EL CONSEJO DE LA UNIÓN EUROPEA,
Vista la Decisión 2009/371/JAI del Consejo, de 6 de abril de 2009, por la que se crea la Oficina Europea de Policía (Europol) ( 1 ) («la Decisión Europol»), y, en particular, su artículo 40,
Visto el proyecto de normas presentado por el consejo de administración,
Visto el dictamen del Parlamento Europeo, Considerando que, de conformidad con la Decisión Europol, corresponde al Consejo, por mayoría cualificada y previa consulta del Parlamento Europeo, adoptar normas de desarrollo sobre la confidencialidad de la información que se recopile en Europol o se intercambie con Europol (en lo sucesivo, «las normas»).
DECIDE:
CAPÍTULO I
DEFINICIONES Y ÁMBITO DE APLICACIÓN
Artículo 1
Definiciones
A los efectos de las presentes normas se entenderá por:
a) «tratamiento de la información» o «tratamiento»: cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados y aplicadas a datos personales o no personales, como la recogida, registro, organización, almacenamiento, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, así como su bloqueo, eliminación o destrucción;
b) «tercera parte»: la entidad a que se refieren el artículo 22, apartado 1, y el artículo 23, apartado 1, de la Decisión Europol;
c) «comité de seguridad»: la comisión compuesta por representantes de los Estados miembros y de Europol contemplada en el artículo 4;
d) «coordinador de seguridad»: el director adjunto de Europol a quien el director, de conformidad con el artículo 38, apartado 2,de la Decisión Europol, encomienda, junto con sus otras tareas, las funciones de coordinación y de control en materia de seguridad;
e) «responsables de seguridad»: el personal de Europol nombrado por el director de Europol y responsable en materia de seguridad con arreglo al artículo 6;
f) «manual de seguridad»: el manual de aplicación de las presentes normas, que se elaborará con arreglo al artículo 7;
g) «nivel de clasificación»: un marcado de seguridad atribuido a los documentos tratados por Europol o a través de Europol, según se contempla en el artículo 10;
h) «batería de seguridad»: una combinación específica de medidas de seguridad que se aplicarán a la información en función del nivel de clasificación de Europol, según se contempla en el artículo 10;
i) «nivel básico de protección»: el nivel del protección aplicado a toda la información tratada por Europol o a través de Europol, salvo la que esté marcada expresamente como información pública o que pueda reconocerse claramente como tal, según se contempla en el artículo 10, apartado 1;
j) «personal»: los agentes temporales y contractuales tal como se define en el artículo 39, apartado 4, de la Decisión Europol;
k) «información clasificada de Europol», toda información o material de cualquier forma cuya divulgación no autorizada pueda causar varios grados de perjuicio a los intereses esenciales de Europol o de uno o varios Estados miembros y que exija la aplicación de medidas de seguridad apropiadas que se definen en el artículo 7, apartado 2, letra b).
________________________
( 1 ) DO L 121 de 15.5.2009, p. 37.
Artículo 2
Ámbito de aplicación
1. Las presentes normas establecen las medidas de seguridad a las cuales estará sometida toda la información tratada por Europol o a través de Europol.
2. Los canales de comunicación entre Europol y las unidades nacionales de los Estados miembros a que se refiere el artículo 8 de la Decisión Europol deberán tener un nivel de protección equivalente al que ofrecen las citadas medidas. El comité de seguridad aprobará una norma común para dichos canales de comunicación.
3. El anexo establece una presentación de conjunto de los niveles de clasificación Europol, según se contempla en el artículo 10, y de la clasificación equivalente que aplican actualmente los Estados miembros a la información sometida a dichos niveles de clasificación. Cuando un Estado miembro comunique a los demás Estados miembros y a Europol las modificaciones de sus disposiciones nacionales sobre los niveles de clasificación o sobre la clasificación equivalente, Europol elaborará una versión revisada de la presentación de conjunto que figura en el anexo. El comité de seguridad comprobará, al menos una vez al año, si dicha presentación de conjunto está o no actualizada.
CAPÍTULO II
RESPONSABILIDADES DE SEGURIDAD
Artículo 3
Responsabilidades de los Estados miembros
1. Los Estados miembros se comprometen a garantizar que la información de Europol recibirá, en su territorio, un nivel de protección equivalente al nivel de protección ofrecido por las medidas de seguridad establecidas en virtud de las presentes normas.
2. Los Estados miembros se comprometen a informar al coordinador de seguridad de todos los quebrantamientos de seguridad que puedan comprometer los intereses de Europol o de un Estado miembro. En este último caso, también el Estado miembro afectado será informado directamente a través de la unidad nacional.
Artículo 4
Comité de seguridad
1. Se crea un comité de seguridad, integrado por representantes de los Estados miembros y de Europol, que se reunirá como mínimo dos veces al año.
2. El comité de seguridad tendrá como misión asesorar al consejo de administración y al director de Europol en los temas relativos a las normas de seguridad, incluida la aplicación del manual de seguridad.
3. El comité de seguridad establecerá su reglamento interno.
Las reuniones del comité de seguridad estarán presididas por el coordinador de seguridad.
Artículo 5
Coordinador de seguridad
1. El coordinador de seguridad asumirá la responsabilidad general de todas las cuestiones relativas a la seguridad, entre ellas las medidas de seguridad establecidas en las presentes normas y en el manual de seguridad. El coordinador de seguridad supervisará la aplicación de las normas de seguridad e informará al director de todos los quebrantamientos de la seguridad. El director informará al consejo de administración en los casos graves. Si dichos quebrantamientos amenazan con poner en peligro los intereses de un Estado miembro, este deberá también ser informado.
2. El coordinador de seguridad será directamente responsable ante el director de Europol.
3. Se someterá al coordinador de seguridad a un control de seguridad al máximo nivel de conformidad con las disposiciones legales y reglamentarias aplicables en el Estado miembro del que sea nacional.
Artículo 6
Responsables de seguridad
1. Los responsables de seguridad asistirán al director en la ejecución práctica de las medidas de seguridad establecidas en las presentes normas y en el manual de seguridad. Los responsables de seguridad rendirán cuentas directamente al coordinador de seguridad. Serán funciones específicas de los responsables de seguridad:
a) dar instrucciones y facilitar ayuda y asesoramiento a cualquier persona de Europol, así como a cualquier persona que participe en actividades relacionadas con Europol y esté sujeta a una determinada obligación de reserva o confidencialidad, en lo referente a sus deberes de acuerdo con las presentes normas y con el manual de seguridad;
b) garantizar el cumplimiento de las normas de seguridad, investigar los quebrantamientos de dichas normas e informar de ello de inmediato al coordinador de seguridad;
c) comprobar periódicamente si las medidas de seguridad son adecuadas en función de la evaluación de riesgos. A estos efectos, informarán al coordinador de seguridad, por norma general una vez al mes, y en circunstancias excepcionales, cuando se considere necesario, y formulará recomendaciones y asesoramientos;
d) las tareas que se le asignen con arreglo a las presentes normas o al manual de seguridad, y
e) realizar cualquier otra función que les asigne el coordinador de seguridad.
2. Se someterá a los responsables de seguridad a un control de seguridad al nivel adecuado de conformidad con las disposiciones legales y reglamentarias aplicables en los Estados miembros de los que sea nacionales.
Artículo 7
Manual de seguridad, procedimiento y contenido
1. El consejo de administración aprobará el manual de seguridad previa consulta al comité de seguridad.
2. El manual de seguridad proporcionará orientaciones de gestión y apoyo a la seguridad de conformidad con las necesidades operativas y establecerá el planteamiento de Europol de la gestión de la seguridad. El manual de seguridad incluirá:
a) normas de desarrollo de las medidas de seguridad que deberán aplicarse en Europol, que proporcionen el nivel básico de protección mencionado en el artículo 10, apartado 1, de las presentes normas, medidas que se basarán en el artículo 35 y en el artículo 41, apartado 2, de la Decisión Europol y tendrán en cuenta el artículo 40, apartado 3, de dicha Decisión;
b) normas de desarrollo de las medidas de seguridad relacionadas con los distintos niveles de clasificación de Europol y las correspondientes baterías de seguridad mencionadas en el artículo 10, apartados 2 y 3. El manual de seguridad tendrá también en cuenta el artículo 46 de la Decisión Europol.
3. El manual de seguridad se revisará periódicamente o cuando se produzcan cambios importantes para garantizar que se mantengan su adaptación, adecuación y eficacia.
4. Las modificaciones del manual de seguridad se aprobarán con arreglo al procedimiento establecido en el apartado 1.
Artículo 8
Acreditación de seguridad de los sistemas
1. Todos los sistemas de Europol empleados para el tratamiento de la información clasificada de Europol serán acreditados por el consejo de administración previa consulta al comité de seguridad y tras haber obtenido garantías sobre la aplicación efectiva de las medidas de seguridad necesarias derivadas de los requisitos de seguridad específicos del sistema, el Registro de Riesgos de Información y cualquier otro documento pertinente.
Los subsistemas y los terminales o puestos de trabajo distantes se acreditarán dentro del sistema al que estén conectados.
2. El consejo de administración adoptará y modificará los requisitos de seguridad específicos del sistema previa consulta del comité de seguridad. Dichos requisitos se ajustarán a las disposiciones pertinentes del manual de seguridad.
Artículo 9
Observancia
1. Cualquier persona de Europol, así como cualquier persona que participe en actividades relacionadas con Europol y esté sujeta a una determinada obligación de reserva o confidencialidad, acatarán las medidas de seguridad establecidas en las presentes normas y en el manual de seguridad.
2. Corresponderá al Director, a las oficinas de enlace y a las unidades nacionales de Europol garantizar el acatamiento de las presentes normas y del manual de seguridad con arreglo al apartado 1.
CAPÍTULO III
PRINCIPIOS GENERALES
Artículo 10
Nivel básico de protección, niveles de clasificación y baterías de seguridad
1. Toda la información tratada por Europol o a través de Europol, excepto la información indicada expresamente o reconocible claramente como pública, estará sometida a un nivel básico de protección en Europol y en los Estados miembros.
2. De conformidad con el artículo 3, los Estados miembros garantizarán la aplicación del nivel básico de protección mencionado en el apartado 1 mediante una serie de medidas con arreglo a la legislación y reglamentación nacionales, incluida la obligación de reserva y confidencialidad, la limitación del acceso a la información al personal autorizado, los requisitos de protección de los datos personales y las medidas generales técnicas y procedimentales de salvaguardia de la seguridad de la información, habida cuenta del artículo 41, apartado 2, de la Decisión Europol.
3. La información que exija medidas de seguridad adicionales estará sometida a un nivel de clasificación de Europol, que se indicará mediante un marcado específico. La información estará sometida a un nivel de seguridad solo en caso estrictamente necesario y únicamente durante el tiempo necesario.
4. Los niveles de clasificación de Europol se denominarán de la manera siguiente:
a) «RESTREINT UE/EU RESTRICTED»: esta clasificación se aplicará a la información y material cuya revelación no autorizada pueda resultar desfavorable para los intereses de Europol, de la UE o de uno o varios Estados miembros;
b) «CONFIDENTIEL UE/EU CONFIDENTIAL»: esta clasificación se aplicará a la información y material cuya revelación no autorizada pueda causar un perjuicio a los intereses esenciales de Europol, de la UE o de uno o varios Estados miembros;
c) «SECRET UE/EU SECRET»: esta clasificación se aplicará a la información y material cuya revelación no autorizada pueda causar un perjuicio grave a los intereses esenciales de Europol, de la UE o de uno o varios Estados miembros;
d) «TRÈS SECRET UE/EU TOP SECRET»: esta clasificación se aplicará a la información y material cuya revelación no autorizada pueda causar un perjuicio excepcionalmente grave a los intereses esenciales de Europol, de la UE o de uno o varios Estados miembros.
Dicha información y material clasificados llevarán, bajo su marcado de clasificación, un marcado específico («EUROPOL») que indique su procedencia de Europol.
Cada uno de los niveles de clasificación de Europol remitirá a una batería de seguridad específica, que deberá aplicarse en Europol. Las baterías de seguridad ofrecerán distintos niveles de protección, de acuerdo con el contenido de la información y teniendo en cuenta los efectos perjudiciales que el acceso, la difusión o la utilización no autorizados de la información pudiera tener para los intereses de Europol o de los Estados miembros.
Cuando se reúna información de distintos niveles, el nivel de clasificación que se aplique será, como mínimo, tan alto como el de la información protegida en el nivel más alto. En cualquier caso, un conjunto de datos podrá ser sometido a un nivel de protección superior al de cada una de sus partes.
La traducción de un documento clasificado recibirá el mismo nivel de clasificación y tendrá la misma protección que el documento original.
5. Podrá emplearse un marcado de advertencia para especificar condiciones adicionales tales como la limitación de la distribución a canales de intercambio de información específicos, el embargo y una distribución particular basada en una necesidad de conocimientos. Estos marcados de advertencia se definirán en el manual de seguridad.
6. Las baterías de seguridad consistirán en diversas medidas de carácter físico, técnico, organizativo o administrativo, según lo establecido en el manual de seguridad.
Artículo 11
Elección del nivel de clasificación
1. El Estado miembro que suministre información a Europol será responsable de la elección del nivel de clasificación apropiado para dicha información, de conformidad con el artículo 10. Cuando corresponda, el Estado miembro, al suministrarla a Europol la información, la marcará con el nivel de clasificación de Europol a que se refiere el artículo 10, apartado 4.
2. Para la elección del nivel de clasificación, los Estados miembros tendrán en cuenta la clasificación de la información de acuerdo con su reglamentación nacional, la flexibilidad operativa que exige el funcionamiento adecuado de Europol y el requisito de que la clasificación de información de naturaleza ejecutiva debería tener carácter excepcional y que, si debe clasificarse esta información, se le debe asignar el nivel más bajo posible.
3. En caso de que Europol, basándose en la información que ya posea, llegue a la conclusión de que hay que modificar la atribución de un nivel de clasificación (por ejemplo, suprimir o añadir un nivel de clasificación, o añadir un nivel de clasificación a un documento previamente sujeto al nivel básico de protección), lo hará saber al Estado miembro interesado y tratará de llegar a un acuerdo sobre un nivel de clasificación apropiado. Europol no especificará, modificará, añadirá ni suprimirá un nivel de clasificación sin tal acuerdo.
4. Cuando la información que genere Europol se base en información o contenga información facilitada por un Estado miembro, Europol determinará, de acuerdo con los Estados miembros interesados, si el nivel básico de protección será suficiente o si será necesario aplicar un nivel de clasificación de Europol.
5. Cuando sea la propia Europol la que genere la información y no esta se base en, ni contenga, información suministrada por un Estado miembro, Europol determinará el nivel de clasificación apropiado para dicha información mediante criterios establecidos por el comité de seguridad. En caso necesario, Europol colocará en dicha información el marcado correspondiente.
6. Cuando la información afecte también a los intereses esenciales de otro Estado miembro, los Estados miembros y Europol consultarán a dicho Estado miembro acerca de la necesidad de aplicar a dicha información algún nivel de clasificación y, en caso afirmativo, cuál.
Artículo 12
Modificación del nivel de clasificación
1. Un Estado miembro que haya suministrado información a Europol podrá exigir, en cualquier momento, que se modifique el nivel de clasificación elegido, lo que incluirá una suprimir o añadir un nivel de clasificación. Europol tendrá obligación de suprimir, modificar o añadir un nivel de clasificación de acuerdo con los deseos del Estado miembro interesado.
2. Tan pronto como las circunstancias lo permitan, el Estado miembro interesado solicitará que se reduzca o suprima completamente el nivel de clasificación de que se trate.
3. Un Estado miembro que suministre información a Europol podrá especificar el plazo durante el cual será válido el nivel de clasificación elegido, así como las posibles modificaciones del nivel de clasificación transcurrido dicho plazo.
4. En los casos en que Europol haya determinado el nivel de protección o de clasificación básico con arreglo al artículo 11, apartado 4, Europol solo modificará el nivel de protección básico o de clasificación con el acuerdo de los Estados miembros interesados.
5. En los casos en que Europol haya determinado el nivel de clasificación con arreglo al artículo 11, apartado 5, Europol podrá modificar o suprimir el nivel de clasificación en cualquier momento que se considere necesario.
6. Cuando se haya facilitado ya a otros Estados miembros la información cuyo nivel de clasificación se modifique de acuerdo con el presente artículo, Europol informará a los receptores de la modificación del nivel de clasificación.
Artículo 13
Tratamiento, acceso y habilitación de seguridad
1. El acceso a la información y su posesión estarán limitados en la organización Europol a las personas que, con motivo de sus funciones u obligaciones, necesiten tener conocimiento de dicha información o manejarla. Las personas a las que se encomiende el tratamiento de la información habrán obtenido la habilitación de seguridad apropiada y recibirán además una formación especial.
2. Todas aquellas personas que puedan tener acceso a información tratada por Europol que esté sometida a un nivel de clasificación se someterán a una investigación de seguridad prescrita de conformidad con el artículo 40, apartado 2, de la Decisión Europol y en el manual de seguridad. El coordinador de seguridad, basándose en los resultados de la investigación de seguridad, de acuerdo con el manual de seguridad, concederá una autorización a aquellas personas habilitadas al nivel nacional apropiado y que, con motivo de sus funciones u obligaciones, deban tener conocimiento de información sometida a un nivel de clasificación de Europol. El coordinador de seguridad revisará periódicamente la autorización. El coordinador de seguridad podrá retirar la autorización de manera inmediata si existen motivos que lo justifiquen. El coordinador de seguridad también será responsable de garantizar la aplicación del apartado 3.
3. Ninguna persona tendrá acceso a la información sometida a un nivel de clasificación sin haber obtenido antes una habilitación de seguridad del nivel apropiado. No obstante, el coordinador de seguridad podrá, excepcionalmente y previa consulta de un responsable de seguridad:
a) conceder una autorización específica y limitada a las personas habilitadas a nivel de «CONFIDENTIEL UE/EU CONFIDENTIAL » para que tengan acceso a determinada información clasificada hasta el nivel «SECRET UE/EU SECRET», si, con motivo de sus funciones u obligaciones en un caso específico, necesitan tener conocimiento de información sometida a un nivel de clasificación de Europol superior, o
b) conceder una autorización temporal para acceder a información clasificada durante un período no superior a seis meses, a la espera del resultado de la investigación de seguridad a que se refiere el apartado 2, si es en interés de Europol, y previa notificación a las autoridades nacionales competentes y siempre que estas no reaccionen en un plazo de tres meses. El coordinador de seguridad informará a las autoridades nacionales competentes de que se trate sobre la concesión de dicha autorización temporal. Tal concesión no dará acceso a la información clasificada a nivel de «SECRET UE/EU SECRET» o superior.
4. Dicha autorización no se concederá cuando un Estado miembro, al aportar la información de que se trate, haya especificado que, en relación con esa información, el coordinador de seguridad no goza de la discrecionalidad que le otorga el apartado 3.
Artículo 14
Terceras partes
Al celebrar acuerdos sobre confidencialidad con terceras partes, o al celebrar acuerdos de conformidad con el su artículo 22, apartado 4, y su artículo 23, apartado 7, de la Decisión Europol, Europol tendrá en cuenta los principios establecidos en las presentes normas y en el manual de seguridad, que deberán aplicarse en consonancia con la información intercambiada con tales terceras partes.
CAPÍTULO IV
DISPOSICIONES FINALES
Artículo 15
Revisión de las normas
Toda propuesta de modificación de las presentes normas será estudiada por el consejo de administración con vistas a su adopción por el Consejo de conformidad con el procedimiento establecido en el artículo 40, apartado 1, de la Decisión Europol.
Artículo 16
Entrada en vigor
Las presentes normas entrarán en vigor el 1 de enero de 2010.
Hecho en Bruselas, el 30 de noviembre de 2009.
Por el Consejo
La Presidenta
B. ASK
ANEXO
CUADRO DE EQUIVALENCIAS DE LOS NIVELES DE CLASIFICACIÓN
Equivalencia de niveles de clasificación Europol ( 1 )
TRÈS SECRET UE/EU
TOP SECRET
SECRET UE/EU SECRET
CONFIDENTIEL UE/EU
CONFIDENTIAL
RESTREINT UE/EU
RESTRICTED
Bélgica
Très Secret
Zeer Geheim
Secret
Geheim
Confidentiel
Vertrouwelijk
Diffusion restreinte
Beperkte verspreiding
Bulgaria
СТРОГО СЕКРЕТНО СЕКРЕТНО ПОВЕРИТЕЛНО ЗА СЛУЖЕБНО ПОЛЗВАНЕ
República Checa
Přísně tajné
Tajné
Důvěrné
Vyhrazené
Dinamarca
Yderst hemmeligt
Hemmeligt
Fortroligt
Til tjenestebrug
Alemania
Streng geheim
Geheim
VS — Vertraulich
VS — Nur für den
Dienstgebrauch
Estonia
Täiesti Salajane
Salajane
Konfidentsiaalne
Piiratud
Irlanda
Top Secret
Secret
Confidential
Confidential
Grecia
Άκρως Απόρρητο Απόρρητο Εμπιστευτικό Περιορισμένης Χρήσης
España
Secreto
Reservado
Confidencial
Difusión Limitada
Francia
Très Secret Défense
Secret Défense
Confidentiel Défense
Italia
Segretissimo
Segreto
Riservatissimo
Riservato
Chipre
Άκρως Απόρρητο Απόρρητο Εμπιστευτικό Περιορισμένης Χρήσης
Letonia
Sevišķi slepeni
Slepeni
Konfidenciāli
Dienesta vajadzībām
Lituania
Visiškai slaptai
Slaptai
Konfidencialiai
Riboto naudojimo
Luxemburgo
Très secret
Secret
Confidentiel
Diffusion restreinte
Hungría
Szigorúan titkos!
Titkos!
Bizalmas!
Korlátozott
terjesztésű!
Malta
L-Ghola Segretezza
Sigriet
Kunfidenzjali
Ristrett
Países Bajos
BE Zeer geheim
STG Zeer geheim
STG Confidentieel
Vertrouwelijk
Austria
Streng geheim
Geheim
Vertraulich
Eingeschränkt
Polonia
Ściśle Tajne
Tajne
Poufne
Zastrzeżone
Portugal
Muito Secreto
Secreto
Confidencial
Reservado
Rumanía
Strict secret de
importanță deosebită
Strict secret
Secret
Secret de serviciu
Eslovenia
Strogo tajno
Tajno
Zaupno
Interno
Eslovaquia
Prísne tajné
Tajné
Dôverné
Vyhradené
Finlandia
Erittäin salainen
Salainen
Luottamuksellinen
Viranomaiskäyttö
Suecia
Kvalificerat hemlig
Hemlig
Hemlig
Hemlig
Reino Unido
Top Secret
Secret
Confidential
Restricted
( 1 ) El marcado «Europol» se incluirá bajo el marcado de clasificación.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid