Decisión (UE) 2018/1961 de la Comisión, de 11 de diciembre de 2018, por la que se establecen normas internas relativas a la comunicación de información a los interesados y a la limitación de algunos de sus derechos en el contexto del tratamiento de datos personales a efectos de las actividades de auditoría interna

• Section: Decision
• Issuing Organization: Comisión de las Comunidades Europeas

12.12.2018 ES Diario Oficial de la Unión Europea L 315/35

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 249, apartado 1,

Considerando lo siguiente:

(1) El Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo (1) exige que cada institución de la Unión cree una función de auditoría interna que se ejercerá respetando las normas internacionales pertinentes. Las actividades de auditoría interna en la Comisión las asume el Servicio de Auditoría Interna («Servicio»), que fue creado el 11 de abril de 2000. El Servicio también lleva a cabo actividades de auditoría interna en las agencias descentralizadas de la Unión y otros organismos autónomos que reciben contribuciones con cargo al presupuesto de la Unión.

(2) El Servicio lleva a cabo actividades de auditoría interna con arreglo a lo dispuesto en los artículos 117 a 123 del Reglamento (UE, Euratom) 2018/1046 y en su carta de misión (2). A este respecto, el Servicio gozará de plena independencia y dispondrá de un acceso completo e ilimitado a cualquier información que sea necesaria para el ejercicio de sus actividades de auditoría interna en relación con todas las actividades y servicios de la institución de la Unión de que se trate.

(3) El Servicio asesora a otros servicios de la Comisión, las agencias ejecutivas, las agencias descentralizadas de la Unión y otros organismos autónomos que reciben contribuciones con cargo al presupuesto de la Unión sobre el control de riesgos, es decir, cualquier posible acontecimiento o suceso capaz de incidir negativamente en la consecución de los objetivos políticos, estratégicos y operativos de la Comisión, emitiendo dictámenes independientes sobre la calidad de los sistemas de gestión y control y formulando recomendaciones para mejorar las condiciones de ejecución de las operaciones y promover una buena gestión financiera, de conformidad con lo dispuesto en los artículos 117 a 123 del Reglamento (UE, Euratom) 2018/1046. Por lo tanto, las actividades de auditoría interna del Servicio no suelen estar dirigidas a las personas físicas. No obstante, en el transcurso de sus actividades, se tratan inevitablemente datos personales en el sentido del artículo 3, punto 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (3). Las actividades de auditoría interna que lleva a cabo el Servicio implican evaluar la adecuación y eficacia de los sistemas de gestión internos, los resultados obtenidos por los servicios en la ejecución de las políticas, programas y acciones y la eficiencia y eficacia de los sistemas de control interno y de auditoría aplicables a cada operación de ejecución presupuestaria. Por lo tanto, contribuyen a salvaguardar los intereses económicos y financieros de la Unión y de los Estados miembros. El Servicio es responsable de las operaciones de tratamiento que lleva a cabo de conformidad con los artículos 118 y 119, apartado 2, del Reglamento Financiero.

(4) Las actividades de auditoría interna llevadas a cabo en la Comisión Europea, en sus agencias ejecutivas y en las agencias descentralizadas de la Unión y otros organismos autónomos varían en cuanto a su forma y contenido, desde encargos de fiabilidad (incluida la evaluación de riesgos) y de consultoría hasta revisiones de alcance limitado y encargos de seguimiento.

(5) El Comité de Seguimiento de la Auditoría, de conformidad con lo dispuesto en su carta de misión actualizada el 21 de noviembre de 2018 [C(2018) 7707], es un órgano consultivo (4) que asiste a la Comisión en el cumplimiento de sus obligaciones en virtud de los Tratados y de otros instrumentos jurídicos [Reglamento (UE, Euratom) 2018/1046], velando por la independencia del Servicio de Auditoría Interna, realizando el seguimiento de la calidad del trabajo de auditoría interna y garantizando que los servicios de la Comisión tengan en cuenta y apliquen de manera adecuada las recomendaciones de las auditorías interna y externa. De esta forma, el Comité de Seguimiento de la Auditoría contribuye a la mejora de la eficacia y la eficiencia de la Comisión en la consecución de sus objetivos y facilita la labor de control del Colegio de la gobernanza, la gestión de riesgos y las prácticas de control interno de la Comisión. El Comité de Seguimiento de la Auditoría es responsable de la operación o las operaciones de tratamiento que lleva a cabo de conformidad con el artículo 123 del Reglamento Financiero.

(6) A efectos de sus actividades en virtud de los artículos 118 y 119, apartado 2, del Reglamento (UE, Euratom) 2018/1046, ya sea cuando actúa por propia iniciativa o sobre la base de la información recibida, la Comisión trata datos personales adquiridos o recibidos de personas jurídicas, personas físicas, Estados miembros y organismos y organizaciones internacionales. En el transcurso de dichas actividades de auditoría interna, el Servicio también podrá tratar datos personales adquiridos o recibidos de fuentes públicas o de fuentes anónimas o identificadas que requieran protección de su identidad.

(7) La Comisión, a su vez, podrá intercambiar datos personales con las instituciones, órganos y organismos de la Unión, con las autoridades competentes de los Estados miembros y, en el marco de sus acuerdos internacionales o de cooperación pertinentes, con terceros países y organizaciones internacionales.

(8) Las actividades de tratamiento de datos personales, en el sentido del artículo 3, apartado 3, del Reglamento (UE) 2018/1725, llevadas a cabo en el marco de una auditoría interna, pueden tener lugar incluso antes de que la Comisión la inicie formalmente, proseguir durante la realización de dicha auditoría y continuar incluso después de la conclusión formal de la misma (por ejemplo, a efectos de seguimiento o aplicación de las recomendaciones o de evaluación de la necesidad de iniciar nuevas auditorías internas).

(9) Las categorías de datos personales tratadas por la Comisión comprenden datos identificativos, de contacto, profesionales y los relativos al asunto de la actividad de auditoría o relacionados con él. Dichas categorías se almacenan en un entorno electrónico seguro para evitar el acceso ilícito o la transferencia de datos a personas que no tengan por qué conocerlos. Los datos personales se conservan durante un período máximo de diez años. Al final del período de conservación, la información relacionada con la auditoría interna, incluidos los datos personales, se transfiere a los archivos históricos de la Comisión (5) o se destruye.

(10) Al realizar las auditorías internas, la Comisión está obligada a respetar los derechos de las personas físicas en relación con el tratamiento de los datos personales reconocidos en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16, apartado 1, del Tratado, así como los derechos previstos en el Reglamento (UE) 2018/1725. Asimismo, la Comisión está obligada a respetar las estrictas normas de confidencialidad a que se hace referencia en las normas internacionales de auditoría...