Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Summaries of EU Legislation

Limitación de derechos de los interesados sobre datos personales: normas internas de la Comisión

Date of last review:
03/04/2019
Author:
Oficina de Publicaciones de la Unión Europea
Responsible entity(ies):
Oficina de Publicaciones de la Unión Europea

Limitación de derechos de los interesados sobre datos personales: normas internas de la Comisión

 

SÍNTESIS DE LOS DOCUMENTOS:

Decisión (UE) 2018/1927 de la Comisión: normas internas sobre el tratamiento de datos personales por la Comisión Europea en el ámbito de la competencia en relación con la comunicación de información a los interesados y la limitación de determinados derechos

Decisión (UE) 2018/1961 de la Comisión: normas internas relativas a la comunicación de información a los interesados y a la limitación de algunos de sus derechos en el contexto del tratamiento de datos personales a efectos de las actividades de auditoría interna

Decisión (UE) 2018/1962 de la Comisión: reglamento interno relativo al tratamiento de datos personales por la Oficina Europea de Lucha contra el Fraude (OLAF) en lo que respecta a la comunicación de información a los interesados y la restricción de algunos de sus derechos

Decisión (UE) 2018/1996 de la Comisión: normas internas relativas a la comunicación de información a los interesados y la limitación de algunos de sus derechos en el contexto del tratamiento de datos personales para fines de investigación de defensa comercial y de política comercial

Decisión (UE) 2019/154 de la Comisión: normas internas acerca de la limitación del derecho de acceso de los interesados a su expediente médico

Decisión (UE) 2019/165 de la Comisión: normas internas relativas a la comunicación de información a los interesados y a la limitación de algunos de sus derechos de protección de datos por parte de la Comisión en el contexto de las investigaciones administrativas y los procedimientos predisciplinarios, disciplinarios y de suspensión

Decisión (UE) 2019/236 de la Comisión: normas internas relativas a la comunicación de información a los interesados y a la limitación de algunos de sus derechos en el contexto del tratamiento de datos personales por la Comisión Europea a efectos de la seguridad interna de las instituciones de la UE

¿CUÁL ES EL OBJETIVO DE ESTAS DECISIONES?

Establecen las normas internas en base a las cuales la Comisión Europea puede limitar los derechos que ejercen los individuos en virtud del Reglamento (UE) 2018/1725. Las normas internas se aplican al tratamiento de datos personales en el marco de ciertos ámbitos específicos y para propósitos concretos.

PUNTOS CLAVE

Por «datos personales» se entiende toda información sobre una persona física identificada o identificable (denominada «interesado» en la legislación). Una persona física se considera identificable si es posible la determinación de su identidad, de forma directa o indirecta, en particular mediante un identificador (por ejemplo, un nombre, un número de identificación, datos de localización, o un identificador en línea) o mediante uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

La nueva legislación de la Unión Europea (UE) en materia de protección y libre circulación de datos personales consta, en particular, de los siguientes instrumentos:

  • el Reglamento General de Protección de Datos (RGPD), que establece los derechos de los individuos en lo relativo a sus datos personales, los protege en lo que respecta al tratamiento de sus datos personales en los países de la UE y garantiza la libre circulación de dichos datos;
  • el Reglamento (UE) 2018/1725, que establece los derechos de los individuos en lo relativo a sus datos personales, los protege en lo que respecta al tratamiento de sus datos personales por parte de instituciones, órganos, organismos y agencias de la UE y garantiza la libre circulación de dichos datos.

Estos reglamentos se consideran equivalentes y deben interpretarse como si se tratase del mismo instrumento.

El artículo 25 del Reglamento (UE) 2018/1725 contempla la posibilidad de que, en ciertos casos, las instituciones y los organismos de la UE puedan limitar los derechos de los individuos, siempre y cuando dicha limitación esté contemplada por el Derecho de la UE. En línea con lo anterior, la Comisión ha adoptado siete decisiones que sientan las bases de posibles limitaciones encaminadas a salvaguardar objetivos importantes de interés público y general para la UE.

En base a dichas decisiones, y tras una valoración caso por caso de la necesidad y la proporcionalidad de las limitaciones, la Comisión Europea establece si los derechos de un individuo deben ser limitados en un caso concreto.

Podrán limitarse los siguientes derechos de los individuos:

  • el derecho a la información relativa
    • al procesamiento de sus datos personales, y
    • a violaciones de datos personales que puedan suponer un riesgo elevado para sus derechos y libertades;
  • el derecho a acceder a sus datos personales, o a exigir la eliminación o la restricción del tratamiento de los mismos.

Las siete decisiones de la Comisión tienen todas el mismo formato, e incluyen la totalidad o parte de los elementos siguientes:

  • Objeto y alcance
    • Requisito de una valoración caso por caso de cada solicitud de los interesados.
  • Excepciones y/o limitaciones aplicables
    • Antes de aplicar una limitación, la Comisión debe considerar en primer lugar si son aplicables algunas de las excepciones a los derechos de los interesados establecidas por el Reglamento (UE) 2018/1725.
  • Provisión de información a los interesados
    • La Comisión debe publicar en su página web avisos de protección de datos, a fin de informar a todos los interesados acerca de sus actividades de procesamiento de datos en el área correspondiente.
    • La Comisión debe informar de forma individual y por los cauces apropiados a toda persona que pueda estar individualmente afectada por una investigación o alguna medida llevada a cabo en alguna de las áreas correspondientes.
  • Derechos de los interesados a acceder a sus datos personales, o a exigir la eliminación o la restricción del tratamiento de los mismos.
    • Si la Comisión limita el acceso a datos personales o el derecho a la eliminación y/o a la restricción del tratamiento, deberá informar a los interesados afectados acerca de la limitación aplicada, de los principales motivos de la misma y de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.
  • Consignación y registro de las limitaciones
    • La Comisión deberá consignar los motivos de cualquier limitación que se aplique, incluyendo una valoración de la necesidad y la proporcionalidad.
  • Duración de las limitaciones
    • Las limitaciones serán aplicables mientras lo sigan siendo los motivos que las justifiquen.
  • Revisión por parte del responsable de protección de datos (RPD) de la Comisión Europea
    • Se deberá informar al RPD, sin demora injustificada, cada vez que se limiten los derechos de los interesados.
    • A petición del RPD, se facilitará a este el acceso a las consignaciones y a todos los documentos que contengan los elementos de hecho y de Derecho subyacentes.
    • El RPD podrá solicitar que se revise la limitación y se le deberá informar por escrito sobre el resultado de la revisión solicitada.

Las siete decisiones de la Comisión abarcan la limitación de cara a los interesados en los siguientes ámbitos:

  • Seguridad interna de las instituciones de la UE
    • Se aplica al tratamiento de datos personales encaminado a garantizar la seguridad de personas, activos e información en la Comisión.
    • La Comisión deberá informar individualmente a los testigos y a las personas afectadas por una investigación de seguridad acerca del tratamiento de sus datos personales.
    • Además, la Comisión deberá informar de forma individual a los interesados cuyos datos sean objeto de procesamiento en casos de comprobaciones de antecedentes, de conformidad con el artículo 7, apartado 5, de la Decisión (UE, Euratom) 2015/443 de la Comisión.
    • También deberá informar individualmente a aquellas personas cuyos datos sean objeto de procesamiento en el marco de registros en locales, sistemas de comunicación e información y equipos de la Comisión.
  • Investigaciones administrativas, procedimientos predisciplinarios, disciplinarios y de suspensión
    • Los derechos y obligaciones contemplados en el Reglamento (UE) 2018/1725 podrán limitarse en caso de que pongan en peligro los propósitos de investigaciones administrativas, procedimientos predisciplinarios, disciplinarios y de suspensión, o en caso de que puedan afectar a los derechos y libertades de otros interesados.
  • Datos médicos personales
    • La Comisión, siempre considerando caso por caso, podrá limitar el derecho de los interesados a acceder directamente a datos médicos personales de carácter psicológico o psiquiátrico que les conciernan en aquellos supuestos en que el acceso a dichos datos pueda suponer un riesgo para la salud del interesado.
    • La limitación deberá ser proporcional a la estricta necesidad de protección del interesado en cuestión.
  • Investigación de defensa comercial y de política comercial
    • Los derechos y obligaciones contemplados en el Reglamento (UE) 2018/1725 podrán limitarse en caso de que pongan en peligro los propósitos de actividades de política comercial y de defensa comercial de la Comisión, o en caso de que puedan afectar a los derechos y libertades de otros interesados.
  • Oficina Europea de Lucha contra el Fraude (OLAF)
    • Se aplica al tratamiento de datos personales por parte de la OLAF (así como al tratamiento de datos personales por parte de servicios y agencias ejecutivas de la Comisión que deban ser transmitidos a la OLAF) con el fin de cumplir sus funciones.
    • Las investigaciones de la OLAF son completamente independientes de la Comisión.
    • es la OLAF quien decide si se deben aplicar excepciones a los derechos de los interesados sobre datos personales.
    • En la página web de la OLAF se publican avisos de protección de datos que informan a los interesados acerca de las actividades que comportan el tratamiento de sus datos personales.
    • El RPD de la OLAF revisa todas las limitaciones de los derechos de los interesados.
  • Actividades de auditoría interna
    • Los derechos y obligaciones contemplados en el Reglamento (UE) 2018/1725 podrán limitarse en el marco de las operaciones de procesamiento llevadas a cabo por la Comisión en el transcurso de sus actividades de auditoría interna en aquellos casos en que el ejercicio de los derechos de los interesados pueda poner en peligro la realización de las actividades de auditoría interna, lo que incluye la posible revelación de sus métodos y herramientas de auditoría; igualmente, se podrán limitar dichos derechos y obligaciones en caso de que se puedan ver afectados los derechos y libertades de otros interesados.
    • Además, podría ser necesario que la Comisión limitara la aplicación de los derechos de los interesados sobre datos personales a fin de proteger las operaciones de tratamiento de los servicios de la Comisión, de otras instituciones, órganos, organismos y agencias de la Unión, de las autoridades de los Estados miembros o de organizaciones internacionales, así como del Comité de Seguimiento de las Auditorías.
    • La Comisión debe informar a las personas acerca de sus actividades de auditoría interna que comporten el tratamiento de sus datos personales, y también acerca de sus derechos al respecto, por medio de avisos de protección de datos publicados en su página web. Según proceda, la Comisión deberá asegurarse de informar individualmente a los interesados por los cauces apropiados.
  • Competencia
    • Los derechos y obligaciones contemplados en el Reglamento (UE) 2018/1725 podrán limitarse en caso de que pongan en peligro los propósitos de actividades de investigación y cumplimiento de la ley por parte de la Comisión, lo que incluye la posible revelación de sus métodos y herramientas de investigación; igualmente, se podrán limitar dichos derechos y obligaciones en caso de que se puedan ver afectados los derechos y libertades de otros interesados.

¿A PARTIR DE CUÁNDO ENTRAN EN VIGOR LAS DECISIONES?

  • Las Decisiones (UE) 2018/1927, (UE) 2018/1961, (UE) 2018/1962, (UE) 2018/1996 y (UE) 2019/154 están en vigor desde el 11 de diciembre de 2018.
  • La Decisión (UE) 2019/165 está en vigor desde el 7 de febrero de 2019.
  • La Decisión (UE) 2019/236 está en vigor desde el 11 de febrero de 2019.

ANTECEDENTES

Para más información véase:

DOCUMENTOS PRINCIPALES

Decisión (UE) 2018/1927 de la Comisión, de 5 de diciembre de 2018, por la que se establecen las normas internas sobre el tratamiento de datos personales por la Comisión Europea en el ámbito de la competencia en relación con la comunicación de información a los interesados y la limitación de determinados derechos (DO L 313 de 10.12.2018, p. 39–44).

Decisión (UE) 2018/1961 de la Comisión, de 11 de diciembre de 2018, por la que se establecen normas internas relativas a la comunicación de información a los interesados y a la limitación de algunos de sus derechos en el contexto del tratamiento de datos personales a efectos de las actividades de auditoría interna (DO L 315 de 12.12.2018, pp. 35-40).

Decisión (UE) 2018/1962 de la Comisión, de 11 de diciembre de 2018, por la que se establece el reglamento interno relativo al tratamiento de datos personales por la Oficina Europea de Lucha contra el Fraude (OLAF) en lo que respecta a la comunicación de información a los interesados y la restricción de algunos de sus derechos, de conformidad con el artículo 25 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (DO L 315 de 12.12.2018, pp. 41–46).

Decisión (UE) 2018/1996 de la Comisión, de 14 de diciembre de 2018, por la que se establecen las normas internas relativas a la comunicación de información a los interesados y la limitación de algunos de sus derechos en el contexto del tratamiento de datos personales para fines de investigación de defensa comercial y de política comercial (DO L 320 de 17.12.2018, pp. 40–44).

Decisión (UE) 2019/154 de la Comisión, de 30 de enero de 2019, por la que se establecen normas internas acerca de la limitación del derecho de acceso de los interesados a su expediente médico (DO L 27 de 31.1.2019, pp. 33-35).

Decisión (UE) 2019/165 de la Comisión, de 1 de febrero de 2019, por la que se establecen normas internas relativas a la comunicación de información a los interesados y a la limitación de algunos de sus derechos de protección de datos por parte de la Comisión en el contexto de las investigaciones administrativas y los procedimientos predisciplinarios, disciplinarios y de suspensión (DO L 32 de 4.2.2019, pp. 9-13).

Decisión (UE) 2019/236 de la Comisión, de 7 de febrero de 2019, por la que se establecen normas internas relativas a la comunicación de información a los interesados y a la limitación de algunos de sus derechos en el contexto del tratamiento de datos personales por la Comisión Europea a efectos de la seguridad interna de las instituciones de la Unión (DO L 37 de 8.2.2019, pp. 144–149).

DOCUMENTOS CONEXOS

Aplicables a la Comisión Europea:

Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, pp. 39-98).

Decisión (UE, Euratom) 2017/46 de la Comisión, de 10 de enero de 2017, sobre la seguridad de los sistemas de información y comunicación de la Comisión Europea (DO L 6 de 11.1.2017, pp. 40-51).

Las modificaciones sucesivas de la Decisión (UE, Euratom) 2017/46 se han incorporado al texto básico. Esta versión consolidada tiene un valor meramente documental.

Decisión (UE, Euratom) 2015/443 de la Comisión, de 13 de marzo de 2015, sobre la seguridad en la Comisión (DO L 72 de 17.3.2015, pp. 41–52).

Aplicables a los países de la UE:

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, pp. 1-88).

Véase la versión consolidada.

Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, pp. 89-131).

Véase la versión consolidada.

última actualización 03.04.2019

Top