Decisión del Consejo de administración de la Fundación Europea para la Mejora de las Condiciones de Vida y de Trabajo de 20 de diciembre de 2019 por la que se adopta el reglamento interno relativo a las limitaciones de ciertos derechos de interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de Eurofound

• Section: Serie L
• Issuing Organization: Consejo de la Unión Europea

16.3.2020 ES Diario Oficial de la Unión Europea L 79/4

EL CONSEJO DE ADMINISTRACIÓN,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos, oficinas y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y, en particular, su artículo 25,

Visto el Reglamento (UE) 2019/127 del Parlamento Europeo y del Consejo, de 16 de enero de 2019, por el que se crea la Fundación Europea para la Mejora de las Condiciones de Vida y de Trabajo («Eurofound») y se deroga el Reglamento (CEE) n.o 1365/75 del Consejo (2), y, en particular, su artículo 24(4),

Visto el dictamen del Supervisor Europeo de Protección de Datos (en lo sucesivo, el SEPD), de 12 de diciembre de 2019, y la orientación del SEPD sobre el artículo 25 del nuevo Reglamento y las normas internas (3),

Considerando lo siguiente:

(1) Eurofound lleva a cabo sus actividades de conformidad con su Reglamento (UE) 2019/127.

(2) De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, deben basarse en normas internas adoptadas por Eurofound cuando no se encuentren fundamentadas en actos jurídicos adoptados con arreglo a los Tratados.

(3) Estas normas internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la proporcionalidad de la limitación, no deben aplicarse cuando un acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los derechos de interesados.

(4) Cuando Eurofound ejerza sus funciones con respecto a los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

(5) En el marco de su funcionamiento administrativo, Eurofound puede hacer indagaciones administrativas, incoar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, tramitar casos de denuncia de irregularidades, tramitar procedimientos (formales e informales) en casos de acoso, tramitar reclamaciones internas y externas, realizar auditorías internas, emprender investigaciones a través del responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y llevar a cabo investigaciones internas sobre la seguridad (informática), así como gestionar peticiones de los miembros del personal para acceder a sus fichas médicas. Eurofound trata diversas categorías de datos personales, incluidos los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).

(6) Eurofound, representado por su director ejecutivo, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro del propio Eurofound al objeto de reflejar las diversas responsabilidades operativas por las distintas tareas de tratamiento de datos personales.

(7) Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide el uso indebido o el acceso ilícito a personas que no necesiten conocerlos y la transferencia ilícita a estas personas. Las fichas médicas se almacenan por un prestador de servicios externo que usa Eurofound. Los datos personales tratados no se retienen durante un tiempo superior al necesario y el adecuado para los fines para los que se hubieran tratado durante el período especificado en los anuncios de protección de datos o los registros de Eurofound.

(8) Estas normas internas deben aplicarse a todas las operaciones de tratamiento de datos llevadas a cabo por Eurofound en el ejercicio de sus indagaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, procedimientos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitación de quejas internas y externas, auditorías internas, investigaciones llevadas a cabo por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE) así como la gestión de solicitudes de acceso por parte de miembros del personal a sus fichas médicas.

(9) Estas normas internas deben aplicarse a las operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente, durante estos y durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos. También se incluyen la asistencia y la cooperación prestadas por Eurofound a las autoridades nacionales y las organizaciones internacionales al margen de sus investigaciones administrativas.

(10) En los casos en los que resultan aplicables estas normas internas, Eurofound debe justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar el contenido esencial de los derechos y las libertades fundamentales.

(11) En este contexto, Eurofound debe respetar, en la medida de lo posible, los derechos fundamentales de los interesados durante los procedimientos anteriores, en particular, los relativos al derecho a la comunicación de información al interesado, los derechos de acceso y rectificación, el derecho a la supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado y la confidencialidad de las comunicaciones electrónicas, de conformidad con el Reglamento (UE) 2018/1725.

(12) Sin embargo, Eurofound puede verse obligado a limitar el derecho a la información al interesado y otros derechos de este para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones o los procedimientos de otro tipo que se lleven a cabo.

(13) Eurofound debe controlar de manera periódica si siguen siendo de aplicación las condiciones que justifiquen la limitación y alzar la limitación en cuanto dejen de resultar aplicables.

(14) El responsable del tratamiento deberá informar al responsable de protección de datos en el momento en el que la limitación sea de aplicación y durante las revisiones posteriores e involucrarse en todo el procedimiento hasta que se alce la limitación.

HA ADOPTADO LA PRESENTE DECISIÓN:

1. La presente Decisión establece normas sobre las condiciones en las que Eurofound podrá limitar la aplicación de los derechos consagrados en los artículos 14 a 21, 35 y 36, así como el artículo 4 del Reglamento (UE) 2018/1725 en el contexto de los procedimientos establecidos en el párrafo 2 de conformidad con lo dispuesto en el artículo 25 de dicho Reglamento.

2. En el marco del funcionamiento administrativo de Eurofound, esta decisión se aplica a las operaciones de tratamiento de datos personales llevadas a cabo por Eurofound a los efectos de hacer indagaciones administrativas, incoar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, tramitar casos de denuncia de irregularidades, incoar procedimientos (formales e informales)...