martes, 9 de febrero de 2021

LIMITACIONES DE DETERMINADOS DERECHOS DE LOS INTERESADOS EN EL TRATAMIENTO DE DATOS PERSONALES POR LA AGENCIA EJECUTIVA EUROPEA DE INNOVACION Y REDES

 Por: Carlos A. FERREYROS SOTO

        Doctor en Derecho
        Université de Montpellier I Francia.
        M. Sc. Institut Agronomique Méditerranéen
        cferreyros@hotmail.com

PROLOGO

El 09 de febrero se publicó en el Diario Oficial de la Unión Europea la Decisión (SC) 2020 del Comité Director del INEA sobre la limitación de determinados derechos de los interesados en relación con el tratamiento de los datos personales en el marco de las actividades llevadas a cabo por la Agencia Ejecutiva Europea de Innovación y Redes. 

La Agencia Ejecutiva de Innovación y Redes (INEA) se creó mediante la Decisión de Ejecución 2013/801/UE de la Comisión con vistas a la realización de tareas vinculadas a la ejecución de programas de la Unión en el ámbito de la infraestructura del transporte, la energía y las telecomunicaciones, y en el ámbito de la investigación e innovación en materia de transporte y energía.

La Agencia está facultada para llevar a cabo investigaciones administrativas y procedimientos predisciplinarios, disciplinarios y de suspensión, de conformidad con el Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión Europea, establecidos en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo («Estatuto de los funcionarios»), y con las disposiciones generales de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios. Si es necesario, la Agencia puede llevar a cabo actividades preliminares relacionadas con casos de posibles fraudes e irregularidades y puede notificar casos a la Oficina Europea de Lucha contra el Fraude (OLAF)

La Agencia también puede llevar a cabo investigaciones internas de la seguridad (informática) y sobre posibles violaciones de las normas sobre la seguridad de la información clasificada de la UE («ICUE»).

En el contexto de sus actividades, la Agencia trata varias categorías de datos personales, incluidos datos de identificación de personas físicas, información de contacto, funciones y tareas profesionales, información sobre la conducta y el rendimiento profesionales y privados y datos financieros, así como, en ciertos supuestos concretos, datos sensibles (p. ej., datos relativos a la salud). Los datos personales incluyen datos fácticos «objetivos» y datos de valoraciones «subjetivos».

   a)  A modo de ejemplos de los primeros cabe citar los datos de identificación, los datos de contacto, los datos profesionales, los detalles administrativos, los metadatos relacionados con las comunicaciones electrónicas y los datos de tráfico.

  b) Los segundos son subjetivos e incluyen, en particular, la descripción y la valoración de situaciones y circunstancias, opiniones, observaciones relacionadas con los interesados, la evaluación de la conducta y el rendimiento de estos y el razonamiento subyacente a las decisiones particulares relacionadas con o presentadas con respecto al objeto del procedimiento o la actividad llevados a cabo por la Agencia, en consonancia con el marco jurídico aplicable.

   c)  Las evaluaciones, las observaciones y las opiniones se consideran datos personales en el sentido del artículo 3, apartado 1, del Reglamento.

El artículo 1° de la presente Decisión establece normas relativas a las condiciones en las que la Agencia Ejecutiva de Innovación y Redes y cualquiera de sus sucesores («la Agencia») pueden limitar la aplicación de los artículos 4, 14 a 22, 35 y 36, de conformidad con el artículo 25 del Reglamento.

 Los artículos 4, 14 a 22, 35 y 36  se refieren a: Artículo 4 Principios relativos al tratamiento de datos personales. Los Artículos 14 al 18 se encuentran incluidos en el Capítulo III Derechos del Interesado, Sección 1 Transparencia y modalidades; Sección 2 Información y acceso a los datos personales y Sección 3 Rectificación y supresión. El Artículo 35 se refiere a: Comunicación de una violación de la seguridad de los datos personales al interesado y el Artículo 36 a la Confidencialidad de las comunicaciones electrónicas. El Artículo 25 determina las Limitaciones de ciertos derechos.

 _______________________________________________________________________

DECISIÓN SC (2020) 26 DEL COMITÉ DIRECTOR DE LA INEA

de 14 de octubre de 2020

relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco de las actividades llevadas a cabo por la Agencia Ejecutiva de Innovación y Redes

EL COMITÉ DIRECTOR,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 249, apartado 1,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de estos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1) («el Reglamento»), y en particular su artículo 25,

Visto el Reglamento (CE) n.o 58/2003 del Consejo, de 19 de diciembre de 2002, por el que se establece el estatuto de las agencias ejecutivas encargadas de determinadas tareas de gestión de los programas comunitarios (2),

Vista la Decisión de Ejecución 2013/801/UE de la Comisión, de 23 de diciembre de 2013, por la que se crea la Agencia Ejecutiva de Innovación y Redes y se deroga la Decisión 2007/60/CE, modificada por la Decisión 2008/593/CE (3),

Vista la Decisión de la Comisión C(2013)9235, de 23 de diciembre de 2013, por la que se delegan competencias a la Agencia Ejecutiva de Innovación y Redes con vistas a la realización de las tareas relativas a la ejecución de los programas de la Unión en el ámbito de la infraestructura del transporte, la energía y las telecomunicaciones, y en el ámbito de la investigación e innovación en materia de transporte y energía, y que incluye, en particular, la ejecución de créditos consignados en el presupuesto de la Unión (4), modificada por última vez por la Decisión de la Comisión C(2018)1281, de 27 de febrero de 2018 (5),

Tras consultar al Supervisor Europeo de Protección de Datos,

Considerando lo siguiente:

(1)       La Agencia Ejecutiva de Innovación y Redes (INEA) («la Agencia») se estableció mediante la Decisión de Ejecución 2013/801/UE de la Comisión con vistas a la realización de tareas vinculadas a la ejecución de programas de la Unión en el ámbito de la infraestructura del transporte, la energía y las telecomunicaciones, y en el ámbito de la investigación e innovación en materia de transporte y energía (6).

 

(2)       En el ámbito de su funcionamiento administrativo y operativo, la Agencia está facultada para llevar a cabo investigaciones administrativas y procedimientos predisciplinarios, disciplinarios y de suspensión, de conformidad con el Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión Europea, establecidos en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (7) («Estatuto de los funcionarios»), y con las disposiciones generales de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios. Si es necesario, la Agencia puede llevar a cabo actividades preliminares relacionadas con casos de posibles fraudes e irregularidades y puede notificar casos a la Oficina Europea de Lucha contra el Fraude (OLAF).

 

(3)       Los miembros del personal de la Agencia están obligados a informar sobre actividades potencialmente ilegales, incluidos el fraude y la corrupción, que vayan en detrimento de los intereses de la Unión. Los miembros del personal también están obligados a comunicar las actuaciones relativas al cumplimiento de las obligaciones profesionales que puedan constituir un incumplimiento grave de las obligaciones de los funcionarios de la Unión. Esto se regula mediante normas internas o políticas en materia de denuncia de irregularidades.

 

(4)       La Agencia ha instaurado una política para evitar y gestionar de manera eficaz los casos existentes o potenciales de acoso psicológico o sexual en el puesto de trabajo, como se dispone en las medidas de ejecución del Estatuto de los funcionarios, que establecen un procedimiento informal por el que la presunta víctima del acoso puede ponerse en contacto con los consejeros «confidenciales» de la Agencia.

 

(5)       La Agencia también puede llevar a cabo investigaciones internas de la seguridad (informática) y sobre posibles violaciones de las normas sobre la seguridad de la información clasificada de la UE («ICUE»).

 

(6)       La Agencia está sujeta a auditorías internas y externas relativas a sus actividades, incluidas las realizadas por los Servicios de Auditoría Interna de la Comisión Europea y el Tribunal de Cuentas Europeo.

 

(7)       La Agencia puede gestionar solicitudes de la Fiscalía Europea y solicitudes de acceso a las fichas médicas de los miembros del personal de la Agencia y llevar a cabo investigaciones a través del delegado de protección de datos, en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento.

 

(8)       En el contexto de tales consultas, auditorías, investigaciones o solicitudes administrativas, la Agencia coopera con otras instituciones, órganos, oficinas y agencias de la Unión.

 

(9)       La Agencia puede cooperar con las autoridades nacionales y organizaciones internacionales de terceros países, ya sea a petición suya o por propia iniciativa.

 

(10)     La Agencia también puede cooperar con las autoridades públicas de los Estados miembros de la UE, ya sea a petición suya o por propia iniciativa.

 

(11)     La Agencia puede ser objeto de reclamaciones, procedimientos o investigaciones a través de denunciantes o del Defensor del Pueblo Europeo.

 

(12)     La Agencia puede participar en los asuntos sometidos al Tribunal de Justicia de la Unión Europea cuando remite el asunto al Tribunal, defiende una decisión que ha adoptado y que ha sido recurrida ante el Tribunal, o interviene en asuntos relacionados con sus funciones. En este contexto, la Agencia puede tener que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos por las partes o por las partes coadyuvantes.

 

(13)     En el contexto de sus actividades, la Agencia trata varias categorías de datos personales, incluidos datos de identificación de personas físicas, información de contacto, funciones y tareas profesionales, información sobre la conducta y el rendimiento profesionales y privados y datos financieros, así como, en ciertos supuestos concretos, datos sensibles (p. ej., datos relativos a la salud). Los datos personales incluyen datos fácticos «objetivos» y datos de valoraciones «subjetivos».

a)         A modo de ejemplos de los primeros cabe citar los datos de identificación, los datos de contacto, los datos profesionales, los detalles administrativos, los metadatos relacionados con las comunicaciones electrónicas y los datos de tráfico.

 

b)         Los segundos son subjetivos e incluyen, en particular, la descripción y la valoración de situaciones y circunstancias, opiniones, observaciones relacionadas con los interesados, la evaluación de la conducta y el rendimiento de estos y el razonamiento subyacente a las decisiones particulares relacionadas con o presentadas con respecto al objeto del procedimiento o la actividad llevados a cabo por la Agencia, en consonancia con el marco jurídico aplicable.

 

c)         Las evaluaciones, las observaciones y las opiniones se consideran datos personales en el sentido del artículo 3, apartado 1, del Reglamento.

 

 

(14)     Con arreglo al Reglamento, la Agencia está, por tanto, obligada a facilitar información a los interesados sobre dichas actividades de tratamiento y a respetar sus derechos como interesados.

 

(15)     La Agencia tiene el compromiso de respetar, en la medida de lo posible, los derechos fundamentales de los interesados, en particular el derecho a la comunicación de información, el acceso y la rectificación, el derecho a la supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones, de conformidad con el Reglamento. Sin embargo, la Agencia también podría verse obligada a limitar los derechos y obligaciones del interesado con el fin de proteger sus actividades y los derechos y libertades fundamentales de otras personas.

 

(16)     Por lo tanto, el artículo 25, apartados 1 y 5, del Reglamento brinda a la Agencia la posibilidad de limitar, en concurrencia de determinadas condiciones, la aplicación de los artículos 14 a 22, 35 y 36, así como el artículo 4 del Reglamento, en la medida en que sus disposiciones se corresponden con los derechos y obligaciones dispuestos en los artículos 14 a 20. La limitación se basará en normas internas que se habrán de adoptar al más alto nivel de dirección de la Agencia y estarán sujetas a su publicación en el Diario Oficial de la Unión Europea si no se basan en actos jurídicos adoptados con arreglo a los Tratados.

 

(17)     Las limitaciones pueden resultar de aplicación a diferentes derechos de los interesados, incluido el suministro de información a los interesados y los derechos de acceso, rectificación, supresión, limitación del tratamiento, comunicación de una violación de la seguridad de los datos personales al interesado o confidencialidad de la comunicación consagrados en el Reglamento.

 

(18)     La Agencia puede verse obligada a conciliar esos derechos con los objetivos de las investigaciones administrativas, las auditorías, las investigaciones y los procedimientos judiciales. También puede ser necesario equilibrar los derechos de un interesado frente a los derechos y libertades fundamentales de otros interesados.

 

(19)     La Agencia puede, por ejemplo, limitar la información que proporciona a un interesado sobre el tratamiento de sus datos personales durante la fase de evaluación preliminar de una investigación administrativa o durante la propia investigación, antes de la posible desestimación del asunto o en la fase predisciplinaria. En determinadas circunstancias, facilitar dicha información puede afectar gravemente a la capacidad de la Agencia para llevar a cabo la investigación de manera eficaz, por ejemplo, cuando exista el riesgo de que la persona afectada pueda destruir pruebas o interferir con posibles testigos antes de su declaración. La Agencia también puede tener que proteger los derechos y libertades de los testigos, así como los de otras personas implicadas.

 

(20)     Puede ser necesario que la Agencia proteja el anonimato de aquellos testigos o denunciantes que hayan solicitado no ser identificados. En tal caso, la Agencia puede decidir limitar el acceso a la identidad, las declaraciones y otros datos personales de esas personas o del sospechoso, a fin de proteger sus derechos y libertades.

 

(21)     Puede ser necesario que la Agencia proteja la información confidencial relativa a un miembro del personal que se haya puesto en contacto con asesores confidenciales de la Agencia en el contexto de un procedimiento por acoso. En tales casos, la Agencia puede tener que limitar el acceso a la identidad, las declaraciones y otros datos personales de la presunta víctima, el presunto acosador y otras personas implicadas, con el fin de proteger los derechos y libertades de todas las personas afectadas.

 

(22)     En relación con los procedimientos de selección y contratación, evaluación del personal y contratación pública, los derechos de acceso, rectificación, supresión y limitación solo se podrán ejercer en determinados momentos y bajo ciertas condiciones, según lo dispuesto en cada procedimiento, con el fin de proteger los derechos de otros interesados y respetar el principio de igualdad de trato y el secreto de las deliberaciones.

 

(23)     La Agencia puede limitar asimismo el acceso de los interesados a sus datos médicos, por ejemplo, de naturaleza psicológica o psiquiátrica, debido a su carácter potencialmente sensible, y el servicio médico de la Comisión podría optar por conceder a los interesados solo un acceso indirecto a través de su propio profesional sanitario. El interesado puede ejercer el derecho de rectificación de evaluaciones u opiniones del servicio médico de la Comisión presentando sus comentarios o un informe de un profesional sanitario de su elección.

 

(24)     La Agencia, representada por su director, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro de la propia Agencia al objeto de reflejar las diversas responsabilidades operativas por las tareas específicas de tratamiento de datos personales en responsables delegados competentes.

 

(25)     Los datos personales se almacenan de forma segura en un entorno electrónico conforme a la Decisión (UE, Euratom) 2017/46 de la Comisión (8), sobre la seguridad de los sistemas de información y comunicación de la Comisión Europea o en papel, evitando el acceso ilícito o la transferencia de datos a personas que no tengan por qué conocerlos. Los datos personales tratados no se retienen durante un tiempo superior al necesario y al adecuado para los fines para los que estos se hayan tratado durante el período especificado en los avisos de protección de datos y los registros de la Agencia.

 

(26)     La Agencia aplicará limitaciones solo cuando estas respeten la esencia de los derechos y libertades fundamentales, sean estrictamente necesarias y constituyan una medida proporcionada en una sociedad democrática. La Agencia ofrecerá razones para explicar la justificación de dichas limitaciones e informará en consecuencia a los interesados sobre ellas y sobre su derecho a presentar una reclamación ante el SEPD, según lo dispuesto en el artículo 25, apartado 6, del Reglamento.

 

(27)     En aplicación del principio de responsabilidad, la Agencia debe llevar un registro de las limitaciones impuestas.

 

(28)     Al tratar los datos personales intercambiados con otras organizaciones en el marco de sus funciones, tanto la Agencia como dichas organizaciones se consultarán mutuamente sobre los posibles motivos de imposición de limitaciones, así como sobre la necesidad y proporcionalidad de estas, a menos que ello ponga en peligro las actividades de la Agencia.

 

(29)     Así, estas normas internas se aplicarán a todas las actividades de tratamiento llevadas a cabo por la Agencia que afecten a datos personales en la ejecución de investigaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades comunicadas a la OLAF, investigaciones de la Fiscalía Europea, procedimientos de denuncia de irregularidades, procedimientos (formales e informales) por casos de acoso, tramitación de reclamaciones internas y externas, solicitudes de acceso o rectificación de las fichas médicas propias, las investigaciones llevadas a cabo por el delegado de protección de datos en consonancia con el artículo 45, apartado 2, del Reglamento, investigaciones de seguridad (informática) gestionadas internamente o con participación externa (p. ej., Equipo de respuesta a emergencias informáticas de las instituciones, órganos y organismos de la Unión Europea, CERT-UE), auditorías, procedimientos ante Tribunal de Justicia de la Unión Europea o autoridades públicas nacionales, procedimientos de selección y contratación, evaluación del personal y contratación pública, según se enumera en lo que antecede.

 

(30)     Estas normas internas se aplicarán a las actividades de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente, durante estos y durante la supervisión del seguimiento de los resultados de dichos procedimientos. También se deben incluir la asistencia y la cooperación prestadas por la Agencia a otras instituciones de la UE, a las autoridades nacionales y las organizaciones internacionales al margen de sus investigaciones administrativas.

 

(31)     De conformidad con el artículo 25, apartado 8, del Reglamento, la Agencia podrá aplazar, omitir o denegar la comunicación de la información que justifica la limitación al interesado si dicha comunicación dejase sin efecto la limitación impuesta. La Agencia evaluará caso por caso si la comunicación de la limitación la deja sin efecto.

 

(32)     La Agencia levantará la limitación tan pronto como las condiciones que la justifiquen ya no sean aplicables y evaluará dichas condiciones de forma periódica.

 

(33)     Para garantizar la máxima protección de los derechos y libertades de los interesados y de conformidad con el artículo 44, apartado 1, del Reglamento, deberá consultarse al delegado de protección de datos de la Agencia a su debido tiempo antes de aplicar o revisar cualquier limitación, y verificar su conformidad con la presente Decisión.

 

(34)     El artículo 16, apartado 5, y el artículo 17, apartado 4, del Reglamento prevén excepciones al derecho a la información y al derecho de acceso de los interesados. Si se aplican estas excepciones, la Agencia no necesita aplicar una limitación con arreglo a la presente Decisión.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto y ámbito de aplicación

1.   La presente Decisión establece normas relativas a las condiciones en las que la Agencia Ejecutiva de Innovación y Redes y cualquiera de sus sucesores («la Agencia») pueden limitar la aplicación de los artículos 4, 14 a 22, 35 y 36, de conformidad con el artículo 25 del Reglamento.

2.   La Agencia, como responsable del tratamiento, está representada por su director, que podrá delegar a su vez la función del responsable.

Artículo 2

Limitaciones aplicables

1.   La Agencia podrá limitar la aplicación de los artículos 14 a 22, 35 y 36, así como del artículo 4 del Reglamento, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20.

2.   La presente Decisión se aplica al tratamiento de datos personales por parte de la Agencia en el ámbito de su funcionamiento administrativo y operativo:

a)         con arreglo al artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento, al llevar a cabo una investigación administrativa, incluidas las basadas en reclamaciones externas, o un procedimiento predisciplinario, disciplinario o de suspensión con arreglo al artículo 86 y el anexo IX del Estatuto de los funcionarios y sus normas de desarrollo, investigaciones de seguridad o investigaciones de la OLAF;

 

b)         de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que los miembros del personal de la Agencia puedan denunciar hechos de forma confidencial cuando consideren que existen graves irregularidades, tal como se establece en las normas internas o las políticas sobre la denuncia de irregularidades;

 

c)         de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que los miembros del personal de la Agencia puedan comunicarse con sus asesores confidenciales en el contexto de un procedimiento de acoso, según su definición en las normas internas;

 

d)         de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando lleve a cabo auditorías internas o externas en relación con actividades o con el funcionamiento de la Agencia;

 

e)         de conformidad con el artículo 25, apartado 1, letras d) y h), del Reglamento, a la hora de llevar a cabo actividades de análisis de seguridad, incluso las relacionadas con incidentes de ciberseguridad con o un mal uso del sistema informático, gestionadas internamente o con participación externa (p. ej., CERT-UE), así como a la hora de garantizar la seguridad interna por medio de videovigilancia, el control del acceso y las necesidades de las investigaciones, proteger los sistemas de comunicación e información y la aplicar contramedidas técnicas de seguridad;

 

f)         de conformidad con el artículo 25, apartado 1, letras g) y h), del Reglamento, cuando el delegado de protección de datos (DPD) de la Agencia investigue asuntos relacionados directamente con sus tareas;

 

g)         de conformidad con el artículo 25, apartado 1, letras b), g) y h), del Reglamento, en el contexto de investigaciones de la Fiscalía Europea;

 

h)         de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, cuando los interesados soliciten el acceso a sus datos médicos o su rectificación, incluido si los conserva el Servicio Médico de la Comisión;

 

i) de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento, cuando preste asistencia a otras instituciones, organismos, oficinas y agencias de la Unión, cuando reciba asistencia de dichas instituciones, organismos, oficinas y agencias o cuando coopere con ellos en el contexto de las actividades contempladas en las letras a) a h) del presente apartado y con arreglo a los acuerdos de nivel servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes de su respectivo acto de establecimiento;

 

j) de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando preste asistencia a las autoridades nacionales y organizaciones internacionales de terceros países, cuando reciba asistencia de dichas autoridades y organizaciones o cuando coopere con estas, a petición de ellas o por iniciativa propia;

 

k)         de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando preste asistencia a las autoridades públicas de los Estados miembros de la UE, cuando reciba asistencia de dichas autoridades o cuando coopere con estas, ya sea a petición suya o por iniciativa propia;

 

l) de conformidad con el artículo 25, apartado 1, letra e), del Reglamento, cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea.

A efectos de la presente Decisión, las actividades anteriores incluirán las acciones preparatorias y de seguimiento relacionadas directamente con la misma actividad.

3.   Además, la Agencia podrá aplicar limitaciones concretas a los derechos de los interesados mencionados en la presente Decisión en las circunstancias siguientes:

a)         cuando los servicios de la Comisión u otras instituciones, órganos y organismos de la Unión estén facultados para limitar el ejercicio de los derechos enumerados y el objetivo de dicha limitación impuesta por el servicio, institución, órgano u organismo de que se trate se vería comprometido si la Agencia no aplicara una limitación equivalente respecto de los datos personales en cuestión;

 

b)         cuando las autoridades competentes de los Estados miembros estén facultadas para limitar el ejercicio de los derechos enumerados y el objetivo de dicha limitación impuesta por dichas autoridades se vería comprometido si la Agencia no aplicara una limitación equivalente respecto de los datos personales en cuestión;

 

c)         cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda comprometer la cooperación de la Agencia con terceros países u organizaciones internacionales en el desempeño de sus funciones, a menos que los intereses o los derechos y libertades fundamentales de los interesados prevalezcan sobre esta necesidad de cooperar.

 

d)         Antes de aplicar una limitación en virtud del presente apartado, la Agencia consultará en su caso a los servicios de la Comisión o a la institución, órgano u organismo de la Unión, la organización internacional o las autoridades competentes del Estado miembro pertinentes, a menos que sea evidente que la limitación esté contemplada en uno de los actos jurídicos mencionados anteriormente o que tal consulta comprometa las actividades de la Agencia.

4.   Las categorías de datos personales tratados en relación con las actividades antedichas podrán contener datos fácticos objetivos y datos de valoraciones subjetivos.

5.   Cualquier limitación respetará la esencia de los derechos y libertades fundamentales y será necesaria y proporcionada en una sociedad democrática.

Artículo 3

Registro de las limitaciones

1.   El responsable del tratamiento elaborará un registro de las limitaciones, en el que se describirán los aspectos siguientes:

a) las razones de cualquier limitación aplicada en virtud de esta Decisión;

 

b) qué fundamentos resultan de aplicación de entre los enumerados en el artículo 2;

 

c)         por qué el ejercicio del derecho supondría un riesgo para el interesado, comprometería la finalidad de las tareas de la Agencia o afectaría negativamente a los derechos y las libertades de otros interesados;

 

d)         el resultado de la apreciación de la necesidad y la proporcionalidad de la limitación, teniendo en consideración los elementos pertinentes del artículo 25, apartado 2, del Reglamento.

2.   Se llevará a cabo una prueba de necesidad y proporcionalidad, caso por caso, antes de aplicar limitaciones. El responsable del tratamiento tendrá en cuenta los posibles riesgos para los derechos y libertades del interesado. Las limitaciones se ceñirán a lo estrictamente necesario para alcanzar su objetivo.

3.   Se deberá registrar la limitación y, en su caso, los documentos que contengan los elementos de hecho y de Derecho subyacentes. Estos se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.

Artículo 4

Riesgos para los derechos y libertades de los interesados

1.   Las evaluaciones de los riesgos para los derechos y libertades de los interesados que supongan la aplicación de limitaciones y los detalles sobre el período de aplicación de dichas limitaciones se harán constar en el registro de actividades de tratamiento mantenido por el responsable del tratamiento en virtud del artículo 31 del Reglamento. También se harán constar en todas las evaluaciones de impacto de protección de datos relativas a las limitaciones llevadas a cabo con arreglo al artículo 39 del Reglamento, en su caso.

2.   Cuando el responsable del tratamiento estudie aplicar una limitación, el riesgo para los derechos y las libertades del interesado deberá sopesarse, en particular, con el riesgo para los derechos y las libertades de otros interesados y el riesgo de incidir negativamente en las investigaciones o los procedimientos emprendidos por la Agencia, por ejemplo, por la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.

Artículo 5

Garantías y plazos de conservación

1.   La Agencia instaurará garantías específicas para evitar los abusos y el acceso o la transferencia ilícitos de datos personales respecto de los cuales se apliquen o puedan aplicarse limitaciones. Tales garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de ejecución internos de la Agencia. Estas garantías incluirán:

a) una definición clara de las funciones, responsabilidades y etapas del procedimiento;

 

b)         en su caso, un entorno electrónico seguro que impida el acceso o la transferencia ilícitos y accidentales de datos electrónicos a personas no autorizadas;

 

c)         en su caso, un almacenamiento y tratamiento seguros de los documentos en soporte papel;

 

d)         la garantía del cumplimiento de las obligaciones de confidencialidad por parte de todas las personas que tengan acceso a los datos personales.

2.   El plazo de conservación de los datos personales en virtud de una limitación se determinará en el correspondiente registro con arreglo a lo dispuesto en el artículo 31 del Reglamento, teniendo en cuenta la finalidad del tratamiento, e incluirá el marco temporal necesario para el control judicial y administrativo. Al final del período de conservación, los datos personales se suprimirán, se anonimizarán o se transferirán a los archivos de conformidad con el artículo 13 del Reglamento.

Artículo 6

Duración de las limitaciones

1.   Las limitaciones a que se refiere el artículo 2 seguirán en vigor mientras los motivos que las justifiquen sigan siendo aplicables.

2.   Cuando dejen de ser aplicables las razones de una limitación, el responsable del tratamiento la levantará si el ejercicio del derecho limitado ya no afecta negativamente al procedimiento pertinente ni socava los derechos o las libertades de otros interesados.

3.   En caso de que el interesado haya solicitado de nuevo acceso a los datos personales en cuestión, el responsable del tratamiento le facilitará al interesado las principales razones de la limitación. Al mismo tiempo, la Agencia informará al interesado de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.

4.   La Agencia revisará cada seis meses la aplicación de las limitaciones mencionadas en el artículo 2.

Artículo 7

Participación del delegado de protección de datos

1.   El responsable del tratamiento de la Agencia informará al DPD de esta sin demora injustificada de cualquier decisión de limitación de los derechos del interesado de conformidad con la presente Decisión antes de que se adopte, o de cualquier decisión de ampliar la aplicación de la limitación. El responsable del tratamiento proporcionará al DPD acceso a los registros asociados y a cualquier documento relativo al contexto fáctico o jurídico.

2.   El DPD podrá solicitar al responsable del tratamiento que revise la aplicación de una limitación. Este notificará por escrito al DPD el resultado de la revisión solicitada.

3.   El responsable del tratamiento documentará la participación del DPD en la aplicación de la limitación, incluida la información compartida. Los documentos contemplados en este artículo formarán parte del registro relativo a la limitación y se pondrán a disposición del SEPD a petición suya.

Artículo 8

Información al interesado sobre las limitaciones de sus derechos

1.   El responsable del tratamiento incluirá en los anuncios de protección de datos y los registros previstos en el artículo 31 del Reglamento, publicados en su sitio web y en la intranet, información general sobre la posible limitación de sus derechos, de conformidad con el artículo 2, apartado 2, de la presente Decisión. La información abarcará los derechos y las obligaciones que puedan ser objeto de limitaciones, los motivos por los que pueden aplicarse las limitaciones y su posible duración.

2.   El responsable del tratamiento informará a los interesados individualmente, por escrito y sin demora injustificada de las limitaciones en curso o futuras de sus derechos. El responsable del tratamiento informará al interesado de los motivos principales en los que se fundamenta la limitación aplicada, de su derecho a consultar al DPD con el fin de impugnar la limitación y de sus derechos a presentar una reclamación ante el SEPD.

3.   El responsable del tratamiento podrá aplazar, omitir o denegar la comunicación de información sobre las razones de la limitación a que se refieren los apartados 1 y 2 durante el tiempo en que ello deje sin efecto la limitación. La apreciación de esta justificación se realizará de manera individual y el responsable del tratamiento proporcionará la información al interesado tan pronto como tal extremo ya no deje sin efecto la limitación.

Artículo 9

Derecho de acceso del interesado

1.   En casos debidamente justificados y con arreglo a las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de acceso contemplado en el artículo 17 del Reglamento cuando sea necesario y proporcionado con respecto a las actividades acometidas en virtud de esta Decisión.

2.   Cuando los interesados soliciten acceso a sus datos personales tratados en el contexto de una actividad específica mencionada en el artículo 2, apartado 2, de la presente Decisión, la Agencia limitará su respuesta a los datos personales tratados en dicho contexto.

3.   Existe la posibilidad de limitar los derechos de los interesados a acceder directamente a los documentos de naturaleza psicológica o psiquiátrica. Mediante estas normas internas no se limitará el acceso indirecto ni el derecho de rectificación y comunicación de una violación de la seguridad de los datos personales. En consecuencia, a petición del interesado, se deberá facilitar el acceso de un médico intermediario a toda la información correspondiente, para que a su discreción pueda decidir qué información se facilita al interesado y de qué manera.

4.   Si el responsable del tratamiento limita de forma total o parcial el derecho de acceso a datos personales, según se indica en el artículo 17 del Reglamento, en su respuesta a la solicitud de acceso informará al interesado afectado por escrito de la limitación aplicada y sus principales motivos, así como de la posibilidad de presentar una reclamación ante el SEPD o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.

5.   La información sobre la limitación de acceso podrá prorrogarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento.

6.   Las limitaciones impuestas en virtud de este artículo se aplicarán de conformidad con la presente Decisión.

Artículo 10

Derecho de rectificación, supresión y limitación del tratamiento

1.   En casos debidamente justificados y con arreglo a las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de rectificación, supresión y limitación del tratamiento contemplado en el artículo 18, el artículo 19, apartado 1, y el artículo 20, apartado 1, del Reglamento cuando sea necesario y oportuno con respecto a las actividades acometidas en virtud del artículo 2, apartado 2, de esta Decisión.

2.   En relación con los datos médicos, los interesados podrán ejercer el derecho de rectificación de la evaluación o la opinión del Servicio Médico de la Comisión presentando sus comentarios o un informe de un médico de su elección (los comentarios o el informe pertinentes se podrán presentar directamente al Servicio Médico de la Comisión).

3.   Las limitaciones impuestas en virtud de este artículo se aplicarán de conformidad con la presente Decisión.

Artículo 11

Comunicación de una violación de la seguridad de los datos personales al interesado

1.   Cuando el responsable del tratamiento tenga la obligación de comunicar una violación de la seguridad de los datos con arreglo al artículo 35, apartado 1, del Reglamento, podrá, en casos excepcionales, limitar dicha comunicación total o parcialmente. El responsable documentará en una nota los motivos de la limitación, su fundamento jurídico de conformidad con el artículo 2 y una evaluación de su necesidad y proporcionalidad. La nota se comunicará al SEPD en el momento en que se notifique la violación de datos personales.

2.   Cuando dejen de ser aplicables las razones de la limitación, la Agencia comunicará al interesado la violación de la seguridad de los datos personales y le informará de los motivos principales de la limitación, así como de su derecho a presentar una reclamación ante el SEPD.

Artículo 12

Confidencialidad de las comunicaciones electrónicas

1.   En circunstancias excepcionales, la Agencia podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas recogido en el artículo 36 del Reglamento. Dichas limitaciones se ajustarán a lo dispuesto en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (9).

2.   Sin perjuicio de lo estipulado en el artículo 8, apartado 3, en caso de que la Agencia limite el derecho a la confidencialidad de las comunicaciones electrónicas, deberá informar al interesado, en su respuesta a cualquier solicitud procedente de este, de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD.

Artículo 13

Entrada en vigor

La presente Decisión entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

Adoptada por el Comité Director de la Agencia Ejecutiva de Innovación y Redes.

Fecha de adopción 14 de octubre de 2020

Certificado por el Director Ejecutivo de la INEA


(1)  DO L 295 de 21.11.2018, p. 39.

(2)  DO L 11, de 16.1.2003, p.1.

(3)  DO L 352, de 24.12.2013, p.65.

(4)  SEC (2009) 481/3

(5)  SEC (2018) 120/2

(6)  Decisión de la Comisión C(2013)9235, de 23 de diciembre de 2013, modificada por la Decisión de la Comisión C(2018)1281, de 27 de febrero de 2018

(7)  Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56/1 de 4.3.1968).

(8)  Decisión (UE, Euratom) 2017/46 de la Comisión, de 10 de enero de 2017, sobre la seguridad de los sistemas de información y comunicación de la Comisión Europea (DO L 6 de 11.1.2017, p. 40).

(9)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

 

 


No hay comentarios:

Publicar un comentario