domingo, 30 de agosto de 2020

LA GRAN REVOLUCIÓN (DIGITAL)


Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Université de Montpellier I Francia.
cferreyros@hotmail.com

PROLOGO

Este es el comentario a un articulo que publicara Juan de la Puente en el Diario La República, el 28 de agosto de 2020, en el cual rescata los avances (Revolución Digital) en el Perú, y particularmente en la actual coyuntura de pandemia. Aparentemente pudiera haber mayores aplicaciones o tráfico, pero realmente creo que no estamos haciendo las cosas bien, algunos ejemplos de los citados grafican esta impresión.

Se anexa al final el articulo extraído de La República y el enlace pertinente.

----------------------------------------------------------------------------------------

Siento que la limitante del espacio y la inmediatez de la información del diario La República haga que el contenido no necesariamente se ajuste a lo esencial o pertinente del mismo. Es la impresión que he tenido al leer el artículo adjunto de Juan de la Puente. Para mí, el proceso digital no es un tsunami para varios países en América Latina, y si bien es cierto que transitamos una tercera Agenda Digital, tengo dudas sobre la década de retraso que le atribuye al Perú, ademas no se establece el parámetro de comparación. Creo sí que ha habido algunos logros y que existen muchísimos profesionales calificados en informática, cómputo, sistemas. 

Lo que sí es  necesario relevar es que la tecnología informática y de comunicaciones - asociadas al ámbito digital -  han cambiado sustancialmente la forma de organización y de producción social.  Es esta idea que debe guiarnos en la trasformación digital, y la que no se tiene en cuenta. A ella hay que agregar otra idea consecuente: no necesariamente las autoridades vinculadas a la planificación, la economía y la secretaría de gobierno electrónico en el Perú se han concertado ni orientado a este cambio estructural que requiere tomar en cuenta el nuevo elemento TIC en el Proyecto Social y la Estrategia de Desarrollo a la  cual aspiramos.  

Mucho menos, la coyuntura de la pandemia debida al Covid, ha mejorado la interacción, ni a mi entender se han registrado avances, mas bien, desvíos, malinterpretaciones. Por citar los casos de claros progresos a que alude el autor, SUNAT, RENIEC y Es Salud, sobre ellos, tengo otro análisis fruto de investigaciones: el primero, ha fagocitado a través de la formula prevista en la Ley 27444, de Encargo de Gestión, la Planilla Electrónica del Ministerio de Trabajo y Promoción del Empleo, hace más de una década, y recientemente, accede a la base de datos de notificaciones de OSINERGIN[1], sin que la Secretaría de Gobierno Electrónico o la Autoridad de Protección de Datos Personales se hayan pronunciado sobre la legalidad o pertinencia, amenazando o vulnerando así los datos personales contenidos en estas bases, estableciendo perfiles conductuales, fiscales, de ciudadanos, contribuyentes, incluidos personas jurídicas.

RENIEC, tiene establecida hace un buen tiempo una política de contratos y convenios de acceso a las bases de datos de registro de personas que viabilizan la interconexión, interoperabilidad con autoridades y funcionarios (Notarios) - en aras justificables de seguridad jurídica - pero sin que en realidad se cumpla el objetivo y mas bien se niegue la finalidad para la cual fue elaborada o consentida, por aquellos que se encuentran en tales registros, incluyendo sus imágenes. Y en Es-Salud, la experiencia no es diferente, existen similares Convenios que ponen a disposición datos sensibles de asegurados, de tele-consultas, que pudieran lesionar la intimidad o privacidad de los registrados o pacientes, información relevante para bancos, seguros, centrales de riesgo.

Sobre el Poder Judicial y el "notable Expediente Judicial", este no es sino la digitalización de la imagen contenida en los documentos del expediente físico. Aun no se desarrollan aplicativos de Ayuda a la Decisión Judicial, o Sistemas Expertos, que permitan liberar a los magistrados de tareas repetitivas o rutinarias, o normalizar procesos más sencillos o sumarísimos que disminuyan la carga procesal, como el de Demanda de alimentos y avocarse a tareas mas complejas.

Sobre las Mesas de Partes Electrónicas, muchas instituciones han implementado este sistema, pero resultan solo repositorios de solicitudes, demandas, sin que éstas se articulen con sistemas de notificación electrónica o correos electrónicos, o sistemas de seguimiento de expedientes, a fin de constituir relaciones simétricas de comunicaciones entre la administración y los administrados.

Sobre lo que si concuerdo, es que los Poderes del Estado no convergen en asegurar una auténtica separación y equilibrio de poderes, ni se les dota de los recursos, métodos, protocolos necesarios para implementar una política tecnológica de mediano plazo.  Un ejemplo de ello es la función, no autónoma ni independiente, que ejerce la Autoridad Nacional de Protección de Datos Personales, dependiente de la Dirección General  de Transparencia, Acceso a la Información Publica del Despacho Vice-ministerial de Justicia del Ministerio de Justicia, adscrito al Poder Ejecutivo, en relación con los otros dos poderes del Estado, cuando esta Autoridad es completamente autónoma e independiente de cualquier Poder político, como se registra en Europa.

No se tiene mucho menos una política de reutilización de datos públicos, es indefinida la política de interconexión e interoperabilidad inter e intra institucional pública, no se tiene Estrategia sobre Inteligencia Artificial, Datos, Big Data, ni se ha regulado la Identidad digital, ni se tiene clara la Política 35 o Política de Sociedad de la información y sociedad del conocimiento del Acuerdo Nacional, cuyo punto de inflexión es proveer Internet libre, abierto, neutro y accesible para todos, cuando es evidente que sostener nuestra política sobre la Sociedad de la Información y del Conocimiento, basada en un instrumento propiedad de los Estados Unidos de América y sujeto a las autoridades judiciales de California - vía el Departamento de Comercio estadounidense quienes ejercen jurisdicción y veto en última instancia sobre las decisiones de gestión que ejercen ICANN, IETF y W3C (Internet Corporation for Assigned Names and Numbers, Internet Engineering Task Force, World Wide Web Consortium, respectivamente) - puede afectar la soberanía y jurisdicción del Perú en el uso de ese instrumento. Y máxime si existen otras formas de obrar por la Gobernanza ampliada de Internet, o recurrir a similares instrumentos.

Dos puntos importantes en la Agenda Digital que no has sido suficientemente evidenciado, son primero, mejorar, profundizar la enseñanza superior del derecho aplicado, no solamente a las Nuevas Tecnologías de la Información y de la Comunicación, sino a las Nuevas tecnologías relacionadas con tecnologías convergentes: Nanotecnologías, Biotecnologías y Ciencias Cognitivas, o NBIC. No existe una sola Universidad en el Perú que dispense Maestrías o Doctorados convergentes de estas especialidades. El segundo, es inventariar, analizar, ordenar, racionalizar, concordar la profusa y a veces contradictoria legislación en materia de tecnologías, pero también respecto de los conceptos y alcances jurídicos.

En conclusión, creo que hemos planificado aproximativamente, regulado de manera dispersa y sin seguimiento  y no hemos invertido lo suficiente, las responsabilidades son evidentes. El futuro y hegemonía de las sociedades mas adelantadas se juega ahora en función de la disponibilidad, aplicación y convergencia de las nuevas tecnologías, ellas son las que definen las nuevas formas de organización, de producción pero sobre todo de acceso a los nuevos mercados y mercancías necesarias para ello. Por ahora, la producción de bienes materiales, particularmente mineros-metálicos en el Perú han sostenido el crecimiento económico, el futuro se diseña en adelante según la producción de bienes y servicios inmateriales, y la ponderación de estos en el mercado. Estamos preparados para esos nuevos desafíos? Cuál es ese otro banco del ciego Perú en el cual nos sentaremos a futuro, según Raymondi? Tenemos que revisar la tarea.

----------------------------------------------------------------------------------



La gran revolución (digital) Juan de la Puente.
La gran revolución (digital)La República Viernes 28 Ago 2020 | 11:12 h

“‘Lo digital’ es y lo será en definitiva el principal recurso civilizatorio. Es la gran revolución que distribuye oportunidades y lamentablemente desigualdades”

La pandemia ha disparado la interacción digital que para la mayoría era un medio alternativo de relación social. “Lo digital” es y lo será en definitiva el principal recurso civilizatorio. Es la gran revolución que distribuye oportunidades y lamentablemente desigualdades.

El proceso implica un auténtico tsunami para varios países de A. Latina. El impacto encuentra a algunos con avances en infraestructura, acceso y conectividad, y a otros con demoras. Es el caso del Perú que poco antes de la pandemia estrenó su tercera agenda digital, y que experimenta por lo menos una década de retraso.

A pesar de ello, en cinco meses de emergencia se registra avances notables en el sector público y privado, aunque emerge el problema de fondo, la falta de una política integral en la emergencia y la debilidad institucional del organismo que lidera las acciones de gobierno electrónico.

Se aprecia sectores con claros progresos, como la SunatReniecEsSalud y la administración de justicia, y otros muy a la zaga, como Produce, Salud, Educación, Agricultura e Interior. La Sunat, el principal dinamizador digital del país, acaba de poner en valor el 100% de exportación, en tanto que en EsSalud se han disparado las teleconsultas, 41 mil en mayo y 404 mil en agosto, un mil por ciento de aumento. Esta institución ha desarrollado el Mapa de Calor conjugando tres bases de datos, del Reniec, Google Maps y los pacientes Covid-19.

En el Poder Judicial es notable el Expediente Judicial Electrónico (EJE) y la Mesa de Partes Electrónica (MPE) que entre mayo y julio recibió 173 mil documentos a nivel nacional. A junio de este año habían ingresado mil demandas electrónicas que dieron inicio a expedientes judiciales digitales. El EJE se aplica en 101 órganos jurisdiccionales en las especialidades comercial, tributario, aduanero y laboral.

El TC, hasta el 7 de julio, recibió 800 demandas mediante su ventanilla virtual, en tanto que el Ministerio Público instaló un sistema de mesas de partes para la presentación de documentos y denuncias en la Fiscalía Provincial Penal, la Fiscalía de Violencia Contra la Mujer y los Integrantes del Grupo Familia y correos electrónicos como mesas de partes virtuales en las fiscalías de Lima.
No obstante, los procesos se traban porque otras partes del Estado carecen de recursos virtuales y hasta de ventanillas digitales. Miles de decisiones del nivel central, regional y local que podrían adoptarse de modo remoto no se toman por falta de una asimilación efectiva de las tecnologías de la información. A inicios de agosto, la Autoridad Nacional de Transparencia y Acceso a la Información Pública reportó que de 30 entidades supervisadas, 4 no difunden información sobre la mesa de partes virtual en sus portales institucionales (entre ellos Congreso de la República y el Minsa), y que solo 3 publicaban información en la Plataforma de Datos Abiertos (MEFMinsa y Midis).

El tiempo apremia. Debe actuarse para impedir que en el breve plazo la brecha digital cause mayores perjuicios. La pandemia ha ensanchado la desigualdad. Millones de niños y jóvenes de la educación pública no pueden proseguir su formación académica ya no por la pandemia, precisamente, sino porque no pueden acceder a tecnologías y/o conexión, o porque el emisor no puede reanudar el dictado de clases. La brecha digital no es una forma de injusticia; es la madre de varias inequidades.





[1] Sobre el particular ver: "EL ENCARGO DE GESTIÓN COMO CABALLO DE TROYA A LOS DATOS PERSONALES EN EL SISTEMA DE NOTIFICACIONES ELECTRÓNICAS DE OSINERGMIN-SUNAT CLAVE SOL", en el siguiente enlace:  https://derecho-ntic.blogspot.com/2020/08/encargo-de-gestion-o-caballo-de-troya.html

jueves, 27 de agosto de 2020

LIMITACIONES DE DERECHOS EN RELACIÓN CON EL TRATAMIENTO DE DATOS PERSONALES EN EL MARCO DEL FUNCIONAMIENTO DE LA OFICINA EUROPEA DE APOYO AL ASILO (EASO).


Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Université de Montpellier I Francia.
cferreyros@hotmail.com

PROLOGO


La protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal (datos personales) es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) disponen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. También el artículo 8 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales garantiza ese derecho.

Sin embargo, algunas Oficinas Europeas, en el caso de figura, la Oficina Europea de Apoyo al Asilo, EASO, puede verse obligada a limitar el derecho a la información al interesado y otros derechos de este para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones o los procedimientos de otro tipo que se lleven a cabo. Además, debe controlar de manera periódica si siguen siendo de aplicación las condiciones que justifiquen la limitación y eliminar la limitación en cuanto dejen de resultar aplicables.

EASO propone un otro enfoque respeto de dos categorías de datos personales: datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).

Esta Decisión Europea se aplica a las operaciones de tratamiento de datos personales llevadas a cabo por EASO con el propósito de hacer indagaciones administrativas, incoar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la European Anti-Fraud Office, (OLAF).

-----------------------------------------------------------------------------------------

DECISIÓN n.o 64 DEL CONSEJO DE ADMINISTRACIÓN DE LA OFICINA EUROPEA DE APOYO AL ASILO
de 6 de julio de 2020
por la que se adopta el reglamento interno relativo a las limitaciones de ciertos derechos de interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de EASO
EL CONSEJO DE ADMINISTRACIÓN DE LA OFICINA EUROPEA DE APOYO AL ASILO (EN LO SUCESIVO, «EASO»),

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos, oficinas y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,

Visto el Reglamento (UE) n.o 439/2010 del Parlamento Europeo y del Consejo, de 19 de mayo de 2010, por el que se crea EASO y se deroga el Reglamento del Consejo (CEE) n.o 1365/75 (2), y en particular su artículo 29,

Visto el dictamen del Supervisor Europeo de Protección de Datos (en lo sucesivo, «SEPD»), de 20 de mayo de 2020, y la orientación del SEPD sobre el artículo 25 del nuevo Reglamento y las normas internas,

Considerando lo siguiente:

(1) EASO lleva a cabo sus actividades de conformidad con su Reglamento (UE) n.o 439/2010.


(2) De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 21, 35 y 36, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 21, deben basarse en normas internas adoptadas por EASO cuando no se encuentren fundamentadas en actos jurídicos adoptados con arreglo a los Tratados.


(3) Estas normas internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la proporcionalidad de la limitación, no deben aplicarse cuando un acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los derechos de interesados.


(4) Cuando EASO ejerza sus funciones con respecto a los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.


(5) En el marco de su funcionamiento administrativo, EASO puede hacer indagaciones administrativas, incoar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, tramitar casos de denuncia de irregularidades, tramitar procedimientos (formales e informales) en casos de acoso, tramitar reclamaciones internas y externas, realizar auditorías internas, emprender investigaciones a través del responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y llevar a cabo investigaciones internas sobre la seguridad (informática), así como gestionar peticiones de los miembros del personal para acceder a sus fichas médicas.

EASO trata diversas categorías de datos personales, incluidos los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).


(6) EASO, representado por su director ejecutivo, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro del propio EASO al objeto de reflejar las diversas responsabilidades operativas por las distintas tareas de tratamiento de datos personales.


(7) Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide el uso indebido o el acceso ilícito a personas que no necesiten conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados no se retienen durante un tiempo superior al necesario y el adecuado para los fines para los que se hubieran tratado durante el período especificado en los anuncios de protección de datos o los registros de EASO.


(8) Estas normas internas deben aplicarse a todas las operaciones de tratamiento de datos llevadas a cabo por EASO en el ejercicio de sus indagaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, procedimientos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitación de quejas internas y externas, auditorías internas, investigaciones llevadas a cabo por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE) así como la gestión de solicitudes de acceso por parte de miembros del personal a sus fichas médicas.


(9) Estas normas internas deben aplicarse a las operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente, durante estos y durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos. También se incluyen la asistencia y la cooperación prestadas por EASO a las autoridades nacionales y las organizaciones internacionales al margen de sus investigaciones administrativas.


(10) En los casos en los que resultan aplicables estas normas internas, EASO debe justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar el contenido esencial de los derechos y las libertades fundamentales.


(11) En este contexto, EASO debe respetar, en la medida de lo posible, los derechos fundamentales de los interesados durante los procedimientos anteriores, en particular, los relativos al derecho a la comunicación de información al interesado, los derechos de acceso y rectificación, el derecho a la supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado y la confidencialidad de las comunicaciones electrónicas, de conformidad con el Reglamento (UE) 2018/1725.


(12) Sin embargo, EASO puede verse obligado a limitar el derecho a la información al interesado y otros derechos de este para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones o los procedimientos de otro tipo que se lleven a cabo.


(13) EASO debe controlar de manera periódica si siguen siendo de aplicación las condiciones que justifiquen la limitación y alzar la limitación en cuanto dejen de resultar aplicables.


(14) El responsable del tratamiento deberá informar al responsable de protección de datos en el momento en el que la limitación sea de aplicación y durante las revisiones posteriores e involucrarse en todo el procedimiento hasta que se alce la limitación.

HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Objeto y ámbito de aplicación
1.   La presente Decisión establece normas sobre las condiciones en las que EASO podrá limitar la aplicación de los derechos consagrados en los artículos 14 a 21, 35 y 36, así como el artículo 4 del Reglamento (UE) 2018/1725 en el contexto de los procedimientos establecidos en el párrafo 2 de conformidad con lo dispuesto en el artículo 25 de dicho Reglamento.
2.   En el marco del funcionamiento administrativo de EASO, esta decisión se aplica a las operaciones de tratamiento de datos personales llevadas a cabo por EASO a los efectos de hacer indagaciones administrativas, incoar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF[1], tramitar casos de denuncia de irregularidades, incoar procedimientos (formales e informales) para casos de acoso, así como reclamaciones internas y externas, realizar auditorías internas, investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE), así como la gestión de las solicitudes de acceso de los miembros del personal a sus fichas médicas.
3.   Las categorías de datos de que se trata son los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).
4.   Cuando EASO ejerza sus funciones con respecto a los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.
5.   Con arreglo a las condiciones previstas en la presente Decisión, las limitaciones pueden aplicarse a los siguientes derechos: el derecho a recibir información del interesado, el derecho de acceso, rectificación, supresión, limitación del tratamiento, comunicación de una violación de la seguridad de los datos personales al interesado y confidencialidad de las comunicaciones.
Artículo 2
Especificación del responsable del tratamiento y salvaguardas
1.   Para prevenir el uso indebido, el acceso ilícito o la transferencia, EASO aplicará las salvaguardias que se detallan a continuación:
a) los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda acceder el personal autorizado;

b) todos los datos en formato electrónico deberán almacenarse en una aplicación informática segura que respete las normas de seguridad de EASO y en carpetas electrónicas específicas a las que únicamente pueda acceder el personal autorizado. Deberán concederse de manera individualizada los niveles de acceso adecuados;

c) el entorno informático de EASO será accesible a través de un sistema de autenticación única y estará conectado automáticamente al identificador y la contraseña del usuario. Los registros electrónicos se conservarán de manera segura para salvaguardar la confidencialidad y la privacidad de los datos que contengan;

d) todas las personas que dispongan de acceso a los datos quedarán sujetas a una obligación de confidencialidad.
2.   El responsable de las operaciones de tratamiento será EASO, representado por su director ejecutivo, quien podrá delegar la función de responsable del tratamiento de datos. En los casos en que el Director Ejecutivo esté sujeto a una investigación administrativa, un procedimiento disciplinario o una investigación interna, el Consejo de Administración representará a EASO como el controlador de datos (como autoridad de nombramiento del Director Ejecutivo). Se informará a los interesados la identidad del responsable del tratamiento delegado por medio de anuncios de protección de datos o de registros publicados en el sitio web o la intranet de EASO.
3.   El período de retención de los datos personales al que hace referencia el artículo 1, apartado 3, de la presente Decisión no superará el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos. En ningún caso deberá superar el período de retención especificado en los avisos sobre la protección de datos o los registros a los que se hace referencia en el artículo 3, apartado 3, de la presente Decisión.
4.   Cuando EASO estudie aplicar una limitación, deberá sopesarse el riesgo para los derechos y las libertades del interesado, en particular, con el riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por EASO, en concreto por la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.
Artículo 3
Limitaciones
1.   Las limitaciones se aplicarán solo por EASO sobre la base de uno o varios motivos de los listados en el artículo 25, apartado 1, letras a) a i), del Reglamento (UE) 2018/1725. En concreto, en el contexto de los fines del tratamiento de los datos personales indicados en el artículo 1, apartado 2, de la presente Decisión, las limitaciones podrán basarse en los motivos siguientes:
a) para el desarrollo de las medidas de investigación y los procedimientos disciplinarios, las limitaciones se basarán en el artículo 25, apartado 1, letras b), c), g) y h), del Reglamento (UE) 2018/1725;

b) para las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, las limitaciones se basarán en el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento (UE) 2018/1725;

c) para los procedimientos de denuncia de irregularidades, las limitaciones se basarán en el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento (UE) 2018/1725;

d) para incoar procedimientos (formales e informales) en casos de acoso, las limitaciones se basarán en el artículo 25, apartado 1, letras b), f), h) e i), del Reglamento (UE) 2018/1725;

e) para el tratamiento de las reclamaciones internas y externas, las limitaciones se basarán en el artículo 25, apartado 1, letras c), e), g) y h), del Reglamento (UE) 2018/1725;

f) para las auditorías internas, las limitaciones se basarán en el artículo 25, apartado 1, letras c),g) y h), del Reglamento (UE) 2018/1725;

g) para las investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725, las limitaciones se basarán en el artículo 25, apartado 1, letras c), g) y h), del citado Reglamento;

h) para las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE), las limitaciones se basarán en el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento (UE) 2018/1725;

i) para la gestión de solicitudes de acceso por parte de miembros del personal a sus fichas médicas, las limitaciones se basarán en el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725.
2.   Como aplicación concreta de los fines descritos en el apartado 1 anterior, EASO podrá establecer limitaciones sobre los derechos previstos en el artículo 1, apartado 5, de la presente Decisión en las circunstancias que se detallan a continuación:
a) cuando otra institución, órgano, oficina u organismo de la Unión pueda limitar el ejercicio de estos derechos sobre la base de otros actos regulados en el artículo 25 del Reglamento (UE) 2018/1725, o de conformidad con lo dispuesto en el capítulo IX de dicho Reglamento o con sus actos de financiación, y la finalidad de dicha limitación por la otra institución, órgano u organismo pudiera verse comprometida si EASO no aplicara una limitación igual en relación con los mismos datos personales;

b) cuando la autoridad competente de un Estado miembro pueda limitar el ejercicio de esos derechos sobre la base de otros actos regulados en el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo (3), o al amparo de medidas nacionales de transposición del artículo 13, apartado 3; del artículo 15, apartado 3; o del artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y el Consejo (4) y la finalidad de tal limitación por parte de dicha autoridad competente de un Estado miembro pudiera verse comprometida si EASO no aplicara una limitación igual en relación con los mismos datos personales;

c) cuando el ejercicio de esos derechos pueda comprometer la cooperación de EASO con terceros países u organizaciones internacionales en el desempeño de sus funciones.
Antes de aplicar limitaciones en las circunstancias mencionadas en las letras a) y b) del párrafo primero, EASO deberá consultar a las instituciones, órganos y organismos de la Unión pertinentes o a las autoridades competentes de los Estados miembros, a menos que para EASO resulte evidente que está prevista la aplicación de una limitación por uno de los actos a que se hace referencia en dichos puntos.
3.   En los avisos de protección de datos o los registros, en el sentido del artículo 31 del Reglamento (UE) 2018/1725, publicados en su sitio web o la intranet, donde se informe a los interesados de sus derechos en el marco de determinado procedimiento, EASO incluirá información relativa a la posible limitación de dichos derechos. Esta información indicará qué derechos pueden limitarse, las razones de la limitación y la posible duración de esta.
Sin perjuicio de lo dispuesto en el artículo 5, apartado 2, cuando resulte proporcionado, EASO también informará de manera individualizada a todos los titulares de datos que se consideren interesados en la operación de tratamiento concreta, cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.
4.   Toda limitación deberá ser necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y las libertades de los interesados y el respeto del contenido esencial de los derechos y las libertades fundamentales en una sociedad democrática.
5.   Si se estudia aplicar una limitación, deberá llevarse a cabo una prueba de la necesidad y la proporcionalidad basada en las presentes normas. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.
6.   Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hayan justificado; en particular, cuando se considere que el ejercicio del derecho limitado ya no socava la eficacia de la limitación impuesta ni afecta negativamente a los derechos o las libertades de otros interesados.
Artículo 4
Revisión por parte del responsable de la protección de datos
1.   EASO informará a su responsable de protección de datos (en lo sucesivo, «RPD»), sin dilaciones indebidas, de toda situación en que el responsable del tratamiento limite la aplicación de los derechos de los interesados o prorrogue la limitación de conformidad con la presente Decisión. El responsable del tratamiento proporcionará al RPD acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación y documentará en dicho registro la fecha de la notificación al RPD. El RPD se implicará a lo largo del procedimiento completo hasta que se alce la limitación.
2.   El RPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. Este notificará por escrito al RPD el resultado de la revisión solicitada.
3.   El responsable del tratamiento notificará al RPD el levantamiento de las limitaciones.
Artículo 5
Limitación del derecho a la información que se comunica al interesado
1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la información en el contexto de las siguientes operaciones de tratamiento:
a) la realización de investigaciones administrativas y los procedimientos disciplinarios;

b) las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c) los procedimientos de denuncia de irregularidades;

d) los procedimientos (formales e informales) en casos de acoso;

e) las tramitaciones de quejas internas y externas;

f) las auditorías internas;

g) las investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

h) las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).
2.   Cuando EASO limite, total o parcialmente, la comunicación de información a los interesados a que se refieren los artículos 14 a 16 del Reglamento (UE) 2018/1725, hará constar los motivos de la limitación y el fundamento jurídico con arreglo al artículo 3 de la presente Decisión, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.
La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.
3.   La limitación a que se refiere el apartado 2 seguirá en vigor mientras los motivos que la justifiquen sigan siendo aplicables.
Cuando los motivos que justifiquen la limitación dejen de ser aplicables, EASO informará al interesado de los principales motivos en que se hubiera basado la aplicación de la limitación. Al mismo tiempo, EASO informará al interesado del derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o a interponer un recurso ante el Tribunal de Justicia de la Unión Europea («Tribunal de Justicia»).
EASO revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación o el procedimiento pertinentes. Posteriormente, el responsable del tratamiento deberá supervisar cada seis meses la necesidad de mantener cualquier limitación. La prueba de la necesidad y la proporcionalidad regulada en el artículo 3, apartado 5, se llevará a cabo en el contexto de cada revisión periódica, de acuerdo con una evaluación sobre si aún son de aplicación los motivos fácticos y legales de la limitación.
Artículo 6
Limitación del derecho de acceso de los interesados
1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de acceso de los interesados cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:
a) la realización de investigaciones administrativas y los procedimientos disciplinarios;

b) las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c) los procedimientos de denuncia de irregularidades;

d) los procedimientos (formales e informales) en casos de acoso;

e) las tramitaciones de quejas internas y externas;

f) las auditorías internas;

g) las investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

h) las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE);

i) la gestión de solicitudes de acceso por parte de miembros del personal a sus fichas médicas.
Cuando los interesados soliciten el acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una determinada operación de tratamiento, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, EASO deberá circunscribir su evaluación de la solicitud a dichos datos personales únicamente.
2.   Cuando EASO limite, en su totalidad o en parte, el derecho de acceso a que se refiere el artículo 17 del Reglamento (UE) 2018/1725, deberá adoptar las medidas siguientes:
a) informará al interesado, en su respuesta a la solicitud, de la limitación y los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia;

b) documentará en una nota interna de evaluación los motivos de la limitación, incluida una evaluación de la necesidad, la proporcionalidad y la duración de la limitación.
Las limitaciones impuestas sobre el derecho de acceso de los miembros del personal a sus fichas médicas solo abarcará las solicitudes de acceso directo por parte de los miembros del personal a los datos médicos de naturaleza psicológica o psiquiátrica cuando una evaluación realizada caso por caso revele que es necesario un acceso indirecto para la protección de los interesados. El acceso a dichos datos se concederá a través de la intermediación de un médico designado por el interesado afectado. Se concederá al médico elegido por el interesado acceso a toda la información, así como facultad discrecional para decidir cómo acceder y qué acceso otorgar al interesado.
La comunicación de la información mencionada en la letra a) podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.
EASO revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación o el procedimiento pertinentes. Posteriormente, el responsable del tratamiento deberá supervisar cada seis meses la necesidad de mantener cualquier limitación.
La prueba de la necesidad y la proporcionalidad regulada en el artículo 3, apartado 5, se llevará a cabo en el contexto de cada revisión periódica, de acuerdo con una evaluación sobre si aún son de aplicación los motivos fácticos y legales de la limitación.
3.   La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.
Artículo 7
Limitación de los derechos de los interesados de rectificación, supresión y limitación del tratamiento
1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de rectificación, supresión y limitación, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:
a) la realización de investigaciones administrativas y los procedimientos disciplinarios;

b) las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c) los procedimientos de denuncia de irregularidades;

d) los procedimientos (formales e informales) en casos de acoso;

e) las tramitaciones de quejas internas y externas;

f) las auditorías internas;

g) las investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

h) las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).
2.   Cuando EASO limite, total o parcialmente, la aplicación de los derechos de rectificación, supresión o limitación del tratamiento de los datos a los que se refieren el artículo 18; el artículo 19, apartado 1; y el artículo 20, apartado 1, del Reglamento (UE) 2018/1725, respectivamente, adoptará las medidas contempladas en el artículo 6, apartado 2, de la presente Decisión y las consignará de conformidad con lo dispuesto en su artículo 6, apartado 3.
Artículo 8
Limitación de los derechos de comunicación de una violación de la seguridad de los datos personales al interesado y confidencialidad de las comunicaciones electrónicas
1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:
a) la realización de investigaciones administrativas y los procedimientos disciplinarios;

b) las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c) los procedimientos de denuncia de irregularidades;

d) las tramitaciones de quejas internas y externas;

e) las auditorías internas;

f) las investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

g) las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).
2.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:
a) la realización de investigaciones administrativas y los procedimientos disciplinarios;

b) las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c) los procedimientos de denuncia de irregularidades;

d) los procedimientos formales en casos de acoso;

e) las tramitaciones de quejas internas y externas;

f) las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).
3.   Cuando EASO limite los derechos de comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones electrónicas a que se refieren los artículos 35 y 36 del Reglamento (UE) 2018/1725, respectivamente, deberá anotar y registrar los motivos de la limitación de conformidad con lo dispuesto en el artículo 5, apartado 2, de la presente Decisión. Será también de aplicación el artículo 5, apartado 3, de la presente Decisión.
Artículo 9
Entrada en vigor
La presente Decisión entrará en vigor el día siguiente de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Valletta Harbour, el 6 de julio de 2020.
Por la Oficina Europea de Apoyo al Asilo
David COSTELLO
Presidente del Consejo de Administración


(3)  . Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(4)  . Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
[1] European Anti-Fraud Office (OLAF)