BOE.es - DOUE-L-2024-81808 Reglamento de Ejecución (UE) 2024/3084 de la Comisión, de 4 de diciembre de 2024, sobre el funcionamiento del sistema de información en virtud del Reglamento (UE) 2023/1115 del Parlamento Europeo y del Consejo relativo a la comercialización en el mercado de la Unión y a la exportación desde la Unión de determinadas materias primas y productos asociados a la deforestación y la degradación forestal.

Documento DOUE-L-2024-81808

Reglamento de Ejecución (UE) 2024/3084 de la Comisión, de 4 de diciembre de 2024, sobre el funcionamiento del sistema de información en virtud del Reglamento (UE) 2023/1115 del Parlamento Europeo y del Consejo relativo a la comercialización en el mercado de la Unión y a la exportación desde la Unión de determinadas materias primas y productos asociados a la deforestación y la degradación forestal.

Publicado en:: «DOUE» núm. 3084, de 6 de diciembre de 2024, páginas 1 a 11 (11 págs.)
Departamento:: Unión Europea
Referencia:: DOUE-L-2024-81808

Otros formatos:
PDF
XML

Texto

TEXTO ORIGINAL

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2023/1115 del Parlamento Europeo y del Consejo, de 31 de mayo de 2023, relativo a la comercialización en el mercado de la Unión y a la exportación desde la Unión de determinadas materias primas y productos asociados a la deforestación y la degradación forestal, y por el que se deroga el Reglamento (UE) n.o 995/2010 (1), y en particular su artículo 33,

Considerando lo siguiente:

(1)

El Reglamento (UE) 2023/1115 establece normas para minimizar la contribución de la Unión a la deforestación y la degradación forestal. Para ello, impone obligaciones de diligencia debida a los operadores y comerciantes que introduzcan o comercialicen en el mercado de la Unión, o que exporten desde este, determinadas materias primas y productos derivados. Cuando se haga referencia a los operadores en el presente Reglamento, debe entenderse que se refiere también a los comerciantes que no son pymes que comercialicen productos pertinentes si las disposiciones del presente Reglamento les son aplicables con carácter general de conformidad con sus obligaciones en virtud del Reglamento (UE) 2023/1115, en particular su artículo 5, apartado 1.

(2)	Los operadores asumen formalmente, mediante la puesta a disposición de declaraciones de diligencia debida (en lo sucesivo, las «declaraciones de diligencia debida»), la responsabilidad de la conformidad de los productos pertinentes que tengan intención de introducir en el mercado o exportar.

(3)

Procede desarrollar un sistema de información y facilitar el acceso al mismo a los operadores y comerciantes y, en su caso, a sus representantes autorizados, autoridades competentes y autoridades aduaneras, a fin de que cumplan con sus respectivas obligaciones establecidas en el Reglamento (UE) 2023/1115. El sistema de información debe facilitar la transmisión de información entre las autoridades competentes de los Estados miembros y las autoridades aduaneras.

(4)	El sistema de información debe ser una aplicación informática basada en la plataforma TRACES establecida por el Reglamento (UE) 2017/625 del Parlamento Europeo y del Consejo (2), que deberá desarrollar y mantener la Comisión.

(5)	Por consiguiente, es necesario establecer las disposiciones prácticas y operativas del funcionamiento del sistema de información para facilitar la aplicación y el cumplimiento efectivos y armonizados del Reglamento (UE) 2023/1115.

(6)	Con el fin de superar las barreras lingüísticas, el sistema de información debe estar disponible en todas las lenguas oficiales de la Unión. A tal fin, la Comisión debe traducir la interfaz de usuario del sistema de información a todas las lenguas oficiales de la Unión.

(7)

Para desempeñar sus obligaciones y funciones en virtud del Reglamento (UE) 2023/1115, los operadores, comerciantes, autoridades competentes, autoridades aduaneras y la Comisión pueden tener que intercambiar información que incluya datos personales. Todo intercambio de información de este tipo debe cumplir las normas sobre protección de datos personales establecidas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3) y en el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (4). En consecuencia, el intercambio de datos personales necesario para cumplir las obligaciones y desempeñar las funciones establecidas en el Reglamento (UE) 2023/1115 entra en el ámbito del tratamiento lícito de datos con arreglo al artículo 5, apartado 1, letra a), del Reglamento (UE) 2018/1725, y al artículo 6, apartado 1, letra e), del Reglamento (UE) 2016/679.

(8)

El sistema de información debe utilizarse para ayudar a los operadores, comerciantes y autoridades competentes a presentar la información necesaria sobre los productos pertinentes introducidos en el mercado, comercializados o exportados y acceder a ella. Los datos personales que puedan intercambiarse a través del sistema de información solo deben tratarse a efectos del cumplimiento de las obligaciones y tareas previstas en el Reglamento (UE) 2023/1115. Cuando los datos personales se traten en la operación del sistema de información con el fin de cumplir obligaciones y tareas en virtud del Reglamento (UE) 2023/1115, los operadores y comerciantes y, en su caso, sus representantes autorizados, las autoridades competentes y las autoridades aduaneras deben ser responsables del tratamiento en el sentido de lo dispuesto en el Reglamento (UE) 2016/679 y la Comisión debe ser responsable en el sentido de lo dispuesto en el Reglamento (UE) 2018/1725 para las actividades de tratamiento que lleven a cabo. Las autoridades competentes y las autoridades aduaneras deben ser corresponsables del tratamiento en el sentido de lo dispuesto en el Reglamento (UE) 2016/679 para las actividades de tratamiento cuando cooperen en la realización de las tareas con arreglo al artículo 21 del Reglamento (UE) 2023/1115.

(9)	El tratamiento, la transmisión, el almacenamiento y otros tratamientos de los datos personales de personas físicas deben llevarse a cabo en el sistema de información, con objeto de cumplir con las obligaciones y tareas contempladas en el Reglamento (UE) 2023/1115.

(10)

El sistema de información debe tratar los datos personales en la medida en que sea estrictamente necesario a efectos del cumplimiento de las obligaciones establecidas en el Reglamento (UE) 2023/1115. El sistema de información solo debe tratar las categorías de datos personales enumeradas en el artículo 12, apartado 2, del presente Reglamento de Ejecución.

(11)

El sistema de información no debe almacenar los datos personales presentados por los usuarios del sistema de información, en un formato que permita la identificación de los interesados más tiempo del estrictamente necesario para los fines de tratamiento de los datos personales. Este período debe ser de diez años a partir de la fecha de presentación de la declaración de diligencia debida a través del sistema de información, teniendo en cuenta los procesos de fabricación durante un largo período de tiempo, a fin de permitir a los operadores y comerciantes y, en su caso, a sus representantes autorizados, hacer referencia a las declaraciones de diligencia debida existentes con arreglo al artículo 33, apartado 2, letra c), del Reglamento (UE) 2023/1115 y cumplir sus obligaciones para cerciorarse de que la diligencia debida en relación con los productos pertinentes contenidos en los productos pertinentes o fabricados a partir de ellos se ha ejercido en virtud del artículo 4, apartado 9, del Reglamento (UE) 2023/1115. Debe ser posible un período más largo de almacenamiento y tratamiento de los datos personales cuando sea necesario para cumplir las responsabilidades y obligaciones individuales de los agentes del sistema de información establecidas en el Reglamento (UE) 2023/1115.

(12)

La Comisión debe proporcionar acceso al público en general a los conjuntos de datos del sistema de información en un formato abierto totalmente anonimizado y legible por máquina en consonancia con la política de datos abiertos de la Unión, que se establecerá en forma de conjuntos de datos debidamente agregados y anonimizados que deben ser accesibles en el sitio web de la Comisión.

(13)

Siguiendo los principios de protección desde el diseño y por defecto, el sistema de información debe desarrollarse y diseñarse respetando debidamente los requisitos de la legislación en materia de protección de datos, en particular debido a las restricciones impuestas al acceso a los datos personales intercambiados en él. Por lo tanto, el sistema de información debe ofrecer un nivel de protección y seguridad considerablemente más alto que otros métodos de intercambio de información como el teléfono, el correo ordinario o el correo electrónico.

(14)

La Comisión debe suministrar y gestionar el software y la infraestructura informática para el sistema de información, velar por su fiabilidad, seguridad, disponibilidad, mantenimiento y funcionamiento, y participar en la formación y la asistencia técnica de los agentes y usuarios del sistema. El sistema de información debe permitir un intercambio eficaz de datos con los sistemas y fuentes de datos pertinentes de los servicios de la Comisión.

(15)

Los Estados miembros deben poder adaptar sus funciones y responsabilidades en relación con el sistema de información para reflejar sus estructuras administrativas internas, y para aplicar en dicho sistema un tipo específico de trabajo u orden de etapas en un proceso de trabajo determinado al tiempo que se respetan las obligaciones derivadas del capítulo 3 del Reglamento (UE) 2023/1115.

(16)

A fin de facilitar la aplicación efectiva del Reglamento (UE) 2023/1115, las autoridades competentes deben poder intervenir en el sistema de información para asegurar el cumplimiento de dicho Reglamento, mediante la elaboración de perfiles de riesgo para el plan de controles a que se refiere el artículo 16, apartado 5, del Reglamento (UE) 2023/1115, los resultados de los controles en los operadores y comerciantes, la suspensión de la expedición de números de referencia asignados a las declaraciones de diligencia debida y, en caso de no subsanación e incumplimiento, el rechazo de las declaraciones de diligencia debida en cuestión. En virtud del artículo 16, apartado 1, del Reglamento (UE) 2023/1115, que prevé que las autoridades competentes realicen controles en su territorio, las autoridades competentes deben poder actuar en relación con las declaraciones de diligencia debida sobre las que los usuarios del sistema de información faciliten información en el sistema de información en relación con el Estado miembro en el que un producto entra, sale o se comercializa en el mercado de la Unión. En ausencia de dicha información, las autoridades competentes deben poder actuar en relación con las declaraciones de diligencia debida de los usuarios del sistema de información establecidas en su Estado miembro o asociadas con él.

(17)

La información recibida por la autoridad competente, la autoridad aduanera, la Comisión o cualquier otra autoridad a la que otra autoridad competente, otra autoridad aduanera, la Comisión u otra autoridad de este tipo haya concedido acceso a la información a través del sistema de información, no debe verse privada de su valor como prueba en procesos penales, civiles o administrativos de conformidad con el Derecho de la Unión y nacional pertinente por el mero hecho de que proceda de otro Estado miembro o se haya recibido por medios electrónicos. Dicha información debe ser tratada por los usuarios pertinentes del sistema de información del mismo modo que otros documentos similares procedentes de su Estado miembro.

(18)

Debe ser posible hacer el tratamiento del nombre y los datos de contacto de los usuarios del sistema de información en caso necesario para cumplir los objetivos y obligaciones del Reglamento (UE) 2023/1115 y del presente Reglamento, incluido el seguimiento del uso del sistema de información por parte de sus administradores y usuarios, las iniciativas de comunicación, formación y sensibilización, y la recopilación de información en relación con el ámbito de aplicación del Reglamento (UE) 2023/1115, o la asistencia mutua al respecto.

(19)

A fin de garantizar el seguimiento efectivo del funcionamiento del sistema de información y la presentación de informes al respecto, las autoridades competentes, las autoridades aduaneras u otras autoridades a las que se haya concedido acceso a dicho sistema deben poner la información pertinente a disposición de la Comisión cuando sea necesaria para que la Comisión cumpla sus obligaciones en virtud del Reglamento (UE) 2023/1115 y del presente Reglamento.

(20)

Los interesados deben ser informados del tratamiento de sus datos personales en el sistema de información y de los derechos de los que gozan de conformidad con el Reglamento (UE) 2016/679 y el Reglamento (UE) 2018/1725, en particular el derecho de acceso a los datos que les conciernen y el derecho a que se corrijan los datos inexactos y se supriman los datos tratados ilegalmente.

(21)

Cada usuario del sistema de información, en calidad de responsable del tratamiento con respecto a las actividades de tratamiento de datos que lleve a cabo en el marco del Reglamento (UE) 2023/1115, debe asegurar que los interesados puedan ejercer sus derechos de conformidad con el Reglamento (UE) 2016/679 y el Reglamento (UE) 2018/1725. Esto debe incluir el establecimiento de un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

(22)

La aplicación del presente Reglamento y la actuación del sistema de información deben ser objeto de seguimiento en el informe sobre el funcionamiento del sistema de información basado en datos estadísticos del sistema y en cualquier otro dato pertinente. La Comisión debe presentar el informe al Parlamento Europeo, el Consejo y el Supervisor Europeo de Protección de Datos. El informe también debe abordar aspectos relacionados con la protección de los datos personales en el sistema de información, incluida la seguridad de los datos.

(23)	El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 5 de noviembre de 2024.

(24)	Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité del Reglamento sobre productos libres de deforestación de la Unión Europea (UE),

HA ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1

Objeto

El presente Reglamento establece las normas para el funcionamiento del sistema de información, entre las que se encuentran las normas para la protección de los datos personales y el intercambio de datos con otros sistemas informáticos.

Artículo 2

Despliegue y utilización del sistema de información

1. La Comisión deberá:

a) desarrollar el sistema de información como un módulo independiente de la plataforma TRACES;

b) asegurar el funcionamiento, el mantenimiento, el apoyo y cualquier actualización o desarrollo necesarios del sistema de información.

2. El sistema de información será usado por operadores y comerciantes y, en su caso, por sus representantes autorizados, para presentar y gestionar las declaraciones de diligencia debida y para comprobar la validez de los números de referencia, así como por las autoridades competentes, las autoridades aduaneras y la Comisión para acceder a las declaraciones de diligencia debida y actuar en relación con ellas, por ejemplo mediante el intercambio de información que contenga datos personales entre las autoridades competentes, las autoridades aduaneras y la Comisión en relación con la aplicación y el cumplimiento del Reglamento (UE) 2023/1115. Todo intercambio de información de este tipo cumplirá las normas sobre protección de datos personales establecidas en el Reglamento (UE) 2016/679 y en el Reglamento (UE) 2018/1725.

3. Las declaraciones de diligencia debida se asignan en el sistema de información a las autoridades competentes en el siguiente orden:

si el usuario del sistema de información proporciona información que indique el Estado miembro en el que el producto en cuestión entra o sale del mercado de la Unión, o, en su defecto, si el producto pertinente se introduce en el mercado o se comercializa, las declaraciones de diligencia debida se asignarán a las autoridades competentes de dicho Estado miembro;

si no se dispone de la información exigida en la letra a), las declaraciones de diligencia debida se asignarán a las autoridades competentes del Estado miembro en el que esté establecido el usuario del sistema de información. En caso de que el usuario del sistema de información esté establecido fuera de la Unión, las declaraciones de diligencia debida se atribuirán a las autoridades competentes del Estado miembro al que esté asociado el usuario del sistema de información en función del identificador que haya facilitado en el momento del registro en el sistema de información.

Artículo 3

Definiciones

A efectos del presente Reglamento, además de las definiciones que figuran en el artículo 2, del Reglamento (UE) 2023/1115, en el artículo 4 del Reglamento (UE) 2016/679 y en el artículo 3 del Reglamento (UE) 2018/1725, se entenderá por:

a)	«sistema de información»: el sistema de información establecido y mantenido por la Comisión de conformidad con el artículo 33 del Reglamento (UE) 2023/1115;

b)	«agente del sistema de información»: las autoridades competentes y las autoridades aduaneras en virtud del Reglamento (UE) 2023/1115, así como la Comisión, que llevan a cabo las tareas que se les atribuyen de conformidad con el Reglamento (UE) 2023/1115;

c)	«usuario del sistema de información»: operadores y comerciantes, y sus representantes autorizados, en su caso, en virtud del Reglamento (UE) 2023/1115, identificados mediante registro individual en EU Login, el servicio de autenticación de usuarios de la Comisión Europea;

d)	«declaración de diligencia debida»: declaración de diligencia debida presentada por el usuario del sistema de información en virtud del Reglamento (UE) 2023/1115;

e)	«número de referencia»: el número de referencia asignado por el sistema de información a la declaración de diligencia debida presentada por el usuario del sistema de información en virtud del Reglamento (UE) 2023/1115;

f)	«número de verificación»: número de seguridad asignado por el sistema de información a la declaración de diligencia debida presentada por el usuario del sistema de información para garantizar una mayor seguridad de los datos contenidos en la declaración de diligencia debida;

«elaboración de perfiles de riesgo»: la identificación en el sistema de información de los riesgos de incumplimiento de un producto pertinente dentro del ámbito de aplicación del Reglamento (UE) 2023/1115, sobre la base de criterios de riesgo, con el fin de asignar a cada declaración de diligencia debida presentada en el sistema de información, así como a cualquier modificación de la misma, un estado de riesgo que refleje estos riesgos.

CAPÍTULO II

FUNCIONAMIENTO DEL SISTEMA DE INFORMACIÓN

Artículo 4

Presentación de las declaraciones de diligencia debida

1. Salvo en aquellos casos en que la declaración de diligencia debida esté disponible a través de la interfaz electrónica a que se refiere el artículo 28, apartado 2, del Reglamento (UE) 2023/1115, los usuarios del sistema de información presentarán y gestionarán las declaraciones de diligencia debida de los productos pertinentes en el sistema de información.

2. Cuando un producto pertinente contenga o se haya fabricado con madera, los usuarios del sistema de información introducirán en la declaración de diligencia debida los nombres comunes y los nombres científicos completos de las especies de madera contenidas en los productos pertinentes o con las que se hayan fabricado estos.

Artículo 5

Modificación y retirada de las declaraciones de diligencia debida

1. El sistema de información dará la posibilidad a sus usuarios de modificar o retirar las declaraciones de diligencia debida en un plazo de setenta y dos horas a partir de la puesta a disposición del número de referencia de la declaración de diligencia debida en el sistema de información.

2. Las declaraciones de diligencia debida no podrán modificarse ni retirarse dentro del plazo establecido en el apartado 1 después de que la declaración de diligencia debida se haya utilizado como referencia en una declaración de diligencia debida presentada por el mismo usuario u otro usuario del sistema de información.

3. La declaración de diligencia debida no será modificada ni retirada por un usuario una vez que:

a) se haya notificado al usuario del sistema de información acerca de la intención de llevar a cabo un control de la declaración de diligencia debida o del producto pertinente asociado a la declaración de diligencia debida para el período de control;

b) el producto pertinente se haya introducido o comercializado en el mercado de la Unión en virtud del Reglamento (UE) 2023/1115;

c) el número de referencia de la declaración de diligencia debida se haya facilitado o puesto a disposición de las autoridades aduaneras antes del despacho a libre práctica o la exportación de un producto pertinente que entra en el mercado o sale del mismo como parte de los procedimientos establecidos en el capítulo 4 del Reglamento (UE) 2023/1115.

4. Sin perjuicio de lo dispuesto en los apartados 2 y 3, previa solicitud individual y motivada de un usuario del sistema de información, las autoridades competentes podrán prorrogar el plazo a que se refiere el apartado 1 únicamente cuando haya expirado dicho plazo. Dicha prórroga no podrá ser superior a ocho días naturales. La solicitud se basará en motivos ajenos al control del usuario del sistema de información, que, como parte de su solicitud motivada, declarará que no es de aplicación el apartado 3 del presente artículo. Dicha prórroga también será posible de manera retroactiva una vez transcurrido el período a que se refiere el apartado 1.

5. La declaración de diligencia debida modificada estará sujeta a la elaboración de perfiles de riesgo, tal como se establece en el artículo 6. La elaboración de perfiles de riesgo se aplicará a la totalidad de la declaración de diligencia debida modificada.

Artículo 6

Elaboración de perfiles de riesgo

1. El sistema de información permitirá a las autoridades competentes identificar situaciones dentro del sistema de información en las que los productos pertinentes presenten un riesgo tan elevado de incumplimiento que requieran una actuación inmediata antes de que dichos productos pertinentes se introduzcan en el mercado o se comercialicen o exporten, en virtud del artículo 17 del Reglamento (UE) 2023/1115. Asimismo, permitirá informar a las autoridades competentes para determinar los controles que deben realizarse y completar las tareas que les hayan sido encomendadas en virtud del capítulo 3 del Reglamento (UE) 2023/1115.

2. A efectos del apartado 1, el sistema de información permitirá a las autoridades competentes elaborar perfiles de riesgo en el sistema de información para apoyar una decisión fundada sobre la selección de los operadores o comerciantes o de los productos pertinentes asociados a las declaraciones de diligencia debida sobre los que llevar a cabo los controles. Estos perfiles de riesgo se basarán, entre otras cosas, en los criterios de riesgo establecidos en su plan anual de controles en virtud del artículo 16, apartado 5, del Reglamento (UE) 2023/1115, que se establece de conformidad con su enfoque basado en el riesgo de conformidad con el artículo 16, apartado 3, del Reglamento (UE) 2023/1115.

3. Tras su presentación en el sistema de información, toda declaración de diligencia debida se someterá a la elaboración electrónica automatizada de un perfil de riesgo y el sistema de información asignará un estado de riesgo a cada declaración de diligencia debida.

4. En cualquier momento tras la presentación de una declaración de diligencia debida, las autoridades competentes podrán revisar una declaración de diligencia debida para determinar si un producto pertinente cumple lo dispuesto en el artículo 3 del Reglamento (UE) 2023/1115. En tal caso, podrán asignar a la declaración de diligencia debida un nuevo estado de riesgo como resultado de la revisión. Si la autoridad competente asigna un nuevo estado de riesgo a una declaración de diligencia debida, este prevalecerá sobre el estado de riesgo asignado con arreglo al apartado 3 del presente artículo.

Artículo 7

Asignación y puesta a disposición de números de referencia

1. El sistema de información asignará, sin demora indebida, un número de referencia y un número de verificación a la declaración de diligencia debida presentada por el usuario del sistema de información tras concluir la elaboración del perfil de riesgo a que se refiere el artículo 6.

2. El número de referencia y el número de verificación se pondrán a disposición del usuario del sistema de información una vez concluida la elaboración del perfil de riesgo a que se refiere el artículo 6.

3. El sistema de información permitirá a las autoridades competentes retrasar la puesta a disposición del número de referencia para determinar si los productos pertinentes cumplen lo dispuesto en el artículo 3 del Reglamento (UE) 2023/1115 y, en particular, permitirá comprobar que la situación detectada a que se refiere el artículo 6, apartado 1, del presente Reglamento no es aplicable a dicho producto pertinente. Dicho retraso será lo más breve posible y no excederá del período establecido en el artículo 17, apartado 3, del Reglamento (UE) 2023/1115. Podrá seguir prorrogándose a discreción de la autoridad competente.

Artículo 8

Rechazo de las declaraciones de diligencia debida

1. Las autoridades competentes podrán rechazar una declaración de diligencia debida con objeto de evitar que se introduzca en el mercado, se comercialice o se exporte en virtud del artículo 17 del Reglamento (UE) 2023/1115 un producto pertinente que no cumpla lo dispuesto en dicho Reglamento, a menos que el número de referencia de una declaración de diligencia debida ya esté disponible en el sistema de información.

2. El producto pertinente declarado en una declaración de diligencia debida rechazada se considerará no cubierto por una declaración de diligencia debida conforme a lo dispuesto en el artículo 3, letra c), del Reglamento (UE) 2023/1115.

3. El rechazo se reflejará en el sistema de información mediante la asignación de un estado específico a la declaración de diligencia debida de que se trate.

CAPÍTULO III

FUNCIONES Y RESPONSABILIDADES EN EL MARCO DEL SISTEMA DE INFORMACIÓN

Artículo 9

Funciones y responsabilidades de la Comisión

Además de las tareas enumeradas en el artículo 2, apartado 1, la Comisión será responsable de llevar a cabo las siguientes tareas en relación con el sistema de información:

a)	proporcionar conocimientos, formación y apoyo, en particular asistencia técnica, a los usuarios y agentes del sistema de información en relación con el uso del sistema de información;

b)	conceder acceso a agentes del sistema de información designados por cada Estado miembro;

c)	conceder acceso a usuarios del sistema de información, que estén bajo la supervisión de las autoridades competentes;

d)	realizar el tratamiento de datos personales en el sistema de información, cuando así lo exija el presente Reglamento, o para la aplicación y el cumplimiento con arreglo al Reglamento (UE) 2023/1115;

e)	prestar servicios web para que los usuarios del sistema de información presenten y gestionen de manera automatizada las declaraciones de diligencia debida;

f)	prestar servicios web para que las autoridades competentes de los Estados miembros lleven a cabo las tareas relativas a las declaraciones de diligencia debida presentadas en el sistema de información de manera automatizada;

g)	proporcionar la interfaz electrónica con arreglo al artículo 28 del Reglamento (UE) 2023/1115;

suspender y revocar el acceso de los usuarios del sistema de información a petición de las autoridades competentes del Estado miembro en el que esté establecido el usuario del sistema de información o, en caso de que el usuario esté establecido fuera de la Unión, a petición de las autoridades competentes del Estado miembro al que esté asociado el usuario del sistema de información con arreglo a su identificador facilitado en el momento del registro en el sistema de información.

Artículo 10

Derechos de acceso de los usuarios del sistema de información

1. Solo los usuarios registrados del sistema de información tendrán acceso al sistema de información.

2. La autenticación para el sistema de información se realizará a través de EU Login, el servicio de autenticación de la Comisión Europea.

3. Los usuarios del sistema de información tendrán acceso a la información que ellos mismos hayan presentado o a la que otro usuario del sistema de información les haya dado acceso a través de números de referencia y números de verificación de las declaraciones de diligencia debida asociadas.

Artículo 11

Derechos de acceso de los agentes del sistema de información

1. La Comisión tendrá acceso a todos los datos, información y documentos del sistema de información para la elaboración de informes y para el desarrollo, el funcionamiento y el mantenimiento del sistema.

2. La Comisión concederá y podrá revocar derechos de acceso a los agentes del sistema de información en caso de cambios de competencias en virtud del artículo 14, apartado 2, del Reglamento (UE) 2023/1115.

3. La autenticación para el sistema de información se realizará a través de EU Login, el servicio de autenticación de la Comisión Europea.

4. Los agentes del sistema de información establecerán medios adecuados para velar por que los usuarios individuales que representen a agentes del sistema de información puedan acceder a los datos personales tratados en dicho sistema únicamente cuando sea estrictamente necesario con fines de aplicación y control del cumplimiento en virtud del Reglamento (UE) 2023/1115.

5. Los agentes del sistema de información tendrán acceso a toda la información pertinente del sistema de información que sea necesaria para el cumplimiento de sus obligaciones y tareas en virtud del Reglamento (UE) 2023/1115.

CAPÍTULO IV

TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL Y SEGURIDAD

Artículo 12

Tratamiento de datos de carácter personal en el sistema de información

1. La transmisión, el almacenamiento y otros tratamientos de los datos personales en el sistema de información solo podrán realizarse en la medida en que sean necesarios y proporcionados y únicamente para los fines siguientes:

a)	apoyar las comunicaciones entre los agentes del sistema de información en relación con la aplicación y el cumplimiento con arreglo al Reglamento (UE) 2023/1115;

b)	tramitar casos por parte de los agentes del sistema de información cuando realicen sus propias actividades en relación con la aplicación y el control del cumplimiento con arreglo al Reglamento (UE) 2023/1115;

c)	llevar a cabo las transformaciones empresariales y técnicas de los datos enumerados en el presente Reglamento, cuando sea necesario para permitir el intercambio y el uso de información a que se refieren las letras a) y b).

2. Los datos personales en el sistema de información se podrán tratar únicamente respecto de las siguientes categorías de datos personales:

a)	datos de identificación: nombre y apellidos, identificador único, incluido el número de registro e identificación de los operadores económicos (EORI), de conformidad con el artículo 9 del Reglamento (UE) n.o 952/2013 del Parlamento Europeo y del Consejo (5), si procede;

b)	datos de contacto profesionales: dirección de correo electrónico y dirección postal, país de residencia o país del domicilio social, número de teléfono y número de fax, si procede;

c)	función del usuario del sistema de información;

d)	datos sobre geolocalización en virtud del artículo 2, apartado 28, del Reglamento (UE) 2023/1115, cuando se pueda identificar a personas físicas;

e)	autenticación del usuario y datos de acceso al sistema de información: dirección IP y nombre de usuario.

3. El sistema de información almacenará las categorías de datos personales enumeradas en el apartado 2 que se hayan procesado para la aplicación y el control del cumplimiento en virtud del Reglamento (UE) 2023/1115.

4. El almacenamiento de los datos a que se refiere el apartado 2 se llevará a cabo utilizando una infraestructura informática situada en el Espacio Económico Europeo.

5. El sistema de información almacenará los datos personales almacenados en las declaraciones de diligencia debida no más de diez años a partir de la fecha en que la declaración de diligencia debida se presente en el sistema de información. La Comisión podrá prorrogar el período de almacenamiento previa solicitud individual por parte de los usuarios o agentes del sistema de información cuando sea necesario para cumplir sus responsabilidades y obligaciones al amparo del Reglamento (UE) 2023/1115.

6. Sin perjuicio de las actividades de tratamiento de datos establecidas en el artículo 14, cada agente del sistema de información será un responsable del tratamiento independiente en el sentido del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725 con respecto a las actividades de tratamiento de datos que lleve a cabo el agente del sistema de información.

7. Las autoridades nacionales de control y el Supervisor Europeo de Protección de Datos, cada uno dentro del ámbito de sus competencias respectivas, garantizarán una supervisión coordinada del sistema de información y su uso por parte de los agentes y usuarios del sistema de información de conformidad con el artículo 62 del Reglamento (UE) 2018/1725.

Artículo 13

Tratamiento de datos personales por la Comisión

1. La Comisión será un responsable del tratamiento en el sentido del artículo 3, punto 8), del Reglamento (UE) 2018/1725 con respecto al tratamiento de datos personales de los usuarios del sistema de información, en particular el tratamiento de datos personales al registrar usuarios del sistema de información en dicho sistema.

2. Cuando la Comisión trate datos personales en el funcionamiento del sistema de información en nombre de otros agentes del sistema de información con el fin de intercambiar información en virtud del artículo 27 del Reglamento (UE) 2023/1115, se considerará un encargado del tratamiento en el sentido del artículo 3, punto 12), del Reglamento (UE) 2018/1725.

3. La Comisión será un encargado del tratamiento en el sentido del artículo 3, punto 12), del Reglamento (UE) 2018/1725 para el tratamiento de datos personales llevado a cabo para las investigaciones conjuntas con arreglo al artículo 21 del Reglamento (UE) 2023/1115 llevadas a cabo en el contexto de la aplicación y el control del cumplimiento con arreglo al Reglamento (UE) 2023/1115.

Artículo 14

Corresponsabilidad del tratamiento en el sistema de información

Cuando las autoridades competentes y las autoridades aduaneras en virtud del Reglamento (UE) 2023/1115 cooperen para llevar a cabo la aplicación y el control del cumplimiento con arreglo al artículo 21 del Reglamento (UE) 2023/1115, las autoridades competentes y las autoridades aduaneras afectadas serán corresponsables del tratamiento, en el sentido del artículo 26, apartado 1, del Reglamento (UE) 2016/679, para la transmisión, el almacenamiento y otros tratamientos de los datos personales en el sistema de información en el contexto de dicha cooperación particular. Cuando así lo exija el artículo 26, apartado 1, del Reglamento (UE) 2016/679, los responsables del tratamiento determinarán sus responsabilidades respectivas en el cumplimiento de las obligaciones en virtud del Reglamento (UE) 2016/679 mediante un acuerdo entre ellos.

Artículo 15

Seguridad

1. La Comisión incorporará las medidas necesarias más avanzadas para velar por la seguridad de los datos de carácter personal objeto de tratamiento en el sistema de información, incluidas las medidas apropiadas de control de acceso a los datos y un plan de seguridad que se mantendrá actualizado.

2. La Comisión adoptará las medidas necesarias y más avanzadas en caso de incidente de seguridad, adoptará medidas correctoras y velará por que sea posible verificar qué datos personales han sido tratados en el sistema de información, cuándo, por quién y con qué fin.

3. La Comisión informará a las autoridades competentes sobre las medidas relativas a los apartados 1 y 2 del presente artículo.

Artículo 16

Confidencialidad

1. Cada Estado miembro y la Comisión aplicarán sus propias normas sobre secreto profesional u otras obligaciones equivalentes de confidencialidad con respecto al sistema de información de conformidad con el Derecho nacional o de la Unión.

2. Cada agente del sistema de información velará por que las personas que trabajen bajo su autoridad cumplan las exigencias de otros agentes del sistema de información de tratamiento confidencial de la información intercambiada en dicho sistema.

CAPÍTULO V

DISPOSICIONES FINALES

Artículo 17

Traducción

1. La Comisión velará por que el sistema de información esté disponible en todas las lenguas oficiales de la Unión.

2. Un agente del sistema de información podrá generar y usar, en relación con el desempeño de cualquiera de las funciones que le hayan sido conferidas de conformidad con el Reglamento (UE) 2023/1115, cualquier información, documento, constatación, declaración o copia certificada conforme que haya recibido en el sistema de información, sobre la misma base que la información similar obtenida en su propio país, con fines compatibles con aquellos para los que se recogieron originalmente los datos y de conformidad con el Derecho nacional y de la Unión pertinente.

Artículo 18

Gastos

1. Los gastos contraídos para la creación, el mantenimiento y el funcionamiento del sistema de información correrán a cargo de la Comisión.

2. Los gastos asociados del sistema de información a nivel de los Estados miembros, entre los que se encuentran los recursos humanos necesarios para las actividades de formación, promoción y asistencia técnica, así como para la utilización del sistema de información a nivel nacional y cualquier adaptación necesaria en las redes y sistemas de información nacionales, correrán a cargo del Estado miembro que los realice.

Artículo 19

Entrada en vigor

El presente Reglamento entrará en vigor a los tres días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 4 de diciembre de 2024.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1) DO L 150 de 9.6.2023, p. 206, ELI: http://data.europa.eu/eli/reg/2023/1115/oj.

(2) Reglamento (UE) 2017/625 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativo a los controles y otras actividades oficiales realizados para garantizar la aplicación de la legislación sobre alimentos y piensos, y de las normas sobre salud y bienestar de los animales, sanidad vegetal y productos fitosanitarios, y por el que se modifican los Reglamentos (CE) n.o 999/2001, (CE) n.o 396/2005, (CE) n.o 1069/2009, (CE) n.o 1107/2009, (UE) n.o 1151/2012, (UE) n.o 652/2014, (UE) 2016/429 y (UE) 2016/2031 del Parlamento Europeo y del Consejo, los Reglamentos (CE) n.o 1/2005 y (CE) n.o 1099/2009 del Consejo, y las Directivas 98/58/CE, 1999/74/CE, 2007/43/CE, 2008/119/CE y 2008/120/CE del Consejo, y por el que se derogan los Reglamentos (CE) n.o 854/2004 y (CE) n.o 882/2004 del Parlamento Europeo y del Consejo, las Directivas 89/608/CEE, 89/662/CEE, 90/425/CEE, 91/496/CEE, 96/23/CE, 96/93/CE y 97/78/CE del Consejo y la Decisión 92/438/CEE del Consejo (Reglamento sobre controles oficiales) (DO L 95 de 7.4.2017, p. 1, ELI: https://data.europa.eu/eli/reg/2017/625/oj).

(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO L 119 de 4.5.2016, p. 1, ELI: https://data.europa.eu/eli/reg/2016/679/oj).

(4) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39. ELI: https://data.europa.eu/eli/reg/2018/1725/oj).

(5) Reglamento (UE) n.o 952/2013 del Parlamento Europeo y del Consejo, de 9 de octubre de 2013, por el que se establece el código aduanero de la Unión (DO L 269 de 10.10.2013, p. 1, ELI: http://data.europa.eu/eli/reg/2013/952/oj).

Análisis

ANÁLISIS

Rango: Reglamento
Fecha de disposición: 04/12/2024
Fecha de publicación: 06/12/2024
Fecha de entrada en vigor: 09/12/2024
Permalink ELI EUR-Lex: https://data.europa.eu/eli/reg_impl/2024/3084/spa

Referencias anteriores

DE CONFORMIDAD con el Reglamento 2023/1115, de 31 de mayo (Ref. DOUE-L-2023-80809).

Materias

Comercialización
Comercio extracomunitario
Comunicaciones electrónicas
Especies protegidas
Ficheros con datos personales
Ganadería
Políticas de medio ambiente
Procedimiento administrativo
Productos agrícolas
Redes de telecomunicación
Seguridad informática

subir

Agencia Estatal Boletín Oficial del Estado