LA ALTA REPRESENTANTE,
Vista la Decisión del Consejo, de 26 de julio de 2010, por la que se establece la organización y el funcionamiento del Servicio Europeo de Acción Exterior (2010/427/UE), («la Decisión del Consejo sobre el SEAE») y, en particular, su artículo 11, apartado 3.
HA ADOPTADO LA PRESENTE DECISIÓN:
DISPOSICIONES GENERALES
Objeto y ámbito de aplicación
La presente Decisión establece normas de desarrollo del Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo («el Reglamento») en lo que se refiere al Servicio Europeo de Acción Exterior («SEAE»), de conformidad con su artículo 24, apartado 8.
Definiciones
A efectos de la presente Decisión, y sin perjuicio de las definiciones establecidas en el Reglamento, se entenderá por:
a) «responsable del tratamiento»: el SEAE, sus directores gerentes, directores o jefes de un servicio de una dimensión o función equivalente, así como los Jefes de las delegaciones de la Unión, que, por sí solos o conjuntamente con otros, determinen los fines y los medios del tratamiento de datos personales.
b) «coordinador de la protección de datos»: un miembro del personal del SEAE, de la categoría AD, designado para coordinar y ayudar en materia de protección de datos en los niveles de las direcciones o servicios de una dimensión o función equivalente, así como en las delegaciones de la Unión en caso de que se solicite.
c) «encargado del tratamiento»: un miembro del personal del SEAE o de entidades contratadas al que el responsable del tratamiento haya encomendado las tareas de tratamiento de datos.
d) «personal del SEAE»: de conformidad con el artículo 6 de la Decisión del Consejo del SEAE, los funcionarios y otros agentes de la Unión Europea que trabajen para el SEAE, incluidos los miembros del personal de los servicios diplomáticos de los Estados miembros nombrados en calidad de agentes temporales, y los expertos nacionales especializados en situación de comisión de servicio.
RESPONSABLE DE LA PROTECCIÓN DE DATOS
Nombramiento y estatus del responsable de la protección de datos (RPD)
1. El Director General Administrativo seleccionará y nombrará al RPD, de conformidad con el artículo 24, apartado 2, del Reglamento, y comunicará su nombre al Supervisor Europeo de Protección de Datos («SEPD»). El RPD estará adscrito directamente al Director General Administrativo.
2. El mandato de los RPD será de cinco años, renovable por una sola vez.
3. Con respecto al ejercicio de sus obligaciones, el RPD actuará de forma independiente y en cooperación con el SEPD. En particular, el RPD no aceptará instrucciones de la autoridad facultada para proceder a los nombramientos del SEAE, ni de ninguna otra persona en relación con la aplicación interna de las disposiciones del Reglamento y de la presente Decisión o con su cooperación con el SEPD. El RPD asistirá periódicamente a sesiones de formación en materia de protección de datos y el Director General Administrativo adoptará las medidas necesarias a tal efecto.
4. El Director General Administrativo evaluará anualmente el desempeño de las funciones y obligaciones del RPD basándose, en particular, en el informe anual del RPD, previa consulta con el Supervisor Europeo de Protección de datos, según proceda. El RPD podrá ser destituido de su cargo únicamente con el consentimiento del Supervisor Europeo de Protección de datos, en caso de que deje de cumplir las condiciones necesarias para el ejercicio de sus funciones.
5. Sin perjuicio del procedimiento previsto para su nombramiento, se informará al RPD de todos los contactos con terceros en relación con la aplicación del Reglamento y de la presente Decisión, en particular por lo que respecta a la interacción con el SEPD.
6. Sin perjuicio de las disposiciones pertinentes del Reglamento, el RPD y su personal se regirán por las normas y reglamentaciones aplicables a los funcionarios y demás agentes de la Unión Europea.
Obligaciones
El RPD:
a) velará por que los responsables del tratamiento y los interesados sean informados de sus derechos y obligaciones de conformidad con el Reglamento y con la presente Decisión y por que el tratamiento no tenga efectos adversos sobre los derechos y las libertades de los interesados. En concreto, en el ejercicio de sus funciones, elaborará formularios de información y notificación, consultará a las partes interesadas y sensibilizará al público en general en cuanto a los temas de protección de datos;
b) atenderá las solicitudes del SEPD y, en el marco de sus competencias, cooperará con él cuando éste se lo pida o por iniciativa propia;
c) garantizará de forma autónoma la aplicación interna de las disposiciones del Reglamento y de la presente Decisión en el SEAE;
d) llevará un registro de las operaciones de tratamiento efectuadas por los responsables del tratamiento y autorizará a acceder al mismo a cualquier persona bien directamente, bien indirectamente, a través del SEPD, con arreglo a los artículos 14 y 15; dicho registro podrá llevarse en formato electrónico;
e) notificará al Supervisor Europeo de Protección de Datos las operaciones de tratamiento que pudieran presentar riesgos específicos con arreglo al artículo 27, apartado 2, del Reglamento.
Funciones
1. Además de las funciones que debe desempeñar establecidas en el artículo 4, el RPD:
a) actuará como asesor de la autoridad facultada para proceder a los nombramientos (AFPN) en el seno del SEAE y de los responsables del tratamiento en lo relativo a la aplicación del Reglamento y de la presente Decisión. El RPD podrá ser consultado por la AFPN, los responsables y los encargados del tratamiento, el Comité de personal y por cualquier miembro del personal del SEAE, sin seguir los conductos oficiales, con relación a cualquier asunto que se refiera a la interpretación o aplicación del Reglamento y de la presente Decisión;
b) por iniciativa propia o a instancias de la AFPN, los responsables y los encargados del tratamiento, el Comité de personal o cualquier miembro del personal del SEAE, investigará los asuntos e incidencias directamente relacionados con sus funciones de los que tenga conocimiento e informará de los resultados a la AFPN o a la persona que haya encargado la investigación. Si se juzgara oportuno, todas las demás partes interesadas deberían también ser informadas. Si el que ha presentado la solicitud de investigación es un particular o actúa en nombre de un particular, el RPD deberá garantizar, en la medida de lo posible, la confidencialidad de la solicitud, salvo que se cuente con el consentimiento expreso del interesado para tratar la solicitud de otra forma;
c) cooperará en el ejercicio de sus funciones con los responsables de la protección de datos de otras instituciones, organismos, oficinas y agencias de la Unión Europea, en particular intercambiando experiencia y conocimientos;
d) representará a la Alta Representante o el SEAE, según proceda, en todos los asuntos relacionados con la protección de datos a nivel internacional, sin perjuicio de las disposiciones de los Tratados, incluido en particular el artículo 218 del Tratado de Funcionamiento de la Unión Europea;
e) presentará un informe anual de sus actividades al Alto Representante y la pondrá a disposición del personal del SEAE.
2. Sin perjuicio de lo dispuesto en el artículo 4, letra b), el artículo 5, apartado 1, letras b), c), y el artículo 15, el RPD y su personal se abstendrán de divulgar la información o los documentos que lleguen a su poder en el ejercicio de sus obligaciones y funciones.
Competencias
En el ejercicio de sus funciones y obligaciones, el RPD:
a) tendrá acceso en todo momento a los datos objeto de las operaciones de tratamiento y a todos los locales, instalaciones de tratamiento de datos y soportes de datos;
b) podrá solicitar dictámenes jurídicos a la División de asuntos jurídicos del SEAE;
c) podrá recurrir a servicios externos de expertos en tecnologías de la información previa autorización del ordenador, de conformidad con el Reglamento financiero [Reglamento (CE, Euratom) no 1605/2002] y sus disposiciones de aplicación;
d) sin perjuicio de las obligaciones y competencias del SEPD, podrá proponer medidas administrativas y emitir recomendaciones generales sobre la correcta aplicación del Reglamento y de la presente Decisión;
e) en casos concretos, podrá dirigir a la jerarquía del SEAE o a todas las partes interesadas cualquier otra recomendación que vaya encaminada a mejorar en la práctica la protección de los datos;
f) podrá señalar a la AFPN en el seno del SEAE cualquier incumplimiento por parte de un miembro del personal de las obligaciones que imponen el Reglamento y la presente Decisión, y sugerir que se emprenda una investigación administrativa con vistas a la eventual aplicación del artículo 49 del Reglamento.
Recursos
Se dotará al RPD del personal y de los recursos necesarios para la ejecución de sus obligaciones y funciones.
DERECHOS Y OBLIGACIONES DE LOS INTERVINIENTES EN LA PROTECCIÓN DE DATOS
Autoridad facultada para proceder a los nombramientos
1. En caso de reclamación en el sentido del artículo 90 del Estatuto de los funcionarios relativa a una violación del Reglamento o de la presente Decisión, la AFPN consultará al RPD, quien emitirá su dictamen por escrito a más tardar quince días después de haber recibido la petición. Si, transcurrido este período, el RPD no hubiera facilitado su dictamen a la autoridad, este ya no será necesario. El dictamen del RPD no será vinculante para la AFPN.
2. Se informará al RPD cuando se esté examinando una cuestión que tenga o pueda tener implicaciones sobre la protección de datos.
Responsables del tratamiento
1. Los responsables del tratamiento se encargarán de velar por que todas las operaciones de tratamiento bajo su control se ajusten al Reglamento y a las disposiciones de la presente Decisión. Podrán, según proceda, encomendar tareas de tratamiento de datos a miembros del personal del SEAE que trabajen bajo su responsabilidad o a entidades contratadas, de conformidad con el artículo 23 del Reglamento.
2. En particular, los responsables del tratamiento:
a) notificarán previamente al RPD cualquier operación de tratamiento o serie de tales operaciones prevista para un único objetivo o para varios objetivos relacionados entre sí, así como todo cambio sustancial en una operación de tratamiento existente;
b) asistirán al RPD y al SEPD en el ejercicio de sus respectivas obligaciones, en particular facilitando la información que se les solicite en un plazo máximo de 30 días;
c) colaborarán con los coordinadores de la protección de datos para elaborar el inventario de las actividades existentes de tratamiento de datos personales;
d) aplicarán las medidas organizativas y técnicas adecuadas y darán a los encargados del tratamiento las instrucciones oportunas para garantizar tanto la confidencialidad del tratamiento como un nivel de seguridad adecuado a los riesgos que implique el tratamiento;
e) cuando proceda, consultarán al RPD si las operaciones de tratamiento se ajustan o no al Reglamento y a la presente Decisión y, en particular cuando tengan motivos para creer que ciertas operaciones de tratamiento son incompatibles con los artículos 4 a 10 del Reglamento. También podrán consultar al RPD o a los expertos en seguridad de las tecnologías de la información sobre temas relativos a la confidencialidad de las operaciones de tratamiento y sobre las medidas de seguridad adoptadas con arreglo al artículo 22 del Reglamento.
Coordinadores
1. Cada director gerente, director o jefe de un servicio de una dimensión o función equivalente, así como los jefes de una delegación de la Unión, según proceda, designará a un coordinador de la protección de datos que trabajará bajo su responsabilidad.
Sin perjuicio de las responsabilidades del RPD, el coordinador:
a) ayudará a llevar un inventario de todos los tratamientos de datos personales existentes y cooperará con el RPD en la elaboración y actualización del inventario de las actividades existentes de tratamiento de datos personales;
b) ayudará a identificar a los respectivos responsables y encargados del tratamiento;
c) tendrán derecho a obtener de los responsables y encargados del tratamiento y de personal del SEAE la información adecuada y necesaria que precise para el desempeño de sus funciones administrativas. Dicho derecho no incluye el derecho de acceso a los datos personales que hayan sido tratados por cuenta del responsable del tratamiento;
d) propondrá al RPD notificaciones de alcance general referentes a los tipos o categorías de operaciones de tratamiento de datos.
2. Sin perjuicio de las responsabilidades de los responsables del tratamiento, los coordinadores deberán:
a) asistir a los responsables del tratamiento en el desempeño de sus obligaciones;
b) cuando proceda, facilitar la comunicación entre el RPD y los responsables del tratamiento.
Personal del SEAE
1. Todo el personal del SEAE contribuirá a la aplicación de las normas de confidencialidad y seguridad del tratamiento de los datos de carácter personal conforme a lo dispuesto en los artículos 21 y 22 del Reglamento. Ningún miembro del personal del SEAE que tenga acceso a datos personales podrá tratarlos si no es siguiendo las instrucciones de los responsables del tratamiento, a menos que así lo exija la normativa nacional o de la Unión.
2. Todos los miembros del personal del SEAE podrán presentar una reclamación ante el SEPD en caso de presunta infracción de las disposiciones del Reglamento o de la presente Decisión que rijan el tratamiento de los datos personales, sin seguir los conductos oficiales, tal como se establece en el Reglamento interno del SEPD.
Interesados
1. Además del derecho de los interesados a ser informados adecuadamente sobre todo tratamiento de datos personales que les concierna, de conformidad con los artículos 11 y 12 del Reglamento, los interesados podrán dirigirse a los responsables del tratamiento para ejercer sus derechos en virtud de los artículos 13 a 19 del Reglamento, tal como se especifica en la sección 5 de la presente Decisión.
2. Sin perjuicio de los recursos judiciales existentes, todo interesado podrá presentar una reclamación ante el SEPD cuando considere que se han violado sus derechos en virtud del Reglamento o de la presente Decisión como consecuencia del tratamiento de sus datos personales por parte de los responsables del tratamiento, como se especifica en el Reglamento interno del SEPD.
3. Ningún interesado habrá de sufrir perjuicio en razón de una reclamación presentada ante el SEPD o de un asunto planteado ante el SEPD por presunta violación de las disposiciones del Reglamento.
REGISTRO DE OPERACIONES DE TRATAMIENTO NOTIFICADAS
Procedimiento de notificación
1. Los responsables del tratamiento notificará al RPD toda operación de tratamiento de datos personales mediante un impreso de notificación disponible en el sitio Intranet del SEAE y de las delegaciones de la Unión (con el enlace «Protección de datos»). La notificación se transmitirá al RPD electrónicamente. En el plazo de diez días hábiles, se enviará al RPD una nota a modo de confirmación de la notificación. Una vez recibida la confirmación de la notificación, el RPD la publicará en el registro.
2. La notificación incluirá toda la información que se especifica en el artículo 25, apartado 2, del Reglamento. Cualquier cambio que modifique esta información deberá notificarse sin demora al RPD.
3. Las normas y procedimientos adicionales relativos al procedimiento de notificación que han de seguir los responsables del tratamiento formarán parte de las recomendaciones generales emitidas por el RPD.
Contenido y objeto del registro
1. El RPD llevará un registro de las operaciones de tratamiento de datos efectuadas con datos personales, que se elaborará a través de las notificaciones recibidas de los responsables del tratamiento.
2. El registro contendrá al menos la información a que se refiere el artículo 25, apartado 2, letras a) a g), del Reglamento. No obstante, el RPD podrá limitar excepcionalmente la información prevista, con el fin de proteger la seguridad de una operación de tratamiento concreta.
3. El registro servirá de repertorio de las operaciones de tratamiento de datos personales desarrolladas por el SEAE. Los interesados podrán acceder a él con objeto de facilitarles el ejercicio de sus derechos establecidos en los artículos 13 a 19 del Reglamento y en la presente Decisión.
Acceso al registro
1. El RPD adoptará las medidas oportunas para garantizar que cualquier interesado tenga acceso al registro, bien directamente, bien indirectamente a través del SEPD. En particular, el RPD brindará a los interesados información y ayuda sobre cómo y dónde presentar las solicitudes de acceso al registro.
2. Salvo cuando está autorizado el acceso en línea, las solicitudes de acceso al registro se harán por escrito, inclusive en forma electrónica, en una de las lenguas a que se refiere el artículo 342 del Tratado de Funcionamiento de la Unión Europea y de un modo lo bastante preciso como para que el RPD pueda identificar las operaciones de tratamiento de que se trate. Se enviará de inmediato al solicitante un acuse de recibo de su solicitud.
3. Cuando una solicitud no sea suficientemente precisa, el RPD pedirá al solicitante que la aclare y le ayudará a hacerlo. En caso de que la solicitud se refiera a una serie muy amplia de operaciones de tratamiento, el RPD podrá consultar de manera informal con el solicitante con el fin de encontrar una solución satisfactoria.
4. Cualquier interesado podrá pedir al RPD una copia de la información que consta en el registro con relación a una operación de tratamiento notificada.
PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DE LOS INTERESADOS
1. Los derechos de los interesados a que se refiere esta sección sólo podrán ser ejercidos por los particulares afectados o, en casos excepcionales, en nombre de dichos particulares mediante la adecuada autorización. Las solicitudes deberán dirigirse por escrito al responsable del tratamiento de que se trate con copia al RPD. En caso necesario, el RPD ayudará al interesado a identificar al responsable del tratamiento. El RPD facilitará impresos específicos. Los responsables del tratamiento solo admitirán la solicitud si se ha cumplimentado todo el impreso y se ha verificado correctamente la identidad del solicitante. El ejercicio, por parte de los interesados, de sus derechos será gratuito.
2. El responsable del tratamiento correspondiente enviará al solicitante un acuse de recibo en el plazo de cinco días hábiles a partir del registro de la solicitud. Salvo que se disponga otra cosa, el responsable contestará al solicitante en el plazo máximo de 15 días hábiles a partir del registro de la solicitud, dándole satisfacción o declarando por escrito las razones de su denegación total o parcial, en particular cuando se considere que el solicitante no es el interesado.
3. En caso de anomalías o abuso manifiesto por parte del interesado en el ejercicio de sus derechos y cuando el interesado alegue que el tratamiento es ilegal, el responsable del tratamiento deberá consultar al RPD en relación con la solicitud o remitir al interesado al RPD, quien decidirá en cuanto a la pertinencia de la solicitud y al curso que deba dársele.
4. Cualquier interesado podrá consultar al RPD en relación con el ejercicio de sus derechos en un caso concreto. Sin perjuicio de los recursos judiciales existentes, todo interesado podrá presentar una reclamación ante el SEPD cuando considere que, como consecuencia del tratamiento de sus datos personales, se han violado los derechos que le otorga el Reglamento.
Derecho de acceso
El interesado tendrá derecho a obtener de los responsables del tratamiento, sin limitaciones y en todo momento dentro de los tres meses siguientes a la recepción de la solicitud, la información a que se refieren las letras a) a d) del artículo 13 del Reglamento, bien consultando personalmente dichos datos in situ, o bien mediante copia, incluso en formato electrónico, si procede, a elección del solicitante.
Derecho de rectificación
Todo interesado que solicite la rectificación de datos personales inexactos o incompletos especificará en su solicitud los datos de que se trata y la rectificación que debe hacerse. La solicitud será tramitada por el responsable del tratamiento de inmediato.
Derecho de bloqueo
El responsable del tratamiento correspondiente tramitará sin demora toda petición de bloqueo de datos con arreglo al artículo 15 del Reglamento. En la petición se especificarán los datos de que se trate y las razones para bloquearlos. El responsable del tratamiento informará al interesado que haya realizado la petición antes de desbloquear los datos.
Derecho de supresión
El interesado podrá pedir a los responsables del tratamiento que supriman sus datos de inmediato cuando se trate de un tratamiento ilegal, en particular cuando se hayan infringido las disposiciones de los artículos 4 a 10 del Reglamento. En la petición se especificarán los datos de que se trate y se indicarán los motivos o pruebas de la ilegalidad del tratamiento. En los ficheros automatizados la supresión se efectuará, en principio, por todos los medios técnicos adecuados, eliminando la posibilidad de volver a tratar los datos suprimidos. Cuando por causas técnicas no sea posible la supresión, el responsable del tratamiento, previa consulta con el RPD y el interesado, procederá al bloqueo inmediato de dichos datos.
Notificación a terceros
Cuando se efectúe una rectificación, un bloqueo o una supresión a raíz de una petición del interesado, este último tendrá derecho a que el responsable del tratamiento lo notifique a todos aquellos terceros a quienes se les hayan revelado esos datos personales, a no ser que tal notificación resulte imposible o suponga un esfuerzo desproporcionado.
Derecho de oposición
El interesado tendrá derecho a oponerse al tratamiento de datos que le conciernan y a la divulgación o utilización de sus datos personales de conformidad con el artículo 18 del Reglamento. En la solicitud se especificarán los datos de que se trate y se indicarán los motivos que justifiquen la petición. Cuando la oposición sea fundada, el tratamiento en cuestión no podrá referirse ya a esos datos.
Decisiones individuales automatizadas
El interesado tendrá derecho a no ser sometido a las decisiones individuales automatizadas a que se refiere el artículo 19 del Reglamento, a no ser que dicha decisión esté expresamente autorizada en virtud de la legislación nacional o de la Unión o por una decisión del SEPD destinada a salvaguardar los intereses legítimos del interesado. En ambos casos, se brindará al interesado la posibilidad de exponer su punto de vista previamente y de consultar con el RPD.
Excepciones y limitaciones
1. Cuando existan razones legítimas de las contempladas en el artículo 20 del Reglamento que lo justifiquen claramente, el responsable del tratamiento podrá limitar los derechos contemplados en los artículos 17 a 21 de la presente Decisión. Salvo en caso de absoluta necesidad, el responsable del tratamiento consultará en primer lugar al RPD, cuyo dictamen no será vinculante para la institución. El responsable del tratamiento responderá sin demora a las solicitudes relativas a la aplicación de excepciones o de limitaciones al ejercicio de los derechos y motivará su decisión.
2. Todo interesado afectado podrá solicitar al SEPD la aplicación del artículo 47, apartado 1, letra c), del Reglamento.
PROCEDIMIENTO DE INVESTIGACIÓN
Modalidades prácticas
1. Las solicitudes de investigación se dirigirán al RPD por escrito y utilizando el impreso específico que este último facilite. En caso de abuso manifiesto del derecho a solicitar una investigación, por ejemplo cuando el mismo particular haya hecho una solicitud idéntica poco tiempo antes, el RPD no estará obligado a contestar al solicitante.
2. En el plazo de quince días a partir de la recepción de la solicitud, el RPD enviará un acuse de recibo a la autoridad facultada para proceder a los nombramientos o a la persona que encargó la investigación y verificará si la petición debe tratarse de forma confidencial.
3. El RPD pedirá al responsable del tratamiento de los datos de que se trate una declaración escrita sobre la cuestión. El responsable del tratamiento dará respuesta al RPD en el plazo de 15 días. El RPD podría solicitar información complementaria de otros departamentos del SEAE como la Oficina de Seguridad o la Oficina Infosec. Si procede, podrá pedir un dictamen sobre la cuestión a la División de asuntos jurídicos del SEAE. Deberá facilitarse la información o el dictamen al RPD en el plazo de 30 días.
4. EL RPD responderá a la AFPN y a la persona que haya presentado la solicitud a más tardar tres meses después de su recepción.
En caso de incoherencia entre las disposiciones de la presente Decisión y el Reglamento, prevalecerá este último.
La presente Decisión se pondrá a disposición del personal del SEAE por los medios apropiados, en particular mediante su publicación en la intranet del SEAE y de las delegaciones de la Unión (con el enlace «Protección de datos»).
Efecto
La presente Decisión surtirá efecto el día de su adopción.
Hecho en Bruselas, el 8 de diciembre de 2011.
Alta Representante
C. ASHTON
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid