Agencia Estatal Boletín Oficial del Estado
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2023/988 del Parlamento Europeo y del Consejo, de 10 de mayo de 2023, relativo a la seguridad general de los productos, por el que se modifican el Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo y la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2001/95/CE del Parlamento Europeo y del Consejo y la Directiva 87/357/CEE del Consejo (1), y en particular su artículo 25, apartado 2, párrafo segundo,
Considerando lo siguiente:
|
(1) |
El Reglamento (UE) 2023/988 establece que el Sistema de Alerta Rápida «Safety Gate» es el sistema de alerta rápida para el intercambio de información sobre medidas correctivas relativas a productos peligrosos. Para garantizar un flujo de información eficaz y el correcto funcionamiento del Sistema de Alerta Rápida «Safety Gate», de conformidad con el artículo 25, apartado 2, párrafo primero, del Reglamento (UE) 2023/988, cada Estado miembro debe designar un único punto de contacto nacional para el Sistema de Alerta Rápida «Safety Gate» («punto de contacto Safety Gate»). De conformidad con el artículo 25, apartado 2, párrafo primero, del Reglamento (UE) 2023/988, el punto de contacto Safety Gate es responsable, como mínimo, de comprobar que las notificaciones están completas y de presentarlas para su validación por la Comisión, así como de la comunicación con la Comisión en relación con las tareas contempladas en el artículo 26, apartados 1 a 6, del citado Reglamento. La designación del punto de contacto nacional Safety Gate debe entenderse sin perjuicio de la competencia de los Estados miembros para organizar su sistema de vigilancia del mercado. |
|
(2) |
La Decisión de Ejecución (UE) 2019/417 de la Comisión (2) establece directrices para la gestión del Sistema de Intercambio Rápido de Información de la Unión Europea, «RAPEX», creado en virtud de la Directiva 2001/95/CE del Parlamento Europeo y del Consejo (3) derogada. Dicha Decisión de Ejecución establecía las tareas de los puntos de contacto nacionales RAPEX, entre las que se incluyen organizar y dirigir el trabajo de las autoridades nacionales pertinentes, velar por que todas las tareas se realicen correctamente y, en particular, por que toda la información necesaria se facilite a la Comisión sin demora, o coordinar todas las actividades e iniciativas nacionales llevadas a cabo en relación con el sistema. Dada la buena experiencia con el funcionamiento de los puntos de contacto nacionales RAPEX, las funciones y tareas de los puntos de contacto Safety Gate deben incluir, en la medida de lo posible, las funciones y tareas establecidas en la Decisión de Ejecución (UE) 2019/417. |
|
(3) |
Para garantizar un flujo de información eficaz entre el punto de contacto Safety Gate y las distintas autoridades que participan en el Sistema de Alerta Rápida «Safety Gate» en un Estado miembro determinado, el punto de contacto Safety Gate debe organizar y dirigir el trabajo de su red de autoridades nacionales que se ocupan del Sistema de Alerta Rápida «Safety Gate» («red nacional Safety Gate»). |
|
(4) |
En consonancia con sus tareas actuales en virtud de la Decisión de Ejecución (UE) 2019/417 y para garantizar el uso eficiente del Sistema de Alerta Rápida «Safety Gate» y la coherencia de la información presentada, los puntos de contacto Safety Gate deben formar y asistir a las autoridades nacionales en el uso del sistema. |
|
(5) |
Para evitar la duplicación de notificaciones en el Sistema de Alerta Rápida «Safety Gate», los puntos de contacto Safety Gate deben comprobar, con la participación de las autoridades nacionales si resulta necesario, antes de enviar una notificación, si ya notificado una medida respecto del producto en el Sistema de Alerta Rápida «Safety Gate». |
|
(6) |
La herramienta de rastreo web «eSurveillance — Seguridad de los productos», aplicación informática desarrollada y gestionada por la Comisión, tiene por objeto detectar los productos que han sido notificados en el Sistema de Alerta Rápida «Safety Gate» y que siguen vendiéndose o apareciendo en tiendas y mercados en línea. Para mejorar la eficacia de la vigilancia del mercado en línea, debe promoverse ampliamente su uso, cuando proceda junto con otras herramientas similares utilizadas por las autoridades. |
|
(7) |
La Comisión y las autoridades nacionales actúan como corresponsables del tratamiento de datos en el Sistema de Alerta Rápida «Safety Gate» con arreglo al artículo 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4) y al artículo 28 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (5). Procede, por tanto, especificar las funciones y responsabilidades de cada corresponsable. |
|
(8)
(9) |
El presente Reglamento debe empezar a aplicarse a partir de la misma fecha que el Reglamento (UE) 2023/988.
Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité del Reglamento relativo a la seguridad general de los productos, creado en virtud del artículo 46, apartado 1, del Reglamento (UE) 2023/988. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Las funciones y tareas de los puntos de contacto nacionales únicos con arreglo al artículo 25, apartado 2, del Reglamento (UE) 2023/988 («puntos de contacto Safety Gate») serán las siguientes:
|
a) |
comprobar y validar la exhaustividad de las notificaciones recibidas de otras autoridades nacionales de su Estado miembro antes de presentarlas para su validación por la Comisión a través del Sistema de Alerta Rápida «Safety Gate» de conformidad con el artículo 25, apartado 2, párrafo primero, del Reglamento (UE) 2023/988; |
|
b) |
comprobar, antes de presentar una notificación a través del Sistema de Alerta Rápida «Safety Gate», si el producto objeto de dicha notificación ya ha sido objeto de una notificación en dicho sistema y, en caso afirmativo y, cuando proceda, con la cooperación de la autoridad nacional competente, presentar en lugar de ello una notificación de seguimiento de conformidad con el artículo 26, apartado 7, del Reglamento (UE) 2023/988; |
|
c) |
garantizar que las notificaciones de otros Estados miembros validadas por la Comisión en el Sistema de Alerta Rápida «Safety Gate» se transmitan a las autoridades nacionales pertinentes de su Estado miembro, incluidas las autoridades responsables de los controles en las fronteras exteriores, para lograr un seguimiento adecuado a nivel nacional; |
|
d) |
promover el uso de la herramienta de rastreo web «eSurveillance – Seguridad de los productos» y, si procede, de otras herramientas similares en su Estado miembro y, en particular, el seguimiento de los resultados pertinentes por parte de las autoridades nacionales; |
|
e) |
formar y asistir a todas las autoridades nacionales en el uso del Sistema de Alerta Rápida «Safety Gate»; |
|
f) |
facilitar que, en su Estado miembro, las tareas relacionadas con el Sistema de Alerta Rápida «Safety Gate» derivadas del Reglamento (UE) 2023/988 y del Reglamento Delegado de la Comisión, de 27 de agosto de 2024, por el que se completa el Reglamento (UE) 2023/988 del Parlamento Europeo y del Consejo, con respecto a las normas sobre el acceso al sistema de alerta rápida «Safety Gate» y su funcionamiento, la información que debe introducirse en dicho sistema, los requisitos de notificación y los criterios de evaluación del nivel de riesgo (6) se realicen y, en particular, que se proporcione a la Comisión toda la información requerida de conformidad con el Reglamento (UE) 2023/988; |
|
g) |
cooperar e intercambiar información pertinente en materia de seguridad de los productos con otros puntos de contacto Safety Gate, además de participar en los debates entre los puntos de contacto Safety Gate coordinados por la Comisión; |
|
h) |
intercambiar información pertinente en materia de seguridad de los productos a nivel nacional con la autoridad perteneciente a la Red de Seguridad de los Consumidores a que se refiere el artículo 30 del Reglamento (UE) 2023/988, cuando sea una autoridad distinta del punto de contacto Safety Gate; |
|
i) |
intercambiar información pertinente en materia de seguridad de los productos a nivel nacional con la oficina de enlace única designada con arreglo al artículo 10 del Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo (7) y al artículo 23, apartado 1, del Reglamento (UE) 2023/988, cuando sea una autoridad distinta del punto de contacto Safety Gate; |
|
j) |
informar a la Comisión sin demora de cualquier problema técnico en el funcionamiento del Sistema de Alerta Rápida «Safety Gate»; |
|
k) |
gestionar las solicitudes de acceso a aplicaciones vinculadas al Sistema de Alerta Rápida «Safety Gate» de usuarios de su red nacional Safety Gate, e informar a la Comisión de cualquier cambio de personal que afecte a los derechos de acceso; |
|
l) |
responder a las solicitudes relacionadas con el funcionamiento del Sistema de Alerta Rápida «Safety Gate» en su Estado miembro de las partes interesadas, incluidos los operadores económicos y los prestadores de mercados en línea; |
|
m) |
cuando resulte apropiado, ponerse en contacto con la autoridad del Estado miembro que envió la notificación del Sistema de Alerta Rápida «Safety Gate» pertinente acerca de información complementaria que podría valorarse añadir a dicha notificación, a petición de los operadores económicos o los prestadores de mercados en línea, en particular cuando dichas empresas puedan verse afectadas negativamente por el carácter incompleto de una notificación en el Sistema de Alerta Rápida «Safety Gate». |
La Comisión y las autoridades nacionales, en su calidad de corresponsables del tratamiento de datos en el Sistema de Alerta Rápida «Safety Gate» con arreglo al artículo 26 del Reglamento (UE) 2016/679 y al artículo 28 del Reglamento (UE) 2018/1725, desempeñarán las funciones y responsabilidades que se especifican en el anexo del presente Reglamento.
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir del 13 de diciembre de 2024.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 9 de octubre de 2024.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 135 de 23.5.2023, p. 1, ELI: http://data.europa.eu/eli/reg/2023/988/oj.
(2) Decisión de Ejecución (UE) 2019/417 de la Comisión, de 8 de noviembre de 2018, por la que se establecen directrices para la gestión del Sistema de Intercambio Rápido de Información de la Unión Europea, «RAPEX», creado en virtud del artículo 12 de la Directiva 2001/95/CE, relativa a la seguridad general de los productos, y su sistema de notificación (DO L 73 de 15.3.2019, p. 121, ELI: http://data.europa.eu/eli/dec/2019/417/oj).
(3) Directiva 2001/95/CE del Parlamento Europeo y del Consejo, de 3 de diciembre de 2001, relativa a la seguridad general de los productos (DO L 11 de 15.1.2002, p. 4, ELI: http://data.europa.eu/eli/dir/2001/95/oj).
(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(5) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39. ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(6) Pendiente de publicación en el Diario Oficial.
(7) Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) n.o 765/2008 y (UE) n.o 305/2011 (DO L 169 de 25.6.2019, p. 1, ELI: http://data.europa.eu/eli/reg/2019/1020/oj).
1. OBJETO Y DESCRIPCIÓN DEL TRATAMIENTO
El Sistema de Alerta Rápida «Safety Gate» es un sistema de notificación gestionado por la Comisión que sirve para el intercambio rápido de información entre las autoridades nacionales de los Estados miembros, los tres Estados del Espacio Económico Europeo pertenecientes a la Asociación Europea de Libre Comercio («EEE/AELC»), a saber, Islandia, Liechtenstein y Noruega, y la Comisión sobre las medidas tomadas en relación con los productos peligrosos detectados en el mercado de la Unión o del EEE/AELC.
El objetivo del Sistema de Alerta Rápida «Safety Gate» es permitir el intercambio rápido de información sobre las medidas correctivas adoptadas en toda la Unión en relación con los productos que entrañan un riesgo.
El intercambio de información se refiere a las medidas correctivas tomadas en relación con productos peligrosos de consumo y profesionales que entran en el ámbito de aplicación del Reglamento (UE) 2023/988 o del (UE) 2019/1020.
El Sistema de Alerta Rápida «Safety Gate» abarca tanto las medidas ordenadas por las autoridades nacionales como las tomadas voluntariamente por los operadores económicos.
2. OBJETO DEL RÉGIMEN DE CORRESPONSABILIDAD
La Comisión y las autoridades nacionales actuarán como corresponsables («corresponsables del tratamiento») a efectos del tratamiento de los datos en el Sistema de Alerta Rápida «Safety Gate». Por «autoridades nacionales» se entienden todas las autoridades competentes de los Estados miembros y de los países del EEE/AELC en el ámbito de la seguridad de los productos que participan en la red de puntos de contacto Safety Gate de la UE, en particular las de vigilancia del mercado responsables del seguimiento del cumplimiento de las exigencias de seguridad por parte de los productos y las encargadas del control de las fronteras exteriores.
A efectos del artículo 26 del Reglamento (UE) 2016/679 y del artículo 28 del Reglamento (UE) 2018/1725, las siguientes actividades de tratamiento serán responsabilidad de la Comisión, en su calidad de corresponsable del tratamiento de datos personales:
|
1) |
El tratamiento por parte de la Comisión de la información relativa a las medidas tomadas respecto de los productos que presenten riesgos graves, importados a la Unión o el Espacio Económico Europeo o exportados desde ellos, con el fin de transmitirla a los puntos de contacto nacionales únicos del Sistema de Alerta Rápida «Safety Gate» («puntos de contacto Safety Gate»). |
|
2) |
El tratamiento por parte de la Comisión de la información recibida de terceros países, organizaciones internacionales, empresas u otros sistemas de alerta rápida sobre productos procedentes de la UE y de terceros países que presenten un riesgo para la salud y la seguridad de los consumidores, con el fin de transmitirla a las autoridades nacionales. |
Cuando lleve a cabo estas actividades, la Comisión garantizará el cumplimiento de las obligaciones y condiciones aplicables del Reglamento (UE) 2018/1725.
Las siguientes actividades de tratamiento serán responsabilidad de las autoridades nacionales, en su calidad de corresponsables del tratamiento de datos personales:
|
1) |
El tratamiento por parte de las autoridades nacionales de la información con arreglo al artículo 26 del Reglamento (UE) 2023/988, relativo a la seguridad general de los productos, y al artículo 20 del Reglamento (UE) 2019/1020, con el fin de notificarla a la Comisión y a los demás Estados miembros y países del EEE/AELC. |
|
2) |
El tratamiento por parte de las autoridades nacionales de la información que obtengan en sus actividades de seguimiento en relación con las notificaciones del Sistema de Alerta Rápida «Safety Gate», con el fin de notificarla a la Comisión y a los demás Estados miembros y países del EEE/AELC. |
Cuando lleven a cabo estas actividades, las autoridades nacionales garantizarán el cumplimiento de las obligaciones y condiciones aplicables del Reglamento (UE) 2016/679.
3. RESPONSABILIDADES, FUNCIONES Y RELACIÓN DE LOS CORRESPONSABLES PARA CON LOS INTERESADOS
3.1. Categorías de interesados y de datos personales
Los corresponsables del tratamiento llevarán a cabo el tratamiento conjunto de las siguientes categorías de datos personales:
|
a) |
Datos de contacto de los usuarios del Sistema de Alerta Rápida «Safety Gate».
|
|
b) |
Datos de contacto de los autores y validadores de las notificaciones y reacciones enviadas a través del Sistema de Alerta Rápida «Safety Gate».
|
|
c) |
Además, podrán introducirse en el Sistema de Alerta Rápida «Safety Gate» de forma accesoria dos tipos de datos personales:
|
3.2. Comunicación de información a los interesados
La Comisión proporcionará la información a que se refieren los artículos 15 y 16 y realizará las comunicaciones contempladas en los artículos 17 a 24 y 35 del Reglamento (UE) 2018/1725 de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo. La Comisión también tomará medidas adecuadas para ayudar a las autoridades nacionales a proporcionar la información a que se refieren los artículos 13 y 14 y a realizar las comunicaciones contempladas en los artículos 19 a 26 y 37 del Reglamento (UE) 2016/679 de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo, en relación con los datos siguientes:
|
— |
datos relativos a los usuarios del Sistema de Alerta Rápida «Safety Gate»; |
|
— |
datos relativos a los autores y validadores de las notificaciones y reacciones. |
Se informará a los usuarios del Sistema de Alerta Rápida «Safety Gate» acerca de sus derechos por medio de la declaración de privacidad disponible en el Sistema de Alerta Rápida «Safety Gate».
Las autoridades nacionales tomarán medidas adecuadas para proporcionar la información a que se refieren los artículos 13 y 14 y para realizar las comunicaciones contempladas en los artículos 19 a 26 y 37 del Reglamento (UE) 2016/679 de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo, en relación con los datos siguientes:
|
— |
información sobre personas jurídicas por la que se pueda identificar a una persona física, |
|
— |
nombres y otros datos de las personas que hayan realizado los ensayos sobre productos peligrosos o que hayan autentificado los informes de ensayo. |
La información se proporcionará por escrito, inclusive por vía electrónica.
Las autoridades nacionales utilizarán el modelo de declaración de privacidad proporcionado por la Comisión al cumplir sus obligaciones relativas a los interesados.
3.3. Tramitación de las solicitudes de los interesados
Los interesados podrán ejercer los derechos que les otorgan el Reglamento (UE) 2018/1725 y el Reglamento (UE) 2016/679, respectivamente, contra la Comisión o contra las autoridades nacionales en su calidad de corresponsables del tratamiento.
Los corresponsables del tratamiento tramitarán las solicitudes de los interesados conforme al procedimiento establecido a tal efecto por los corresponsables del tratamiento. El procedimiento pormenorizado para el ejercicio de los derechos de los interesados se explica en la declaración de confidencialidad.
Los corresponsables del tratamiento cooperarán y, cuando así se les solicite, se prestarán asistencia rápida y eficiente en la tramitación de las solicitudes de los interesados.
Si un corresponsable del tratamiento recibiera una solicitud de un interesado que no sea de su competencia, remitirá la solicitud sin demora, y a más tardar en un plazo de siete días naturales a contar desde su recepción, al corresponsable al que realmente competa. El corresponsable del tratamiento competente enviará un acuse de recibo al interesado en el plazo de tres días naturales a partir de la recepción de la solicitud remitida, informando al mismo tiempo de ello al corresponsable del tratamiento que recibió la solicitud en primera instancia.
Al responder a la solicitud de acceso a datos personales presentada por un interesado, ningún corresponsable del tratamiento divulgará ni pondrá a disposición de ningún otro modo ningún dato personal tratado conjuntamente sin consultar previamente al otro corresponsable del tratamiento.
4. OTRAS RESPONSABILIDADES Y FUNCIONES DE LOS CORRESPONSABLES DEL TRATAMIENTO
4.1. Seguridad del tratamiento
Cada corresponsable del tratamiento aplicará medidas técnicas y organizativas adecuadas para:
|
a) |
garantizar y proteger la seguridad, la integridad y la confidencialidad de los datos personales tratados conjuntamente, de conformidad con la Decisión (UE, Euratom) 2017/46 de la Comisión (2) y la norma pertinente del Estado miembro de la UE o del país del EEE/AELC, respectivamente; |
|
b) |
proteger los datos personales que obren en su poder contra todo tratamiento, pérdida, utilización, divulgación, adquisición o acceso no autorizados o ilícitos; |
|
c) |
no divulgar los datos personales ni permitir el acceso a estos a ninguna persona distinta de los destinatarios o encargados del tratamiento acordados de antemano. |
Cada corresponsable del tratamiento aplicará medidas técnicas y organizativas adecuadas para garantizar la seguridad del tratamiento con arreglo al artículo 33 del Reglamento (UE) 2018/1725 y al artículo 32 del Reglamento (UE) 2016/679, respectivamente.
Los corresponsables del tratamiento se prestarán asistencia rápida y eficiente en caso de incidente de seguridad, especialmente en caso de violación de la seguridad de los datos personales.
4.2. Gestión de los incidentes de seguridad, especialmente las violaciones de la seguridad de los datos personales
Los corresponsables del tratamiento gestionarán los incidentes de seguridad, especialmente las violaciones de la seguridad de los datos personales, de acuerdo con sus procedimientos internos y con la legislación aplicable.
En particular, cuando se les solicite, los corresponsables del tratamiento se prestarán asistencia de forma rápida y eficiente para facilitar la detección y la gestión de los incidentes de seguridad, especialmente las violaciones de la seguridad de los datos personales, en relación con la operación de tratamiento conjunto.
Los corresponsables del tratamiento se notificarán lo siguiente:
|
a) |
cualquier riesgo potencial o real para la disponibilidad, confidencialidad o integridad de los datos personales objeto del tratamiento conjunto; |
|
b) |
cualquier incidente de seguridad relacionado con la operación de tratamiento conjunto; |
|
c) |
cualquier violación de la seguridad de los datos personales (es decir, cualquier violación de la seguridad que tenga como consecuencia la destrucción, pérdida, alteración o divulgación no autorizada accidental o ilícita de los datos personales objeto del tratamiento conjunto o el acceso accidental o ilícito a dichos datos), las consecuencias probables de la violación de la seguridad de los datos personales y la evaluación del riesgo para los derechos y las libertades de las personas físicas, así como todas las medidas tomadas para subsanar dicha violación y mitigar los riesgos para los derechos y las libertades de las personas físicas; |
|
d) |
cualquier violación de las salvaguardias técnicas u organizativas de la operación de tratamiento conjunto. |
Cada corresponsable del tratamiento se encargará de tratar todos los incidentes de seguridad, especialmente de las violaciones de la seguridad de los datos personales, que sucedan como consecuencia de un incumplimiento de las obligaciones que le atribuyen el presente Reglamento de Ejecución, el Reglamento (UE) 2018/1725 y el Reglamento (UE) 2016/679, respectivamente.
Los corresponsables del tratamiento documentarán los incidentes de seguridad (incluidas las violaciones de la seguridad de los datos personales) y se los notificarán mutuamente sin dilación indebida y, a más tardar, en las cuarenta y ocho horas siguientes al momento en que se tenga conocimiento del incidente de seguridad (incluido si se trata de una violación de la seguridad de los datos personales).
El corresponsable del tratamiento que constate una violación de la seguridad de los datos personales documentará dicha violación y la notificará al Supervisor Europeo de Protección de Datos o a la autoridad de control nacional competente. Notificará la violación de la seguridad de los datos personales sin dilación indebida y, de ser posible, en las setenta y dos horas siguientes al momento en que haya tenido conocimiento de ella, a menos que sea improbable que dicha violación de la seguridad entrañe un riesgo para los derechos y las libertades de personas físicas. El corresponsable del tratamiento informará al otro corresponsable de dicha notificación.
El corresponsable del tratamiento que constate la violación de la seguridad de los datos personales la comunicará a los interesados afectados cuando sea probable que la citada violación de la seguridad de los datos entrañe un riesgo elevado para los derechos y las libertades de personas físicas. El corresponsable del tratamiento informará al otro corresponsable de dicha comunicación.
4.3. Localización de datos personales
Los datos personales recogidos a efectos del proceso de notificación a través del Sistema de Alerta Rápida «Safety Gate» se almacenarán y recogerán en el Sistema de Alerta Rápida «Safety Gate» a fin de que solo puedan acceder a la aplicación personas claramente identificadas y de que, por tanto, los datos almacenados en la aplicación estén bien protegidos.
Los datos personales recogidos a efectos de la operación de tratamiento solo se tratarán en el territorio de la UE y del EEE y no abandonarán dicho territorio, a menos que se cumpla lo dispuesto en los artículos 45, 46 o 49 del Reglamento (UE) 2016/679 o en los artículos 47, 48 o 50 del Reglamento (UE) 2018/1725.
De conformidad con el artículo 40 del Reglamento (UE) 2023/988, la Comisión podrá proporcionar a terceros países u organizaciones internacionales información seleccionada del Sistema de Alerta Rápida «Safety Gate» y recibir información pertinente sobre la seguridad de los productos y sobre las medidas preventivas, restrictivas y correctivas adoptadas por dichos terceros países u organizaciones internacionales. Todo intercambio de información que se realice en virtud del artículo 40 del Reglamento (UE) 2023/988, en la medida en que implique datos personales, se llevará a cabo de conformidad con la normativa de la Unión en materia de protección de datos.
4.4. Destinatarios de los datos personales
Solo se concederá acceso a datos personales al personal y a los contratistas de la Comisión y de las autoridades nacionales autorizados a efectos de la administración y el funcionamiento del Sistema de Alerta Rápida «Safety Gate». Dicho acceso estará sujeto a los requisitos de identificación y contraseña siguientes:
|
— |
El Sistema de Alerta Rápida «Safety Gate» solo estará abierto a la Comisión y a los usuarios designados específicamente por las autoridades de los Estados miembros de la UE y de los países del EEE/AELC, así como por las autoridades del Reino Unido con respecto a los usuarios de Irlanda del Norte. |
|
— |
El acceso a los datos personales recogidos en el Sistema de Alerta Rápida «Safety Gate» solo se concederá a los usuarios designados y autorizados de la aplicación que tengan un identificador de usuario y una contraseña. El acceso a la aplicación y la concesión de una contraseña solo serán posibles si así lo solicita la autoridad nacional competente con la supervisión general del equipo de la Comisión responsable del Sistema de Alerta Rápida «Safety Gate». |
|
— |
Se concederá acceso a los datos personales recogidos al personal de la Comisión encargado de la operación de tratamiento y a las personas autorizadas con arreglo al principio de la «necesidad de conocer». Dicho personal estará obligado a respetar acuerdos de confidencialidad legales y, en caso necesario, otros acuerdos adicionales. |
Las personas con acceso a los datos personales recogidos serán las siguientes:
|
a) |
el personal y los contratistas de la Comisión; |
|
b) |
los puntos de contacto e inspectores especificados de las autoridades de vigilancia del mercado de los Estados miembros de la UE y de los países del EEE/AELC, así como de las autoridades del Reino Unido con respecto a los usuarios de Irlanda del Norte; |
|
c) |
los inspectores especificados de las autoridades encargadas del control de las fronteras externas de los Estados miembros de la UE y de los países del EEE/AELC. |
Las personas con acceso a todos los datos personales recogidos y con la facultad de modificarlos previa solicitud serán las siguientes:
|
a) |
los miembros del equipo de Safety Gate de la Comisión; |
|
b) |
los miembros del servicio de asistencia de Safety Gate de la Comisión. |
La lista de todos los puntos de contacto Safety Gate, con sus datos de contacto (nombre y apellidos, nombre de la autoridad, dirección de la autoridad, número de teléfono, número de fax, dirección de correo electrónico) se publicará en el portal Safety Gate (3). La gestión de los usuarios a nivel nacional será responsabilidad de los puntos de contacto nacionales Safety Gate a través del Sistema de Alerta Rápida «Safety Gate».
Todos los usuarios podrán consultar las notificaciones en estado «EC validated» (validadas por la CE). Solo los usuarios nacionales del Sistema de Alerta Rápida «Safety Gate» tendrán acceso al borrador de sus notificaciones (antes de su envío a la CE). El personal de la Comisión y las personas autorizadas tendrán acceso a las notificaciones en estado «EC submitted status» (enviadas a la CE).
Cada corresponsable del tratamiento notificará a todos los demás corresponsables la transferencia de datos personales a los destinatarios de terceros países u organizaciones internacionales.
5. RESPONSABILIDADES ESPECÍFICAS DE LOS CORRESPONSABLES DEL TRATAMIENTO
La Comisión se encargará y será responsable de:
|
a) |
decidir los medios, los requisitos y los objetivos del tratamiento; |
|
b) |
registrar la operación de tratamiento; |
|
c) |
facilitar el ejercicio de los derechos de los interesados; |
|
d) |
tramitar las solicitudes de los interesados; |
|
e) |
decidir limitar el ejercicio de derechos por parte de los interesados o suspender dichos derechos, cuando sea necesario y proporcionado; |
|
f) |
velar por la protección de la intimidad desde el diseño y la protección de la intimidad por defecto; |
|
g) |
determinar y evaluar la licitud, la necesidad y la proporcionalidad de las transmisiones y transferencias de datos personales; |
|
h) |
llevar a cabo consultas previas con el Supervisor Europeo de Protección de Datos, cuando sea necesario; |
|
i) |
garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal; |
|
j) |
cooperar con el Supervisor Europeo de Protección de Datos, previa solicitud de este, en el desempeño de sus tareas. |
Las autoridades nacionales se encargarán y serán responsables de:
|
a) |
registrar la operación de tratamiento; |
|
b) |
velar por que los datos personales sometidos al tratamiento sean adecuados, exactos, pertinentes y limitados a lo necesario para los objetivos para los que sean tratados; |
|
c) |
informar y comunicar de manera transparente a los interesados sus derechos; |
|
d) |
facilitar el ejercicio de los derechos de los interesados; |
|
e) |
recurrir únicamente a encargados del tratamiento que ofrezcan garantías suficientes de que podrán aplicar medidas técnicas y organizativas adecuadas de manera que el tratamiento cumpla los requisitos del Reglamento (UE) 2016/679 y garantice la protección de los derechos del interesado; |
|
f) |
regir el tratamiento por parte del encargado de hacerlo mediante un contrato u otro acto jurídico del Derecho de la Unión o de un Estado miembro, de conformidad con el artículo 28 del Reglamento (UE) 2016/679; |
|
g) |
llevar a cabo una consulta previa con la autoridad de control nacional, cuando sea necesario; |
|
h) |
garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal; |
|
i) |
cooperar con la autoridad de control nacional, previa solicitud de esta, en el desempeño de sus tareas. |
6. DURACIÓN DEL TRATAMIENTO
Los corresponsables del tratamiento no conservarán ni tratarán datos personales más tiempo del necesario para cumplir los objetivos y obligaciones fijados en el presente Reglamento, es decir, el tiempo necesario para cumplir el objetivo de la recogida o del tratamiento ulterior. En particular:
|
a) |
Los datos de contacto de los usuarios del Sistema de Alerta Rápida «Safety Gate» se conservarán en el sistema mientras sean usuarios. Los datos de contacto se suprimirán del Sistema de Alerta Rápida «Safety Gate» de inmediato tras recibirse la notificación de que la persona ha dejado de ser usuaria del sistema. |
|
b) |
Los datos de contacto de los inspectores de las autoridades de vigilancia del mercado de los Estados miembros y los países del EEE/AELC, así como de los inspectores de las autoridades encargadas del control de las fronteras exteriores, comunicados en las notificaciones y reacciones se conservarán en el sistema durante un período de cinco años a contar desde la validación de la notificación o reacción. |
|
c) |
Los datos personales de otras personas físicas que puedan figurar en el sistema se conservarán en una forma que permita su identificación durante un período de treinta años a contar desde el momento de la introducción de la información en el Sistema de Alerta Rápida «Safety Gate», lo que corresponde al ciclo de vida máximo estimado de categorías de productos tales como los aparatos eléctricos o los vehículos de motor. |
Las solicitudes legítimas de los interesados para que se bloqueen, modifiquen o supriman sus datos serán atendidas por la Comisión en un plazo de un mes a contar desde la recepción de la solicitud.
7. RESPONSABILIDAD POR INCUMPLIMIENTO
La Comisión será responsable en caso de incumplimiento en consonancia con el capítulo VIII del Reglamento (UE) 2018/1725.
Las autoridades de los Estados miembros de la UE serán responsables en caso de incumplimiento en consonancia con el capítulo VIII del Reglamento (UE) 2016/679.
8. COOPERACIÓN ENTRE LOS CORRESPONSABLES DEL TRATAMIENTO
Previa petición, cada corresponsable del tratamiento prestará asistencia a los demás corresponsables de forma rápida y eficiente en la ejecución del presente Reglamento, cumpliendo al mismo tiempo todos los requisitos aplicables establecidos en los Reglamentos (UE) 2018/1725 y (UE) 2016/679, respectivamente, así como otras normas de protección de datos aplicables.
9. SOLUCIÓN DE CONTROVERSIAS
Los corresponsables del tratamiento procurarán resolver amistosamente cualquier controversia que surja al interpretar o aplicar el presente Reglamento o en relación con este.
Si en cualquier momento surge una cuestión, controversia o diferencia entre los corresponsables del tratamiento en relación con el presente Reglamento, estos procurarán resolverla mediante un proceso de consulta.
Es preferible que todas las controversias las resuelvan en el nivel operativo a medida que se produzcan los puntos de contacto a que se refiere el punto 10 del presente anexo y que figuran en el portal Safety Gate.
La finalidad de la consulta será revisar y acordar, en la medida en que sea viable, medidas para resolver el problema planteado. Los corresponsables del tratamiento negociarán de buena fe a tal fin. Los corresponsables responderán a las solicitudes de solución amistosa en un plazo de siete días hábiles a contar desde la recepción de la solicitud. El plazo para acordar una solución amistosa será de treinta días hábiles a contar desde la fecha de recepción de la solicitud.
Si la controversia no puede resolverse de forma amistosa, cada corresponsable del tratamiento podrá someterla a la mediación o recurrir a la vía judicial de la manera siguiente:
|
a) |
si se acude a la mediación, los corresponsables del tratamiento nombrarán conjuntamente a un mediador aceptable para cada uno de ellos, el cual deberá facilitar la resolución de la controversia en un plazo de dos meses a contar desde la fecha en que se le haya remitido la controversia; |
|
b) |
si se recurre a la vía judicial, el asunto se remitirá al Tribunal de Justicia de la Unión Europea de conformidad con el artículo 272 del Tratado de Funcionamiento de la Unión Europea. |
10. PUNTOS DE CONTACTO PARA LA COOPERACIÓN ENTRE LOS CORRESPONSABLES DEL TRATAMIENTO
Cada corresponsable del tratamiento designará un solo punto de contacto, con el que se pondrán en contacto los demás corresponsables en relación con las consultas, las reclamaciones y la comunicación de información objeto del presente Reglamento.
La lista pormenorizada de todos los puntos de contacto designados por la Comisión y las autoridades nacionales, con sus datos de contacto (nombre y apellidos, nombre de la autoridad, dirección de la autoridad, teléfono, número de fax, correo electrónico), se publicará en el portal Safety Gate.
(1) Este campo puede referirse a la persona física que represente a los fabricantes o a los representantes autorizados. No obstante, se pide a los Estados miembros que eviten introducir datos personales e introduzcan preferentemente datos de contacto no personales, como direcciones de correo electrónico genéricas.
(2) Decisión (UE, Euratom) 2017/46 de la Comisión, de 10 de enero de 2017, sobre la seguridad de los sistemas de información y comunicación de la Comisión Europea (DO L 6 de 11.1.2017, p. 40, ELI: http://data.europa.eu/eli/dec/2017/46/oj).
(3) https://ec.europa.eu/safety-gate/#/screen/pages/contacts.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
