LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (1), y en particular su artículo 85,
Previa consulta al Comité de Servicios Digitales de conformidad con el artículo 88 del Reglamento (UE) 2022/2065,
Considerando lo siguiente:
(1) |
El Reglamento (UE) 2022/2065 tiene por objeto garantizar un espacio digital seguro para los usuarios, garantizando al mismo tiempo el respeto de los derechos fundamentales. Lo hace imponiendo obligaciones a los prestadores de servicios intermediarios para evitar la difusión de contenidos ilícitos en línea y regulando las políticas de moderación de contenidos de dichos prestadores en relación con sus servicios. La supervisión, investigación, ejecución y seguimiento eficaces del cumplimiento de dichas obligaciones por parte de dichos proveedores requiere la cooperación entre los Estados miembros y con la Comisión, así como un intercambio fluido de información entre los Estados miembros y con la Comisión. |
(2) |
A este fin, el artículo 85 del Reglamento (UE) 2022/2065 exige a la Comisión que establezca y mantenga un sistema de intercambio de información seguro, fiable e interoperable, en lo sucesivo «AGORA», que facilite las comunicaciones entre los coordinadores de servicios digitales, la Comisión y la Junta Europea de Servicios Digitales (en lo sucesivo, «la Junta»). Podrá concederse acceso a AGORA a otras autoridades competentes, cuando así lo requieran para desempeñar las tareas que les hayan sido atribuidas de conformidad con el Reglamento (UE) 2022/2065. Los coordinadores de servicios digitales, la Comisión y la Junta están obligados a utilizar AGORA para todas las comunicaciones realizadas en virtud del Reglamento (UE) 2022/2065. |
(3) |
AGORA es una aplicación informática accesible a través de internet que desarrollará la Comisión. AGORA proporciona un mecanismo de comunicación para facilitar el intercambio transfronterizo de información y la asistencia mutua entre los coordinadores de servicios digitales, la Comisión y la Junta de conformidad con el Reglamento (UE) 2022/2065. En particular, AGORA debe apoyar a los coordinadores de servicios digitales, a la Comisión y a la Junta en la gestión del intercambio de información en relación con la supervisión, investigación, ejecución y seguimiento con arreglo al Reglamento (UE) 2022/2065 sobre la base de procedimientos simples y unificados. |
(4) |
El presente Reglamento establece las disposiciones prácticas y operativas para la creación, el mantenimiento y el funcionamiento de AGORA a efectos de supervisión, investigación, ejecución y seguimiento con arreglo al Reglamento (UE) 2022/2065, que pueden abarcar, entre otras cosas, el intercambio de información individual, los procedimientos de notificación, los mecanismos de alerta, los mecanismos de asistencia mutua y la resolución de problemas entre los coordinadores de servicios digitales, la Comisión, la Junta y otras autoridades competentes a las que se haya concedido acceso a AGORA en virtud del Reglamento (UE) 2022/2065 (en lo sucesivo, «agentes de AGORA»). |
(5) |
Dada la importancia transfronteriza e intersectorial de los servicios intermediarios, es necesario un alto nivel de coordinación y cooperación entre los distintos agentes pertinentes para garantizar la supervisión, la investigación, la ejecución y el seguimiento coherentes en virtud del Reglamento (UE) 2022/2065, así como la disponibilidad de información pertinente a través de AGORA a tal fin. |
(6) |
Con el fin de superar las barreras lingüísticas, AGORA debe estar disponible en todas las lenguas oficiales de la Unión. A tal fin, AGORA debe ofrecer herramientas de traducción plenamente automática a disposición de la Comisión para la traducción de los documentos y mensajes intercambiados a través de ella. La Comisión debe proporcionar dichas herramientas a las personas físicas que trabajen bajo la autoridad de los coordinadores de servicios digitales, la Comisión, la Junta u otras autoridades competentes a las que se haya concedido acceso a AGORA («usuario de AGORA») y a los usuarios de AGORA designados como administradores por los coordinadores de servicios digitales, la Comisión y la Junta (en lo sucesivo, el «administrador de AGORA»). Las herramientas de traducción automática deben ser compatibles con los requisitos de seguridad y confidencialidad para el intercambio de información en AGORA. |
(7) |
Para desempeñar sus funciones en virtud del Reglamento (UE) 2022/2065, los coordinadores de servicios digitales, la Comisión y la Junta pueden tener que intercambiar información que incluya datos personales. Todo intercambio de información de este tipo debe cumplir las normas sobre protección de datos personales establecidas en los Reglamentos (UE) 2016/679 (2) y (UE) 2018/1725 (3) del Parlamento Europeo y del Consejo. En consecuencia, el intercambio de datos personales necesario para cumplir las obligaciones y desempeñar las funciones establecidas en el Reglamento (UE) 2022/2065 entra en el ámbito del tratamiento lícito de datos con arreglo al artículo 5, letra a), del Reglamento (UE) 2018/1725, y al artículo 6, apartado 1, letra e), del Reglamento (UE) 2016/679. |
(8) |
AGORA debe ser la herramienta utilizada para el intercambio de información, incluidos, cuando sea necesario, los datos personales, que de otro modo tendría lugar por otros medios, como el correo regular o el correo electrónico sobre la base de una obligación legal impuesta a los coordinadores de servicios digitales, la Comisión, la Junta y otras autoridades competentes a las que se haya concedido acceso a AGORA de conformidad con el Reglamento (UE) 2022/2065. Los datos personales intercambiados a través de AGORA solo deben tratarse a efectos de la supervisión, investigación, ejecución y seguimiento de conformidad con el Reglamento (UE) 2022/2065. Cuando se traten datos personales en el funcionamiento de AGORA con el fin de compartir, solicitar y acceder a información que responda a solicitudes de información, remisiones, solicitudes de acción y solicitud de apoyo, los coordinadores de servicios digitales deben ser responsables independientes en el sentido del Reglamento (UE) 2016/679 para las actividades de tratamiento que lleven a cabo. |
(9) |
Cada coordinador de servicios digitales también podrá decidir utilizar AGORA para sus propias actividades de tramitación de casos llevadas a cabo para la supervisión, la investigación, la ejecución y el seguimiento de conformidad con el Reglamento (UE) 2022/2065. Cuando no se vayan a intercambiar datos personales en AGORA a efectos de compartir, solicitar y acceder a información, responder a solicitudes de información, remisiones, solicitar acciones y solicitar apoyo, cada coordinador de servicios digitales y, en su caso, otras autoridades competentes a las que se haya concedido acceso a AGORA, debe ser un único responsable del tratamiento en el sentido del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725 con respecto a las actividades de tratamiento de datos llevadas a cabo a través de AGORA. |
(10) |
La transmisión, el almacenamiento y otros tratamientos de datos personales de personas físicas deben tener lugar en AGORA con el fin de apoyar las comunicaciones entre los agentes de AGORA para llevar a cabo actividades de tramitación de casos por parte de estos en relación con la supervisión, la investigación, la ejecución y el seguimiento de conformidad con el Reglamento (UE) 2022/2065. |
(11) |
AGORA debe tratar los datos personales en la medida en que sea estrictamente necesario para la supervisión, la investigación, la ejecución y el seguimiento de conformidad con el Reglamento (UE) 2022/2065. AGORA debe tratar los datos personales, como datos de identificación (por ejemplo, nombre, alias, fecha de nacimiento, lugar de nacimiento, nacionalidad, documentos de identificación y, en caso necesario, otras características que puedan ayudar a la identificación), datos de contacto (por ejemplo, dirección profesional y privada, dirección de correo electrónico y teléfono), datos de participación en el asunto de que se trate (por ejemplo, posición y función de la persona física en una empresa, otras funciones como sospechoso, víctima, denunciante, informante y testigo), datos relacionados con el asunto de que se trate (por ejemplo, documento, imagen, vídeo, grabación de voz, declaración, opinión y registro) y cualquier otra información que se considere necesaria para cumplir los requisitos del Reglamento (UE) 2022/2065. |
(12) |
Siguiendo los principios de protección de datos desde el diseño y por defecto, AGORA debe desarrollarse y diseñarse respetando debidamente los requisitos de la legislación en materia de protección de datos, en particular debido a las restricciones impuestas al acceso a los datos personales intercambiados en AGORA. Por lo tanto, AGORA debe ofrecer un nivel de protección y seguridad considerablemente más alto que otros métodos de intercambio de información como el teléfono, correo ordinario o el correo electrónico. |
(13) |
La Comisión debe suministrar y gestionar el software y la infraestructura informática para AGORA, garantizar su fiabilidad, seguridad, disponibilidad, mantenimiento y funcionamiento, y participar en la formación y la asistencia técnica de los administradores y usuarios de AGORA. |
(14) |
La competencia de los Estados miembros para decidir qué autoridades nacionales cumplen las obligaciones derivadas del presente Reglamento debe ejercerse de conformidad con el artículo 49 y el artículo 62 del Reglamento (UE) 2022/2065. Los Estados miembros deben poder adaptar las funciones y responsabilidades en relación con AGORA para reflejar sus estructuras administrativas internas, y aplicar en AGORA un tipo específico de trabajo u orden de etapas en un proceso de trabajo determinado. |
(15) |
Cada coordinador de servicios digitales debe designar y notificar a la Comisión al menos un administrador de AGORA en su Estado miembro para las cuestiones relacionadas con AGORA. Cada coordinador de servicios digitales también debe ser responsable del nombramiento de los administradores de AGORA de sus respectivas autoridades competentes a las que se haya concedido acceso a AGORA de conformidad con el Reglamento (UE) 2022/2065. Cada administrador de AGORA debe registrar, conceder y revocar el acceso a AGORA a sus propios usuarios de AGORA. A fin de lograr una cooperación eficiente en materia de supervisión, investigación, ejecución y seguimiento de los servicios incluidos en el ámbito de aplicación del Reglamento (UE) 2022/2065 a través de AGORA, los Estados miembros deben velar por que sus respectivos administradores y usuarios de AGORA dispongan de los recursos necesarios para cumplir sus obligaciones de conformidad con el artículo 50, apartado 1, del Reglamento (UE) 2022/2065. |
(16) |
La información recibida por un coordinador de servicios digitales, la Comisión, la Junta u otra autoridad competente a la que se haya concedido acceso a AGORA a través de AGORA por otro coordinador de servicios digitales, la Comisión, la Junta u otra autoridad competente de este tipo, no debe verse privada de su valor como prueba en procedimientos penales, civiles o administrativos de conformidad con la legislación nacional y de la UE pertinente por el mero hecho de que se haya originado en otro Estado miembro, o haya sido recibida por medios electrónicos, y debe ser tratada por el agente de AGORA pertinente de la misma manera que documentos similares procedentes de su Estado miembro. |
(17) |
Debe ser posible tratar el nombre y los datos de contacto de los administradores y usuarios de AGORA necesarios para cumplir los objetivos del Reglamento (UE) 2022/2065 y del presente Reglamento, incluido el seguimiento del uso de AGORA por parte de los administradores y los usuarios de AGORA, las iniciativas de comunicación, formación y sensibilización, y la recopilación de información en relación con la supervisión, la investigación, la ejecución y el seguimiento de los servicios incluidos en el ámbito de aplicación del Reglamento (UE) 2022/2065, o la asistencia mutua al respecto. |
(18) |
A fin de garantizar el seguimiento eficaz del funcionamiento de AGORA y la presentación de informes al respecto, los coordinadores de servicios digitales, la Junta y otras autoridades competentes a las que se haya concedido acceso a AGORA deben poner la información pertinente a disposición de la Comisión. |
(19) |
Debe tenerse informados a los interesados sobre el tratamiento de sus datos de carácter personal en AGORA y sobre los derechos que les asisten, en particular el derecho de acceso a los datos que les conciernen, así como sobre su derecho de rectificación de los datos incorrectos y de supresión de los datos tratados de forma ilícita, de conformidad con el Reglamento (UE) 2016/679 y el Reglamento (UE) 2018/1725. |
(20) |
Cada agente AGORA, como responsable del tratamiento con respecto a las actividades de tratamiento de datos que lleve a cabo en relación con la supervisión, la investigación, la ejecución y el seguimiento de los servicios incluidos en el ámbito de aplicación del Reglamento (UE) 2022/2065, debe garantizar que los interesados puedan ejercer sus derechos de conformidad con el Reglamento (UE) 2016/679 y el Reglamento (UE) 2018/1725. Esto debe incluir el establecimiento de un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. |
(21) |
La aplicación del presente Reglamento y la actuación de AGORA deben ser objeto de seguimiento en el informe sobre el funcionamiento de AGORA basado en datos estadísticos de AGORA y en cualquier otro dato pertinente. La Comisión debe presentar el informe al Parlamento Europeo, el Consejo y el Supervisor Europeo de Protección de Datos. El rendimiento de los coordinadores de servicios digitales, la Junta y otras autoridades competentes a las que se haya concedido acceso a AGORA debe evaluarse, entre otras cosas, sobre la base de los plazos medios de respuesta con el fin de garantizar respuestas eficientes y adecuadas. Este informe también debe abordar aspectos relacionados con la protección de los datos personales en AGORA, incluida la seguridad de los datos. |
(22) |
El Supervisor Europeo de Protección de Datos, consultado de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 4 de enero de 2024. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Objeto y ámbito de aplicación
El presente Reglamento establece las disposiciones prácticas y operativas para el funcionamiento de un sistema fiable y seguro de intercambio de información, en lo sucesivo denominado «AGORA», para la supervisión, la investigación, la ejecución y el seguimiento de conformidad con el Reglamento (UE) 2022/2065.
Sistema de intercambio de información
1. Se establece el sistema de intercambio de información AGORA.
2. AGORA es una aplicación informática accesible a través de internet y la herramienta utilizada para el intercambio de información, incluidos, en su caso, datos personales, que de otro modo tendrían lugar por otros medios, incluidos el correo ordinario o el correo electrónico.
3. AGORA se utilizará para el intercambio de información, incluido el intercambio de información que contenga datos personales, entre los coordinadores de servicios digitales, la Comisión y la Junta Europea de Servicios Digitales (en lo sucesivo, la «Junta»), así como con otras autoridades competentes a las que se conceda acceso a AGORA para desempeñar las funciones que les confiere el Reglamento (UE) 2022/2065, en relación con la supervisión, la investigación, la ejecución y el seguimiento de dicho Reglamento.
Definiciones
A efectos del presente Reglamento, además de las definiciones que figuran en el artículo 3 y el artículo 49, apartado 1, del Reglamento (UE) 2022/2065, en el artículo 4 del Reglamento (UE) 2016/679 y en el artículo 3 del Reglamento (UE) 2018/1725, se entenderá por:
a) «AGORA»: sistema de intercambio de información establecido y mantenido por la Comisión para apoyar todas las comunicaciones con arreglo al Reglamento (UE) 2022/2065 entre los agentes de AGORA para la supervisión, la investigación, la ejecución y el seguimiento de conformidad con el Reglamento (UE) 2022/2065;
b) «Agente AGORA»: coordinador de servicios digitales, la Comisión, la Junta u otras autoridades competentes a las que se conceda o puedan tener acceso a AGORA cuando sea necesario para llevar a cabo las tareas que se les hayan conferido de conformidad con el Reglamento (UE) 2022/2065;
c) «Usuario de AGORA»: persona física que trabaja bajo la autoridad de un agente AGORA y está registrada como tal en AGORA con el fin de desempeñar las tareas atribuidas al agente AGORA por el Reglamento (UE) 2022/2065;
d) «Administrador de AGORA»: usuario de AGORA designado por un agente de AGORA con el fin de gestionar AGORA para dicho agente.
Responsabilidades de la Comisión
1. La Comisión será responsable de llevar a cabo las siguientes tareas en relación con AGORA:
a) facilitar el uso de AGORA en todas las lenguas oficiales de la Unión y mantener AGORA;
b) velar por la fiabilidad, la disponibilidad, el mantenimiento y el desarrollo de los programas y de la infraestructura informáticos de AGORA;
c) ofrecer herramientas de traducción automática para la traducción de documentos y mensajes intercambiados a través de AGORA;
d) prestar apoyo a otros agentes de AGORA en relación con el uso de AGORA;
e) registrar al menos un administrador de AGORA en nombre de cada coordinador de servicios digitales y de la Junta, y concederles acceso a AGORA;
f) nombrar al menos a un administrador de AGORA;
g) realizar operaciones de tratamiento de datos personales en AGORA, cuando así lo disponga el presente Reglamento, para la supervisión, la investigación, la ejecución y el seguimiento de conformidad con el Reglamento (UE) 2022/2065;
h) auditoría, seguimiento y preparación de los informes necesarios para la auditoría y el seguimiento de AGORA en virtud del Reglamento (UE) 2022/2065;
i) proporcionar conocimientos, formación y apoyo, incluida la asistencia técnica, a los administradores de AGORA;
j) supervisar el rendimiento de todos los demás agentes de AGORA con arreglo al presente Reglamento de conformidad con el artículo 15.
2. Con el fin de asistir a la Comisión en la realización de las tareas enumeradas en el apartado 1, los demás agentes de AGORA facilitarán a la Comisión información relativa a las operaciones que realicen en AGORA.
Tratamiento de datos personales por la Comisión
1. La Comisión será un encargado del tratamiento en el sentido del artículo 3, punto 12), del Reglamento (UE) 2018/1725 con respecto al tratamiento de datos personales al registrar administradores de AGORA.
2. La Comisión será un responsable del tratamiento independiente en el sentido del artículo 3, punto 8), del Reglamento (UE) 2018/1725 con respecto al tratamiento de datos personales de sus administradores de AGORA y de los usuarios de AGORA.
3. Cuando la Comisión trate datos personales en el funcionamiento de AGORA con el fin de compartir, solicitar y acceder a información, solicitar acciones y apoyo, se considerará responsable del tratamiento independiente, en el sentido del artículo 3, punto 8), del Reglamento (UE) 2018/1725, de los demás agentes de AGORA para las actividades de tratamiento de datos personales que lleva a cabo.
4. Cuando la Comisión trate datos personales en el funcionamiento de AGORA en nombre de otros agentes de AGORA con el fin de compartir, solicitar y acceder a información, solicitar acciones y apoyo, se considerará el encargado, en el sentido del artículo 3, punto 12), del Reglamento (UE) 2018/1725.
5. A efectos del presente Reglamento, las responsabilidades de la Comisión como encargada del tratamiento de datos realizadas en AGORA por esos otros agentes de AGORA se definirán de conformidad con el anexo II.
Responsabilidades de los coordinadores de servicios digitales
1. Cada coordinador de servicios digitales designará, para su Estado miembro, al menos un administrador de AGORA.
2. Cada coordinador de servicios digitales será responsable de garantizar que, en relación con el desempeño de las funciones que le hayan sido conferidas de conformidad con el Reglamento (UE) 2022/2065, solo los usuarios AGORA autorizados tengan acceso a AGORA.
3. Cada coordinador de servicios digitales informará sin demora a la Comisión del administrador de AGORA designado por ella de conformidad con el apartado 1. La Comisión compartirá dicha información con los demás coordinadores de servicios digitales y con la Junta.
4. Cada coordinador de servicios digitales velará por que se cumplan las responsabilidades del administrador de AGORA con arreglo al presente Reglamento.
5. Los coordinadores de servicios digitales serán responsables independientes en el sentido del artículo 4, punto 7), del Reglamento (UE) 2016/679 con respecto al tratamiento de datos personales al registrar a sus usuarios de AGORA y concederles acceso a AGORA.
6. Cuando los coordinadores de servicios digitales traten datos personales en el funcionamiento de AGORA con el fin de compartir, solicitar y acceder a información que responda a solicitudes de información, remisiones, solicitudes de acción y solicitud de apoyo, los citados coordinadores deben ser responsables independientes en el sentido del Reglamento (UE) 2016/679 para las actividades de tratamiento que lleven a cabo.
7. Cuando otras autoridades competentes designadas por los Estados miembros de conformidad con el artículo 49, apartado 1, del Reglamento (UE) 2022/2065, que no sean el coordinador de servicios digitales, traten datos personales en el funcionamiento de AGORA, dichas autoridades serán responsables independientes en el sentido del Reglamento (UE) 2016/679.
Responsabilidad de la Junta
1. La Junta nombrará a un administrador de AGORA. El administrador de AGORA formará parte del apoyo administrativo y analítico prestado a la Junta de conformidad con el artículo 62, apartado 4, del Reglamento (UE) 2022/2065.
2. La Junta será responsable de garantizar que solo los usuarios de AGORA autorizados tengan acceso a AGORA.
3. La Junta informará sin demora a la Comisión de la identidad de su administrador AGORA designado de conformidad con el apartado 1 y de las funciones de las que son responsables en virtud del artículo 8 del presente Reglamento. La Comisión compartirá dicha información con los coordinadores de servicios digitales.
Responsabilidades de los administradores de AGORA
Los administradores de AGORA se encargarán de:
a) el registro de usuarios de AGORA y la concesión y revocación del acceso a AGORA;
b) actuar como principal punto de contacto de la Comisión para las cuestiones relacionadas con AGORA, incluido el suministro de información sobre aspectos relacionados con la protección de datos personales de conformidad con el presente Reglamento, el Reglamento (UE) 2016/679 y el Reglamento (UE) 2018/1725;
c) proporcionar conocimientos, formación y apoyo, incluida la asistencia técnica y un servicio de asistencia técnica, a los usuarios de AGORA registrados por ellos;
d) garantizar la prestación eficiente de respuestas adecuadas por parte de los agentes de AGORA.
Derechos de acceso de los agentes de AGORA
1. Los agentes de AGORA concederán y revocarán los derechos de acceso a los administradores de AGORA de los que sean responsables.
2. Solo tendrán acceso a AGORA los administradores de AGORA autorizados y los usuarios autorizados de AGORA.
3. Los agentes de AGORA establecerán los medios adecuados para garantizar que los administradores y los usuarios de AGORA solo puedan acceder a los datos personales tratados en AGORA cuando sea estrictamente necesario para la supervisión, la investigación, la ejecución y el seguimiento de conformidad con el Reglamento (UE) 2022/2065.
4. Cuando un procedimiento relativo a la supervisión, la investigación, la ejecución y el seguimiento en el marco del Reglamento (UE) 2022/2065 implique el tratamiento de datos personales, solo los administradores de AGORA y los usuarios de AGORA que participen en dicho procedimiento tendrán acceso a dichos datos personales.
Confidencialidad
1. Cada Estado miembro y la Comisión aplicarán sus propias normas sobre secreto profesional u otras obligaciones equivalentes de confidencialidad a sus administradores y usuarios de AGORA de conformidad con el Derecho nacional o de la Unión.
2. Cada agente de AGORA velará por que los administradores de AGORA y los usuarios de AGORA que trabajen bajo su autoridad cumplan las solicitudes de tratamiento confidencial de la información intercambiada en AGORA.
Tratamiento de datos personales en AGORA
1. La transmisión, conservación y otro tratamiento de datos personales en AGORA solo podrá tener lugar cuando sea necesario y proporcionado y únicamente para los fines siguientes:
a) apoyar las comunicaciones entre los agentes de AGORA en relación con la supervisión, la investigación, la ejecución y el seguimiento con arreglo al Reglamento (UE) 2022/2065;
b) tramitación de casos por parte de los agentes de AGORA cuando llevan a cabo sus propias actividades en relación con la supervisión, la investigación, la ejecución y el seguimiento con arreglo al Reglamento (UE) 2022/2065;
c) llevar a cabo las transformaciones empresariales y técnicas de los datos enumerados en el presente Reglamento, cuando sea necesario para permitir el intercambio de información a que se refieren las letras a) y b).
2. Los datos personales en AGORA se podrán tratar únicamente respecto de las categorías de interesados siguientes:
a) personas físicas cuya información personal está contenida en documentos obtenidos en relación con la supervisión, la investigación, la ejecución y el seguimiento con arreglo al Reglamento (UE) 2022/2065;
b) los administradores de AGORA y usuarios de AGORA a los que se ha concedido acceso a AGORA.
3. Los datos personales en AGORA se podrán tratar únicamente respecto de las categorías de datos personales:
a) datos de identificación, datos de contacto, datos de participación en el caso, datos relacionados con el caso y cualquier otra información que se considere necesaria para la supervisión, investigación, ejecución y seguimiento con arreglo al Reglamento (UE) 2022/2065;
b) nombre, dirección, información de contacto, número de contacto e identificación de usuario de los administradores y usuarios de AGORA a que se refiere el apartado 2, letra b).
4. AGORA almacenará las categorías de datos personales enumeradas en el artículo 11, apartado 3, del presente Reglamento y los registros que indiquen información sobre el flujo y los movimientos de los datos intercambiados realizados para la supervisión, la investigación, la ejecución y el seguimiento con arreglo al Reglamento (UE) 2022/2065.
5. El almacenamiento de los datos a que se refiere el apartado 2 se llevará a cabo utilizando una infraestructura informática situada en el Espacio Económico Europeo.
6. Cada agente AGORA velará por que los interesados puedan ejercer sus derechos de conformidad con el Reglamento (UE) 2016/679 y el Reglamento (UE) 2018/1725, y será responsable del cumplimiento de estos reglamentos en lo que respecta a las actividades de tratamiento de datos personales realizadas en su nombre.
7. Las autoridades nacionales de control y el Supervisor Europeo de Protección de Datos, cada uno dentro del ámbito de sus competencias respectivas, garantizarán una supervisión coordinada de AGORA y su uso por parte de los administradores y usuarios de AGORA.
Corresponsabilidad en AGORA
1. Los coordinadores de servicios digitales serán corresponsables del tratamiento, de conformidad con el artículo 26, apartado 1, del Reglamento (UE) 2016/679, para la transmisión, el almacenamiento y cualquier otro tratamiento de datos personales en AGORA en relación con las actividades de la Junta llevadas a cabo en el contexto de la supervisión, la investigación, la ejecución y el seguimiento con arreglo al Reglamento (UE) 2022/2065.
2. Cuando se lleven a cabo investigaciones conjuntas con arreglo al artículo 60 del Reglamento (UE) 2022/2065 en el contexto de la supervisión, investigación, ejecución y seguimiento de conformidad con el Reglamento (UE) 2022/2065, los coordinadores de servicios digitales afectados serán corresponsables del tratamiento, en el sentido del artículo 26, apartado 1, del Reglamento (UE) 2016/679, para la transmisión, almacenamiento y otro tratamiento de datos personales en AGORA en el contexto de una investigación conjunta concreta.
3. A los efectos de los apartados 1 y 2, se atribuirán responsabilidades entre los corresponsables del tratamiento de conformidad con el anexo I.
4. La Comisión será un encargado del tratamiento en el sentido del artículo 3, punto 12), del Reglamento (UE) 2018/1725 para el tratamiento de datos personales llevado a cabo en nombre de los coordinadores de servicios digitales a efectos de las actividades de la Junta, y para las investigaciones conjuntas con arreglo al artículo 60 del Reglamento (UE) 2022/2065 llevadas a cabo en el contexto de la supervisión, investigación, ejecución y seguimiento con arreglo al Reglamento (UE) 2022/2065.
Seguridad
1. La Comisión incorporará las medidas necesarias más avanzadas para velar por la seguridad de los datos de carácter personal objeto de tratamiento en AGORA, incluidas las medidas apropiadas de control de acceso a los datos y un plan de seguridad que se mantendrá actualizado.
2. La Comisión adoptará las medidas necesarias y más avanzadas en caso de incidente de seguridad, adoptará medidas correctoras y velará por que sea posible verificar qué datos personales han sido tratados en AGORA, cuándo, por quién y con qué fin.
Traducción
1. La Comisión pondrá AGORA a disposición de todas las lenguas oficiales de la Unión y ofrecerá a los usuarios de AGORA herramientas de traducción automática para la traducción de los documentos y mensajes intercambiados en AGORA.
2. Un coordinador de servicios digitales o cualquier otra autoridad competente a la que se conceda acceso a AGORA podrá presentar, en relación con el desempeño de cualquiera de las funciones que le hayan sido conferidas de conformidad con el Reglamento (UE) 2022/2065, cualquier información, documento, constatación, declaración o copia certificada conforme que haya recibido en AGORA, sobre la misma base que la información similar obtenida en su propio país, con fines compatibles con aquellos para los que se recogieron originalmente los datos y de conformidad con la legislación nacional y de la UE pertinente.
Seguimiento y presentación de informes
1. La Comisión supervisará periódicamente el funcionamiento de AGORA y evaluará periódicamente su rendimiento.
2. A más tardar el 17 de febrero de 2027 y, posteriormente, cada tres años, la Comisión presentará al Parlamento Europeo, al Consejo y al Supervisor Europeo de Protección de Datos un informe sobre la aplicación del presente Reglamento. El informe incluirá información sobre el seguimiento y la evaluación llevados a cabo de conformidad con el apartado 1, y sobre el rendimiento de los agentes de AGORA en relación con AGORA con vistas a garantizar un intercambio eficiente de información y respuestas adecuadas. El informe también abordará aspectos relacionados con el cumplimiento en relación con la protección de los datos personales en AGORA, incluida la seguridad de los datos.
3. A efectos de la elaboración del informe a que se refiere el apartado 2, los coordinadores de servicios digitales, la Junta y otras autoridades competentes a las que se conceda acceso cuando sea necesario para llevar a cabo las funciones que les confiere el Reglamento (UE) 2022/2065 facilitarán anualmente a la Comisión cualquier información pertinente para la aplicación del presente Reglamento en forma de informes, incluida la aplicación de los requisitos de protección de datos y la seguridad de los datos establecidos en el mismo.
Gastos
1. Los gastos incurridos para la creación, el mantenimiento y el funcionamiento de AGORA estarán cubiertos por las tasas anuales de supervisión recaudadas por la Comisión de conformidad con el artículo 43, apartado 2, del Reglamento (UE) 2022/2065 y el Reglamento Delegado (UE) 2023/1127 de la Comisión (4).
2. Los gastos de las operaciones AGORA a nivel de los Estados miembros, incluidos los recursos humanos necesarios para las actividades de formación, promoción, asistencia técnica y servicio de asistencia, así como para la administración de AGORA a nivel nacional y cualquier adaptación necesaria en las redes y sistemas de información nacionales correrán a cargo del Estado miembro que los realice.
Aplicación efectiva
Los Estados miembros adoptarán todas las medidas necesarias para garantizar la aplicación efectiva del presente Reglamento por parte de sus agentes del AGORA.
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 15 de febrero de 2024.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 277 de 27.10.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.
(2) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39. ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(4) Reglamento Delegado (UE) 2023/1127 de la Comisión, de 2 de marzo de 2023, por el que se completa el Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo mediante la fijación en detalle de las metodologías y los procedimientos relativos a las tasas de supervisión impuestas por la Comisión a los prestadores de plataformas en línea de muy gran tamaño y motores de búsqueda en línea de muy gran tamaño (DO L 149 de 2.3.2023, p. 16, ELI: http://data.europa.eu/eli/reg_del/2023/1127/oj).
Ámbito de aplicación del mecanismo de corresponsabilidad
1) |
El siguiente mecanismo de corresponsabilidad del tratamiento se aplicará a los coordinadores de servicios digitales afectados cuando lleven a cabo investigaciones conjuntas con arreglo al artículo 60 del Reglamento (UE) 2022/2065. |
2) |
El siguiente mecanismo de corresponsabilidad del tratamiento se aplicará a los coordinadores de servicios digitales como miembros de la Junta para el tratamiento de las actividades de datos personales de la Junta con arreglo al Reglamento (UE) 2022/2065, realizadas en el contexto de la supervisión, la investigación, la ejecución y el seguimiento de los servicios incluidos en el ámbito de aplicación del Reglamento (UE) 2022/2065. |
Reparto de responsabilidades
1) |
Los corresponsables del tratamiento tratarán los datos personales a través de AGORA. |
2) |
Los coordinadores de servicios digitales seguirán siendo los únicos responsables del tratamiento de la recogida, el uso, la divulgación y cualquier otro tratamiento de datos personales realizado fuera de AGORA. Los coordinadores de servicios digitales también seguirán siendo los únicos responsables del tratamiento de las actividades de tratamiento de datos personales que lleven a cabo en AGORA para la supervisión, la investigación, la ejecución y el seguimiento de los servicios incluidos en el ámbito de aplicación del Reglamento (UE) 2022/2065. |
3) |
Cada corresponsable del tratamiento será responsable del tratamiento de los datos personales en AGORA de conformidad con los artículos 5, 24 y 26 del Reglamento (UE) 2016/679. |
4) |
Cada responsable del tratamiento establecerá un punto de contacto con un buzón funcional para la comunicación entre los propios corresponsables y entre estos y el encargado del tratamiento. |
5) |
Cada corresponsable del tratamiento, cuando así se le solicite, prestará asistencia rápida y eficiente a los demás corresponsables del tratamiento en la ejecución de este mecanismo, cumpliendo al mismo tiempo todos los requisitos aplicables del Reglamento (UE) 2016/679 y otras normas aplicables en materia de protección de datos, incluidas las obligaciones con respecto a su propia autoridad de control respectiva. |
6) |
Los corresponsables del tratamiento definirán las modalidades de trabajo mediante las cuales se llevará a cabo el tratamiento de datos personales a través de AGORA, y proporcionarán instrucciones acordadas a la Comisión como encargada del tratamiento. |
7) |
Las instrucciones dirigidas al encargado del tratamiento serán enviadas por cualquiera de los puntos de contacto de los corresponsables del tratamiento, de acuerdo con los demás corresponsables. El corresponsable del tratamiento que proporcione las instrucciones deberá facilitarlas por escrito al encargado del tratamiento e informar de ello a todos los demás corresponsables del tratamiento. Si el asunto en cuestión es tan urgente que no permite una reunión de los corresponsables del tratamiento, se puede proporcionar una instrucción de todos modos, pero los corresponsables del tratamiento pueden rescindirla. Esta instrucción deberá ser comunicada por escrito, y todos los demás corresponsables del tratamiento deberán ser informados de esto en el momento de su comunicación. |
8) |
Las modalidades de trabajo entre corresponsables del tratamiento no excluirán la competencia individual de cualquiera de los corresponsables para informar a su autoridad de control competente de conformidad con los artículos 24 y 33 del Reglamento (UE) 2016/679. Dicha notificación no requerirá el consentimiento de ninguno de los demás corresponsables del tratamiento. |
9) |
Las modalidades de trabajo entre los corresponsables del tratamiento no impedirán que ninguno de los corresponsables del tratamiento coopere con su respectiva autoridad de control competente establecida en virtud del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725. |
10) |
Solo podrán acceder a los datos personales intercambiados las personas autorizadas por cada corresponsable del tratamiento. |
11) |
Cada corresponsable del tratamiento llevará un registro de las actividades de tratamiento bajo su responsabilidad. La corresponsabilidad se indicará en dicho registro. |
Responsabilidades y funciones para la tramitación de las solicitudes de los interesados y la información a estos
1) |
Cada responsable del tratamiento facilitará información a las personas físicas cuyos datos estén siendo tratados para las investigaciones y actividades conjuntas de la Junta llevadas a cabo en el contexto de la supervisión, investigación, ejecución y seguimiento de los servicios incluidos en el ámbito de aplicación del Reglamento (UE) 2022/2065, de conformidad con el artículo 14 del Reglamento (UE) 2016/679, a menos que ello resulte imposible o implique un esfuerzo desproporcionado. |
2) |
Cada responsable del tratamiento actuará como punto de contacto para las personas físicas cuyos datos personales haya tramitado y se ocupará de las solicitudes presentadas por los interesados o sus representantes en el ejercicio de sus derechos de conformidad con el Reglamento (UE) 2016/679. Si un corresponsable del tratamiento recibe una solicitud de un interesado relativa a un tratamiento por otro corresponsable, informará al interesado de la identidad y datos de contacto del corresponsable del tratamiento pertinente. Si así lo solicita otro corresponsable del tratamiento, estos se ayudarán mutuamente en la tramitación de las solicitudes de los interesados y se responderán sin demora excesiva y, a más tardar, en el plazo de un mes desde la recepción de la solicitud de ayuda. |
3) |
Cada responsable del tratamiento pondrá a disposición de los interesados el contenido del presente anexo. |
Gestión de los incidentes de seguridad, especialmente las violaciones de la seguridad de los datos personales
1) |
Los corresponsables del tratamiento se ayudarán mutuamente en la detección y el examen de los incidentes de seguridad, especialmente las violaciones de la seguridad de los datos personales, relacionados con el tratamiento en AGORA. |
2) |
En particular, los corresponsables del tratamiento se notificarán:
a) cualquier riesgo potencial o real para la disponibilidad, confidencialidad o integridad de los datos personales objeto del tratamiento en AGORA; b) toda violación de la seguridad de los datos personales, sus consecuencias probables y la evaluación del riesgo con respecto a los derechos y libertades de las personas físicas, así como toda medida adoptada para resolver dicha violación y mitigar dicho riesgo; y c) todo incumplimiento de las salvaguardas técnicas u organizativas de la operación de tratamiento en AGORA. |
3) |
Los corresponsables del tratamiento comunicarán toda violación de la seguridad de los datos personales en relación con la operación de tratamiento en AGORA a la Comisión, a las autoridades de control competentes en materia de protección de datos y, en su caso, a los interesados, de conformidad con los artículos 33 y 34 del Reglamento (UE) 2016/679 o a raíz de una notificación de la Comisión. |
4) |
Cada responsable del tratamiento aplicará medidas técnicas y organizativas adecuadas para:
a) garantizar y proteger la disponibilidad, integridad y confidencialidad de los datos personales tratados conjuntamente; b) proteger los datos personales que obren en su poder contra todo tratamiento, pérdida, utilización, divulgación, adquisición o acceso no autorizados o ilícitos; y c) garantizar que el acceso a los datos personales no se comunique ni se conceda a ninguna persona distinta de los destinatarios o el encargado del tratamiento. |
Evaluación de impacto relativa a la protección de datos
Si un responsable del tratamiento, para cumplir las obligaciones que le imponen los artículos 35 y 36 del Reglamento (UE) 2016/679, necesita información de otro responsable o encargado del tratamiento, enviará una solicitud específica al buzón funcional al que se refiere la sección 1, subsección 2, punto 4. Este último responsable hará lo posible por proporcionar esa información.
1) |
La Comisión: a) establecerá y garantizará una infraestructura de comunicación segura y fiable, AGORA, en nombre de los coordinadores de servicios digitales, otras autoridades nacionales y la Junta, que apoyará el intercambio de información para investigaciones coordinadas, mecanismos de coherencia y actividades de la Junta, y b) tratará los datos personales basándose exclusivamente en las instrucciones documentadas dadas por los responsables y corresponsables del tratamiento, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros; en tal caso, la Comisión informará a los responsables y corresponsables del tratamiento de ese requisito jurídico antes del tratamiento, a menos que el citado Derecho prohíba enviar esa información por motivos importantes de interés público. |
2) |
Para cumplir sus obligaciones como encargados del tratamiento para los coordinadores de servicios digitales, otras autoridades nacionales y la Junta, la Comisión podrá contratar a terceros como subencargados del tratamiento. En tal caso, los responsables y corresponsables del tratamiento autorizarán a la Comisión a contratar subencargados o sustituirlos cuando sea necesario. La Comisión informará a los responsables y corresponsables del tratamiento de cualquier cambio previsto en relación con la citada contratación de subencargados o su sustitución por otros, dándoles así la oportunidad de oponerse de forma conjunta a tales cambios. Asimismo, deberá velar por que se apliquen a estos subencargados del tratamiento las mismas obligaciones de protección de datos que contiene el presente Reglamento. |
3) |
El tratamiento por parte de la Comisión conllevará:
|
4) |
La Comisión adoptará todas las medidas de seguridad organizativas, físicas y lógicas más avanzadas para garantizar el funcionamiento de AGORA. A tal fin, la Comisión deberá:
|
5) |
La Comisión adoptará todas las medidas de seguridad necesarias para evitar poner en peligro el correcto funcionamiento de AGORA. Estos aspectos incluirán:
|
6) |
La Comisión adoptará las medidas de seguridad física o lógica más avanzadas para las instalaciones que alojen AGORA y para los controles de los datos y el acceso de seguridad a las mismas. A tal fin, la Comisión deberá:
|
7) |
La Comisión:
|
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid