las disposiciones del Reglamento (UE) 2018/1725 y pedirles que aseguren su conformidad, cuando proceda, de una determinada manera y dentro de un plazo dado,
iii) instar al responsable delegado o al encargado del tratamiento a que suspenda los flujos de datos hacia un destinatario en un Estado miembro, un tercer país o una organización internacional,
iv) solicitar al responsable delegado o al encargado del tratamiento que le notifiquen, en un plazo determinado, el curso dado a su recomendación o consejo;
h) podrá solicitar los servicios de expertos externos en tecnologías de la información y las comunicaciones previo acuerdo del ordenador de pagos, de conformidad con el Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo (9) ;
i) será invitado a las comisiones y los comités de la SGC pertinentes cuando se debatan cuestiones relacionadas con el procesamiento de datos personales, y podrá proponer puntos pertinentes en el orden del día de dichas comisiones y comités;
j) podrá señalar a la autoridad facultada para proceder a los nombramientos de la SGC cualquier incumplimiento por parte de un miembro del personal de la SGC de las obligaciones que impone el Reglamento (UE) 2018/1725, y sugerir que se emprenda una investigación administrativa con vistas a la eventual aplicación de las sanciones contempladas en el artículo 69 de dicho Reglamento;
k) será competente de las decisiones iniciales sobre las solicitudes de acceso a los documentos que obren en su poder en virtud del Reglamento (CE) n.o 1049/2001, en consulta con los servicios pertinentes de la SGC.
DERECHOS Y OBLIGACIONES DE LOS INTERVINIENTES EN LA PROTECCIÓN DE DATOS
Consulta y suministro de información al DPD
1. Los responsables del tratamiento contarán con la participación del DPD en la planificación y debate de toda actividad que implique el tratamiento de datos personales. Se informará al DPD sobre cualquier operación de tratamiento, así como sobre cualquier cambio sustancial de una operación de procesamiento en curso.
2. Se informará al DPD sobre los proyectos de notas internas y decisiones de la SGC que guarden una relación directa con la aplicación interna del Reglamento (UE) 2018/1725.
3. Se informará al DPD sobre cualquier contacto con agentes externos relacionados con la aplicación interna del Reglamento (UE) 2018/1725, así como sobre cualquier interacción con el SEPD, en concreto cuando se consulte o informe al SEPD conforme a lo dispuesto en los artículos 40 y 41 de dicho Reglamento.
4. Se consultará al DPD en materia de proyectos de acuerdos entre corresponsables del tratamiento y en materia de proyectos de cláusulas contractuales u otros actos jurídicos relacionados con la protección de datos cuando los datos personales sean tratados por un encargado de tratamiento.
Responsables delegados
1. Incumbirá a los responsables delegados de garantizar que todas las operaciones de tratamiento bajo su control cumplan con el Reglamento (UE) 2018/1725.
2. En particular, los responsables delegados:
a) designarán un responsable operativo que les asista en la garantía del cumplimiento del Reglamento (UE) 2018/1725, en particular con respecto a los interesados;
b) mantendrán los registros de las actividades de tratamiento bajo su responsabilidad y garantizarán que el responsable operativo transmita los registros y la declaración de confidencialidad aneja al DPD para su inclusión en el registro a que se refiere el artículo 12;
c) se responsabilizarán de las actividades de los encargados y subencargados que tratan datos personales en su nombre, y garantizarán que el tratamiento se rija por un contrato u otro acto jurídico de conformidad con el artículo 29, apartado 3, del Reglamento (UE) 2018/1725.
3. Los responsables delegados garantizarán que el DPD participe de forma oportuna en todas las cuestiones relacionadas con datos personales y adoptarán las disposiciones apropiadas para garantizar que el coordinador de la protección de datos participe adecuadamente en todos los asuntos que atañan a la protección de datos en su dirección general u otro servicio de la SGC.
4. Los responsables delegados garantizarán que se adopten las medidas técnicas y organizativas apropiadas a fin de poder demostrar que las actividades de tratamiento cumplen con el Reglamento (UE) 2018/1725, y darán al personal de la SGC las instrucciones oportunas para garantizar tanto la confidencialidad del tratamiento como un nivel de seguridad adecuado a los riesgos que implique el tratamiento. Podrán consultar al DPD para seleccionar estas medidas.
5. Los responsables delegados informarán al DPD sobre la tramitación de cualquier solicitud recibida de un interesado en ejercicio de sus derechos, y asistirán al DPD y al SEPD en el ejercicio de sus respectivas obligaciones, en particular, facilitando la información que se les solicite en un plazo de 30 días.
6. Incumbirá a los responsables delegados la limitación de la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento (UE) 2018/1725 así como del artículo 4 de dicho Reglamento, con arreglo a las normas internas pertinentes. Los responsables delegados contarán con la participación del DPD a lo largo de todo el procedimiento al aplicar dicha limitación.
7. Los responsables delegados garantizarán que existan acuerdos internos con otras direcciones generales o servicios de la SGC, cuando el responsable delegado realice operaciones de tratamiento conjuntas con esas direcciones generales o servicios de la SGC o cuando estos realicen una parte de la operación de tratamiento del responsable delegado.
Los acuerdos a que se refiere el párrafo primero determinarán las responsabilidades respectivas de los responsables delegados y de otras direcciones generales o servicios de la SGC en el cumplimiento de sus obligaciones en materia de protección de datos. En particular, dichos acuerdos indicarán el responsable delegado que determinará los medios y fines de la operación de tratamiento, así como el responsable operativo de la operación de tratamiento y, en su caso, las personas o entidades que asistirán al responsable operativo, entre otras cosas, con información en caso de violación de datos o adecuación de los derechos de los interesados.
Responsables operativos
1. Los responsables operativos ayudarán al responsable delegado a garantizar el cumplimiento del Reglamento (UE) 2018/1725 para las operaciones de tratamiento de las que sea responsable, y servirá de punto de contacto principal de los interesados.
2. En particular, los responsables operativos:
a) recibirán y tramitarán todas las solicitudes de los interesados;
b) prepararán los registros de las actividades de tratamiento bajo su responsabilidad y la correspondiente declaración de privacidad en consulta con el coordinador de la protección de datos;
c) garantizarán que los contratos u otros actos jurídicos que rigen el tratamiento de datos personales por parte de un encargado del tratamiento cumplan con lo dispuesto en el Reglamento (UE) 2018/1725, y consultarán al DPD en relación con proyectos de cláusulas contractuales relacionados con la protección de datos;
d) garantizarán que se disponga de documentación para demostrar el cumplimiento del Reglamento (UE) 2018/1725.
3. Los responsables operativos informarán al DPD sin dilación indebida en caso de violaciones de la seguridad de los datos personales, y le facilitarán toda la información necesaria que les permita garantizar que el Consejo cumpla con las obligaciones en materia de violaciones de la seguridad de los datos personales con arreglo a los artículos 34 y 35 del Reglamento (UE) 2018/1725.
4. Los responsables operativos se coordinarán con el responsable delegado y el DPD para notificar al SEPD en caso de violaciones de la seguridad de los datos personales, cuando proceda. Informarán asimismo a los interesados, cuando proceda.
5. Los responsables operativos garantizarán que el coordinador de la protección de datos esté informado en todo momento de todo asunto relacionado con la protección de los datos personales.
6. Los responsables operativos evaluarán el riesgo para los derechos y libertades de los interesados en relación con las operaciones de tratamiento de las que son responsables, y, en su caso, realizarán una evaluación de impacto de protección de datos personales. Los responsables operativos recabarán el asesoramiento del DPD al elaborar dichas evaluaciones de impacto y en relación con la necesidad de realizar consultas previas con arreglo a los artículos 39 y 40 del Reglamento (UE) 2018/1725.
7. A solicitud del responsable delegado, los responsables operativos desempeñarán cualquier otra función dentro del ámbito de aplicación de la presente Decisión.
Coordinadores de la protección de datos
1. Cada dirección general u otro servicio de la SGC para la designará, en consulta con el DPD, uno o más coordinadores de la protección de datos para asistir al responsable delegado y a los responsables operativos en su dirección general u otro servicio de la SGC en todos los aspectos de la protección de datos personales.
2. Los coordinadores de la protección de datos se elegirán sobre la base de sus conocimientos y experiencia en el funcionamiento de la dirección general u otro servicio de la SGC respectivo, la adecuación para el ejercicio de la función, las competencias relacionadas con la protección de datos, el conocimiento de los principios de los sistemas de información y la capacidad de comunicación. Los coordinadores de la protección de datos de reciente nombramiento recibirán formación con el objeto de adquirir las competencias necesarias para el ejercicio de sus funciones en el plazo de seis meses desde la fecha de su designación. Cualquier coordinador de la protección de datos que haya trabajado previamente como persona de contacto en otra dirección general u otro servicio de la SGC en los dos años previos a su nombramiento estará exento de tal requisito de formación.
3. La función de coordinador de la protección de datos formará parte de la descripción del puesto de trabajo de cada miembro del personal de la SGC designado como persona de contacto. En el informe de evaluación anual se hará referencia a sus responsabilidades y resultados.
4. Los coordinadores de la protección de datos participarán de manera adecuada y oportuna en todas las cuestiones relacionadas con la protección de datos en su dirección general u otro servicio de la SGC, y cumplirán sus funciones en estrecha colaboración con el DPD.
5. Los coordinadores de la protección de datos tendrán derecho a obtener de los responsables del tratamiento y del personal la información adecuada y necesaria que precisen para el desempeño de sus funciones dentro de su dirección general u otro servicio de la SGC. Esta información no incluirá el acceso a los datos personales tratados bajo la responsabilidad del responsable delegado. Los coordinadores de la protección de datos solo accederán a los datos personales en caso de que los necesiten para el desempeño de su labor.
6. Los coordinadores de la protección de datos realizarán una labor de sensibilización en materia de protección de datos y asistirán a los responsables delegados en el ejercicio de sus obligaciones dentro de su dirección general u otro servicio de la SGC, especialmente en lo referente a:
a) la aplicación del Reglamento (UE) 2018/1725;
b) la determinación de los responsables operativos y la preparación de registros de operaciones de tratamiento y de las declaraciones de confidencialidad antes de su presentación al DPD;
c) la recopilación de una lista de todas las operaciones de tratamiento en curso en la dirección general u otro servicio de la SGC.
7. Los coordinadores de la protección de datos asistirán a los responsables operativos en el ejercicio de sus obligaciones dentro de su dirección general u otro servicio de la SGC, especialmente en lo referente a:
a) la preparación de registros de operaciones de tratamiento y las declaraciones de confidencialidad antes de su presentación al DPD;
b) la documentación del tratamiento;
c) el tratamiento de las solicitudes de los interesados;
d) la gestión de las violaciones de la seguridad de los datos.
Personal de la SGC
El personal de la SGC contribuirá a garantizar la aplicación y ejecución del Reglamento (UE) 2018/1725. Ningún miembro del personal de la SGC tendrá acceso a datos personales ni podrá tratarlos si no es bajo instrucciones del responsable delegado o del responsable operativo, a no ser que estén obligados a hacerlo con arreglo al Derecho de la Unión o de un Estado miembro.
OTRAS OBLIGACIONES Y PROCEDIMIENTOS
Registro
1. El DPD mantendrá un registro de las operaciones de tratamiento y garantizará que dicho registro sea accesible a través del sitio web del DPD en la intranet de la SGC y a través del sitio web del Consejo.
2. El responsable operativo notificará al DPD toda operación de tratamiento y remitirá los registros de las actividades de tratamiento y la correspondiente declaración de confidencialidad mediante un formulario disponible en la intranet de la SGC (sección «Protección de datos»). La notificación se transmitirá al DPD electrónicamente. Tras consultar al DPD, el responsable delegado confirmará el registro y la correspondiente declaración de confidencialidad, y el DPD los publicará en el registro.
3. El registro incluirá toda la información especificada en el artículo 31 del Reglamento (UE) 2018/1725. No obstante, la información introducida en el registro por el DPD podrá limitarse excepcionalmente a lo que sea necesario a fin de proteger la seguridad de una operación de tratamiento concreta. El responsable operativo notificará rápidamente al DPD cualquier cambio que afecte a dicha información.
Violaciones de la seguridad de los datos
1. Cuando se produzca una violación de la seguridad de los datos personales, el responsable delegado o el responsable operativo pedirá ayuda al coordinador de la protección de datos, informará del incidente sin demora indebida al DPD y le proporcionará toda la información necesaria que le permita garantizar el cumplimiento por el Consejo de la obligación relativa a las notificaciones y comunicaciones sobre violaciones de la seguridad de los datos personales establecida en los artículos 34 y 35 del Reglamento (UE) 2018/1725.
2. El DPD creará y mantendrá un registro interno de violaciones de la seguridad de los datos personales. Los responsables delegados y los responsables operativos facilitarán la información necesaria para su introducción en el registro.
3. Los responsables delegados y los responsables operativos prepararán la notificación al SEPD en consulta con el DPD, a menos que sea improbable que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y libertades de las personas físicas.
Investigaciones
1. El DPD, por iniciativa propia o a petición del responsable delegado, el responsable operativo, el encargado del tratamiento, el Comité de Personal o cualquier particular, podrá investigar las cuestiones y los incidentes relacionados con sus funciones e informar de ello a la persona que solicitó la investigación o al responsable delegado, al responsable operativo o al encargado del tratamiento.
2. Las solicitudes de investigación se dirigirán al DPD por escrito. En caso de abuso manifiesto del derecho a solicitar una investigación, por ejemplo cuando el mismo particular haya hecho una solicitud idéntica poco tiempo antes, el DPD no estará obligado a contestar al solicitante.
3. En el plazo de 15 días a partir de la recepción de una solicitud de investigación, el DPD enviará un acuse de recibo a la persona que realizó la solicitud y verificará si la petición debe tratarse de forma confidencial.
4. El DPD solicitará al responsable delegado al que incumba la operación de tratamiento de datos objeto de la solicitud de la investigación que proporcione un informe en la materia. El responsable delegado responderá al DPD en el plazo de 15 días. El DPD podrá solicitar información complementaria al responsable delegado, al responsable operativo, al encargado del tratamiento o a otros servicios pertinentes de la SGC. Si procede, podrá solicitar un dictamen en la materia al Servicio Jurídico del Consejo. Deberá facilitarse la información o el dictamen solicitados al DPD en el plazo de 30 días.
5. El DPD responderá a la persona que cursó la solicitud de investigación a más tardar tres meses después de su recepción. Dicho plazo podrá suspenderse hasta que el DPD haya obtenido toda la información necesaria que haya pedido.
6. Nadie sufrirá perjuicio alguno por haberse puesto en conocimiento del DPD una presunta infracción del Reglamento (UE) 2018/1725.
Normas generales para el ejercicio de los derechos de los interesados
1. Los derechos de los interesados establecidos en los artículos 14 a 24 del Reglamento (UE) 2018/1725 solo podrán ser ejercidos por el interesado o por su representante debidamente autorizado.
2. El interesado dirigirá las solicitudes por escrito al responsable operativo, con copia al DPD. En caso necesario, el DPD ayudará al interesado a identificar al responsable operativo de que se trate. La solicitud podrá presentarse en formato electrónico e incluirá:
a) nombre y apellidos y datos de contacto del interesado y la fecha de la solicitud;
b) una indicación del ejercicio del derecho y, en su caso, documentos justificativos relacionados con la solicitud;
c) la categoría o categorías de datos personales de que se trate.
3. El responsable operativo enviará al interesado un acuse de recibo en el plazo de cinco días hábiles a partir del registro de la solicitud. El responsable operativo solicitará cualquier aclaración necesaria en caso de que la solicitud sea poco clara o esté incompleta. El cómputo del plazo aplicable con arreglo al artículo 14, apartados 3 y 4, del Reglamento (UE) 2018/1725 no se iniciará hasta que se faciliten las aclaraciones necesarias.
4. El responsable operativo verificará la identidad del interesado de conformidad con el artículo 14, apartado 6, del Reglamento (UE) 2018/1725. El cómputo de los plazos aplicables con arreglo al artículo 14, apartados 3 y 4, de dicho Reglamento no se iniciará mientras se verifica la identidad.
5. El responsable operativo dará satisfacción al interesado o indicará por escrito los motivos de la denegación total o parcial, en los plazos establecidos en el artículo 14, apartados 3 y 4, del Reglamento (UE) 2018/1725.
6. En caso de extrema complejidad de la solicitud, irregularidad o abuso evidente por parte del interesado en el ejercicio de sus derechos, cuando sea probable que el tratamiento de una solicitud entrañe un riesgo para los derechos y libertades de otros interesados o cuando el interesado alegue que el tratamiento es ilícito, el responsable operativo consultará al DPD.
Reclamaciones en virtud del artículo 90
En caso de que se presente una reclamación con arreglo al artículo 90 del Estatuto de los funcionarios (en lo sucesivo, «reclamación en virtud del artículo 90») sobre un asunto relacionado con el tratamiento de datos personales, la autoridad facultada para proceder a los nombramientos consultará al DPD. Sin perjuicio de la admisibilidad de la reclamación en virtud del artículo 90, el miembro del personal de la SGC indicará en dicha reclamación en virtud del artículo 90 si se ha presentado en paralelo una reclamación al SEPD. El DPD emitirá su dictamen por escrito a más tardar a los 15 días hábiles de la recepción de la solicitud de la autoridad facultada para proceder a los nombramientos. El dictamen no será requerido en caso de que el DPD no lo hubiera presentado transcurrido dicho plazo. El dictamen del DPD no vinculará a la autoridad facultada para proceder a los nombramientos.
LIMITACIONES DE LOS DERECHOS DE LOS INTERESADOS EN EL CONTEXTO DEL EJERCICIO DE LAS FUNCIONES DEL DPD
Excepciones y limitaciones
1. En el ejercicio de sus funciones con respecto a los derechos de los interesados de conformidad con el Reglamento (UE) 2018/1725, el Consejo o la SGC examinará si es de aplicación alguna de las excepciones establecidas en dicho Reglamento.
2. Sin perjuicio de lo dispuesto en los artículos 18 a 22 de la presente Decisión, el Consejo o la SGC podrá limitar, de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725, la aplicación de los artículos 14 a 17, 19, 20 y 35 de dicho Reglamento así como el principio de transparencia establecido en su artículo 4, apartado 1, letra a), en la medida en que sus disposiciones se correspondan con los derechos y obligaciones establecidos en los artículos 14 a 17, 19 y 20 de dicho Reglamento, cuando el ejercicio de dichos derechos y obligaciones pueda comprometer el ejercicio de las funciones del DPD, por ejemplo mediante la revelación de sus instrumentos y métodos de investigación o de auditoría, o afectar negativamente a los derechos y libertades de otros interesados.
3. Sin perjuicio de lo dispuesto en los artículos 18 a 22 de la presente Decisión, el Consejo o la SGC podrá limitar los derechos y obligaciones a que se refiere el apartado 2 del presente artículo en relación con los datos personales obtenidos por el DPD de direcciones generales o servicios de la SGC u otras instituciones y organismos de la Unión. El Consejo o la SGC podrá proceder de este modo cuando el ejercicio de esos derechos y obligaciones pueda ser limitado por dichas direcciones generales o servicios de la SGC u otras instituciones u organismos sobre la base de otros actos establecidos en el artículo 25 del Reglamento (UE) 2018/1725, de conformidad con el capítulo IX de dicho Reglamento o de conformidad con el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (10) o el Reglamento (UE) 2017/1939 del Consejo (11).
Antes de aplicar limitaciones en las circunstancias a que se refiere el párrafo primero, el Consejo o la SGC consultará a la institución u organismo de la Unión pertinente, a menos que resulte evidente que la aplicación de una limitación está establecida en uno de los actos a que se hace referencia en dicho párrafo.
4. Toda limitación de los derechos y obligaciones a que se refiere el apartado 2 será necesaria y proporcionada, teniendo en cuenta los riesgos para los derechos y libertades de los interesados.
Suministro de información a los interesados
1. La SGC publicará en el sitio web del Consejo anuncios de protección de datos que informen a todos los interesados sobre las funciones del DPD que impliquen el tratamiento de sus datos personales.
2. La SGC informará individualmente, en un formato apropiado, a cualquier persona física que considere persona interesada por las funciones del DPD.
3. Cuando la SGC limite, total o parcialmente, el suministro de información a los interesados a que se refiere el apartado 2 del presente artículo, consignará y registrará los motivos de la limitación, de conformidad con el artículo 21.
Derecho de acceso de los interesados, derecho de supresión y derecho a la limitación del tratamiento
1. Cuando el Consejo o la SGC limite, total o parcialmente, el derecho de acceso a los datos personales por parte de los interesados, el derecho de supresión o el derecho a la limitación del tratamiento a que se refieren los artículos 17, 19 y 20, respectivamente, del Reglamento (UE) 2018/1725, informará al interesado, en su respuesta a una solicitud de acceso, supresión o limitación del tratamiento, de la limitación aplicada y de los motivos principales para ello, así como de la posibilidad de presentar una reclamación ante el SEPD o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
2. La comunicación de información sobre los motivos de la limitación a que se refiere el apartado 1 podrá aplazarse, omitirse o denegarse en la medida en que ponga en peligro la finalidad de la limitación. El Consejo facilitará la información al interesado tan pronto como dicha información deje de socavar tal finalidad.
3. La SGC consignará y registrará los motivos de la limitación conforme a lo dispuesto en el artículo 21.
Comunicación de una violación de la seguridad de los datos personales al interesado
Cuando el Consejo o la SGC limite la comunicación de una violación de la seguridad de los datos personales al interesado a que se refiere el artículo 35 del Reglamento (UE) 2018/1725, la SGC consignará y registrará los motivos de la limitación conforme a lo dispuesto en el artículo 21 de la presente Decisión.
Consignación y registro de las limitaciones
1. La SGC consignará los motivos de cualquier limitación aplicada con arreglo a la presente Decisión, incluida una evaluación caso por caso de la necesidad y proporcionalidad de la limitación, teniendo en cuenta los elementos pertinentes del artículo 25, apartado 2, del Reglamento (UE) 2018/1725.
El registro indicará a tal efecto la forma en que el ejercicio de cualesquiera de los derechos a que se refieren los artículos 14 a 17, 19, 20 y 35 de dicho Reglamento, o del principio de transparencia establecido en su artículo 4, apartado 1, letra a), comprometería las actividades del DPD en virtud de la presente Decisión o las limitaciones aplicadas de conformidad con su artículo 17, apartados 2 o 3, o afectaría negativamente a los derechos y libertades de otros interesados.
2. Se consignará el registro y, en su caso, los documentos que contengan elementos subyacentes de hecho y de derecho. Se pondrán a disposición del SEPD, previa petición.
Duración de las limitaciones
1. Las limitaciones a que se refieren los artículos 18, 19 y 20 seguirán siendo aplicables mientras lo sigan siendo los motivos que las justifiquen.
2. Cuando los motivos de limitación a que se refieren los artículos 18 y 20 dejen de ser aplicables, la SGC levantará la limitación y comunicará los motivos de la limitación al interesado. Al mismo tiempo, la SGC informará al interesado de la posibilidad de presentar una reclamación ante el SEPD en cualquier momento o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
3. La SGC revisará la aplicación de las limitaciones contempladas en los artículos 18 y 20 cada seis meses después de la fecha de su adopción y, en cualquier caso, al concluir la actividad pertinente del DPD. Tras su conclusión, la SGC supervisará anualmente la necesidad de mantener cualquier limitación o aplazamiento.
Revisión por parte del DPD
1. Cuando otras direcciones generales o servicios de la SGC concluyan que los derechos de un interesado deben limitarse en virtud de la presente Decisión, informarán al DPD. También facilitarán al DPD acceso al registro y a cualquier documento que contenga elementos subyacentes de hecho y de derecho. La participación del DPD en la aplicación de las limitaciones se documentará detalladamente.
2. El DPD podrá solicitar que el responsable delegado de que se trate revise la aplicación de las limitaciones. El responsable delegado de que se trate informará por escrito al DPD del resultado de la revisión solicitada.
Derogación
Queda derogada la Decisión 2004/644/CE.
Entrada en vigor
La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Luxemburgo, el 28 de junio de 2021.
Por el Consejo
La Presidenta
M. do C. ANTUNES
(1) DO L 295 de 21.11.2018, p. 39.
(2) Dictamen de 6 de abril de 2021 (pendiente de publicación en el Diario Oficial).
(3) Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
(4) Decisión 2004/338/CE, Euratom del Consejo, de 22 de marzo de 2004, por la que se aprueba su Reglamento interno (DO L 106 de 15.4.2004, p. 22).
(5) Decisión 2013/488/UE del Consejo, de 23 de septiembre de 2013, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO L 274 de 15.10.2013, p. 1).
(6) Decisión del Secretario General del Consejo, Alto Representante de la política exterior y de seguridad común, de 25 de junio de 2001, sobre un código de buena conducta administrativa para la Secretaría General del Consejo de la Unión Europea y su personal en sus relaciones profesionales con el público (DO C 189 de 5.7.2001, p. 1).
(7) Decisión 2004/644/CE del Consejo, de 13 de septiembre de 2004, por la que se adoptan las normas de desarrollo del Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 296 de 21.9.2004, p. 16).
(8) DO L 56 de 4.3.1968, p. 1.
(9) Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).
(10) Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).
(11) Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid