LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, de 4 de julio de 2018, sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia de la Unión Europea para la Seguridad Aérea y por el que se modifican los Reglamentos (CE) n.o 2111/2005, (CE) n.o 1008/2008, (UE) n.o 996/2010 y (UE) n.o 376/2014 y las Directivas 2014/30/UE y 2014/53/UE del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) n.o 552/2004 y (CE) n.o 216/2008 del Parlamento Europeo y del Consejo y el Reglamento (CEE) n.o 3922/91 del Consejo (1), y en particular su artículo 74, apartado 8,
Considerando lo siguiente:
(1) |
De conformidad con el artículo 74 del Reglamento (UE) 2018/1139, la información relacionada con la aviación civil necesaria para garantizar una cooperación eficaz entre la Agencia de la Unión Europea para la Seguridad Aérea (en lo sucesivo, «la Agencia») y las autoridades nacionales competentes en el ejercicio de sus tareas de certificación, supervisión y ejecución en virtud de ese Reglamento debe almacenarse en un repositorio electrónico de información establecido y gestionado por la Agencia. |
(2) |
Es importante que la Comisión y las autoridades nacionales competentes estén implicadas en el desarrollo y la gestión del repositorio por parte de la Agencia; por ello el presente Reglamento debe establecer un mecanismo de consulta adecuado para garantizar que la Agencia consulte a los Estados miembros y a la Comisión antes de tomar decisiones relativas al repositorio. |
(3) |
Para garantizar un uso eficaz del repositorio, su estructura debe proporcionar una base de datos central, una infraestructura de comunicación y la interfaz necesaria para la emisión y la consulta de la información almacenada en el repositorio, y el acceso a esa información. A fin de facilitar la cooperación entre los organismos que utilizan el repositorio, debe existir una interfaz única para las consultas directas de los usuarios al repositorio y una interfaz única para las autoridades nacionales competentes. |
(4) |
La integración de las autoridades competentes en el repositorio y la comunicación con él deben facilitarse mediante especificaciones funcionales adecuadas relativas a la interfaz, la seguridad, la red y la información sobre la configuración de las aplicaciones. |
(5) |
La Agencia debe garantizar que el repositorio se mantenga en condiciones de funcionamiento adecuadas que eviten fallos técnicos y garanticen la continuidad operativa del repositorio y la gestión de sus datos. |
(6) |
La información debe transmitirse al repositorio e intercambiarse a través de él conforme a formatos de información comúnmente acordados propuestos por la Agencia, de manera que los organismos comunicantes comprendan de la misma manera la información compartida. |
(7) |
Las actualizaciones periódicas de la información almacenada en el repositorio deben permitir un mejor intercambio de información. A este respecto, la Agencia y las autoridades nacionales competentes deben desarrollar una metodología para actualizar periódicamente la información almacenada en el repositorio. |
(8) |
El presente Reglamento también debe establecer los requisitos para la clasificación de la información, de modo que la información almacenada en el repositorio se trate con arreglo a parámetros de privacidad, confidencialidad, integridad y disponibilidad. Debe procederse a reevaluar esta clasificación de la información cada vez que se produzca un cambio en el uso de los datos, a fin de garantizar que la clasificación esté actualizada. |
(9) |
Es importante designar a las partes interesadas que pueden recibir la información almacenada en el repositorio y adoptar normas detalladas para tramitar sus solicitudes de acceso. A tal fin, el presente Reglamento debe establecer las condiciones necesarias para la comunicación de información a las partes interesadas. También debe garantizarse que la información que reciban las partes interesadas se gestione de manera confidencial. |
(10) |
A fin de garantizar la integridad de los datos y la seguridad de la información, debe establecerse un sistema de trazabilidad de la información almacenada en el repositorio que garantice la protección contra el acceso no autorizado y permita controlar las operaciones en las que se trate información, incluidos los datos personales. |
(11) |
El personal de los usuarios autorizados que necesite acceder al repositorio debe estar autorizado por sus organizaciones conforme a procedimientos documentados. El personal de los centros de medicina aeronáutica debe estar autorizado por sus respectivas autoridades nacionales competentes. |
(12) |
Los requisitos para la protección de la infraestructura y los datos pertinentes deben desarrollarse en el marco de políticas de gestión de la seguridad. En particular, conviene desarrollar medidas para la gestión de la seguridad, la continuidad de las actividades y los planes de recuperación en caso de catástrofe. Los usuarios autorizados deben garantizar que sean adoptadas las medidas de seguridad necesarias, y cooperar a este respecto. |
(13) |
Los datos personales solo deben tratarse con el propósito de garantizar una cooperación eficaz entre la Agencia y las autoridades nacionales competentes en el ejercicio de sus tareas de certificación, supervisión y ejecución. El presente Reglamento debe establecer disposiciones detalladas para la protección de los datos personales almacenados en el repositorio e intercambiados a través de él. Ese tratamiento debe cumplir lo dispuesto en los Reglamentos (UE) 2016/679 (2) y (UE) 2018/1725 (3) del Parlamento Europeo y del Consejo y aclarar las responsabilidades de los organismos pertinentes designadas para garantizar la protección de datos. |
(14) |
Es necesario designar a los organismos que tratan datos personales en el repositorio y asignarles sus respectivas responsabilidades, incluida la introducción y extracción de datos personales del repositorio. El Reglamento (UE) 2018/1139 dispone que la Agencia, en colaboración con la Comisión y con las autoridades nacionales competentes, debe establecer y gestionar un repositorio de la información necesaria para garantizar una cooperación eficaz entre la Agencia y las autoridades nacionales competentes; en concreto, deben gestionar en cooperación la seguridad del repositorio. Por lo tanto, deben ser los corresponsables del tratamiento de datos personales para la gestión del repositorio. Es necesario definir las responsabilidades de los corresponsables del tratamiento y sus obligaciones específicas para con los interesados. |
(15) |
Las autoridades nacionales competentes respectivas, la Agencia y la Comisión deben ser los únicos responsables de las operaciones de tratamiento de datos realizadas dentro de sus propios sistemas como usuarios autorizados. Las operaciones de tratamiento de datos deben realizarse de conformidad con los Reglamentos (UE) 2016/679 y (UE) 2018/1725. Como los datos intercambiados en el repositorio proceden de los responsables del tratamiento, cada uno de ellos debe notificar a la Agencia cualquier violación de la seguridad de los datos personales en su sistema que pueda comprometer la seguridad, confidencialidad, disponibilidad o integridad de los datos personales tratados en el repositorio. |
(16) |
La obligación de notificarse mutuamente las violaciones de la seguridad, incluidas las que afecten a los datos personales, debe quedar especificada, para que los corresponsables del tratamiento puedan detectar lo antes posible los incidentes de seguridad y las violaciones de la seguridad de los datos. En consecuencia, cada uno de los responsables del tratamiento debe garantizar la necesaria notificación de tales violaciones. |
(17) |
En caso necesario, el ejercicio de los derechos del interesado puede restringirse en determinadas condiciones especificadas. Tales restricciones deben ser proporcionadas y limitadas en su alcance y en el tiempo. El interesado debe poder ejercer sus derechos a la defensa efectiva y a la tutela judicial efectiva. |
(18) |
Es posible que la autoridad competente, con la finalidad de garantizar la seguridad operacional de la aviación, necesite tener acceso a ficheros anteriores, incluidos aquellos que contengan datos personales; en concreto, datos médicos que justifiquen períodos previos de incapacidad o la imposición de limitaciones. Por consiguiente, y sin perjuicio de períodos más breves previstos en la legislación nacional, un período máximo de conservación de diez años a partir de la fecha de expiración de los documentos (como certificados sanitarios, informes médicos o licencias), incluidos los documentos necesarios para los procedimientos contemplados en el Reglamento (UE) 2018/1139, debe garantizar que esos datos puedan seguir estando a disposición de los usuarios autorizados. |
(19) |
Los datos personales contenidos en el repositorio son información esencial que debe conservarse con fines de archivo en interés de la seguridad operacional de la aviación y con fines de investigación histórica. Tras la expiración del período de conservación, o de un período más breve que pueda estar previsto en la legislación nacional, los datos personales deben suprimirse inmediatamente del repositorio. Los datos personales pueden conservarse fuera del repositorio con fines de archivo en interés público de la seguridad operacional de la aviación y con fines de investigación histórica. |
(20) |
Con objeto de garantizar la correcta aplicación del presente Reglamento, antes de que sea aplicable debe darse a los Estados miembros y a los organismos afectados tiempo suficiente para adaptar sus procedimientos al nuevo marco regulador. Por lo tanto, determinados requisitos del anexo I deben ser aplicables en fechas posteriores, en función de la categoría de objeto de información y de la fecha de emisión. |
(21) |
La Agencia ha elaborado un proyecto de acto de ejecución para el funcionamiento y la gestión de un repositorio de información de conformidad con el Reglamento (UE) 2018/1139 y lo ha presentado a la Comisión con el dictamen n.o 04/2022 (4), de conformidad con el artículo 75, apartado 2, letra b), y el artículo 76, apartado 1, del Reglamento (UE) 2018/1139. |
(22)
(23) |
El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 29 de marzo de 2023.
Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité de Aplicación de Normas Comunes de Seguridad en el ámbito de la Aviación Civil. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Objeto
El presente Reglamento establece las normas y los procedimientos para el funcionamiento y la administración de un repositorio de la información necesaria para garantizar una cooperación eficaz entre la Agencia y las autoridades nacionales competentes en el ejercicio de sus tareas de certificación, supervisión y ejecución en virtud del Reglamento (UE) 2018/1139.
Definiciones
1. A efectos del presente Reglamento, serán aplicables las definiciones de los Reglamentos (UE) 2018/1139, (UE) 2016/679, (UE) 2018/1725, y de los Reglamentos de Ejecución (UE) 2019/947 (5) y (UE) 2021/664 de la Comisión (6).
2. Asimismo, se entenderá por:
a) «usuarios autorizados», la Comisión, la Agencia, las autoridades nacionales competentes y cualquier autoridad competente de los Estados miembros encargada de la investigación de los accidentes e incidentes de la aviación civil, tal como se establece en el artículo 74, apartado 6, primera frase, del Reglamento (UE) 2018/1139;
b) «interfaz», el punto en el que sistemas independientes y a menudo no relacionados se conectan e interactúan o se comunican entre sí;
c) «personal autorizado», el personal de los usuarios autorizados que ha recibido acceso al repositorio;
d) «categoría de objeto de información», el tipo de información incluida en el ámbito de aplicación del artículo 74, apartado 1, del Reglamento (UE) 2018/1139 a la que deben tener acceso los usuarios autorizados y que deben poder intercambiar;
e) «objeto de información», información intercambiada individualmente que siempre corresponderá a la categoría de objeto de información y será compatible con su formato de información;
f) «formato de información», estructura predefinida de la categoría de objeto de información consistente en un esquema de campos correspondientes a tipos detallados de contenido dentro de cada categoría de objeto de información y vocabularios compuestos por conjuntos limitados de valores admisibles asociados a cada campo;
g) «parte interesada», las autoridades públicas de las instituciones, agencias y organismos de la Unión Europea, las autoridades públicas de los Estados miembros, las personas físicas y jurídicas sujetas a un objeto de información definido en el anexo I del presente Reglamento y los organismos cualificados con arreglo al artículo 69 del Reglamento (UE) 2018/1139.
Establecimiento del repositorio
1. El repositorio estará compuesto por interfaces de almacenamiento, intercambio y acceso de los usuarios.
2. La interfaz de almacenamiento a la que se refiere el apartado 1 constará de:
a) una base de datos central que contendrá la información contemplada en el artículo 74, apartado 1, del Reglamento (UE) 2018/1139, en la que se recogerá tanto información existente como nueva, y
b) un historial de los cambios en la información, indicando su estado, a saber, actual o archivado.
3. La interfaz de intercambio contemplada en el apartado 1 consistirá en:
a) una infraestructura de comunicación que proporcione interfaces de programación de aplicaciones (API) seguras para la emisión, el cambio, la consulta o lectura y el archivo de información entre los sistemas de los usuarios autorizados y el repositorio, y
b) normas de verificación de la calidad de la información que garanticen la coherencia, integridad y exactitud de la información almacenada.
4. La interfaz de acceso de los usuarios mencionada en el apartado 1 proporcionará acceso en línea y seguro para consulta y lectura de la información almacenada. La interfaz de acceso de los usuarios únicamente estará disponible para el personal autorizado.
5. La Agencia elaborará la documentación necesaria para apoyar la integración de los usuarios autorizados en el repositorio. Esta documentación constará de:
a) normas sobre las API y mecanismos de intercambio;
b) la información sobre seguridad, redes y configuración de las aplicaciones necesaria para comunicarse con el repositorio;
c) normas que especifiquen la estructura y el contenido válidos de la información intercambiada con el repositorio.
6. La Agencia establecerá también un entorno de pruebas en el que los usuarios autorizados puedan probar la funcionalidad y el rendimiento de la interfaz de intercambio entre sus sistemas y el repositorio.
Gestión del repositorio
1. La Agencia será responsable de la gestión operativa del repositorio y almacenará en él la información de forma segura.
2. Los usuarios autorizados transmitirán e intercambiarán la información a través del repositorio mediante las interfaces y garantizarán una conexión en línea segura entre sus sistemas y el repositorio.
3. Antes de tomar cualquier decisión relativa a la gestión operativa del repositorio o de ponerlo a disposición del público, la Agencia consultará a la Comisión y a las autoridades nacionales competentes.
4. El personal autorizado de los médicos examinadores aéreos y los centros de medicina aeronáutica nacionales transmitirá e intercambiará la información contenida en el repositorio a través de sus autoridades nacionales competentes con arreglo al artículo 10, apartado 4, del presente Reglamento.
Mantenimiento del repositorio
1. La Agencia se encargará del mantenimiento del repositorio y garantizará su correcto funcionamiento en términos de privacidad, confidencialidad, integridad y disponibilidad.
2. La Agencia hará sistemáticamente copias de seguridad del repositorio y sus datos.
Formatos y normas de la información
1. Los usuarios autorizados transmitirán, actualizarán periódicamente e intercambiarán información a través del repositorio sobre la base de formatos de información decididos de común acuerdo y propuestos por la Agencia.
2. Los formatos de información se normalizarán por categorías de información. Los usuarios autorizados solo transmitirán objetos de información al repositorio en el formato de información específico de esa categoría de objetos de información.
3. La lista de las categorías de objetos de información figura en el anexo I.
Clasificación de la información
1. La Agencia, en cooperación con la Comisión y las autoridades nacionales competentes, clasificará las categorías de objetos de información con arreglo a las siguientes marcas:
a) privacidad: datos no personales, datos personales no sensibles o datos personales sensibles;
b) confidencialidad: incidencia nula, limitada, significativa, catastrófica;
c) integridad: incidencia nula, limitada, significativa, catastrófica;
d) disponibilidad: incidencia nula, limitada, significativa, catastrófica.
2. Las definiciones detalladas de las marcas contempladas en el apartado 1 figuran en el anexo II.
3. La Agencia, en cooperación con la Comisión y las autoridades nacionales competentes, reevaluará, siempre que lo considere necesario, la clasificación de la información para asegurarse de que sigue siendo adecuada atendiendo a los cambios en el uso de la información.
Disposiciones para la comunicación de información
1. A petición de una parte interesada, la Agencia podrá proporcionarle la información contenida en el repositorio, a reserva de las condiciones específicas de utilización establecidas en el presente artículo.
2. La solicitud de comunicación de la información contenida en el repositorio se presentará según la forma y modalidad establecidas por la Agencia.
3. Al recibir una solicitud, la Agencia verificará que:
a) la solicitud ha sido presentada por una parte interesada y
b) la parte interesada demuestra que la información solicitada es estrictamente necesaria para sus operaciones.
4. La Agencia evaluará si la solicitud está justificada y, si se cumplen las condiciones que se establecen en el apartado 5, proporcionará la información solicitada a la parte interesada.
5. La Agencia únicamente proporcionará la información solicitada a la parte interesada si se cumplen las siguientes condiciones:
a) la parte interesada no recibe acceso a todo el contenido del repositorio;
b) la información es estrictamente necesaria para las operaciones de la parte interesada;
c) no se comunican datos personales, salvo si se trata de datos relativos a la propia parte interesada o si tal comunicación es estrictamente necesaria para realizar las operaciones de la parte interesada.
6. La Agencia pondrá a disposición de los usuarios autorizados una lista actualizada de las solicitudes recibidas y de la respuesta de la Agencia.
7. La parte interesada:
a) utilizará la información únicamente para los fines especificados en el formulario de solicitud;
b) no divulgará la información recibida sin la autorización de los usuarios autorizados;
c) adoptará las medidas necesarias para garantizar la confidencialidad de la información recibida.
Actas de las operaciones de tratamiento de datos
1. La Agencia garantizará que quede constancia en acta de todas las operaciones de tratamiento de datos. Las actas proporcionarán la siguiente información:
a) finalidad de la solicitud de acceso al repositorio;
b) identidad del usuario autorizado que obtiene los datos;
c) fecha y hora exacta de las operaciones de tratamiento de datos;
d) identidad del personal autorizado que realiza la búsqueda.
2. La Agencia utilizará las actas de las operaciones de tratamiento de datos únicamente para controlar la legalidad del acceso a la información y para garantizar la integridad y la seguridad de los datos. Las actas contendrán los datos que sean estrictamente necesarios para ese propósito, en cumplimiento del principio de minimización de datos establecido en el artículo 89 del Reglamento (UE) 2016/679 y en el artículo 13 del Reglamento (UE) 2018/1725. Las actas se borrarán una vez finalizado el procedimiento de control o, a más tardar, al cabo de un año.
3. Previa solicitud, se concederá a la Comisión y a las autoridades nacionales competentes acceso a las actas con el fin de evaluar la legalidad del acceso a la información, controlar la legalidad de las operaciones de tratamiento de datos y garantizar la integridad y seguridad de los datos.
Acceso al repositorio
1. Los usuarios autorizados garantizarán que únicamente tenga acceso al repositorio el personal autorizado.
2. Los usuarios autorizados garantizarán que su personal reciba acceso a la información con arreglo a las marcas de privacidad y confidencialidad de las categorías de objetos de información contempladas en el artículo 7.
3. Los usuarios autorizados establecerán y mantendrán:
a) una lista del personal autorizado;
b) los procedimientos relativos al acceso al repositorio, que deben cumplir los requisitos legales aplicables al acceso a información y su tratamiento establecidos en el Derecho de la Unión y nacional; los usuarios documentarán las condiciones para que el personal autorizado acceda al repositorio.
4. Los médicos examinadores aéreos y los centros de medicina aeronáutica nacionales garantizarán que únicamente tenga acceso al repositorio el personal autorizado por su autoridad nacional competente.
Gestión de la seguridad del repositorio
1. La Agencia protegerá la infraestructura del repositorio y su información, y elaborará:
a) un plan de gestión de la seguridad;
b) un plan de continuidad de las actividades;
c) un plan de recuperación en caso de catástrofe.
2. La Agencia impedirá, en particular mediante técnicas adecuadas de cifrado, el tratamiento no autorizado de información y la lectura, copia, modificación, retirada o supresión no autorizadas de información contenida en el repositorio, también durante su comunicación al repositorio o a partir de este y durante su transmisión.
3. La Agencia garantizará que las personas autorizadas a acceder al repositorio tengan acceso únicamente a la información contemplada por su autorización de acceso, y exclusivamente mediante identidades de usuario individuales y modos de acceso confidenciales.
4. Los usuarios autorizados gestionarán la seguridad de su información antes y durante la transmisión al repositorio y protegerán sus infraestructuras garantizando:
a) el establecimiento de interfaces entre sus sistemas y el repositorio;
b) el funcionamiento y mantenimiento de las interfaces;
c) una formación adecuada en seguridad de la información, legislación sobre protección de datos aplicable y derechos fundamentales para el personal autorizado antes de que se permita a este tratar la información almacenada en el repositorio.
5. Los usuarios autorizados cooperarán para garantizar la gestión de la seguridad del repositorio.
Tratamiento de los datos personales almacenados en el repositorio
1. Los datos personales almacenados en el repositorio únicamente se tratarán para garantizar la cooperación entre los usuarios autorizados que sea necesaria para el ejercicio de sus tareas de certificación, supervisión y ejecución. El tratamiento se limitará a la medida necesaria para el desempeño de sus tareas y a lo que sea estrictamente imprescindible y proporcionado a los objetivos perseguidos.
2. El acceso a los datos personales y el tratamiento de estos se llevará a cabo con arreglo a las especificaciones técnicas del repositorio.
3. Las obligaciones de protección de datos desde el diseño y por defecto se tendrán en cuenta tanto al determinar los medios de tratamiento como en el momento del propio tratamiento.
4. La Agencia hará revisiones periódicas para garantizar la eficacia de todas las salvaguardias aplicadas en materia de protección de datos.
Control conjunto de los datos personales tratados en el repositorio
1. Los corresponsables del tratamiento de los datos personales almacenados en el repositorio serán los usuarios autorizados.
2. Cada uno de los corresponsables del tratamiento será responsable del cumplimiento de los criterios de clasificación de la información para todos los objetos de información tratados en el repositorio.
Asignación de responsabilidades entre los corresponsables del tratamiento
1. La Agencia será responsable de lo siguiente:
a) creación, funcionamiento y administración del repositorio;
b) gestión continua del repositorio, en particular de los derechos de acceso y la seguridad y confidencialidad de los datos personales tratados en el repositorio con arreglo a los artículos 4, 5, 9 y 12;
c) comunicar cualquier violación de la seguridad de los datos personales del repositorio a los usuarios autorizados, al Supervisor Europeo de Protección de Datos y, cuando sea necesario, a los interesados, de conformidad con el artículo 34 del Reglamento (UE) 2018/1725;
d) definir y aplicar los medios técnicos que permitan a los interesados ejercer sus derechos de conformidad con el Reglamento (UE) 2018/1725.
2. Las autoridades nacionales competentes y la Comisión serán responsables de lo siguiente:
a) tratar los datos personales del repositorio con las interfaces de almacenamiento, intercambio y acceso de los usuarios contempladas en el artículo 3 y conforme a los requisitos de seguridad definidos en el artículo 12, apartado 4;
b) garantizar la seguridad de cualquier tratamiento de datos personales fuera del repositorio cuando tales datos se traten para los fines del repositorio o en relación con el tratamiento mediante este;
c) designar al personal autorizado al que se concederá acceso al repositorio de conformidad con el artículo 11, y comunicarlo a la Agencia;
d) actuar como punto de contacto para los interesados bajo su competencia como responsables únicos, incluso cuando ejerzan sus derechos, utilizando si es necesario los medios técnicos proporcionados por la Agencia con arreglo al punto 1, letra d), o a través de los canales de comunicación señalados en el punto 3;
e) notificar a la Agencia cualquier incidente de seguridad, incluidas las violaciones de la seguridad de los datos personales, que pueda comprometer la seguridad, la confidencialidad, la disponibilidad o la integridad de los datos personales transmitidos o almacenados en el repositorio;
f) notificar cualquier violación de la seguridad de los datos personales tratados en el repositorio a las respectivas autoridades de control competentes y, cuando sea necesario, a los interesados, de conformidad con los artículos 33 y 34 del Reglamento (UE) 2016/679 y el artículo 34 del Reglamento (UE) 2018/1725, según proceda.
3. Cada corresponsable del tratamiento designará:
a) un punto de contacto con un buzón funcional para la comunicación entre ellos;
b) un punto de contacto para apoyar a los interesados en el ejercicio de sus derechos de conformidad con la legislación sobre protección de datos aplicable.
4. Cuando un corresponsable del tratamiento reciba una solicitud de un interesado que no esté bajo su competencia, remitirá la solicitud con prontitud al corresponsable competente. Si así se solicita, los corresponsables del tratamiento se asistirán mutuamente en la tramitación de las solicitudes de los interesados y se responderán sin demora indebida y, a más tardar, en los quince días siguientes al recibo de la solicitud de ayuda.
5. Si un responsable del tratamiento, para cumplir las obligaciones que le imponen los artículos 33 y 34 del Reglamento (UE) 2016/679 o el artículo 34 del Reglamento (UE) 2018/1725, necesita información de otro responsable del tratamiento, enviará una solicitud específica al buzón funcional contemplado en el apartado 3, letra a). Este último responsable hará lo posible por proporcionar esa información.
Restricciones
1. Los responsables del tratamiento únicamente podrán restringir el ejercicio de los derechos de los interesados en la medida y durante el tiempo estrictamente necesarios para salvaguardar la seguridad operacional de la aviación civil. El ejercicio de los derechos de los interesados solo podrá restringirse en las siguientes situaciones:
a) investigaciones, inspecciones o actividades de supervisión en curso, con arreglo al artículo 75, apartado 2, letra e), del Reglamento (UE) 2018/1139, realizadas por la Agencia en el marco de sus responsabilidades o por las autoridades competentes en virtud del Derecho nacional o de la Unión;
b) procedimientos en curso ante el Tribunal de Justicia de la Unión Europea o cualquier otro órgano jurisdiccional competente con arreglo al Derecho nacional o internacional.
2. Cuando la Comisión y la Agencia sean los responsables del tratamiento, también podrán restringir el ejercicio de los derechos de los interesados únicamente en la medida y durante el tiempo estrictamente necesarios para salvaguardar la seguridad operacional de la aviación civil, en caso de investigaciones de seguridad informática en curso que tengan una incidencia directa o indirecta en el funcionamiento del repositorio.
3. Todas las restricciones estarán sujetas a una evaluación de su necesidad y proporcionalidad y estarán limitadas en su alcance y duración.
4. Se informará de los motivos y el alcance de la restricción a los interesados cuyos derechos se restrinjan.
Plazo de conservación de los datos personales
1. Los usuarios autorizados:
a) almacenarán datos personales en el repositorio durante un período máximo de diez años a partir de la fecha de expiración del documento, o de la fecha en que deje de ser válido, incluidos los documentos necesarios para los procedimientos contemplados en el Reglamento (UE) 2018/1139, a menos que la legislación nacional exija un período diferente;
b) suprimirán los datos personales del repositorio tan pronto como expire el período de conservación.
2. El repositorio dispondrá de los medios técnicos necesarios para:
a) la eliminación automatizada de datos personales al expirar el período de conservación;
b) la seudonimización automatizada, u otras soluciones técnicas de efecto equivalente, de los datos personales almacenados con fines de archivo.
Tratamiento con fines de archivo e investigación histórica en interés de la seguridad operacional de la aviación
1. Una vez transcurrido el período de almacenamiento, la Agencia podrá conservar los datos personales procedentes del repositorio en un registro separado con fines de archivo e investigación histórica.
2. Tales datos personales se limitarán a lo estrictamente necesario para los fines de archivo e investigación en interés de la seguridad operacional de la aviación y se ajustarán al principio de minimización de datos establecido en el artículo 89 del Reglamento (UE) 2016/679 y en el artículo 13 del Reglamento (UE) 2018/1725.
3. La Agencia elaborará un protocolo de acceso al registro. Los artículos 4, 5 y 9 a 12 se aplicarán a este registro.
Entrada en vigor y aplicación
1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
2. Los capítulos I y II serán aplicables a partir del 1 de abril de 2025.
3. Los requisitos relativos a los objetos de información emitidos después de la entrada en vigor del presente Reglamento serán aplicables:
a) a partir del 1 de enero de 2027 para la categoría grupal A del anexo I;
b) a partir del 1 de enero de 2028 para la categoría grupal B del anexo I;
c) a partir del 1 de enero de 2029 para la categoría grupal C del anexo I.
4. Los requisitos relativos a los objetos de información que sean válidos y hayan sido emitidos antes de la entrada en vigor del presente Reglamento que figuran en el anexo I serán aplicables a partir del 1 de enero de 2029.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 12 de octubre de 2023.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 212 de 22.8.2018, p. 1.
(2) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(3) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(4) https://www.easa.europa.eu/document-library/opinions
(5) Reglamento de Ejecución (UE) 2019/947 de la Comisión, de 24 de mayo de 2019, relativo a las normas y los procedimientos aplicables a la utilización de aeronaves no tripuladas (DO L 152 de 11.6.2019, p. 45).
(6) Reglamento de Ejecución (UE) 2021/664 de la Comisión, de 22 de abril de 2021, sobre un marco regulador para el U-space (DO L 139 de 23.4.2021, p. 161).
Objeto de información |
Grupos de prioridad |
Licencias |
|
Licencia de piloto |
A |
Validación de la licencia de piloto |
A |
Licencia de controlador de tránsito aéreo |
A |
Licencia de mantenimiento de aeronaves |
B |
Certificados (organizaciones) |
|
Certificado de proveedor de GTA/SNA |
B |
Certificado de operador de aeródromo |
B |
Certificado de operador aéreo (AOC) |
B |
Certificado de equipo de aeródromo |
B |
Certificado de aeronavegabilidad (CofA) |
B |
Certificado de cualificación de dispositivo de simulación de vuelo para entrenamiento (FSTD) |
C |
Certificado de operador de UAS ligeros (LUC) |
A |
Certificado de operador de UAS |
C |
Certificado de proveedor de servicios de U-Space (USSP) |
B |
Certificado de proveedor de servicios comunes de información |
B |
Certificados (personal) |
|
Certificado de formación teórica de piloto a distancia |
C |
Certificado de examinador |
A |
Certificado de instructor |
A |
Certificado de centro de evaluación de competencias lingüísticas |
C |
Certificados (productos/equipos) |
|
Certificado de tipo (TC) |
B |
Certificado de tipo suplementario (STC) |
B |
Certificado de tipo restringido (RTC) |
B |
Hoja de datos del certificado de tipo |
C |
Certificado de niveles de ruido |
C |
Certificado restringido de niveles de ruido |
C |
Certificado de revisión de la aeronavegabilidad (ARC) |
C |
Certificado restringido de aeronavegabilidad (RCofA) |
C |
Aprobación de cambios mayores/menores |
C |
Aprobación de diseño de reparación mayor/menor |
C |
Certificado de sistemas y componentes de GTA/SNA |
B |
Certificados (médicos) |
|
Certificado de médico examinador aéreo |
A |
Certificado de centro de medicina aeronáutica (AeMC) |
A |
Certificado de médico examinador aéreo de los controladores de tránsito aéreo (ATCO) |
A |
Certificado médico de controladores de tránsito aéreo (ATCO) |
A |
Formulario de solicitud de certificado médico para pilotos |
A |
Formularios de reconocimiento médico y certificados médicos justificativos para pilotos |
A |
Certificado médico para pilotos |
A |
Declaraciones |
|
Declaración de proveedor de servicios de información de vuelo (FIS) |
B |
Declaración de proveedor de servicios de dirección de plataforma |
B |
Declaración de agente de asistencia en tierra |
B |
Declaración sobre sistemas y componentes de GTA/SNA |
B |
Declaración de conformidad sobre sistemas y componentes de GTA/SNA |
B |
Declaración de operador como proveedor de formación técnica para STS |
C |
Declaraciones NCC y SPO de los operadores de aeronaves |
C |
Declaración operativa de UAS para STS |
A |
Certificaciones e informes |
|
Certificación de tripulación de cabina |
C |
Informe médico de la tripulación de cabina |
C |
Exenciones |
|
Exención (acumulativa) de duración superior a ocho meses: decisión |
B |
Exención (acumulativa) de duración superior a ocho meses: notificación |
B |
Exención (acumulativa) de duración superior a ocho meses: recomendación |
B |
Exención (acumulativa) de hasta ocho meses de duración: notificación |
A |
Exención del certificado de proveedor de GTA/SNA: decisión |
C |
Exención del certificado de proveedor de GTA/SNA: notificación |
C |
Exención del certificado de proveedor de GTA/SNA |
C |
Aprobaciones |
|
Autorización de vuelo: aprobación de las condiciones de vuelo |
A |
Autorización de vuelo |
A |
Aprobación de informe de la junta de revisión del mantenimiento (MRB) |
C |
Exámenes de conocimientos teóricos (ECQB) |
C |
Aprobaciones de organizaciones de aeronavegabilidad combinada (CAOA), parte CAO |
B |
Aprobaciones de organizaciones de gestión del mantenimiento de la aeronavegabilidad (CAMOA) |
B |
Aprobaciones de organizaciones de mantenimiento (MOA), parte M, subparte F, formulario EASA, 3-MF |
B |
Aprobaciones de organizaciones de mantenimiento (MOA), parte 145 |
B |
Aprobaciones de organizaciones de formación en mantenimiento (MTOA), parte 147 |
B |
Documento de consentimiento para producción sin aprobación de organización de producción |
C |
Aprobaciones de organizaciones de producción (POA) |
B |
Procedimiento alternativo a las aprobaciones de organizaciones de diseño (APDOA) |
C |
Aprobaciones de organizaciones de diseño (DOA) |
B |
Aprobación de diseño o producción de equipos de GTA/SNA |
B |
Organizaciones de formación de controladores de tránsito aéreo (ATCO) |
B |
Aprobación de organización de formación de tripulación de cabina (CCTO) |
C |
Aprobación de organización de formación (ATO) (piloto) |
C |
Organización de formación declarada (DTO) para piloto |
C |
Aprobación de organización de formación para inspección en rampa (RITO) |
B |
Decisiones |
|
Participación voluntaria en la aplicación de disposiciones específicas del Reglamento de base a determinadas actividades: decisión |
C |
Invalidación y reconocimiento de certificados o declaraciones |
C |
Decisión de eximir a aeródromos de las disposiciones del Reglamento de base |
C |
Responsabilidad conjunta de tareas relacionadas con los operadores de aeronaves que participan en el transporte aéreo comercial |
C |
Propuesta de modificación de un acto de ejecución o acto delegado |
C |
Acreditación como organismo cualificado |
C |
Propuesta de plan individual de especificación del tiempo de vuelo (IFTSS) |
C |
Notificaciones de planes de FTL |
C |
Confirmación por el operador de la aceptabilidad de las medidas de mitigación actualizadas y del cumplimiento de las condiciones locales en caso de operaciones transfronterizas |
C |
Registro de operador de UAS |
A |
Decisión de un Estado miembro sobre la designación de un proveedor único de servicios comunes de información |
B |
Medidas |
|
Medida inmediata adoptada en respuesta a un problema grave de seguridad operacional: decisión |
B |
Medida inmediata adoptada en respuesta a un problema grave de seguridad operacional: recomendación |
B |
Medida inmediata adoptada en respuesta a un problema grave de seguridad operacional: notificación |
B |
Boletines de información sobre zonas de conflicto (CZIB): medidas |
B |
Participación voluntaria (artículo 2, apartado 6) en la aplicación de disposiciones específicas del Reglamento de base a determinadas actividades: notificación |
C |
Participación voluntaria en la aplicación de disposiciones específicas del Reglamento de base a determinadas actividades: recomendación |
C |
Exclusión voluntaria para eximir a categorías de aeronaves de disposiciones específicas del Reglamento de base |
C |
Otros |
|
Especificaciones de operaciones de operador aéreo |
C |
Autorización de operador de un tercer país (TCO) |
B |
Operaciones comerciales especializadas de alto riesgo: autorización |
B |
Registro de dispositivo certificado UAS |
A |
Autorización de estándares técnicos europeos (ETSOA) |
C |
Desviación con respecto a ETSO |
C |
Propuesta de modificación de un acto de ejecución o acto delegado: notificación |
B |
Propuesta de modificación de un acto de ejecución o acto delegado: recomendación |
B |
Lista de Estados miembros y organizaciones que han transferido responsabilidades o reasignado tareas (de conformidad con los artículos 64 y 65) y autoridad competente responsable tras la reasignación |
C |
Directivas de aeronavegabilidad (AD), directivas de seguridad operacional, boletines de información sobre seguridad (SIB) |
C |
Proyectos de recomendaciones de respuesta a comunicaciones a los Estados de la OACI |
C |
Lista de comprobación del cumplimiento de las normas y prácticas recomendadas (SARP) de la OACI |
C |
Recomendaciones de respuesta a comunicaciones a los Estados de la OACI |
C |
Solicitudes de medios alternativos de cumplimiento |
C |
Definiciones detalladas de las marcas contempladas en el artículo 7, apartado 2
a) |
Categorías conforme a la PRIVACIDAD:
|
b) |
Niveles conforme a la CONFIDENCIALIDAD:
|
c) |
Niveles conforme a la INTEGRIDAD:
|
d) |
Niveles conforme a la DISPONIBILIDAD:
|
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid