jueves, 6 de agosto de 2020

LIMITACIÓN DE DERECHOS DE LOS INTERESADOS EN EL TRATAMIENTO DE DATOS PERSONALES EN LAS ACTIVIDADES DE LA AGENCIA EUROPEA DE CONTROL DE LA PESCA





Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Université de Montpellier I Francia.
cferreyros@hotmail.com
PROLOGO
La protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal (datos personales) es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) disponen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. También el artículo 8 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales garantiza ese derecho.

El Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo proporciona a las personas físicas unos derechos protegidos jurídicamente, especifica las obligaciones de los responsables del tratamiento dentro de las instituciones y los organismos de la Unión en materia de tratamiento de datos y crea una autoridad de control independiente, el Supervisor Europeo de Protección de Datos, responsable de la vigilancia de los tratamientos de datos personales efectuados por las instituciones y los organismos de la Unión. Sin embargo, no se aplica al tratamiento de datos personales en el ejercicio de una actividad de las instituciones y los organismos de la Unión no comprendida en el ámbito de aplicación del Derecho de la Unión.

La presente Decisión establece las normas relativas a las condiciones en las que la Agencia Europea de Control de la Pesca, en el marco de sus procedimientos establecidos en el apartado 2, puede limitar la aplicación de los derechos previstos en los artículos 14 a 21, 35 y 36, y también del artículo 4 del mismo, de conformidad con el artículo 25 del Reglamento (UE) 2018/1725 

Esta Decisión puede servir como instrumento de orientación en Latinoamérica para el establecimiento y aplicación de normas estándar  sobre la limitación de derechos de los interesados en el tratamiento de datos personales, de las diferentes Autoridades Nacionales de Protección de Datos Personales.


-----------------------------------------------------------------------------------------------------------
INDICE

ARTÍCULO 1 - OBJETO Y ÁMBITO DE APLICACIÓN
ARTÍCULO 2 - ESPECIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO Y SALVAGUARDAS
ARTICULO 3 - LIMITACIONES
ARTÍCULO 4 - REVISIÓN POR PARTE DEL RESPONSABLE DE PROTECCIÓN DE DATOS
ARTÍCULO 5 - COMUNICACIÓN DE INFORMACIÓN AL INTERESADO
ARTÍCULO 6 - DERECHO DE ACCESO DEL INTERESADO
ARTÍCULO 7 - DERECHO DE RECTIFICACIÓN, SUPRESIÓN Y LIMITACIÓN DEL TRATAMIENTO DE DATOS
ARTÍCULO 8 - COMUNICACIÓN DE UNA VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS PERSONALES AL INTERESADO Y CONFIDENCIALIDAD DE LAS COMUNICACIONES ELECTRÓNICAS
ARTICULO 9 - ENTRADA EN VIGOR

-----------------------------------------------------------------------------------------------------------

EL CONSEJO DE ADMINISTRACIÓN DE LA AGENCIA EUROPEA DE CONTROL DE LA PESCA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos, oficinas y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,

Visto el Reglamento (UE) 2019/473 del Parlamento Europeo y del Consejo, de 19 de marzo de 2019, sobre la Agencia Europea de Control de la Pesca (2) («Agencia»), y en particular su artículo 32, apartado 2, letra h),

Previa consulta al Supervisor Europeo de Protección de Datos sobre esta decisión, de conformidad con el artículo 41, apartado 2, del Reglamento (UE) 2018/1725,

Considerando lo siguiente:

(1) El Reglamento (UE) 2019/473 creó la Agencia Europea de Control de la Pesca, cuyo objetivo es organizar la coordinación operativa de las actividades de control e inspección de la pesca de los Estados miembros y auspiciar la cooperación entre ellos al objeto de cumplir las normas de la política pesquera común para garantizar que se apliquen de manera eficaz y uniforme.

(2) De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, deben basarse en normas internas adoptadas por la Agencia cuando no se encuentren fundamentadas en actos jurídicos adoptados con arreglo a los Tratados.

(3) Estas normas internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la proporcionalidad de la limitación, no deben aplicarse cuando un acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los derechos de los interesados.

(4) Cuando la Agencia ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

(5) En el marco de su funcionamiento administrativo, la Agencia puede hacer indagaciones administrativas, incoar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la Oficina Europea de Lucha contra el Fraude (OLAF), tramitar casos de denuncia de irregularidades, tramitar procedimientos formales e informales en casos de acoso, tramitar reclamaciones internas y externas, realizar auditorías internas, emprender investigaciones a través del responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y llevar a cabo investigaciones internas sobre seguridad (informática).

(6) En el marco de sus actividades operativas, la Agencia recibe informes de inspección de los inspectores de la Unión, de conformidad con el artículo 123 del Reglamento de Ejecución (UE) n.o 404/2011 (3) de la Comisión, los artículos 18, 19 y 20 del Reglamento (UE) n.o 1236/2010 del Parlamento Europeo y del Consejo (4) y los artículos 30, 33 y 34 del Reglamento (UE) 2019/833 del Parlamento Europeo y del Consejo (5). La Agencia también recibe información y datos de los Estados miembros en el contexto del análisis proporcionado a la Comisión Europea para la preparación y la realización de misiones in situ en terceros países de conformidad con el artículo 20, apartado 4, letra c), del Reglamento (CE) n.o 1005/2008 del Consejo (6), tal como se establece en la Decisión 2009/988/UE de la Comisión (7).

(7) La Agencia trata diversas categorías de datos personales, incluidos los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).

(8) La Agencia, representada por su director ejecutivo, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro de la propia Agencia al objeto de reflejar las diversas responsabilidades operativas de las tareas específicas de tratamiento de datos personales.

(9) Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide el acceso ilícito a personas que no necesiten conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados no se retienen durante un tiempo superior al necesario y al adecuado para los fines para los que estos se hayan tratado durante el período especificado en los avisos de protección de datos, las declaraciones de confidencialidad y privacidad o los registros de la Agencia.

(10) Estas normas internas deben aplicarse a todas las operaciones de tratamiento de datos llevadas a cabo por la Agencia en el ejercicio de sus indagaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, procedimientos de denuncia de irregularidades, procedimientos formales e informales en casos de acoso, tramitación de quejas internas y externas, auditorías internas, investigaciones llevadas a cabo por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725, investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE) y las actividades operativas mencionadas en el considerando 6 que antecede.

(11) Las normas internas deben aplicarse a las operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente, durante estos, durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos y al implementar las actividades operativas mencionadas en el considerando 6 que antecede. También se deben incluir la asistencia y la cooperación prestadas por la Agencia a las autoridades nacionales y las organizaciones internacionales al margen de sus investigaciones administrativas.

(12) En los casos en los que resultan aplicables estas normas internas, la Agencia debe justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar el contenido esencial de los derechos y las libertades fundamentales.

(13) En este contexto, la Agencia debe respetar, en la medida de lo posible, los derechos fundamentales de los interesados durante los procedimientos anteriores, en particular, los relativos al derecho a la comunicación de información, el acceso y la rectificación, el derecho a la supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725.

(14) Sin embargo, la Agencia podrá verse obligada a limitar la comunicación de información al interesado y otros derechos del interesado para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones o con los procedimientos de otro tipo que se lleven a cabo.

(15) En consecuencia, la Agencia podrá limitar la información a los efectos de proteger la investigación y los derechos y libertades fundamentales de otros interesados.

(16) La Agencia debe controlar de manera periódica que se cumplan las condiciones que justifiquen la limitación y levantar la restricción en cuanto dejen de resultar aplicables.

(17) El responsable del tratamiento debe notificar al responsable de protección de datos en el momento del aplazamiento y durante las revisiones.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1 Objeto y ámbito de aplicación

1.   La siguiente Decisión establece las normas relativas a las condiciones en las que la Agencia, en el marco de sus procedimientos establecidos en el apartado 2, puede limitar la aplicación de los derechos previstos en los artículos 14 a 21, 35 y 36, y también del artículo 4 del mismo, de conformidad con el artículo 25 del Reglamento (UE) 2018/1725.

2.   En el marco del funcionamiento administrativo de la Agencia, esta Decisión se aplica a las operaciones de tratamiento de datos personales realizadas a efectos de llevar a cabo investigaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, tramitaciones de casos de denuncia de irregularidades, procedimientos formales e informales en casos de acoso, tramitaciones de quejas internas y externas, auditorías internas, investigaciones realizadas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

3.   En el marco de las actividades operativas de la Agencia, la presente Decisión se aplica a las operaciones de tratamiento de datos personales a efectos del cumplimiento de su mandato, en particular la recepción de informes de inspección de conformidad con el artículo 123 del Reglamento de Ejecución (UE) n.o 404/2011, los artículos 18, 19 y 20 del Reglamento (UE) n.o 1236/2010 y los artículos 30, 33 y 34 del Reglamento (UE) 2019/833, así como de la información y los datos recibidos de los Estados miembros en el contexto del análisis proporcionado a la Comisión Europea para la preparación y realización de misiones in situ en terceros países de conformidad con el artículo 20, apartado 4, letra c), del Reglamento (CE) n.o 1005/2008, tal como se establece en la Decisión 2009/988/UE.

4.   Las categorías de datos de que se trata son los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).

5.   Cuando la Agencia ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

6.   Con arreglo a las condiciones previstas en la presente Decisión, las limitaciones pueden aplicarse a los siguientes derechos: la comunicación de información a los interesados, el derecho de acceso, la rectificación, la supresión, la limitación del tratamiento, la comunicación de una violación de la seguridad de los datos personales al interesado y la confidencialidad de las comunicaciones.

Artículo 2 Especificación del responsable del tratamiento y salvaguardas

1.   Para prevenir el uso, acceso o transferencia ilícitos, la Agencia aplicará las salvaguardias siguientes:

a) los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda acceder el personal autorizado;

b) todos los datos en formato electrónico deberán almacenarse en una aplicación informática segura que respete las normas de seguridad de la Agencia y en carpetas electrónicas específicas a las que únicamente pueda acceder el personal autorizado. Deberán concederse de manera individualizada los niveles de acceso adecuados;

c) los sistemas informáticos y sus bases de datos dispondrán de mecanismos para comprobar la identidad del usuario en un sistema de autenticación única y conectada automáticamente al identificador y la contraseña del usuario. Las cuentas de usuario final serán únicas, personales e intransferibles, compartir cuentas de usuario estará estrictamente prohibido. Los registros electrónicos se conservarán de manera segura para salvaguardar la confidencialidad y la privacidad de los datos que contengan;

d) todas las personas que dispongan de acceso a los datos quedarán sujetas a una obligación de confidencialidad.

2.   El responsable de las operaciones de tratamiento será la Agencia, representada por su director ejecutivo, quien podrá delegar la función de responsable del tratamiento de datos. Se informará a los interesados de la identidad del responsable del tratamiento delegado por medio de avisos de protección de datos, de declaraciones de confidencialidad o de registros publicados en el sitio web o la intranet de la Agencia.

3.   El período de conservación de los datos personales al que hace referencia el artículo 1, apartado 3, no superará el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos. En ningún caso deberá superar el período de conservación especificado en los avisos sobre la protección de datos, las declaraciones de confidencialidad o los registros a los que se hace referencia en el artículo 5, apartado 1.

4.   Cuando la Agencia estudie aplicar una limitación, el riesgo para los derechos y las libertades del interesado deberá sopesarse, en particular, con el riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por la Agencia, por ejemplo, por la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.

Artículo 3 Limitaciones

1.   Las limitaciones se aplicarán solo por la Agencia sobre la base de uno o varios motivos de los enumerados en las letras a) a i) del artículo 25, apartado 1, del Reglamento (UE) 2018/1725.

En los avisos de protección de datos, las declaraciones de confidencialidad o los registros, en el sentido del artículo 31 del Reglamento (UE) 2018/1725, publicados en el sitio web o en la intranet de la Agencia, donde se informe a los interesados de sus derechos en el marco de determinado procedimiento, la Agencia incluirá información sobre la posible limitación de dichos derechos. Esta información abarcará los derechos que pueden limitarse, las razones de la limitación y la posible duración de esta.

2.   Como aplicación específica de los fines descritos en el apartado 1, la Agencia podrá aplicar limitaciones en las siguientes circunstancias:

a) cuando el ejercicio de esos derechos y obligaciones sea limitado por los servicios autorizados de la Comisión o por otras instituciones, organismos, agencias y oficinas de la Unión, sobre la base de los actos jurídicos contemplados en el artículo 25 del Reglamento (UE) 2018/1725, o de conformidad con el capítulo IX de dicho Reglamento o con los actos fundacionales de otras instituciones, organismos, agencias y oficinas de la Unión y cuando el objetivo de tal limitación se viera comprometido si la Agencia no aplicara una limitación equivalente respecto de dichos datos personales;

b) cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones se vea limitado por parte de las autoridades competentes de los Estados miembros sobre la base de los actos a que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (8), o con arreglo a las medidas nacionales de transposición del artículo 13, apartado 3; del artículo 15, apartado 3; o del artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (9);

c) cuando el ejercicio de esos derechos y obligaciones comprometería la cooperación de la Agencia con terceros países u organizaciones internacionales en el desempeño de sus funciones, cuando existan pruebas claras de que la cooperación puede verse comprometida.

Antes de aplicar las limitaciones en las circunstancias mencionadas en el apartado 1, letras a) y b), la Agencia consultará a los servicios pertinentes de la Comisión, a las instituciones, organismos, agencias y oficinas pertinentes de la Unión o a las autoridades competentes de los Estados miembros, a menos que para la Agencia resulte evidente que la aplicación de una limitación está prevista en uno de los actos a que se hace referencia en dichas letras.

3.   Toda limitación deberá ser necesaria y proporcionada a los riesgos para los derechos y las libertades de los interesados y el respeto del contenido esencial de los derechos y las libertades fundamentales en una sociedad democrática.

4.   Si se estudia aplicar una limitación, deberá llevarse a cabo una prueba de la necesidad y la proporcionalidad basada en las presentes normas. Esta se documentará con una nota interna de evaluación para cumplir la obligación de rendir cuentas en cada caso.

La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Estos se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.

La Agencia dedicará un ciclo de revisión de seis meses a la aplicación de cada limitación desde la fecha de su adopción y al cierre de la indagación o el procedimiento pertinentes. En el marco de esta revisión periódica, se llevará a cabo una prueba de necesidad y proporcionalidad para determinar si siguen siendo aplicables los motivos de hecho y de derecho de la limitación.

5.   Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hubieran justificado. En particular, cuando se considere que el ejercicio del derecho limitado ya no anula el efecto de la limitación impuesta ni afecta negativamente a los derechos o las libertades de los demás interesados.

Artículo 4 Revisión por parte del responsable de protección de datos

1.   La Agencia informará a su responsable de protección de datos, sin dilaciones indebidas, de toda situación en que el responsable del tratamiento limite la aplicación de los derechos de los interesados o prorrogue la limitación de conformidad con la presente Decisión. El responsable del tratamiento proporcionará al responsable de protección de datos acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación y documentará en dicho registro la fecha de la notificación al responsable de protección de datos.

2.   El responsable de protección de datos podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. Este notificará por escrito al responsable de protección de datos el resultado de la revisión solicitada.

3.   El responsable del tratamiento de datos informará al responsable de protección de datos acerca de cada limitación aplicada a los derechos del interesado y sobre el momento en que dicha limitación se haya levantado.

Artículo 5 Comunicación de información al interesado

1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de información, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

a) la realización de investigaciones administrativas y los procedimientos disciplinarios. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), f), g) y h), del Reglamento (UE) 2018/1725;

b) las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

c) los procedimientos de denuncia de irregularidades. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

d) los procedimientos formales e informales en casos de acoso. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

e) las tramitaciones de quejas internas y externas. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), f), g) y h), del Reglamento (UE) 2018/1725;

f) las auditorías internas. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento (UE) 2018/1725;

g) las investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725;

h) las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE). Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), g) y h), del Reglamento (UE) 2018/1725;

i) el intercambio de información en el marco de las actividades operativas de la Agencia para cumplir su mandato, en particular la recepción de informes de inspección de conformidad con el artículo 123 del Reglamento de Ejecución (UE) n.o 404/2011, los artículos 18, 19 y 20 del Reglamento (UE) n.o 1236/2010 y los artículos 30, 33 y 34 del Reglamento (UE) 2019/833, así como de la información y los datos recibidos de los Estados miembros en el contexto del análisis proporcionado a la Comisión Europea para la preparación y realización de auditorías in situ en terceros países de conformidad con el artículo 20, apartado 4, letra c), del Reglamento (CE) n.o 1005/2008. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), g) y h), del Reglamento (UE) 2018/1725.

2.   Sin perjuicio de lo dispuesto en el apartado 3, cuando resulte proporcionado, la Agencia también notificará de manera individualizada a todos los interesados que se consideren afectados por la operación de tratamiento concreta cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.

3.   Cuando la Agencia limite, total o parcialmente, la comunicación de información a los interesados a que se refiere el apartado 2, hará constar los motivos de la limitación y el fundamento jurídico con arreglo al artículo 3 de la presente Decisión, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.

4.   La limitación a que se refiere el apartado 3 seguirá en vigor mientras los motivos que la justifiquen sigan siendo aplicables.

Cuando los motivos que justifiquen la limitación dejen de ser aplicables, la Agencia informará al interesado de los principales motivos en que se haya basado la aplicación de la limitación. Al mismo tiempo, la Agencia informará al interesado del derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o a interponer un recurso ante el Tribunal de Justicia de la Unión Europea.

Artículo 6 Derecho de acceso del interesado

1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de acceso, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

a) la realización de investigaciones administrativas y los procedimientos disciplinarios. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), f), g) y h), del Reglamento (UE) 2018/1725;

b) las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

c) los procedimientos de denuncia de irregularidades. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

d) los procedimientos formales e informales en casos de acoso. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

e) las tramitaciones de quejas internas y externas. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), f), g) y h), del Reglamento (UE) 2018/1725;

f) las auditorías internas. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento (UE) 2018/1725;

g) las investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725;

h) las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE). Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), g) y h), del Reglamento (UE) 2018/1725;

i) el intercambio de información en el marco de las actividades operativas de la Agencia para cumplir su mandato, en particular la recepción de informes de inspección de conformidad con el artículo 123 del Reglamento de Ejecución (UE) n.o 404/2011, los artículos 18, 19 y 20 del Reglamento (UE) n.o 1236/2010 y los artículos 30, 33 y 34 del Reglamento (UE) 2019/833, así como de la información y los datos recibidos de los Estados miembros en el contexto del análisis proporcionado a la Comisión Europea para la preparación y realización de auditorías in situ en terceros países de conformidad con el artículo 20, apartado 4, letra c), del Reglamento (CE) n.o 1005/2008. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), g) y h), del Reglamento (UE) 2018/1725.

Cuando los interesados soliciten el acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una determinada operación de tratamiento, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, la Agencia deberá circunscribir su evaluación de la solicitud a dichos datos personales únicamente.

2.   Cuando la Agencia limite, en su totalidad o en parte, el derecho de acceso a que se refiere el artículo 17 del Reglamento (UE) 2018/1725, deberá adoptar las siguientes medidas:

a) informará al interesado, en su respuesta a la solicitud, de la limitación y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea;

b) documentará en una nota interna de evaluación los motivos de la limitación, incluida una evaluación de la necesidad, la proporcionalidad y la duración de la limitación.

La comunicación de la información mencionada en la letra a) podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.

Artículo 7 Derecho de rectificación, supresión y limitación del tratamiento de datos

1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de rectificación, supresión y limitación, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

a) la realización de investigaciones administrativas y los procedimientos disciplinarios. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), f), g) y h), del Reglamento (UE) 2018/1725;

b) las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

c) los procedimientos de denuncia de irregularidades. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

d) los procedimientos formales e informales en casos de acoso. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

e) las tramitaciones de quejas internas y externas. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), f), g) y h), del Reglamento (UE) 2018/1725;

f) las auditorías internas. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento (UE) 2018/1725;

g) las investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725;

h) las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE). Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), g) y h), del Reglamento (UE) 2018/1725;

i) el intercambio de información en el marco de las actividades operativas de la Agencia para cumplir su mandato, en particular la recepción de informes de inspección de conformidad con el artículo 123 del Reglamento de Ejecución (UE) n.o 404/2011, los artículos 18, 19 y 20 del Reglamento (UE) n.o 1236/2010 y los artículos 30, 33 y 34 del Reglamento (UE) 2019/833, así como de la información y los datos recibidos de los Estados miembros en el contexto del análisis proporcionado a la Comisión Europea para la preparación y realización de auditorías in situ en terceros países de conformidad con el artículo 20, apartado 4, letra c), del Reglamento (CE) n.o 1005/2008. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), g) y h), del Reglamento (UE) 2018/1725.

2.   Cuando la Agencia limite, total o parcialmente, la aplicación del derecho a la rectificación, supresión o limitación del tratamiento a que se refieren el artículo 18, el artículo 19, apartado 1, y el artículo 20, apartado 1, del Reglamento (UE) 2018/1725, adoptará las medidas contempladas en el artículo 6, apartado 2, de la presente Decisión y las consignará de conformidad con lo dispuesto en su artículo 6, apartado 3.

Artículo 8 Comunicación de una violación de la seguridad de los datos personales al interesado y confidencialidad de las comunicaciones electrónicas

1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la comunicación de una violación de la seguridad de los datos personales, cuando resulte necesario y adecuado, en el contexto de las siguientes operaciones de tratamiento:

a) la realización de investigaciones administrativas y los procedimientos disciplinarios. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), f), g) y h), del Reglamento (UE) 2018/1725;

b) las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

c) los procedimientos de denuncia de irregularidades. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

d) los procedimientos formales e informales en casos de acoso. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

e) las tramitaciones de quejas internas y externas. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), f), g) y h), del Reglamento (UE) 2018/1725;

f) las auditorías internas. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento (UE) 2018/1725;

g) las investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725;

h) las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE). Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), g) y h), del Reglamento (UE) 2018/1725;

i) el intercambio de información en el marco de las actividades operativas de la Agencia para cumplir su mandato, en particular la recepción de informes de inspección de conformidad con el artículo 123 del Reglamento de Ejecución (UE) n.o 404/2011, los artículos 18, 19 y 20 del Reglamento (UE) n.o 1236/2010 y los artículos 30, 33 y 34 del Reglamento (UE) 2019/833, así como de la información y los datos recibidos de los Estados miembros en el contexto del análisis proporcionado a la Comisión Europea para la preparación y realización de auditorías in situ en terceros países de conformidad con el artículo 20, apartado 4, letra c), del Reglamento (CE) n.o 1005/2008. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), g) y h), del Reglamento (UE) 2018/1725.

2.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas, cuando resulte necesario y adecuado, en el contexto de las siguientes operaciones de tratamiento:

a) la realización de investigaciones administrativas y procedimientos disciplinarios. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), f), g) y h), del Reglamento (UE) 2018/1725;

b) actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

c) los procedimientos de denuncia de irregularidades. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

d) los procedimientos formales e informales en casos de acoso. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), d), f) y h), del Reglamento (UE) 2018/1725;

e) las tramitaciones de quejas internas y externas. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), f), g) y h), del Reglamento (UE) 2018/1725;

f) las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE). Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), g) y h), del Reglamento (UE) 2018/1725;

g) el intercambio de información en el marco de las actividades operativas de la Agencia para cumplir su mandato, en particular la recepción de los informes de inspección de conformidad con el artículo 123 del Reglamento de Ejecución (UE) n.o 404/2011, así como de la información y los datos recibidos de los Estados miembros en el contexto del análisis proporcionado a la Comisión Europea para la preparación y realización de misiones in situ en terceros países de conformidad con el artículo 20, apartado 4, letras c) y d), del Reglamento (CE) n.o 1005/2008. Las limitaciones podrán basarse en el artículo 25, apartado 1, letras b), c), d), g) y h), del Reglamento (UE) 2018/1725.

3.   Cuando la Agencia limite la comunicación de una violación de la seguridad de los datos personales al interesado o de la confidencialidad de las comunicaciones electrónicas a que se refieren los artículos 35 y 36 del Reglamento (UE) 2018/1725, deberá anotar y registrar los motivos de la limitación de conformidad con lo dispuesto en el artículo 5, apartado 3, de la presente Decisión. Será de aplicación el artículo 5, apartado 4, de la presente Decisión.

Artículo 9 Entrada en vigor

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Vigo, el 22 de abril de 2020.

Presidente del Consejo de Administración

Reinhard PRIEBE

(3)  Reglamento de Ejecución (UE) n.o 404/2011 de la Comisión, de 8 de abril de 2011, que establece las normas de desarrollo del Reglamento (CE) n.o 1224/2009 del Consejo por el que se establece un régimen comunitario de control para garantizar el cumplimiento de las normas de la política pesquera común (DO L 112 de 30.4.2011, p. 1).
(4)  Reglamento (UE) n.o 1236/2010 del Parlamento Europeo y del Consejo, de 15 de diciembre de 2010, por el que se establece un régimen de control y ejecución aplicable en la zona del Convenio sobre la futura cooperación multilateral en los caladeros del Atlántico Nororiental y se deroga el Reglamento (CE) n.o 2791/1999 del Consejo (DO L 348 de 31.12.2010, p. 17).
(5)  Reglamento (UE) 2019/833 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, por el que se establecen medidas de conservación y ejecución aplicables en la zona de regulación de la Organización de Pesquerías del Atlántico Noroeste, se modifica el Reglamento (UE) 2016/1627 y se derogan los Reglamentos (CE) n.o 2115/2005 y (CE) n.o 1386/2007 del Consejo (DO L 141 de 28.5.2019, p. 1).
(6)  Reglamento (CE) n.o 1005/2008 del Consejo, de 29 de septiembre de 2008, por el que se establece un sistema comunitario para prevenir, desalentar y eliminar la pesca ilegal, no declarada y no reglamentada, se modifican los Reglamentos (CEE) n.o 2847/93, (CE) n.o 1936/2001 y (CE) n.o 601/2004, y se derogan los Reglamentos (CE) n.o 1093/94 y (CE) n.o 1447/1999 (DO L 286 de 29.10.2008, p. 1).
(7)  Decisión 2009/988/UE de la Comisión, de 18 de diciembre de 2009, por la que se designa a la Agencia Comunitaria de Control de la Pesca como organismo encargado de determinadas tareas en virtud del Reglamento (CE) n.o 1005/2008 del Consejo (DO L 338 de 19.12.2009, p. 104).
(8)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(9)  Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).



No hay comentarios:

Publicar un comentario