Decisión del Consejo de Administración de la Autoridad Europea de Valores y Mercados de 1 de octubre de 2019 por la que se aprueban las normas internas relativas a las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la AEVM

• Section: Serie L
• Issuing Organization: Consejo de la Unión Europea

25.11.2019 ES Diario Oficial de la Unión Europea L 303/31

El Consejo de Administración

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725, del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular, su artículo 25,

Visto el Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Valores y Mercados), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión 2009/77/CE de la Comisión (2) que podrá ser modificado, derogado o sustituido, y en particular, su artículo 71,

Visto el dictamen del SEPD, de 20 de junio de 2019, y las orientaciones del SEPD sobre el artículo 25 del nuevo Reglamento y las normas internas,

Previa consulta al Comité de Personal,

Considerando lo siguiente:

(1) La AEVM lleva a cabo sus actividades de conformidad con el Reglamento (UE) n.o 1095/2010 (el «Reglamento AEVM» y la «AEVM»), que podrá ser modificado, derogado o sustituido.

(2) La AEVM trata diversas categorías de datos personales, incluidos los datos «objetivos» (como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos «subjetivos» (relacionados con el caso, como el razonamiento, los datos de comportamiento, los datos de conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con los mismos).

(3) La AEVM, representada por su director ejecutivo, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro de la propia AEVM, a fin de reflejar las diversas responsabilidades operativas para las distintas tareas específicas de tratamiento de datos personales.

(4) Los datos personales se almacenan en un entorno electrónico o en papel, de un modo seguro que impide el acceso ilícito a personas que no necesiten conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados no se retienen durante un tiempo superior al necesario y adecuado para los fines para los que se hubieran tratado durante el período especificado en los registros de protección de datos y las declaraciones de confidencialidad de la AEVM.

(5) Para el ejercicio de sus atribuciones, la AEVM está obligada respetar, en toda la medida de lo posible, los derechos fundamentales de los interesados, en particular, los relativos al derecho a la comunicación de información, el acceso y la rectificación, el derecho a la supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones, como queda consagrado en el Reglamento (UE) 2018/1725.

(6) Sin embargo, la AEVM puede verse obligada a limitar la comunicación de información al interesado y otros derechos del interesado para proteger, en particular, la confidencialidad y la efectividad de sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas, así como los derechos de otras personas relacionadas con sus investigaciones o con otro tipo de procedimientos que se lleven a cabo.

(7) En el marco de su funcionamiento administrativo, la AEVM puede llevar a cabo una serie de investigaciones, como investigaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con el fraude financiero, investigaciones relativas a casos de denuncias de irregularidades o acoso, auditorías internas, investigaciones sobre protección de datos o ética, investigaciones sobre las TIC, investigaciones sobre la seguridad de la información y actividades realizadas en el contexto de la gestión de riesgos e incidentes de seguridad. Además, para el ejercicio de sus misiones, la AEVM lleva a cabo investigaciones relacionadas con sus funciones directas de supervisión o ejecución y puede llevar a cabo investigaciones sobre posibles infracciones del Derecho de la Unión, así como investigaciones sobre un tipo particular de actividad financiera, o un tipo de producto o conducta, con el fin de evaluar posibles amenazas a la integridad de los mercados financieros o a la estabilidad del sistema financiero.

(8) Deben aplicarse las normas internas a todas las operaciones de tratamiento llevadas a cabo por la AEVM en el ejercicio de las investigaciones mencionadas. Estas normas internas también son aplicables a las operaciones de tratamiento de datos realizadas con anterioridad a la apertura de las investigaciones citadas anteriormente, durante las mismas y durante el seguimiento de la actuación consecutiva a los resultados de dichas investigaciones. También debe incluir la asistencia, la coordinación y/o la cooperación solicitadas a la AEVM por parte de las autoridades nacionales y las organizaciones internacionales en el contexto de sus propias investigaciones administrativas.

(9) Antes de hacer uso de las limitaciones previstas en estas normas internas, la AEVM debe considerar si se aplica alguna de las excepciones establecidas en el Reglamento (UE) 2018/1725. En los casos en los que resultan aplicables limitaciones con arreglo a estas normas internas, la AEVM debe explicar por qué estas limitaciones son estrictamente necesarias y proporcionadas en una sociedad democrática y respetar el contenido esencial de los derechos y las libertades fundamentales.

(10) La AEVM debe supervisar si las condiciones que justifican la limitación siguen...