LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,
Visto el Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (1), y, en particular, su artículo 24, apartado 8, y su anexo,
Considerando lo siguiente:
(1) El Reglamento (CE) no 45/2001, en lo sucesivo denominado «el Reglamento», establece los principios y normas aplicables a todas las instituciones y organismos comunitarios y prevé la designación por parte de cada institución comunitaria y organismo comunitario de un responsable de la protección de datos.
(2) El artículo 24, apartado 8, del Reglamento, requiere que cada institución u organismo comunitario adopte normas complementarias de aplicación referentes al responsable de la protección de datos de conformidad con las disposiciones contenidas en el anexo. Las normas de aplicación se referirán en especial a las tareas, funciones y competencias del responsable de la protección de datos.
(3) La Decisión C (2002) 510 de la Comisión (2), de 18 de febrero de 2002, crea el puesto de Responsable de la Protección de Datos (RPD) para la Comisión y le encomienda que proponga otras normas de aplicación una vez consultadas las Direcciones Generales según sus necesidades y experiencias.
DECIDE:
Definiciones
A los efectos de la presente Decisión y sin perjuicio de las definiciones previstas por el Reglamento, se aplicarán las definiciones siguientes:
— «Coordinador de la Protección de Datos» (denominado en lo sucesivo «el CPD»): el miembro del personal de una Dirección General o un servicio a quien haya designado el Director General para coordinar todos los aspectos de la protección de datos personales en la Dirección General de que se trate.
— «Responsable del Tratamiento» definido en el artículo 2, letra d), y mencionado en el artículo 25, apartado 2, letra a): el funcionario responsable de la unidad organizativa que haya determinado los fines y los medios del tratamiento de datos personales.
Ámbito de aplicación
La presente Decisión define las normas y procedimientos para desempeñar la función del responsable de la protección de datos (denominado en lo sucesivo «el RPD») dentro de la Comisión de conformidad con el artículo 24, apartado 8, del Reglamento. No será de aplicación a las actividades de la Comisión al definir políticas relativas a la protección de las personas físicas en lo referente al tratamiento de datos personales.
______________________
(1) DO L 8 de 12.1.2001, p. 1.
(2) No publicada aún el Diario Oficial.
RESPONSABLE DE LA PROTECCIÓN DE DATOS
Nombramiento y estatuto
1. La Comisión designará al responsable de la protección de datos (1) y comunicará su nombre al Supervisor Europeo de la Protección de Datos (en lo sucesivo denominado «el SEPD»).
2. Su mandato será de cinco años, con posibilidad de una prórroga.
3. El RPD actuará de manera independiente por lo que se refiere a la aplicación interna de las disposiciones del Reglamento y no podrá recibir instrucciones en cuanto al ejercicio de sus funciones.
4. Se seleccionará al responsable de la protección de datos entre el personal de la Comisión conforme a los procedimientos pertinentes. Además de los requisitos del artículo 24, apartado 2, del Reglamento, el RPD deberá tener sólidos conocimientos de los servicios y la estructura de la Comisión y de sus normas y procedimientos administrativos. Tendrá que conocer bien los sistemas, principios y metodologías de la protección de datos y la información. Deberá demostrar que tiene sentido común y es capaz de mantener una postura imparcial y objetiva conforme al Estatuto de los funcionarios.
5. De conformidad con el Reglamento, el responsable de la protección de datos puede ser destituido de su puesto por la Comisión, previo consentimiento del SEPD, si ya no cumple las condiciones requeridas para el ejercicio de sus funciones. La Comisión, a propuesta del Secretario General de común acuerdo con el Director General de Personal y Administración, dispondrá que el RPD ya no cumple las condiciones requeridas para el ejercicio de sus funciones.
6. Sin perjuicio de las disposiciones pertinentes del Reglamento, el responsable de la protección de datos y el personal a su cargo estarán sometidos a las normas y reglamentaciones aplicables a los funcionarios de las Comunidades Europeas.
Funciones
1. Sin perjuicio de las funciones descritas en el artículo 24 del Reglamento y en su anexo, el RPD contribuirá a crear una cultura de la protección de datos personales en el seno de la Comisión, sensibilizando a la población en general en torno a estas cuestiones y manteniendo al mismo tiempo un equilibrio entre los principios de la protección de datos personales y la transparencia.
2. El responsable de la protección de datos mantendrá un inventario de todas las operaciones de tratamiento de datos personales de la Comisión en las que los coordinadores de la protección de datos (CPD) introduzcan las operaciones de tratamiento de sus respectivas DG que deban notificarse. Asimismo, los RPD identificarán al responsable de dichas operaciones y le ayudarán a evaluar el riesgo del tratamiento efectuado bajo su responsabilidad y a supervisar la aplicación del Reglamento en la Comisión, a través fundamentalmente de un informe de situación anual de la protección de datos.
3. El responsable de la protección de datos organizará y presidirá las reuniones periódicas de la red de coordinadores de la protección de datos.
4. El RPD efectuará el registro de las operaciones de tratamiento, previsto en el artículo 26 del Reglamento, que estará disponible en los sitios Internet internos y externos de la Comisión.
5. El responsable de la protección de datos podrá hacer recomendaciones y asesorar a la Comisión y a los responsables del tratamiento sobre asuntos referentes a la aplicación de las disposiciones en materia de protección de datos y podrá llevar a cabo investigaciones previa petición, o por propia iniciativa, sobre asuntos y acontecimientos directamente relacionados con sus tareas, e informar a la persona que encargó la investigación, de conformidad con el procedimiento descrito en el artículo 13. Si el solicitante es una persona física, o si el solicitante actúa en nombre de una persona física, el responsable de la protección de datos deberá, en la medida de lo posible, garantizar la confidencialidad de la petición, a menos que el interesado dé su consentimiento inequívoco para que la petición se gestione de otro modo.
6. El tratamiento que de los datos personales hagan los Comités de Personal corresponderá al mandato del RPD de la Comisión. A efectos del artículo 6, el responsable de la protección de datos facilitará, cuando surjan cuestiones relativas al tratamiento de datos por parte del Comité de Personal, la información al Presidente del Comité de Personal de que se trate en lugar de al Secretario General.
7. Sin perjuicio de la independencia del responsable de la protección de datos, el Secretario General, en nombre de la Comisión, podrá pedirle que represente a la institución en todas las cuestiones relativas a la protección de datos; ello podrá incluir la participación del RPD en los correspondientes comités y organismos a nivel internacional.
Obligaciones
1. Además de las tareas generales, el responsable de la protección de datos:
a) presentará cada año un informe de situación de la protección de datos en la Comisión, al secretario general y al director general de personal y administración, para que se debata al nivel apropiado, por ejemplo en la reunión periódica de directores generales; el personal de la Comisión tendrá acceso a este informe;
_____________________
(1) Las referencias al responsable de la protección de datos en el texto siguiente incluyen a personas de ambos sexos.
b) cooperará en el desempeño de sus funciones con los responsables de la protección de datos de otras instituciones y organismos, en especial intercambiando experiencias y buenas prácticas.
2. Para el tratamiento de los datos personales bajo su responsabilidad, el RPD actuará como responsable del tratamiento.
Competencias
En el ejercicio de sus funciones y obligaciones y sin perjuicio de las competencias conferidas por el Reglamento, el responsable de la protección de datos:
a) podrá solicitar dictámenes jurídicos al Servicio Jurídico de la Comisión;
b) en caso de conflicto relativo a la interpretación o la aplicación del Reglamento, podrá, antes de remitir el asunto al SEPD, informar al nivel competente de la Dirección y al Secretario General;
c) podrá señalar al secretario general:
— cualquier incumplimiento de las obligaciones derivadas del Reglamento por parte de un miembro del personal,
— cualquier incumplimiento por parte de los responsables del tratamiento de las normas de control interno de la Comisión más específicamente relacionadas con las obligaciones derivadas del Reglamento;
y sugerir que se ponga en marcha una investigación administrativa con vistas a la posible aplicación del artículo 49 del Reglamento;
d) podrá investigar asuntos y acontecimientos directamente relacionados con sus tareas, aplicando los principios apropiados para la realización de investigaciones y auditorías en la Comisión y el procedimiento descrito en el artículo 13 de la presente Decisión;
e) tendrá en todo momento acceso a los datos que constituyen el contenido de las operaciones de tratamiento de datos personales y a todas las oficinas, instalaciones de procesamiento de datos y soportes.
Recursos
La Comisión facilitará al RPD los recursos necesarios para desempeñar sus funciones.
NORMAS Y PROCEDIMIENTOS
Información
1. El responsable de la protección de datos será informado inmediatamente por el servicio responsable siempre que los servicios de la Comisión sometan a consideración una cuestión que tenga implicaciones en la protección de datos y, a más tardar, antes de la adopción de cualquier decisión.
2. Se mantendrá informado al RPD cuando la Comisión consulte e informe al SEPD de conformidad con los artículos pertinentes del Reglamento, y en especial el artículo 28, apartado 1, y el artículo 28, apartado 2. También se le informará de las interacciones directas entre los responsables del tratamiento de la Comisión y el SEPD de conformidad con los artículos pertinentes del Reglamento.
3. El servicio responsable o el Servicio Jurídico, según el caso, informarán al responsable de la protección de datos de los dictámenes y la posición del Servicio Jurídico que tengan que ver directamente con la aplicación interna de las disposiciones del Reglamento, así como de los dictámenes referentes a la interpretación o aplicación de otros actos jurídicos relacionados con la protección de datos personales y el tratamiento de los mismos referidos particularmente a la consulta interservicios y el acceso a la información.
Responsables del tratamiento
1. Sin perjuicio de las disposiciones del Reglamento referente a sus obligaciones, los responsables del tratamiento:
a) prepararán sin demora las notificaciones al RPD de todas las operaciones de tratamiento actuales que aún no se hayan notificado;
b) si procede, consultarán al responsable de la protección sobre la conformidad de las operaciones de tratamiento, en especial en caso de duda en cuanto a la conformidad;
c) cooperarán con el coordinador para elaborar el inventario de las actuales operaciones de tratamiento de datos personales de la dirección general.
2. El responsable del tratamiento de los datos podrá delegar parte de sus tareas en otras personas que actuarán como delegados bajo su autoridad y responsabilidad.
Encargados del tratamiento de datos
Los encargados del tratamiento de datos en la Comisión, que tienen que tratar datos personales en nombre de los responsables del tratamiento, actuarán únicamente siguiendo las instrucciones de estos últimos mediante un acuerdo escrito y tratarán dichos datos personales en cumplimiento estricto del Reglamento y de cualquier otra normativa aplicable en la materia.
Un acuerdo escrito entre las unidades organizativas de la Comisión se considerará equivalente a un acto jurídicamente vinculante conforme al artículo 23, apartado 2, del Reglamento.
Se celebrarán contratos formales con encargados del tratamiento externos, ateniéndose a los requisitos específicos mencionados en el artículo 23, apartado 2, del Reglamento.
Notificaciones
Para presentar sus notificaciones al RPD, los responsables del tratamiento utilizarán el sistema de notificación en línea de la Comisión, al que se puede acceder a través del sitio Internet del RPD en la Intranet de la Comisión.
Para operaciones sencillas de tratamiento de datos personales no sensibles, el sistema ofrecerá una notificación simplificada.
Registro
El registro electrónico de las operaciones de tratamiento de la Comisión mencionado en el artículo 4, apartado 4, estará accesible a través del sitio Internet del RPD en la Intranet de la Comisión para todo el personal de las instituciones y los organismos comunitarios, así como en el sitio Internet de Europa para las personas con acceso a Internet. Toda persona que no tenga acceso a Internet podrá solicitar por escrito los extractos del registro al RPD, que contestará en el plazo de diez días laborables.
Procedimiento de investigación
1. Las peticiones de investigación mencionadas en el artículo 4, apartado 5, se dirigirán al responsable de la protección de datos por escrito. En el plazo de 15 días tras la recepción, el RPD enviará un acuse de recibo a la persona que encargó la investigación y comprobará si se debe tratar la petición como confidencial. En caso de evidente uso incorrecto del derecho a solicitar una investigación, el responsable de la protección de datos no estará obligado a informar al solicitante.
2. Sobre este particular, el RPD pedirá una declaración escrita al responsable de la operación de tratamiento de datos de que se trate, quien deberá facilitarle su respuesta en el plazo de 15 días laborables. Posiblemente el responsable de la protección de datos desee recibir más información de él o de otras partes en el plazo de 15 días y, en su caso, solicitará del Servicio Jurídico un dictamen sobre la cuestión. El plazo para emitir el dictamen será de 30 días laborables.
3. El RPD informará a la persona que encargó la investigación a más tardar tres meses tras su recepción. Podrá suspenderse el plazo hasta que el responsable de la protección de datos haya obtenido cualquier otra información que pueda haber solicitado.
4. Nadie deberá sufrir perjuicio alguno por informar al responsable competente de la protección de datos de que se ha cometido una presunta infracción de lo dispuesto en el presente Reglamento.
Coordinación de la protección de datos
1. En cada dirección general o servicio, el director general o el jefe del servicio designará a un coordinador de la protección de datos (CPD). Basándose en un acuerdo escrito, varias direcciones generales, servicios u oficinas podrán, por razones de coherencia o eficiencia, decidir designar un CPD común o compartir los servicios de un CPD ya designado.
2. La función de CPD podrá combinarse con otras funciones, según los casos. Para adquirir las competencias necesarias para dichas funciones, deberá recibir la formación obligatoria para CPD en el plazo de seis meses desde su designación.
3. La duración del mandato del coordinador de la protección de datos no estará limitada. Su elección, dentro del nivel jerárquico apropiado, se hará en razón de su elevada ética profesional, sus conocimientos y su experiencia del funcionamiento de su dirección general y su motivación para la función. Deberá conocer los principios de los sistemas de información.
4. Sin perjuicio de las responsabilidades del responsable de la protección de datos, el coordinador de la protección de datos:
a) elaborará un inventario de las operaciones de tratamiento en la dirección general, lo mantendrá actualizado y ayudará a definir un nivel apropiado de riesgo para cada operación de tratamiento. Utilizará el sistema informático de gestión de inventarios para CPD creado a tal efecto por el RPD en su sitio Internet de la Intranet de la Comisión;
b) asistirá al director general o al jefe de servicio en la identificación de los correspondientes responsables del tratamiento;
c) tendrá derecho a recabar de los responsables del tratamiento la información necesaria y adecuada. Ello no incluirá el derecho al acceso a datos personales tratados bajo responsabilidad del responsable del tratamiento.
5. Sin perjuicio de las responsabilidades del responsable del tratamiento, el coordinador de la protección de datos:
a) ayudará a los responsables del tratamiento a cumplir con sus obligaciones legales;
b) asistirá a los responsables del tratamiento en la preparación de las notificaciones;
c) introducirá las notificaciones simplificadas en el sistema de notificación en línea del responsable de la protección de datos.
6. El coordinador participará en las reuniones periódicas de la red de CPD, presididas por el responsable de la protección de datos, para garantizar la aplicación e interpretación coherentes del Reglamento en la Comisión y debatir temas de interés común.
7. En la ejecución de sus tareas, el coordinador podrá pedir al responsable de la protección de datos una recomendación, un dictamen o asesoramiento.
Administración y gestión
1. El RPD estará administrativamente adscrito a la secretaría general y sus actividades integradas en el proceso de gestión y presupuestación por actividades en la actividad 7 de la secretaría general: relaciones con la sociedad civil, apertura e información.
En este contexto el responsable de la protección de datos participará en elaborar el Plan de gestión anual y el presupuesto preliminar del proyecto de la secretaría general.
2. El RPD será el funcionario encargado de informar al personal de su secretaría y al responsable adjunto de la protección de datos. El vicesecretario general será el funcionario encargado de la firma.
3. El responsable de la protección de datos participará en la coordinación de la gestión de la secretaría general, si procede.
Entrada en vigor
La presente Decisión entrará en vigor el 3 de junio de 2008.
Hecho en Bruselas, el 3 de junio de 2008.
Por la Comisión
El Presidente
José Manuel BARROSO
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid