Decisión (UE) 2021/1093 del Consejo, de 28 de junio de 2021, por la que se establecen normas de aplicación relativas al delegado de protección de datos del Consejo, a la aplicación del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo y a las limitaciones de los derechos de los interesados en el contexto del ejercicio de las funciones del delegado de protección de datos del Consejo, y por la que se deroga la Decisión 2004/644/CE del Consejo

• Section: Serie L
• Issuing Organization: Consejo de la Unión Europea

5.7.2021 ES Diario Oficial de la Unión Europea L 236/55

(1) El Reglamento (UE) 2018/1725 establece principios y normas aplicables a todas las instituciones y organismos de la Unión, así como el nombramiento de un delegado de protección de datos por cada institución u organismo de la Unión.

(2) El artículo 45, apartado 3, del Reglamento (UE) 2018/1725 exige que cada institución u organismo de la Unión adopte normas complementarias respecto al delegado de protección de datos (en lo sucesivo, «normas de aplicación»). Las normas de aplicación deben referirse en particular a las tareas, funciones y competencias del delegado de protección de datos del Consejo y de la Secretaría General del Consejo (DPD).

(3) Las normas de aplicación deben establecer los procedimientos para el ejercicio de los derechos de los interesados, así como para el cumplimiento de las obligaciones de todos los agentes pertinentes dentro del Consejo y de la Secretaría General del Consejo (SGC) en relación con el tratamiento de datos personales.

(4) El Reglamento (UE) 2018/1725 atribuye responsabilidades claras a los responsables del tratamiento de datos, en particular con respecto a los derechos de los interesados. Las normas de aplicación deben garantizar que el Consejo y la SGC cumplan sus responsabilidades como responsables del tratamiento de datos de manera uniforme y transparente. Deben establecerse normas para determinar quién es responsable de una operación de tratamiento que se lleva a cabo en nombre del Consejo o de la SGC. A este respecto, conviene introducir el concepto de «responsable delegado» con el fin de indicar con precisión las responsabilidades de los órganos de la SGC, en particular en lo que se refiere a las decisiones individuales relativas a los derechos de los interesados. Además, es conveniente introducir el concepto de «responsable operativo», designado, bajo la responsabilidad del responsable delegado, para garantizar la conformidad en la práctica y para tramitar las solicitudes de los interesados en relación con una operación de tratamiento. Con el fin de indicar con precisión las responsabilidades en la SGC para cada actividad de tratamiento, el responsable operativo debe indicarse con precisión en el registro. El nombramiento de un responsable operativo no impide la utilización en la práctica de un punto de contacto, por ejemplo, en forma de buzón funcional para las solicitudes de los interesados.

(5) En determinados casos, varias direcciones generales o servicios de la SGC pueden llevar a cabo conjuntamente una operación de tratamiento en cumplimiento de su misión. En tales casos, deben garantizar la existencia de acuerdos internos para determinar de manera transparente sus responsabilidades respectivas en virtud del Reglamento (UE) 2018/1725, en particular las responsabilidades respecto de los derechos de los interesados, la notificación al Supervisor Europeo de Protección de Datos (SEPD) y los registros.

(6) A fin de facilitar el ejercicio de las responsabilidades de los responsables delegados, cada dirección general u otro servicio de la SGC debe nombrar un coordinador de la protección de datos. El coordinador de la protección de datos debe prestar asistencia a la dirección general u otro servicio de la SGC para todos los aspectos de la protección de datos personales y participar en la red de coordinadores de la protección de datos de la SGC con el fin de garantizar una aplicación e interpretación coherentes del Reglamento (UE) 2018/1725.

(7) Con arreglo al artículo 45, apartado 1, letra b), del Reglamento (UE) 2018/1725, el DPD puede formular orientaciones adicionales sobre las funciones del coordinador de la protección de datos.

(8) El artículo 25, apartado 1, del Reglamento (UE) 2018/1725 permite a cada institución u organismo de la Unión limitar la aplicación de los artículos 14 a 17, 19, 20 y 35 de dicho Reglamento, así como el principio de transparencia establecido en su artículo 4, apartado 1, letra a), en la medida en que sus disposiciones se correspondan con los derechos y obligaciones establecidos en los artículos 14 a 17, 19 y 20 de dicho Reglamento.

(9) En determinados casos, el DPD puede tener que limitar los derechos de los interesados para llevar a cabo las tareas de supervisión, investigación, auditoría o consulta establecidas en el artículo 45 del Reglamento (UE) 2018/1725, respetando al mismo tiempo las normas de protección de los datos personales establecidas por dicho Reglamento. Es necesario adoptar normas internas que permitan al DPD limitar...