Diario del Derecho. Edición de 18/04/2024
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 25/02/2020
 
 

Reglamento Interno de Eurojust relativo al tratamiento y a la protección de datos personales

25/02/2020
Compartir: 

Reglamento Interno de Eurojust relativo al tratamiento y a la protección de datos personales (DOUE de 24 de febrero de 2020) Texto completo.

REGLAMENTO INTERNO DE EUROJUST RELATIVO AL TRATAMIENTO Y A LA PROTECCIÓN DE DATOS PERSONALES

EL COLEGIO DE EUROJUST,

Visto el Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, sobre la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust) y por el que se sustituye y deroga la Decisión 2002/187/JAI del Consejo, denominado en lo sucesivo “Reglamento Eurojust”,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE, denominado en lo sucesivo “Reglamento 2018/1725”,

Visto el Reglamento interno de Eurojust aprobado por Decision de Ejecución (UE) 2019/2250 del Consejo de 19 de diciembre de 2019, y adoptado por el Colegio de Eurojust el 20 de diciembre de 2019 y, en particular, su artículo 17,

Vistos los dictámenes de la Autoridad Común de Control, de 28 de octubre de 2019 y 11 de diciembre de 2019,

Visto el dictamen del Supervisor Europeo de Protección de Datos publicado el 13 de diciembre de 2019,

Considerando la aprobación por el Consejo de este Reglamento Interno de Eurojust por Decision de Ejecución (UE) 2019/2250 de 19 de diciembre de 2019,

HA ADOPTADO EL SIGUIENTE REGLAMENTO INTERNO DE EUROJUST RELATIVO AL TRATAMIENTO Y A LA PROTECCIÓN DE DATOS PERSONALES EL 20 DE DICIEMBRE DE 2019

TÍTULO I

ÁMBITO DE APLICACION, ESTRUCTURA Y DEFINICIONES

Artículo 1

Ámbito de aplicación y definiciones

1. Las Normas del Reglamento interno de Eurojust relativas al tratamiento y a la protección de datos personales (en lo sucesivo, “las normas del Reglamento interno”) dan aplicación a las disposiciones en materia de protección de datos del Reglamento Eurojust y del Reglamento 2018/1725.

2. Dichas normas se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

3. Las normas del Reglamento interno se aplicarán a todos los datos personales tratados por Eurojust, incluidos los datos personales contenidos en la información que Eurojust elabore o reciba, o los datos que estén en su posesión, en relación con cuestiones relativas a las políticas, actividades y decisiones que estén en su ámbito de competencia.

Artículo 2

Estructura

1. Estas las normas del Reglamento interno se aplican tanto a los datos personales operativos como a los datos personales de carácter administrativo tratados por Eurojust.

2. Los datos operativos se tratarán de conformidad con el título II.

3. Los datos administrativos se tratarán de conformidad con el título III.

TÍTULO II

NORMAS APLICABLES A LAS OPERACIONES DE TRATAMIENTO DE DATOS PERSONALES OPERATIVOS

CAPÍTULO I

Principios generales del tratamiento de datos personales operativos

Artículo 3

Responsabilidad del tratamiento de datos personales operativos en Eurojust

Con respecto al tratamiento de datos personales operativos, Eurojust, como responsable del tratamiento de datos, actuará a través de los miembros nacionales que, de conformidad con el artículo 24, apartado 1, del Reglamento Eurojust, serán responsables de la gestión de los expedientes que hayan abierto en el ejercicio de sus funciones, tal como se definen en el Reglamento Eurojust, o que hayan iniciado cuando Eurojust actúe colegiadamente con arreglo a lo dispuesto en el artículo 5, apartado 2, letra a), del Reglamento Eurojust.

Artículo 4

Condiciones específicas de tratamiento

Los miembros nacionales que reciban datos personales operativos de las autoridades nacionales competentes deberán respetar las condiciones específicas de tratamiento previstas por dichas autoridades, de conformidad con el artículo 9, apartados 3 y 4, de la Directiva (UE) 2016/680, e informar a dichas autoridades nacionales acerca de cualquier condición específica que les imponga la legislación de la UE con respecto a cualquier dato personal operativo transmitido por los miembros nacionales a las autoridades nacionales, cuando proceda.

Artículo 5

Calidad de los datos

Si Eurojust detecta alguna inexactitud que afecte a los datos recibidos de un Estado miembro en el contexto de una investigación o enjuiciamiento, o de una institución, órgano u organismo de la Unión, el miembro nacional dará instrucciones, tras consultar a las autoridades nacionales, para que se corrija la información sin demora e informará al Estado miembro o a la institución, órgano u organismo respectivo de la Unión que haya transmitido la información.

Artículo 6

Seguridad de los datos

Todo el personal de Eurojust estará debidamente informado acerca de la política de seguridad de la organización y deberá hacer uso de las medidas técnicas y organizativas puestas a su disposición, en particular tras haber recibido la formación necesaria, con arreglo a los requisitos aplicables en materia de protección y seguridad de los datos.

CAPÍTULO II

Derechos de los interesados

Artículo 7

Procedimiento para el ejercicio de los derechos de los interesados con respecto al tratamiento de datos personales operativos

1. Las solicitudes de ejercicio de los derechos del titular de los datos se tramitarán por los miembros nacionales a los que se refieran dichas solicitudes, que facilitarán una copia de la solicitud al responsable de la protección de datos para su registro.

2. Los miembros nacionales interesados consultarán a las autoridades competentes de los Estados miembros sobre la decisión que proceda adoptar en respuesta a una solicitud.

3. Si así lo exigiere el caso, el responsable de la protección de datos efectuará controles adicionales en el sistema de gestión de casos e informará a los miembros nacionales interesados si dichos controles han permitido encontrar alguna información adicional pertinente. Los miembros nacionales interesados tendrán en cuenta la información facilitada por el responsable de la protección de datos y, cuando proceda, reconsiderarán la decisión inicial.

4. Los fundamentos de Derecho y de hecho en que se base la decisión de los miembros nacionales se documentarán en el expediente temporal de trabajo asociado a la solicitud en el sistema de gestión de casos y se comunicarán al Supervisor Europeo de Protección de Datos (SEPD), previa solicitud.

5. El responsable de la protección de datos comunicará la decisión adoptada por los miembros nacionales interesados en nombre de Eurojust e informará al titular de los datos de la posibilidad de presentar una reclamación ante el SEPD si no está satisfecho con dicha decisión, o de interponer recurso judicial ante el Tribunal de Justicia.

6. Cuando la solicitud se haya recibido a través de una autoridad nacional de supervisión, Eurojust informará a esta autoridad de la decisión comunicada al titular de los datos por el responsable de la protección de datos.

Artículo 8

Información a terceros tras la rectificación, restricción o supresión de datos personales operativos

Eurojust tomará las medidas técnicas adecuadas para garantizar que cuando, respondiendo a una solicitud, proceda a la rectificación; restricción o supresión de datos personales, se genere automáticamente una lista de los proveedores y destinatarios de dichos datos.

CAPÍTULO III

Sistema de gestión de casos

Artículo 9

Expedientes temporales de trabajo e índice del sistema de gestión de casos

1. El sistema de gestión de casos asignará automáticamente un número de referencia (identificador) único a cada nuevo expediente temporal de trabajo que se abra.

2. Cuando un miembro nacional responsable de la gestión de un expediente temporal de trabajo, tal como se define en el artículo 24, apartado 1, del Reglamento Eurojust, dé acceso a un expediente temporal de trabajo, o a parte del mismo, a uno o varios miembros nacionales interesados, el sistema de gestión de casos deberá permitir que los usuarios autorizados que operen con el perfil de la oficina nacional bajo la responsabilidad del miembro nacional puedan acceder a las partes pertinentes del expediente pero no modificar los datos introducidos por el autor original. No obstante, los usuarios autorizados podrán añadir cualquier información pertinente a las nuevas secciones de los expedientes temporales de trabajo. Asimismo, todos los usuarios autorizados del sistema deberán poder leer la información que figure en el índice, si bien esta solo podrá ser modificada por su autor original.

3. El sistema de gestión de casos informará automáticamente al responsable de la protección de datos de la creación de cada nuevo expediente temporal de trabajo que incluya datos personales.

4. El sistema de gestión de casos deberá permitir que solo los datos personales operativos contemplados en el apartado 1, letras a) a i), k) y m) y en el punto 2 del anexo II del Reglamento Eurojust puedan ser introducidos en el índice por el miembro nacional interesado que haya abierto un expediente de trabajo temporal, con arreglo a lo dispuesto en los artículos 23, apartado 4, y 24, apartado 3, del Reglamento Eurojust.

5. Cuando, de conformidad con el artículo 23, apartado 6, del Reglamento Eurojust, los miembros nacionales deseen almacenar temporalmente datos personales y analizarlos para determinar si son pertinentes para las funciones de Eurojust, crearán un proyecto de expediente temporal de trabajo al que solo podrán acceder ellos y las personas que ellos autoricen, con el perfil de su oficina. Transcurridos tres meses, el proyecto de expediente temporal de trabajo deberá o bien convertirse en un expediente temporal de trabajo en el sistema de gestión de casos o bien ser suprimido automáticamente por el sistema. El sistema deberá alertar al miembro nacional interesado antes de que finalice dicho plazo para recordarle la necesidad de tomar una decisión en relación con el proyecto de expediente.

6. Los miembros nacionales interesados se asegurarán de que la información incluida en el índice sea suficiente para el desempeño de las funciones de Eurojust tal como se definen en el artículo 2 del Reglamento Eurojust.

Artículo 10

Categorías especiales de datos

1. Eurojust adoptará las medidas técnicas adecuadas para que se informe automáticamente al responsable de la protección de datos de los casos excepcionales en que se recurra al artículo 27, apartado 4, del Reglamento Eurojust. El sistema de gestión de casos permitirá que dichos datos no puedan incluirse en el índice contemplado en el artículo 23, apartados 1 y 4, del Reglamento Eurojust.

2. Cuando estos datos se refieran a testigos o víctimas en el sentido del artículo 27, apartado 2, del Reglamento Eurojust, el sistema de gestión de casos no registrará dicha información a menos que los miembros nacionales interesados decidan lo contrario. Quedará documentada la decisión de tratar dichos datos.

Artículo 11

Tratamiento de las categorías de datos personales operativos contempladas en el artículo 27, apartados 2 y 3 del Reglamento Eurojust

1. Eurojust adoptará las medidas técnicas adecuadas para que se informe automáticamente al responsable de la protección de datos de los casos excepcionales en que, durante un plazo limitado, se recurra al artículo 27, apartado 3, del Reglamento Eurojust. El sistema de gestión de casos señalará estos datos de tal manera que recuerde a la persona que los ha introducido en el sistema la obligación de conservarlos solo durante un tiempo limitado.

2. Cuando estos datos se refieran a testigos o víctimas en el sentido del artículo 27, apartado 2, del Reglamento Eurojust, el sistema de gestión de casos no podrá registrar dicha información a menos que los miembros nacionales interesados decidan lo contrario. Quedará documentada la decisión de tratar dichos datos.

Artículo 12

Autorización de acceso a los datos personales operativos

1. Cada miembro nacional de Eurojust transmitirá al responsable de la protección de datos la documentación e información pertinentes sobre la política de acceso que haya autorizado en su ámbito nacional en relación con los datos personales operativos, con arreglo al artículo 34 del Reglamento Eurojust.

2. Los miembros nacionales podrán, según cada caso, conceder una autorización específica de acceso a un expediente temporal de trabajo, o a partes del mismo, a una persona que no sea miembro del personal de Eurojust pero que esté trabajando en nombre de Eurojust y pertenezca a una categoría específica de agentes que el director administrativo de Eurojust haya autorizado previamente a acceder al sistema de gestión de casos con arreglo al artículo 24, apartado 2, del Reglamento Eurojust.

3. Los miembros nacionales se asegurarán de que se tomen y cumplan las disposiciones organizativas pertinentes en sus oficinas y se haga un uso adecuado de las medidas técnicas y organizativas puestas a su disposición por Eurojust, en particular tras haber recibido la formación necesaria.

4. De conformidad con el artículo 34 del Reglamento Eurojust, el Colegio podrá autorizar a otros miembros del personal de Eurojust a acceder a los datos personales operativos cuando sea necesario para el desempeño de las funciones de Eurojust.

Artículo 13

Registro de las actividades de tratamiento

1. El sistema de gestión de casos de Eurojust, que se define en el artículo 23 del Reglamento Eurojust, servirá como registro de todas las actividades de tratamiento contempladas en el artículo 35 del Reglamento Eurojust en lo que respecta a los datos personales operativos.

2. El sistema de gestión de casos de Eurojust incluirá un registro de todas las transmisiones y recepciones de datos personales operativos que permita establecer cualquier transmisión de datos personales operativos así como la determinación de la autoridad u organización nacional o de la organización de un tercer país o internacional que haya transmitido dicha información a Eurojust o que la haya recibido de dicho organismo.

CAPÍTULO IV

Transferencias de datos a terceros países u organizaciones internacionales

Artículo 14

Transferencias de datos a terceros países u organizaciones internacionales con garantías adecuadas

1. La decisión sobre la transferencia de datos personales a terceros países o a organizaciones internacionales de conformidad con el artículo 58, apartado 1, del Reglamento Eurojust, la tomará el Colegio de Eurojust a petición del miembro nacional interesado y previa evaluación del responsable de la protección de datos.

2. La evaluación prevista en el apartado 1 la facilitará el responsable de la protección de datos en un plazo de diez días hábiles. Cuando resulte necesario por motivos de urgencia y así lo indique el miembro nacional interesado, la evaluación se facilitará lo antes posible. En casos especialmente complejos, el responsable de la protección de datos podrá acordar con el miembro nacional interesado un calendario más amplio para realizar la evaluación.

3. En la evaluación, el responsable de la protección de datos abordará en concreto las cuestiones mencionadas en los considerandos 51 y 52 del Reglamento Eurojust. Cuando, durante la evaluación sobre la idoneidad de las garantías en un caso específico, el responsable de la protección de datos albergue reservas, podrá consultar al supervisor europeo de protección de datos (SEPD) antes de formular una evaluación sobre una transmisión específica.

Artículo 15

Registro en el sistema de gestión de casos de las transferencias internacionales a terceros países u organizaciones internacionales

El sistema de gestión de casos documentará toda transferencia de datos personales a terceros países u organizaciones internacionales de conformidad con el artículo 58, apartado 3, del Reglamento Eurojust y con el artículo 94, apartado 4, del Reglamento 2018/1725.

CAPITULO V

Plazos

Artículo 16

Plazos de conservación de los datos personales operativos

1. Eurojust adoptará medidas técnicas para asegurarse de que se respeten los plazos de conservación de los datos personales operativos establecidos en el artículo 29 del Reglamento Eurojust y de que, de no tomarse una decisión justificada sobre la ampliación del plazo de conservación de dichos datos a raíz de la revisión, esos datos se supriman automáticamente.

2. El sistema de gestión de casos preverá, en particular, que se reconsidere la necesidad de conservar datos en un expediente temporal de trabajo cada tres años a partir de la fecha en que se consignaron. Dicha revisión habrá de quedar debidamente documentada en el sistema, con la motivación de la decisión que se haya tomado sobre la ampliación del plazo de conservación de los datos personales operativos, y se comunicará al responsable de la protección de datos. Los resultados de la decisión, al igual que su ausencia, se aplicarán a la totalidad del caso, de conformidad con el artículo 29, apartado 2, del Reglamento Eurojust.

3. Se indicará en el sistema de gestión de casos cuáles son los datos consignados por un período limitado de tiempo con arreglo al artículo 27, apartado 3, así como los datos mencionados en el artículo 27, apartado 4, del Reglamento Eurojust. En caso de que alguno de los datos personales operativos contemplados en el citado artículo 27, apartado 4, se conserve por un período superior a los cinco años, el sistema de gestión de casos emitirá una alerta a fin de garantizar que dicha información se notifique automáticamente al SEPD.

4. En casos excepcionales, cuando un miembro nacional estime que algunos datos personales operativos siguen siendo necesarios con fines de archivo en interés público o con fines estadísticos con arreglo al artículo 29, apartado 7, letra e) del Reglamento Eurojust, el Colegio decidirá, teniendo en cuenta el dictamen del responsable de la protección de datos, sobre la necesidad de conservar los datos, en el caso particular, para los fines específicos indicados. Cuando se aplique este procedimiento, se informará al SEPD.

TÍTULO III

NORMAS APLICABLES A LAS OPERACIONES DE TRATAMIENTO DE DATOS PERSONALES ADMINISTRATIVOS

Artículo 17

Procedimiento para el ejercicio de los derechos de los interesados en relación con operaciones de tratamiento de datos personales administrativos

1. Las solicitudes de ejercicio de los derechos serán transmitidas directamente al director administrativo o al responsable de la protección de datos. En cualquier caso, se facilitará una copia de la solicitud al responsable de la protección de datos para su registro.

2. De ser necesario, el responsable de la protección de datos asistirá al titular de los datos y elaborará formularios específicos que puedan utilizar los interesados para presentar una solicitud.

3. El director administrativo, a partir de la información facilitada por la entidad administrativa que participe directamente en el tratamiento de datos personales, así como del asesoramiento del responsable de la protección de datos, tomará una decisión sobre cada caso específico.

4. El responsable de la protección de datos comunicará al titular de los datos la decisión adoptada por el director administrativo y le informará de la posibilidad de presentar una reclamación ante el SEPD si no está satisfecho con la decisión de Eurojust.

5. La solicitud se tramitará en su totalidad en el plazo de un mes a partir de la fecha de recepción. Dicho plazo podrá prorrogarse otros dos meses en caso necesario teniendo en cuenta el número de solicitudes y la complejidad de la solicitud considerada. El director administrativo informará al titular de los datos de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. El titular de los datos podrá presentar una reclamación ante el SEPD si Eurojust no ha formulado una decisión sobre su solicitud dentro de dicho plazo.

Artículo 18

Plazos para los datos personales administrativos

1. Cada operación concreta de tratamiento de datos personales administrativos que tenga lugar en Eurojust deberá tener asignado, en función de su finalidad declarada y en plena conformidad con el artículo 4, apartado 1, letra d), y con el artículo 31, apartado 1, letra f), del Reglamento (UE) 2018/1725, un plazo de conservación claro y definido, a fin de garantizar que los datos no se conservan durante más tiempo del necesario para los fines con los cuales se tratan los datos personales administrativos. Dicho plazo se establecerá para cada categoría de datos que se traten y quedará documentado en el registro de actividades de tratamiento.

2. Eurojust conservará los datos personales administrativos con arreglo al apartado 1 durante el tiempo necesario, y en ningún caso por un período superior al indicado para cada categoría de actividad de tratamiento en el cuadro anexo a las presentes normas.

3. El Consejo Ejecutivo, a propuesta del director administrativo, podrá establecer períodos de conservación más breves que los indicados en dicho anexo.

TITULO IV

DISPOSICIONES FINALES

Artículo 19

Revisión de las presentes normas del Reglamento interno

1. Las presentes normas del Reglamento interno se revisarán periódicamente y se modificarán en caso necesario. El procedimiento establecido en el Reglamento Eurojust para la aprobación de las presentes normas del Reglamento interno se aplicará asimismo a cualquier modificación del mismo.

2. El SEPD someterá a la consideración del Colegio toda sugerencia o recomendación relativas a la modificación de dichas normas del Reglamento interno

Artículo 20

Entrada en vigor y publicación

Las presentes normas del Reglamento interno se publicarán en el Diario Oficial de la Unión Europea y entrarán en vigor al día siguiente de su publicación.

ANEXO

Omitido.

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

  1. Actualidad: La AN condena al excomisario de Barajas a 5 años de cárcel por dar un trato VIP en el aeropuerto a cambio de regalos
  2. Estudios y Comentarios: Confederal y federal; por Francisco Sosa Wagner, catedrático universitario
  3. Actualidad: El Supremo obliga a Extremadura a facilitar a un paciente de una enfermedad rara un medicamento excluido del sistema de salud
  4. Estudios y Comentarios: La inteligente inteligencia artificial; por Antonio Garrigues Walker, jurista
  5. Actualidad: El TSJM anula la prisión permanente al joven que mató a Isaac y le condena a veinte años por homicidio
  6. Legislación: Servicio de Emergencias Sanitarias
  7. Actualidad: El Gobierno impulsará una ley para reforzar la protección de las víctimas de violencia de género y su derecho de acceso a la Justicia
  8. Actualidad: El Supremo confirma el suicidio de un trabajador como accidente laboral
  9. Legislación: Estructura orgánica del Departamento de Medio Ambiente y Turismo
  10. Tribunal Supremo: La prórroga de la suspensión del lanzamiento del ejecutado hipotecario que permanece en situación de precario en una vivienda, no es automática y debe ser solicitada por el interesado

Revistas Generales de Derecho:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2024

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana