LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 249,
Visto el Tratado constitutivo de la Comunidad Europea de la Energía Atómica,
Visto el Protocolo no 7 sobre los privilegios y las inmunidades de la Unión Europea anejo a los Tratados y, en particular, su artículo 18,
Considerando lo siguiente:
(1)
El objetivo de la seguridad en la Comisión es permitir que esta pueda funcionar en un entorno seguro mediante la adopción de un planteamiento coherente e integrado por lo que respecta a su seguridad, aportando niveles adecuados de protección para las personas, los bienes y la información que sean proporcionados a los riesgos identificados, y garantizando una administración eficiente y puntual de la seguridad.
(2)
La Comisión, al igual que otros organismos internacionales, ha de hacer frente a las principales amenazas y retos en el ámbito de la seguridad, en particular en relación con el terrorismo, los ataques informáticos y el espionaje político y comercial.
(3)
La Comisión Europea ha suscrito instrumentos sobre cuestiones de seguridad para sus sedes principales con los gobiernos de Bélgica, Luxemburgo e Italia (1). Estos instrumentos confirman que la Comisión es responsable de su seguridad.
(4)
A fin de garantizar la seguridad de las personas, los bienes y la información, la Comisión puede tener que tomar medidas en ámbitos protegidos por los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales y en el Convenio Europeo de Derechos Humanos, y reconocidos por el Tribunal de Justicia de la Unión Europea.
(5)
Cualquier medida de este tipo debe estar, por tanto, justificada por la importancia de los intereses que debe proteger, ser proporcionada y garantizar el pleno respeto de los derechos fundamentales, en particular el derecho a la intimidad y la protección de datos.
(6)
En el marco de un sistema comprometido con el Estado de Derecho y el respeto de los derechos fundamentales, la Comisión tiene que ofrecer un nivel de seguridad adecuado a su personal, bienes e información que garantice que pueda llevar a cabo sus operaciones sin limitar los derechos fundamentales más allá de lo estrictamente necesario.
(7)
La seguridad en la Comisión se basará en los principios de legalidad, transparencia, proporcionalidad y rendición de cuentas.
(8)
Los miembros del personal encargados de tomar medidas de seguridad no deben sufrir perjuicios derivados de sus acciones a menos que actúen fuera del ámbito de su mandato o infrinjan la ley y, por tanto, a este respecto, la presente Decisión debe considerarse como una instrucción de servicio en el sentido del Estatuto.
(9)
La Comisión deberá tomar las iniciativas adecuadas para impulsar y reforzar su cultura de seguridad, garantizando una administración de la seguridad más eficiente, mejorando la gobernanza de la seguridad, intensificando aún más las redes y la cooperación con las autoridades pertinentes a nivel internacional, europeo y nacional, y mejorando la supervisión y el control de la aplicación de las medidas de seguridad.
(10)
La creación del Servicio Europeo de Acción Exterior (SEAE) como organismo de la Unión funcionalmente autónomo ha tenido un impacto significativo en los intereses en materia de seguridad de la Comisión y, por tanto, exige que se establezcan normas y procedimientos de cooperación en lo que respecta a la seguridad y la protección entre el SEAE y la Comisión, en particular en relación con el cumplimiento de las obligaciones de asistencia y protección de la Comisión hacia su personal en las Delegaciones de la Unión.
(11)
La política de seguridad de la Comisión debe aplicarse de manera coherente con otros procesos y procedimientos internos que puedan implicar un elemento de seguridad. Se trata, en particular, de la gestión de la continuidad de las actividades, dirigida a mantener las funciones esenciales de la Comisión en caso de perturbación, y del sistema ARGUS para la coordinación multisectorial en caso de crisis.
(12)
A pesar de las medidas ya vigentes en el momento de la adopción de la presente Decisión y notificadas al Supervisor Europeo de Protección de Datos (2), cualquier medida prevista en el marco de la presente Decisión que implique el tratamiento de datos personales estará sujeta a las normas de desarrollo de conformidad con lo dispuesto en el artículo 21, que establecerá las oportunas garantías para los interesados.
(13)
Por lo tanto, es preciso que la Comisión revise, actualice y consolide las actuales bases normativas de seguridad de la Comisión.
(14)
Por consiguiente, procede derogar la Decisión C (94)2129 de la Comisión (3).
HA ADOPTADO LA PRESENTE DECISIÓN:
CAPÍTULO 1
DISPOSICIONES GENERALES
Artículo 1
Definiciones
A efectos de la presente Decisión, se aplicarán las siguientes definiciones:
1) «activos»: todos los bienes muebles e inmuebles y bienes de la Comisión;
2) «servicio de la Comisión»: Dirección General o servicio de la Comisión, o gabinete de un miembro de la Comisión;
3) «sistema de información y comunicaciones» o «SIC»: todo sistema que permita el tratamiento de información en formato electrónico, incluyendo todos los activos necesarios para su funcionamiento, así como la infraestructura, la organización, personal y recursos de información;
4) «control de riesgos»: cualquier medida de seguridad que pueda esperarse razonablemente que controle eficazmente un riesgo para la seguridad mediante su prevención, mitigación, evitación o transferencia;
5) «situación de crisis»: hecho, suceso o incidente o emergencia (o una sucesión o combinación de ellos) que presente una amenaza importante o inmediata para la seguridad en la Comisión independientemente de su origen;
6) «datos»: información en un formato que permita su transmisión, registro o tratamiento;
7) «miembro de la Comisión responsable de la seguridad»: miembro de la Comisión bajo cuya autoridad se encuentra la Dirección General de Recursos Humanos y Seguridad;
8) «datos personales»: datos personales tal como se definen en el artículo 2, letra a), del Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo (4);
9) «locales»: todo inmueble o propiedades y posesiones asimiladas de la Comisión;
10) «prevención de riesgos»: cualquier medida de seguridad que pueda esperarse razonablemente que obstaculice, retrase o detenga un riesgo para la seguridad;
11) «riesgo para la seguridad»: combinación del nivel de amenaza, el nivel de vulnerabilidad y el posible impacto de un suceso;
12) «seguridad en la Comisión»: seguridad de las personas, los bienes y la información de la Comisión y, en particular, la integridad física de las personas y los bienes, la integridad, confidencialidad y disponibilidad de la información y de los sistemas de comunicación e información, así como el libre funcionamiento de las operaciones de la Comisión;
13) «medida de seguridad»: cualquier medida adoptada de conformidad con la presente Decisión a efectos de controlar los riesgos para la seguridad;
14) «Estatuto de los funcionarios»: el Estatuto de los funcionarios de la Unión Europea, establecido por el Reglamento (CEE, Euratom, CECA) no 259/68 del Consejo (5) y sus actos modificativos;
15) «amenaza para la seguridad»: suceso o agente que pueda esperarse razonablemente que afecte negativamente a la seguridad en caso de no ser abordado y controlado;
16) «amenaza inmediata para la seguridad»: amenaza para la seguridad que se produce sin previo aviso o con previo aviso extremadamente corto;
17) «amenaza grave para la seguridad»: amenaza para la seguridad que pueda razonablemente esperarse que dé lugar a la pérdida de vidas, daños o lesiones graves, daños materiales importantes, la puesta en peligro de información muy sensible, o perturbaciones de los sistemas informáticos o de las capacidades operativas esenciales de la Comisión;
18) «vulnerabilidad»: carencia, cualquiera que sea su naturaleza, que pueda razonablemente esperarse que afecte negativamente a la seguridad en la Comisión, si es aprovechada por una o varias amenazas.
Artículo 2
Objeto
1. La presente Decisión establece los objetivos, principios básicos, organización y responsabilidades en materia de seguridad en la Comisión.
2. La presente Decisión se aplicará a todos los servicios de la Comisión y en todos los locales de la Comisión. El personal de la Comisión que trabaje en las Delegaciones de la Unión estará sujeto a las normas de seguridad del Servicio Europeo de Acción Exterior (6).
3. Sin perjuicio de las indicaciones específicas relativas a grupos concretos de personal, la presente Decisión se aplicará a los miembros de la Comisión, al personal de la Comisión en el ámbito de aplicación del Estatuto de los funcionarios y del Régimen aplicable a los otros agentes de la Unión Europea, a los expertos nacionales destinados en comisión de servicios a la Comisión, a los proveedores de servicios y a su personal, a los trabajadores en prácticas y a cualquier persona con acceso a los edificios u otros bienes de la Comisión, o a la información manejada por la Comisión.
4. Las disposiciones de la presente Decisión se entenderán sin perjuicio de lo dispuesto en la Decisión 2002/47/CE, CECA, Euratom de la Comisión (7), la Decisión 2004/563/CE, Euratom de la Comisión (8), la Decisión C (2006) 1623 de la Comisión (9) y la Decisión C (2006) 3602 de la Comisión (10).
CAPÍTULO 2
PRINCIPIOS
Artículo 3
Principios de seguridad en la Comisión
1. Al aplicar la presente Decisión, la Comisión deberá cumplir los Tratados y, en particular, la Carta de los Derechos Fundamentales y el Protocolo no 7 sobre los privilegios y las inmunidades de la Unión Europea; los instrumentos a que se hace referencia en el considerando 2; las normas de Derecho nacional aplicables; así como las disposiciones de la presente Decisión. En caso necesario, se emitirá un aviso de seguridad en el sentido del artículo 21, apartado 2, proporcionando directrices a este respecto.
2. La seguridad en la Comisión se basará en los principios de legalidad, transparencia, proporcionalidad y rendición de cuentas.
3. El principio de legalidad indica la necesidad de permanecer estrictamente en el marco jurídico al aplicar la presente Decisión, y la necesidad de ajustarse a los requisitos jurídicos.
4. Las medidas de seguridad se tomarán de forma visible, excepto en caso de que pueda esperarse razonablemente que ello vaya en menoscabo de su efecto. Los destinatarios de una medida de seguridad deberán ser informados previamente de los motivos y los efectos de la medida, a menos que pueda esperarse razonablemente que el efecto de la medida vaya a verse afectado por la comunicación de dicha información. En este caso, el destinatario de la medida de seguridad será informado una vez haya cesado el riesgo de menoscabar el efecto de la medida de seguridad.
5. Los servicios de la Comisión velarán por que se tengan en cuenta las cuestiones de seguridad desde el inicio de la elaboración y la aplicación de las políticas, decisiones, programas, proyectos y actividades de la Comisión de las que son responsables. Para ello, se contará con la participación de la Dirección General de Recursos Humanos y Seguridad en general, y con el responsable principal de la seguridad de la información de la Comisión por lo que se refiere a los sistemas informáticos, desde las primeras fases de elaboración.
6. La Comisión, en su caso, buscará la colaboración de las autoridades competentes del Estado miembro de acogida, de otros Estados miembros y de otras instituciones, agencias u organismos de la UE, cuando sea posible, teniendo en cuenta las medidas adoptadas o previstas por dichas autoridades para abordar el riesgo para la seguridad de que se trate.
Artículo 4
Obligación de cumplimiento
1. Será obligatorio el cumplimiento de la presente Decisión y de sus normas de desarrollo, así como de las medidas de seguridad y las instrucciones dadas por el personal autorizado.
2. El incumplimiento de las normas de seguridad podrá dar lugar a medidas disciplinarias de conformidad con los Tratados y el Estatuto de los funcionarios, a sanciones contractuales, o a acciones judiciales de conformidad con las disposiciones legales y reglamentarias nacionales.
CAPÍTULO 3
GARANTIZAR LA SEGURIDAD
Artículo 5
Personal autorizado
1. Únicamente el personal autorizado en virtud de un mandato nominativo conferido por el Director General de Recursos Humanos y Seguridad, habida cuenta de sus funciones, tendrá la facultad para adoptar una o varias de las medidas siguientes:
1)portar armas de mano;
2)realizar las investigaciones de seguridad a que se refiere el artículo 13;
3)tomar las medidas de seguridad a que se refiere el artículo 12, según se especifique en el mandato.
2. El mandato a que se refiere el apartado 1 se conferirá por un período que no podrá exceder del período durante el cual la persona en cuestión ejerza el cargo o función en relación con el cual le haya sido atribuido el mandato. Los mandatos se conferirán en cumplimiento de las disposiciones aplicables establecidas en el artículo 3, apartado 1.
3. Por lo que se refiere al personal autorizado, la presente Decisión constituye una instrucción de servicio en el sentido del artículo 21 del Estatuto de los funcionarios.
Artículo 6
Disposiciones generales relativas a las medidas de seguridad
1. Al adoptar medidas de seguridad, la Comisión garantizará en particular, en la medida en que razonablemente sea posible, que:
a)Solo buscará apoyo o asistencia del Estado de que se trate siempre que dicho Estado sea un Estado miembro de la Unión Europea o, de no serlo, sea parte en el Convenio Europeo de Derechos Humanos, o garantice derechos que sean al menos equivalentes a los que garantiza este Convenio.
b)Solo transmitirá información relativa a un individuo a destinatarios distintos de las instituciones y los organismos comunitarios, que no estén sujetos al Derecho nacional adoptado en aplicación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo (11), de conformidad con el artículo 9 del Reglamento (CE) no 45/2001.
c)Cuando una persona constituya una amenaza para la seguridad, podrán aplicársele medidas de seguridad y esa persona podrá tener que asumir los costes correspondientes. Dichas medidas de seguridad solo podrán dirigirse contra otras personas si debe controlarse una amenaza inmediata o grave para la seguridad y se cumplen las condiciones siguientes:
a)las medidas previstas contra la persona que supone la amenaza para la seguridad no pueden adoptarse o no es probable que sean eficaces;
b)la Comisión no puede controlar la amenaza para la seguridad a través de sus propias acciones o no puede hacerlo a su debido tiempo;
c)la medida no constituye un peligro desproporcionado para otras personas y sus derechos.
2. La Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad elaborará un compendio de las medidas de seguridad que pueden requerir una orden judicial de conformidad con las disposiciones legales y reglamentarias de los Estados miembros que acogen a los locales de la Comisión.
3. La Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad podrá recurrir a un contratista para que realice, bajo la dirección y supervisión de la Dirección de Seguridad, funciones relacionadas con la seguridad.
Artículo 7
Medidas de seguridad en relación con las personas
1. Deberá otorgarse un nivel adecuado de protección a las personas en los locales de la Comisión, teniendo en cuenta los requisitos de seguridad y protección.
2. En caso de riesgos importantes para la seguridad, la Dirección General de Recursos Humanos y Seguridad proporcionará protección personal a los miembros de la Comisión u otros miembros del personal, cuando una evaluación de las amenazas indique que tal medida es necesaria para garantizar su seguridad y protección.
3. En caso de riesgos importantes para la seguridad, la Comisión podrá ordenar la evacuación de sus locales.
4. Las víctimas de accidentes o ataques en los locales de la Comisión recibirán ayuda.
5. Con el fin de prevenir y controlar los riesgos para la seguridad, el personal autorizado podrá llevar a cabo comprobaciones de los antecedentes personales de las personas comprendidas en el ámbito de aplicación de la presente Decisión, con el fin de determinar si facilitar a dichas personas el acceso a los locales o información de la Comisión representa una amenaza para la seguridad. Con este fin, y de conformidad con el Reglamento (CE) no 45/2001 y las disposiciones a que se refiere el artículo 3, apartado 1, el personal autorizado en cuestión podrá:
a)utilizar cualquier fuente de información de que dispone la Comisión, teniendo en cuenta la fiabilidad de la fuente de información;
b)acceder al expediente o los datos que posea la Comisión respecto de las personas que emplea, o pretende emplear, o del personal de los contratistas cuando esté debidamente justificado.
Artículo 8
Medidas de seguridad en relación con la seguridad física y los bienes
1. La seguridad de los bienes debe garantizarse mediante la aplicación de medidas de protección físicas y técnicas adecuadas y los procedimientos correspondientes, que en lo sucesivo se denominarán «seguridad física», creando un sistema con múltiples capas.
2. Se podrán adoptar medidas en virtud del presente artículo, con el fin de proteger a las personas o la información y los bienes de la Comisión.
3. La seguridad física tendrá los siguientes objetivos:
—prevenir actos de violencia dirigidos contra los miembros de la Comisión o las personas que entran en el ámbito de aplicación de la presente Decisión,
—prevenir el espionaje y las escuchas indebidas de información sensible o clasificada,
—prevenir robos, actos de vandalismo, sabotaje y otras acciones violentas destinadas a perjudicar o destruir edificios y bienes de la Comisión,
—permitir la investigación de los incidentes de seguridad, en particular mediante la verificación de los registros de controles de acceso y salida, los circuitos cerrados de televisión, las grabaciones de llamadas telefónicas y datos similares a que se refiere el artículo 22, apartado 2, y otras fuentes de información.
4. La seguridad física incluirá:
—una política de acceso aplicable a cualquier persona o vehículo que requiera acceso a los locales de la Comisión, incluidos los aparcamientos,
—un sistema de control de acceso que incluya guardas, medidas y equipos técnicos, sistemas de información o una combinación de todos estos elementos.
5. Con el fin de garantizar la seguridad física, podrán adoptarse las siguientes medidas:
—registrar la entrada y salida de los locales de la Comisión de personas, vehículos, equipos y bienes,
—realizar controles de identidad en los locales,
—inspeccionar vehículos, bienes y equipos por medios visuales o técnicos,
—impedir que personas, vehículos y equipos no autorizados entren en los locales de la Comisión.
Artículo 9
Medidas de seguridad en relación con la información
1. La seguridad de la información se refiere a toda la información manejada por la Comisión.
2. La seguridad de la información, con independencia de su forma, deberá ponderar la transparencia, proporcionalidad, responsabilidad y eficiencia frente a la necesidad de proteger la información contra el acceso, uso, divulgación, modificación o destrucción no autorizados.
3. La seguridad de la información tendrá por objetivo proteger su confidencialidad, integridad y disponibilidad.
4. Los procesos de gestión de riesgos deberán utilizarse por tanto para clasificar los activos de información y desarrollar normas, procedimientos y medidas de seguridad proporcionadas, en particular medidas paliativas.
5. Estos principios generales de seguridad de la información se aplicarán, en particular, en lo que se refiere a:
a)«Información clasificada de la Unión Europea» (en lo sucesivo, «ICUE»), es decir, toda información o material a los que se haya asignado una clasificación de seguridad de la UE cuya revelación no autorizada pueda causar perjuicio en distintos grados a los intereses de la Unión Europea o de uno o varios de sus Estados miembros.
b)«Información sensible no clasificada», es decir, información o material que la Comisión debe proteger por razón de obligaciones legales establecidas en los Tratados o en actos adoptados en aplicación del mismo, o por razón de su carácter sensible. La información sensible no clasificada incluye, pero no se limita a, la información o el material cubiertos por la obligación de secreto profesional, en virtud de lo dispuesto en el artículo 339 del TFUE; la información cubierta por los intereses protegidos en el artículo 4 del Reglamento (CE) no 1049/2001 del Parlamento Europeo y del Consejo (12) leído en relación con la jurisprudencia pertinente del Tribunal de Justicia de la Unión Europea; o los datos personales incluidos en el ámbito de aplicación del Reglamento (CE) no 45/2001.
6. La información sensible no clasificada estará sujeta a las normas relativas a su manejo y almacenamiento. Solo se revelará a los individuos que tienen «necesidad de conocer». Cuando se considere necesario para la protección efectiva de su confidencialidad, se identificará mediante un marcado de seguridad y las correspondientes instrucciones de manejo aprobadas por el director general de Recursos Humanos y Seguridad. Cuando se maneje o almacene en sistemas de comunicación e información, dicha información deberá también ser protegida de conformidad con la Decisión C (2006) 3602, sus normas de desarrollo y las normas correspondientes.
7. Toda persona que sea responsable de comprometer o perder ICUE o información sensible no clasificada, identificada como tal en las normas relativas a su manejo y almacenamiento, podrá ser objeto de medidas disciplinarias de conformidad con el Estatuto de los funcionarios. Tales medidas disciplinarias se entenderán sin perjuicio de cualquier otro proceso judicial o penal por parte de las autoridades nacionales competentes de los Estados miembros de conformidad con sus disposiciones legales y reglamentarias, y de los instrumentos contractuales.
Artículo 10
Medidas de seguridad en relación con los sistemas de información y comunicación
1. Todos los sistemas de información y comunicación (en lo sucesivo, «SIC») utilizados por la Comisión se ajustarán a la política de seguridad de los sistemas de información de la Comisión, tal como se establece en la Decisión C (2006) 3602, sus normas de desarrollo y las correspondientes normas de seguridad.
2. Los servicios de la Comisión que posean, gestionen u operen SIC únicamente permitirán a otras instituciones, agencias, órganos de la Unión o a otras organizaciones el acceso a estos sistemas siempre que dichas instituciones, agencias, órganos de la Unión u otras organizaciones puedan ofrecer garantías razonables de que sus sistemas informáticos están protegidos a un nivel equivalente al que ofrece la política de seguridad de los sistemas de información de la Comisión, tal como se establece en la Decisión C (2006) 3602, sus normas de desarrollo y las correspondientes normas de seguridad. La Comisión supervisará dicho cumplimiento, y, en caso de incumplimiento grave o persistente, podrá prohibir el acceso.
Artículo 11
Análisis forense sobre ciberseguridad
La Dirección General de Recursos Humanos y Seguridad será responsable, en particular, de realizar análisis técnicos forenses en cooperación con los servicios competentes de la Comisión en apoyo de las investigaciones de seguridad a que se hace referencia en el artículo 13, en relación con el contraespionaje, la filtración de datos, los ciberataques y la seguridad de los sistemas de información.
Artículo 12
Medidas de seguridad en lo que respecta a personas y objetos
1. Con el fin de garantizar la seguridad en la Comisión y prevenir y controlar los riesgos, el personal autorizado con arreglo al artículo 5 podrá, de conformidad con los principios enunciados en el artículo 3, adoptar, entre otras, una o más de las siguientes medidas de seguridad:
a)aseguramiento de lugares y pruebas, incluidos los registros de controles de acceso y salida y las imágenes de circuito cerrado de televisión, en caso de incidentes o de actuaciones que puedan dar lugar a procedimientos administrativos, disciplinarios, civiles o penales;
b)medidas limitadas en relación con personas que supongan una amenaza para la seguridad, en particular ordenar a las personas que abandonen los locales de la Comisión, acompañar a las personas que salgan de los locales de la Comisión, prohibir el acceso de personas a los locales de la Comisión durante un período de tiempo, definiéndose esto último de conformidad con los criterios que se establezcan en las normas de desarrollo;
c)medidas limitadas con respecto a los objetos que supongan una amenaza para la seguridad, en particular su retirada, incautación y eliminación;
d)registros en los locales de la Comisión, incluso de despachos, dentro de dichos locales;
e)registro en SIC y equipos, datos de tráfico de teléfono y de telecomunicaciones, archivos de registros, cuentas de usuario, etc.;
f)otras medidas de seguridad específicas con efectos similares a fin de prevenir o controlar los riesgos para la seguridad, en particular, en el contexto de los derechos de la Comisión como propietario o empleador, de conformidad con la legislación nacional aplicable.
2. En circunstancias excepcionales, los miembros del personal de la Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad, mandatados de conformidad con el artículo 5, podrán tomar las medidas urgentes necesarias, en el estricto respeto de los principios enunciados en el artículo 3. Lo antes posible, tras haber adoptado estas medidas, informarán al director de la Dirección de Seguridad, que solicitará el mandato pertinente del director general de la Dirección General de Recursos Humanos y Seguridad confirmando las medidas adoptadas y autorizando cualquier otra acción necesaria, y se mantendrán en contacto, en su caso, con las autoridades nacionales competentes.
3. Las medidas de seguridad de conformidad con el presente artículo se documentarán en el momento en que se tomen o, en caso de riesgo inmediato o situación de crisis, en un plazo razonable después de que se hayan tomado. En este último caso, la documentación deberá incluir también los elementos en que se base la apreciación relativa a la existencia de un riesgo inmediato o una situación de crisis. La documentación podrá ser sucinta, pero deberá estar elaborada de tal manera que permita a la persona objeto de la medida ejercer sus derecho de defensa y protección de los datos personales de conformidad con el Reglamento (CE) no 45/2001, y permitir un control de la legalidad de la medida. Ninguna información relativa a las medidas específicas de seguridad dirigidas a un miembro del personal formará parte del expediente personal del interesado.
4. Al adoptar medidas de seguridad con arreglo a la letra b), la Comisión deberá, además, garantizar que la persona de que se trate tenga la posibilidad de ponerse en contacto con un abogado o una persona de su confianza y tener conocimiento de su derecho a recurrir al Supervisor Europeo de Protección de Datos.
Artículo 13
Investigaciones
1. Sin perjuicio de lo dispuesto en el artículo 86 y el anexo IX del Estatuto de los funcionarios, y de cualquier régimen especial entre la Comisión y el SEAE, como el régimen especial firmado el 28 de mayo de 2014 entre la Dirección General de Recursos Humanos y Seguridad de la Comisión Europea y el Servicio Europeo de Acción Exterior sobre las obligaciones de asistencia y protección hacia el personal de la Comisión destinado en las Delegaciones de la Unión, podrán realizarse investigaciones de seguridad:
a)en caso de incidentes que afecten a la seguridad de la Comisión, incluida la sospecha de infracciones penales;
b)en caso de posibles fugas, mal manejo o peligro de la información sensible no clasificada, la ICUE o la información clasificada de Euratom;
c)en el contexto de la contrainteligencia y la lucha contra el terrorismo;
d)en caso de ciberincidentes graves.
2. La decisión de llevar a cabo una investigación de seguridad será adoptada por el director general de la Dirección General de Recursos Humanos y Seguridad, que también será el destinatario del informe de investigación.
3. Las investigaciones de seguridad las realizarán únicamente miembros específicos del personal de la Dirección General de Recursos Humanos y Seguridad, debidamente autorizados de conformidad con el artículo 5.
4. El personal autorizado ejercerá sus competencias de investigación de seguridad de forma independiente, tal como se especifica en el mandato, y asumirá las competencias enumeradas en el artículo 12.
5. El personal autorizado con competencia para realizar investigaciones de seguridad podrá recabar información de todas las fuentes disponibles en relación con cualquier infracción administrativa o penal cometida en los locales de la Comisión o en relación con las personas a que se hace referencia en el artículo 2, apartado 3, ya sea como víctimas o como autores de dichas infracciones.
6. La Dirección General de Recursos Humanos y Seguridad informará de ello a las autoridades competentes del Estado miembro de acogida o de cualquier otro Estado miembro interesado, cuando proceda y, en particular, en caso de que la investigación haya aportado indicios de que se ha cometido una infracción penal. En este contexto, cuando lo considere apropiado o sea requerida para ello, la Dirección General de Recursos Humanos y Seguridad podrá prestar asistencia a las autoridades del Estado miembro de acogida o de cualquier otro Estado miembro interesado.
7. En el caso de ciberincidentes graves, la Dirección General de Informática colaborará estrechamente con la Dirección General de Recursos Humanos y Seguridad para apoyarla en todas las cuestiones técnicas. La Dirección General de Recursos Humanos y Seguridad decidirá, en consulta con la Dirección General de Informática, cuándo es oportuno informar a las autoridades competentes del país de acogida o de cualquier otro Estado miembro interesado. Los servicios de coordinación de incidentes del equipo de respuesta a emergencias informáticas de las instituciones, órganos y agencias de la Unión Europea (en lo sucesivo, «CERT») podrán ayudar a otras instituciones y agencias de la UE que puedan verse afectadas.
8. Las investigaciones de seguridad deberán estar documentadas.
Artículo 14
Delimitación de competencias con respecto a las investigaciones de seguridad y otros tipos de investigaciones
1. Cuando la Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad lleve a cabo investigaciones de seguridad, tal como se contempla en el artículo 13, y si estas investigaciones entran dentro de las competencias de la Oficina Europea de Lucha contra el Fraude (OLAF) o la Oficina de Investigación y Disciplina de la Comisión (IDOC), se pondrá en contacto con dichos organismos de forma inmediata con el fin, en particular, de no comprometer las gestiones posteriores de la OLAF y la IDOC. Cuando proceda, la Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad invitará a la OLAF o a la IDOC a que participen en la investigación.
2. Las investigaciones de seguridad a que se refiere el artículo 13 se entenderán sin perjuicio de las competencias de la OLAF y la IDOC según lo dispuesto en los reglamentos aplicables a dichas oficinas. Podrá pedirse a la Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad que proporcione asistencia técnica a las investigaciones abiertas por la OLAF o la IDOC.
3. Podrá pedirse a la Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad que asista a los agentes de la OLAF cuando accedan a los locales de la Comisión de conformidad con el artículo 3, apartado 5, y el artículo 4, apartado 4, del Reglamento (UE, Euratom) no 883/2013 del Parlamento Europeo y del Consejo (13), con el fin de facilitar su labor. La Dirección de Seguridad informará de tales solicitudes de asistencia al secretario general y al director general de la Dirección General de Recursos Humanos y Seguridad o, si dicha investigación se realiza en locales de la Comisión ocupados por sus miembros o por el secretario general, al presidente de la Comisión y al comisario responsable de recursos humanos.
4. Sin perjuicio de lo dispuesto en el artículo 22, letra a), del Estatuto, cuando un asunto pueda entrar en el ámbito de competencias tanto de la Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad como de la IDOC, la Dirección de Seguridad deberá, cuando responda ante el director general de Recursos Humanos de conformidad con el artículo 13 en la fase más temprana posible, advertir si existen razones que justifiquen que la IDOC se encargue del asunto. En particular, esta fase se considerará alcanzada cuando haya finalizado una amenaza inmediata a la seguridad. El director general de la Dirección General de Recursos Humanos y Seguridad decidirá al respecto.
5. Si un asunto puede entrar en el ámbito de competencias tanto de la Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad como de la OLAF, la Dirección de Seguridad lo notificará sin demora al director general de la Dirección General de Recursos Humanos y Seguridad e informará al director general de la OLAF lo antes posible. En particular, esta fase se considerará alcanzada cuando haya finalizado una amenaza inmediata a la seguridad.
Artículo 15
Inspecciones de seguridad
1. La Dirección General de Recursos Humanos y Seguridad realizará las inspecciones de seguridad para comprobar el cumplimiento por parte de los servicios de la Comisión y los particulares de la presente Decisión y sus normas de desarrollo, y formular recomendaciones cuando se considere necesario.
2. En su caso, la Dirección General de Recursos Humanos y Seguridad llevará a cabo las inspecciones de seguridad o el control de la seguridad o las visitas de evaluación a fin de comprobar si la seguridad del personal, activos e información de la Comisión que sea responsabilidad de otras instituciones, órganos u organismos de la Unión, Estados miembros, terceros Estados u organizaciones internacionales, está adecuadamente protegida de conformidad con normas y reglamentaciones de seguridad que sean, como mínimo, equivalentes a las de la Comisión. En caso necesario y en un espíritu de buena cooperación entre administraciones, esas inspecciones de seguridad incluirán también inspecciones realizadas en el contexto del intercambio de información clasificada con otras instituciones, organismos y agencias de la Unión, Estados miembros, o con terceros Estados u organizaciones internacionales.
3. Este artículo se aplicará, mutatis mutandis, al personal de la Comisión en las Delegaciones de la Unión, sin perjuicio de cualquier régimen especial entre la Comisión y el SEAE, como el acuerdo especial firmado el 28 de mayo de 2014 entre la Dirección General de Recursos Humanos y Seguridad de la Comisión Europea y el Servicio Europeo de Acción Exterior sobre las obligaciones de asistencia y protección hacia el personal de la Comisión destinado en las Delegaciones de la Unión.
Artículo 16
Estados de alerta y gestión de situaciones de crisis
1. La Dirección General de Recursos Humanos y Seguridad será responsable de poner en marcha medidas de alerta adecuadas en previsión de o en respuesta a amenazas e incidentes que afecten a la seguridad de la Comisión, y las medidas necesarias para gestionar situaciones de crisis.
2. Las medidas de alerta contempladas en el apartado 1 serán acordes con el nivel de amenaza para la seguridad. Los niveles de alerta deberán definirse en estrecha cooperación con los servicios competentes de otras instituciones, agencias y organismos de la Unión, y del Estado miembro o Estados miembros que acojan a los locales de la Comisión.
3. La Dirección General de Recursos Humanos y Seguridad será el punto de contacto para las alertas y la gestión de situaciones de crisis.
CAPÍTULO 4
ORGANIZACIÓN
Artículo 17
Responsabilidades generales de los servicios de la Comisión
1. Las responsabilidades de la Comisión a que se hace referencia en la presente Decisión serán ejercidas por la Dirección General de Recursos Humanos y Seguridad bajo la autoridad y la responsabilidad del miembro de la Comisión responsable de la seguridad.
2. Las disposiciones específicas por lo que se refiere a la seguridad cibernética se definen en la Decisión (2006)3602.
3. Las responsabilidades de la aplicación de la presente Decisión y sus normas de desarrollo, y del cumplimiento cotidiano, podrán delegarse a otros servicios de la Comisión, siempre que la descentralización de los servicios de seguridad ofrezca una considerable eficiencia o ahorro de recursos o de tiempo, por ejemplo debido a la ubicación geográfica de los servicios en cuestión.
4. En los casos en que se aplique el apartado 3, la Dirección General de Recursos Humanos y Seguridad, y, si procede, la Dirección General de Informática organizarán acuerdos con servicios concretos de la Comisión para establecer claramente las funciones y responsabilidades para la aplicación y el seguimiento de las políticas de seguridad.
Artículo 18
Dirección General de Recursos Humanos y Seguridad 1. La Dirección General de Recursos Humanos y Seguridad será responsable, en particular, de:
1)desarrollar la política de seguridad de la Comisión, las normas de desarrollo y los avisos de seguridad;
2)recoger información con vistas a la evaluación de las amenazas y los riesgos para la seguridad y sobre todas las cuestiones que puedan afectar a la seguridad en la Comisión;
3)proporcionar contravigilancia electrónica y protección a todos los locales de la Comisión, teniendo debidamente en cuenta las evaluaciones de amenazas y las pruebas de actividades no autorizadas contra los intereses de la Comisión;
4)prestar un servicio de emergencia permanente (24 horas y 7 días a la semana) para los servicios de la Comisión y el personal respecto de cualquier cuestión relacionada con la seguridad y la protección;
5)aplicar medidas de seguridad destinadas a mitigar los riesgos para la seguridad, y desarrollar y mantener SCI adecuados para cubrir sus necesidades operativas, en particular en los ámbitos del control de acceso físico, la administración de autorizaciones de seguridad y el manejo de la información sensible y clasificada de la UE;
6)sensibilizar, organizar ejercicios y ofrecer formación y asesoramiento sobre todas las cuestiones relacionadas con la seguridad en la Comisión, con el fin de promover una cultura de seguridad y crear un núcleo de personal con la formación adecuada en materia de seguridad.
2. La Dirección General de Recursos Humanos y Seguridad, sin perjuicio de las competencias y responsabilidades de otros servicios de la Comisión, mantendrá un enlace externo con:
1)los servicios de seguridad de otras instituciones, agencias y organismos de la Unión, sobre cuestiones relacionadas con la seguridad de las personas, los bienes y la información de la Comisión;
2)los servicios de seguridad, inteligencia y evaluación de amenazas, en particular las autoridades nacionales de seguridad, de los Estados miembros, de terceros países o de organizaciones internacionales y organismos sobre cuestiones que afectan a la seguridad de las personas, los bienes y la información de la Comisión;
3)la policía y otros servicios de emergencia sobre todas las cuestiones rutinarias y de emergencia que afecten a la seguridad de la Comisión;
4)las autoridades de seguridad de otras instituciones de la Unión, de las agencias y organismos, de los Estados miembros y de terceros países en el ámbito de la lucha contra los ataques cibernéticos con un impacto potencial en la seguridad en la Comisión;
5)en relación con la recepción, análisis y distribución de información relacionada con amenazas que plantean las actividades de espionaje y terrorismo que afectan a la seguridad en la Comisión;
6)en relación con las cuestiones relativas a la información clasificada, tal como se especifica en la Decisión (UE, Euratom) 2015/444 de la Comisión (14).
3. La Dirección General de Recursos Humanos y Seguridad será responsable de la transmisión segura de información realizada con arreglo al presente artículo, incluida la transmisión de datos personales.
Artículo 19
Grupo de expertos de la Comisión en materia de seguridad (ComSEG)
Se creará un grupo de expertos de la Comisión en materia de seguridad, con el mandato de asesorar a la Comisión, cuando proceda, sobre cuestiones relativas a su política de seguridad interior y, más concretamente, sobre la protección de la información clasificada de la UE.
Artículo 20
Responsable local de seguridad (LSO)
1. Cada servicio de la Comisión o gabinete nombrará un responsable local de seguridad (LSO), que actuará como principal punto de contacto entre el servicio y la Dirección General de Recursos Humanos y Seguridad sobre todos los asuntos relacionados con la seguridad en la Comisión. En su caso, podrán nombrarse uno o varios LSO adjuntos. El LSO será un funcionario o un agente temporal.
2. Como principal punto de contacto sobre seguridad dentro de su servicio o gabinete, el LSO informará de forma periódica a la Dirección General de Recursos Humanos y Seguridad y a su jerarquía sobre cuestiones de seguridad relacionadas con su servicio y, de forma inmediata, sobre cualquier incidente relacionado con la seguridad, en particular aquellos en los que la ICUE o la información sensible no clasificada pueda haber quedado comprometida.
3. Para las cuestiones relacionadas con la seguridad de los sistemas de información y comunicación, el LSO se pondrá en contacto con el responsable local de seguridad informática (LISO) de su servicio de la Comisión, cuyas funciones y responsabilidades están establecidas en la Decisión C (2006) 3602.
4. El LSO contribuirá a las actividades de formación y sensibilización en materia de seguridad teniendo en cuenta las necesidades específicas del personal, los contratistas y otras personas que trabajen bajo la autoridad de su servicio.
5. Podrán asignarse al LSO tareas específicas en casos de riesgos graves o inmediatos para la seguridad, o en casos de emergencia, a petición de la Dirección General de Recursos Humanos y Seguridad. El director general o el director de Recursos Humanos de la Dirección General del LSO serán informados acerca de dichas tareas específicas por la Dirección General de Recursos Humanos y Seguridad.
6. Las responsabilidades del LSO se entenderán sin perjuicio de las funciones y responsabilidades asignadas a los responsables locales de seguridad informática (LISO), los responsables de salud y seguridad, los controladores del registro (RCO) o cualquier otra función que implique responsabilidades relacionadas con la seguridad o la protección. El LSO se pondrá en contacto con ellos a fin de garantizar un enfoque coherente y congruente de la seguridad y un flujo eficaz de información sobre cuestiones relacionadas con la seguridad en la Comisión.
7. El LSO tendrá acceso directo a su director general o jefe de servicio e informará a su jerarquía directa. Asimismo, deberá poseer una autorización de seguridad para acceder a ICUE, como mínimo hasta el nivel de SECRET UE/EU SECRET.
8. Con el fin de promover el intercambio de información y de mejores prácticas, la Dirección General de Recursos Humanos y Seguridad organizará al menos dos veces al año una conferencia de LSO. La presencia de los LSO en estas conferencias será obligatoria.
CAPÍTULO 5
APLICACIÓN
Artículo 21
Normas de desarrollo y consignas de seguridad
1. En caso necesario, la adopción de las normas de desarrollo de la presente Decisión será objeto de una decisión de habilitación distinta de la Comisión en favor del miembro de la Comisión responsable de las cuestiones de seguridad, de plena conformidad con el Reglamento interno.
2. Tras haber sido habilitado a raíz de la mencionada decisión de la Comisión, el miembro de la Comisión responsable de las cuestiones de seguridad podrá elaborar consignas de seguridad que establezcan directrices de seguridad y mejores prácticas, dentro del ámbito de aplicación de la presente Decisión y sus normas de desarrollo.
3. La Comisión podrá delegar las tareas mencionadas en los apartados 1 y 2 del presente artículo al director general de la Dirección General de Recursos Humanos y Seguridad mediante una decisión de delegación separada, de conformidad con el Reglamento interno.
CAPÍTULO 6
DISPOSICIONES VARIAS Y FINALES
Artículo 22
Tratamiento de datos personales
1. La Comisión tratará los datos personales necesarios para la aplicación de la presente Decisión de conformidad con el Reglamento (CE) no 45/2001.
2. Sin perjuicio de las medidas ya en vigor en el momento de la adopción de la presente Decisión y notificadas al Supervisor Europeo de Protección de Datos (15), cualquier medida con arreglo a la presente Decisión que guarde relación con el tratamiento de datos personales, como las relativa a los registros de acceso y salida, grabaciones de circuito cerrado de televisión, grabaciones de llamadas telefónicas a servicios de permanencia o centros de expedición y datos similares, que sean necesarias por motivos de seguridad o de respuesta a las crisis, estarán sujetas a las normas de desarrollo de conformidad con lo dispuesto en el artículo 21, que establecerá las oportunas garantías para los interesados.
3. El director general de la Dirección General de Recursos Humanos y Seguridad será responsable de la seguridad del tratamiento de datos personales efectuado en el marco de la presente Decisión.
4. Las normas de desarrollo y los procedimientos se adoptarán previa consulta al responsable de la protección de datos y al Supervisor Europeo de Protección de Datos de conformidad con el Reglamento (CE) no 45/2001.
Artículo 23
Transparencia
La presente Decisión y sus normas de desarrollo se pondrán en conocimiento del personal de la Comisión y de todas las personas a las que se aplican.
Artículo 24
Derogación de decisiones anteriores
Queda derogada la Decisión C (94) 2129.
Artículo 25
Entrada en vigor
La presente Decisión entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 13 de marzo de 2015.
Por la Comisión
El Presidente
Jean-Claude JUNCKER
__________
(1) Véase el «Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité» de 31 de diciembre de 2004, el «Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois», de 20 de enero de 2007, y el «Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale», de 22 de julio de 1959.
(2) DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.
(3) Decisión C (94) 2129 de la Comisión, de 8 de septiembre de 1994, relativa a las tareas de la Oficina de Seguridad.
(4) Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).
(5) Reglamento (CEE, Euratom, CECA) no 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (régimen aplicable a los otros agentes) (DO L 56 de 4.3.1968, p. 1).
(6) Decisión de la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad, de 19 de abril de 2013, sobre las normas de seguridad del Servicio Europeo de Acción Exterior (DO C 190 de 29.6.2013, p. 1).
(7) Decisión 2002/47/CE, CECA, Euratom de la Comisión, de 23 de enero de 2002, por la que se modifica su Reglamento interno (DO L 21 de 24.1.2002, p. 23), que adjunta disposiciones relativas a la gestión de documentos electrónicos y digitalizados.
(8) Decisión 2004/563/CE, Euratom de la Comisión, de 7 de julio de 2004, por la que se modifica su Reglamento interno (DO L 251 de 27.7.2004, p. 9), que adjunta disposiciones relativas a los documentos electrónicos y digitalizados.
(9) Decisión C (2006) 1623 de la Comisión, de 21 de abril de 2006, por la que se establece una política armonizada en materia de salud y seguridad en el trabajo para todo el personal de la Comisión Europea.
(10) Decisión C (2006) 3602, de 16 de agosto de 2006 de la Comisión, relativa a la seguridad de los sistemas de información utilizados por la Comisión Europea.
(11) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).
(12) Reglamento (CE) no 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
(13) Reglamento (UE, Euratom) no 883/2013 del Parlamento Europeo y del Consejo, de 11 de septiembre de 2013, relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) y por el que se deroga el Reglamento (CE) no 1073/1999 del Parlamento Europeo y del Consejo y el Reglamento (Euratom) no 1074/1999 del Consejo (DO L 248 de 18.9.2013, p. 1).
(14) Decisión (UE, Euratom) 2015/444 de la Comisión, de 13 de marzo de 2015, sobre las normas de seguridad para la protección de la información clasificada de la UE (véase la página 53 del presente Diario Oficial).
(15) DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid