Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Université de Montpellier I Francia.
cferreyros@hotmail.com
PROLOGO
La protección de las personas físicas en lo que respecta al
tratamiento de los datos de carácter personal (datos personales) es un derecho
fundamental. El artículo 8, apartado 1, de la Carta de los Derechos
Fundamentales de la Unión Europea y el
artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión
Europea (TFUE) disponen que toda persona tiene derecho a la protección de los
datos de carácter personal que le conciernan. También el artículo 8 del
Convenio para la Protección de los Derechos Humanos y de las Libertades
Fundamentales garantiza ese derecho.
Sin
embargo, algunas Oficinas Europeas, en el caso de figura, la Oficina Europea de Apoyo al Asilo, EASO, puede verse obligada a
limitar el derecho a la información al interesado y otros derechos de este para
proteger, en particular, sus propias investigaciones, las investigaciones y los
procedimientos de otras autoridades públicas y los derechos de otras personas
relacionadas con sus investigaciones o los procedimientos de otro tipo que se
lleven a cabo. Además, debe controlar de manera periódica si siguen siendo de
aplicación las condiciones que justifiquen la limitación y eliminar la
limitación en cuanto dejen de resultar aplicables.
EASO
propone un otro enfoque respeto de dos categorías de datos personales: datos sólidos (datos «objetivos», como los datos de
identificación, los datos de contacto, los datos profesionales, los datos administrativos,
los datos recibidos de determinadas fuentes y los datos de las comunicaciones y
el tráfico electrónicos) y los datos
frágiles (datos «subjetivos» relacionados con el caso, como el
razonamiento, los datos de comportamiento, las valoraciones, los datos de
actuación y conducta, y los datos relacionados con el objeto del procedimiento
o la actividad o presentados en relación con estos).
Esta Decisión Europea se aplica a las operaciones de tratamiento de
datos personales llevadas a cabo por EASO con el propósito de hacer
indagaciones administrativas, incoar procedimientos disciplinarios, llevar a
cabo actividades preliminares relacionadas con casos de posibles
irregularidades puestas en conocimiento de la European Anti-Fraud Office, (OLAF).
-----------------------------------------------------------------------------------------
DECISIÓN n.o 64 DEL
CONSEJO DE ADMINISTRACIÓN DE LA OFICINA EUROPEA DE APOYO AL ASILO
de 6 de julio de 2020
por la que se adopta el reglamento interno relativo a
las limitaciones de ciertos derechos de interesados en relación con el
tratamiento de datos personales en el marco del funcionamiento de EASO
EL CONSEJO DE ADMINISTRACIÓN DE LA OFICINA EUROPEA DE
APOYO AL ASILO (EN LO SUCESIVO, «EASO»),
Visto el Tratado de Funcionamiento de la Unión
Europea,
Visto el Reglamento (UE) 2018/1725 del Parlamento
Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales por
las instituciones, órganos, oficinas y organismos de la Unión, y a la libre
circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la
Decisión n.o 1247/2002/CE (1), y en particular
su artículo 25,
Visto el Reglamento (UE) n.o 439/2010 del
Parlamento Europeo y del Consejo, de 19 de mayo de 2010, por el que se crea
EASO y se deroga el Reglamento del Consejo (CEE) n.o 1365/75 (2), y en particular
su artículo 29,
Visto el dictamen del Supervisor Europeo de Protección
de Datos (en lo sucesivo, «SEPD»), de 20 de mayo de 2020, y la orientación del
SEPD sobre el artículo 25 del nuevo Reglamento y las normas internas,
Considerando lo siguiente:
(1)
EASO lleva a cabo sus actividades de conformidad con su Reglamento (UE) n.o 439/2010.
(2)
De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento
(UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 21, 35 y
36, y también del artículo 4 de dicho Reglamento en la medida en que sus
disposiciones se correspondan con los derechos y obligaciones que disponen los
artículos 14 a 21, deben basarse en normas internas adoptadas por EASO cuando
no se encuentren fundamentadas en actos jurídicos adoptados con arreglo a los
Tratados.
(3)
Estas normas internas, incluidas sus disposiciones sobre la evaluación de la
necesidad y la proporcionalidad de la limitación, no deben aplicarse cuando un
acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los
derechos de interesados.
(4)
Cuando EASO ejerza sus funciones con respecto a los derechos de los interesados
en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de
las excepciones establecidas en dicho Reglamento.
(5)
En el marco de su funcionamiento administrativo, EASO puede hacer indagaciones
administrativas, incoar procedimientos disciplinarios, llevar a cabo
actividades preliminares relacionadas con casos de posibles irregularidades
puestas en conocimiento de la OLAF, tramitar casos de denuncia de
irregularidades, tramitar procedimientos (formales e informales) en casos de
acoso, tramitar reclamaciones internas y externas, realizar auditorías
internas, emprender investigaciones a través del responsable de protección de
datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del
Reglamento (UE) 2018/1725 y llevar a cabo investigaciones internas sobre la
seguridad (informática), así como gestionar peticiones de los miembros del
personal para acceder a sus fichas médicas.
EASO
trata diversas categorías de datos personales, incluidos los datos sólidos
(datos «objetivos», como los datos de identificación, los datos de contacto,
los datos profesionales, los datos administrativos, los datos recibidos de
determinadas fuentes y los datos de las comunicaciones y el tráfico
electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el
caso, como el razonamiento, los datos de comportamiento, las valoraciones, los
datos de actuación y conducta, y los datos relacionados con el objeto del
procedimiento o la actividad o presentados en relación con estos).
(6)
EASO, representado por su director ejecutivo, actúa como responsable del
tratamiento de datos, con independencia de las posteriores delegaciones de esta
función dentro del propio EASO al objeto de reflejar las diversas
responsabilidades operativas por las distintas tareas de tratamiento de datos
personales.
(7)
Los datos personales se almacenan en un entorno electrónico o en papel de un
modo seguro que impide el uso indebido o el acceso ilícito a personas que no
necesiten conocerlos y la transferencia ilícita a estas personas. Los datos
personales tratados no se retienen durante un tiempo superior al necesario y el
adecuado para los fines para los que se hubieran tratado durante el período
especificado en los anuncios de protección de datos o los registros de EASO.
(8)
Estas normas internas deben aplicarse a todas las operaciones de tratamiento de
datos llevadas a cabo por EASO en el ejercicio de sus indagaciones
administrativas, procedimientos disciplinarios, actividades preliminares
relacionadas con casos de posibles irregularidades puestas en conocimiento de
la OLAF, procedimientos de denuncia de irregularidades, procedimientos
(formales e informales) en casos de acoso, tramitación de quejas internas y
externas, auditorías internas, investigaciones llevadas a cabo por el
responsable de protección de datos en consonancia con lo dispuesto en el
artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones en
materia de seguridad (informática) realizadas internamente o con la
participación de agentes externos (por ejemplo, CERT-UE) así como la gestión de
solicitudes de acceso por parte de miembros del personal a sus fichas médicas.
(9)
Estas normas internas deben aplicarse a las operaciones de tratamiento de datos
llevadas a cabo antes del inicio de los procedimientos citados previamente,
durante estos y durante el seguimiento de la actuación consecutiva a los
resultados de dichos procedimientos. También se incluyen la asistencia y la
cooperación prestadas por EASO a las autoridades nacionales y las
organizaciones internacionales al margen de sus investigaciones
administrativas.
(10)
En los casos en los que resultan aplicables estas normas internas, EASO debe
justificar el carácter estrictamente necesario y proporcionado de las
limitaciones en una sociedad democrática y respetar el contenido esencial de
los derechos y las libertades fundamentales.
(11)
En este contexto, EASO debe respetar, en la medida de lo posible, los derechos
fundamentales de los interesados durante los procedimientos anteriores, en
particular, los relativos al derecho a la comunicación de información al interesado,
los derechos de acceso y rectificación, el derecho a la supresión, la
limitación del tratamiento, el derecho a la comunicación de una violación de la
seguridad de los datos personales al interesado y la confidencialidad de las
comunicaciones electrónicas, de conformidad con el Reglamento (UE) 2018/1725.
(12)
Sin embargo, EASO puede verse obligado a limitar el derecho a la información al
interesado y otros derechos de este para proteger, en particular, sus propias
investigaciones, las investigaciones y los procedimientos de otras autoridades
públicas y los derechos de otras personas relacionadas con sus investigaciones
o los procedimientos de otro tipo que se lleven a cabo.
(13)
EASO debe controlar de manera periódica si siguen siendo de aplicación las
condiciones que justifiquen la limitación y alzar la limitación en cuanto dejen
de resultar aplicables.
(14)
El responsable del tratamiento deberá informar al responsable de protección de
datos en el momento en el que la limitación sea de aplicación y durante las
revisiones posteriores e involucrarse en todo el procedimiento hasta que se
alce la limitación.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Objeto y ámbito de aplicación
1. La presente Decisión establece
normas sobre las condiciones en las que EASO podrá limitar la aplicación de los
derechos consagrados en los artículos 14
a 21,
35
y 36,
así como el artículo
4 del Reglamento (UE) 2018/1725 en el contexto de los procedimientos
establecidos en el párrafo 2 de conformidad con lo dispuesto en el artículo
25 de dicho Reglamento.
2. En el marco del funcionamiento
administrativo de EASO, esta decisión se aplica a las operaciones de
tratamiento de datos personales llevadas a cabo por EASO a los efectos de hacer
indagaciones administrativas, incoar procedimientos disciplinarios, llevar a
cabo actividades preliminares relacionadas con casos de posibles irregularidades
puestas en conocimiento de la OLAF[1],
tramitar casos de denuncia de irregularidades, incoar procedimientos (formales
e informales) para casos de acoso, así como reclamaciones internas y externas,
realizar auditorías internas, investigaciones emprendidas por el responsable de
protección de datos en consonancia con lo dispuesto en el artículo 45, apartado
2, del Reglamento (UE) 2018/1725 e investigaciones en materia de seguridad
(informática) realizadas internamente o con la participación de agentes externos
(por ejemplo, CERT-UE), así como la gestión de las solicitudes de acceso de los
miembros del personal a sus fichas médicas.
3. Las categorías de datos de que se
trata son los datos sólidos (datos «objetivos», como los datos de
identificación, los datos de contacto, los datos profesionales, los datos
administrativos, los datos recibidos de determinadas fuentes y los datos de las
comunicaciones y el tráfico electrónicos) y los datos frágiles (datos
«subjetivos» relacionados con el caso, como el razonamiento, los datos de
comportamiento, las valoraciones, los datos de actuación y conducta, y los
datos relacionados con el objeto del procedimiento o la actividad o presentados
en relación con estos).
4. Cuando EASO ejerza sus funciones
con respecto a los derechos de los interesados en virtud del Reglamento (UE)
2018/1725, analizará si es aplicable alguna de las excepciones establecidas en
dicho Reglamento.
5. Con arreglo a las condiciones
previstas en la presente Decisión, las limitaciones pueden aplicarse a los
siguientes derechos: el derecho a recibir información del interesado, el
derecho de acceso, rectificación, supresión, limitación del tratamiento,
comunicación de una violación de la seguridad de los datos personales al
interesado y confidencialidad de las comunicaciones.
Artículo 2
Especificación del responsable del tratamiento y
salvaguardas
1. Para prevenir el uso indebido, el
acceso ilícito o la transferencia, EASO aplicará las salvaguardias que se
detallan a continuación:
a) los documentos en papel deberán conservarse en armarios protegidos a los
que únicamente pueda acceder el personal autorizado;
b) todos los datos en formato electrónico deberán almacenarse en una
aplicación informática segura que respete las normas de seguridad de EASO y en
carpetas electrónicas específicas a las que únicamente pueda acceder el
personal autorizado. Deberán concederse de manera individualizada los niveles
de acceso adecuados;
c) el entorno informático de EASO será accesible a través de un sistema de
autenticación única y estará conectado automáticamente al identificador y la
contraseña del usuario. Los registros electrónicos se conservarán de manera
segura para salvaguardar la confidencialidad y la privacidad de los datos que
contengan;
d) todas las personas que dispongan de acceso a los datos quedarán sujetas
a una obligación de confidencialidad.
2. El responsable de las operaciones
de tratamiento será EASO, representado por su director ejecutivo, quien podrá
delegar la función de responsable del tratamiento de datos. En los casos en que
el Director Ejecutivo esté sujeto a una investigación administrativa, un
procedimiento disciplinario o una investigación interna, el Consejo de
Administración representará a EASO como el controlador de datos (como autoridad
de nombramiento del Director Ejecutivo). Se informará a los interesados la
identidad del responsable del tratamiento delegado por medio de anuncios de
protección de datos o de registros publicados en el sitio web o la intranet de
EASO.
3. El período de retención de los
datos personales al que hace referencia el artículo 1, apartado 3, de la presente
Decisión no superará el necesario ni el adecuado para los fines que justifiquen
el tratamiento de los datos. En ningún caso deberá superar el período de
retención especificado en los avisos sobre la protección de datos o los
registros a los que se hace referencia en el artículo 3, apartado 3, de la
presente Decisión.
4. Cuando EASO estudie aplicar una
limitación, deberá sopesarse el riesgo para los derechos y las libertades del
interesado, en particular, con el riesgo para los derechos y las libertades de
otros interesados y el riesgo de dejar sin efecto las investigaciones o los
procedimientos emprendidos por EASO, en concreto por la destrucción de pruebas.
Los riesgos para los derechos y las libertades del interesado consisten
principalmente, aunque no de manera exclusiva, en riesgos para la reputación y
riesgos para el derecho a la defensa y a ser oído.
Artículo 3
Limitaciones
1. Las limitaciones se aplicarán solo
por EASO sobre la base de uno o varios motivos de los listados en el artículo
25, apartado 1, letras a) a i), del Reglamento (UE) 2018/1725. En concreto, en
el contexto de los fines del tratamiento de los datos personales indicados en
el artículo 1, apartado 2, de la presente Decisión, las limitaciones podrán
basarse en los motivos siguientes:
a) para el desarrollo de las medidas de investigación y los procedimientos
disciplinarios, las limitaciones se basarán en el artículo 25, apartado 1,
letras b), c), g) y h), del Reglamento (UE) 2018/1725;
b) para las actividades preliminares relacionadas con casos de posibles
irregularidades puestas en conocimiento de la OLAF, las limitaciones se basarán
en el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento (UE)
2018/1725;
c) para los procedimientos de denuncia de irregularidades, las limitaciones
se basarán en el artículo 25, apartado 1, letras b), c), f), g) y h), del
Reglamento (UE) 2018/1725;
d) para incoar procedimientos (formales e informales) en casos de acoso,
las limitaciones se basarán en el artículo 25, apartado 1, letras b), f), h) e
i), del Reglamento (UE) 2018/1725;
e) para el tratamiento de las reclamaciones internas y externas, las
limitaciones se basarán en el artículo 25, apartado 1, letras c), e), g) y h),
del Reglamento (UE) 2018/1725;
f) para las auditorías internas, las limitaciones se basarán en el artículo
25, apartado 1, letras c),g) y h), del Reglamento (UE) 2018/1725;
g) para las investigaciones emprendidas por el responsable de protección de
datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del
Reglamento (UE) 2018/1725, las limitaciones se basarán en el artículo 25,
apartado 1, letras c), g) y h), del citado Reglamento;
h) para las investigaciones sobre la seguridad (informática) realizadas
internamente o con la participación de agentes externos (por ejemplo, CERT-UE),
las limitaciones se basarán en el artículo 25, apartado 1, letras c), d), g) y
h), del Reglamento (UE) 2018/1725;
i) para la gestión de solicitudes de acceso por parte de miembros del
personal a sus fichas médicas, las limitaciones se basarán en el artículo 25,
apartado 1, letra h), del Reglamento (UE) 2018/1725.
2. Como aplicación concreta de los
fines descritos en el apartado 1 anterior, EASO podrá establecer limitaciones
sobre los derechos previstos en el artículo 1, apartado 5, de la presente
Decisión en las circunstancias que se detallan a continuación:
a) cuando otra institución, órgano, oficina u organismo de la Unión pueda
limitar el ejercicio de estos derechos sobre la base de otros actos regulados
en el artículo 25 del Reglamento (UE) 2018/1725, o de conformidad con lo
dispuesto en el capítulo IX de dicho Reglamento o con sus actos de
financiación, y la finalidad de dicha limitación por la otra institución,
órgano u organismo pudiera verse comprometida si EASO no aplicara una
limitación igual en relación con los mismos datos personales;
b) cuando la autoridad competente de un Estado miembro pueda limitar el
ejercicio de esos derechos sobre la base de otros actos regulados en el
artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y el
Consejo (3), o al amparo de medidas nacionales de transposición del artículo 13,
apartado 3; del artículo 15, apartado 3; o del artículo 16, apartado 3, de la
Directiva (UE) 2016/680 del Parlamento Europeo y el Consejo (4) y la finalidad de tal limitación por parte de dicha autoridad
competente de un Estado miembro pudiera verse comprometida si EASO no aplicara
una limitación igual en relación con los mismos datos personales;
c) cuando el ejercicio de esos derechos pueda comprometer la cooperación de
EASO con terceros países u organizaciones internacionales en el desempeño de
sus funciones.
Antes de aplicar limitaciones en las circunstancias
mencionadas en las letras a) y b) del párrafo primero, EASO deberá consultar a
las instituciones, órganos y organismos de la Unión pertinentes o a las
autoridades competentes de los Estados miembros, a menos que para EASO resulte
evidente que está prevista la aplicación de una limitación por uno de los actos
a que se hace referencia en dichos puntos.
3. En los avisos de protección de
datos o los registros, en el sentido del artículo 31 del Reglamento (UE)
2018/1725, publicados en su sitio web o la intranet, donde se informe a los
interesados de sus derechos en el marco de determinado procedimiento, EASO
incluirá información relativa a la posible limitación de dichos derechos. Esta
información indicará qué derechos pueden limitarse, las razones de la
limitación y la posible duración de esta.
Sin perjuicio de lo dispuesto en el artículo 5,
apartado 2, cuando resulte proporcionado, EASO también informará de manera
individualizada a todos los titulares de datos que se consideren interesados en
la operación de tratamiento concreta, cuáles son sus derechos con respecto a
las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.
4. Toda limitación deberá ser
necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y
las libertades de los interesados y el respeto del contenido esencial de los
derechos y las libertades fundamentales en una sociedad democrática.
5. Si se estudia aplicar una
limitación, deberá llevarse a cabo una prueba de la necesidad y la
proporcionalidad basada en las presentes normas. Esta se documentará con una
nota interna de evaluación para cumplir con la obligación de rendir cuentas en
cada caso.
6. Las limitaciones se levantarán tan
pronto como dejen de cumplirse las circunstancias que las hayan justificado; en
particular, cuando se considere que el ejercicio del derecho limitado ya no
socava la eficacia de la limitación impuesta ni afecta negativamente a los
derechos o las libertades de otros interesados.
Artículo 4
Revisión por parte del responsable de la protección de
datos
1. EASO informará a su responsable de
protección de datos (en lo sucesivo, «RPD»), sin dilaciones indebidas, de toda
situación en que el responsable del tratamiento limite la aplicación de los
derechos de los interesados o prorrogue la limitación de conformidad con la
presente Decisión. El responsable del tratamiento proporcionará al RPD acceso
al registro que contenga la evaluación de la necesidad y la proporcionalidad de
la limitación y documentará en dicho registro la fecha de la notificación al
RPD. El RPD se implicará a lo largo del procedimiento completo hasta que se
alce la limitación.
2. El RPD podrá solicitar por escrito
al responsable del tratamiento que revise la aplicación de las limitaciones.
Este notificará por escrito al RPD el resultado de la revisión solicitada.
3. El responsable del tratamiento
notificará al RPD el levantamiento de las limitaciones.
Artículo 5
Limitación del derecho a la información que se
comunica al interesado
1. En los casos debidamente
justificados y en las condiciones estipuladas en la presente Decisión, el
responsable del tratamiento podrá limitar el derecho a la información en el
contexto de las siguientes operaciones de tratamiento:
a) la realización de investigaciones administrativas y los procedimientos
disciplinarios;
b) las actividades preliminares relacionadas con casos de posibles
irregularidades puestas en conocimiento de la OLAF;
c) los procedimientos de denuncia de irregularidades;
d) los procedimientos (formales e informales) en casos de acoso;
e) las tramitaciones de quejas internas y externas;
f) las auditorías internas;
g) las investigaciones emprendidas por el responsable de protección de
datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del
Reglamento (UE) 2018/1725;
h) las investigaciones sobre la seguridad (informática) realizadas
internamente o con la participación de agentes externos (por ejemplo, CERT-UE).
2. Cuando EASO limite, total o
parcialmente, la comunicación de información a los interesados a que se
refieren los artículos 14 a 16 del Reglamento (UE) 2018/1725, hará constar los
motivos de la limitación y el fundamento jurídico con arreglo al artículo 3 de
la presente Decisión, incluida una evaluación de la necesidad y la
proporcionalidad de la limitación.
La consignación y, en su caso, los documentos que
contengan los elementos de hecho y de derecho subyacentes se registrarán. Se
pondrán a disposición del Supervisor Europeo de Protección de Datos, previa
solicitud.
3. La limitación a que se refiere el
apartado 2 seguirá en vigor mientras los motivos que la justifiquen sigan
siendo aplicables.
Cuando los motivos que justifiquen la limitación dejen
de ser aplicables, EASO informará al interesado de los principales motivos en
que se hubiera basado la aplicación de la limitación. Al mismo tiempo, EASO
informará al interesado del derecho a presentar una reclamación ante el
Supervisor Europeo de Protección de Datos en cualquier momento o a interponer
un recurso ante el Tribunal de Justicia de la Unión Europea («Tribunal de
Justicia»).
EASO revisará la aplicación de la limitación cada seis
meses desde la fecha de su adopción y al cierre de la investigación o el
procedimiento pertinentes. Posteriormente, el responsable del tratamiento
deberá supervisar cada seis meses la necesidad de mantener cualquier
limitación. La prueba de la necesidad y la proporcionalidad regulada en el
artículo 3, apartado 5, se llevará a cabo en el contexto de cada revisión
periódica, de acuerdo con una evaluación sobre si aún son de aplicación los
motivos fácticos y legales de la limitación.
Artículo 6
Limitación del derecho de acceso de los interesados
1. En los casos debidamente
justificados y en las condiciones estipuladas en la presente Decisión, el
responsable del tratamiento podrá limitar el derecho de acceso de los
interesados cuando resulte necesario y proporcionado, en el contexto de las
siguientes operaciones de tratamiento:
a) la realización de investigaciones administrativas y los procedimientos
disciplinarios;
b) las actividades preliminares relacionadas con casos de posibles
irregularidades puestas en conocimiento de la OLAF;
c) los procedimientos de denuncia de irregularidades;
d) los procedimientos (formales e informales) en casos de acoso;
e) las tramitaciones de quejas internas y externas;
f) las auditorías internas;
g) las investigaciones emprendidas por el responsable de protección de
datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del
Reglamento (UE) 2018/1725;
h) las investigaciones sobre la seguridad (informática) realizadas
internamente o con la participación de agentes externos (por ejemplo, CERT-UE);
i) la gestión de solicitudes de acceso por parte de miembros del personal a
sus fichas médicas.
Cuando los interesados soliciten el acceso a sus datos
personales tratados en el contexto de uno o varios casos específicos o a una
determinada operación de tratamiento, de conformidad con el artículo 17 del
Reglamento (UE) 2018/1725, EASO deberá circunscribir su evaluación de la
solicitud a dichos datos personales únicamente.
2. Cuando EASO limite, en su
totalidad o en parte, el derecho de acceso a que se refiere el artículo 17 del
Reglamento (UE) 2018/1725, deberá adoptar las medidas siguientes:
a) informará al
interesado, en su respuesta a la solicitud, de la limitación y los principales
motivos de esta, así como de la posibilidad de presentar una reclamación ante
el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el
Tribunal de Justicia;
b) documentará
en una nota interna de evaluación los motivos de la limitación, incluida una
evaluación de la necesidad, la proporcionalidad y la duración de la limitación.
Las limitaciones impuestas sobre el derecho de acceso
de los miembros del personal a sus fichas médicas solo abarcará las solicitudes
de acceso directo por parte de los miembros del personal a los datos médicos de
naturaleza psicológica o psiquiátrica cuando una evaluación realizada caso por
caso revele que es necesario un acceso indirecto para la protección de los
interesados. El acceso a dichos datos se concederá a través de la
intermediación de un médico designado por el interesado afectado. Se concederá
al médico elegido por el interesado acceso a toda la información, así como
facultad discrecional para decidir cómo acceder y qué acceso otorgar al
interesado.
La comunicación de la información mencionada en la
letra a) podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin
efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8,
del Reglamento (UE) 2018/1725.
EASO revisará la aplicación de la limitación cada seis
meses desde la fecha de su adopción y al cierre de la investigación o el
procedimiento pertinentes. Posteriormente, el responsable del tratamiento
deberá supervisar cada seis meses la necesidad de mantener cualquier
limitación.
La prueba de la necesidad y la proporcionalidad
regulada en el artículo 3, apartado 5, se llevará a cabo en el contexto de cada
revisión periódica, de acuerdo con una evaluación sobre si aún son de
aplicación los motivos fácticos y legales de la limitación.
3. La consignación y, en su caso, los
documentos que contengan los elementos de hecho y de derecho subyacentes se
registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de
Datos, previa solicitud.
Artículo 7
Limitación de los derechos de los interesados de
rectificación, supresión y limitación del tratamiento
1. En los casos debidamente
justificados y en las condiciones estipuladas en la presente Decisión, el
responsable del tratamiento podrá limitar el derecho de rectificación,
supresión y limitación, cuando resulte necesario y proporcionado, en el
contexto de las siguientes operaciones de tratamiento:
a) la realización de investigaciones administrativas y los procedimientos
disciplinarios;
b) las actividades preliminares relacionadas con casos de posibles
irregularidades puestas en conocimiento de la OLAF;
c) los procedimientos de denuncia de irregularidades;
d) los procedimientos (formales e informales) en casos de acoso;
e) las tramitaciones de quejas internas y externas;
f) las auditorías internas;
g) las investigaciones emprendidas por el responsable de protección de
datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del
Reglamento (UE) 2018/1725;
h) las investigaciones sobre la seguridad (informática) realizadas
internamente o con la participación de agentes externos (por ejemplo, CERT-UE).
2. Cuando EASO limite, total o
parcialmente, la aplicación de los derechos de rectificación, supresión o
limitación del tratamiento de los datos a los que se refieren el artículo 18;
el artículo 19, apartado 1; y el artículo 20, apartado 1, del Reglamento (UE)
2018/1725, respectivamente, adoptará las medidas contempladas en el artículo 6,
apartado 2, de la presente Decisión y las consignará de conformidad con lo
dispuesto en su artículo 6, apartado 3.
Artículo 8
Limitación de los derechos de comunicación de una
violación de la seguridad de los datos personales al interesado y
confidencialidad de las comunicaciones electrónicas
1. En los casos debidamente
justificados y en las condiciones estipuladas en la presente Decisión, el
responsable del tratamiento podrá limitar el derecho a la comunicación de una
violación de la seguridad de los datos personales al interesado, cuando resulte
necesario y proporcionado, en el contexto de las siguientes operaciones de
tratamiento:
a) la realización de investigaciones administrativas y los procedimientos
disciplinarios;
b) las actividades preliminares relacionadas con casos de posibles
irregularidades puestas en conocimiento de la OLAF;
c) los procedimientos de denuncia de irregularidades;
d) las tramitaciones de quejas internas y externas;
e) las auditorías internas;
f) las investigaciones emprendidas por el responsable de protección de
datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del
Reglamento (UE) 2018/1725;
g) las investigaciones sobre la seguridad (informática) realizadas
internamente o con la participación de agentes externos (por ejemplo, CERT-UE).
2. En los casos debidamente
justificados y en las condiciones estipuladas en la presente Decisión, el
responsable del tratamiento podrá limitar el derecho a la confidencialidad de
las comunicaciones electrónicas, cuando resulte necesario y proporcionado, en
el contexto de las siguientes operaciones de tratamiento:
a) la realización de investigaciones administrativas y los procedimientos
disciplinarios;
b) las actividades preliminares relacionadas con casos de posibles
irregularidades puestas en conocimiento de la OLAF;
c) los procedimientos de denuncia de irregularidades;
d) los procedimientos formales en casos de acoso;
e) las tramitaciones de quejas internas y externas;
f) las investigaciones sobre la seguridad (informática) realizadas
internamente o con la participación de agentes externos (por ejemplo, CERT-UE).
3. Cuando EASO limite los derechos de
comunicación de una violación de la seguridad de los datos personales al
interesado o la confidencialidad de las comunicaciones electrónicas a que se
refieren los artículos 35 y 36 del Reglamento (UE) 2018/1725, respectivamente,
deberá anotar y registrar los motivos de la limitación de conformidad con lo
dispuesto en el artículo 5, apartado 2, de la presente Decisión. Será también
de aplicación el artículo 5, apartado 3, de la presente Decisión.
Artículo 9
Entrada en vigor
La presente Decisión entrará en vigor el día siguiente
de su publicación en el Diario
Oficial de la Unión Europea.
Hecho en Valletta Harbour, el 6 de julio de 2020.
Por la Oficina
Europea de Apoyo al Asilo
David COSTELLO
Presidente del
Consejo de Administración
(3) .
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE (Reglamento general de protección de
datos) (DO L 119 de 4.5.2016, p. 1).
(4) .
Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales por parte de las autoridades competentes para
fines de prevención, investigación, detección o enjuiciamiento de infracciones
penales o de ejecución de sanciones penales, y a la libre circulación de dichos
datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
No hay comentarios:
Publicar un comentario