Normas de desarrollo aplicables al manejo de la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET

DECISIÓN (UE, EURATOM) 2019/1961 DE LA COMISIÓN DE 17 DE OCTUBRE DE 2019 POR LA QUE SE ESTABLECEN LAS NORMAS DE DESARROLLO APLICABLES AL MANEJO DE LA INFORMACIÓN CONFIDENTIEL UE/EU CONFIDENTIAL Y SECRET UE/EU SECRET

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea , y en particular su artículo 249,

Visto el Tratado constitutivo de la Comunidad Europea de la Energía Atómica , y en particular su artículo 106,

Vista la Decisión (UE, Euratom) 2015/443 de la Comisión, de 13 de marzo de 2015, sobre la seguridad en la Comisión (1),

Vista la Decisión (UE, Euratom) 2015/444 de la Comisión, de 13 de marzo de 2015, sobre las normas de seguridad para la protección de la información clasificada de la UE (2),

Vista la Decisión (UE, Euratom) 2017/46 de la Comisión, de 10 de enero de 2017, sobre la seguridad de los sistemas de información y comunicación de la Comisión Europea (3),

Considerando lo siguiente:

(1)

La Decisión (UE, Euratom) 2015/444 se aplica a todos los servicios de la Comisión y en todos los locales de la Comisión.

(2)

Las medidas de seguridad destinadas a proteger la información clasificada de la UE (ICUE) a lo largo de su ciclo de vida deben ser proporcionales, ante todo, a su clasificación de seguridad.

(3)

El artículo 4, apartado 3, el artículo 19, apartado 1, letra a), y el artículo 22 de la Decisión (UE, Euratom) 2015/444 indican la necesidad de establecer disposiciones más detalladas que complementen y faciliten la aplicación de dicha Decisión a través de normas de desarrollo que regulen cuestiones como la guía de clasificación, las medidas compensatorias para el manejo de la ICUE fuera de una zona de acceso restringido o una zona administrativa, y las responsabilidades de los originadores.

(4)

En caso necesario, deben adoptarse normas de desarrollo destinadas a complementar o facilitar la aplicación de la Decisión (UE, Euratom) 2015/444 conforme al artículo 60 de dicha Decisión.

(5)

Las medidas de seguridad adoptadas en aplicación de la presente Decisión deben ajustarse a los principios de seguridad en la Comisión establecidos en el artículo 3 de la Decisión (UE, Euratom) 2015/443.

(6)

El Consejo, la Comisión y la alta representante de la Unión para Asuntos Exteriores y Política de Seguridad han acordado asegurar una coherencia máxima en la aplicación de las normas de seguridad relativas a la protección de la ICUE, teniendo en cuenta al mismo tiempo sus necesidades institucionales y organizativas específicas, de conformidad con las declaraciones adjuntas al acta de la sesión del Consejo en la que se adoptó la Decisión 2013/488/UE del Consejo (4).

(7)

El 4 de mayo de 2016, la Comisión adoptó una Decisión (5) que faculta al miembro de la Comisión responsable de los asuntos de seguridad para adoptar, en nombre de la Comisión y bajo su responsabilidad, las normas de desarrollo contempladas en el artículo 60 de la Decisión (UE, Euratom) 2015/444,

HA ADOPTADO LA PRESENTE DECISIÓN:

CAPÍTULO 1

DISPOSICIONES GENERALES

Artículo 1

Objeto y ámbito de aplicación

1. La presente Decisión establece las condiciones para el manejo de la información clasificada de la UE (ICUE) de grado CONFIDENTIEL UE/EU CONFIDENTIAL (6) y SECRET UE/EU SECRET (7), en cumplimiento de lo dispuesto en la Decisión (UE, Euratom) 2015/444.

2. La presente Decisión se aplicará a todos los servicios de la Comisión y en todos los locales de la Comisión.

Artículo 2

Criterios de acceso a la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET

1. El acceso a la información clasificada como CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET podrá concederse después de que:

se haya determinado la necesidad de que un particular tenga acceso a determinada información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET a fin de poder desempeñar una función o cometido profesional para la Comisión Europea;

esa persona haya sido instruida acerca de las normas y los niveles de seguridad pertinentes y de las directrices para la protección de la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET;

esa persona haya asumido sus responsabilidades en materia de protección de dicha información, y

dicha persona haya sido autorizada por la autoridad de seguridad de la Comisión para acceder a la ICUE en el grado correspondiente y hasta una fecha determinada de acuerdo con el artículo 10, apartado 1, punto 3, de la Decisión (UE, Euratom) 2015/444.

2. No se asignará a los becarios de la Comisión tareas que requieran su acceso a información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.

3. El acceso a esa información por parte de otras categorías de personal se autorizará o denegará de acuerdo con el cuadro que figura en el anexo.

CAPÍTULO 2

CREACIÓN DE INFORMACIÓN CONFIDENTIEL UE/EU CONFIDENTIAL Y SECRET UE/EU SECRET

Artículo 3

Originador

Si bien el originador, en el sentido del artículo 1 de la Decisión (UE, Euratom) 2015/444, es la institución, agencia u organismo de la Unión, Estado miembro, tercer Estado u organización internacional bajo cuya autoridad se haya producido información clasificada o se haya introducido en las estructuras de la Unión, el redactor de la información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET no ha de ser necesariamente la misma entidad.

Artículo 4

Asignación del grado de clasificación

1. El personal que redacte un documento a partir de información contemplada en el artículo 1 deberá considerar en toda circunstancia la posibilidad de que ese documento haya de ser clasificado. La clasificación de un documento en la categoría de ICUE implicará una evaluación y una decisión, por parte del originador, que determinen si la revelación del documento a personas no autorizadas podría resultar perjudicial para los intereses de la Unión Europea o de uno o varios Estados miembros. Si los redactores albergan alguna duda sobre la necesidad de que el documento en el que estén trabajando se clasifique como CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, deberán consultar al jefe de unidad o al director responsable.

2. Un documento debe clasificarse, como mínimo, en el grado CONFIDENTIEL UE/EU CONFIDENTIAL si su revelación no autorizada pudiera, por ejemplo:

causar daños tangibles a las relaciones diplomáticas, es decir, ocasionar protestas formales u otras sanciones;

acarrear perjuicios para la seguridad o la libertad de las personas;

menoscabar la eficacia operativa o la seguridad del personal desplegado por los Estados miembros u otros contribuyentes, o la eficacia de valiosas operaciones de seguridad o de inteligencia;

socavar notablemente la viabilidad financiera de importantes organizaciones;

impedir la investigación de delitos graves o facilitarlos;

obrar de manera significativa en contra de los intereses financieros, monetarios, económicos o comerciales de la Unión o de los Estados miembros;

obstaculizar gravemente el desarrollo o el funcionamiento de las grandes políticas de la Unión;

malograr o perturbar considerablemente actividades significativas de la Unión;

conducir al descubrimiento de información clasificada en un grado superior.

3. La información debe clasificarse, como mínimo, en el grado SECRET UE/EU SECRET si su revelación no autorizada pudiera, por ejemplo:

aumentar las tensiones internacionales;

deteriorar gravemente las relaciones con terceros países o con organizaciones internacionales;

poner directamente vidas en peligro o atentar gravemente contra el orden público o la seguridad o libertad de las personas;

menoscabar gravemente la eficacia operativa o la seguridad del personal desplegado por los Estados miembros u otros contribuyentes, o la ininterrumpida eficacia de operaciones de seguridad o de inteligencia muy valiosas;

ocasionar sustanciosos daños materiales a los intereses financieros, monetarios, económicos o comerciales de la Unión o de los Estados miembros;

conducir al descubrimiento de información clasificada en un grado superior.

4. Los originadores podrán optar por atribuir un grado de clasificación estándar a determinadas categorías de información que creen de forma habitual. No obstante, se asegurarán de que se atribuye el grado de clasificación apropiado a las informaciones concretas.

Artículo 5

Tratamiento de los borradores

1. La información se clasificará tan pronto como se haya producido. Las notas personales, los borradores o los mensajes que contengan información que justifique una clasificación en el grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET estarán marcados consiguientemente desde el principio y se producirán y manejarán conforme a lo dispuesto en la presente Decisión.

2. Si el documento final deja de justificar su clasificación en el grado inicial, se procederá a la rebaja de su clasificación o a su desclasificación.

Artículo 6

Registro del material original

Para permitir el ejercicio del control de originador, de conformidad con el artículo 14, los originadores de documentos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET deberán llevar un registro de las fuentes clasificadas que hayan utilizado para producir documentos clasificados, en el que se incluirán los datos de las fuentes originarias de los Estados miembros de la UE, organizaciones internacionales o terceros países. Cuando así proceda, la información clasificada agregada se marcará de una forma que preserve la identificación de los originadores de los materiales originales clasificados que se hayan utilizado.

Artículo 7

Clasificación de partes de un documento

1. De conformidad con el artículo 22, apartado 6, de la Decisión (UE, Euratom) 2015/444, el grado global de clasificación de un documento deberá ser al menos tan alto como el de su componente con mayor grado de clasificación. Cuando se recopile información procedente de diversas fuentes, se revisará el documento agregado final para determinar su grado global de clasificación de seguridad, al ser posible que requiera un grado de clasificación superior al de sus componentes.

2. Los documentos que contengan partes clasificadas y partes no clasificadas se estructurarán y marcarán de forma que los componentes con distintos grados de clasificación y/o sensibilidad puedan identificarse fácilmente y separarse en caso necesario. De esta forma, cada una de las partes podrá manejarse adecuadamente cuando se separe de los demás componentes.

Artículo 8

Marca de clasificación completa

1. La información cuya clasificación esté justificada se marcará y manejará como tal, con independencia de su forma física. El grado de clasificación se comunicará claramente a los destinatarios, bien mediante una marca de clasificación, si la información se facilita por escrito, ya sea en papel, en soportes de almacenamiento extraíbles o en un sistema de información y comunicación (SIC), bien mediante una notificación, si la información se presenta oralmente, por ejemplo en una conversación o una presentación. El material clasificado estará marcado físicamente para permitir la fácil identificación de su clasificación de seguridad.

2. En los documentos, se escribirá la marca de clasificación completa CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET en letras mayúsculas, en francés y en inglés (primero en francés), de conformidad con el apartado 3. Esta marca no se traducirá a otras lenguas.

3. La marca de clasificación CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET se dispondrá de la forma siguiente:

centrada en la parte superior e inferior de cada página del documento;

la marca de clasificación completa aparecerá en una sola línea, sin espacios a cada lado de la barra oblicua;

en mayúsculas de color negro, con el tipo y tamaño de letra Times New Roman 16 (si es posible, pero al menos 14), en negrita y rodeada de un reborde por cada lado.

4. Al crear un documento CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET

se marcará claramente cada página con el grado de clasificación;

se numerarán todas las páginas;

el documento deberá llevar un número de referencia, un número de registro y una indicación del asunto, que en sí misma no constituirá información clasificada, salvo si se marca como tal;

todos los anexos y documentos adjuntos se enumerarán, siempre que sea posible, en la primera página, y

se indicará en el documento la fecha de su creación.

5. Siempre que sea posible, la marca SECRET UE/EU SECRET aparecerá en rojo.

Artículo 9

Marcas de clasificación abreviadas C-UE/EU-C y S-UE/EU-S

Podrán utilizarse las abreviaturas C-UE/EU-C y S-UE/EU-S para indicar el grado de clasificación de partes concretas de documentos CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, respectivamente, o cuando no pueda insertarse la marca de clasificación completa, por ejemplo en un pequeño soporte de almacenamiento extraíble. Podrá también utilizarse en el cuerpo del texto cuando el uso repetido de las marcas de clasificación completas resulte engorroso. La abreviatura no se utilizará en lugar de las marcas de clasificación completas que han de figurar en el encabezamiento y el pie de página del documento.

Artículo 10

Otros indicadores de seguridad

1. Los documentos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET podrán llevar otras marcas o “indicadores de seguridad” que especifiquen, por ejemplo, el ámbito al que pertenece el documento o que indiquen una distribución determinada en función de la “necesidad de conocer”. Ejemplo:

DIVULGABLE A LIECHTENSTEIN

2. Los documentos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET podrán llevar una advertencia de seguridad que ofrezca instrucciones específicas sobre la forma de manejar y tratar los documentos.

3. Siempre que sea posible, toda indicación referente a la rebaja de la clasificación o la desclasificación se colocará en la primera página del documento en el momento de su creación. Por ejemplo, podrá utilizarse el marcado siguiente:

SECRET UE/EU SECRET

hasta el [dd.mm.aaaa]

y RESTREINT UE/EU RESTRICTED

en lo sucesivo.

Artículo 11

Tratamiento electrónico

1. Los documentos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET se crearán por medios electrónicos siempre que estos estén disponibles.

2. Al crear información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, el personal de la Comisión utilizará SIC acreditados para el nivel de clasificación correspondiente o un nivel de clasificación superior. En caso de duda acerca de los SIC que pueden utilizarse, el personal deberá consultar a su responsable local de seguridad (LSO, por sus siglas en inglés). Previa consulta a la autoridad de seguridad de la Comisión, podrán aplicarse procedimientos específicos en caso de emergencia o en presencia de configuraciones técnicas específicas.

3. Los documentos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET, incluidos los borradores, según dispone el artículo 5, no se enviarán por correo electrónico, ni se imprimirán o escanearán en impresoras o escáneres estándar, ni se manejarán en los dispositivos personales de los miembros del personal. Para imprimir documentos CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, solo se utilizarán impresoras o fotocopiadoras conectadas a ordenadores independientes protegidos de las emisiones electromagnéticas o a un sistema acreditado.

Artículo 12

Registro con fines de seguridad

1. La información clasificada como CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET se registrará con fines de seguridad antes de su distribución y en el momento de su recepción. Se registrará:

cuando llegue o a una entidad organizativa o salga de ella; y

cuando llegue a un SIC o salga de él.

2. Ese registro podrá efectuarse en papel o en libros de registro electrónicos.

3. Si la información se maneja de forma electrónica dentro de un SIC, los procedimientos de registro podrán llevarse a cabo mediante los procesos internos del propio SIC. En ese caso, el SIC incluirá medidas para garantizar la integridad de los libros de registro.

4. El controlador del registro llevará un registro que contenga, como mínimo, la información siguiente respecto de cada documento:

la fecha de registro del documento final clasificado;

el grado de clasificación;

cuando proceda, la fecha de expiración del grado de clasificación;

el nombre del servicio originario;

el destinatario o los destinatarios;

el asunto;

el número de referencia atribuido al documento por el servicio originario;

el número de registro;

el número de copias puestas en circulación;

cuando sea posible, el cuaderno de fuentes utilizadas para la creación del documento;

la fecha de rebaja de la clasificación o de desclasificación del documento, y

los pormenores relativos a la destrucción (lugar, fecha, método, supervisión y certificado de destrucción).

Artículo 13

Distribución

El remitente de los documentos CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET decidirá a quién debe distribuirse la información, en función de su necesidad de conocerla. Se elaborará una lista de distribución para aplicar más rigurosamente el principio de la “necesidad de conocer”.

CAPÍTULO 3

TRABAJO CON INFORMACIÓN CONFIDENTIEL UE/EU CONFIDENTIAL Y SECRET UE/EU SECRET EXISTENTE

Artículo 14

Control de originador

1. El originador deberá tener “control de originador” sobre la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET que haya creado. Se recabará el consentimiento previo por escrito del originador antes de que la información pueda ser:

desclasificada u objeto de una rebaja de clasificación;

utilizada con fines distintos de los determinados por el originador;

divulgada a un tercer país o a una organización internacional;

revelada a una parte externa a la Comisión pero interna a la UE; o

revelada a un contratista o a un contratista potencial ubicado en un tercer país.

2. Los poseedores de la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET serán personas debidamente autorizadas que habrán recibido acceso a la información clasificada para poder desempeñar sus funciones. Son responsables de su correcto manejo, almacenamiento y protección con arreglo a la Decisión (UE, Euratom) 2015/444. A diferencia de los originadores de información clasificada, los poseedores no estarán autorizados para adoptar decisiones sobre la rebaja de la clasificación, la desclasificación o la subsiguiente divulgación de información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.

3. Si no es posible identificar al originador de alguna información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, el servicio de la Comisión que posea esa información clasificada ejercerá el control de originador. Antes de divulgar información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET a un tercer país o a una organización internacional, se consultará al grupo de expertos de seguridad de la Comisión.

Artículo 15

SIC adecuados para el manejo de la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET

1. La información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET se manejará y transmitirá por medios electrónicos, siempre que estos estén disponibles. Solo se utilizarán SIC y equipo que hayan sido acreditados por la Autoridad de Acreditación de Seguridad de la Comisión para el manejo de información clasificada en el grado correspondiente o en un grado de clasificación superior.

2. Cuando un servicio de la Comisión disponga del equipo apropiado para manejar y enviar la información clasificada en esos grados, asistirá, en la medida de sus posibilidades, a las demás entidades de la Comisión en el manejo y envío apropiados de la información.

Artículo 16

Medidas específicas aplicables a la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET en soportes de almacenamiento extraíbles

1. El uso de soportes de almacenamiento extraíbles será objeto de un estricto control y dará lugar a una rendición de cuentas igualmente estricta. Solo se utilizarán soportes de almacenamiento extraíbles proporcionados por la Comisión y cifrados con un producto aprobado por la autoridad de seguridad de la Comisión. Para la transferencia de información clasificada no se utilizarán soportes de almacenamiento extraíbles personales ni soportes ofrecidos gratuitamente en conferencias, seminarios, etc. En la medida de lo posible, se utilizarán soportes de almacenamiento extraíbles protegidos por la tecnología Tempest, conforme a las directrices de la autoridad de seguridad de la Comisión.

2. Cuando un documento clasificado se maneje o se almacene electrónicamente en soportes de almacenamiento extraíbles, como llaves USB, discos compactos o tarjetas de memoria, la marca de clasificación deberá ser claramente visible en la propia información, así como en el nombre del archivo y en el soporte de almacenamiento extraíble.

3. El personal deberá tener en cuenta que, cuando se almacenen grandes volúmenes de información clasificada en soportes de almacenamiento extraíbles, el dispositivo podrá requerir un grado de clasificación más elevado.

4. Solo los SIC que hayan sido debidamente acreditados podrán utilizarse para transferir información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET hacia o desde soportes de almacenamiento extraíbles.

5. Cuando se descargue ese tipo de información a soportes de almacenamiento extraíbles, se tomarán especiales precauciones para asegurar que dichos soportes no contengan virus o programas maliciosos antes de la transferencia de los datos.

6. Cuando así proceda, los soportes de almacenamiento extraíbles se manejarán con arreglo a los procedimientos operativos de seguridad correspondientes al sistema de cifrado utilizado.

7. Los documentos en soportes de almacenamiento extraíbles que ya no se necesiten o que hayan sido transferidos a un SIC adecuado se suprimirán o eliminarán de forma segura utilizando productos o métodos aprobados. Salvo si se guardan en una caja fuerte adecuada, los soportes de almacenamiento extraíbles se destruirán cuando dejen de ser necesarios. Las operaciones de destrucción o eliminación se efectuarán con métodos que se ajusten a las normas de seguridad de la Comisión. Se mantendrá un inventario de los soportes extraíbles, cuya destrucción deberá registrarse.

Artículo 17

Manejo y almacenamiento de la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET

1. De conformidad con el artículo 19, apartado 3, letra a), de la Decisión (UE, Euratom) 2015/444, la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET se manejará en una zona de acceso restringido (8).

2. De conformidad con el artículo 19, apartado 3, letra b), de la Decisión (UE, Euratom) 2015/444, esa información podrá manejarse en una zona administrativa (9), siempre que se impida el acceso a la ICUE a personas no autorizadas.

3. Esa información podrá manejarse fuera de una zona de acceso restringido o de una zona administrativa siempre que el poseedor se haya comprometido a cumplir las medidas compensatorias requeridas con arreglo al artículo 19, apartado 3, letra c), de la Decisión (UE, Euratom) 2015/444, que incluirán, como mínimo, las siguientes:

los documentos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET no se leerán en lugares públicos;

la ICUE permanecerá en todo momento bajo el control personal de su poseedor;

en el caso de los documentos impresos en papel, el poseedor deberá haber notificado al registro correspondiente la circunstancia de que los documentos clasificados están siendo manejados fuera de una zona de acceso restringido y de una zona administrativa;

los documentos se guardarán en una caja fuerte apropiada cuando no estén siendo leídos o comentados;

las puertas de la sala se cerrarán durante la lectura o el debate del documento;

el contenido del documento no se tratará por teléfono, en una línea no segura, ni en un correo electrónico;

el poseedor no podrá fotocopiar ni escanear el documento; solo el registro podrá proporcionar nuevas copias;

el documento solo se manejará y conservará temporalmente fuera de las zonas administrativas y de las zonas de acceso restringido durante el tiempo mínimo necesario, transcurrido el cual se restituirá al registro;

la restitución del documento se constatará con una firma;

el poseedor no desechará el documento clasificado ni lo destruirá.

4. La información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET se almacenará en una zona de acceso restringido dentro de un contenedor de seguridad o en una cámara acorazada.

5. Puede solicitarse asesoramiento adicional al responsable local de seguridad (LSO) del servicio correspondiente de la Comisión.

6. Se informará lo antes posible al LSO de todo incidente de seguridad, supuesto o confirmado, que afecte al documento.

Artículo 18

Copia y traducción de información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET

1. La información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET podrá copiarse o traducirse a instrucción de su poseedor, siempre que el originador no haya impuesto ninguna reserva al respecto. No obstante, no se realizarán más copias de las estrictamente necesarias.

2. Cuando solo se reproduzca parte de un documento clasificado, se aplicarán las mismas condiciones que para la copia del documento íntegro. Los extractos se clasificarán también en el mismo grado de seguridad, a menos que hayan sido específicamente marcados en un grado inferior o como no clasificados por el originador.

3. Las medidas de seguridad aplicables a la información original se aplicarán también a sus copias y traducciones.

Artículo 19

Principios generales aplicables al transporte de información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET

1. Siempre que sea posible, la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET que deba salir de las de zonas de acceso restringido o de las zonas administrativas se enviará por vía electrónica a través de medios debidamente acreditados y/o protegidos por productos criptográficos aprobados.

2. En función de los medios disponibles o de las circunstancias particulares, la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET podrá transportarse físicamente en mano, en documentos impresos en papel o en soportes de almacenamiento extraíbles. Para la transmisión de información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET, el uso de soportes de almacenamiento extraíbles tendrá preferencia sobre el envío de documentos impresos.

3. Solo podrán utilizarse soportes de almacenamiento extraíbles cifrados mediante un producto aprobado por la autoridad de seguridad de la Comisión. La información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET contenida en soportes de almacenamiento extraíbles que no estén protegidos por un producto de cifrado aprobado por la autoridad de seguridad de la Comisión se manejará de la misma manera que la información impresa en papel.

4. Un envío podrá contener más de un elemento de ICUE, siempre que se respete el principio de la “necesidad de conocer”.

5. El envoltorio utilizado deberá garantizar que el contenido está oculto. La información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET se transportará en envoltorios opacos de doble capa, como sobres, carpetas opacas o un maletín. En el envoltorio exterior no figurará ninguna indicación sobre la naturaleza o el grado de clasificación de su contenido. La capa interior del envoltorio estará marcada como CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET. En ambas capas se indicará el nombre del destinatario, su cargo y su dirección, así como una dirección de retorno en caso de que no sea posible efectuar la entrega.

6. El personal o los mensajeros que transporten información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET en mano deberán haber obtenido una autorización de seguridad y recibido un certificado de correo.

7. El sobre o el envoltorio no se abrirán en tránsito. La autorización de seguridad del mensajero no le permitirá acceder al contenido de la información clasificada.

8. Todo incidente de seguridad que afecte a información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET que esté siendo transportada por miembros del personal o mensajeros se notificará para su subsiguiente investigación a la Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad a través del LSO del servicio correspondiente de la Comisión.

Artículo 20

Transporte manual de soportes de almacenamiento extraíbles

1. Los soportes de almacenamiento extraíbles que se utilicen para el transporte de información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET irán acompañados de una nota de envío en la que se detallarán los soportes de almacenamiento extraíbles que contienen la información clasificada, así como todos los ficheros que albergan, de forma que el destinatario pueda realizar las comprobaciones necesarias y confirmar la recepción.

2. Solo se almacenarán en los citados soportes los documentos que hayan de entregarse. Por ejemplo, toda la información clasificada contenida en una misma llave USB deberá tener un único destinatario. El remitente deberá tener en cuenta que el almacenamiento de un gran volumen de información clasificada en esos dispositivos podrá justificar la atribución de un grado de clasificación más elevado al dispositivo en su conjunto.

3. Para transportar información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET solo se utilizarán soportes de almacenamiento extraíbles que lleven la marca de clasificación adecuada.

4. Toda información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET almacenada en soportes de almacenamiento extraíbles se registrará con fines de seguridad.

Artículo 21

Transporte de documentos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET dentro de los edificios de la Comisión

1. El personal con autorización de seguridad podrá transportar documentos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRETD dentro de un edificio de la Comisión, pero esos documentos no podrán quedar desatendidos por su portador ni ser leídos en público.

2. Los documentos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET no se enviarán por correo interno.

Artículo 22

Transporte de documentos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET dentro de la Unión

1. La información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET podrá ser transportada por personal o mensajeros de la Comisión en cualquier lugar de la Unión, siempre que se cumplan las instrucciones siguientes:

que para la transmisión de información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET se utilicen sobres o envoltorios opacos de doble capa en cuya parte exterior no figure ninguna indicación sobre la naturaleza o el grado de clasificación de su contenido;

que la información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET no quede desatendida en ningún momento por el portador, y que

el sobre o el envoltorio no se abran en tránsito y que la información no se lea en lugares públicos.

2. El personal del registro que desee enviar información CONFIDENTIEL UE/EU CONFIDENTIAL a otros lugares de la Unión podrá disponer que se transporte por uno de los medios siguientes:

servicios postales nacionales que garanticen un rastreo del envío o determinados servicios de mensajería comercial que garanticen el transporte personal en mano, siempre que cumplan los requisitos establecidos en el artículo 24 de la presente Decisión;

valija militar, administrativa o diplomática.

3. El personal que desee enviar información SECRET UE/EU SECRET a otros Estados miembros de la UE podrá disponer, previo acuerdo con su registro, que se transporte por valija militar, administrativa o diplomática, pero nunca por los servicios postales o de mensajería comercial.

4. El personal o los mensajeros oficiales de la Comisión que transporten información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET deberán llevar, por cada envío, un certificado de correo expedido por el registro del servicio correspondiente que certifique que el portador está autorizado para transportar el envío.

Artículo 23

Transporte de información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET hacia o desde el territorio de un tercer país

1. La información clasificada como CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET podrá ser transportada en mano por el personal entre el territorio de la Unión y el de un tercer país.

2. El personal del registro podrá disponer su transporte por valija militar o diplomática.

3. Cuando transporte en mano documentos impresos en papel o soportes de almacenamiento extraíbles clasificados como CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, el personal deberá cumplir todas las medidas adicionales siguientes:

Al desplazarse en transporte público, la información clasificada se colocará en un maletín o bolsa que permanecerá bajo la custodia personal del portador, no pudiendo dejarse en la bodega de equipajes.

La capa interior del envoltorio deberá llevar un sello oficial que indique que se trata de un envío oficial que no ha de someterse a los controles de seguridad.

El portador llevará un certificado de correo que certifique que está autorizado a transportar el envío CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, expedido por el registro del servicio correspondiente.

Artículo 24

Transporte a cargo de mensajeros comerciales

1. A efectos de lo dispuesto en la presente Decisión, por “mensajeros comerciales” se entienden los servicios postales nacionales y las empresas de mensajería comercial que ofrecen un servicio consistente en la entrega de información a cambio de una tarifa y que se lleva a cabo, bien en forma de transporte personal en mano, bien mediante un sistema de rastreo.

2. Los mensajeros comerciales podrán transportar información CONFIDENTIEL UE/EU CONFIDENTIAL dentro de un mismo Estado miembro o de un Estado miembro a otro. Los mensajeros comerciales solo podrán transportar información SECRET UE/EU SECRET dentro de un mismo Estado miembro, pero no sacarla de él.

3. Los servicios de mensajería comercial recibirán la instrucción de que solo pueden entregar los envíos CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET al controlador del registro, a su sustituto debidamente autorizado o al destinatario previsto.

4. Los servicios de mensajería comercial pueden recurrir a los servicios de un subcontratista. No obstante, la responsabilidad del cumplimiento de la presente Decisión seguirá correspondiendo a la empresa de mensajería.

5. No se utilizarán para la información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET los servicios ofrecidos por mensajeros comerciales consistentes en la transmisión electrónica de documentos de entrega certificada.

Artículo 25

Preparación de la ICUE para su trasporte por servicios de mensajería comercial

1. Al preparar envíos clasificados, el remitente deberá tener en cuenta que los servicios de mensajería comercial solo podrán entregar los envíos CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET al destinatario previsto, a su sustituto debidamente autorizado, al controlador del registro o su sustituto debidamente autorizado, o a un recepcionista.

2. Cuando se envíe esa información mediante un servicio de mensajería comercial aprobado, el envío se preparará y envolverá de la forma siguiente:

el envío se expedirá en doble sobre (las características del sobre interior harán que toda tentativa de abrirlo resulte evidente) u otro material para envoltorio suficientemente seguro;

el grado de clasificación será claramente visible en el sobre interior o en la capa interior del envoltorio;

no se indicará la clasificación en el sobre exterior ni en la capa exterior del envoltorio;

los sobres o capas del envoltorio tanto interiores como exteriores estarán claramente dirigidos a una persona designada en la entidad destinataria prevista y llevarán un remite;

dentro del sobre interior o la capa interior del envoltorio se incluirá un impreso de recibo de registro que el destinatario deberá cumplimentar y reenviar; el recibo de registro, que en sí mismo no estará clasificado, indicará el número de referencia, la fecha y el número de copias del documento, pero no el asunto;

en el sobre exterior o en la capa exterior del envoltorio se incluirá un recibo de entrega; el recibo de entrega, que en sí mismo no estará clasificado, indicará el número de referencia, la fecha y el número de copias del documento, pero no el asunto;

el servicio de mensajería deberá obtener y proporcionar al remitente una prueba de la entrega del envío en el registro de firma y recuento, u obtener recibos o números de paquetes.

3. Antes del envío, el remitente deberá ponerse en contacto con el destinatario designado para convenir una fecha y una hora de entrega apropiadas.

4. El remitente será el único responsable de los envíos expedidos mediante un servicio de mensajería comercial. En caso de que el envío se extravíe o no se entregue a tiempo, el remitente notificará la situación a la autoridad de seguridad de la Comisión, la cual efectuará un seguimiento del incidente de seguridad.

Artículo 26

Otras condiciones de manejo específicas

1. Se cumplirán todas las condiciones de transporte que se hayan establecido en un acuerdo sobre seguridad de la información o en un arreglo administrativo. En caso de duda, el personal consultará a sus respectivos registros o a la Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad.

2. El requisito de doble envoltorio podrá ser inaplicado en el caso de la información clasificada que esté protegida por productos criptográficos aprobados. No obstante, a efectos de expedición, y debido también al hecho de que el soporte de almacenamiento extraíble lleva una marca de clasificación de seguridad explícita, el soporte se transportará al menos en un sobre ordinario, pero podrá requerir medidas de protección física adicionales, como el uso de sobres recubiertos en el interior con plástico de burbujas.

CAPÍTULO 4

REUNIONES CLASIFICADAS

Artículo 27

Preparación de una reunión CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET

1. Las reuniones en las que esté previsto discutir información CONFIDENTIEL UE/EU CONFIDENTIEL o SECRET UE/EU SECRET se celebrarán solo en salas de reuniones que hayan sido acreditadas al nivel adecuado o superior. Cuando esas salas no estén disponibles, el personal consultará a la autoridad de seguridad de la Comisión.

2. Como regla general, los órdenes del día no deben clasificarse. El hecho de que el orden del día de alguna reunión haga referencia a documentos clasificados no implica que el orden del día deba clasificarse automáticamente. Los puntos del orden del día se formularán con una redacción que evite todo riesgo para la protección de los intereses de la Unión o de uno o más Estados miembros.

3. Los organizadores de las reuniones habrán de recordar a los participantes que las observaciones relativas a puntos CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET del orden del día no deben enviarse por correo electrónico, ni por otros medios que no hayan sido debidamente acreditados con arreglo al artículo 11 de la presente Decisión.

4. Los organizadores de las reuniones tratarán de agrupar de manera consecutiva en el orden del día los puntos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET para facilitar el fluido desenvolvimiento de la reunión. Solo podrán estar presentes en el debate de los puntos clasificados las personas con necesidad de conocerlos, que dispongan de la habilitación de seguridad al nivel apropiado y que estén autorizadas, cuando así proceda.

5. En la propia invitación se prevendrá a los participantes de que en la reunión se debatirán temas clasificados, lo que dará lugar a la aplicación de las medidas de seguridad correspondientes.

6. Se recordará a los participantes que durante el debate de los puntos CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET deberán dejarse fuera de la sala de reunión los dispositivos electrónicos portátiles.

7. Antes de la reunión, los organizadores elaborarán una lista completa de participantes.

Artículo 28

Acceso de los participantes a una reunión CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET

1. Los organizadores de la reunión informarán a la autoridad de seguridad de la Comisión de todo visitante externo que asista a una reunión CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET en los locales de la Comisión.

2. Para poder estar presentes en el debate de los puntos del orden del día CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, los participantes deberán demostrar que son titulares de una habilitación de seguridad válida del nivel apropiado.

Artículo 29

Equipo electrónico en las salas de reuniones CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET

1. Cuando se transmita información clasificada, por ejemplo durante una presentación en la que se muestre información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, o cuando se celebren videoconferencias, solo podrán utilizarse sistemas informáticos acreditados con arreglo al artículo 11 de la presente Decisión.

2. El presidente se asegurará de que se hayan dejado fuera de la sala los dispositivos electrónicos portátiles no autorizados.

Artículo 30

Procedimientos que han de seguirse durante las reuniones CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET

1. Al inicio del debate sobre temas clasificados, el presidente anunciará a los asistentes a la reunión que se pasa a “modo clasificado”. Se cerrarán las puertas.

2. Solo se firmará para su recuento y se entregará a los participantes y a los intérpretes el número necesario de documentos, según corresponda, al inicio del debate.

3. Los documentos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET no se dejarán desatendidos durante las pausas de la reunión.

4. Al término de la reunión, se recordará a los participantes y a los intérpretes que no dejen desatendidos en la sala los documentos clasificados o las notas clasificadas que hayan podido tomar. Todo documento CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET que no necesiten los participantes al término de la reunión y, en cualquier caso, los documentos de los intérpretes, se firmarán para su recuento y devolverán al controlador del registro para su destrucción en las trituradoras apropiadas.

5. Durante la reunión, se anotará la lista de participantes y se realizará una sinopsis de la información clasificada facilitada a los Estados miembros y comunicada verbalmente a terceros países u organizaciones internacionales para su registro en el resultado de los trabajos.

Artículo 31

Intérpretes y traductores

Solo los intérpretes y traductores con habilitación de seguridad y autorizados que estén sujetos al Estatuto de los funcionarios o al régimen aplicable a otros agentes de la Unión Europea o que tengan un vínculo contractual con la Comisión tendrán acceso a la información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.

CAPÍTULO 5

PUESTA EN COMÚN E INTERCAMBIO DE INFORMACIÓN CONFIDENTIEL UE/EU CONFIDENTIAL Y SECRET UE/EU SECRET

Artículo 32

Consentimiento del originador

Si la Comisión no es la entidad originadora de la información clasificada que desea divulgar o poner en común, o del material original que esta pueda contener, el servicio de la Comisión que posea esa información clasificada deberá recabar el consentimiento escrito del originador para divulgarla. Si no se puede identificar al originador, el servicio de la Comisión que posea esa información clasificada ejercerá el control de originador.

Artículo 33

Puesta en común de información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET con otras entidades de la Unión

1. La información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET solo se pondrá en común con otra institución, órgano, organismo u oficina de la Unión si el destinatario tiene necesidad de conocerla y si dicha entidad tiene el correspondiente arreglo jurídico con la Comisión.

2. Dentro de la Comisión, el registro de ICUE gestionado por la Secretaría General será, por regla general, el punto principal de entrada y de salida para los intercambios de información clasificada con otras instituciones, órganos, organismos u oficinas de la Unión. Se consultará a la autoridad de seguridad de la Comisión cuando motivos de seguridad, organizativos u operativos aconsejen que los registros locales de ICUE actúen como puntos de entrada y de salida para las materias que sean competencia del servicio correspondiente.

Artículo 34

Intercambio de información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET con los Estados miembros

1. La información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET podrá ponerse en común con los Estados miembros si el destinatario tiene necesidad de conocerla y dispone de una habilitación de seguridad.

2. La información clasificada de los Estados miembros que lleve una marca de clasificación nacional equivalente (10) y que haya sido facilitada a la Comisión recibirá el mismo grado de protección que la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET.

Artículo 35

Intercambio de información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET con terceros países y organizaciones internacionales

1. La información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET solo se divulgará a un tercer país o a una organización internacional si el destinatario tiene necesidad de conocerla y el país u organización internacional dispone de un marco jurídico o administrativo apropiado, como un acuerdo de seguridad de la información o un arreglo administrativo con la Comisión. Las disposiciones de dichos acuerdos o arreglos prevalecerán sobre las de la presente Decisión.

2. Por regla general, el registro de ICUE gestionado por la Secretaría General actuará como punto principal de entrada y de salida de toda la información clasificada CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET intercambiada entre la Comisión y terceros países y organizaciones internacionales. Se consultará a la autoridad de seguridad de la Comisión cuando motivos de seguridad, organizativos u operativos aconsejen que los registros locales de ICUE actúen como puntos de entrada y de salida para las materias que sean competencia del servicio correspondiente.

3. Toda información clasificada que se reciba de un tercer país o una organización internacional se registrará con fines de seguridad. Consiguientemente, el personal se pondrá en contacto con el registro si recibe información clasificada que no proceda del circuito habitual del registro.

4. Para garantizar su rastreabilidad, la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET se registrará:

cuando llegue a una entidad organizativa o salga de ella; y

cuando llegue a un SIC o salga de él.

5. Ese registro podrá efectuarse en papel o en libros de registro electrónicos.

6. Los procedimientos de registro de la información clasificada manejada en un SIC acreditado podrán llevarse a cabo mediante los procesos internos del propio SIC. En ese caso, el SIC incluirá medidas para garantizar la integridad de los libros de registro.

7. La información clasificada recibida de terceros países o de organizaciones internacionales recibirá un grado de protección equivalente al de la ICUE que lleve la marca de clasificación equivalente, según se establezca en el acuerdo de seguridad de la información o en el arreglo administrativo correspondiente.

Artículo 36

Divulgación ad hoc con carácter excepcional de la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET

1. Cuando la Comisión o alguno de sus servicios determine que existe una necesidad excepcional de divulgar información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET a un tercer país, una organización internacional o una entidad de la UE, pero no exista ningún acuerdo de seguridad de la información o arreglo administrativo, se seguirá el procedimiento de divulgación ad hoc con carácter excepcional.

2. Los servicios de la Comisión se pondrán en contacto con la autoridad de seguridad de la Comisión, la cual consultará al grupo de expertos de seguridad de la Comisión.

3. Previa consulta a su grupo de expertos de seguridad, la Comisión, a propuesta del miembro de la Comisión responsable de los asuntos de seguridad, podrá autorizar la divulgación de dicha información.

CAPÍTULO 6

FIN DE VIDA ÚTIL DE LA INFORMACIÓN CONFIDENTIEL UE/EU CONFIDENTIAL Y SECRET UE/EU SECRET

Artículo 37

Rebaja de la clasificación y desclasificación

1. La información solo permanecerá clasificada mientras requiera protección. Por rebaja de la clasificación se entiende una reducción del grado de clasificación de seguridad. La desclasificación significará que la información dejará de considerarse clasificada desde todo punto de vista. Al producir la información, el originador indicará, siempre que sea posible, si puede rebajarse la clasificación de la ICUE o desclasificarse en una fecha determinada o tras un acontecimiento concreto. De no ser posible, el originador revisará la información y hará una evaluación de los riesgos, cada cinco años como mínimo, para determinar si el grado de clasificación original sigue siendo apropiado.

2. Los documentos de la Comisión también podrán ser objeto de una rebaja de clasificación o desclasificarse con carácter ad hoc, por ejemplo a raíz de una solicitud de acceso público.

Artículo 38

Responsabilidad de la rebaja de clasificación y la desclasificación

1. No se rebajará la clasificación de la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET ni se desclasificará sin el permiso de su originador.

2. El servicio de la Comisión que cree un documento clasificado será responsable de decidir si puede desclasificarse o si puede rebajarse su clasificación. Dentro de la Comisión, todas las solicitudes de rebaja de clasificación o de desclasificación serán sometidas a la consulta del jefe de unidad o el director del servicio originario. Si el servicio ha compilado información clasificada procedente de diversas fuentes, deberá recabar, en primer lugar, el consentimiento de las otras partes que hayan facilitado material original, incluidos los Estados miembros, otros organismos de la UE, terceros países u organizaciones internacionales.

3. Cuando el servicio originario de la Comisión haya dejado de existir y sus responsabilidades hayan sido asumidas por otro servicio, será este último el que adopte la decisión sobre la rebaja de la clasificación o la desclasificación. Cuando el servicio originario haya dejado de existir y sus responsabilidades no hayan sido asumidas por otro servicio, la decisión sobre la rebaja de clasificación o la desclasificación será adoptada conjuntamente por los jefes de unidad o los directores de las Direcciones Generales destinatarias.

4. El servicio responsable de la rebaja de clasificación o la desclasificación colaborará con su registro correspondiente para adoptar las disposiciones prácticas necesarias con tal fin.

Artículo 39

Información sensible no clasificada

Cuando la revisión de un documento desemboque en una decisión de desclasificación, deberá considerarse si el documento debe llevar una marca de distribución de información sensible no clasificada conforme al artículo 9 de la Decisión (UE, Euratom) 2015/443.

Artículo 40

Indicación de que se ha rebajado la clasificación de un documento o que se ha desclasificado

1. La marca de clasificación original en la parte superior e inferior de cada página deberá tacharse de forma visible (no suprimirse) mediante la función “tachado”, en el caso de los formatos electrónicos, o de forma manual, en los documentos impresos.

2. La primera página (cubierta) deberá llevar un sello que indique que el documento ha sido objeto de una rebaja de clasificación o desclasificado y completarse con los datos de la autoridad responsable de la rebaja de clasificación o la desclasificación y la fecha correspondiente.

3. Se informará de la rebaja de clasificación o la desclasificación a los destinatarios originales de la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET. Los destinatarios iniciales serán responsables de informar a los destinatarios subsiguientes a quienes hayan enviado la información original CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET o puesto en copia de su envío.

4. Se informará al servicio de los Archivos Históricos de la Comisión de cuantas decisiones de desclasificación se adopten.

5. Todas las traducciones de información clasificada estarán sujetas a los mismos procedimientos de rebaja de clasificación o desclasificación que la versión lingüística original.

Artículo 41

Rebaja de clasificación parcial o desclasificación parcial de información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET

1. Será también posible una rebaja de clasificación parcial o una desclasificación parcial (que afecte, por ejemplo, a los anexos o a determinados apartados del documento). El procedimiento será idéntico al de rebaja de clasificación o desclasificación de un documento íntegro.

2. Tras la desclasificación parcial (“saneamiento”) de la información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, se producirá un extracto desclasificado.

3. Las partes que permanezcan clasificadas se sustituirán por la inscripción:

PARTE QUE NO DEBE DESCLASIFICARSE

bien en el cuerpo del propio texto, si la parte que permanece clasificada forma parte de un apartado, bien como apartado, si la parte que permanece clasificada ocupa un apartado específico o más de un apartado.

4. Cuando un anexo completo no pueda desclasificarse y, por lo tanto, no figure en el extracto, se hará una mención específica de esa circunstancia en el texto.

Artículo 42

Destrucción y eliminación rutinarias de información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET

1. La Comisión no acumulará grandes volúmenes de información clasificada.

2. Al menos cada cinco años, los servicios originarios revisarán los documentos para su destrucción o eliminación. Se llevará a cabo una revisión a intervalos regulares tanto de la información almacenada en papel como de la almacenada en SIC.

3. El personal no destruirá ningún documento CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET en soporte de papel que haya dejado de necesitar, sino que solicitará al controlador de su registro que destruya esos documentos, sin perjuicio de los requisitos de archivo que se apliquen al documento original.

4. El personal no estará obligado a informar al originador de la eliminación de copias de documentos CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.

5. Los borradores que contengan información clasificada serán sometidos a los mismos métodos de eliminación que los documentos clasificados finalizados.

6. Para la destrucción de los documentos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET solo se utilizarán trituradoras aprobadas. Las trituradoras con el grado de seguridad 5 de la norma DIN 66399 se consideran adecuadas para la destrucción de documentos CONFIDENTIEL UE/EU CONFIDENTIAL. Las trituradoras con el grado de seguridad 6 de la norma DIN 66399 se consideran adecuadas para la destrucción de documentos SECRET UE/EU SECRET.

7. Los residuos de las trituradoras aprobadas podrán eliminarse como residuos de oficina normales.

8. El controlador del registro elaborará certificados de destrucción y actualizará consiguientemente los libros de registro electrónicos y demás información sobre el registro.

9. Todos los soportes y dispositivos que contengan información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET serán adecuadamente saneados cuando lleguen al final de su vida útil. Los datos electrónicos se destruirán o borrarán de los recursos informáticos y los soportes de almacenamiento asociados de una forma que ofrezca garantías suficientes de que la información no puede recuperarse. El saneamiento suprimirá los datos, así como todas las etiquetas, marcas y registros de actividad, del dispositivo de almacenamiento.

10. Los soportes de almacenamiento informático se entregarán al LSO o al responsable local de seguridad informática y/o al controlador del registro para su destrucción y eliminación.

Artículo 43

Evacuación y destrucción de la información CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET en caso de emergencia

1. El jefe de servicio desarrollará, aprobará y, en caso necesario, activará los planes de evacuación y destrucción de emergencia para proteger la ICUE que presente un riesgo significativo de caer en manos no autorizadas durante una crisis. Por orden de prioridad y en función de la naturaleza de la emergencia, se barajarán las opciones siguientes:

(1)

trasladar la ICUE a otro lugar seguro, a ser posible una zona de acceso restringido dentro del mismo edificio;

(2)

evacuar la ICUE a otro lugar seguro, a ser posible una zona de acceso restringido en otro edificio, preferentemente un edificio de la Comisión;

(3)

destruir la ICUE, utilizando, en la medida de lo posible, los medios de destrucción aprobados.

2. Cuando se hayan activado planes de emergencia, se dará prioridad al traslado o la destrucción de la información SECRET UE/EU SECRET en primer lugar y, a continuación, de la información CONFIDENTIEL UE/EU CONFIDENTIAL.

3. A su vez, los detalles operativos de los planes de evacuación y destrucción de emergencia se clasificarán como RESTREINT UE/EU RESTRICTED. En cada caja fuerte en la que se guarde información CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET se conservará al menos una copia de forma que esté accesible en caso de emergencia.

Artículo 44

Archivo

1. Las decisiones sobre la necesidad de archivar, en qué momento, y las medidas prácticas correspondientes se adoptarán de conformidad con la política de la Comisión en materia de gestión de documentos.

2. Los documentos CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET no se enviarán a los Archivos Históricos de la Unión Europea en Florencia.

CAPÍTULO 7

DISPOSICIONES FINALES

Artículo 45

Transparencia

La presente Decisión será puesta en conocimiento del personal de la Comisión y de todas aquellas personas a las que se aplique, y se publicará en el Diario Oficial de la Unión Europea.

Artículo 46

Entrada en vigor

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

(1) DO L 72 de 17.3.2015, p. 41.

(2) DO L 72 de 17.3.2015, p. 53.

(3) DO L 6 de 11.1.2017, p. 40.

(4) Decisión 2013/488/UE del Consejo, de 23 de septiembre de 2013, relativa a las normas de seguridad para la protección de la información clasificada de la UE (DO L 274 de 15.10.2013, p. 1).

(5) Decisión de la Comisión, de 4 de mayo de 2016, sobre la capacitación en materia de seguridad [C (2016) 2797 final].

(6) Conforme al artículo 3 de la Decisión (UE, Euratom) 2015/444, por información CONFIDENTIEL UE/EU CONFIDENTIAL se entenderá “la información y el material cuya revelación no autorizada pueda causar perjuicio a los intereses esenciales de la Unión Europea o de uno o varios Estados miembros”.

(7) Conforme al artículo 3 de la Decisión (UE, Euratom) 2015/444, por información SECRET UE/EU SECRET se entenderá “la información y el material cuya revelación no autorizada pueda causar un perjuicio grave a los intereses esenciales de la Unión Europea o de uno o varios Estados miembros”.

(8) Según se define en el artículo 18 de la Decisión (UE, Euratom) 2015/444.

(9) Según se define en el artículo 18 de la Decisión (UE, Euratom) 2015/444.

(10) El cuadro de correspondencias de las marcas de los Estados miembros figura en el anexo I de la Decisión (UE, Euratom) 2015/444.

Anexos

Omitidos.