Decisión (UE) 2019/236 de la Comisión, de 7 de febrero de 2019, por la que se establecen normas internas relativas a la comunicación de información a los interesados y a la limitación de algunos de sus derechos en el contexto del tratamiento de datos personales por la Comisión Europea a efectos de la seguridad interna de las instituciones de la Unión

• Section: Decision
• Issuing Organization: Comisión de las Comunidades Europeas

8.2.2019 ES Diario Oficial de la Unión Europea L 37/144

LA COMISIÓN EUROPEA

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 249, apartado 1,

Considerando lo siguiente:

(1) La Comisión necesita operar en un entorno seguro y protegido. Para ello, necesita un enfoque coherente e integrado en lo que se refiere a su seguridad, que proporcione un nivel adecuado de protección de las personas, los activos y la información acorde con los riesgos detectados y que garantice la seguridad de forma eficaz y oportuna. La Comisión se enfrenta a graves amenazas y desafíos en el ámbito de la seguridad, en particular por lo que se refiere al terrorismo, los ciberataques y el espionaje político y comercial.

(2) A fin de garantizar la seguridad de las personas, los activos y la información, la Comisión, a través de su Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad, adopta medidas conforme a lo dispuesto en su Decisión (UE, Euratom) 2015/443 (1), que implica el tratamiento de varias categorías de datos personales. Dichas medidas incluyen la realización de comprobaciones de los antecedentes personales, de conformidad con el artículo 7, apartado 5, evaluaciones de amenazas, de conformidad con el artículo 12, e investigaciones de seguridad, con arreglo al artículo 13 de la Decisión (UE, Euratom) 2015/443. En el marco de su mandato de investigación, la Comisión recaba información de interés para la investigación, incluidos datos personales, procedente de diversas fuentes —autoridades públicas y personas físicas— y la intercambia con otras instituciones, órganos y organismos de la Unión, con las autoridades competentes de los Estados miembros y de terceros países y con organizaciones internacionales, antes, en el transcurso y después de la investigación o las actividades de coordinación.

(3) Las categorías de datos personales tratados por la Comisión son, por ejemplo, datos de identificación, datos de contacto, datos profesionales y datos relacionados con una comprobación de los antecedentes personales, con una evaluación de las amenazas o con una investigación de seguridad, o proporcionados en este contexto. Los datos personales se almacenan en un entorno electrónico seguro, para impedir el acceso ilícito a los datos o su transferencia ilícita a personas ajenas a la Comisión. Los datos personales se conservan en los servicios de la Comisión responsables de la investigación hasta que esta finalice. A las distintas actividades de tratamiento se les aplican diferentes períodos de conservación, en función de la categoría de la investigación, pudiendo tratarse de casos de presunción de infracción penal, contrainteligencia o lucha contra el terrorismo. Al final del período de conservación, se elimina la información relacionada con el caso, incluidos los datos personales (2).

(4) En el ejercicio de sus funciones, la Comisión, como responsable del tratamiento, está obligada a respetar los derechos de las personas físicas en relación con el tratamiento de datos personales reconocidos en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea, así como los derechos previstos en el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (3). Al mismo tiempo, la Comisión está obligada a respetar las estrictas normas de confidencialidad establecidas en el artículo 9 de la Decisión (UE, Euratom) 2015/443.

(5) En determinadas circunstancias es necesario conciliar los derechos de los interesados en virtud del Reglamento (UE) 2018/1725 con la necesidad de que la Comisión desempeñe efectivamente sus funciones de garantizar la seguridad de las personas, los activos y la información en la Comisión con arreglo a la Decisión (UE, Euratom) 2015/443, en particular sus investigaciones de seguridad, y respetando plenamente los derechos y libertades fundamentales de otros interesados. A tal efecto, el artículo 25, apartado 1, letras c), d) y h), del Reglamento (UE) 2018/1725 ofrece a la Comisión la posibilidad de limitar la aplicación de los artículos 14 a 17, 19, 20 y 35 y del principio de transparencia establecido en el artículo 4, apartado 1, letra a), en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 14 a 17, 19 y 20 de dicho Reglamento.

(6) A fin de garantizar que la Comisión desempeñe efectivamente sus funciones de garantizar la seguridad de las personas, los activos y la información en la Comisión con arreglo a la Decisión (UE, Euratom) 2015/443, en particular sus investigaciones de seguridad, respetando al mismo tiempo las normas de protección de los datos personales en virtud del Reglamento (UE) 2018/1725, es necesario adoptar normas internas con arreglo a las cuales la Comisión pueda limitar los derechos de los interesados de conformidad con el artículo 25, apartado 1, letras c), d) y h), del Reglamento (UE) 2018/1725.

(7) Dichas normas internas deben abarcar todas las operaciones de tratamiento efectuadas por la Comisión en el ejercicio de sus funciones destinadas a garantizar la seguridad de las personas, los activos y la información en la Comisión con arreglo a lo dispuesto en la Decisión (UE, Euratom) 2015/443, en particular su función de investigación en el ámbito de la seguridad. Dichas normas deben aplicarse a las operaciones de tratamiento efectuadas antes de la apertura de una investigación, durante la misma y durante la supervisión del seguimiento de su resultado.

(8) Con el fin de cumplir lo dispuesto en los artículos 14, 15 y 16 del Reglamento (UE) 2018/1725, la Comisión debe informar a todas las personas de las actividades que lleve a cabo e impliquen el tratamiento de sus datos personales y de sus derechos, de manera transparente y coherente, mediante un anuncio de protección de datos publicado en el sitio web de la Comisión.

(9) Además, la Comisión debe informar individualmente, en un formato adecuado, a los interesados implicados en una investigación de seguridad, es decir, a las personas afectadas y a los testigos. Por otra parte, la Comisión debe informar individualmente a las personas cuyos datos sean tratados en...