EL FONDO EUROPEO DE INVERSIONES (FEI),
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1) (en lo sucesivo, «el Reglamento»), y en particular su artículo 25,
Visto el dictamen (2) del Supervisor Europeo de Protección de Datos (SEPD),
Considerando que:
(1) | En el contexto de su funcionamiento, el Departamento de Conformidad del FEI podrá llevar a cabo investigaciones administrativas sobre la base del Código de Conducta del Personal del Grupo BEI, lo que implica el tratamiento de información, incluidos datos personales. |
(2) | El delegado de protección de datos (DPD) del FEI, de oficio o a instancias del responsable o de cualquier persona física, podrá investigar las cuestiones y los incidentes directamente relacionados con sus funciones que lleguen a su conocimiento e informar de ello a la persona que solicitó la investigación o al responsable conforme a lo dispuesto en el artículo 45, apartado 2, del Reglamento. |
(3) | En el contexto de su funcionamiento, el Departamento de Recursos Humanos del FEI podrá llevar a cabo procedimientos disciplinarios, sobre la base del artículo 6 del Estatuto del personal del FEI, Título IV de la Política de Dignidad en el Trabajo, y los códigos de conducta del FEI aplicables. |
(4) | Los miembros del Consejo de Administración, el Director General, el Director General Adjunto y los miembros del personal, así como las personas vinculadas a la operación/transacción tienen la obligación de notificar a la División Investigación de Fraudes del BEI («IG/IN») cualesquiera posibles prácticas prohibidas, (por ejemplo fraude o corrupción), perjudiciales para los intereses del FEI y de la Unión, o de notificar a otros servicios competentes cualquier conducta relacionada con el desempeño de actividades profesionales que puedan constituir un incumplimiento grave de cualesquiera obligaciones aplicables. Además, cualquier miembro del público, persona física o jurídica, puede denunciar una posible Conducta Prohibida a IG/IN. |
(5) | Cualquier investigación de prácticas prohibidas, tal y como se definen en la Política de Lucha contra el Fraude del FEI, será llevada a cabo por IG/IN, en calidad de procesador de datos, en virtud del Acuerdo Marco entre el FEI y el BEI relativo a la prestación de servicios. |
(6) | El FEI realiza auditorías sobre sus actividades. Esto se lleva a cabo actualmente a través del Departamento de Auditoría Interna del BEI en virtud del Acuerdo Marco entre el FEI y el BEI relativo a la prestación de servicios. |
(7)
(8) | En el contexto de las tareas descritas en los considerandos 1 a 6, el FEI podrá proporcionar y recibir asistencia y cooperación a y de otras instituciones, órganos y organismos de la Unión, tal como se establece en los acuerdos de nivel de servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes.
El FEI podrá proporcionar y recibir asistencia y cooperación a y de las autoridades públicas de los Estados miembros de la UE, a petición de estas o por propia iniciativa. |
(9) | El FEI podrá proporcionar y recibir asistencia y cooperación a y de las autoridades nacionales de terceros países y organizaciones internacionales, a petición de estas o por propia iniciativa. |
(10) | En el contexto de las actividades mencionadas, el FEI, en su calidad de responsable de los datos, o cualquiera de los colaboradores del FEI a los que se hace referencia en el considerando 4, incluida la División Investigación de Fraudes del BEI, en su calidad de procesador de datos, o cualquier otro servicio competente para recabar y procesar información y datos personales, incluidos datos de identificación de una persona física, información de contacto, funciones y tareas profesionales, información sobre la conducta y el rendimiento profesional y privado, y datos financieros. |
(11) | Existen garantías adecuadas para proteger los datos personales e impedir el acceso o la transferencia accidental o ilícita a los mismos, tanto si se almacenan en un entorno físico como en un entorno electrónico. Una vez tratados, los datos se conservan de conformidad con las normas de retención del FEI aplicables, tal como se definen en los registros de protección de datos basados en el artículo 31 del Reglamento. Al final del período de retención, la información relacionada con el caso, incluidos los datos personales, se suprimirá, se anonimizará o se transferirá a los archivos históricos de acuerdo con los principios de los Reglamentos de Protección de Datos de la Unión Europea, así como de los actos regulatorios o las políticas correspondientes del FEI. |
(12) | En este contexto, el FEI se compromete a cumplir su obligación de facilitar información a los interesados en relación con las actividades de tratamiento mencionadas y respetar los derechos de los interesados, tal como se establece en el Reglamento. |
(13) | Podría ser necesario conciliar los derechos de los interesados de conformidad con el Reglamento con las necesidades de las actividades antes mencionadas, respetando plenamente los derechos y libertades fundamentales de otros interesados. A tal efecto, el artículo 25 del Reglamento prevé, en condiciones estrictas, la posibilidad de limitar la aplicación de los artículos 14 a 20, 35 y 36, así como del artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 20. En este caso, es necesario adoptar normas internas en virtud de las cuales el FEI pueda limitar los derechos de los interesados anteriormente indicados de conformidad con el mismo artículo del Reglamento. |
(14) | Este podría ser el caso, en particular, cuando se proporcione información sobre el tratamiento de datos personales al interesado en la fase de evaluación preliminar de una investigación administrativa o durante la propia investigación, antes de una posible desestimación del asunto o de una fase predisciplinaria. En determinadas circunstancias, el hecho de facilitar dicha información podría afectar gravemente a la capacidad del FEI para realizar la investigación de manera eficaz, siempre que, por ejemplo, exista el riesgo de que la persona afectada destruya las pruebas o interfiera con los posibles testigos antes de que sean entrevistados. Además, el FEI podría necesitar proteger los derechos y libertades de otras personas implicadas. En particular, podría ser necesario proteger la confidencialidad de un testigo o un denunciante que haya solicitado no ser identificado. En tal caso, el FEI podrá decidir limitar el acceso a la identidad, las declaraciones y otros datos personales del denunciante y/o de otras personas implicadas, a fin de proteger sus derechos y libertades. |
(15) | Al prestar o recibir asistencia y cooperación a y de otras instituciones, órganos y organismos de la Unión, las autoridades públicas de los Estados miembros de la UE, las autoridades nacionales de terceros países y las organizaciones internacionales en el contexto de las actividades antes mencionadas, es posible que el FEI, en determinadas circunstancias, y sujeto al mantenimiento del nivel mínimo de protección de datos exigido por el SEPD, necesite preservar la eficacia de sus investigaciones o de las llevadas a cabo por la entidad con la que coopera, y proteger, en caso necesario, a las personas implicadas y sus derechos y libertades. |
(16)
(17) | El FEI aplicará las limitaciones solo cuando respeten la esencia de los derechos y las libertades fundamentales y sean una medida estrictamente necesaria y proporcionada en una sociedad democrática. El FEI justificará los motivos de dichas limitaciones.
Sobre la base del principio de responsabilidad, el FEI mantendrá un registro de la aplicación de las limitaciones. |
(18)
(19) | Al tratar los datos personales intercambiados con otras organizaciones en el contexto de sus funciones, el FEI consultará a y será consultado por dichas organizaciones sobre los posibles motivos pertinentes para imponer limitaciones y la necesidad y proporcionalidad de las limitaciones, a menos que ello ponga en peligro las actividades del FEI.
El artículo 25, apartado 6, del Reglamento obliga al responsable del tratamiento a informar a los interesados de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD. |
(20)
(21) | De conformidad con el artículo 25, apartado 8, del Reglamento, el FEI podrá aplazar, omitir o denegar la comunicación de la información que justifica la limitación al interesado si dicha comunicación dejase sin efecto la limitación impuesta. El FEI evaluará caso por caso si la comunicación de la limitación anula su efecto.
El DPD podrá llevar a cabo una revisión independiente de la aplicación de las limitaciones a fin de garantizar el cumplimiento de la presente Decisión. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Contenido y ámbito de aplicación
La presente Decisión establece normas relativas a las condiciones en las que el FEI podrá restringir la aplicación de los artículos 14 a 20, 35 y 36, así como su artículo 4, al amparo de lo dispuesto en el artículo 25 del Reglamento.
Artículo 2
Limitaciones
1. De conformidad con el artículo 25, apartado 1, del Reglamento, el FEI podrá, caso por caso únicamente, limitar la aplicación de los artículos 14 a 20, 35 y 36, así como su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20, cuando:
a) realice investigaciones administrativas, sobre la base del Código de Conducta del Personal del Grupo BEI y otros Códigos de Conducta aplicables.
b) lleve a cabo investigaciones sobre cuestiones e incidentes directamente relacionados con las funciones del DPD, conforme a lo dispuesto en el artículo 45, apartado 2, del Reglamento.
c) instruya procedimientos disciplinarios, sobre la base del artículo 6 del Estatuto del Personal del FEI, Título IV de la Política de Dignidad en el Trabajo, el Código de Conducta del Personal del Grupo BEI y otros códigos de conducta del FEI aplicables.
d) garantice que los miembros del personal del FEI puedan notificar de forma confidencial los hechos cuando consideren que existan irregularidades graves reguladas por la Política de denuncia de irregularidades del Grupo BEI.
e) garantice que los miembros del personal del FEI puedan denunciar confidencialmente hechos cuando consideren que son presuntas prácticas prohibidas, incluidos fraude o corrupción, perjudiciales para los intereses de la Unión, o conductas relacionadas con el desempeño de actividades profesionales que puedan constituir un incumplimiento grave de las obligaciones de los miembros del personal del FEI, de conformidad con lo establecido en la Política de denuncia de irregularidades del Grupo BEI, la Política de Lucha contra el Fraude del FEI y los Códigos de Conducta del FEI pertinentes.
f) realice investigaciones de prácticas prohibidas, de acuerdo con la Política de Lucha contra el Fraude del FEI.
g) lleve a cabo auditorías internas relacionadas con todas las actividades y departamentos del FEI.
h) preste o reciba asistencia y cooperación a y de otras instituciones, órganos y organismos de la Unión, en el contexto de las actividades anteriormente mencionadas, según lo establecido en los acuerdos de nivel de servicio, memorandos de acuerdo y acuerdos de cooperación pertinentes.
i) proporcione o reciba asistencia y cooperación a y de las autoridades públicas de los Estados miembros de la UE, a petición de estas o por propia iniciativa.
j) preste o reciba asistencia y cooperación a y de las autoridades nacionales de terceros países y organizaciones internacionales, a petición de estas o por propia iniciativa.
2. Las categorías de datos podrán incluir los datos de identificación de una persona física, información de contacto, funciones y tareas profesionales, información sobre conducta y rendimiento profesional y privado, datos relacionados con los asuntos y datos financieros.
3. La aplicación de las limitaciones mencionadas se entiende sin perjuicio de la posible aplicación de las disposiciones del artículo 16, apartado 5, y el artículo 17, apartado 4, del Reglamento, relativas, respectivamente, al derecho de información cuando los datos no se han obtenido del interesado y al derecho de acceso del interesado.
4. Toda restricción respetará la esencia de los derechos y las libertades fundamentales y será una medida necesaria y proporcionada en una sociedad democrática, tal como se indica en el Reglamento, en consonancia con actos regulatorios o políticas internas del FEI o Grupo BEI.
5. Cualquier limitación se basará en una autorización expresa contenida en una política o procedimiento interno en vigor del FEI y afectará a los derechos de los interesados en la menor medida posible, conforme determine el DPD.
6. Se llevará a cabo una prueba de necesidad y proporcionalidad, caso por caso y a satisfacción del DPD, antes de aplicar limitaciones. Las limitaciones quedarán restringidas a lo estrictamente necesario para alcanzar los objetivos fijados. Solo se establecerán limitaciones durante el tiempo que lo exija cualquier motivo pertinente en virtud del apartado 1, al que se denominará motivación de la limitación, conforme quede acreditado a satisfacción del DPD.
7. Cuando IG/IN restrinja, total o parcialmente, la comunicación de información a los interesados relativa a una investigación (persona afectada, testigo o informante), hará constar los motivos de la limitación, incluida una evaluación de la necesidad y la proporcionalidad de la limitación. A tal efecto, la anotación deberá indicar de qué modo la comunicación de información comprometería la finalidad de las actividades de investigación de IG/IN o de las limitaciones aplicadas de conformidad con el artículo 2, apartado 1, letras (f), (g) y (h) de la presente Decisión, o podría afectar negativamente a los derechos y libertades de otros interesados. La anotación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de Datos (SEPD), previa solicitud.
8. A efectos de rendición de cuentas, el FEI presentará un registro en el que se describan las razones de las limitaciones aplicadas, entre las enumeradas en el apartado 1, y el resultado de la prueba de necesidad y proporcionalidad. Dichos registros formarán parte de un registro ad hoc, que se pondrá a disposición del SEPD, previa solicitud.
9. Al tratar los datos personales intercambiados con otras organizaciones en el contexto de sus funciones, el FEI consultará y será consultado por dichas organizaciones sobre los posibles motivos pertinentes para imponer limitaciones y la necesidad y proporcionalidad de las limitaciones, a menos que ello ponga en peligro las actividades del FEI.
Artículo 3
Riesgos para los derechos y las libertades de los interesados
La evaluación de los riesgos para los derechos y libertades de los interesados cuyos datos personales puedan estar sujetos a limitaciones, así como su período de retención, se citan en el registro de las actividades de tratamiento pertinentes de conformidad con el artículo 31 del Reglamento y, si procede, en las evaluaciones de impacto relativas a la protección de datos pertinentes basadas en el artículo 39 del Reglamento.
Artículo 4
Plazos de almacenamiento y garantías
El FEI aplicará garantías para evitar los abusos o el acceso o la transferencia ilícitos de datos personales que pueden estar sujetos a limitaciones. Estas garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de ejecución internos del FEI. Estas garantías incluirán:
1. una definición adecuada de las funciones, responsabilidades y etapas del procedimiento;
2. en su caso, un entorno electrónico seguro que impida el acceso o la transferencia ilícitos o accidentales de datos electrónicos a personas no autorizadas;
3. en su caso, un almacenamiento y tratamiento seguros de los documentos en soporte papel;
4. un seguimiento adecuado de las limitaciones y una revisión periódica por el DPD, que se harán al menos cada seis meses. También deberá realizarse una revisión cuando se produzcan cambios en los elementos esenciales del caso en cuestión. Las limitaciones se levantarán tan pronto como dejen de ser aplicables las circunstancias que las justifiquen.
Artículo 5
Información y revisión por el delegado de protección de datos
1. El DPD será informado sin demora injustificada cuando los derechos de los interesados queden limitados de conformidad con la presente Decisión y se le facilitará acceso pleno y sin restricciones a todos los registros y cualesquiera documentos subyacentes a los elementos de hecho y de derecho, que sean relevantes para la decisión sobre la limitación y la supervisión del mantenimiento de la limitación.
2. El DPD podrá solicitar que se revise la aplicación de la limitación.
3. Si, en el curso de sus investigaciones, el DPD aplicara limitaciones, informará sin dilación indebida al responsable del tratamiento.
4. La participación del DPD en el proceso de aplicación de limitaciones, incluidos los intercambios de información, se documentará en el formato adecuado y se incluirá en los registros y expedientes pertinentes.
5. En el contexto de cualesquiera investigaciones sobre prácticas prohibidas, la División Investigación de Fraudes del BEI consultará con el DPD antes de aplicar algunas de las motivaciones de limitación, previstas en el artículo 25 del Reglamento, a las operaciones de tratamiento de datos realizadas en el marco de las funciones que tiene encomendadas en virtud de la Política de Lucha contra el Fraude del FEI, el Mandato de la División Investigación de Fraudes y los Procedimientos de Investigación.
Artículo 6
Información a los interesados sobre las limitaciones de sus derechos
1. El FEI incluirá en los anuncios de protección de datos publicados en su sitio web información general para los interesados sobre las posibles limitaciones de los derechos de todos los interesados que se describen en el artículo 2, apartado 1. En la información se especificará qué derechos podrán limitarse.
2. Además, el FEI informará individualmente a los interesados sobre las limitaciones actuales o futuras de sus derechos, sin demoras indebidas y por escrito, según se especifica en los artículos 7, 8 y 9.
Artículo 7
Derecho a la información que debe facilitarse a los interesados y comunicación de las infracciones de la seguridad de los datos
1. Cuando, en el contexto de las actividades mencionadas en la presente Decisión, el FEI limite, total o parcialmente, los derechos de los interesados previstos en los artículos 14 a 16 y 35 del Reglamento, se informará a los interesados de las razones principales en las que se basa la aplicación de la limitación, así como de su derecho a presentar una reclamación ante el SEPD y a interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea. Dicha limitación se ajustará a las normas establecidas y al proceso descrito en la presente Decisión.
2. El FEI podrá aplazar, omitir o denegar la comunicación de información sobre las razones de la limitación previstas en el apartado 1 en la medida y durante el tiempo en que ponga el peligro el efecto de la limitación. Esta evaluación se realizará caso por caso. Todo aplazamiento o denegación de ese tipo debe justificarse adecuadamente a satisfacción del SEPD y se incluirá en los registros y expedientes pertinentes. Para evitar cualquier duda, los interesados afectados deberán ser informados de sus derechos a presentar una reclamación ante el SEPD y a interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea contra la decisión de aplazar o denegarles la comunicación de información prevista en el anterior apartado 1.
Artículo 8
Derecho de acceso de los interesados, rectificación, supresión y limitación del tratamiento
1. Cuando, en el contexto de las actividades mencionadas en la presente Decisión, el FEI limite, total o parcialmente, el derecho de acceso a los datos personales, el derecho de rectificación, supresión y limitación del tratamiento a que se refieren, respectivamente, los artículos 17 a 20 del Reglamento, se informará al interesado, en su respuesta a la solicitud, de las razones principales en las que se basa la aplicación de la limitación, así como de la posibilidad de presentar una reclamación ante el SEPD y de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.
2. Cuando se limite total o parcialmente el derecho de acceso, el FEI, al investigar la solicitud, solo informará al interesado de si los datos han sido tratados correctamente y, de no ser así, si se han efectuado las correcciones necesarias, de conformidad con el artículo 25, apartado 7, del Reglamento.
3. El FEI podrá aplazar, omitir o denegar la comunicación de información sobre las razones de la limitación a que se refieren los apartados 1 y 2 en la medida y durante el tiempo en que ponga en peligro la finalidad de la limitación. Esta evaluación se realizará caso por caso y se ajustará a las normas establecidas y al proceso descrito en la presente Decisión.
Artículo 9
Confidencialidad de las comunicaciones electrónicas
1. El FEI, en circunstancias excepcionales y de conformidad con las disposiciones y la justificación de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (3), podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas, tal como se contempla en el artículo 36 del Reglamento. En dicho caso, el FEI detallará las circunstancias, los motivos, los riesgos pertinentes y las garantías relacionadas en las normas internas aplicables.
2. Cuando limite el derecho a la confidencialidad de las comunicaciones electrónicas, el FEI informará a los interesados, en la respuesta a su solicitud, de las razones principales en las que se basa la aplicación de la limitación, así como de la posibilidad de presentar una reclamación ante el SEPD y de interponer un recurso judicial ante el Tribunal de Justicia de la Unión Europea.
3. El FEI podrá aplazar, omitir o denegar la comunicación de información sobre las razones de la limitación a que se refieren los apartados 1 y 2 durante el tiempo en que anule el efecto de la limitación. Esta evaluación se realizará caso por caso.
Artículo 10
Entrada en vigor
La presente Decisión y cualesquiera modificaciones del mismo serán aprobados por el Consejo de Administración del FEI y entrarán en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Luxemburgo, el 4 de junio de 2020.
(1) DO L 295 de 21.11.2018, p. 39.
(2) Comentarios y recomendaciones del SEPD de 20 de febrero de 2020 (DH/CCP/ALS/D(2020) 0372 C2019-1114).
(3) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).