Introducción

La Comisión Europea se compromete a proteger tus datos personales y respetar tu intimidad. La Comisión Europea recoge y trata los datos personales con arreglo al Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos [por el que se deroga el Reglamento (CE) n.º 45/2001].

En esta declaración de confidencialidad se explican las razones del tratamiento de los datos personales, la forma en que recabamos y manejamos todos los datos personales facilitados y garantizamos su protección, el uso que se hace de dicha información y los derechos que tienes en relación con tus datos personales. También se especifican los datos de contacto del responsable del tratamiento de datos ante el que puedes ejercer tus derechos, del responsable de la protección de datos y del Supervisor Europeo de Protección de Datos.

La presente declaración de confidencialidad se refiere al tratamiento de datos personales por parte de la Comisión Europea en la tramitación de las solicitudes iniciales y confirmatorias de acceso a documentos presentadas con arreglo al Reglamento (CE) n.º 1049/2001, a cargo de la Unidad de Transparencia, Gestión de Documentos y Acceso a Documentos de la Secretaría General, (responsable horizontal del tratamiento en nombre de la Comisión Europea) y de las unidades competentes para gestionar las solicitudes iniciales de acceso a documentos en el departamento o servicio competente de la Comisión (responsable de facto del tratamiento en nombre de la Comisión Europea).

¿Por qué y cómo tratamos los datos personales?

Finalidad de las operaciones de tratamiento: la Comisión Europea recoge y utiliza los datos personales para tramitar las solicitudes de acceso a documentos presentadas con arreglo al Reglamento (CE) n.º 1049/2001 dentro de los plazos legalmente prescritos y para elaborar el informe estadístico anual que se contempla en el artículo 17, apartado 1, de dicho Reglamento. El tratamiento de los datos personales se puede efectuar con fines de seguimiento de una investigación del Defensor del Pueblo Europeo o en el marco de un procedimiento judicial.

Los datos personales no se utilizarán para procesos automatizados de toma de decisiones, incluida la elaboración de perfiles.

¿Cuáles son los fundamentos jurídicos del tratamiento de los datos personales?

La Comisión Europea realiza el tratamiento de los datos personales en la medida en que es necesario:

  • para el desempeño de una función realizada en interés público [artículo 5, apartado 1, letra a), del Reglamento (UE) 2018/1725] y
  • para el cumplimiento de la obligación jurídica a la que está sujeta la Comisión Europea [artículo 5, apartado 1, letra b), del Reglamento (UE) 2018/ 1725].

Por otra parte, el tratamiento de los datos personales no obligatorios que se facilitan en la solicitud de acceso a documentos (ver el apartado 4) está basado en el consentimiento de los interesados [artículo 5, apartado 1, letra d), del Reglamento (UE) 2018/1725].

El tratamiento con arreglo al artículo 5, apartado 1, letras a) y b), del Reglamento (UE) 2018/1725 debe basarse en el Derecho de la Unión, concretamente el artículo 15, apartado 3, del Tratado de Funcionamiento de la Unión Europea y el Reglamento (CE) n.º 1049/2001.

¿Qué datos personales recogemos y tratamos?

A continuación se indican los datos personales que recogemos para su tratamiento posterior.

a) Datos personales facilitados por el solicitante a través del formulario en línea:

  • datos obligatorios: nombre y apellidos, datos de contacto (correo electrónico y dirección postal, país de residencia), objeto de la solicitud (puede contener datos personales, en caso de que se refiera a una persona física identificada o identificable)
  • datos no obligatorios: otros datos de contacto (número de teléfono y fax), categoría y organización.

b) Datos personales facilitados por el interesado en una solicitud presentada en otro formato electrónico o en papel.

c) Datos personales contenidos en los documentos solicitados, si se han divulgado en virtud del Reglamento (CE) n.º 1049/2001, así como en la respuesta a la solicitud y en la correspondencia con el interesado.

¿Cuánto tiempo se conservan los datos personales?

La Comisión Europea solo conserva los datos personales durante el tiempo necesario para cumplir la finalidad de su recogida o de su tratamiento posterior (esto es, no más de cinco años tras el cierre de los expedientes).

En la fase inicial, los expedientes se consideran cerrados cuando la decisión inicial de la Comisión Europea adquiere carácter definitivo (es decir, si no ha habido solicitud confirmatoria), a menos que una investigación del Defensor del Pueblo Europeo requiera su seguimiento.

En tales casos, los expedientes se considerarán cerrados cuando el Defensor del Pueblo Europeo haya dado por terminada su investigación en relación con la reclamación sin imponer medidas adicionales por parte de la Comisión Europea en lo que se refiere a la solicitud de acceso a documentos.

En la fase de confirmación, los expedientes se consideran cerrados cuando la decisión confirmatoria de la Comisión Europea adquiere carácter definitivo, esto es, cuando:

- se ha superado el plazo para interponer recurso ante el Tribunal de Justicia de la UE, o bien

- el Tribunal ha ratificado la decisión confirmatoria, o bien

- la Comisión Europea ha finalizado el seguimiento requerido por el Tribunal en su sentencia.

Los expedientes no se consideran cerrados a pesar de que la decisión confirmatoria sea definitiva en caso de que una investigación del Defensor del Pueblo Europeo requiera su seguimiento. En tales casos, los expedientes se considerarán cerrados cuando el Defensor del Pueblo Europeo haya dado por terminada su investigación en relación con la reclamación sin imponer medidas adicionales por parte de la Comisión Europea en lo que se refiere a la solicitud de acceso a documentos.

El "periodo de conservación administrativa" de cinco años se basa en la política de conservación de los documentos y expedientes de la Comisión Europea (así como de los datos personales que contienen), según lo establecido en la lista común de conservación de expedientes de la Comisión Europea SEC(2012) 713. Se trata de un documento reglamentario que marca el calendario de conservación de los distintos tipos de expedientes de la Comisión. La lista se ha notificado al Supervisor Europeo de Protección de Datos.

El "periodo de conservación administrativa" es el plazo de tiempo durante el que los servicios de la Comisión Europea están obligados a mantener un expediente, en función de su utilidad a efectos administrativos y de las obligaciones estatutarias y jurídicas pertinentes. Dicho plazo empieza a contar a partir del cierre del expediente.

De conformidad con la lista común de conservación de expedientes de la Comisión Europea, tras el "periodo de conservación administrativa" los expedientes relativos a solicitudes de acceso a documentos (y los datos personales que contienen) pueden transferirse a los Archivos Históricos de la Comisión Europea con fines documentales. Para más información sobre las operaciones de tratamiento relativas a los Archivos Históricos, véanse las notificaciones: DPO-1530-5 ARES-NOMCOM. ARES (Advanced Records System) et NOMCOM (Nomenclature Commune), DPO-3871-3 Notification for the digital archival repository and ARCHISscanning y DPO-2806-5 Gestion des dossiers papier structurés par nom de personnes et transférés aux Archives Historiques.

¿Cómo protegemos los datos personales?

Todos los datos en formato electrónico (correos electrónicos, documentos, lotes de datos cargados, etc.) se almacenan, bien en los servidores de la Comisión o bien en los de sus contratistas, cuyas operaciones cumplen la Decisión (UE, Euratom) 2017/46 de la Comisión, de 10 de enero de 2017, sobre la seguridad de los sistemas de información y comunicación de la Comisión Europea.

Los contratistas de la Comisión Europea están vinculados por una cláusula contractual específica aplicable a toda operación de tratamiento de datos personales realizada en nombre de la Comisión, y por las obligaciones de confidencialidad derivadas de la aplicación del Reglamento general de protección de datos en los Estados miembros de la UE.

Para proteger los datos personales, la Comisión Europea aplica una serie de medidas técnicas y organizativas. Las medidas técnicas incluyen acciones adecuadas para garantizar la seguridad en línea y evitar el riesgo de pérdida, alteración o acceso no autorizado a los datos, habida cuenta del riesgo que plantee el tratamiento y la naturaleza de los datos personales tratados. Entre las medidas organizativas figura restringir el acceso a los datos personales exclusivamente a personas autorizadas que tengan legítima necesidad de conocer a efectos de la operación de tratamiento.

Acceso a los datos personales y divulgación de los mismos

El acceso a los datos personales se otorga al personal autorizado de la Comisión Europea responsable de llevar a cabo la operación de tratamiento, de conformidad con el principio de la "necesidad de conocer". Dicho personal está obligado a respetar requisitos legales de confidencialidad y, en caso necesario, otros acuerdos de confidencialidad adicionales.

Los datos personales que figuran en los documentos solicitados pueden hacerse públicos previa evaluación al amparo del Reglamento (CE) n.º 1049/2001, interpretado en relación con el artículo 9 del Reglamento (UE) 2018/1725.

La información recogida sobre los solicitantes de acceso a documentos no se transmite a terceros, salvo en la medida y para los fines que marque la ley.

¿Cuáles son los derechos del interesado y cómo puede ejercerlos?

Los derechos específicos del interesado se establecen en el capítulo III (artículos 14 a 25) del Reglamento (UE) 2018/1725. En lo que respecta a esta operación de tratamiento, el interesado puede ejercer los siguientes derechos:

  • derecho de acceso a los datos personales que le conciernen (artículo 17 del Reglamento)
  • derecho de rectificación de los datos personales inexactos o incompletos (artículo 18 del Reglamento)
  • en su caso, derecho a la limitación del tratamiento de los datos personales (artículo 20 del Reglamento) y derecho a la portabilidad de los datos (artículo 22 del Reglamento) y
  • en la medida en que aún no se haya notificado la respuesta a la solicitud de acceso a documentos, el derecho a obtener la supresión de los datos personales que le conciernan (artículo 19 del Reglamento) y el derecho a oponerse al tratamiento de dichos datos por motivos relacionados con su situación particular (artículo 23 del Reglamento). Por efecto del ejercicio de estos dos derechos, la correspondiente solicitud de acceso a documentos quedaría obsoleta.

Cuando el tratamiento de los datos esté basado en el consentimiento del interesado (como en el caso de los datos personales no obligatorios a que se refieren los apartados 3 y 4), este podrá retirar dicho consentimiento en todo momento mediante notificación al responsable del tratamiento. Esto no afectará a la licitud del tratamiento efectuado con anterioridad a la retirada del consentimiento.

El interesado puede ejercer sus derechos poniéndose en contacto con el responsable del tratamiento de datos o, en caso de conflicto, con el responsable de protección de datos. Si es necesario, también puede dirigirse al Supervisor Europeo de Protección de Datos. Todos los datos de necesarios figuran más abajo en el apartado "Información de contacto".

Para ejercer estos derechos en relación con una o varias operaciones específicas de tratamiento, rogamos se incluya en la solicitud los datos correspondientes (a saber, el número de referencia del registro especificado más abajo en el apartado "Información de contacto").

Toda solicitud de acceso a datos personales se tramitará en el plazo de un mes. Cualquier otra solicitud mencionada más arriba se atenderá en un plazo de 15 días hábiles a partir de la recepción de la solicitud por el responsable del tratamiento.

Información de contacto

  • Responsable (horizontal) del tratamiento:

Si deseas ejercer tus derechos con arreglo al Reglamento (UE) 2018/1725; si quieres plantear tus observaciones, preguntas o dudas; o si deseas presentar una reclamación relativa a la recogida y el uso de tus datos personales, no dudes en ponerte en contacto con el responsable del tratamiento de datos:

  • Secretaría general
  • Unidad C.1 – Transparencia, Gestión de Documentos y Acceso a Documentos
  • Correo electrónico: Sg-acc-doc@ec.europa.eu
  • Responsable de protección de datos de la Comisión Europea:

Para cuestiones relacionadas con el tratamiento de tus datos personales con arreglo al Reglamento (UE) n.º 2018/1725, puedes dirigirte al responsable de protección de datos (DATA-PROTECTION-OFFICER@ec.europa.eu).

  • Supervisor Europeo de Protección de Datos:

Si consideras que, como consecuencia del tratamiento de tus datos personales por el responsable del tratamiento, se han infringido tus derechos en virtud del Reglamento (UE) 2018/1725, tienes derecho a presentar recurso (esto es, reclamación) al Supervisor Europeo de Protección de Datos (edps@edps.europa.eu).

¿Dónde encontrar información más detallada?

El responsable de protección de datos de la Comisión Europea publica el registro de todas las operaciones de tratamiento de datos personales efectuadas por la institución, debidamente documentadas y notificadas. Se puede acceder al registro a través del siguiente enlace: http://ec.europa.eu/dpo-register.

La presente operación específica de tratamiento consta en el registro público del responsable de protección de datos con la siguiente referencia: DPR-EC-00793.