El Defensor del Pueblo Europeo

Teniendo en cuenta

(1)  El Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE, DO L 295 de 45.2018, p. 39-98.

(2) el documento del Supervisor Europeo de Protección de Datos (EDPS) sobre las funciones de los responsables de protección de datos de las instituciones y organismos de la UE,

Decide:

Artículo 1 Nombramiento del RPD

1. El Defensor del Pueblo Europeo designará un responsable de la protección de datos (en lo sucesivo denominado «el RPD») entre los miembros de su personal del Defensor del Pueblo Europeo, sobre la base de sus cualidades personales y profesionales, en particular conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y la capacidad para desempeñar las tareas. Se nombrará un RPD adjunto, tras consulta con el RPD^[1]. El RPD podrá contar con personal asistente.

2. El mandato del RPD tendrá una duración de cinco años y podrá ser renovado.

3. Los datos de contacto del RPD se comunicarán al SEPD y se publicarán en el sitio web del Defensor del Pueblo Europeo.

4. El RPD que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones solo podrá ser destituido por el Defensor del Pueblo Europeo con el consentimiento del SEPD. El Defensor del Pueblo Europeo establecerá que el RPD ya no cumple estas condiciones a propuesta del secretario general. A los efectos de obtener la autorización del SEPD con arreglo al artículo 44, apartado 8, del Reglamento, se consultará por escrito al SEPD. Se enviará una copia de dicho consentimiento al RPD.

Artículo 2 Estatuto del RPD

1. El RPD rinde cuentas al secretario general del Defensor del Pueblo Europeo.

2. Sin perjuicio de lo dispuesto en el apartado 1, el RPD actuará de forma independiente. El RPD no podrá recibir instrucciones sobre el ejercicio de sus funciones ni ser destituido o sancionado por dicha petición.

3. El Defensor del Pueblo Europeo garantizará que:

(a) el RPD está implicado, de manera adecuada y oportuna, en todas las cuestiones relacionadas con la protección de datos;

(b) el RPD dispondrá del tiempo y los recursos necesarios para llevar a cabo sus tareas y para mantener sus conocimientos especializados; y

(c) no hay conflicto de intereses entre las tareas y obligaciones del RPD en cuanto tales y otras tareas y funciones oficiales que pueda desempeñar.

4. El RPD y el personal auxiliar adjunto estarán sujetos a secreto o confidencialidad en relación con el desempeño de sus funciones, de conformidad con el Derecho de la Unión.

Artículo 3 Tareas, deberes y competencias del RPD

1. El RPD informará y asesorará al Defensor del Pueblo Europeo sobre las obligaciones de la institución con arreglo al Reglamento y a otras disposiciones de la Unión en materia de protección de datos.

2. El RPD garantizará de forma independiente la aplicación interna del presente Reglamento y supervisará el cumplimiento del presente Reglamento, de otras normas aplicables de la Unión que contengan disposiciones de protección de datos y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

3. y velará por que los interesados sean informados de sus derechos y obligaciones con arreglo al presente Reglamento;

4. El RPD prestará asesoramiento cuando así se solicite sobre la necesidad de

(a) una notificación al SEPD o comunicación al interesado de una violación de datos personales;

(b) una evaluación de impacto relativa a la protección de datos, supervisará su rendimiento y consultará al SEPD en caso de duda sobre la necesidad de una evaluación de impacto relativa a la protección de datos;

(c) realizará una consulta previa al SEPD, y consultará al SEPD en caso de duda sobre la necesidad de una consulta previa.

5. El RPD responderá a las peticiones del SEPD y, en el marco de sus competencias, cooperará y consultará con el SEPD a petición de éste o por iniciativa propia.

6. El RPD garantizará que los derechos y libertades de los interesados no se vean perjudicados por operaciones de tratamiento de las que el Defensor del Pueblo Europeo sea el responsable del tratamiento.

7. El RPD llevará un registro central de los registros de las operaciones de tratamiento y de las violaciones de datos personales bajo la responsabilidad del Defensor del Pueblo Europeo. El RPD velará por que el registro de las operaciones de tratamiento sea públicamente accesible, también electrónicamente. Previa solicitud, se pondrán a disposición del SEPD registros de las actividades de tratamiento del Defensor del Pueblo Europeo.

8. El Defensor del Pueblo Europeo, el Comité de Personal y cualquier particular podrá consultar al RPD, sin pasar por los canales oficiales, sobre cualquier asunto relativo a la interpretación o aplicación del Reglamento, en la medida en que se refiera a actividades de tratamiento de datos cuyo responsable sea el Defensor del Pueblo Europeo. En la medida de lo posible, el RPD facilitará información que resulte comprensible sin conocimientos especializados.

9. El RPD puede hacer recomendaciones al Defensor del Pueblo Europeo para la mejora práctica de la protección de datos y ofrecer asesoramiento sobre cuestiones relativas a la aplicación de las disposiciones de protección de datos a actividades de tratamiento de datos cuyo responsable es el Defensor del Pueblo.

10. El responsable de protección de datos podrá, a iniciativa propia o a petición del Defensor del Pueblo Europeo, del secretario general, del comité de personal o de cualquier persona física, investigar los asuntos y los sucesos relacionados directamente con su labor y que lleguen a su conocimiento, e informar de ello a la persona que encargó la investigación o al Defensor del Pueblo Europeo. Dichas investigaciones respetarán el principio de equidad y el derecho de las personas implicadas a expresar sus puntos de vista sobre los hechos que les afecten.

11. Los interesados pueden ponerse en contacto con el RPD con respecto a todas las cuestiones relacionadas con el tratamiento de sus datos personales y ejercer sus derechos.

12. Nadie deberá sufrir perjuicio alguno por informar al responsable competente de la protección de datos de que se ha cometido una presunta infracción de lo dispuesto en el presente Reglamento.

13. En el ejercicio de sus funciones, el responsable de la protección de datos tendrá acceso en todo momento a los datos objeto de las operaciones de tratamiento y a todos los locales, instalaciones de tratamiento de datos y soportes de datos.

14. En el desempeño de sus funciones en relación con el tratamiento realizado por otra institución u órgano de la Unión en nombre del Defensor del Pueblo Europeo, el RPD podrá cooperar con el delegado de protección de datos de la institución u órgano de que se trate.

Artículo 4 Entrada en vigor

Esta Decisión entrará en vigor el día de su adopción.

Hecho en Estrasburgo, el 09/10/2019

Emily O’Reilly

Cuando se designe un delegado de protección de datos con arreglo a este procedimiento, se entenderá por «RPD» tanto el RPD como el RPD adjunto.