El DOUE de 16 de septiembre publica la Decisión (UE) 2021/1486 del Banco Central Europeo, de 7 de septiembre de 2021, por la que se adoptan normas internas sobre la limitación de los derechos de los interesados relacionada con las funciones del Banco Central Europeo respecto de la supervisión prudencial de las entidades de crédito (BCE/2021/42).

Esta decisión, que entra en vigor el vigésimo día siguiente al de su publicación, regula la limitación de los derechos de los interesados por el BCE cuando, en el ejercicio de sus funciones de supervisión, lleva a cabo actividades de tratamiento de datos personales registradas en el registro central.

Los derechos de los interesados que pueden ser objeto de limitación se refieren a los siguientes aspectos:

• transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado

• información que debe facilitarse cuando los datos personales se obtengan del interesado

• información que debe facilitarse cuando los datos personales no se hayan obtenido del interesado

• derecho de acceso del interesado

• derecho de rectificación

• derecho de supresión («derecho al olvido»)

• derecho a la limitación del tratamiento

• obligación de notificación relativa a la rectificación o supresión de datos personales o a la limitación del tratamiento

• derecho a la portabilidad de los datos

• comunicación de una violación de la seguridad de los datos personales al interesado

• confidencialidad de las comunicaciones electrónicas

• los que regulan los principios relativos al tratamiento de datos personales, art. 4 del Reglamento 2018/1725, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones anteriores.

Aplicación de las limitaciones

El responsable del tratamiento de datos podrá limitar los derechos mencionados, para salvaguardar los intereses y objetivos mencionados en el art. 25.1, Limitaciones, del Reglamento 2018/1725, en particular cuando el ejercicio de esos derechos suponga un peligro o un perjuicio de otra clase para:

• el desempeño de las funciones de supervisión del BCE, incluido el correcto funcionamiento del sistema de supervisión

• la seguridad y solidez de las entidades de crédito y la estabilidad del sistema financiero dentro de la UE y de cada Estado miembro

• la eficacia de la denuncia de infracciones.

Para salvaguardar los intereses y objetivos mencionados, el responsable del tratamiento de datos podrá limitar los referidos derechos, respecto de los datos personales obtenidos de otras instituciones y organismos de la UE y autoridades competentes de los Estados miembros o terceros países u organizaciones internacionales, en cualquiera de los supuestos siguientes:

• cuando el ejercicio de esos derechos pueda limitarse por otras instituciones y organismos de la UE

• cuando el ejercicio de esos derechos pueda limitarse por las autoridades competentes de los Estados miembros, de las cuales se hayan obtenido los datos personales

• cuando el ejercicio de esos derechos pueda suponer un peligro o un perjuicio de otra clase para la cooperación del BCE, en el desempeño de sus funciones, con terceros países u organizaciones internacionales, de los cuales se haya obtenido la información, salvo que los intereses o los derechos y libertades fundamentales de los interesados prevalezcan sobre el interés del BCE en la cooperación.

El responsable del tratamiento de datos solo podrá aplicar una limitación cuando, tras evaluar cada caso, concluya que la limitación:

• es necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y libertades del interesado, y

• respeta en lo esencial los derechos y libertades fundamentales de una sociedad democrática.

El responsable del tratamiento de datos documentará su evaluación en una nota interna en la que mencionará el fundamento jurídico de la limitación y sus causas, los derechos de los interesados que se limitan, los interesados afectados, la necesidad y proporcionalidad de la limitación y su probable duración.

La decisión por la que el responsable del tratamiento de datos limite los derechos del interesado conforme a esta decisión se tomará al nivel del jefe o subjefe del departamento pertinente en el que se lleve a cabo la operación principal de tratamiento de los datos personales.

La decisión tiene un total de 10 artículos y ocupa 8 páginas.