This document is an excerpt from the EUR-Lex website
Document 32021Q0628(01)
Decision of the Management Board on internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the framework of activities carried out by the European Environment Agency
Decisión del Consejo de Administración relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco de las actividades llevadas a cabo por la Agencia Europea de Medio Ambiente
Decisión del Consejo de Administración relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco de las actividades llevadas a cabo por la Agencia Europea de Medio Ambiente
DO L 228 de 28.6.2021, p. 3–8
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
28.6.2021 |
ES |
Diario Oficial de la Unión Europea |
L 228/3 |
Decisión del Consejo de Administración relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco de las actividades llevadas a cabo por la Agencia Europea de Medio Ambiente
EL CONSEJO DE ADMINISTRACIÓN DE LA AGENCIA EUROPEA DE MEDIO AMBIENTE,
VISTO el Tratado de Funcionamiento de la Unión Europea,
VISTO el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,
VISTO el Reglamento (CE) n.o 401/2009 del Parlamento Europeo y del Consejo, de 23 de abril de 2009, relativo a la Agencia Europea del Medio Ambiente y a la Red Europea de Información y de Observación sobre el Medio Ambiente (versión codificada) (2), y en particular su artículo 8,
VISTO el Dictamen del Supervisor Europeo de Protección de Datos (SEPD) de 13 de marzo de 2020 y el documento de orientación del SEPD sobre el artículo 25 del Reglamento (UE) 2018/1725 y las normas internas,
Previa consulta al Comité de Personal,
CONSIDERANDO LO SIGUIENTE:
|
(1) |
La Agencia Europea de Medio Ambiente (en lo sucesivo, «Agencia») está facultada para llevar a cabo investigaciones administrativas y procedimientos predisciplinarios, disciplinarios y de suspensión, de conformidad con el Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión Europea, establecidos en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (en lo sucesivo, «Estatuto de los funcionarios») (3), y con la Decisión del Consejo de Administración de la AEMA, de 15 de febrero de 2013, relativa a la realización de investigaciones administrativas y procedimientos disciplinarios. Si es necesario, también notifica los casos a la OLAF. |
|
(2) |
Los miembros del personal de la Agencia están obligados a notificar las actividades potencialmente ilícitas, incluidos el fraude y la corrupción, que vayan en detrimento de los intereses de la Unión. Los miembros del personal también están obligados a comunicar las actuaciones relativas al cumplimiento de las obligaciones profesionales que puedan constituir un incumplimiento grave de las obligaciones de los funcionarios de la Unión. Esto se regula en la Decisión del Consejo de Administración de la AEMA, de 24 de abril de 2018, sobre las directrices para la denuncia de irregularidades (Decisión EEA/MB/2018/011). |
|
(3) |
La Agencia ha establecido una política para prevenir y combatir eficazmente los casos, reales o potenciales, de acoso psicológico o sexual en el lugar de trabajo, tal como prevé la Decisión de su Consejo de Administración, de 13 de junio de 2017, sobre la política de la AEMA para proteger la dignidad de la persona y prevenir el acoso psicológico y sexual (Decisión EEA/MB/2017/011). La Decisión establece un procedimiento informal por el que la presunta víctima del acoso puede ponerse en contacto con los consejeros «confidenciales» de la Agencia. |
|
(4) |
Las actividades de la Agencia están sujetas a auditorías internas y externas. |
|
(5) |
En el contexto de tales investigaciones administrativas, auditorías e investigaciones, la Agencia coopera con otras instituciones, órganos y organismos de la Unión. |
|
(6) |
La Agencia puede cooperar con autoridades nacionales de terceros países y con organizaciones internacionales, ya sea a petición de estas o por propia iniciativa. |
|
(7) |
La Agencia también puede cooperar con las autoridades públicas de los Estados miembros de la UE, ya sea a petición de estas o por propia iniciativa. |
|
(8) |
La Agencia participa en los asuntos sometidos al Tribunal de Justicia de la Unión Europea cuando remite el asunto al Tribunal, defiende una decisión que ha adoptado y ha sido recurrida ante el Tribunal o interviene en asuntos relacionados con sus funciones. En este contexto, es posible que la Agencia tenga que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos por las partes o por las partes coadyuvantes. |
|
(9) |
Para desempeñar sus funciones, la Agencia recoge y trata información y varias categorías de datos personales, incluidos datos identificativos de personas físicas, información de contacto, datos sobre las funciones y tareas profesionales, información sobre la conducta y el rendimiento profesional y privado, y datos financieros. La Agencia actúa como responsable del tratamiento de los datos. |
|
(10) |
Con arreglo a lo dispuesto en el Reglamento (UE) 2018/1725 (en lo sucesivo, «Reglamento»), la Agencia está, por tanto, obligada a facilitar a los interesados información sobre dichas actividades de tratamiento y a respetar sus derechos como interesados. |
|
(11) |
La Agencia puede verse obligada a conciliar esos derechos con los objetivos de las investigaciones administrativas, las auditorías, las investigaciones y los procedimientos judiciales. También podría ser necesario buscar un equilibrio entre los derechos de un interesado y los derechos y libertades fundamentales de otros interesados. A tal fin, el artículo 25 del Reglamento ofrece a la Agencia la posibilidad de limitar, si se cumplen unas condiciones estrictas, la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20. A menos que se establezcan limitaciones en un acto jurídico adoptado sobre la base de los Tratados, es necesario adoptar unas normas internas con arreglo a las cuales la Agencia tenga derecho a limitar esos derechos. |
|
(12) |
Es posible que la Agencia necesite, por ejemplo, limitar la información que proporciona a un interesado sobre el tratamiento de sus datos personales durante la fase de evaluación preliminar de una investigación administrativa o durante la propia investigación, antes de la posible desestimación del asunto o en la fase predisciplinaria. En determinadas circunstancias, facilitar dicha información podría afectar gravemente a la capacidad de la Agencia para llevar a cabo la investigación de manera eficaz, por ejemplo, cuando exista el riesgo de que la persona afectada pueda destruir pruebas o influir en posibles testigos antes de su declaración. Es posible que la Agencia también necesite proteger los derechos y libertades de los testigos, así como los de otras personas implicadas. |
|
(13) |
Podría ser necesario proteger el anonimato de aquellos testigos o denunciantes que hayan solicitado no ser identificados. En tal caso, la Agencia podría decidir limitar el acceso a la identidad, las declaraciones y otros datos personales de esas personas, a fin de proteger sus derechos y libertades. |
|
(14) |
Podría ser necesario proteger la información confidencial relativa a un miembro del personal que se haya puesto en contacto con consejeros confidenciales de la Agencia en el contexto de un procedimiento por acoso. En tales casos, la Agencia podría tener que limitar el acceso a la identidad, las declaraciones y otros datos personales de la presunta víctima, el presunto acosador y otras personas implicadas, con el fin de proteger los derechos y libertades de todos los afectados. |
|
(15) |
La Agencia solo debe aplicar limitaciones cuando estas respeten la esencia de los derechos y libertades fundamentales, sean estrictamente necesarias y constituyan una medida proporcionada en una sociedad democrática. La Agencia deberá explicar las razones que justifiquen dichas limitaciones. |
|
(16) |
En aplicación del principio de rendición de cuentas, la Agencia debe llevar un registro de las limitaciones impuestas. |
|
(17) |
Al tratar los datos personales intercambiados con otras organizaciones en el marco de sus funciones, tanto la Agencia como dichas organizaciones se deben consultar mutuamente sobre los posibles motivos de imposición de limitaciones, así como sobre la necesidad y proporcionalidad de estas, a menos que ello ponga en peligro las actividades de la Agencia. |
|
(18) |
El artículo 25, apartado 6, del Reglamento obliga al responsable del tratamiento a informar a los interesados de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD. |
|
(19) |
De conformidad con el artículo 25, apartado 8, del Reglamento, la Agencia podrá aplazar, omitir o denegar la comunicación de la información que justifica la aplicación de la limitación al interesado si dicha comunicación dejase sin efecto la limitación impuesta. La Agencia debe evaluar caso por caso si la comunicación de la limitación la deja sin efecto. |
|
(20) |
La Agencia debe levantar la limitación tan pronto como las condiciones que la justifiquen ya no sean aplicables y debe evaluar dichas condiciones de forma periódica. |
|
(21) |
A fin de garantizar la máxima protección de los derechos y libertades de los interesados y de conformidad con lo dispuesto en el artículo 44, apartado 1, del Reglamento, debe consultarse al delegado de protección de datos, en tiempo oportuno, cualquier limitación que pueda aplicarse y comprobar su conformidad con la presente Decisión. |
|
(22) |
El artículo 16, apartado 5, y el artículo 17, apartado 4, del Reglamento prevén excepciones al derecho a la información y al derecho de acceso de los interesados. Si resultan aplicables estas excepciones, la Agencia no necesitará aplicar una limitación con arreglo a la presente Decisión. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Objeto y ámbito de aplicación
1. La presente Decisión establece normas relativas a las condiciones en las que la Agencia puede limitar la aplicación de los artículos 4, 14 a 22, 35 y 36, de conformidad con el artículo 25 del Reglamento.
2. La Agencia, en calidad de responsable del tratamiento, está representada por su director ejecutivo, quien puede delegar la función de responsable del tratamiento dentro de la Agencia a fin de reflejar las responsabilidades operativas en relación con determinadas operaciones de tratamiento de datos personales.
Artículo 2
Limitaciones
1. La Agencia podrá limitar la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20:
|
a) |
de conformidad con el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento, al llevar a cabo investigaciones administrativas o procedimientos predisciplinarios, disciplinarios o de suspensión con arreglo al artículo 86 y el anexo IX del Estatuto de los funcionarios y a la Decisión del Consejo de Administración de la AEMA, de 15 de febrero de 2013, relativa a la realización de investigaciones administrativas y procedimientos disciplinarios; cuando se tramiten quejas internas y externas, y cuando se notifiquen los casos a la OLAF; |
|
b) |
de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que los miembros del personal de la Agencia puedan denunciar hechos de forma confidencial cuando consideren que existen graves irregularidades, tal como se establece en la Decisión del Consejo de Administración de la AEMA, de 24 de abril de 2018, sobre las directrices para la denuncia de irregularidades (Decisión EEA/MB/2018/011); |
|
c) |
de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que el personal de la Agencia pueda informar a los consejeros confidenciales en el contexto de un procedimiento de acoso (formal o informal), tal como se define en la Decisión del Consejo de Administración de la AEMA, de 13 de junio de 2017, sobre la política de la AEMA para proteger la dignidad de la persona y prevenir el acoso psicológico y sexual (Decisión EEA/MB/2017/011); |
|
d) |
de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando se lleven a cabo auditorías internas en relación con actividades o departamentos de la Agencia, incluidas las investigaciones realizadas por el delegado de protección de datos con arreglo al artículo 45, apartado 2, del Reglamento (UE) 2018/1725, e investigaciones sobre seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE); |
|
e) |
de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento, cuando preste asistencia a otras instituciones, órganos y organismos de la Unión, cuando reciba asistencia de dichas instituciones, órganos y organismos o cuando coopere con estos en el contexto de las actividades contempladas en las letras a) a d) del presente apartado y con arreglo a los acuerdos de nivel servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes; |
|
f) |
de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando preste asistencia a las autoridades nacionales y organizaciones internacionales de terceros países, cuando reciba asistencia de dichas autoridades y organizaciones o cuando coopere con estas, a petición de estas o por iniciativa propia; |
|
g) |
de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando preste asistencia a las autoridades públicas de los Estados miembros de la UE, cuando reciba asistencia de dichas autoridades o cuando coopere con estas, ya sea a petición de estas o por iniciativa propia; |
|
h) |
de conformidad con el artículo 25, apartado 1, letra e), del Reglamento, cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un recurso ante el Tribunal de Justicia de la Unión Europea; |
|
i) |
Cualquier limitación respetará la esencia de los derechos y libertades fundamentales y será necesaria y proporcionada en una sociedad democrática. |
2. Se llevará a cabo una prueba de necesidad y proporcionalidad, caso por caso, antes de aplicar limitaciones. Las limitaciones se ajustarán a lo estrictamente necesario para alcanzar su objetivo.
3. A efectos de rendición de cuentas, la Agencia llevará un registro en el que se describirán los motivos de las limitaciones aplicadas, los fundamentos que se aplican de entre los enumerados en el apartado 1 y el resultado de la prueba de necesidad y proporcionalidad. Estos documentos formarán parte de un registro, que se pondrá a disposición del SEPD a petición suya. La Agencia elaborará informes periódicos sobre la aplicación del artículo 25 del Reglamento.
4. Al tratar los datos personales procedentes de otras organizaciones en el contexto de sus funciones, la Agencia consultará a dichas organizaciones sobre los posibles motivos de imposición de limitaciones y sobre la necesidad y proporcionalidad de las limitaciones de que se trate, a menos que ello ponga en peligro las actividades de la Agencia.
5. Las categorías de datos de que se trata son los datos sólidos (datos «objetivos», como los datos identificativos, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).
Artículo 3
Riesgos para los derechos y libertades de los interesados
1. Las evaluaciones de los riesgos para los derechos y libertades de los interesados que suponga la aplicación de limitaciones y los detalles sobre el período de aplicación de dichas limitaciones se harán constar en el registro de actividades de tratamiento llevado por la Agencia en virtud del artículo 31 del Reglamento. También se harán constar en todas las evaluaciones de impacto relativas a la protección de datos llevadas a cabo en relación con dichas limitaciones con arreglo al artículo 39 del Reglamento.
2. Siempre que la Agencia evalúe la necesidad y proporcionalidad de una limitación, tendrá en cuenta los posibles riesgos para los derechos y libertades del interesado.
Artículo 4
Garantías y plazos de conservación
1. La Agencia aplicará garantías para evitar accesos a datos personales o transferencias de datos personales ilícitos o abusivos en relación con los cuales se apliquen o puedan aplicarse limitaciones. Tales garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de aplicación internas de la Agencia. Estas garantías incluirán lo siguiente:
|
a) |
una definición clara de las funciones, responsabilidades y etapas del procedimiento; |
|
b) |
un entorno electrónico seguro que evite los accesos ilícitos o accidentales o las transferencias ilícitas o accidentales de datos personales a personas no autorizadas, de modo que todos los datos electrónicos se almacenarán en una aplicación informática segura conforme a los requisitos de seguridad de la Agencia, así como en carpetas electrónicas específicas a las que solo podrá acceder el personal autorizado, y deberán concederse de manera individualizada los niveles de acceso adecuados; |
|
c) |
un almacenamiento y un tratamiento seguro de los documentos en papel, que deberán conservarse en armarios protegidos a los que únicamente pueda acceder el personal autorizado; |
|
d) |
la debida supervisión de las limitaciones y la revisión periódica de su aplicación. |
2. Las revisiones mencionadas en la letra d) se llevarán a cabo al menos cada seis meses.
3. Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hubieran justificado.
4. Los datos personales se conservarán de acuerdo con las normas de conservación aplicables de la Agencia, que se definirán en los registros de protección de datos llevados conforme al artículo 31 del Reglamento. Al finalizar el período de conservación, los datos personales se suprimirán, se anonimizarán o se transferirán a los archivos contemplados en el artículo 13 del Reglamento.
Artículo 5
Participación del delegado de protección de datos
1. Cuando los derechos de los interesados estén limitados de conformidad con la presente Decisión, se informará de ello sin demora al delegado de protección de datos de la Agencia. Se le dará acceso a los registros correspondientes y a todos los documentos relativos al contexto fáctico o jurídico.
2. El delegado de protección de datos de la Agencia podrá solicitar que se revisen las limitaciones aplicadas. La Agencia informará por escrito del resultado de la revisión a su delegado de protección de datos.
3. La Agencia documentará la participación del delegado de protección de datos en la aplicación de las limitaciones, incluida la información que se comparta con él.
Artículo 6
Información dirigida a los interesados sobre las limitaciones de sus derechos
1. La Agencia incluirá una sección, en los avisos de protección de datos publicados en su intranet, donde proporcione información general a los interesados sobre la posible limitación de sus derechos, de conformidad con el artículo 2, apartado 1. Esta información cubrirá los derechos que pueden ser objeto de limitaciones, los motivos por los que pueden aplicarse las limitaciones y su posible duración.
2. La Agencia informará a los interesados, individualmente, por escrito y sin demora injustificada, de las limitaciones actuales o futuras de sus derechos. La Agencia informará al interesado de los motivos principales en los que se fundamenta la limitación aplicada, de su derecho a consultar al delegado de protección de datos con el fin de impugnar la limitación y de su derecho a presentar una reclamación ante el SEPD.
3. La Agencia podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso. Tan pronto como dicha comunicación de información deje de anular el efecto de la limitación, la Agencia facilitará la información al interesado.
Artículo 7
Comunicación de una violación de la seguridad de los datos personales al interesado
1. Cuando la Agencia tenga la obligación de comunicar una violación de la seguridad de los datos con arreglo al artículo 35, apartado 1, del Reglamento, podrá, en casos excepcionales, limitar dicha comunicación total o parcialmente. La Agencia documentará en una nota los motivos de la limitación, su fundamento jurídico de conformidad con el artículo 2 y una evaluación de su necesidad y proporcionalidad. La nota se comunicará al SEPD en el momento en que se notifique la violación de la seguridad de los datos personales.
2. Cuando dejen de ser aplicables las razones de la limitación, la Agencia comunicará al interesado la violación de la seguridad de los datos personales y le informará de los motivos principales de la limitación, así como de su derecho a presentar una reclamación ante el SEPD.
Artículo 8
Confidencialidad de las comunicaciones electrónicas
1. En circunstancias excepcionales, la Agencia podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas previsto en el artículo 36 del Reglamento. Dichas limitaciones se ajustarán a lo dispuesto en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (4).
2. En caso de que la Agencia limite el derecho a la confidencialidad de las comunicaciones electrónicas, informará al interesado de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD.
3. La Agencia podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso.
Artículo 9
Entrada en vigor
La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Aprobada por el Consejo de Administración mediante procedimiento escrito.
19 de abril de 2021.
Laura BURKE
Presidenta del Consejo de Administración de la AEMA
(1) DO L 295 de 21.11.2018, p. 39.
(2) DO L 126 de 21.5.2009, p. 13.
(3) Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas especificas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).
(4) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).