02000Q3614 — ES — 23.04.2020 — 013.001

---

Este texto es exclusivamente un instrumento de documentación y no surte efecto jurídico. Las instituciones de la UE no asumen responsabilidad alguna por su contenido. Las versiones auténticas de los actos pertinentes, incluidos sus preámbulos, son las publicadas en el Diario Oficial de la Unión Europea, que pueden consultarse a través de EUR-Lex. Los textos oficiales son accesibles directamente mediante los enlaces integrados en este documento

►B	REGLAMENTO INTERNO DE LA COMISIÓN [C(2000) 3614] (DO L 308 de 8.12.2000, p. 26)

Modificado por:

		Diario Oficial
		n°	página	fecha
►M1	DECISIÓN DE LA COMISIÓN 2001/844/CE, CECA, Euratom de 29 de noviembre de 2001	L 317	1	3.12.2001
►M2	Modificado por: DECISIÓN DE LA COMISIÓN 2005/94/CE, Euratom de 3 de febrero de 2005	L 31	66	4.2.2005
►M3	Modificado por: DECISIÓN DE LA COMISIÓN 2006/70/CE, Euratom de 31 de enero de 2006	L 34	32	7.2.2006
►M4	Modificado por: DECISIÓN DE LA COMISIÓN 2006/548/CE, Euratom de 2 de agosto de 2006	L 215	38	5.8.2006
►M5	DECISIÓN DE LA COMISIÓN 2001/937/CE, CECA, Euratom de 5 de diciembre de 2001	L 345	94	29.12.2001
►M6	DECISIÓN DE LA COMISIÓN 2002/47/CE, CECA, Euratom de 23 de enero de 2002	L 21	23	24.1.2002
M7	DECISIÓN DE LA COMISIÓN 2003/246/CE, Euratom de 26 de marzo de 2003	L 92	14	9.4.2003
►M8	DECISIÓN DE LA COMISIÓN 2004/563/CE, Euratom de 7 de julio de 2004	L 251	9	27.7.2004
M9	DECISIÓN DE LA COMISIÓN 2005/960/CE, Euratom de 15 de noviembre de 2005	L 347	83	30.12.2005
►M10	DECISIÓN DE LA COMISIÓN 2006/25/CE, Euratom de 23 de diciembre de 2005	L 19	20	24.1.2006
►M11	DECISIÓN DE LA COMISIÓN 2007/65/CE de 15 de diciembre de 2006	L 32	144	6.2.2007
►M12	DECISIÓN DE LA COMISIÓN 2008/401/CE, Euratom de 30 de abril de 2008	L 140	22	30.5.2008
►M13	DECISIÓN DE LA COMISIÓN 2010/138/UE, Euratom de 24 de febrero de 2010	L 55	60	5.3.2010
►M14	DECISIÓN DE LA COMISIÓN 2011/737/UE, Euratom de 9 de noviembre de 2011	L 296	58	15.11.2011
►M15	DECISIÓN (UE, EURATOM) 2020/555 DE LA COMISIÓN de 22 de abril de 2020	L 127I	1	22.4.2020

---

▼B

REGLAMENTO INTERNO DE LA COMISIÓN

[C(2000) 3614]

▼M13

CAPÍTULO I

LA COMISIÓN

Artículo 1

Colegialidad

La Comisión actuará de forma colegiada en virtud de las disposiciones del presente Reglamento interno y respetando las prioridades que se haya fijado en el marco de las orientaciones políticas establecidas por el Presidente, con arreglo al artículo 17, apartado 6, del Tratado UE.

Artículo 2

Orientaciones políticas, prioridades, programa de trabajo y presupuesto

En el respeto de las orientaciones políticas establecidas por el Presidente, la Comisión fijará sus prioridades y las reflejará en el programa de trabajo y el proyecto de presupuesto que adoptará anualmente.

Artículo 3

El Presidente

1.  El Presidente establecerá las orientaciones políticas con arreglo a las cuales la Comisión desempeñará sus funciones ( 1 ). Orientará los trabajos de la Comisión a fin de garantizar su realización.

2.  El Presidente determinará la organización interna de la Comisión velando por la coherencia, eficacia y colegialidad de su actuación ( 2 ).

Sin perjuicio del artículo 18, apartado 4, del TUE, el Presidente asignará a los Miembros de la Comisión determinados sectores de actividad, en los que serán específicamente responsables de la preparación de los trabajos de la Comisión y de la ejecución de sus decisiones ( 3 ).

El Presidente podrá pedir a los Miembros de la Comisión que realicen acciones específicas con vistas a asegurar que se lleven a cabo las orientaciones políticas establecidas por el Presidente y las prioridades fijadas por la Comisión.

Podrá modificar dichas asignaciones en cualquier momento ( 4 ).

Los Miembros de la Comisión ejercerán las funciones que les atribuya el Presidente bajo la autoridad de este (4) .

3.  El Presidente nombrará Vicepresidentes, distintos del Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad, de entre los Miembros de la Comisión ( 5 ) y fijará el orden de precedencia dentro de la Comisión.

4.  El Presidente podrá constituir grupos de Miembros de la Comisión y designará al presidente de tales grupos, fijará su mandato y modalidades de funcionamiento y determinará su composición y duración.

5.  El Presidente asumirá la representación de la Comisión. Designará asimismo a los Miembros de la Comisión encargados de asistirle en esta función.

6.  Sin perjuicio del artículo 18, apartado 1, del TUE, un Miembro de la Comisión presentará su dimisión si se lo pide el Presidente ( 6 ).

Artículo 4

Procedimientos de decisión

Las decisiones de la Comisión se adoptarán:

SECCIÓN 1

Reuniones de la Comisión

Artículo 5

Convocatoria

1.  Las reuniones de la Comisión serán convocadas por el Presidente.

2.  Por regla general, la Comisión celebrará como mínimo una reunión por semana. Se reunirá además cada vez que sea necesario.

▼M15

En circunstancias excepcionales, si algunos o todos los miembros de la Comisión no pudieran asistir a una reunión de la Comisión en persona, el Presidente podrá invitarles a participar mediante sistemas de telecomunicaciones que permitan su identificación y su participación efectiva.

▼M13

3.  Los Miembros de la Comisión deberán asistir a todas las reuniones. En caso de impedimento informarán al Presidente, a su debido tiempo, de las razones de su ausencia. El Presidente valorará cualquier circunstancia que pudiera inducirles a no respetar estas obligaciones.

Artículo 6

Orden del día de las reuniones de la Comisión

1.  El Presidente establecerá el orden del día de cada reunión de la Comisión.

2.  Sin perjuicio de la facultad del Presidente de establecer el orden del día, cualquier propuesta que suponga gastos significativos deberá presentarse de acuerdo con el Miembro de la Comisión responsable del presupuesto.

3.  Todo asunto cuya inclusión en el orden del día haya sido propuesto por un Miembro de la Comisión deberá comunicarse al Presidente en las condiciones establecidas por la Comisión, con arreglo a las disposiciones de aplicación contempladas en el artículo 28 del presente Reglamento interno, en lo sucesivo denominadas «las disposiciones de aplicación».

4.  El orden del día y los documentos de trabajo necesarios se comunicarán a los Miembros de la Comisión en las condiciones fijadas con arreglo a las disposiciones de aplicación.

5.  La Comisión podrá, a propuesta de su Presidente, discutir un asunto no incluido en el orden del día o respecto del cual los documentos de trabajo necesarios hayan sido distribuidos tardíamente.

Artículo 7

Quórum

El número de Miembros cuya presencia sea necesaria para que la Comisión pueda adoptar acuerdos válidamente será igual a la mayoría del número de Miembros previsto en el Tratado.

▼M15

Cuando el Presidente haga uso de lo dispuesto en el artículo 5, apartado 2, párrafo segundo, se considerará que están presentes a efectos del quórum los miembros de la Comisión que participen en las deliberaciones por medio de los sistemas de telecomunicaciones a los que se hace referencia en dicha disposición.

▼M13

Artículo 8

Toma de decisiones

1.  La Comisión decidirá a propuesta de uno o varios de sus Miembros.

2.  La Comisión procederá a una votación a petición de uno de sus Miembros. La votación se referirá al proyecto inicial o a un proyecto modificado por el Miembro o los Miembros responsables de la iniciativa o por el Presidente.

3.  Las decisiones de la Comisión se adoptarán por la mayoría del número de Miembros previsto en el Tratado.

4.  El Presidente dará constancia del resultado de las deliberaciones, el cual se incluirá en el acta de la reunión con arreglo al artículo 11 del presente Reglamento interno.

Artículo 9

Confidencialidad

Las reuniones de la Comisión no serán públicas. Los debates serán confidenciales.

Artículo 10

Presencia de funcionarios y otras personas

1.  Salvo decisión en contrario de la Comisión, el Secretario General y el Jefe de Gabinete del Presidente asistirán a las reuniones. Las disposiciones de aplicación determinarán las condiciones en que se autorizará la asistencia de otras personas a las reuniones.

2.  En caso de ausencia de un Miembro de la Comisión, su Jefe de Gabinete podrá asistir a la reunión y, a invitación del Presidente, exponer la opinión del Miembro ausente.

3.  La Comisión podrá decidir que sea oída cualquier otra persona.

▼M15

4.  Cuando el Presidente haga uso de lo dispuesto en el artículo 5, apartado 2, párrafo segundo, las personas mencionadas en los apartados 1 a 3 podrán asistir a las reuniones por medio de los sistemas de telecomunicaciones a que se hace referencia en dicha disposición.

▼M13

Artículo 11

Actas

1.  Se levantará acta de cada reunión de la Comisión.

2.  Los proyectos de acta serán sometidos a la aprobación de la Comisión en una reunión ulterior. Las actas aprobadas serán autenticadas con la firma del Presidente y del Secretario General.

SECCIÓN 2

Otros procedimientos de decisión

Artículo 12

Decisiones mediante procedimiento escrito

1.  El acuerdo de los Miembros de la Comisión sobre un proyecto que emane de uno o varios de ellos podrá hacerse constar mediante procedimiento escrito, siempre que previamente haya obtenido el dictamen favorable del Servicio Jurídico y el acuerdo de los servicios debidamente consultados con arreglo a las condiciones establecidas en el artículo 23 del presente Reglamento interno.

Dicho dictamen favorable o dichos acuerdos podrá(n) sustituirse por un acuerdo entre los Miembros de la Comisión cuando el inicio de un procedimiento escrito de finalización, según se define en las disposiciones de aplicación, se decida en una reunión del Colegio a propuesta del Presidente.

2.  A tal fin, el texto del proyecto se comunicará por escrito a todos los Miembros de la Comisión, en las condiciones que esta determine con arreglo a las disposiciones de aplicación, junto con el plazo fijado para dar a conocer las reservas o las enmiendas a que pudiera dar lugar dicho proyecto.

3.  Todo Miembro de la Comisión podrá solicitar durante el procedimiento escrito que el proyecto sea sometido a debate. A tal efecto, enviará al Presidente una solicitud motivada.

4.  Todo proyecto sobre el cual ningún Miembro de la Comisión haya formulado o mantenido una solicitud de suspensión al término del plazo fijado en un procedimiento escrito se considerará adoptado por la Comisión.

▼M14

5.  Todo miembro de la Comisión que desee suspender un procedimiento escrito en el ámbito de la coordinación y de la vigilancia de las políticas económicas y presupuestarias de los Estados miembros, en particular en la zona euro, deberá dirigir al presidente una solicitud motivada en este sentido, indicando explícitamente los elementos del proyecto de decisión a que se refiere, sobre la base de una evaluación imparcial y objetiva del momento, de la estructura, del razonamiento o del resultado de la decisión propuesta.

En caso de que el Presidente estime que dicha motivación no está justificada y de que se mantenga la solicitud de suspensión, podrá rechazar esta última y decidir que el procedimiento escrito siga su curso; en este caso, el Secretario General solicitará la opinión de los demás miembros de la Comisión para asegurarse de que se respeta el quorum establecido en el artículo 250 del Tratado de Funcionamiento de la Unión Europea. El Presidente podrá asimismo incluir el punto, para su adopción, en el orden del día de la próxima reunión de la Comisión.

▼M13

Artículo 13

Decisiones mediante procedimiento de habilitación

1.  La Comisión podrá, siempre que se respete plenamente el principio de su responsabilidad colegiada, habilitar a uno o varios de sus Miembros para adoptar en su nombre medidas de gestión o de administración, dentro de los límites y condiciones que ella misma establezca.

2.  La Comisión podrá asimismo encargar a uno o varios de sus Miembros, de acuerdo con el Presidente, la adopción del texto definitivo de un acto o de una propuesta que deba someterse a las demás instituciones y cuya sustancia haya definido en sus deliberaciones.

3.  Las competencias así atribuidas podrán ser objeto de subdelegación en los Directores Generales y Jefes de Servicio, salvo que en la decisión de habilitación figure una prohibición expresa en este sentido.

4.  Las disposiciones de los párrafos primero, segundo y tercero se aplicarán sin perjuicio de las normas relativas a las delegaciones en materia financiera y a las competencias atribuidas a la Autoridad Facultada para Proceder a los Nombramientos y a la Autoridad Facultada para Proceder a las Contrataciones.

Artículo 14

Decisiones mediante procedimiento de delegación

La Comisión podrá, siempre que se respete plenamente el principio de su responsabilidad colegiada, delegar la adopción en su nombre de medidas de gestión o de administración en los Directores Generales y Jefes de Servicio, dentro de los límites y condiciones que ella misma establezca.

Artículo 15

Subdelegación de decisiones individuales de concesión de subvenciones y adjudicación de contratos

El Director General o el Jefe de Servicio a quien se hubieren delegado o subdelegado competencias, con arreglo a los artículos 13 y 14, para la adopción de decisiones de financiación, podrá decidir subdelegar la toma de determinadas decisiones de selección de proyectos y de determinadas decisiones individuales de concesión de subvenciones y de adjudicación de contratos públicos al Director competente o, previo acuerdo del Miembro de la Comisión responsable, al Jefe de Unidad competente, dentro de los límites y condiciones que establecen las disposiciones de aplicación.

Artículo 16

Información sobre las decisiones adoptadas

Las decisiones adoptadas mediante procedimiento escrito, procedimiento de habilitación y procedimiento de delegación se recogerán en una nota diaria o semanal de la que se dejará constancia en el acta de la reunión de la Comisión más inmediata.

SECCIÓN 3

Disposiciones comunes a los procedimientos de toma de decisiones

Artículo 17

Autenticación de los actos adoptados por la Comisión

1.  Los actos adoptados en una reunión se adjuntarán de manera indisociable, en la lengua o lenguas en que sean auténticos, a la nota recapitulativa elaborada con motivo de la reunión de la Comisión durante la cual se hayan adoptado. Dichos actos serán autenticados mediante las firmas del Presidente y del Secretario General, que se estamparán en la última página de la nota recapitulativa.

▼M15

Cuando el Presidente haga uso de lo dispuesto en el artículo 5, apartado 2, párrafo segundo, y cuando las circunstancias impidan la firma de la nota de síntesis, el consentimiento expreso por escrito del Presidente y del Secretario General de la Comisión podrá, excepcionalmente, sustituir sus firmas respectivas y se adjuntará a dicha nota.

▼M13

2.  Los actos no legislativos de la Comisión contemplados en el artículo 297, apartado 2, del TFUE adoptados por procedimiento escrito serán autenticados mediante las firmas del Presidente y del Secretario General, que se estamparán en la última página de la nota recapitulativa mencionada en el apartado anterior, a menos que tales actos deban publicarse y entrar en vigor antes de la siguiente reunión de la Comisión. A efectos de esta autenticación, se adjuntará de manera indisociable a la nota recapitulativa contemplada en el apartado anterior una copia de las notas diarias mencionadas en el artículo 16 del presente Reglamento interno.

Los demás actos adoptados mediante procedimiento escrito y los actos adoptados mediante procedimiento de habilitación con arreglo al artículo 12 y al artículo 13, apartados 1 y 2, del presente Reglamento interno, se adjuntarán de manera indisociable, en la lengua o lenguas en que sean auténticos, a la nota diaria mencionada en el artículo 16 del presente Reglamento interno. Dichos actos serán autenticados mediante la firma del Secretario General, que se estampará en la última página de la nota diaria.

3.  Los actos adoptados mediante procedimiento de delegación, o por subdelegación, se adjuntarán de manera indisociable, por medio de la aplicación informática prevista a tal fin, en la lengua o lenguas en que sean auténticos, a la nota diaria mencionada en el artículo 16 del presente Reglamento interno. Dichos actos serán autenticados mediante una declaración de conformidad firmada por el funcionario subdelegado o delegado con arreglo al artículo 13, apartado 3, y a los artículos 14 y 15 del presente Reglamento interno.

4.  A los efectos del presente Reglamento interno se entenderá por «actos» los actos que revistan alguna de las formas contempladas en el artículo 288 del TFUE.

5.  A los efectos del presente Reglamento, se entenderá por «lenguas auténticas» todas las lenguas oficiales de la Unión Europea sin perjuicio de la aplicación del Reglamento (CE) no 920/2005 del Consejo ( 7 ) cuando se trate de actos de alcance general y, en los demás casos, las de sus destinatarios.

SECCIÓN 4

Preparación y ejecución de las decisiones de la Comisión

Artículo 18

Grupos de Miembros de la Comisión

Los grupos de Miembros de la Comisión contribuirán a la coordinación y preparación de los trabajos de la Comisión con arreglo a las orientaciones políticas y el mandato establecidos por el Presidente.

Artículo 19

Gabinetes y relaciones con los servicios

1.  Los Miembros de la Comisión dispondrán de un Gabinete encargado de asistirles en el cumplimiento de sus tareas y en la preparación de las decisiones de la Comisión. El Presidente establecerá las normas relativas a la composición y el funcionamiento de los gabinetes.

2.  Ateniéndose a los principios establecidos por el Presidente, los Miembros de la Comisión aprobarán las modalidades de trabajo junto con los servicios que estén bajo su responsabilidad. Dichas modalidades especificarán, en particular, la manera en que el Miembro de la Comisión dará sus instrucciones a los servicios interesados, de los que recibirá con regularidad toda la información correspondiente a su ámbito de actividad que sea necesaria para el ejercicio de sus responsabilidades.

Artículo 20

El Secretario General

1.  El Secretario General asistirá al Presidente con objeto de que, en el marco de las orientaciones políticas establecidas por este, la Comisión realice las prioridades que se haya fijado.

2.  El Secretario General contribuirá a garantizar la coherencia política organizando la coordinación necesaria entre los servicios desde el comienzo de los trabajos preparatorios, de conformidad con lo dispuesto, entre otros, en el artículo 23 del presente Reglamento interno.

Velará por la calidad de fondo y la observancia de las reglas de forma de los documentos presentados a la Comisión y, en este contexto, contribuirá a su conformidad con los principios de subsidiariedad y proporcionalidad, con las obligaciones exteriores, con las consideraciones interinstitucionales y con la estrategia de comunicación de la Comisión.

3.  El Secretario General asistirá al Presidente en la preparación de los trabajos y en la celebración de las reuniones de la Comisión.

Asistirá también a los presidentes de los grupos de Miembros creados con arreglo al artículo 3, apartado 4, del presente Reglamento interno en la preparación y celebración de las reuniones de dichos grupos. Facilitará la secretaría de estos grupos.

4.  El Secretario General garantizará la aplicación de los procedimientos de decisión y velará por la ejecución de las decisiones mencionadas en el artículo 4 del presente Reglamento interno.

En particular, y salvo en casos específicos, adoptará las medidas necesarias para garantizar la notificación y publicación en el Diario Oficial de la Unión Europea de los actos de la Comisión, así como la remisión a las demás instituciones de la Unión Europea de los documentos de la Comisión y de sus servicios.

Se hará cargo de la difusión de la información escrita que los Miembros de la Comisión deseen hacer circular en el seno de esta.

5.  El Secretario General tendrá a su cargo las relaciones oficiales con las demás instituciones de la Unión Europea, sin perjuicio de las competencias que la Comisión decida ejercer por sí misma o atribuir a sus Miembros o a sus servicios.

En este contexto, velará por garantizar la coherencia general mediante una coordinación entre servicios durante los trabajos de las demás instituciones.

6.  El Secretario General garantizará que la Comisión reciba una información apropiada sobre los avances de los procedimientos internos e interinstitucionales.

CAPÍTULO II

LOS SERVICIOS DE LA COMISIÓN

Artículo 21

Estructura de los servicios

La Comisión creará, con objeto de preparar y ejecutar su acción y realizar sus prioridades y las orientaciones políticas establecidas por el Presidente, un conjunto de servicios estructurados en Direcciones Generales y servicios asimilados.

En principio, las Direcciones Generales y servicios asimilados se dividirán en Direcciones, y las Direcciones en Unidades.

Artículo 22

Constitución de funciones y de estructuras específicas

Para responder a necesidades concretas, el Presidente podrá crear funciones y estructuras específicas encargadas de cometidos precisos y determinará sus atribuciones y modalidades de funcionamiento.

Artículo 23

Cooperación y coordinación entre servicios

1.  A fin de garantizar la eficacia de la acción de la Comisión, los servicios trabajarán en estrecha cooperación y de manera coordinada desde el inicio de la elaboración o ejecución de las decisiones.

2.  El servicio responsable de preparar una iniciativa velará, desde el inicio de los trabajos preparatorios, por la coordinación efectiva entre todos los servicios que tengan un interés legítimo en tal iniciativa en virtud de sus ámbitos de competencia y atribuciones o en razón de la naturaleza de los asuntos.

3.  Antes de someter un documento a la Comisión, el servicio responsable procederá a su debido tiempo a consultar a los servicios que tengan un interés legítimo en el proyecto, con arreglo a las disposiciones de aplicación.

4.  La consulta al Servicio Jurídico será obligatoria en todos los proyectos de actos y propuestas de actos jurídicos, así como en todos los documentos que puedan tener consecuencias de orden jurídico.

Dicha consulta será siempre obligatoria a efectos del inicio de los procedimientos de decisión contemplados en los artículos 12, 13 y 14 del presente Reglamento interno, salvo en el caso de las decisiones relativas a actos normalizados que previamente hayan obtenido su acuerdo (actos repetitivos). No será necesaria para los actos mencionados en el artículo 15 del presente Reglamento interno.

5.  La consulta a la Secretaría General será obligatoria para todas las iniciativas que:

así como para toda posición o iniciativa conjunta que pueda conllevar un compromiso de la Comisión de cara a las demás instituciones u órganos.

▼M14

5 bis.  Es obligatorio consultar a la Dirección General de Asuntos Económicos y Financieros para cualquier iniciativa que se refiera o tenga un posible impacto en el crecimiento, la competitividad o la estabilidad económica en la Unión Europea o en la zona Euro.

▼M13

6.  Excepto en el caso de los actos mencionados en el artículo 15 del presente Reglamento interno, la consulta a la Dirección General responsable del presupuesto y a la Dirección General responsable de los recursos humanos será obligatoria en todos los documentos que puedan afectar, respectivamente, al presupuesto, las finanzas, el personal y la administración. Se consultará asimismo, cuando sea necesario, al servicio responsable de la lucha contra el fraude.

7.  El servicio responsable procurará formular una propuesta que obtenga el acuerdo de los servicios consultados. Sin perjuicio de lo dispuesto en el artículo 12 del presente Reglamento interno, en caso de desacuerdo deberá adjuntar a su propuesta los dictámenes divergentes de dichos servicios.

CAPÍTULO III

SUSTITUCIONES

Artículo 24

Continuidad del servicio

Los Miembros de la Comisión y los servicios velarán por la adopción de toda medida pertinente con vistas a garantizar la continuidad del servicio, dentro del respeto de las disposiciones establecidas al efecto por la Comisión o por el Presidente.

Artículo 25

Sustitución del Presidente

Las funciones del Presidente serán ejercidas, en caso de impedimento de este, por un Vicepresidente o un Miembro siguiendo el orden establecido por el Presidente.

Artículo 26

Sustitución del Secretario General

Las funciones del Secretario General serán ejercidas, en caso de impedimento de este o cuando el puesto esté vacante, por el Secretario General Adjunto presente de mayor grado o, en caso de igualdad en el grado, por el de más antigüedad en el grado o, en caso de igualdad en la antigüedad, por el de más edad, o por un funcionario designado por la Comisión.

A falta de un Secretario General Adjunto presente o de la designación de un funcionario por la Comisión, ejercerá la sustitución el funcionario subordinado presente del grupo de funciones más alto y de mayor grado o, en caso de igualdad en el grado, el de más antigüedad en el grado o, en caso de igualdad en la antigüedad, el de más edad.

Artículo 27

Sustitución de los superiores jerárquicos

1.  Un Director General que no pueda ejercer sus funciones o cuyo puesto quede vacante será sustituido por el Director General Adjunto presente de mayor grado o, en caso de igualdad en el grado, por el de más antigüedad en el grado o, en caso de igualdad en la antigüedad, por el de más edad, o por un funcionario designado por la Comisión.

A falta de un Director General Adjunto presente o de la designación de un funcionario por la Comisión, ejercerá la sustitución el funcionario subordinado presente del grupo de funciones más alto y de mayor grado o, en caso de igualdad en el grado, el de más antigüedad en el grado o, en caso de igualdad en la antigüedad, el de más edad.

2.  Un Jefe de Unidad que no pueda ejercer sus funciones o cuyo puesto quede vacante será sustituido por el Jefe de Unidad Adjunto o por un funcionario designado por el Director General.

A falta de un Jefe de Unidad Adjunto presente o de la designación de un funcionario por el Director General, ejercerá la sustitución el funcionario subordinado presente del grupo de funciones más alto y de mayor grado o, en caso de igualdad en el grado, el de más antigüedad en el grado o, en caso de igualdad en la antigüedad, el de más edad.

3.  Cualquier otro superior jerárquico que no pueda ejercer sus funciones o cuyo puesto quede vacante será sustituido por un funcionario designado por el Director General, de acuerdo con el Miembro de la Comisión responsable. A falta de tal designación, ejercerá la sustitución el funcionario subordinado presente del grupo de funciones más alto y de mayor grado o, en caso de igualdad en el grado, el de más antigüedad en el grado o, en caso de igualdad en la antigüedad, el de más edad.

CAPÍTULO IV

DISPOSICIONES FINALES

Artículo 28

La Comisión establecerá, en la medida en que sea necesario, las disposiciones de aplicación del presente Reglamento interno.

La Comisión podrá adoptar medidas adicionales relativas al funcionamiento de la Comisión y de sus servicios, teniendo en cuenta los desarrollos tecnológicos e informáticos.

Artículo 29

El presente Reglamento interno entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

▼B

---

ANEXO

CÓDIGO DE BUENA CONDUCTA ADMINISTRATIVA PARA EL PERSONAL DE LA COMISIÓN EUROPEA EN SUS RELACIONES CON EL PÚBLICO

Servicio de calidad

La Comisión y su personal tienen el deber de servir al interés comunitario y, de este modo, al interés público.

El público espera legítimamente un servicio de calidad y una administración abierta, accesible y debidamente gestionada.

Un servicio de calidad exige de la Comisión y su personal cortesía, objetividad e imparcialidad.

Propósito

Para permitir que la Comisión cumpla sus deberes de buena conducta administrativa y, en particular, en las relaciones de la Comisión con el público, la Comisión se compromete a observar las normas de buena conducta administrativa establecidas en este Código y a guiarse por ellas en su trabajo diario.

Ámbito

El Código vincula a todo el personal cubierto por el Estatuto aplicable a los funcionarios y otros agentes de las Comunidades Europeas (en lo sucesivo denominado «el Estatuto») y las demás disposiciones sobre las relaciones entre la Comisión y su personal aplicables a funcionarios y otros agentes de las Comunidades Europeas. Sin embargo, las personas empleadas con contratos de Derecho privado, los expertos en comisión de servicios de la función pública nacional, los becarios, etc., que trabajan para la Comisión deberán también guiarse por él en su trabajo diario.

Las relaciones entre la Comisión y su personal se rigen exclusivamente por el Estatuto y las reglamentaciones aplicables a otros agentes de las Comunidades Europeas.

1.   PRINCIPIOS GENERALES DE BUENA ADMINISTRACIÓN

La Comisión respetará los siguientes principios generales en sus relaciones con el público:

2.   DIRECTRICES PARA LA BUENA CONDUCTA ADMINISTRATIVA

Objetividad e imparcialidad

El personal actuará siempre con objetividad e imparcialidad, en pos del interés comunitario y del bien común. Actuará independientemente dentro del marco de la política fijada por la Comisión y su conducta nunca se guiará por el interés personal o nacional ni la presión política.

Información sobre procedimientos administrativos

En los casos en que un ciudadano requiera una información relativa a un procedimiento administrativo de la Comisión, el personal velará por que esta información se proporcione en el plazo fijado para el procedimiento en cuestión.

3.   INFORMACIÓN SOBRE LOS DERECHOS DE LAS PARTES INTERESADAS

Audiencia de todas las partes directamente interesadas

En los casos en que el Derecho comunitario prevea oír a las partes interesadas, el miembro del personal responsable velará por que tengan ocasión de formular sus observaciones.

Obligación de motivar las decisiones

Una decisión de la Comisión debe exponer claramente las razones en que se basa y comunicarse a las personas y partes afectadas.

Por regla general, debe carse la motivación completa de las decisiones. Sin embargo, cuando, por ejemplo, a causa del gran número de personas afectadas por decisiones similares, no sea posible comunicar detalladamente los motivos de decisiones individuales, podrán darse respuestas tipo. Estas respuestas tipo incluirán las principales razones que justifiquen la decisión tomada. Además, la motivación detallada se proporcionará a la parte interesada que lo solicite expresamente.

Obligación de indicar los posibles recursos

En los casos en que el Derecho comunitario así lo prevea, las decisiones notificadas a una parte interesada deberán establecer claramente la posibilidad de recurso y cómo interponerlo (nombre y apellidos y dirección administrativa de la persona o del servicio ante el que deba interponerse el recurso y plazo para hacerlo).

En su caso, las decisiones harán referencia a la posibilidad de iniciar un procedimiento judicial o de presentar una reclamación ante el Defensor del Pueblo Europeo de conformidad con el artículo 230 o con el artículo 195 del Tratado constitutivo de la Comunidad Europea.

4.   TRAMITACIÓN DE LAS SOLICITUDES

La Comisión se compromete a responder a las solicitudes de la manera más apropiada y rápida posible.

Solicitud de documentos

Si un documento ya ha sido publicado, debe remitirse al solicitante a la Oficina de Publicaciones de las Comunidades Europeas, agentes de ventas o centros de documentación o información que proporcionan libre acceso a documentos, tales como Centros de información europeos, Centros de documentación europeos, etc. Muchos documentos también están disponibles en formato electrónico.

Las normas sobre acceso a documentos son objeto de una medida específica.

Correspondencia

De conformidad con el artículo 21 del Tratado constitutivo de la Comunidad Europea, el correo destinado a la Comisión recibirá una respuesta en la lengua que se use, a condición de que las lenguas oficiales de la Comunidad Europea.

La respuesta a las cartas dirigidas a la Comisión se enviarán en un plazo de quince días hábiles desde la fecha de recepción de la carta en el servicio competente de la Comisión. La respuesta deberá identificar a la persona responsable del asunto e indicar cómo puede establecerse contacto con ella.

Si la respuesta no puede enviarse en el plazo de quince días hábiles, y siempre que la respuesta requiera más gestiones, como una consulta interservicios o una traducción, el miembro del personal responsable enviará una respuesta provisional, indicando la fecha en la que el destinatario puede esperar la contestación en razón de este trabajo adicional, teniendo en cuenta la urgencia y complejidad relativas del asunto.

Si la respuesta debiera elaborarse por un servicio diferente de aquel al que inicialmente se dirigió la correspondencia, el solicitante será informado del nombre y apellidos y de la dirección administrativa de la persona a quien se ha remitido la carta.

Estas normas no se aplican a la correspondencia que razonablemente puede considerarse incorrecta, por ejemplo, por repetitiva, abusiva o insustancial. En esos casos, la Comisión se reserva el derecho a interrumpir tales intercambios de correspondencia.

Comunicación telefónica

El miembro del personal que consteste al teléfono se identificará con su nombre y apellidos o con el nombre de su servicio. Las llamadas telefónicas se responderán lo antes posible.

El miembro del personal de que se trate proporcionará información sobre los temas de que sea directamente responsable y dirigirá al interesado a la fuente apropiada específica en los demás casos. Si es necesario, remitirá a los interesados a su superior o le consultará antes de dar la información.

Cuando las solicitudes se refieran a áreas de las que el miembro del personal sea directamente responsable, determinará la identidad del interesado y comprobará si la información ya se ha hecho pública antes de divulgarla. Si no es el caso, el miembro del personal podrá considerar que revelar dicha información no redunda en interés de la Comunidad. En este caso, explicará por qué no puede revelarla y, cuando proceda, hará referencia a la obligación de discreción según lo fijado en el artículo 17 del Estatuto.

En su caso, el miembro del personal pedirá la confirmación por escrito de las solicitudes hechas por teléfono.

Correo electrónico

El personal contestará rápidamente a los mensajes de correo electrónico con arreglo a las Directrices descritas en la sección sobre comunicaciones telefónicas.

Sin embargo, cuando el mensaje de correo electrónico sea, por su naturaleza, el equivalente de una carta, se tramitará según las normas del tratamiento de la correspondencia y estará sujeto a los mismos plazos.

Solicitudes de los medios de comunicación

El Servicio de prensa y comunicación es responsable de las relaciones con los medios de comunicación. Sin embargo, el personal podrá responder a las solicitudes de información cuando se refieran a temas técnicos comprendidos dentro de sus áreas de responsabilidad específicas.

5.   PROTECCIÓN DE LOS DATOS PERSONALES E INFORMACIÓN CONFIDENCIAL

La Comisión y su personal respetarán, en particular:

6.   RECLAMACIONES

Comisión Europea

Podrán presentarse reclamaciones sobre uno eventual infracción de los principios establecidos en este código directamente ante la Secretaría General ( 8 ) de la Comisión Europea, que las enviará al servicio competente.

El Director General o el Jefe de Servicio contestará al denunciante por escrito en el plazo de dos meses. El denunciante entonces tendrá un mes para solicitar al Secretario General de la Comisión la revisión de la respuesta a la reclamación. El Secretario General contestará a la solicitud de revisión en el plazo de un mes.

Defensor del Pueblo Europeo

Tambien podrán presentarse reclamaciones ante el Defensor del Pueblo Europeo de conformidad con el artículo 195 del Tratado constitutivo de la Comunidad Europea y con el Estatuto del Defensor del Pueblo Europeo.

▼M1

DISPOSICIONES DE LA COMISIÓN EN MATERIA DE SEGURIDAD

Considerando lo siguiente:

(1)

A fin de desarrollar las actividades de la Comisión en los ámbitos que exigen un determinado grado de confidencialidad, es conveniente establecer un sistema exhaustivo de seguridad aplicable a la Comisión, las demás instituciones, órganos, oficinas y agencias establecidos en virtud del Tratado CE o del Tratado de la Unión Europea o sobre la base de dichos Tratados, y los Estados miembros, así como cualquier otro destinatario de información clasificada de la Unión Europea, denominada en lo sucesivo «información clasificada de la UE».

(2)

A fin de salvaguardar la eficacia del sistema de seguridad así establecido, la Comisión sólo facilitará información clasificada de la UE a los órganos externos que ofrezcan garantías de que han adoptado todas las medidas necesarias para aplicar normas estrictamente equivalentes a las presentes disposiciones.

(3)

Las presentes disposiciones se adoptan sin perjuicio de lo dispuesto en el Reglamento no 3, de 31 de julio de 1958, relativo a la aplicación del artículo 24 del Tratado constitutivo de la Comunidad Europea de la Energía Atómica ( 9 ), el Reglamento (CE) no 1588/90 del Consejo, de 11 de junio de 1990, relativo a la transmisión a la Oficina Estadística de las Comunidades Europeas de las informaciones amparadas por el secreto estadístico ( 10 ), y la Decisión C(95) 1510 final de la Comisión, de 23 de noviembre de 1995, sobre la protección de los sistemas informáticos.

(4)

El sistema de seguridad de la Comisión se basa en los principios presentados en la Decisión 2001/264/CE del Consejo, de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del Consejo ( 11 ), a fin de garantizar el correcto funcionamiento del proceso de adopción de decisiones de la Unión.

(5)	La Comisión subraya la importancia de que, cuando resulte adecuado, las demás instituciones queden asociadas a las normas de confidencialidad necesarias para proteger los intereses de la Unión y de sus Estados miembros.

(6)	La Comisión reconoce la necesidad de crear su propio concepto de seguridad, teniendo en cuenta todos los elementos relativos a la seguridad y el carácter específico de la Comisión como institución.

(7)

Las presentes disposiciones se adoptan sin perjuicio de lo dispuesto en el artículo 255 del Tratado y el Reglamento (CE) no 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión ( 12 ).

▼M3

(8)

Las presentes disposiciones se aplicarán sin perjuicio de lo establecido en el artículo 286 del Tratado y en el Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos.

▼M1

Artículo 1

Se establecen en el anexo las normas de la Comisión en materia de seguridad.

Artículo 2

1.  El miembro de la Comisión encargado de los asuntos de seguridad adoptará las medidas adecuadas para garantizar que, al tratarse información clasificada de la UE, se cumplan en la Comisión las normas a que se refiere el artículo 1 por parte de los funcionarios y otros agentes de la Comisión, del personal enviado a la Comisión en comisión de servicio, y en todos los locales de la Comisión, incluidas sus Representaciones y Oficinas en la Unión y sus Delegaciones en terceros países, así como por parte de los contratistas externos a la Comisión.

▼M4

Cuando un contrato o un acuerdo de subvención entre la Comisión y un contratista externo o un beneficiario implique el tratamiento de información clasificada de la UE en los locales del contratista o del beneficiario, las medidas apropiadas que deberá tomar dicho contratista externo o beneficiario para garantizar que se cumplan las normas mencionadas en el artículo 1, al tratar información clasificada de la UE, formarán parte integrante del acuerdo o contrato de subvención.

▼M1

2.  Los Estados miembros, las demás instituciones, órganos, oficinas y agencias establecidos en virtud o sobre la base de los Tratados estarán autorizados para recibir información clasificada de la UE siempre y cuando garanticen que, cuando se trate este tipo de información, se cumplan en sus servicios y locales normas estrictamente equivalentes a las normas a que se refiere el artículo 1, en particular por parte de:

Artículo 3

Los países terceros, las organizaciones internacionales y demás órganos estarán autorizados para recibir información clasificada de la UE siempre y cuando garanticen que, cuando se trate este tipo de información, se cumplan normas estrictamente equivalentes a las normas a que se refiere el artículo 1.

Artículo 4

De conformidad con los principios básicos y las normas mínimas de seguridad recogidos en la Parte I del anexo, el miembro de la Comisión encargado de los asuntos de seguridad podrá adoptar medidas con arreglo a lo dispuesto en la Parte II del anexo.

Artículo 5

Las presentes disposiciones sustituirán, a partir de la fecha de su aplicación, a las siguientes:

Artículo 6

A partir de la fecha de aplicación de las presentes disposiciones, toda la información clasificada en poder de la Comisión hasta esa fecha, a excepción de la información clasificada de Euratom:

---

ANEXO

NORMAS EN MATERIA DE SEGURIDAD

Índice
PARTE I:	PRINCIPIOS BÁSICOS Y NORMAS MÍNIMAS DE SEGURIDAD
1.	INTRODUCCIÓN
2.	PRINCIPIOS GENERALES
3.	FUNDAMENTOS DE LA SEGURIDAD
4.	PRINCIPIOS RELATIVOS A LA SEGURIDAD DE LA INFORMACIÓN
4.1.	Objetivos
4.2.	Definiciones
4.3.	Clasificación
4.4.	Objetivos de las medidas de seguridad
5.	ORGANIZACIÓN DE LA SEGURIDAD
5.1.	Normas mínimas comunes
5.2.	Organización
6.	SEGURIDAD DEL PERSONAL
6.1.	Habilitación del personal10
6.2.	Registro de las habilitaciones del personal
6.3.	Instrucción del personal en materia de seguridad
6.4.	Responsabilidad de gestión
6.5.	Situación del personal en materia de seguridad
7.	SEGURIDAD FÍSICA
7.1.	Necesidad de protección
7.2.	Comprobación
7.3.	Seguridad de los edificios
7.4.	Planes de emergencia
8.	SEGURIDAD DE LA INFORMACIÓN
9.	LUCHA CONTRA EL SABOTAJE Y CONTROL DE OTRAS FORMAS DE DAÑO INTENCIONADO
10.	DIFUSIÓN DE INFORMACIÓN CLASIFICADA A TERCEROS PAÍSES Y ORGANIZACIONES INTERNACIONALES
PARTE II:	ORGANIZACIÓN DE LA SEGURIDAD EN LA COMISIÓN
11.	EL MIEMBRO DE LA COMISIÓN ENCARGADO DE LA SEGURIDAD
12.	EL GRUPO CONSULTIVO SOBRE POLÍTICA DE SEGURIDAD DE LA COMISIÓN
13.	EL COMITÉ DE SEGURIDAD DE LA COMISIÓN
14.	LA ►M3  DIRECCIÓN DE SEGURIDAD DE LA COMISIÓN ◄
15.	INSPECCIONES DE SEGURIDAD
16.	CLASIFICACIONES, INDICACIONES Y MARCADOS DE SEGURIDAD
16.1.	Niveles de clasificación
16.2.	Indicaciones de seguridad
16.3.	Marcados14
16.4.	Estampación de la clasificación
16.5.	Estampación de las indicaciones de seguridad
17.	GESTIÓN DE LA CLASIFICACIÓN
17.1.	Aspectos generales
17.2.	Aplicación de las clasificaciones
17.3.	Recalificación y desclasificación
18.	SEGURIDAD FÍSICA
18.1.	Aspectos generales
18.2.	Requisitos de seguridad
18.3.	Medidas físicas de seguridad
18.3.1.	Zonas de seguridad
18.3.2.	Zona administrativa
18.3.3.	Control de entradas y salidas
18.3.4.	Patrullas de guardia
18.3.5.	Mobiliario de seguridad y cámaras acorazadas
18.3.6.	Cerraduras
18.3.7.	Control de las llaves y las combinaciones
18.3.8.	Dispositivos de detección de intrusos
18.3.9.	Equipo homologado
18.3.10.	Protección física de las fotocopiadoras y de los telefax
18.4.	Protección contra miradas y escuchas indebidas
18.4.1.	Miradas indebidas
18.4.2.	Escuchas indebidas
18.4.3.	Introducción de aparatos electrónicos y de grabación
18.5.	Zonas técnicamente seguras
19.	NORMAS GENERALES SOBRE EL PRINCIPIO DE NECESIDAD DE CONOCER Y LA HABILITACIÓN DE SEGURIDAD DEL PERSONAL DE LA UE
19.1.	Aspectos generales
19.2.	Normas específicas sobre el acceso a información clasificada como ►M2  TRES SECRET UE/EU TOP SECRET ◄
19.3.	Normas específicas sobre el acceso a información clasificada como ►M2  SECRET UE ◄ y ►M2  CONFIDENTIEL UE ◄
19.4.	Normas específicas sobre el acceso a información clasificada como ►M2  RESTREINT UE ◄
19.5.	Traslados
19.6.	Introducciones especiales
20.	PROCEDIMIENTO DE HABILITACIÓN DE SEGURIDAD DE LOS FUNCIONARIOS Y OTROS AGENTES DE LA COMISIÓN
21.	ELABORACIÓN, DIFUSIÓN, TRANSMISIÓN, SEGURIDAD DEL PERSONAL DE CORREO, COPIAS ADICIONALES, TRADUCCIONES Y EXTRACTOS DE DOCUMENTOS CLASIFICADOS DE LA UE
21.1.	Elaboración
21.2.	Difusión
21.3.	Transmisión de documentos clasificados de la UE
21.3.1.	Pliegos y acuses de recibo
21.3.2.	Transmisión dentro de un edificio o grupo de edificios
21.3.3.	Transmisión dentro de un país
21.3.4.	Transmisión de un Estado a otro
21.3.5.	Transmisión de documentos clasificados como ►M2  RESTREINT UE ◄
21.4.	Seguridad del personal de correo
21.5.	Medios técnicos de transmisión electrónicos y otros
21.6.	Copias adicionales, traducciones y extractos de documentos clasificados de la UE
22.	REGISTROS, COLECCIONES, CONTROLES, ALMACENAMIENTO EN ARCHIVOS Y DESTRUCCIÓN DE INFORMACIÓN CLASIFICADA DE LA UE
22.1.	Registros locales de información clasificada de la UE
22.2.	Registro ►M2  TRES SECRET UE/EU TOP SECRET ◄
22.2.1.	Aspectos generales
22.2.2.	Registro central ►M2  TRES SECRET UE/EU TOP SECRET ◄
22.2.3.	Registros secundarios ►M2  TRES SECRET UE/EU TOP SECRET ◄
22.3.	Inventarios, colecciones y controles de documentos clasificados de la UE
22.4.	Almacenamiento en archivos de información clasificada de la UE
22.5.	Destrucción de documentos clasificados de la UE
22.6.	Destrucción en situaciones de urgencia
23.	MEDIDAS DE SEGURIDAD APLICABLES A LAS REUNIONES ESPECÍFICAS CELEBRADAS FUERA DE LOS LOCALES DE LA COMISIÓN EN LAS QUE SE UTILICE INFORMACIÓN CLASIFICADA DE LA UE
23.1.	Aspectos generales
23.2.	Atribuciones
23.2.1.	►M3  Dirección de Seguridad de la Comisión ◄
23.2.2.	Responsable de seguridad de reunión
23.3	Medidas de seguridad
23.3.1.	Zonas de seguridad
23.3.2.	Pases
23.3.3.	Control de los equipos de fotografía y sonido
23.3.4.	Control de maletines, ordenadores portátiles y paquetes
23.3.5.	Seguridad técnica
23.3.6.	Documentos de las delegaciones
23.3.7.	Custodia segura de los documentos
23.3.8.	Control de los despachos
23.3.9.	Eliminación de los restos de documentos clasificados de la UE
24.	INFRACCIONES DE LA SEGURIDAD Y RIESGO A QUE SE EXPONE LA INFORMACIÓN CLASIFICADA DE LA UE
24.1.	Definiciones
24.2.	Notificación de las infracciones de la seguridad
24.3.	Acciones legales
25.	PROTECCIÓN DE LA INFORMACIÓN CLASIFICADA DE LA UE TRATADA EN LOS SISTEMAS DE TECNOLOGÍA DE LA INFORMACIÓN Y DE COMUNICACIÓN
25.1.	Introducción
25.1.1.	Aspectos generales
25.1.2.	Amenazas y vulnerabilidades de los sistemas
25.1.3.	Principal objetivo de las medidas de seguridad
25.1.4.	Enunciación de los requisitos específicos de seguridad del sistema (SSRS)
25.1.5.	Modos operativos de seguridad
25.2.	Definiciones
25.3.	Competencias en materia de seguridad
25.3.1.	Aspectos generales
25.3.2.	La Autoridad de acreditación en materia de seguridad (SAA)
25.3.3.	La Autoridad INFOSEC (IA)
25.3.4.	El propietario de los sistemas técnicos
25.3.5.	El propietario de la información (IO)
25.3.6.	Usuarios
25.3.7.	Formación INFOSEC
25.4.	Medidas de seguridad de carácter no técnico
25.4.1.	Seguridad de personal
25.4.2.	Seguridad física
25.4.3.	Control de acceso a un sistema
25.5.	Medidas de seguridad de carácter técnico
25.5.1.	Seguridad de la información
25.5.2.	Control y responsabilización de la información
25.5.3.	Tratamiento y control de los soportes informáticos extraíbles
25.5.4.	Desclasificación y destrucción de soportes informáticos
25.5.5.	Seguridad de las comunicaciones
25.5.6.	Seguridad en materia de instalación y radiaciones
25.6.	Seguridad durante el tratamiento
25.6.1.	Procedimientos operativos de seguridad (SecOPS)
25.6.2.	Gestión de la protección y configuración de los programas informáticos
25.6.3.	Control de la presencia de virus y programas informáticos destinados a causar daños
25.6.4.	Mantenimiento
25.7.	Adquisición
25.7.1.	Aspectos generales
25.7.2.	Acreditación
25.7.3.	Evaluación y certificación
25.7.4.	Control sistemático de los elementos de seguridad para una acreditación continua
25.8.	Utilización temporal u ocasional
25.8.1.	Seguridad de los microordenadores y de los ordenadores personales (PC)
25.8.2.	Utilización de equipos privados para trabajos oficiales de la Comisión
25.8.3.	Utilización de equipo perteneciente a un contratista facilitado por un país para un trabajo oficial de la Comisión
26.	ENTREGA DE INFORMACIÓN CLASIFICADA DE LA UE A TERCEROS PAÍSES U ORGANIZACIONES INTERNACIONALES
26.1.1.	Principios que rigen la comunicación de información clasificada de la UE
26.1.2.	Niveles
26.1.3.	Acuerdos en materia de seguridad
27.	NORMAS MÍNIMAS COMUNES EN MATERIA DE SEGURIDAD INDUSTRIAL
27.1.	Introducción
27.2.	Definiciones
27.3.	Organización
27.4.	Contratos y decisiones de subvención clasificados
27.5.	Visitas
27.6.	Transmisión y transporte de información clasificada de la UE
APÉNDICE 1:	Comparación de las clasificaciones de seguridad nacionales
APÉNDICE 2:	Guía práctica de clasificación
APÉNDICE 3:	Directrices para la entrega de información clasificada de la UE a terceros países u organizaciones internacionales: cooperación de nivel 1
APÉNDICE 4:	Directrices para la entrega de información clasificada de la UE a terceros países u organizaciones internacionales: cooperación de nivel 2
APÉNDICE 5:	Directrices para la entrega de información clasificada de la UE a terceros países y organizaciones internacionales: cooperación de nivel 3
APÉNDICE 6:	Lista de abreviaturas

PARTE I:   PRINCIPIOS BÁSICOS Y NORMAS MÍNIMAS DE SEGURIDAD

1.   INTRODUCCIÓN

Las presentes disposiciones establecen los principios básicos y las normas mínimas de seguridad que deberán respetar de manera adecuada la Comisión, en todos sus lugares de trabajo, y todos los destinatarios de información clasificada de la UE, a fin de salvaguardar la seguridad y garantizar a cada uno el establecimiento de una norma común de protección.

2.   PRINCIPIOS GENERALES

La política de seguridad de la Comisión forma parte integrante de su política general de gestión interna y está basada por lo tanto en los principios que regulan su política general.

Se trata de los principios de legalidad, transparencia, responsabilidad y subsidiariedad (proporcionalidad).

La legalidad indica la necesidad de permanecer estrictamente en el marco jurídico a la hora de ejecutar las funciones de seguridad y la necesidad de ajustarse a los requisitos jurídicos. Significa también que las responsabilidades en materia de seguridad deben basarse en las disposiciones legales adecuadas. Son plenamente aplicables las disposiciones del Estatuto y, especialmente, su artículo 17 relativo a la obligación del personal de observar discreción en relación con la información de la Comisión y su Título VI sobre el régimen disciplinario. Significa por último que las infracciones a la seguridad que son responsabilidad de la Comisión deben tratarse de forma coherente con la política de la Comisión sobre medidas disciplinarias y su política de cooperación con los Estados miembros en materia de justicia penal.

La transparencia indica la necesidad de claridad por lo que respecta a todas las normas y disposiciones relativas a la seguridad, de cierto equilibrio entre los distintos servicios y los diferentes sectores (seguridad física frente a protección de la información, etc.) y de una política coherente y estructurada de sensibilización a la seguridad. También establece la necesidad de unas directrices claras por escrito, relativas a la aplicación de las medidas de seguridad.

La responsabilidad significa que se definirán claramente las responsabilidades en el ámbito de la seguridad. Indica además la necesidad de proceder a pruebas periódicas a fin de comprobar si se asumen correctamente dichas responsabilidades.

La subsidiariedad, o proporcionalidad, significa que la seguridad se organizará al nivel más bajo posible y más próximo posible de las Direcciones Generales y los servicios de la Comisión. También indica que las actividades relacionadas con la seguridad se limitarán exclusivamente a aquellos elementos que la necesiten realmente. Significa por último que las medidas de seguridad serán proporcionales a los intereses que sea preciso proteger y a los riesgos reales o potenciales en torno a esos intereses, permitiendo una defensa que cause el mínimo trastorno posible.

3.   FUNDAMENTOS DE LA SEGURIDAD

Los fundamentos de una seguridad óptima serán los siguientes:

4.   PRINCIPIOS RELATIVOS A LA SEGURIDAD DE LA INFORMACIÓN

4.1.   Objetivos

La seguridad de la información tendrá los siguientes objetivos principales:

4.2.   Definiciones

En las presentes normas se entenderá por:

4.3.   Clasificación

4.4.   Objetivos de las medidas de seguridad

Las medidas de seguridad deberán:

5.   ORGANIZACIÓN DE LA SEGURIDAD

5.1.   Normas mínimas comunes

La Comisión garantizará la observancia de normas mínimas comunes de seguridad por parte de todos los destinatarios de información clasificada de la UE dentro de la institución y bajo su competencia, por ejemplo los servicios y contratistas, de tal modo que exista la certeza, al comunicarse la información clasificada de la UE, de que vaya a ser tratada con igual cautela. Estas normas mínimas incluirán los criterios relativos a la habilitación del personal y los procedimientos referentes a la protección de la información clasificada de la UE.

La Comisión sólo autorizará el acceso a la información clasificada de la UE a órganos externos si éstos garantizan que, al tratarse este tipo de información, se cumplan disposiciones al menos estrictamente equivalentes a las presentes normas mínimas.

▼M4

También se aplicarán dichas normas mínimas cuando la Comisión confíe por contrato o por acuerdo de subvención, tareas que impliquen, conlleven y/o contengan información clasificada de la UE sobre entidades industriales o de otra índole: estas normas mínimas comunes figuran en la parte II, sección 27.

▼M1

5.2.   Organización

La seguridad en la Comisión se articulará en torno a dos niveles:

6.   SEGURIDAD DEL PERSONAL

6.1.   Habilitación del personal

Todas las personas que necesiten acceder a la información clasificada ►M2  CONFIDENTIEL UE ◄ o de nivel superior deberán someterse al debido proceso de habilitación antes de que se les autorice dicho acceso. Una habilitación similar será necesaria en el caso de las personas cuyas obligaciones impliquen la manipulación técnica o el mantenimiento de sistemas de comunicación e información que contengan información clasificada. La habilitación tendrá por objeto determinar si dichas personas:

En los procedimientos de habilitación deberá investigarse con especial atención a las personas:

En las circunstancias expuestas en las letras d), e) y f), se utilizarán al máximo las técnicas de investigación de antecedentes.

Cuando haya que recurrir a personas que carezcan de una «necesidad de conocer» determinada, en circunstancias en las que puedan acceder a información clasificada de la UE (por ejemplo, mensajeros, agentes de seguridad, personal de mantenimiento y limpieza, etc.), dichas personas se someterán previamente al debido procedimiento de habilitación de seguridad.

6.2.   Registro de las habilitaciones del personal

Todos los servicios de la Comisión que traten información clasificada de la UE o cuenten con sistemas de comunicación e información de seguridad llevarán un registro de las habilitaciones concedidas al personal que tengan asignado. Cada habilitación deberá comprobarse, en función de las circunstancias, con objeto de garantizar que resulte adecuada a la asignación de la persona en cuestión en ese momento; la habilitación deberá examinarse de nuevo con carácter prioritario siempre que se reciba nueva información indicativa de que el mantenimiento de la asignación de una persona a tareas que implican la utilización de información clasificada ha dejado de ser compatible con los intereses en materia de seguridad. El responsable local de seguridad del servicio de la Comisión llevará un registro de las habilitaciones en el sector que le corresponda.

6.3.   Instrucción del personal en materia de seguridad

Todo el personal que trabaje en puestos en los que pueda tener acceso a información clasificada recibirá, en el momento de asumir sus funciones y a intervalos periódicos, instrucciones completas sobre las necesidades en materia de seguridad y los procedimientos aplicables a tal efecto. Deberá exigirse a este personal que certifique por escrito que ha leído y comprendido perfectamente las presentes disposiciones en materia de seguridad.

6.4.   Responsabilidades de gestión

Los directivos tendrán la obligación de saber quiénes son los miembros de su personal que trabajan con información clasificada o tienen acceso a sistemas de comunicación e información de seguridad, así como la obligación de registrar y comunicar cuantos incidentes o aparentes muestras de vulnerabilidad puedan afectar a la seguridad.

6.5.   Situación del personal en materia de seguridad

Deberán establecerse los procedimientos necesarios para garantizar que, cuando se den a conocer informaciones negativas en relación con una persona determinada, se determine si ésta trabaja con información clasificada o tiene acceso a sistemas de comunicación o información de seguridad y se informe a la ►M3  Dirección de Seguridad de la Comisión ◄ . En caso de que se determine que representa un riesgo para la seguridad, dicha persona será excluida o cesada en las funciones en que pueda poner en peligro la seguridad.

7.   SEGURIDAD FÍSICA

7.1.   Necesidad de protección

El grado de las medidas de seguridad física que vayan a aplicarse para garantizar la protección de la información clasificada de la UE deberá ser proporcional al nivel de clasificación y al volumen de la información y del material de que se trate, así como a los riesgos a que se expongan dicha información y material. Todas las personas que estén en posesión de información clasificada de la UE deberán aplicar prácticas uniformes por lo que respecta a la clasificación de dicha información y cumplir normas comunes de protección en relación con la custodia, transmisión y eliminación de la información y del material que requieran protección.

7.2.   Comprobación

Antes de abandonar sin vigilancia los lugares en que se encuentre información clasificada de la UE, las personas responsables de la custodia de la misma se cerciorarán de que dicha información quede almacenada de manera segura y todos los dispositivos de seguridad hayan sido activados (cerraduras, alarmas, etc.). Deberán llevarse a cabo controles independientes adicionales después de las horas de trabajo.

7.3.   Seguridad de los edificios

Los edificios en que se encuentren información clasificada de la UE o sistemas de comunicación e información de seguridad deberán estar protegidos contra el acceso no autorizado. El tipo de protección proporcionado a la información clasificada de la UE, por ejemplo, bloqueo de ventanas, cerraduras en las puertas, guardias en las entradas, sistemas automatizados de control de acceso, controles y patrullas de seguridad, sistemas de alarma, sistemas de detección de intrusos y perros de vigilancia, dependerá de:

El tipo de protección proporcionado a los sistemas de comunicación e información dependerá asimismo de la evaluación del valor de lo que esté en juego y de los posibles daños que se derivarían en caso de peligrar la seguridad, así como de la naturaleza física y de la ubicación del edificio en que se encuentre el sistema, y de la ubicación del sistema dentro del edificio.

7.4.   Planes de emergencia

Deberán elaborarse con antelación planes detallados para la protección de la información clasificada en caso de plantearse una situación de emergencia a escala local o nacional.

8.   SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información (INFOSEC) se refiere a la determinación y aplicación de medidas de seguridad para proteger la información procesada, almacenada o transmitida a través de sistemas de comunicación e información y otros sistemas electrónicos frente a la pérdida de confidencialidad, integridad o disponibilidad de la misma, ya sea accidental o intencionada. Deberán adoptarse medidas adecuadas para impedir el acceso de usuarios no autorizados a la información clasificada de la UE, impedir la denegación de acceso a este tipo de información a usuarios autorizados y la alteración, la modificación o la destrucción no autorizadas de este tipo de información.

9.   LUCHA CONTRA EL SABOTAJE Y CONTROL DE OTRAS FORMAS DE DAÑO INTENCIONADO

Las precauciones físicas para la protección de instalaciones importantes en las que se encuentre información clasificada constituyen las mejores garantías de seguridad para proteger dicha información contra el sabotaje y los daños intencionados, sin que la mera habilitación del personal pueda sustituirlas de manera eficaz. Se solicitará al órgano nacional competente que facilite información confidencial relativa al espionaje, el sabotaje, el terrorismo y otras actividades subversivas.

10.   DIFUSIÓN DE INFORMACIÓN CLASIFICADA A TERCEROS PAÍSES Y ORGANIZACIONES INTERNACIONALES

Corresponderá a la Comisión adoptar de forma colegiada la decisión de difundir a un país tercero u organización internacional información clasificada de la UE procedente de la Comisión. En caso de que el autor de la información que vaya a difundirse no sea la Comisión, ésta deberá recabar el consentimiento del autor de la información antes de difundirla. En caso de que no sea posible determinar el autor, la Comisión asumirá la responsabilidad del mismo.

En caso de que la Comisión reciba información clasificada procedente de terceros países, organizaciones internacionales o terceras partes, se dará a dicha información la protección adecuada a su clasificación, equivalente a las normas establecidas en las presentes disposiciones para la información clasificada de la UE o a las normas más elevadas exigidas por las terceras partes que difundan la información. Podrán disponerse controles recíprocos.

Los principios anteriormente expuestos se aplicarán con arreglo a las disposiciones establecidas en los apéndices 3, 4 y 5 de la sección 26 de la Parte II.

PARTE II:   ORGANIZACIÓN DE LA SEGURIDAD EN LA COMISIÓN

11.   EL MIEMBRO DE LA COMISIÓN ENCARGADO DE LA SEGURIDAD

El miembro de la Comisión encargado de la seguridad:

En particular, corresponderá al miembro de la Comisión encargado de la seguridad:

12.   EL GRUPO CONSULTIVO SOBRE POLÍTICA DE SEGURIDAD DE LA COMISIÓN

Se creará un Grupo consultivo sobre política de seguridad, que estará compuesto por el miembro de la Comisión encargado de la seguridad o su delegado, que será su presidente, y por representantes de las ANS de cada Estado miembro. También podrá invitarse a representantes de otras instituciones europeas e, igualmente, podrá invitarse a representantes de los organismos descentralizados de la UE cuando se debatan cuestiones que les afecten.

El Grupo consultivo sobre política de seguridad se reunirá a instancias de su presidente o de cualquiera de sus miembros. Su cometido será examinar y evaluar todas las cuestiones de seguridad pertinentes y presentar a la Comisión las recomendaciones que procedan.

▼M3

13.   EL COMITÉ DE SEGURIDAD DE LA COMISIÓN

Se creará un Comité de Seguridad de la Comisión compuesto por el Director General de Administración y Personal, que ejercerá la presidencia, y por un miembro del Gabinete del Comisario encargado de la seguridad, un miembro del Gabinete del Presidente, el Secretario General adjunto que presida el grupo de gestión de crisis de la Comisión y los Directores Generales del Servicio Jurídico, de Relaciones Exteriores, de Justicia, Libertad y Seguridad, del Centro Común de Investigación, de Informática y del Servicio de Auditoría Interna, así como por el Director de la Dirección de Seguridad de la Comisión, o por sus respectivos representantes. Podrá invitarse además a otros funcionarios de la Comisión. El Comité tendrá como función examinar las medidas de seguridad que existan dentro de la Comisión y hacer recomendaciones en esta materia al Miembro de la Comisión encargado de la seguridad.

▼M1

14.   LA ►M3  DIRECCIÓN DE SEGURIDAD DE LA COMISIÓN ◄

A fin de cumplir los cometidos indicados en la sección 11, el miembro de la Comisión encargado de la seguridad tendrá a su disposición la ►M3  Dirección de Seguridad de la Comisión ◄ para coordinar, supervisar y aplicar las medidas de seguridad.

El ►M3  Director de la Dirección de Seguridad de la Comisión ◄ será el principal consejero en materia de seguridad del miembro de la Comisión encargado de la seguridad y ejercerá las funciones de secretario del Grupo consultivo sobre política de seguridad. En el cumplimiento de sus funciones, dirigirá la actualización de las normas de seguridad y coordinará las medidas de seguridad con las autoridades competentes de los Estados miembros y, cuando proceda, con las organizaciones internacionales vinculadas a la Comisión por acuerdos de seguridad. A estos efectos, actuará en calidad de funcionario de enlace.

El ►M3  Director de la Dirección de Seguridad de la Comisión ◄ será responsable de la acreditación de los sistemas y redes de tecnología de la información (en lo sucesivo, «TI») dentro de la Comisión. Tomará las decisiones, en colaboración con las ANS correspondientes, sobre la acreditación de los sistemas y redes de TI en los que participen, por un lado, la Comisión y, por otro, cualesquiera otros destinatarios de información clasificada de la UE.

15.   INSPECCIONES DE SEGURIDAD

La ►M3  Dirección de Seguridad de la Comisión ◄ llevará a cabo inspecciones periódicas de las disposiciones de seguridad adoptadas para proteger la información clasificada de la UE.

Para ese fin, podrá pedir la colaboración de los ►M3  Dirección de Seguridad de la Comisión ◄ demás instituciones de la UE que traten información clasificada de la UE o de las autoridades nacionales de seguridad de los Estados miembros ( 13 ).

La ANS de un Estado miembro podrá efectuar, previa solicitud del Estado miembro, una inspección de las disposiciones de protección de la información clasificada de la UE dentro de la Comisión conjuntamente y de común acuerdo con la ►M3  Dirección de Seguridad de la Comisión ◄ .

16.   CLASIFICACIONES, INDICACIONES Y MARCADOS DE SEGURIDAD

16.1.   Niveles de clasificación ( 14 )

La información se clasificará según los siguientes niveles (véase también el apéndice 2):

No están permitidas otras clasificaciones.

16.2.   Indicaciones de seguridad

Para fijar límites a la validez de una clasificación (es decir, el momento en el que se recalifica o desclasifica información clasificada) será posible utilizar una indicación de seguridad acordada. Esta indicación podrá ser «HASTA …(hora/fecha)» o «HASTA …(suceso)».

Se aplicarán indicaciones de seguridad adicionales, tales como CRYPTO o cualquier otra indicación especial de seguridad reconocida por la UE, cuando exista una necesidad de distribución limitada y de tratamiento especial además del designado por la clasificación de seguridad.

Las indicaciones de seguridad únicamente se utilizarán en combinación con una clasificación.

16.3.   Marcados

Puede utilizarse un marcado para especificar el ámbito del documento, para indicar una difusión específica basada en el principio de necesidad de conocer o, en el caso de información no clasificada, para indicar el final de una prohibición.

Un marcado no constituye una clasificación y no puede utilizarse en lugar de la clasificación.

El marcado ESDP se aplicará a los documentos y copias de los mismos relativos a la seguridad y defensa de la Unión o de uno o más de sus Estados miembros, o referentes a la gestión militar o no militar de crisis.

16.4.   Estampación de la clasificación

La clasificación se indicará del siguiente modo:

16.5.   Estampación de las indicaciones de seguridad

Las indicaciones de seguridad se estamparán debajo mismo de la clasificación del mismo modo que las clasificaciones.

17.   GESTIÓN DE LA CLASIFICACIÓN

17.1.   Aspectos generales

La información sólo se clasificará cuando resulte necesario. La clasificación se indicará clara y correctamente, y se mantendrá únicamente en la medida en que la información requiera protección.

El único responsable de la clasificación de la información y de cualquier recalificación o desclasificación que se produzca posteriormente será el autor.

Los funcionarios y otros agentes de la Comisión clasificarán, recalificarán o desclasificarán la información siguiendo instrucciones de su jefe de departamento o con su consentimiento.

Los procedimientos precisos para el tratamiento de los documentos clasificados habrán sido concebidos para garantizar la protección adecuada de la información que contengan.

Se reducirá al mínimo el número de personas autorizadas a emitir documentos ►M2  TRES SECRET UE/EU TOP SECRET ◄ y sus nombres se registrarán en una lista elaborada por la ►M3  Dirección de Seguridad de la Comisión ◄ .

17.2.   Aplicación de las clasificaciones

La clasificación de un documento se determinará con arreglo al nivel de sensibilidad de su contenido, de acuerdo con la definición de la sección 16. Es importante que la clasificación se utilice correctamente y con moderación, en particular en el caso de la clasificación ►M2  TRES SECRET UE/EU TOP SECRET ◄ .

El autor de un documento que se vaya a clasificar deberá tener en cuenta las normas expuestas y abstenerse de clasificar de forma excesiva o insuficiente.

En el apéndice 2 figura una guía práctica de la clasificación.

Cada página, apartado, sección, anexo, apéndice o documento adjunto de un documento dado podrá requerir una clasificación diferente, lo que se indicará en consecuencia. La clasificación global del documento en su totalidad será la de la parte clasificada al nivel más alto.

La clasificación de una carta o nota de transmisión de documentos será equivalente al nivel más alto de clasificación de los documentos adjuntos. El autor deberá hacer constar claramente el nivel en que dicha carta o nota debe clasificarse cuando se separe de los documentos adjuntos.

El acceso del público seguirá rigiéndose por el Reglamento (CE) no 1049/2001.

17.3.   Recalificación y desclasificación

Los documentos clasificados de la UE podrán recalificarse o desclasificarse únicamente con la autorización del autor y, en caso necesario, tras consultar a las demás partes interesadas. La recalificación o desclasificación se confirmará por escrito. El autor se encargará de informar de la modificación a sus destinatarios; éstos, por su parte, se encargarán de informar de dicha modificación a los destinatarios subsiguientes a quienes se haya enviado el documento o una copia del mismo.

Siempre que sea posible, los autores deberán especificar en los documentos clasificados la fecha, plazo o suceso en que el contenido podrá ser recalificado o desclasificado. En caso contrario, revisarán los documentos cada cinco años como mínimo, para comprobar si la clasificación original sigue siendo necesaria.

18.   SEGURIDAD FÍSICA

18.1.   Aspectos generales

El objetivo principal de las medidas físicas de seguridad es impedir que una persona no autorizada acceda a información o material clasificados de la UE, impedir el robo y la degradación de equipos y demás bienes, e impedir que se hostigue o agreda al personal, a otros empleados o a visitantes.

18.2.   Requisitos de seguridad

Todos los locales, zonas, edificios, oficinas, salas, sistemas de comunicación e información, etc., en que se almacene o trate información o material clasificado de la UE se protegerán mediante las medidas de seguridad física apropiadas.

Al decidir el grado de seguridad física necesario se tendrán en cuenta todos los factores pertinentes, como:

Las medidas físicas de seguridad aplicadas se concebirán con vistas a:

18.3.   Medidas físicas de seguridad

18.3.1.   Zonas de seguridad

Las zonas en que se trate y almacene información clasificada como ►M2  CONFIDENTIEL UE ◄ o de nivel superior se organizarán y estructurarán de forma que correspondan a una de las categorías siguientes:

18.3.2.   Zona administrativa

Se podrán crear zonas administrativas con un nivel de seguridad inferior alrededor de las zonas de seguridad de clase I y clase II, o en los espacios que conduzcan a dichas zonas. Estas zonas requerirán un perímetro definido visualmente que permita la verificación del personal y de los vehículos. En las zonas administrativas sólo se tratará y almacenará información clasificada como ►M2  RESTREINT UE ◄ e información no clasificada.

18.3.3.   Control de entradas y salidas

Las entradas y salidas de las zonas de seguridad de clase I y clase II de todas las personas que trabajan normalmente en ellas se controlarán mediante un sistema de pases o de identificación personal. Igualmente se creará un sistema de comprobación de visitantes que impida el acceso no autorizado a la información clasificada de la UE. Los sistemas de pases podrán basarse en una identificación automatizada que se considerará adicional a los guardias, y nunca totalmente sustitutiva de éstos. Una modificación de la evaluación del riesgo podrá conllevar el refuerzo de las medidas de control de entradas y salidas, por ejemplo con motivo de la visita de personalidades.

18.3.4.   Patrullas de guardia

Fuera del horario habitual de trabajo se realizarán patrullas por las zonas de clase I y clase II a fin de proteger el material de la UE de cualquier peligro, daño o pérdida. La frecuencia de las patrullas se determinará en función de las circunstancias locales, si bien, a título orientativo, se efectuarán cada dos horas.

18.3.5.   Mobiliario de seguridad y cámaras acorazadas

Para almacenar información clasificada de la UE se utilizarán tres clases de muebles:

En el caso de las cámaras acorazadas construidas dentro de una zona de seguridad de clase I o clase II y de todas las zonas de seguridad de clase I en que se almacene información ►M2  CONFIDENTIEL UE ◄ y de nivel superior en estanterías abiertas o expuesta en forma de gráficos, mapas, etc., una AAS deberá certificar que las paredes, suelos y techos y puertas con cerradura ofrecen un nivel de protección equivalente al de un mueble de seguridad de la clase homologada para el almacenamiento de información de la misma clasificación.

18.3.6.   Cerraduras

Las cerraduras utilizadas en los muebles de seguridad y las cámaras acorazadas en que se almacene información clasificada de la UE habrán de cumplir las siguientes normas:

18.3.7.   Control de las llaves y las combinaciones

Las llaves de los muebles de seguridad no se sacarán de los edificios de la Comisión. Las combinaciones de los muebles de seguridad deberán ser memorizadas por las personas que necesiten conocerlas. El responsable local de seguridad del correspondiente servicio de la Comisión tendrá bajo su custodia un juego de llaves de repuesto y un registro escrito de cada combinación, que se utilizarán en caso de emergencia. Las combinaciones se guardarán en sobres individuales opacos y sellados. Las llaves de trabajo, llaves de seguridad de repuesto y combinaciones se guardarán en muebles de seguridad aparte. Las llaves y combinaciones serán objeto de un nivel de protección de seguridad nunca inferior al del material al que den acceso.

El número de personas que conozcan las combinaciones de los muebles de seguridad será lo más limitado posible. Las combinaciones se modificarán:

18.3.8.   Dispositivos de detección de intrusos

Cuando se utilicen sistemas de alarma, circuitos cerrados de televisión y otros dispositivos eléctricos para proteger la información clasificada de la UE, se dispondrá de un suministro de electricidad que garantice la continuidad del funcionamiento del sistema en caso de interrupción de la alimentación eléctrica general. También es fundamental que exista una alarma u otro medio de aviso fiable al personal de vigilancia que entre en funcionamiento en caso de funcionamiento incorrecto o de intento de manipulación de los citados sistemas.

18.3.9.   Equipo homologado

La ►M3  Dirección de Seguridad de la Comisión ◄ llevará listas actualizadas, por tipos y modelos, de los equipos de seguridad que haya homologado para la protección de información clasificada en diferentes circunstancias y condiciones especificadas. Para elaborar estas listas, a ►M3  Dirección de Seguridad de la Comisión ◄ se basará, entre otras fuentes, en la información facilitada por las ANS.

18.3.10.   Protección física de las fotocopiadoras y de los telefax

Las fotocopiadoras y los telefax se protegerán físicamente en la medida necesaria para garantizar que sólo puedan ser utilizados para tratar información clasificada por personas autorizadas y que todos los productos clasificados se sometan a los debidos controles.

18.4.   Protección contra miradas y escuchas indebidas

18.4.1.   Miradas indebidas

Se tomarán todas las medidas adecuadas día y noche para asegurarse de que ninguna persona no autorizada vea información clasificada de la UE, así sea accidentalmente.

18.4.2.   Escuchas indebidas

Las oficinas y zonas en que se hable habitualmente sobre información clasificada como ►M2  SECRET UE ◄ o de nivel superior estarán protegidas contra la escucha pasiva y activa siempre que exista un riesgo que así lo exija. Corresponderá evaluar este riesgo a la ►M3  Dirección de Seguridad de la Comisión ◄ , tras consultar, en caso necesario, a las ANS.

18.4.3.   Introducción de aparatos electrónicos y de grabación

No se permitirá la introducción de teléfonos móviles, ordenadores personales, grabadoras, cámaras y demás aparatos electrónicos o de grabación en las zonas de seguridad o en las zonas técnicamente seguras sin autorización previa del ►M3  Director de la Dirección de Seguridad de la Comisión ◄ .

A fin de determinar las medidas de protección que han de aplicarse en los locales que puedan prestarse a escucha pasiva (por ejemplo, aislamiento de paredes, puertas, suelos y techos y medición de radiaciones sospechosas) o a escucha activa (búsqueda de micrófonos, por ejemplo), la ►M3  Dirección de Seguridad de la Comisión ◄ podrá solicitar asistencia de especialistas de las ANS.

De la misma forma, cuando las circunstancias así lo exijan, el equipo de telecomunicaciones y el equipo de oficina eléctrico o electrónico de cualquier tipo que se utilice durante las reuniones a nivel ►M2  SECRET UE ◄ o superior podrán someterse a comprobación por parte de especialistas técnicos en materia de seguridad de las ANS, a petición del ►M3  Director de la Dirección de Seguridad de la Comisión ◄ .

18.5.   Zonas técnicamente seguras

Determinadas zonas podrán designarse zonas técnicamente seguras. Se efectuará un control especial de entrada a las mismas. Estas zonas se mantendrán cerradas bajo llave con un método homologado cuando no estén ocupadas y todas las llaves recibirán tratamiento de llaves de seguridad. Estas zonas se someterán a inspecciones físicas periódicas, que podrán realizarse igualmente en caso de entrada o de sospecha de entrada de personas no autorizadas.

Se realizará un inventario detallado del equipo y mobiliario a fin de seguir sus movimientos. No se introducirá en estas zonas ningún mueble o equipo que no haya sido minuciosamente inspeccionado por personal de seguridad preparado especialmente para detectar dispositivos de escucha. Como norma general, no estará permitido instalar líneas de comunicación en zonas técnicamente seguras sin autorización previa de la autoridad competente.

19.   NORMAS GENERALES SOBRE EL PRINCIPIO DE NECESIDAD DE CONOCER Y LA HABILITACIÓN DE SEGURIDAD DEL PERSONAL DE LA UE

19.1.   Aspectos generales

Únicamente estarán autorizadas a acceder a información clasificada de la UE las personas que tengan la «necesidad de conocer» por motivo de su tarea o misión. El acceso a la información clasificada ►M2  TRES SECRET UE/EU TOP SECRET ◄ , ►M2  SECRET UE ◄ y ►M2  CONFIDENTIEL UE ◄ sólo se autorizará a las personas que posean la debida habilitación de seguridad.

La responsabilidad de determinar si existe la «necesidad de conocer» corresponderá al servicio en el que vaya a trabajar la persona de que se trate.

Será responsabilidad de cada servicio solicitar la habilitación de su personal.

El procedimiento desembocará en la expedición de un «certificado de seguridad» que indicará el nivel de información clasificada al que podrá acceder la persona autorizada, así como la fecha de expiración del mismo.

Un certificado de seguridad correspondiente a un nivel de clasificación determinado autorizará a su titular a acceder también a información clasificada de nivel inferior.

Las personas que no sean funcionarios u otros agentes, por ejemplo contratistas externos, expertos o consultores, con quienes haya de tratarse o a quienes haya de mostrarse información clasificada de la UE, deberán poseer una autorización de seguridad referente a información clasificada de la UE y recibir instrucciones relativas a su responsabilidad en materia de seguridad.

El acceso del público seguirá rigiéndose por el Reglamento (CE) no 1049/2001.

19.2.   Normas específicas sobre el acceso a información clasificada como ►M2  TRES SECRET UE/EU TOP SECRET ◄

Todas las personas que vayan a tener acceso a información ►M2  TRES SECRET UE/EU TOP SECRET ◄ se someterán previamente a una comprobación de seguridad para el acceso a dicha información.

Todas las personas que necesiten acceder a información ►M2  TRES SECRET UE/EU TOP SECRET ◄ serán designadas por el miembro de la Comisión encargado de la seguridad y su nombre figurará en el correspondiente registro ►M2  TRES SECRET UE/EU TOP SECRET ◄ que creará y llevará la ►M3  Dirección de Seguridad de la Comisión ◄ .

Antes de tener acceso a información clasificada como ►M2  TRES SECRET UE/EU TOP SECRET ◄ , todas las personas firmarán un certificado en el que conste que han recibido instrucciones sobre los procedimientos de seguridad de la Comisión y que son plenamente conscientes de su responsabilidad especial de proteger la información ►M2  TRES SECRET UE/EU TOP SECRET ◄ , así como de las consecuencias previstas en la normativa de la UE y en la legislación nacional o administrativa en caso de que la información clasificada pase a manos no autorizadas de manera intencional o por negligencia.

En caso de que haya personas que accedan a información ►M2  TRES SECRET UE/EU TOP SECRET ◄ en reuniones o circunstancias similares, el controlador competente del servicio u órgano en el que trabajen dichas personas notificará al órgano que convoque la reunión que las personas mencionadas están autorizadas para ello.

Los nombres de todas las personas que dejen de desempeñar funciones para las cuales sea necesario acceder a información ►M2  TRES SECRET UE/EU TOP SECRET ◄ se eliminarán de la lista ►M2  TRES SECRET UE/EU TOP SECRET ◄ . Además, se recordará a dichas personas su responsabilidad especial en relación con la protección de la información ►M2  TRES SECRET UE/EU TOP SECRET ◄ . También firmarán una declaración en la que se comprometan a no utilizar ni transmitir información clasificada como ►M2  TRES SECRET UE/EU TOP SECRET ◄ que se encuentre en su poder.

19.3.   Normas específicas sobre el acceso a información clasificada como ►M2  SECRET UE ◄ y ►M2  CONFIDENTIEL UE ◄

Todas las personas que vayan a tener acceso a información ►M2  SECRET UE ◄ o ►M2  CONFIDENTIEL UE ◄ se someterán previamente a una comprobación de seguridad al nivel correspondiente.

Todas las personas que vayan a tener acceso a información ►M2  SECRET UE ◄ o ►M2  CONFIDENTIEL UE ◄ deberán tener conocimiento de las correspondientes normas de seguridad y conocer las consecuencias de las negligencias.

En el caso de las personas que accedan a información ►M2  SECRET UE ◄ o ►M2  CONFIDENTIEL UE ◄ en reuniones o circunstancias similares, el encargado de seguridad del órgano en que trabajen dichas personas notificará al órgano que convoque la reunión que dichas personas están autorizadas para ello.

19.4.   Normas específicas sobre el acceso a información clasificada como ►M2  RESTREINT UE ◄

Se darán a conocer a las personas con acceso a información clasificada como ►M2  RESTREINT UE ◄ las presentes normas de seguridad, así como las consecuencias de las negligencias.

19.5.   Traslados

Cuando un miembro del personal sea trasladado de un puesto que conlleve el trabajo con material clasificado de la UE, el registro supervisará la transmisión adecuada del material del funcionario saliente al entrante.

Cuando un miembro del personal sea trasladado a otro puesto que conlleve el trabajo con material clasificado de la UE, el responsable local de seguridad le dará las instrucciones adecuadas.

19.6.   Instrucciones especiales

Las personas que tengan que trabajar con información clasificada de la UE deberán tener conocimiento, en el momento de asumir sus tareas y periódicamente con posterioridad, de lo siguiente:

Todas las personas expuestas habitualmente a contactos frecuentes con representantes de países cuyos servicios de inteligencia están interesados en la información y actividades clasificadas de la UE y de los Estados miembros recibirán información sobre las técnicas que utilizan los distintos servicios de inteligencia.

No existen en la Comisión normas de seguridad referentes a los viajes privados que realiza el personal habilitado para acceder a información clasificada de la UE. No obstante, la ►M3  Dirección de Seguridad de la Comisión ◄ dará a conocer a los funcionarios y otros agentes de su ámbito de responsabilidad las normas sobre viajes a las que puedan estar sujetos.

20.   PROCEDIMIENTO DE HABILITACIÓN DE SEGURIDAD DE LOS FUNCIONARIOS Y OTROS AGENTES DE LA COMISIÓN

21.   ELABORACIÓN, DIFUSIÓN, TRANSMISIÓN, SEGURIDAD DEL PERSONAL DE CORREO, COPIAS ADICIONALES, TRADUCCIONES Y EXTRACTOS DE DOCUMENTOS CLASIFICADOS DE LA UE

21.1.   Elaboración

21.2.   Difusión

21.3.   Transmisión de documentos clasificados de la UE

21.3.1.   Pliegos y acuses de recibo

21.3.2.   Transmisión dentro de un edificio o grupo de edificios

Dentro de un edificio o grupo de edificios dado, los documentos clasificados podrán ser transportados en un sobre sellado que lleve únicamente el nombre del destinatario, a condición de que la persona que los transporte posea una habilitación equivalente al nivel de clasificación de los documentos.

21.3.3.   Transmisión dentro de un país

21.3.4.   Transmisión de un Estado a otro

21.3.5.   Transmisión de documentos clasificados como ►M2  RESTREINT UE ◄

No se establecen medidas especiales para el envío de documentos clasificados como ►M2  RESTREINT UE ◄ , salvo que el envío debe efectuarse de tal forma que dichos documentos no caigan en manos de personas no autorizadas.

21.4.   Seguridad del personal de correo

Todos los correos y mensajeros utilizados para llevar documentos clasificados como ►M2  SECRET UE ◄ o ►M2  CONFIDENTIEL UE ◄ habrán de tener la debida habilitación de seguridad.

21.5.   Medios técnicos de transmisión electrónicos y otros

21.6.   Copias adicionales, traducciones y extractos de documentos clasificados de la UE

22.   REGISTROS, COLECCIONES, CONTROLES, ALMACENAMIENTO EN ARCHIVOS Y DESTRUCCIÓN DE INFORMACIÓN CLASIFICADA DE LA UE

22.1.   Registros locales de información clasificada de la UE

22.2.   Registro ►M2  TRES SECRET UE/EU TOP SECRET ◄

22.2.1.   Aspectos generales

22.2.2.   Registro central ►M2  TRES SECRET UE/EU TOP SECRET ◄

En su calidad de controlador, el jefe del registro central ►M2  TRES SECRET UE/EU TOP SECRET ◄ se encargará de:

22.2.3.   Registros secundarios ►M2  TRES SECRET UE/EU TOP SECRET ◄

En su calidad de controlador, el jefe de un registro secundario ►M2  TRES SECRET UE/EU TOP SECRET ◄ se encargará de:

22.3.   Inventarios, colecciones y controles de documentos clasificados de la UE

22.4.   Almacenamiento en archivos de información clasificada de la UE

22.5.   Destrucción de documentos clasificados de la UE

22.6.   Destrucción en situaciones de urgencia

23.   MEDIDAS DE SEGURIDAD APLICABLES A LAS REUNIONES ESPECÍFICAS CELEBRADAS FUERA DE LOS LOCALES DE LA COMISIÓN EN LAS QUE SE UTILICE INFORMACIÓN CLASIFICADA DE LA UE

23.1.   Aspectos generales

Cuando las reuniones de la Comisión u otras reuniones importantes se celebren fuera de los locales de la Comisión y cuando los requisitos específicos de seguridad relativos a la gran sensibilidad de los temas tratados o de la información utilizada así lo justifiquen, deberán adoptarse las medidas de seguridad descritas a continuación. Estas medidas afectan únicamente a la protección de información clasificada de la UE, por lo que tal vez sea necesario preparar otras medidas de seguridad.

23.2.   Atribuciones

23.2.1.    ►M3  Dirección de Seguridad de la Comisión ◄

La ►M3  Dirección de Seguridad de la Comisión ◄ deberá cooperar con las autoridades competentes del Estado miembro en cuyo territorio se celebre la reunión (el Estado miembro anfitrión) con el fin de garantizar la seguridad de las reuniones de la Comisión o de otras reuniones importantes, así como la seguridad física de los delegados y de su personal. Con respecto a la protección de la seguridad, deberá concretamente garantizar que:

La ►M3  Dirección de Seguridad de la Comisión ◄ deberá actuar como órgano consultor de seguridad para la preparación de la reunión; deberá estar representada in situ para ayudar y aconsejar al responsable de seguridad de la reunión y a las delegaciones, si fuera necesario.

Cada una de las delegaciones de una reunión deberá designar un agente de seguridad que se ocupará de la seguridad en su delegación y de mantener contactos con el responsable de seguridad de la reunión, así como con el representante de la ►M3  Dirección de Seguridad de la Comisión ◄ , si fuera necesario.

23.2.2.   Responsable de seguridad de reunión

Deberá nombrarse un responsable de seguridad de reunión que se encargará, en general, de la preparación y del control de las medidas generales de seguridad interna y de la coordinación con las demás autoridades de seguridad en cuestión. Las medidas adoptadas por dicho agente se referirán en general a lo siguiente:

23.3.   Medidas de seguridad

23.3.1.   Zonas de seguridad

Se crearán las siguientes zonas de seguridad:

23.3.2.   Pases

El responsable de seguridad de reunión deberá suministrar las tarjetas adecuadas que soliciten las delegaciones, según sus necesidades. Siempre que sea necesario, podrá distinguirse entre el acceso a las diferentes zonas de seguridad.

Las instrucciones de seguridad de la reunión deberán exigir que todos los participantes ostenten de forma visible y permanente sus tarjetas mientras se encuentren en el lugar de la reunión, para que el personal de seguridad pueda controlarlas según se requiera.

Aparte de los participantes con tarjeta, deberá reducirse al mínimo el número de personas que pueden entrar en el lugar de la reunión. El responsable de seguridad de reunión sólo permitirá que las delegaciones nacionales reciban visitantes durante la reunión si lo solicitan previamente. Cada visitante dispondrá de una tarjeta y se deberá rellenar un formulario de entrada con su nombre y el nombre de la persona objeto de la visita. Los visitantes permanecerán siempre acompañados de un guardia de seguridad o de la persona objeto de la visita. Cuando el visitante abandone el lugar de la reunión, la persona que lo acompañe deberá entregar su formulario, junto con la tarjeta de visitante, al personal de seguridad.

23.3.3.   Control de los equipos de fotografía y sonido

En las zonas de seguridad de clase I no podrá entrar ninguna cámara o equipo de grabación más que el empleado por los fotógrafos y los ingenieros de sonido debidamente autorizados por el responsable de seguridad de reunión.

23.3.4.   Control de maletines, ordenadores portátiles y paquetes

Las personas que tengan un pase con acceso a una zona de seguridad en general podrán llevar sus maletines y ordenadores portátiles (sólo con alimentación independiente) sin que se efectúe control alguno. Los paquetes dirigidos a las delegaciones podrán serán recogidos por éstas y deberán ser comprobados por el agente de seguridad de la delegación, inspeccionados mediante aparatos especiales o abiertos por el personal de seguridad. Si el responsable de seguridad de reunión lo considera necesario, podrán establecerse medidas más estrictas de inspección de maletines y paquetes.

23.3.5.   Seguridad técnica

Un equipo de seguridad técnica se encargará de que la sala de reuniones sea técnicamente segura y también podrá llevar a cabo un control electrónico durante la reunión.

23.3.6.   Documentos de las delegaciones

Las delegaciones se encargarán de llevar y traer los documentos clasificados de la UE a las reuniones. También deberán encargarse del control y la seguridad de esos documentos mientras los utilicen en los locales que se les asignen. Podrá solicitarse ayuda del Estado miembro anfitrión para llevar y traer los documentos clasificados al lugar donde se celebre la reunión.

23.3.7.   Custodia segura de los documentos

Si la Comisión o las delegaciones no pudieran guardar sus documentos clasificados de conformidad con las normas establecidas, podrán entregarlos en un sobre cerrado al responsable de seguridad de reunión, contra entrega del recibo pertinente, para que éste pueda guardarlos según las normas establecidas.

23.3.8.   Control de los despachos

El responsable de seguridad de reunión dispondrá que, al término de cada jornada de trabajo, se realice una inspección de los despachos de la Comisión y de las delegaciones para garantizar que todos los documentos clasificados de la UE están en un lugar seguro. Si no fuera así, tomará las medidas oportunas.

23.3.9.   Eliminación de los restos de documentos clasificados de la UE

Todos los restos de documentos se considerarán material clasificado de la UE. Deberán entregarse papeleras y bolsas a la Comisión y a las delegaciones para que recojan los papeles. Antes de abandonar los locales que se les hayan asignado, la Comisión y las delegaciones deberán entregar los papeles al responsable de seguridad de la reunión, que ordenará su destrucción según las normas.

Al final de la reunión, todos los documentos que la Comisión o las delegaciones ya no deseen se tratarán como restos de documentos. Antes de levantar las medidas de seguridad decretadas para la reunión se llevará a cabo un registro exhaustivo de los locales utilizados por la Comisión y por las delegaciones. En la medida de lo posible, los documentos que se hayan entregado a cambio de un recibo se destruirán de conformidad con lo dispuesto en la sección 22.5.

24.   INFRACCIONES DE LA SEGURIDAD Y RIESGO A QUE SE EXPONE LA INFORMACIÓN CLASIFICADA DE LA UE

24.1.   Definiciones

Infringir la seguridad es un acto u omisión contrario a una norma de seguridad de la Comisión que puede poner en peligro o exponer a riesgo información clasificada de la UE.

La información clasificada de la UE se expone a riesgo cuando cae total o parcialmente en manos de personas no autorizadas, es decir, que ni tienen la habilitación de seguridad ni la necesidad de conocer pertinentes, o cuando existe la probabilidad de que se haya producido este hecho.

La información clasificada de la UE puede exponerse a riesgo por descuido, negligencia o indiscreción, así como por las actividades de servicios de espionaje cuyo objetivo es la UE o sus Estados miembros, en lo tocante a la información clasificada y a las actividades de la UE, o por la actuación de organizaciones de carácter subversivo.

24.2.   Notificación de las infracciones de la seguridad

Todas las personas que deban tratar información clasificada de la UE deberán recibir instrucciones detalladas sobre sus atribuciones en este ámbito. Asimismo, deberán notificar inmediatamente cualquier infracción de la seguridad de la que puedan tener conocimiento.

Cuando un responsable local de seguridad o un agente de seguridad de reunión descubra o sea informado de una infracción de la seguridad relativa a información clasificada de la UE o de la desaparición de material clasificado de la UE, deberá tomar las medidas oportunas para:

Tan pronto como se notifique que puede haberse producido una infracción, cada autoridad de seguridad deberá ponerlo inmediatamente en conocimiento de la ►M3  Dirección de Seguridad de la Comisión ◄ .

Sólo se deberán notificar los casos relativos a información clasificada ►M2  RESTREINT UE ◄ cuando presenten características anómalas.

Cuando se le comunique que se ha producido una infracción de la seguridad, el miembro de la Comisión encargado de la seguridad:

El autor deberá informar a los destinatarios y dar las instrucciones pertinentes.

24.3.   Acciones legales

Todo individuo que sea responsable de poner en peligro información clasificada de la UE estará sujeto a medidas disciplinarias de conformidad con la normativa pertinente, en particular el título VI del Estatuto de los funcionarios. Dichas medidas no serán obstáculo para emprender otras acciones legales.

Cuando proceda y sobre la base del informe mencionado en la sección 24.2, el miembro de la Comisión encargado de la seguridad tomará todas las medidas necesarias para permitir que las autoridades nacionales competentes inicien procedimientos penales.

25.   PROTECCIÓN DE LA INFORMACIÓN CLASIFICADA DE LA UE TRATADA EN LOS SISTEMAS DE TECNOLOGÍA DE LA INFORMACIÓN Y DE COMUNICACIÓN

25.1.   Introducción

25.1.1.   Aspectos generales

La política y los requisitos de seguridad se aplicarán a todos los sistemas y redes de comunicación (en lo sucesivo, sistemas) que traten información clasificada ►M2  CONFIDENTIEL UE ◄ o de nivel superior. Se aplicarán como complemento de las disposiciones incluidas en la Decisión C(95) 1510 final de la Comisión, de 23 de noviembre de 1995, relativa la protección de los sistemas informáticos.

Los sistemas que traten información ►M2  RESTREINT UE ◄ también requerirán medidas de seguridad para proteger la confidencialidad de esa información. Todos los sistemas requerirán medidas de seguridad para proteger tanto su propia integridad y disponibilidad como la de la información que contienen.

La política de seguridad en materia de tecnología de la información aplicada por la Comisión incluye los elementos siguientes:

25.1.2.   Amenazas y vulnerabilidades de los sistemas

Se puede definir una amenaza como la posibilidad de que la seguridad se vea puesta en peligro de forma accidental o deliberada. En el caso de los sistemas, dicha amenaza supone la pérdida de cuando menos una de las características de confidencialidad, integridad y disponibilidad. Por vulnerabilidad se entiende una debilidad o falta de control que facilitaría o permitiría el que un bien o un objetivo específicos se vieran amenazados.

La información clasificada y desclasificada de la UE tratada en los sistemas de forma concentrada para una localización, comunicación y utilización rápidas es vulnerable a numerosas amenazas. Entre ellas está el acceso de usuarios no autorizados a la información o, al contrario, la denegación del acceso a la misma a los usuarios autorizados. También hay riesgos de divulgación, corrupción, alteración o supresión no autorizadas de la información. Además, el material, complejo y a menudo frágil, resulta costoso y suele ser difícil de reparar o de sustituir rápidamente.

25.1.3.   Principal objetivo de las medidas de seguridad

El principal objetivo de las medidas de seguridad expuestas en esta sección es prestar protección frente a la divulgación no autorizada de información clasificada de la UE (la pérdida de confidencialidad) y frente a la pérdida de integridad o de disponibilidad de la información. Para alcanzar un nivel adecuado de protección de la seguridad de un sistema que trate información clasificada de la UE, la ►M3  Dirección de Seguridad de la Comisión ◄ deberá definir unas normas adecuadas de seguridad convencional junto con los procedimientos y las técnicas especiales de seguridad pertinentes particularmente ideadas para cada sistema.

25.1.4.   Enunciación de los requisitos específicos de seguridad del sistema (SSRS)

El propietario de los sistemas técnicos (véase la sección 25.3.4) y el propietario de la información (véase la sección 25.3.5) deberán enunciar los requisitos específicos de seguridad del sistema (SSRS) para todos los sistemas que traten información clasificada ►M2  CONFIDENTIEL UE ◄ o de nivel superior, con la contribución y la asistencia del personal del proyecto y de la ►M3  Dirección de Seguridad de la Comisión ◄ (en calidad de Autoridad INFOSEC, véase la sección 25.3.3) y deberán ser aprobados por la Autoridad de acreditación en materia de seguridad (véase la sección 25.3.2).

Será igualmente necesario enunciar los requisitos específicos de seguridad del sistema siempre que la Autoridad de acreditación en materia de seguridad considere de capital importancia la disponibilidad e integridad de la información clasificada ►M2  RESTREINT UE ◄ o de información no clasificada.

Los requisitos específicos de seguridad del sistema deberán especificarse desde el primer momento de concepción del proyecto y deberán mejorarse y perfeccionarse a medida que el proyecto avance, de forma que desempeñen diversas funciones en las diferentes fases del ciclo vital del proyecto y del sistema.

25.1.5.   Modos operativos de seguridad

Todos los sistemas que traten información clasificada ►M2  CONFIDENTIEL UE ◄ o de nivel superior estarán autorizados para funcionar en uno de los siguientes modos de operación de seguridad o en su equivalente nacional o, cuando fuere necesario y por períodos diferentes, en más de uno de los siguientes modos de operación de seguridad:

25.2.   Definiciones

Por «acreditación» se entenderá la autorización y la aprobación concedidas a un sistema para tratar información clasificada de la UE en su entorno operativo.

Nota:

Dicha acreditación debe efectuarse previa aplicación de todos los procedimientos de seguridad pertinentes y de la obtención de un nivel de protección suficiente para los elementos del sistema. Normalmente, debe basarse en los requisitos específicos de seguridad del sistema y, concretamente, en los siguientes elementos:

Por «responsable central de seguridad informática» (CISO) se entenderá el funcionario que, en un servicio central de tecnología de la información, coordina y supervisa las medidas de seguridad de los sistemas organizados de forma centralizada.

Por «certificación» se entenderá la expedición de una declaración oficial, basada en un examen independiente acerca del proceder y de los resultados de una evaluación, que indique en qué medida un sistema cumple la exigencia de seguridad o un producto de seguridad informática cumple los requisitos de seguridad previamente establecidos.

Por «seguridad de las comunicaciones» (COMSEC) se entenderá la aplicación a las telecomunicaciones de medidas de seguridad encaminadas a denegar a las personas no autorizadas información útil que pudiera derivarse de la posesión y el estudio de dichas telecomunicaciones o a garantizar la autenticidad de las mismas.

Nota:

Dichas medidas incluyen tanto la seguridad en materia de criptografía, transmisión y emisión como la seguridad relativa a los procedimientos, a los elementos físicos, al personal, a los documentos y al ordenador.

Por «seguridad de los ordenadores» (COMPUSEC) se entenderá la aplicación a un sistema informático de dispositivos de seguridad del soporte material, de los microprogramas y de los programas informáticos con objeto de protegerle contra, o impedir, la divulgación, manipulación, modificación o supresión de información no autorizadas, o la denegación de servicio.

Por «producto de seguridad informática» se entenderá un elemento genérico de seguridad informática destinado a ser incorporado a un sistema de tecnología de la información con objeto de mejorar o garantizar la confidencialidad, la integridad o la disponibilidad de la información tratada.

Por «modo de operación de seguridad exclusivo» se entenderá un modo de operación en el que TODOS los individuos con acceso al sistema están habilitados al nivel más alto de clasificación de la información tratada en el sistema, y con una necesidad común de conocer TODA la información tratada en el sistema.

Notas:

Por «evaluación» se entenderá el examen técnico detallado, por una autoridad pertinente, de los aspectos de seguridad de un sistema o de un producto para la seguridad de la criptografía o del ordenador.

Notas:

Por «propietario de la información» (IO) se entenderá la autoridad (Jefe de Unidad) que tiene la responsabilidad de crear, procesar y utilizar la información, incluida la capacidad de decidir quién está autorizado a acceder a dicha información.

Por «seguridad de la información» (INFOSEC) se entenderá la aplicación de medidas de seguridad para proteger la información tratada, almacenada o transmitida en sistemas electrónicos de comunicación, información u otros, frente a una pérdida de confidencialidad, integridad o disponibilidad, ya sea accidental o intencionada, y para evitar la pérdida de integridad y disponibilidad de los sistemas en sí mismos.

Las «medidas de INFOSEC» incluyen la seguridad de los ordenadores, de las transmisiones, de las emisiones y la seguridad de carácter criptográfico, así como la detección, documentación y respuesta a las amenazas contra la información y los sistemas.

Por «zona de tecnología de la información» se entenderá una zona que contiene uno o varios ordenadores, sus unidades locales periféricas y de archivo, la unidad de control, las redes exclusivas y el equipo de comunicaciones.

Nota:

Esto no incluye una zona aparte donde haya terminales, puestos de trabajo o periféricos remotos, aun cuando dichos dispositivos estén conectados al equipo que se encuentra en la zona de tecnología de la información.

Por «red de tecnología de la información» se entenderá la organización, geográficamente dispersa, de sistemas de tecnología de la información interconectados para el intercambio de datos, incluidos los componentes de los sistemas de tecnología de la información interconectados y su interfaz con las redes de datos o redes de comunicación de apoyo.

Notas:

Los «dispositivos de seguridad de una red de tecnología de la información» comprenden los dispositivos de seguridad de cada sistema de tecnología de la información que forme parte de la red, pero también los componentes y dispositivos complementarios asociados a dicha red y necesarios para garantizar un nivel aceptable de protección de la información clasificada (por ejemplo, comunicaciones en red, mecanismos y procedimientos de etiquetado e identificación de seguridad, controles de acceso, programas y ficheros de seguimiento).

Por «sistema de tecnología de la información» se entenderá un conjunto de material, métodos, procedimientos y, si es necesario, personal, organizado de forma que cumpla funciones de tratamiento de la información.

Notas:

Las «medidas de seguridad de un sistema de tecnología de la información» comprenden todas las funciones y características de soporte material, microprogramas y programas informáticos; procedimientos operativos, procedimientos de responsabilidad y controles de acceso, zona de tecnología de la información, zona de terminales o puestos de trabajo remotos, así como las normas de gestión, los dispositivos y estructuras físicas, las medidas de control de personal y de las comunicaciones necesarias para garantizar un nivel aceptable de protección de la información clasificada que deberá tratarse en un sistema de tecnología de la información.

Por «responsable local de seguridad informática» (LISO) se entenderá el funcionario que, en un servicio de la Comisión, se encarga de coordinar y supervisar las medidas de seguridad dentro de su ámbito de actuación.

Por «modo de operación de seguridad de múltiples niveles» se entenderá un modo de operación en el que NO TODOS los individuos con acceso al sistema están habilitados al nivel más alto de clasificación de la información tratada en el sistema, y en el cual NO TODOS los individuos con acceso al sistema tienen una necesidad común de conocer la información tratada en el sistema.

Notas:

Por «zona de terminales o puestos de trabajo remotos» se entenderá una zona que contiene equipo informático, sus periféricos, terminales o puestos de trabajo locales y cualquier equipo de comunicaciones asociado, separada de una zona de tecnología de la información.

Por «procedimientos operativos de seguridad» se entenderá los procedimientos elaborados por el propietario de los sistemas técnicos para definir los principios que deberán adoptarse en materia de seguridad, los procedimientos operativos que deberán seguirse y las responsabilidades del personal.

Por «modo de operación de seguridad de alto nivel» se entenderá un modo de operación en el que TODOS los individuos con acceso al sistema están habilitados al nivel más alto de clasificación de la información tratada en el sistema, pero en el que NO TODOS los individuos con acceso al sistema tienen una necesidad común de conocer la información tratada en el sistema.

Notas:

Por «enunciación de los requisitos específicos de seguridad del sistema» (SSRS) se entenderá una enumeración completa y explícita de los principios de seguridad que deben observarse y de los requisitos pormenorizados de seguridad que hay que cumplir. Se basan en la política de seguridad y de evaluación de riesgos de la Comisión, o vienen impuestos por parámetros como el entorno operativo, el nivel más bajo de habilitación de seguridad del personal, la clasificación más alta de la información tratada, el modo operativo de seguridad o las necesidades de los usuarios. Los requisitos específicos de seguridad del sistema forman parte integrante de la documentación del proyecto presentada a las autoridades competentes para su aprobación técnica, presupuestaria y de seguridad. En su forma final, los requisitos específicos de seguridad del sistema constituyen una verdadera enumeración de los parámetros de seguridad del sistema.

Por «propietario de los sistemas técnicos» (TSO) se entenderá la autoridad responsable de la creación, mantenimiento, explotación y cierre de un sistema.

Por «contramedidas TEMPEST» se entenderá las medidas de seguridad destinadas a proteger el equipo y las infraestructuras de comunicación frente al riesgo de que se filtre información clasificada a través de emisiones electromagnéticas no intencionadas.

25.3.   Competencias en materia de seguridad

25.3.1.   Aspectos generales

Las competencias consultivas del Grupo consultivo sobre la política de seguridad de la Comisión, definidas en la sección 12, incluyen cuestiones INFOSEC. Este grupo organizará sus actividades de tal manera que pueda facilitar un asesoramiento experto en las cuestiones antes mencionadas.

La ►M3  Dirección de Seguridad de la Comisión ◄ será la encargada de publicar normas INFOSEC detalladas, a partir de las disposiciones del presente capítulo.

En caso de que surjan problemas relativos a la seguridad (incidentes, quebrantamientos, etc.), la ►M3  Dirección de Seguridad de la Comisión ◄ deberá adoptar medidas inmediatas.

La ►M3  Dirección de Seguridad de la Comisión ◄ dispondrá de una unidad INFOSEC.

25.3.2.   La Autoridad de acreditación en materia de seguridad (SAA)

El ►M3  Director de la Dirección de Seguridad de la Comisión ◄ será la Autoridad de acreditación en materia de seguridad de la Comisión. La Autoridad de acreditación en materia de seguridad será responsable de la organización general de la seguridad y de los ámbitos INFOSEC especializados, a saber, la seguridad de las comunicaciones, la seguridad Crypto y la seguridad Tempest.

La Autoridad de acreditación en materia de seguridad se encargará de garantizar la conformidad de los sistemas con la política de seguridad de la Comisión. Una de sus tareas consistirá en otorgar la aprobación de un sistema para tratar información clasificada de la UE a un nivel de clasificación definido en su entorno operativo.

La jurisdicción de la SAA de la Comisión incluirá todos los sistemas operativos en los locales de la Comisión. Cuando diversos componentes de un sistema recaigan en la jurisdicción de la SAA de la Comisión y de otras SAA, todas las partes en cuestión podrán designar un comité común de acreditación bajo la coordinación de la SAA de la Comisión.

25.3.3.   La Autoridad INFOSEC (IA)

El jefe de la Unidad INFOSEC de la Oficina de Seguridad de la Comisión será la Autoridad INFOSEC de la Comisión. La Autoridad INFOSEC se encargará de las siguientes actividades:

25.3.4.   El propietario de los sistemas técnicos

La responsabilidad de la ejecución y del funcionamiento de los controles y de los dispositivos de seguridad especiales de un sistema recae en el propietario de dicho sistema, el propietario de los sistemas técnicos. En el caso de los sistemas gestionados a escala central, deberá nombrarse un responsable central de seguridad informática. Cada servicio nombrará, según proceda, un responsable local de seguridad informática. La responsabilidad de un propietario de los sistemas técnicos incluye la elaboración de procedimientos operativos de seguridad y se prolongará durante el ciclo vital de un sistema, desde la fase de concepción del proyecto hasta su descarte definitivo.

El propietario de los sistemas técnicos especificará las normas y prácticas de seguridad que deba cumplir el suministrador del sistema.

El propietario de los sistemas técnicos podrá delegar una parte de sus responsabilidades, por ejemplo, en el responsable local de seguridad informática. Una sola persona podrá realizar las diversas funciones de INFOSEC.

25.3.5.   El propietario de la información (IO)

El propietario de la información será responsable de la información clasificada de la UE (y de otro tipo de información) que deba ser introducida, procesada y producida en los sistemas técnicos. Definirá las exigencias para el acceso a dicha información en los sistemas. Podrá delegar su responsabilidad en un gestor de la información o en un gestor de base de datos dentro de su ámbito de actuación.

25.3.6.   Usuarios

Todos los usuarios serán responsables de garantizar que sus acciones no pongan en peligro la seguridad del sistema que utilizan.

25.3.7.   Formación INFOSEC

Se ofrecerá formación e información INFOSEC a todo el personal que lo necesite.

25.4.   Medidas de seguridad de carácter no técnico

25.4.1.   Seguridad de personal

Los usuarios del sistema deberán estar habilitados y tener necesidad de conocer, según corresponda a la clasificación y al contenido de la información tratada en su sistema específico. El acceso a determinadas informaciones o equipos específicos de sistemas de seguridad requerirá una autorización especial otorgada con arreglo a los procedimientos de la Comisión.

La Autoridad de acreditación en materia de seguridad designará todos los puestos sensibles y definirá el nivel de autorización y supervisión exigido a todo el personal que los ocupe.

Los sistemas deberán especificarse y concebirse de forma que se facilite la distribución de tareas y responsabilidades entre el personal para que ninguna persona tenga el conocimiento ni el control completo de los puntos clave de seguridad del sistema.

Las zonas de tecnología de la información y las zonas de terminales o puestos de trabajo remotos donde la seguridad del sistema pueda alterarse no estarán ocupadas por un solo funcionario u otro agente autorizado.

Las normas de seguridad de un sistema sólo podrán ser modificadas por al menos dos personas autorizadas que actúen de común acuerdo.

25.4.2.   Seguridad física

Las zonas de tecnología de la información y las zonas de terminales o puestos de trabajo remotos (según la definición que consta en la sección 25.2) en las que una información clasificada ►M2  CONFIDENTIEL UE ◄ y de nivel superior se trate con medios de tecnología de la información, o en las cuales sea posible un acceso a tal información, se clasificarán como zonas de seguridad de la UE de clase I o clase II, según convenga.

25.4.3.   Control de acceso a un sistema

Toda la información y todo el material que controlen el acceso a un sistema estarán protegidos según las disposiciones correspondientes a la clasificación más alta y a la categoría de información a la cual dicho sistema pueda dar acceso.

Cuando ya no se utilice para dicho fin, la información y el material de control de acceso deberán ser destruidos de conformidad con las disposiciones de la sección 25.5.4.

25.5.   Medidas de seguridad de carácter técnico

25.5.1.   Seguridad de la información

El autor de la información tendrá la obligación de identificar y clasificar todos los documentos que contengan información ya sea en forma de impresión en papel o de soporte informático. En cada página del producto impreso se indicará, tanto en la cabecera como al pie, la clasificación correspondiente. Los documentos producidos, ya sean en forma de impresión en papel o de soporte informático, tendrán la misma clasificación que la información de nivel más alto que se haya utilizado para producirlos. El modo en que se opere un sistema podrá también repercutir en la clasificación de los documentos producidos por ese sistema.

Los servicios de la Comisión y quienes detenten en ella una información estarán obligados a considerar los problemas que plantean la suma de elementos discretos de información y las deducciones que puedan hacerse de los elementos interrelacionados, así como a determinar si es pertinente una clasificación de nivel más alto para la totalidad de la información.

El hecho de que la información pueda representarse en forma de código abreviado, de código de transmisión, o en cualquier otra forma binaria, no le garantiza protección alguna y, por tanto, no deberá incidir en la clasificación de la información.

Cuando la información se transfiera de un sistema a otro, deberá protegerse durante el traslado y en el sistema receptor de manera conforme a la clasificación y a la categoría originales de la información.

Todos los soportes informáticos deberán tratarse de conformidad con la clasificación más alta de la información almacenada o de su marcado, y deberán estar adecuadamente protegidos en todo momento.

Los soportes informáticos reutilizables que sirvan para registrar información clasificada de la UE mantendrán el nivel más alto de clasificación atribuido a los datos para los que hayan sido utilizados hasta que dicha información se recalifique o desclasifique y el soporte se vuelva a clasificar de manera correspondiente, o se desclasifique o destruya de conformidad con un procedimiento aprobado por la Autoridad de acreditación en materia de seguridad (véase 25.5.4).

25.5.2.   Control y responsabilización de la información

Deberán llevarse registros automáticos (inspecciones de seguimiento) o manuales para dejar constancia del acceso a la información clasificada ►M2  SECRET UE ◄ y de nivel superior. Dichos registros se conservarán de conformidad con las presentes normas de seguridad.

Los productos clasificados de la UE que se mantengan en la zona de tecnología de la información podrán tratarse como un único elemento clasificado y no hará falta que se registren, siempre y cuando el material sea identificado, lleve marcada su clasificación y esté debidamente controlado.

Cuando un sistema genere un producto que trate información clasificada de la UE y se transmita de una zona de tecnología de la información a una zona de terminales o puestos de trabajo remotos, se crearán procedimientos, aprobados por la Autoridad de acreditación en materia de seguridad, para controlar y registrar dicho producto. Para la clasificación ►M2  SECRET UE ◄ y de nivel superior, dichos procedimientos incluirán instrucciones específicas respecto de la fiabilidad de la información.

25.5.3.   Tratamiento y control de los soportes informáticos extraíbles

Todos los soportes informáticos extraíbles clasificados ►M2  CONFIDENTIEL UE ◄ y de nivel superior se tratarán como material clasificado y se les aplicarán las normas generales. Será preciso adaptar la correspondiente identificación y clasificación a las características físicas de los soportes, con objeto de que puedan reconocerse con toda claridad.

Incumbirá a los usuarios garantizar que la información clasificada de la UE se archive en soportes que tengan la indicación de clasificación y la protección adecuadas. Se establecerán procedimientos para garantizar que, a todos los niveles de información de la UE, el archivo de la información en soportes informáticos tenga lugar de conformidad con las presentes normas de seguridad.

25.5.4.   Desclasificación y destrucción de soportes informáticos

Los soportes informáticos utilizados para registrar información clasificada de la UE podrán ser recalificados o desclasificados de conformidad con un procedimiento aprobado por la Autoridad de acreditación en materia de seguridad.

Los soportes informáticos que hayan contenido información clasificada ►M2  TRES SECRET UE/EU TOP SECRET ◄ o información de categoría especial no serán desclasificados ni reutilizados.

Los soportes informáticos que no puedan desclasificarse ni reutilizarse se destruirán de conformidad con el procedimiento anteriormente mencionado.

25.5.5.   Seguridad de las comunicaciones

El ►M3  Director de la Dirección de Seguridad de la Comisión ◄ Autoridad Crypto.

Cuando una información clasificada de la UE se transmita por vía electromagnética, se aplicarán medidas especiales para proteger la confidencialidad, integridad y disponibilidad de dicha transmisión. La Autoridad de acreditación en materia de seguridad determinará los requisitos relativos a la protección de las transmisiones frente a la detección y la interceptación. La información transmitida dentro de un sistema de comunicaciones estará protegida conforme a los requisitos de confidencialidad, integridad y disponibilidad.

Cuando sea preciso recurrir a métodos criptográficos para proteger la confidencialidad, integridad y disponibilidad, dichos métodos y sus productos asociados deberán ser expresamente aprobados a tal fin por la Autoridad de acreditación en materia de seguridad en calidad de Autoridad Crypto.

Durante la transmisión, la confidencialidad de la información clasificada ►M2  SECRET UE ◄ o de nivel superior estará protegida por métodos o productos criptográficos aprobados por el miembro de la Comisión encargado de la seguridad previa consulta al Grupo consultivo sobre la política de seguridad de la Comisión. Durante la transmisión, la confidencialidad de la información clasificada ►M2  CONFIDENTIEL UE ◄ o ►M2  RESTREINT UE ◄ estará protegida por métodos o productos criptográficos aprobados por la Autoridad Crypto de la Comisión previa consulta al Grupo consultivo sobre la política de seguridad de la Comisión.

Se establecerán normas detalladas aplicables a la transmisión de información clasificada de la UE en las instrucciones específicas de seguridad aprobadas por la ►M3  Dirección de Seguridad de la Comisión ◄ previa consulta al Grupo consultivo sobre la política de seguridad de la Comisión.

En circunstancias operativas excepcionales, la información clasificada ►M2  RESTREINT UE ◄ , ►M2  CONFIDENTIEL UE ◄ y ►M2  SECRET UE ◄ podrá transmitirse en forma de texto claro siempre y cuando el propietario de la información lo autorice expresamente en cada ocasión y lo registre debidamente. Dichas circunstancias excepcionales son las siguientes:

Un sistema deberá tener la capacidad de denegar de forma concluyente el acceso a información clasificada de la UE a cualquiera de sus terminales o puestos de trabajo remotos, si es necesario desconectándolos físicamente o mediante dispositivos informáticos especiales aprobados por la Autoridad de acreditación en materia de seguridad.

25.5.6.   Seguridad en materia de instalación y radiaciones

En las especificaciones de la instalación inicial de los sistemas y de cualquier modificación posterior de la misma deberá establecerse que éstas se efectúan por instaladores provistos de la necesaria autorización de seguridad, bajo la vigilancia continua de un personal técnico competente habilitado para tener acceso a información clasificada de la UE de un nivel de clasificación equivalente a la clasificación más alta que el sistema deba almacenar y tratar.

Los sistemas que traten información clasificada ►M2  CONFIDENTIEL UE ◄ o de nivel superior estarán protegidos de tal modo que su seguridad no pueda estar amenazada por radiaciones o una conductividad perjudiciales, cuyo examen y prevención se designarán con el término «Tempest».

Las contramedidas Tempest serán estudiadas y aprobadas por una autoridad Tempest (véase 25.3.2).

25.6.   Seguridad durante el tratamiento

25.6.1.   Procedimientos operativos de seguridad (SecOPS)

Los procedimientos operativos de seguridad definen los principios que deberán adoptarse en materia de seguridad, los procedimientos operativos que deberán seguirse y las responsabilidades del personal y se elaborarán bajo la responsabilidad del propietario de los sistemas técnicos.

25.6.2.   Gestión de la protección y configuración de los programas informáticos

La protección de seguridad de los programas de aplicación se determinará a tenor de una evaluación de la clasificación de seguridad del propio programa y no de la clasificación de la información que deban tratar. Las versiones de los programas informáticos utilizados deberán comprobarse periódicamente para garantizar su integridad y correcto funcionamiento.

No se utilizarán versiones nuevas o modificadas de los programas informáticos para el tratamiento de la información clasificada de la UE hasta que el propietario de los sistemas técnicos los haya comprobado.

25.6.3.   Control de la presencia de virus y programas informáticos destinados a causar daños

Se llevarán a cabo controles para detectar la presencia de virus y programas informáticos destinados a causar daños, de conformidad con los requisitos de la Autoridad de acreditación en materia de seguridad.

Antes de su integración en cualquier sistema, todos los soportes informáticos que lleguen a la Comisión deberán verificarse con objeto de detectar la presencia de cualquier virus o programa informático destinado a causar daños.

25.6.4.   Mantenimiento

Los contratos y procedimientos para el mantenimiento, ya sea éste programado o realizado previa petición, de los sistemas para los que se haya efectuado unos requisitos específicos de seguridad del sistema especificarán los requisitos y las disposiciones aplicables al personal de mantenimiento y al equipo correspondiente que entre en una zona de tecnología de la información.

Los requisitos y procedimientos se indicarán con claridad, respectivamente, en los requisitos específicos de seguridad del sistema y en los procedimientos operativos de seguridad. Las instrucciones de mantenimiento del contratista que requieran procedimientos de diagnóstico de acceso remoto se permitirán únicamente en circunstancias excepcionales, bajo un riguroso control de seguridad y sólo con la aprobación de la Autoridad de acreditación en materia de seguridad.

25.7.   Adquisición

25.7.1.   Aspectos generales

Todo producto de seguridad que vaya a utilizarse con el sistema que va a adquirirse deberá haber sido evaluado y certificado o ser objeto de evaluación y certificación en el momento de la adquisición por parte de un organismo de evaluación o certificación adecuado de uno de los Estados miembros según criterios reconocidos a escala internacional (tales como los criterios comunes para la evaluación de la seguridad de las tecnologías de la información, véase norma ISO 15408). Para obtener la autorización de la Comisión Consultiva de Compras y Contratos (CCCC) se exigen procedimientos específicos.

Al decidir si el equipo y, en particular, los soportes informáticos deben arrendarse en vez de adquirirse, deberá tenerse presente que dicho equipo, una vez utilizado para tratar información clasificada de la UE, no podrá utilizarse fuera de un entorno adecuadamente seguro sin ser primero desclasificado con la aprobación de la Autoridad de acreditación en materia de seguridad, y que dicha aprobación no siempre será posible.

25.7.2.   Acreditación

Antes de tratar información clasificada de la UE, todos los sistemas para los que se necesite unos requisitos específicos de seguridad del sistema deberán ser acreditados por la Autoridad de acreditación en materia de seguridad a tenor de la información contenida en los requisitos específicos de seguridad del sistema, en los procedimientos operativos de seguridad y en cualquier otro documento aplicable. Los subsistemas y los terminales y puestos de trabajo remotos deberán estar acreditados como parte de todos los sistemas a los que estén conectados. Cuando un sistema sirva al mismo tiempo a la Comisión y a otras organizaciones, la Comisión y las autoridades de seguridad pertinentes acordarán mutuamente la acreditación.

El proceso de acreditación podrá efectuarse con arreglo a una estrategia de acreditación adecuada a un determinado sistema y definida por la Autoridad de acreditación en materia de seguridad.

25.7.3.   Evaluación y certificación

En determinados casos, antes de su acreditación, el soporte material, los microprogramas y los dispositivos de seguridad informáticos de un sistema se evaluarán y certificarán como capaces de salvaguardar información en el nivel de clasificación pertinente.

Los requisitos para la evaluación y certificación se incluirán en la planificación del sistema y se indicarán claramente en los requisitos específicos de seguridad del sistema.

Los procesos de evaluación y certificación se llevarán a cabo de conformidad con las directrices aprobadas por personal técnicamente cualificado y debidamente habilitado que actúe en nombre del propietario de los sistemas técnicos.

El personal podrá ser el indicado por una autoridad nacional de evaluación o certificación designada o por sus representantes designados, por ejemplo un contratista competente y habilitado.

El grado de los procesos de evaluación y certificación necesarios podrá reducirse (por ejemplo, para incluir únicamente los aspectos de integración) cuando los sistemas se basen en productos para la seguridad informática evaluados y certificados a escala nacional.

25.7.4.   Control sistemático de los elementos de seguridad para una acreditación continua

El propietario de los sistemas técnicos deberá establecer procedimientos de control sistemático que garanticen que todos los dispositivos de seguridad del sistema siguen siendo válidos.

Los tipos de modificación que requieran una nueva acreditación o la aprobación previa de la Autoridad de acreditación en materia de seguridad deberán identificarse claramente y enunciarse en los requisitos específicos de seguridad del sistema. Después de cualquier modificación, reparación o fallo que pueda haber afectado a los dispositivos de seguridad del sistema, el propietario de los sistemas técnicos se encargará de que se realice un control para garantizar el funcionamiento correcto de los dispositivos de seguridad. La acreditación del sistema dependerá normalmente del resultado satisfactorio de dichos controles.

La Autoridad de acreditación en materia de seguridad inspeccionará o revisará periódicamente todos los sistemas a los que se hayan aplicado dispositivos de seguridad. Con respecto a los sistemas que traten información clasificada ►M2  TRES SECRET UE/EU TOP SECRET ◄ , las inspecciones se efectuarán al menos una vez al año.

25.8.   Utilización temporal u ocasional

25.8.1.   Seguridad de los microordenadores y de los ordenadores personales (PC)

Los microordenadores y ordenadores personales con disco fijo (u otros soportes de memoria permanente), que funcionen autónomamente o en red, y los dispositivos informáticos portátiles (por ejemplo, PC portátiles y «notebooks» electrónicos) con discos duros fijos, se considerarán medios de almacenamiento de información en el mismo sentido que los disquetes u otros soportes informáticos extraíbles.

Se aplicará a dichos equipos, por lo que respecta al acceso, tratamiento, almacenamiento y transporte, el nivel de protección correspondiente al nivel más alto de clasificación de la información que se haya almacenado o tratado (hasta que se recalifiquen o desclasifiquen con arreglo a procedimientos aprobados).

25.8.2.   Utilización de equipos privados para trabajos oficiales de la Comisión

Para tratar información clasificada de la UE queda prohibida la utilización de soportes informáticos extraíbles, programas informáticos y soportes materiales de tecnología de la información privados (por ejemplo, PC y dispositivos informáticos portátiles) con capacidad de archivar datos.

No podrán introducirse soportes materiales, programas informáticos y soportes informáticos privados en una zona de clase I o clase II en que se trate información clasificada de la UE sin la autorización escrita del ►M3  Director de la Dirección de Seguridad de la Comisión ◄ . Dicha autorización únicamente se concederá por razones técnicas en casos excepcionales.

25.8.3.   Utilización de equipo perteneciente a un contratista facilitado por un país para un trabajo oficial de la Comisión

El ►M3  Director de la Dirección de Seguridad de la Comisión ◄ podrá autorizar la utilización de equipo de tecnología de la información y de programas informáticos pertenecientes a un contratista en organizaciones que prestan apoyo a los trabajos oficiales de la Comisión. Asimismo podrá autorizar la utilización de equipo de tecnología de la información y de programas informáticos suministrados por un país; en tal caso, el equipo de tecnología de la información se someterá al control del inventario adecuado de la Comisión. En ambos casos, si el equipo de tecnología de la información sirve para tratar información clasificada de la UE, se consultará a la Autoridad de acreditación en materia de seguridad con objeto de que se consideren y lleven a efecto debidamente los elementos de INFOSEC que sean aplicables a la utilización de ese equipo.

26.   ENTREGA DE INFORMACIÓN CLASIFICADA DE LA UE A TERCEROS PAÍSES U ORGANIZACIONES INTERNACIONALES

26.1.1.   Principios que rigen la comunicación de información clasificada de la UE

El colegio de miembros de la Comisión decidirá comunicar la información clasificada de la UE a terceros países u organizaciones internacionales a tenor:

Se solicitará la aprobación del autor de la información clasificada de la UE que deba entregarse.

Dichas decisiones se adoptarán caso por caso, en función:

La aceptación por terceros países u organizaciones internacionales de la información clasificada de la UE supondrá la garantía de que dicha información no se utilizará con fines distintos de los que han motivado la comunicación o el intercambio de información y de que dichos países u organizaciones proporcionarán la protección exigida por la Comisión.

26.1.2.   Niveles

Una vez que la Comisión haya decidido que una información clasificada puede comunicarse o intercambiarse con un determinado país u organización internacional, decidirá sobre el nivel de cooperación que resulta posible. Ello dependerá, en particular, de la política y la normativa de seguridad que se aplique en dicho país u organización

Existen tres niveles de cooperación:

26.1.3.   Acuerdos en materia de seguridad

Una vez que la Comisión haya decidido que existe una necesidad permanente o a largo plazo de intercambiar información clasificada entre la Comisión y terceros países u otras organizaciones internacionales, celebrará con ellos «acuerdos sobre los procedimientos de seguridad para el intercambio de información clasificada» que definan el objeto de la cooperación y las normas de protección recíproca de la información intercambiada

En el caso de la cooperación ocasional de nivel 3 que, por definición, está limitada en el tiempo y en su objeto, podrá hacer las veces de «acuerdo sobre los procedimientos para el intercambio de información clasificada» un simple memorando de entendimiento que defina el carácter de la información clasificada que deba intercambiarse y las obligaciones recíprocas con respecto a dicha información, a condición de que dicho memorando no sea de clasificación más alta que ►M2  RESTREINT UE ◄ .

Los proyectos de acuerdo sobre procedimientos de seguridad o los memorandos de entendimiento serán debatidos por el Grupo consultivo sobre la política de seguridad de la Comisión antes de someterlos a la Comisión para que ésta decida.

El miembro de la Comisión encargado de los temas de seguridad solicitará toda la asistencia necesaria de la Autoridad de seguridad nacional de los Estados miembros para garantizar que la información que deba comunicarse se utilice y proteja de conformidad con lo dispuesto en los acuerdos sobre procedimientos de seguridad o memorandos de entendimiento.

▼M4

27.   NORMAS MÍNIMAS COMUNES EN MATERIA DE SEGURIDAD INDUSTRIAL

27.1.   Introducción

La presente sección se ocupa de aspectos de seguridad de las actividades industriales destinadas únicamente a la negociación y la adjudicación de contratos o de acuerdos de subvención que confíen tareas que impliquen, conlleven y/o contengan información clasificada de la UE y para su realización por entidades industriales u otras, incluida la difusión de información clasificada de la UE, o el acceso a la misma, durante la contratación pública y los procedimientos de convocatoria de propuestas (período de presentación de ofertas y negociaciones precontractuales).

27.2.   Definiciones

A efectos de estas normas mínimas comunes, se aplicarán las siguientes definiciones:

27.3.   Organización

27.4.   Contratos y decisiones de subvención clasificados

27.5.   Visitas

Las visitas de miembros del personal de la Comisión a entidades industriales o de otra índole situadas en los Estados miembros y que cumplan contratos clasificados deberán organizarse con el acuerdo de la ANS/ASD correspondiente. Las visitas de empleados de entidades industriales o de otra índole en el marco de un contrato clasificado de la UE deberán acordarse entre las ANS/ASD correspondientes. No obstante, las ANS/ASD implicadas en un contrato clasificado de la UE podrán acordar un procedimiento que permita la concertación directa de las visitas de empleados de entidades industriales o de otra índole.

27.6.   Transmisión y transporte de información clasificada de la UE

▼M2

---

Apéndice 1

▼M1

---

Apéndice 2

GUÍA PRÁCTICA DE CLASIFICACIÓN

Esta guía es indicativa y no debe interpretarse que modifica las disposiciones sustantivas expuestas en las secciones 16, 17, 20 y 21.

---

Apéndice 3

Directrices para la entrega de información clasificada de la UE a terceros países u Organizaciones Internacionales: cooperación de nivel 1

PROCEDIMIENTO

NORMAS DE SEGURIDAD QUE DEBERÁN APLICAR LOS BENEFICIARIOS

7.   Personal

8.   Transmisión de documentos

9.   Inscripción en el registro

No bien se reciba en un registro un documento clasificado ►M2  CONFIDENTIEL UE ◄ o de nivel superior, se inscribirá el documento en un libro de registro especial que custodiará la organización. El libro de registro constará de columnas en que se indicarán la fecha de recepción, la descripción del documento (fecha, referencia y número de copia), su nivel de clasificación, su título, el nombre o cargo del receptor, la fecha del acuse de recibo y la fecha de devolución del documento al autor de la UE o de destrucción del mismo.

10.   Destrucción

11.   Protección de documentos

Se adoptarán todas las medidas necesarias para impedir que personas no autorizadas tengan acceso a información clasificada de la UE.

12.   Copias, traducciones y extractos

No podrán hacerse fotocopias ni traducciones de los documentos clasificados ►M2  CONFIDENTIEL UE ◄ o ►M2  SECRET UE ◄ , ni realizarse extractos sin la autorización del jefe de la organización de seguridad de que se trate, que registrará y controlará dichas copias, traducciones o extractos y las sellará si fuera necesario.

La reproducción o la traducción de un documento ►M2  TRES SECRET UE/EU TOP SECRET ◄ sólo podrá ser autorizada por el autor, que especificará el número de copias autorizadas. Si no puede determinarse dicho autor, la petición se remitirá a la ►M3  Dirección de Seguridad de la Comisión ◄ .

13.   Infracciones de la seguridad

Cuando se haya producido o se sospeche que se ha producido una infracción de la seguridad en relación con un documento clasificado de la UE, deberá actuarse inmediatamente de la siguiente forma, sin perjuicio de que se celebre un acuerdo de seguridad:

14.   Inspecciones

Se permitirá a la ►M3  Dirección de Seguridad de la Comisión ◄ , previo acuerdo con los países u organizaciones internacionales interesados, evaluar la eficacia de las medidas destinadas a proteger la información clasificada de la UE que se entregue.

15.   Informe

Sin perjuicio de que se celebre un acuerdo de seguridad, mientras el país u organización internacional tenga en su poder información clasificada de la UE, deberá presentar un informe anual en la fecha que se indique cuando se conceda la autorización para entregar información. En dicho informe se confirmará que se han cumplido las presentes normas de seguridad.

---

Apéndice 4

Directrices para la entrega de información clasificada de la UE a terceros países u Organizaciones Internacionales: cooperación de nivel 2

PROCEDIMIENTO

NORMAS DE SEGURIDAD QUE DEBERÁN APLICAR LOS BENEFICIARIOS

10.   Personal

11.   Transmisión de documentos

Los procedimientos prácticos para la transmisión de documentos se decidirán por acuerdo. En espera de la celebración de dicho acuerdo, serán aplicables las disposiciones de la sección 21. El acuerdo especificará en particular los registros a los que debe remitirse la información clasificada de la UE, las direcciones concretas a las que deben remitirse los documentos y los servicios de mensajería o correo utilizados para la transmisión de la información clasificada de la UE.

12.   Registro de llegada

La ANS del país destinatario, o su equivalente en el país que recibe en nombre de su Gobierno información clasificada remitida por la Comisión, o bien el órgano de seguridad de la organización internacional receptora, tendrá un libro de registro especial para inscribir la información clasificada de la UE a su recepción. El libro de registro constará de columnas en las que se indicarán la fecha de recepción, la descripción del documento (fecha, referencia y número de copia), su clasificación, su título, el nombre o cargo del receptor, la fecha del acuse de recibo y la fecha de devolución del documento a la UE o de destrucción del mismo.

13.   Devolución de documentos

Cuando el destinatario devuelva un documento clasificado a la Comisión, procederá en la forma que se indica en el apartado «Transmisión de documentos».

14.   Protección

15.   Seguridad física

16.   Infracciones de la seguridad

Cuando se haya producido o se sospeche que se ha producido una infracción de la seguridad en relación con un documento clasificado de la UE, deberá actuarse inmediatamente de la siguiente forma:

17.   Inspecciones

Se permitirá a la ►M3  Dirección de Seguridad de la Comisión ◄ , previo acuerdo con los países u organizaciones internacionales interesados, evaluar la eficacia de las medidas destinadas a proteger la información clasificada de la UE que se entregue.

18.   Informe

Sin perjuicio de que se celebre un acuerdo de seguridad, mientras el país u organización internacional tenga en su poder información clasificada de la UE, deberá presentar un informe anual en la fecha que se indique cuando se conceda la autorización para entregar información. En dicho informe se confirmará que se han cumplido las presentes normas de seguridad.

---

Apéndice 5

Directrices para la entrega de información clasificada de la UE a terceros países y Organizaciones Internacionales: cooperación de nivel 3

PROCEDIMIENTO

En principio, se limita a la información clasificada hasta el nivel ►M2  SECRET UE ◄ inclusive, y no incluye la información clasificada protegida por indicaciones o marcados de seguridad especiales.

Siempre que se modifiquen las condiciones de la cooperación, la Comisión volverá a examinar la cuestión.

NORMAS DE SEGURIDAD QUE DEBERÁN APLICAR LOS BENEFICIARIOS

13.   Transmisión de documentos

14.   Registro de llegada

La ANS del país destinatario, o su equivalente en el país, que recibe en nombre de su Gobierno información clasificada remitida por la Comisión, o bien el órgano de seguridad de la organización internacional receptora, tendrá un libro de registro especial para inscribir la información clasificada de la UE a su recepción. El libro de registro constará de columnas en las que se indicarán la fecha de recepción, la descripción del documento (fecha, referencia y número de copia), su clasificación, su título, el nombre o cargo del receptor, la fecha del acuse de recibo y la fecha de devolución del documento a la UE o de destrucción del mismo.

15.   Uso y protección de la información clasificada objeto de intercambio

16.   Destrucción

Los documentos que ya no sean necesarios deberán ser destruidos. Por lo que respecta a los documentos clasificados ►M2  RESTREINT UE ◄ y ►M2  CONFIDENTIEL UE ◄ , se hará el apunte oportuno en los registros especiales. Por lo que respecta a los documentos clasificados ►M2  SECRET UE ◄ , se expedirán certificados de destrucción firmados por dos personas que hayan presenciado su destrucción.

17.   Infracciones de seguridad

Si la información clasificada ►M2  CONFIDENTIEL UE ◄ o ►M2  SECRET UE ◄ se viera en peligro o si existiera la sospecha de que podría verse en peligro, la ANS del país o el jefe de seguridad de la organización llevará a cabo una investigación sobre las circunstancias del riesgo. Se informará a la ►M3  Dirección de Seguridad de la Comisión ◄ acerca de sus resultados. Deberán adoptarse las medidas necesarias para subsanar procedimientos o métodos de almacenamiento inadecuados, si han dado origen a un riesgo.

---

Apéndice 6

▼M5

---

DISPOSICIONES RELATIVAS A LA APLICACIÓN DEL REGLAMENTO (CE) No 1049/2001 DEL PARLAMENTO EUROPEO Y EL CONSEJO RELATIVO AL ACCESO DEL PÚBLICO A LOS DOCUMENTOS DEL PARLAMENTO EUROPEO, EL CONSEJO Y LA COMISIÓN

Considerando lo siguiente:

(1)	De conformidad con lo dispuesto en el apartado 2 del artículo 255 del Tratado CE, el Parlamento Europeo y el Consejo han adoptado el Reglamento (CE) no 1049/2001 ( 15 ) relativo al acceso del público a los documentos del Parlamento Europeo, el Consejo y la Comisión.

(2)

En aplicación del apartado 3 del artículo 255 del Tratado, este Reglamento, por el que se establecen los principios generales y los límites que regulan el ejercicio del derecho de acceso a los documentos, prevé en su artículo 18 que cada Institución adapte su Reglamento interno a las disposiciones de dicho Reglamento.

Artículo 1

Beneficiarios

Los ciudadanos de la Unión, así como las personas físicas o jurídicas que residan o tengan su domicilio social en un Estado miembro ejercerán su derecho de acceso a los documentos de la Comisión en virtud de lo dispuesto en el apartado 1 del artículo 255 del Tratado y en el apartado 1 del artículo 2 del Reglamento (CE) no 1049/2001 con arreglo a los procedimientos establecidos en las presentes disposiciones. Este derecho de acceso se refiere a los documentos que obren en poder de la Comisión, es decir, los que la Comisión ha elaborado o recibido y estén en su posesión.

En aplicación del apartado 2 del artículo 2 del Reglamento (CE) no 1049/2001, tanto los ciudadanos de terceros países que no tengan su residencia en un Estado miembro como las personas jurídicas que no tengan su domicilio social en uno de los Estados miembros se beneficiarán del derecho de acceso a los documentos de la Comisión en las mismas condiciones que los beneficiarios citados en el apartado 1 del artículo 255 del Tratado.

No obstante, en virtud del apartado 1 del artículo 195 del Tratado, estas personas no tendrán la facultad de presentar una reclamación ante el Defensor del Pueblo Europeo. En caso de que la Comisión les denegara total o parcialmente el acceso a un documento tras la presentación de una solicitud confirmatoria, sí podrán en cambio interponer un recurso ante el Tribunal de Primera Instancia de las Comunidades Europeas, de acuerdo con las disposiciones del párrafo cuarto del artículo 230 del Tratado.

Artículo 2

Solicitudes de acceso

Toda solicitud de acceso a un documento se enviará por correo, fax o correo electrónico a la Secretaría General de la Comisión, a la Dirección General o al Servicio competente. Las direcciones a las que deben enviarse las solicitudes aparecen publicadas en la guía práctica a que se refiere el artículo 8 de las presentes disposiciones.

La Comisión responderá a las solicitudes de acceso iniciales y confirmatorias dentro de los quince días laborables siguientes al registro de la solicitud. Cuando se trate de solicitudes complejas o voluminosas, este plazo podrá prolongarse quince días laborables. Toda prolongación del plazo deberá justificarse y comunicarse previamente al solicitante.

En caso de solicitud imprecisa contemplada en el apartado 2 del artículo 6 del Reglamento (CE) no 1049/2001, la Comisión invitará al solicitante a proporcionar informaciones complementarias que permitan identificar los documentos solicitados; el plazo de respuesta sólo comenzará a correr una vez que la institución disponga de tales informaciones.

Toda decisión negativa, aún en el caso de que sea parcial, deberá indicar el motivo de la denegación sobre la base de una de las excepciones enumeradas en el artículo 4 del Reglamento (CE) no 1049/2001, debiendo asimismo informar al solicitante de las vías de recurso de que dispone.

Artículo 3

Tramitación de las solicitudes iniciales

Sin perjuicio de lo dispuesto en el artículo 9 de las presentes disposiciones, se remitirá un acuse de recibo al solicitante una vez registrada su solicitud, salvo cuando la respuesta pueda enviarse a vuelta de correo.

Tanto el acuse de recibo como la respuesta se enviarán por escrito, en su caso por vía electrónica.

El solicitante será informado del curso reservado a su solicitud bien por el Director General o el Jefe de Servicio al que competa la solicitud, bien por un director designado al efecto por la Secretaría General, bien por un director designado por la OLAF en caso de solicitud referente a documentos relativos a las actividades de la OLAF contempladas en los apartados 1 y 2 del artículo 2 de la Decisión 1999/352/CE, CECA, Euratom de la Comisión ( 16 ), por la que se instituye la OLAF, bien por el funcionario que designen al efecto.

Toda respuesta total o parcialmente negativa deberá informar al solicitante de su derecho a presentar, en el plazo de quince días laborables a contar desde la recepción de la respuesta, una solicitud confirmatoria ante el Secretario General de la Comisión, o ante el Director de la OLAF cuando la solicitud confirmatoria se refiera a documentos relativos a las actividades de la OLAF contempladas en los apartados 1 y 2 del artículo 2 de la Decisión 1999/352/CE, CECA, Euratom.

Artículo 4

Tramitación de las solicitudes confirmatorias

De conformidad con lo dispuesto en el artículo 14 del Reglamento interno de la Comisión, la facultad de adoptar las decisiones relativas a las solicitudes confirmatorias se delega en el Secretario General. No obstante, cuando la solicitud confirmatoria se refiera a documentos relativos a las actividades de la OLAF contempladas en los apartados 1 y 2 del artículo 2 de la Decisión 1999/352/CE, CECA, Euratom, la decisión se delegará en el Director de la OLAF.

La Dirección General o el Servicio asistirán a la Secretaría General en la preparación de la decisión.

La decisión será adoptada por el Secretario General o por el Director de la OLAF previo acuerdo del Servicio Jurídico.

La decisión se comunicará al solicitante por escrito, en su caso por vía electrónica, informándole de su derecho a interponer un recurso ante el Tribunal de Primera Instancia, o a presentar una reclamación ante el Defensor del Pueblo Europeo.

Artículo 5

Consultas

1.  Cuando la Comisión reciba una solicitud de acceso a un documento que obre en su poder pero emane de un tercero, la Dirección General o el Servicio depositarios del documento comprobarán la aplicabilidad de alguna de las excepciones contempladas en el artículo 4 del Reglamento (CE) no 1049/2001. Si el documento solicitado está clasificado en virtud de las normas de seguridad de la Comisión, será de aplicación el artículo 6 de las presentes disposiciones.

2.  Si, al término de este examen, la Dirección General o el Servicio depositarios consideraran que el acceso al documento solicitado debe denegarse en virtud de alguna de las excepciones contempladas en el artículo 4 del Reglamento (CE) no 1049/2001, la respuesta negativa se enviará al solicitante sin previa consulta del tercero autor del documento.

3.  La Dirección General o el Servicio depositarios darán curso favorable a la solicitud sin consultar previamente al tercero autor del documento cuando:

4.  En todos los demás casos, se consultará al tercero autor del documento. En particular, cuando la solicitud de acceso se refiera a un documento que emane de un Estado miembro, la Dirección General o el Servicio depositarios consultarán a la autoridad de origen cuando:

5.  El tercer autor del documento al que se haya consultado dispondrá de un plazo de respuesta que no podrá ser inferior a cinco días laborables, pero que deberá permitir a la Comisión respetar sus propios plazos de respuesta. A falta de respuesta en el plazo fijado, o cuando el tercero en cuestión resulte inencontrable o inidentificable, la Comisión resolverá con arreglo al régimen de excepciones del artículo 4 del Reglamento (CE) no 1049/2001, teniendo en cuenta los intereses legítimos del tercero sobre la base de los elementos disponibles.

6.  En caso de que la Comisión tenga previsto otorgar el acceso a un documento en contra de la voluntad explícita de su autor, informará a éste de su intención de divulgar el documento en un plazo de diez días laborables, y le informará de las vías de recurso de que dispone para oponerse a esta divulgación.

7.  Cuando un Estado miembro reciba una solicitud de acceso a un documento que emane de la Comisión, aquél podrá dirigirse a efectos de consulta a la Secretaría General, quien se encargará de determinar cuál es la Dirección General o el Servicio responsable del documento en la Comisión. La Dirección general o el Servicio autor del documento responderá a esta solicitud tras consultar a la Secretaría General.

Artículo 6

Tramitación de las solicitudes de acceso a los documentos reservados

Cuando una solicitud de acceso se refiera a un documento sensible a tenor del apartado 1 del artículo 9 del Reglamento (CE) no 1049/2001, o a otro documento reservado en virtud de las normas de seguridad de la Comisión, dicha solicitud será tramitada por funcionarios autorizados a tener conocimiento del documento en cuestión.

Toda decisión por la que se deniegue el acceso a la totalidad o parte de un documento reservado deberá justificarse sobre la base de las excepciones enumeradas en el artículo 4 del Reglamento (CE) no 1049/2001. En el caso de que el acceso al documento solicitado no pudiera denegarse sobre la base de tales excepciones, el funcionario encargado de tramitar la solicitud procederá a desclasificar el citado documento antes de transmitirlo al solicitante.

No obstante, se precisará el consentimiento de la autoridad de origen para otorgar acceso a un documento sensible.

Artículo 7

Ejercicio del derecho de acceso

Los documentos se enviarán por correo, fax o, en su caso, por correo electrónico, según la solicitud. Cuando la solicitud se refiera a documentos de gran volumen o difíciles de manipular, podrá invitarse al solicitante a desplazarse para consultar los documentos in situ. Esta consulta será gratuita.

Cuando el documento haya sido publicado, la respuesta consistirá en facilitar las referencias de publicación y/o el lugar en que puede accederse al documento y, en su caso, la dirección del documento en el sitio EUROPA.

Cuando el volumen de los documentos solicitados supere las veinte páginas, podrá exigirse al solicitante el pago de 0,10 euros por página, más los gastos de envío. Los gastos que se deriven de otro tipo de soportes se decidirán caso por caso, evitando que excedan de un importe razonable.

Artículo 8

Medidas por las que se facilita el acceso a los documentos

1.  La cobertura del registro previsto en el artículo 11 del Reglamento (CE) no 1049/2001 se ampliará gradualmente. Dicha cobertura aparecerá indicada en la página principal del sitio EUROPA.

El registro contendrá el título del documento (en las lenguas en que esté disponible), la signatura y demás referencias útiles, así como una indicación de su autor y la fecha de su creación o adopción.

Una página de ayuda (en todas las lenguas oficiales) informará al público de la forma en que es posible obtener el documento. Si el documento está publicado, se incluirá un enlace con el texto íntegro.

2.  La Comisión elaborará una guía práctica destinada a informar al público de los derechos que le amparan en virtud del Reglamento (CE) no 1049/2001. Esta guía se difundirá en todas las lenguas oficiales en el sitio EUROPA, así como en forma de folleto.

Artículo 9

Documentos directamente accesibles por el público

1.  Las disposiciones del presente artículo sólo se aplicarán a los documentos redactados o recibidos tras la fecha de aplicación del Reglamento (CE) no 1049/2001.

2.  Los siguientes documentos se facilitarán automáticamente previa petición y, en la medida de lo posible, estarán directamente accesibles por vía electrónica:

3.  En la medida en que sea evidente que no puede aplicárseles ninguna de las excepciones previstas en el artículo 4 del Reglamento (CE) no 1049/2001, podrán divulgarse los siguientes documentos, a ser posible por vía electrónica, siempre que no reflejen opiniones o posiciones individuales:

Artículo 10

Organización interna

Competerá a los Directores Generales y Jefes de Servicio decidir el curso que deba darse a las solicitudes iniciales. En este sentido, designarán a un funcionario para que tramite las solicitudes de acceso y coordine la posición de su Dirección General o su Servicio.

Las respuestas a las solicitudes iniciales se comunicarán para información a la Secretaría General.

Las solicitudes confirmatorias se comunicarán para información a la Dirección General o al Servicio que haya respondido a la solicitud inicial.

La Secretaría General garantizará la correcta coordinación y la aplicación uniforme de estas normas por las Direcciones Generales y Servicios de la Comisión. Facilitarán a tal efecto todas las orientaciones y directrices necesarias.

▼M6

---

DISPOSICIONES RELATIVAS A LA GESTIÓN DE DOCUMENTOS

Considerando lo que sigue:

(1)	Las actividades y decisiones de la Comisión en los ámbitos político, legislativo, técnico, financiero y administrativo se concretan, en un momento dado, en todos los casos, en la producción de documentos.

(2)

Estos documentos deben gestionarse según normas aplicables al conjunto de las Direcciones Generales y Servicios asimilados, ya que constituyen el vínculo directo con las actividades en curso, al tiempo que el reflejo de las actividades pasadas de la Comisión, en su doble condición de institución y administración pública europea.

(3)

Estas normas homogéneas deben garantizar que la Comisión pueda en cualquier momento dar cuenta de todo aquello de lo que debe responder. En consecuencia, los documentos y los expedientes en poder de una Dirección General o Servicio asimilado deben conservar la memoria de la Institución, facilitar el intercambio de información, proporcionar las pruebas sobre las operaciones realizadas y responder a las obligaciones jurídicas que incumban a los Servicios.

(4)	La aplicación de dichas normas exige la instauración de una estructura organizativa adecuada y sólida, tanto al nivel de cada Dirección General o Servicio asimilado como al nivel interservicios y al de la Comisión.

(5)

El establecimiento y la instauración de un plan de clasificación basado en una nomenclatura que será común para el conjunto de los Servicios de la Comisión y que se inscribirá en el marco de la gestión por actividades de la Institución, permitirán organizar los expedientes, facilitando el acceso a los documentos y la transparencia.

(6)

Una gestión eficaz de los documentos constituye una condición previa indispensable para una política eficaz de acceso del público a los documentos de la Comisión. El ejercicio de este derecho de acceso por los ciudadanos se verá facilitado por el establecimiento de registros que contengan las referencias de los documentos elaborados o recibidos por la Comisión.

Artículo 1

Definiciones

A los efectos de las presentes disposiciones se entenderá por:

Artículo 2

Objeto

Las presentes disposiciones definen los principios de la gestión de documentos.

La gestión de documentos deberá garantizar:

Artículo 3

Normas homogéneas

Los documentos serán objeto de las siguientes operaciones:

Estas operaciones se efectuarán en el marco de normas homogéneas uniformemente aplicables al conjunto de las Direcciones Generales y Servicios asimilados de la Comisión.

Artículo 4

Registro

Desde su recepción o elaboración formal en el seno de un servicio, un documento, cualquiera que fuere su soporte, será objeto de un análisis orientado a determinar el curso que se le ha de reservar y, por consiguiente, la obligación de registrarlo o no.

Un documento elaborado o recibido por un Servicio de la Comisión deberá registrarse cuando contenga una información importante no efímera o pueda originar una acción o un seguimiento de la Comisión o de alguno de sus Servicios. En el caso de un documento elaborado, el registro se efectuará por el Servicio autor en el sistema que le corresponda. En el caso de un documento recibido, el registro se efectuará por el Servicio destinatario. En cualquier utilización posterior de documentos así registrados deberá hacerse referencia a su registro inicial.

El registro deberá permitir identificar clara e inequívocamente los documentos elaborados o recibidos por la Comisión o alguno de sus Servicios, de manera que puedan rastrearse los documentos en cuestión a lo largo de todo su ciclo de vida.

Dará lugar al establecimiento de registros que contengan las referencias de los documentos.

Artículo 5

Clasificación

Las Direcciones Generales y Servicios asimilados establecerán un plan de clasificación adaptado a sus necesidades específicas.

Este plan de clasificación, accesible por vía informática, estará basado en una nomenclatura común, definida por la Secretaría General para el conjunto de los Servicios de la Comisión. Esta nomenclatura se integrará en el marco de la gestión por actividades de la Comisión.

Los documentos registrados se organizarán en expedientes. Para cada asunto que sea competencia de la Dirección General, se constituirá un único expediente oficial. Cada expediente oficial deberá estar completo y corresponder a las actividades del servicio en el asunto en cuestión.

La creación de un expediente y su incorporación al plan de clasificación de una Dirección General o de un Servicio asimilado será responsabilidad del servicio responsable del ámbito a que se refiera el expediente, según las modalidades prácticas que deberán definirse en cada Dirección General o Servicio asimilado.

Artículo 6

Conservación

Cada Dirección General o Servicio asimilado garantizará la protección material de los documentos que se encuentren bajo su responsabilidad, así como su accesibilidad a corto y medio plazo y deberá estar en condiciones de constituir o recomponer los expedientes a los que pertenezcan.

El plazo mínimo de conservación de un documento se determinará por las normas administrativas y las obligaciones jurídicas.

Cada Dirección General o Servicio asimilado definirá su estructura organizativa interna a los efectos de la conservación de sus expedientes. El plazo mínimo de conservación en el seno de sus servicios tendrá en cuenta una lista común establecida para el conjunto de la Comisión, de conformidad con las normas de desarrollo a que se refiere el artículo 12.

Artículo 7

Preselección y transferencia a los Archivos Históricos

Sin perjuicio de los plazos mínimos de conservación contemplados en el artículo 6, el Centro o los Centros de gestión de documentos contemplados en el artículo 9 efectuarán, a intervalos regulares, en cooperación con los servicios responsables de los expedientes, una preselección de los documentos y expedientes que puedan ulteriormente transferirse a los Archivos Históricos de la Comisión. Previa evaluación de las propuestas, los Archivos Históricos podrán rechazar la transferencia de documentos o expedientes. Cualquier decisión de rechazo deberá motivarse y comunicarse al servicio interesado.

Los expedientes y documentos cuya conservación por los servicios ya no resulte necesaria se transferirán, a más tardar, quince años después de su elaboración, por mediación del centro de gestión de documentos y bajo la autoridad del Director General, a los Archivos Históricos de la Comisión. Estos expedientes o documentos serán a continuación objeto de una selección, que se efectuará según las reglas establecidas en las normas de desarrollo a que se refiere el artículo 12, destinada a separar los que deban conservarse de los que estén desprovistos de cualquier interés administrativo o histórico.

Los Archivos Históricos dispondrán de depósitos especiales para la conservación de los expedientes y documentos así transferidos. Previa petición, pondrán los documentos y expedientes a disposición de la Dirección General o del Servicio asimilado de donde procedan.

Artículo 8

Documentos objeto de clasificación de seguridad

Los documentos objeto de clasificación de seguridad («documentos clasificados de la Unión Europea») serán tratados con observancia de las normas vigentes en materia de seguridad.

Artículo 9

Centros de gestión de documentos

Habida cuenta de su estructura y sus dificultades, cada Dirección General o Servicio asimilado establecerá o mantendrá uno o varios Centros de gestión de documentos.

La tarea de los Centros de gestión de documentos será garantizar que los documentos elaborados o recibidos en su Dirección General o Servicio asimilado se gestionen de conformidad con las normas establecidas.

Artículo 10

Encargado de la gestión de documentos

Cada Director General o Jefe de Servicio designará un encargado de la gestión de documentos.

En el marco de la instauración de un sistema de gestión de documentos y de archivo moderno y eficaz, el encargado de la gestión de documentos tendrá la misión de velar por:

El encargado de la gestión de documentos garantizará la coordinación horizontal entre el o los Centros de gestión de documentos y los restantes servicios interesados.

Artículo 11

Grupo interservicios

Se constituirá un grupo interservicios de los encargados de la gestión de documentos, cuya presidencia estará encargada a la Secretaría General, y que tendrá por misión:

El grupo interservicios se convocará por su Presidente, bien por iniciativa de éste, bien a petición de una Dirección General o Servicio asimilado.

Artículo 12

Normas de desarrollo

Las normas de desarrollo de las presentes disposiciones se aprobarán y serán regularmente actualizadas por el Secretario General, de acuerdo con el Director general de personal y administración, a propuesta del grupo interservicios de los encargados de la gestión de documentos.

La actualización tendrá en cuenta, en particular:

Artículo 13

Aplicación en los Servicios

Cada Director general o Jefe de Servicio establecerá la estructura organizativa, administrativa, material y de personal necesaria para la aplicación por sus Servicios de las presentes disposiciones y de sus normas de desarrollo.

Artículo 14

Información, formación y apoyo

La Secretaría General y la Dirección General de Personal y Administración establecerán las acciones de información, de formación y de apoyo necesarias para garantizar la ejecución y aplicación de las presentes disposiciones en las distintas Direcciones Generales y Servicios asimilados.

En la definición de las acciones de formación, tendrán debidamente en cuenta las necesidades de las Direcciones Generales y Servicios asimilados en materia de formación y apoyo, tal como se recojan por el grupo interservicios de los encargados de la gestión de documentos.

Artículo 15

Ejecución de las disposiciones

La Secretaría General será responsable de velar por la ejecución de las presentes disposiciones, en coordinación con los Directores Generales y Jefes de Servicio.

▼M11 —————

▼M8

---

DISPOSICIONES DE LA COMISIÓN RELATIVAS A LOS DOCUMENTOS ELECTRÓNICOS Y DIGITALIZADOS

Considerando lo siguiente:

(1)

La utilización generalizada de las nuevas tecnologías de la información y la comunicación por la Comisión para su propio funcionamiento y en sus intercambios de documentos con el mundo exterior, en particular, con las administraciones comunitarias, incluidos los organismos encargados de la aplicación de determinadas políticas comunitarias, y con las administraciones nacionales, tiene como consecuencia que el espacio documental de la Comisión contenga cada vez más documentos electrónicos y digitalizados.

(2)

De acuerdo con el Libro Blanco sobre la Reforma de la Comisión ( 17 ), cuyas acciones 7, 8 y 9 tienen por objeto garantizar el paso a la «e-Comisión», y con la Comunicación «Hacia la Comisión en línea: estrategia de aplicación para el período 2001-2005 (Acciones 7, 8 y 9 del Libro Blanco sobre la Reforma)» ( 18 ), la Comisión ha intensificado, en el marco de su funcionamiento interno y en el de las relaciones entre sus Servicios, el desarrollo de sistemas informáticos que permiten gestionar los documentos y procedimientos por medios electrónicos.

(3)

En virtud de la Decisión 2002/47/CE, CECA, Euratom ( 19 ), la Comisión ha añadido como anexo a su Reglamento interno las disposiciones relativas a la gestión de los documentos con el fin de garantizar, en particular, su capacidad para rendir cuentas en todo momento de todo aquello a lo que esté obligada. En su Comunicación sobre la simplificación y modernización de la gestión de sus documentos ( 20 ), la Comisión se fijó como objetivo a medio plazo la creación de un sistema de archivado electrónico de los documentos basado en un conjunto de normas y procedimientos comunes aplicables a todos sus servicios.

(4)

Los documentos deben gestionarse con arreglo a las normas de seguridad aplicables a la Comisión, especialmente por lo que se refiere a la clasificación de los documentos, de acuerdo con su Decisión 2001/844/CE, CECA, Euratom ( 21 ), de protección de los sistemas de información, de acuerdo con su Decisión C(95) 1510, y de protección de los datos personales, de acuerdo con el Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo ( 22 ). Así pues, el espacio documental de la Comisión debe concebirse de manera que los sistemas de información, las redes y los medios de transmisión que lo alimentan estén protegidos por medidas de seguridad adecuadas.

(5)

Es importante adoptar disposiciones que determinen no sólo las condiciones de validez, con respecto a la Comisión, de los documentos electrónicos y digitalizados o transmitidos por vía electrónica, cuando estas condiciones no estén fijadas en otra parte, sino también las condiciones de conservación que garanticen la integridad y la legibilidad a largo plazo de estos documentos y de los metadatos que los acompañan durante todo el período de conservación previsto.

DECIDE:

Artículo 1

Objeto

Las presentes disposiciones determinan las condiciones de validez de los documentos electrónicos y digitalizados con respecto a la Comisión. Tienen asimismo por objeto garantizar la autenticidad, integridad y legibilidad a largo plazo de estos documentos y de los metadatos que los acompañan.

Artículo 2

Ámbito de aplicación

Las presentes disposiciones se aplicarán a los documentos electrónicos y digitalizados elaborados o recibidos y conservados por la Comisión.

Mediante convenio, pueden aplicarse a los documentos electrónicos y digitalizados en poder de otras entidades encargadas de la aplicación de determinadas políticas comunitarias o a los documentos intercambiados en el marco de redes telemáticas entre Administraciones de las que forme parte la Comisión.

Artículo 3

Definiciones

A los efectos de las presentes disposiciones se entenderá por:

1)

Documento : cualquier documento, tal y como aparece definido tanto en la letra a) del artículo 3 del Reglamento (CE) no 1049/2001 del Parlamento Europeo y del Consejo ( 23 ) como en el artículo 1 de las disposiciones relativas a la gestión de documentos anejas al Reglamento interno de la Comisión, en lo sucesivo, «disposiciones relativas a la gestión de documentos».

2)

Documento electrónico : todo conjunto de datos introducidos o almacenados en cualquier tipo de soporte por un sistema informático o un dispositivo similar, que pueda ser leído o percibido por una persona o por dicho sistema o dispositivo, así como toda visualización y reproducción, en forma impresa o de otro tipo, de tales datos.

3)

Digitalización de documentos : el proceso consistente en transformar un documento en papel o en cualquier otro tipo de soporte tradicional en una imagen electrónica. La digitalización se refiere a todos los tipos de documentos y puede efectuarse a partir de distintos soportes, como papel, fax, microformatos (microfichas, microfilmes), fotografías, grabaciones sonoras, visuales o audiovisuales y películas.

4)

Ciclo de vida de un documento : el conjunto de las etapas o períodos de vida de un documento, desde su recepción o elaboración formal en el sentido definido en el artículo 4 de las disposiciones relativas a la gestión de documentos hasta su transferencia a los archivos históricos de la Comisión y su apertura al público, o hasta su destrucción en el sentido definido en el artículo 7 de dichas disposiciones.

5)	Espacio documental de la Comisión : el conjunto de los documentos, expedientes y metadatos elaborados, recibidos, registrados, clasificados y conservados por la Comisión.

6)	Integridad : el hecho de que la información contenida en el documento y los metadatos que la acompañan es completa (todos los datos están presentes) y exacta (los datos no presentan cambios).

7)

Legibilidad a largo plazo : el hecho de que la información contenida en los documentos y los metadatos que la acompañan siguen siendo fácilmente legibles, por toda persona que deba o pueda tener acceso a ellos, durante todo el ciclo de vida de dichos documentos, desde su recepción o elaboración formal hasta su transferencia a los archivos históricos de la Comisión y su apertura al público, o hasta su destrucción autorizada en función del período de conservación exigido.

8)

Metadatos : los datos que describen el contexto, el contenido y la estructura de los documentos, así como su gestión a largo plazo, tal y como aparecen fijados en las normas de desarrollo de las disposiciones relativas a la gestión de documentos y quedarán completados en las normas de desarrollo de las presentes disposiciones.

9)	Firma electrónica : la firma electrónica según lo dispuesto en el punto 1) del artículo 2 de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo ( 24 ).

10)	Firma electrónica avanzada : la firma electrónica según lo dispuesto en el punto 2) del artículo 2 de la Directiva 1999/93/CE.

Artículo 4

Validez de los documentos electrónicos

1.  En los casos en que una disposición comunitaria o nacional aplicable exige el original firmado de un documento, un documento electrónico elaborado o recibido por la Comisión satisface esta exigencia si el documento en cuestión lleva una firma electrónica avanzada basada en un certificado cualificado y creada por un dispositivo garantizado de creación de firma o una firma electrónica con garantías equivalentes con respecto a las funcionalidades asignadas a una firma.

2.  En los casos en que una disposición comunitaria o nacional aplicable exige la elaboración por escrito de un documento, pero no el original firmado, un documento electrónico elaborado o recibido por la Comisión satisface esta exigencia si la persona de la que emana está debidamente identificada y si el documento se elabora en condiciones que garantizan la integridad de su contenido y de los metadatos que lo acompañan y se conserva en las condiciones fijadas en el artículo 7.

3.  Las disposiciones del presente artículo serán aplicables desde el día siguiente a la adopción de las normas de desarrollo contempladas en el artículo 9.

Artículo 5

Validez de los procedimientos electrónicos

1.  En los casos en que un procedimiento de la propia Comisión requiere la firma de una persona habilitada o la aprobación de una persona en una o varias etapas de dicho procedimiento, éste podrá gestionarse mediante sistemas informáticos en la medida en que cada persona aparezca identificada de forma clara e inequívoca y siempre que el sistema en cuestión ofrezca garantías de inalterabilidad del contenido, inclusive por lo que se refiere a las etapas del procedimiento.

2.  En los casos en que un procedimiento que implique la participación de la Comisión y otras entidades requiera la firma de una persona habilitada o la aprobación de una persona en una o varias etapas de dicho procedimiento, éste podrá gestionarse mediante sistemas informáticos en las condiciones y con las garantías técnicas fijadas mediante convenio.

Artículo 6

Transmisión por vía electrónica

1.  La transmisión de documentos por la Comisión a un destinatario interno o externo podrá efectuarse por el medio de comunicación más adecuado a las circunstancias del caso.

2.  La transmisión de documentos a la Comisión podrá efectuarse por cualquier medio de comunicación, incluida la transmisión electrónica: fax, correo electrónico, formulario electrónico, sitio Web, etc.

3.  Los apartados 1 y 2 no serán de aplicación cuando en virtud de una disposición comunitaria o nacional aplicable o en virtud de un convenio o de un acuerdo entre las partes se exija la utilización de medios específicos de transmisión o se requieran trámites particulares vinculados a la transmisión.

Artículo 7

Conservación

1.  La conservación por la Comisión de los documentos electrónicos y digitalizados deberá estar garantizada durante todo el período de conservación exigido, en las siguientes condiciones:

2.  A los efectos de lo dispuesto en el apartado 1, la Comisión creará un sistema de depósito electrónico destinado a cubrir el conjunto del ciclo de vida de los documentos electrónicos y digitalizados.

Las condiciones técnicas del sistema de depósito electrónico se fijarán en las normas de desarrollo contempladas en el artículo 9.

Artículo 8

Seguridad

Los documentos electrónicos y digitalizados se gestionarán con arreglo a las normas de seguridad aplicables a la Comisión. Con este propósito, los sistemas de información, las redes y los medios de transmisión que alimentan el espacio documental de la Comisión estarán protegidos por medidas de seguridad adecuadas en materia de clasificación de los documentos, protección de los sistemas de información y protección de los datos personales.

Artículo 9

Normas de desarrollo

Las normas de desarrollo de las presentes disposiciones se elaborarán en cooperación con las Direcciones Generales y Servicios asimilados y serán adoptadas por el Secretario General de la Comisión, de acuerdo con el Director General encargado de la informática en la Comisión.

Dichas disposiciones se actualizarán regularmente en función de la evolución de las tecnologías de la información y la comunicación y de las nuevas obligaciones que podrían imponerse a la Comisión.

Artículo 10

Aplicación en los Servicios

Cada Director General o Jefe de Servicio adoptará las medidas necesarias para que los documentos, procedimientos y sistemas electrónicos bajo su responsabilidad respondan a las exigencias de las presentes disposiciones y de sus normas de desarrollo.

Artículo 11

Ejecución de las disposiciones

El Secretariado General de la Comisión deberá velar por la ejecución de las presentes disposiciones en cooperación con las Direcciones Generales y Servicios asimilados, y en particular con la Dirección General encargada de la informática en la Comisión.

▼M10

---

DISPOSICIONES DE LA COMISIÓN POR LAS QUE SE CREA EL SISTEMA DE ALERTA RÁPIDA GENERAL ARGUS

Considerando lo siguiente:

(1)

Resulta oportuno que la Comisión establezca un sistema de alerta rápida general denominado ARGUS, con el fin de aumentar su capacidad para reaccionar de manera rápida, eficiente y coordinada, dentro de su ámbito de competencia, a las crisis de naturaleza multisectorial que abarquen varios ámbitos políticos y exijan una actuación a escala comunitaria, cualquiera que sea su causa.

(2)	El sistema deberá basarse inicialmente en una red de comunicación interna que permita a las Direcciones Generales y a los servicios de la Comisión compartir la información clave en caso de crisis.

(3)	El sistema se revisará habida cuenta de la experiencia adquirida y de los avances tecnológicos para garantizar la interdependencia y la coordinación de las redes especializadas existentes.

(4)

Es necesario definir un proceso apropiado de coordinación para adoptar decisiones y gestionar una respuesta rápida, coordinada y coherente de la Comisión a una crisis multisectorial importante, a la vez que se mantiene suficientemente flexible y adaptable a las necesidades y circunstancias particulares de una crisis específica y respetando los instrumentos políticos existentes relacionados con crisis específicas.

(5)

El sistema debe respetar las características, experiencia, acuerdos y ámbito de competencia específicos de cada uno de los sistemas de alerta rápida sectoriales de la Comisión existentes, que permiten a sus servicios responder a crisis específicas en diversos campos de la actividad comunitaria, así como el principio general de subsidiariedad.

(6)

Dado que la comunicación es un elemento clave de la gestión de crisis, debe prestarse especial atención a la información al público y a la comunicación efectiva con los ciudadanos, a través de la prensa y de las diversas herramientas de comunicación y puntos de contacto de la Comisión, desde Bruselas o desde la localización más oportuna.

Artículo 1

El sistema ARGUS

1.  Se crea un sistema de alerta y respuesta rápidas general denominado ARGUS, con el fin de aumentar la capacidad de la Comisión para ofrecer una respuesta rápida, eficiente y coherente en caso de crisis importante de naturaleza multisectorial que abarque varios ámbitos políticos que exijan una actuación a escala comunitaria, cualquiera que sea su causa.

2.  ARGUS consistirá en:

3.  Estas disposiciones son sin perjuicio de la Decisión 2003/246/CE, Euratom de la Comisión sobre los procedimientos operativos para la gestión de crisis.

Artículo 2

La red de información ARGUS

1.  La red de comunicación interna será una plataforma permanente que permitirá a las Direcciones Generales y a los servicios de la Comisión compartir en tiempo real la información pertinente sobre crisis multisectoriales que surjan o amenazas previsibles o inminentes asociadas a ellas y coordinar la respuesta apropiada en el ámbito de competencia de la Comisión.

2.  Los miembros principales de la red son: el Secretario General; la DG Prensa y Comunicación, incluido el Servicio del Portavoz; la DG Medio Ambiente; la DG Sanidad y Protección de los Consumidores; la DG Justicia, Libertad y Seguridad; la DG Relaciones Exteriores; la DG Ayuda Humanitaria; la DG Personal y Administración; la DG Comercio; la DG Informática; la DG Fiscalidad y Unión Aduanera; el Centro Común de Investigación, y el Servicio Jurídico.

3.  Cualquier otra Dirección General y servicio de la Comisión puede ser incluida en la red, a petición suya, a condición de que cumpla los requisitos mínimos mencionados en el apartado 4.

4.  Las Direcciones Generales y los servicios que son miembros de la red designarán a un corresponsal ARGUS y aplicarán acuerdos de actuación permanente oportunos que permitirán ponerse en contacto con el servicio y reaccionar rápidamente en caso de una crisis que precise de su intervención. El sistema será concebido de forma que permita hacerlo con la actual asignación de recursos humanos.

Artículo 3

Proceso de coordinación en caso de crisis importante

1.  En caso de crisis multisectorial importante o amenaza previsible o inminente de que se produzca, el Presidente, por propia iniciativa tras haber sido alertado o a petición de un miembro de la Comisión, podrá decidir activar un proceso de coordinación específico. El Presidente también decidirá sobre la asignación de la responsabilidad política de la respuesta de la Comisión a la crisis. Asumirá él mismo la responsabilidad o se la asignará a un miembro de la Comisión.

2.  Esta responsabilidad implicará liderar y coordinar la respuesta a la crisis, representando a la Comisión con respecto a las otras instituciones y siendo responsable de la comunicación con el público. Esto no modificará las competencias y mandatos existentes en el Colegio.

3.  La Secretaría general, bajo la autoridad del Presidente o del miembro de la Comisión al que se haya asignado la responsabilidad, activará la estructura de gestión de la crisis operativa específica denominada Comité de coordinación de crisis que se describe en el artículo 4.

Artículo 4

El Comité de coordinación de crisis

1.  El Comité de coordinación de crisis es una estructura de gestión de crisis operativa específica creada para liderar y coordinar la respuesta a la crisis, que reúne a representantes de todas las Direcciones Generales y servicios pertinentes de la Comisión. Por regla general, las Direcciones Generales y los servicios mencionados en el artículo 2, apartado 2, estarán representados en el Comité de coordinación de crisis, además de otras Direcciones Generales y servicios afectados por la crisis específica. El Comité de coordinación de crisis contará con los recursos y medios existentes en los servicios.

2.  El Comité de coordinación de crisis estará presidido por el vicesecretario general con especial responsabilidad en la coordinación política.

3.  El Comité de coordinación de crisis evaluará y supervisará, en especial, el desarrollo de la situación, identificará problemas y opciones que precisen de una decisión y actuación, se asegurará de que las decisiones y las acciones se lleven a cabo y garantizarán la coherencia y consistencia de la respuesta.

4.  Las decisiones acordadas en el Comité de coordinación de crisis se adoptarán a través de procedimientos de toma de decisiones normales de la Comisión y serán ejecutadas por las Direcciones Generales y los sistemas de alerta rápida.

5.  Los servicios de la Comisión se encargarán diligentemente de la gestión de las tareas relacionadas con la respuesta en su ámbito de competencia.

Artículo 5

El manual de procedimientos operativos

Un manual de procedimientos operativos definirá disposiciones detalladas para aplicar la presente Decisión.

Artículo 6

La Comisión revisará la presente Decisión habida cuenta de la experiencia adquirida y de los avances tecnológicos, como muy tarde un año después de su entrada en vigor y, si fuera necesario, adoptará medidas adicionales relativas al funcionamiento de ARGUS.

▼M12

---

DISPOSICIONES DE APLICACIÓN DEL REGLAMENTO (CE) No1367/2006 DEL PARLAMENTO EUROPEO Y DEL CONSEJO RELATIVO A LA APLICACIÓN A LAS INSTITUCIONES Y A LOS ORGANISMOS COMUNITARIOS DE LAS DISPOSICIONES DEL CONVENIO DE AARHUS SOBRE EL ACCESO A LA INFORMACIÓN, LA PARTICIPACIÓN DEL PÚBLICO EN LA TOMA DE DECISIONES Y EL ACCESO A LA JUSTICIA EN MATERIA DE MEDIO AMBIENTE

Artículo 1

Acceso a la información ambiental

El plazo de 15 días hábiles indicado en el artículo 7 del Reglamento (CE) no 1367/2006 se iniciará en la fecha de registro de la solicitud por el departamento de la Comisión responsable.

Artículo 2

Participación del público

A los efectos de la aplicación del artículo 9, apartado 1, del Reglamento (CE) no 1367/2006, la Comisión garantizará la participación del público de acuerdo con la Comunicación «Principios generales y normas mínimas para la consulta de la Comisión a las partes interesadas» ( 25 ).

Artículo 3

Solicitudes de revisión interna

Las solicitudes de revisión interna de un acto administrativo o las relativas a una omisión administrativa se enviarán por correo, fax o correo electrónico al departamento responsable de la aplicación de la disposición en virtud de la cual se haya adoptado dicho acto o respecto a la cual se alegue la omisión administrativa.

Deberá facilitarse al público información detallada para el contacto con el departamento responsable.

Cuando se haya enviado la solicitud a un departamento distinto del responsable de la revisión, el departamento receptor la hará llegar al responsable.

En cualquier caso, cuando el departamento responsable de la revisión no sea la Dirección General de Medio Ambiente, este la informará de la solicitud de revisión presentada.

Artículo 4

Decisiones sobre la admisibilidad de las solicitudes de revisión interna

1.  Tan pronto como se registre una solicitud de revisión interna, se enviará un acuse de recibo a la organización no gubernamental que la presente, en su caso, por medios electrónicos.

2.  El departamento de la Comisión correspondiente determinará si la organización no gubernamental tiene derecho a presentar la solicitud de revisión interna en virtud de la Decisión 2008/50/CE ( 26 ) de la Comisión.

3.  De conformidad con el artículo 14 del Reglamento Interno, la facultad de tomar decisiones sobre la admisibilidad de las solicitudes de revisión interna se delega en el Director General o el Jefe de Departamento correspondiente.

Las decisiones sobre la admisibilidad de las solicitudes cubrirán cualquier decisión relativa al derecho que ampara a la organización no gubernamental que presente la solicitud, conforme al apartado 2 del presente artículo, a la presentación dentro de plazo de la solicitud, según lo dispuesto en el artículo 10, apartado 1, párrafo segundo, del Reglamento (CE) no 1367/2006, y a la indicación y la justificación de los motivos para presentar la solicitud, con arreglo a lo dispuesto en el artículo 1, apartados 2 y 3, de la Decisión 2008/50/CE.

4.  Cuando el Director General o el Jefe de Departamento mencionados en el apartado 3 estimen que la solicitud de revisión interna es inadmisible en todo o en parte, se informará de ello a la organización no gubernamental que presente la solicitud, por escrito y, en su caso, por medios electrónicos, indicando los motivos.

Artículo 5

Decisiones sobre la sustancia de las solicitudes de revisión interna

1.  Cualquier decisión por la que se determine que el acto administrativo cuya revisión se pide o la omisión administrativa alegada infringen la legislación de medio ambiente será tomada por la Comisión.

2.  Con arreglo al artículo 13 del Reglamento Interno, el miembro de la Comisión responsable de la aplicación de las disposiciones a partir de la cuales se haya adoptado el acto administrativo correspondiente o a las que se refiera la omisión administrativa estará habilitado para decidir que el acto cuya revisión se pide o la omisión administrativa alegada no constituye una infracción de la legislación de medio ambiente.

Se prohíbe la subdelegación de los poderes conferidos en virtud del párrafo primero.

3.  Se informará del resultado de la revisión a la organización no gubernamental que presente la solicitud, por escrito y, si procede, por medios electrónicos, indicando los motivos.

Artículo 6

Medidas reparadoras

En todas las respuestas en las que se informe a una organización no gubernamental de que su solicitud es inadmisible, en todo o en parte, o de que el acto administrativo cuya revisión se pide o la omisión administrativa alegada no constituyen una infracción de la legislación comunitaria, se hará saber a la organización no gubernamental cuáles son las medidas reparadoras a su disposición, a saber: iniciar una acción judicial contra la Comisión o presentar una reclamación al Defensor del Pueblo, o bien ambas cosas, de conformidad con las condiciones establecidas en los artículos 230 y 195 del Tratado CE, respectivamente.

Artículo 7

Información al público

Se pondrá a disposición del público una guía práctica con la información adecuada acerca de los derechos otorgados por el Reglamento (CE) no 1367/2006.

---

( 1 ) Tratado de la Unión Europea, artículo 17, apartado 6, letra a).

( 2 ) Tratado de la Unión Europea, artículo 17, apartado 6, letra b).

( 3 ) Tratado de Funcionamiento de la Unión Europea, artículo 248.

( 4 ) Véase la nota 3 a pie de página.

( 5 ) Tratado de la Unión Europea, artículo 17, apartado 6, letra c).

( 6 ) Tratado de la Unión Europea, artículo 17, apartado 6, párrafo segundo.

( 7 ) DO L 156 de 18.6.2005, p. 3.

( 8 ) Dirección:Comisión Europea, Secretaría General, Unidad SG/B/2 «Transparencia, acceso a los documentos, relaciones con la sociedad civil», rue de la Loi/Wetstraat 200, B-1049 Bruxelles/Brussel; fax: (32-2) 296 72 42.

E-mail: SG-Code-de-bonne-conduite@cec.eu.int.

( 9 ) DO no 17 de 6.10.1958, p. 406/58.

( 10 ) DO L 151 de 15.6.1990, p. 1.

( 11 ) DO L 101 de 11.4.2001, p. 1.

( 12 ) DO L 145 de 31.5.2001, p. 43.

( 13 ) Sin perjuicio del Convenio de Viena de 1961 sobre las relaciones diplomáticas y del Protocolo sobre privilegios e inmunidades de las Comunidades Europeas de 8 de abril de 1965.

( 14 ) En el apéndice 1 figura un cuadro comparativo de los niveles de clasificación de seguridad de la UE, de la OTAN, de la UEO y de los Estados miembros.

( 15 ) DO L 145 de 31.5.2001, p. 43.

( 16 ) DO L 136 de 31.5.1999, p. 20.

( 17 ) COM(2000) 200.

( 18 ) SEC(2001) 924.

( 19 ) DO L 21 de 24.1.2002, p. 23.

( 20 ) C(2002) 99 final.

( 21 ) DO L 317 de 3.12.2001, p. 1.

( 22 ) DO L 8 de 12.1.2001, p. 1.

( 23 ) DO L 145 de 31.5.2001, p. 43.

( 24 ) DO L 13 de 19.1.2000, p. 12.

( 25 ) COM(2002) 704 final.

( 26 ) DO L 13 de 16.1.2008, p. 24.