LIMITACIONES DE DERECHOS DE LOS INTERESADOS EN RELACIÓN CON EL TRATAMIENTO DE DATOS PERSONALES EN EL CONTEXTO DE LAS ACTIVIDADES Y PROCEDIMIENTOS LLEVADOS A CABO POR EL COMITÉ DE LAS REGIONES DE LA UNIÓN EUROPEA.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Université de Montpellier I Francia.

cferreyros@hotmail.com 

Resumen

La presente Decisión establece las normas generales relativas a las condiciones en las que, con arreglo al artículo 25, apartado 1, del RPDUE, los responsables del tratamiento pueden limitar la aplicación de, en su caso, los artículos 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 y 36 del RPDUE, y también del artículo 4 del RPDUE en la medida en que sus disposiciones correspondan con los derechos y obligaciones establecidos en los artículos 14 a 22 del RPDUE.

Las limitaciones a que se refiere el apartado 1 pueden referirse indistintamente a datos personales objetivos («datos sólidos») y subjetivos («datos frágiles»), en particular, pero no exclusivamente, de una o varias de las categorías.

La Autoridad Nacional de Protección de Datos Personales de Perú, no prevé estas limitaciones ni caracteriza los datos personales en objetivos y subjetivos, pero la legislación internacional europea abre esta posibilidad.

Si desea mayor información sobre las limitaciones propuestas en esta legislación  y las obligaciones de las empresas y responsables del tratamiento,  consúltenos al correo electrónico:  cferreyros@ferreyros-ferreyros.com  del Estudio Jurídico Ferreyros-Ferreyros.com

___________________________________________________________ 

DECISIÓN n.^o 4/2022 DE LA MESA DEL COMITÉ DE LAS REGIONES

de 25 de enero de 2022

por la que se establecen normas internas relativas a las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el contexto de las actividades y procedimientos llevados a cabo por el Comité de las Regiones

LA MESA DEL COMITÉ DE LAS REGIONES,

Visto el Tratado de Funcionamiento de la Unión Europea (¹) y, en particular, su artículo 306,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.^o 45/2001 y la Decisión n.^o 1247/2002/CE (²) (en lo sucesivo, «el Reglamento» o «RPDUE»), y en particular su artículo 25,

Visto el Reglamento interno del Comité Europeo de las Regiones (³) y, en particular, su artículo 37, letra d),

Visto el dictamen D(2021) 0894 (asunto 2021-0345) del Supervisor Europeo de Protección de Datos («el SEPD»), de 20 de abril de 2021, consultado con arreglo al artículo 41, apartado 2, del RPDUE,

Considerando lo siguiente:

(1)	De conformidad con el artículo 3, apartado 1, del RPDUE, se entenderá por datos personales toda información sobre una persona física identificada o identificable (en lo sucesivo, «interesado»).

 

(2)	El Reglamento es aplicable, al igual que a cualquier institución de la Unión, al Comité de las Regiones («el Comité») en relación con el tratamiento de datos personales en el marco de las actividades y procedimientos que lleve a cabo.

 

(3)	En el sentido del artículo 3, apartado 8, del RPDUE, el responsable del tratamiento es el Comité, que puede delegar la responsabilidad de determinar los fines y medios del tratamiento de los datos personales.

 

(4)

Con arreglo al artículo 45, apartado 3, del RPDUE, la Mesa del Comité de las Regiones («la Mesa») ha adoptado normas de aplicación (4) por lo que respecta al Reglamento y al delegado de protección de datos del Comité («el DPD»). De conformidad con estas normas, el departamento (dirección, unidad o sector) de la Secretaría General del Comité o la secretaría de uno de los grupos políticos del Comité que, por sí sola o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales, deberá actuar en nombre del Comité como responsable del tratamiento delegado.

 

(5)

El Comité y el Comité Económico y Social Europeo («el CESE») comparten determinados departamentos y recursos («los Servicios Conjuntos») en el marco de la cooperación interinstitucional, y las normas internas aplicables relativas a las limitaciones de los derechos de los interesados en relación con el tratamiento de datos personales por los Servicios Conjuntos deben determinarse de conformidad con los acuerdos celebrados entre el Comité y el CESE a tal efecto.

 

(6)

Para desempeñar las funciones del Comité, los responsables de tratamiento recogen y tratan información y varias categorías de datos personales, incluidos los datos de identificación de personas físicas, la información de contacto, las funciones y tareas profesionales, la información sobre la conducta y el rendimiento profesionales y privados, y los datos financieros. Por tanto, los responsables del tratamiento están obligados, en virtud del Reglamento, a facilitar información a los interesados sobre las actividades de tratamiento que realizan y a respetar sus derechos como interesados.

 

(7)

Los responsables del tratamiento podrían verse obligados a conciliar tales derechos con los objetivos de las indagaciones, investigaciones, verificaciones, actividades, auditorías y procedimientos que se lleven a cabo en el seno del Comité. También podría ser necesario que equilibraran los derechos de una persona interesada frente a los derechos y libertades fundamentales de otros interesados. A tal efecto, el artículo 25, apartado 1, del RPDUE brinda a los responsables del tratamiento la posibilidad de limitar la aplicación de los artículos 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 y 36 del RPDUE, y también del artículo 4 del RPDUE, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones establecidos en los artículos 14 a 22 del RPDUE.

 

(8)	Los responsables del tratamiento deben aplicar limitaciones solo cuando estas respeten la esencia de los derechos y libertades fundamentales, sean estrictamente necesarias y constituyan una medida proporcionada en una sociedad democrática.

 

(9)	Los responsables del tratamiento debe exponer los motivos que justifiquen tales limitaciones y llevar un registro de la aplicación de las limitaciones a los derechos de los interesados.

 

(10)	Los responsables del tratamiento deben suprimir una limitación tan pronto como dejen de ser de aplicación las condiciones que la hayan justificado. Dichas condiciones deberán evaluarse periódicamente.

 

(11)	Para garantizar la máxima protección de los derechos y libertades de los interesados, debe consultarse al DPD oportunamente sobre cualquier limitación que pueda aplicarse y verificar que cumple la presente Decisión.

 

(12)	A menos que se establezcan limitaciones en un acto jurídico adoptado sobre la base de los Tratados (5), es necesario adoptar normas internas que faculten a los responsables del tratamiento a limitar los derechos de los interesados.

 

(13)	La presente Decisión no se aplicará en los casos en que sea de aplicación alguna de las excepciones establecidas en el artículo 15, apartado 4, y en el artículo 16, apartado 5, del RPDUE a la información que debe facilitarse a los interesados,

HA APROBADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto, ámbito de aplicación y definiciones

1.   La presente Decisión establece las normas generales relativas a las condiciones en las que, con arreglo al artículo 25, apartado 1, del RPDUE, los responsables del tratamiento pueden limitar la aplicación de, en su caso, los artículos 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 y 36 del RPDUE, y también del artículo 4 del RPDUE en la medida en que sus disposiciones se correspondan con los derechos y obligaciones establecidos en los artículos 14 a 22 del RPDUE.

2.   A efectos de la presente Decisión, se entenderá por:

a)

«datos personales»: toda información sobre un interesado que es tratada para llevar a cabo actividades o procedimientos que estén fuera del ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del Tratado de Funcionamiento de la Unión Europea, en oposición a los datos personales operativos en el sentido del artículo 3, apartado 2, del RPDUE.

 

b)

«responsable del tratamiento»: la entidad que, por sí sola o conjuntamente con otros, determine efectivamente los fines y medios del tratamiento de datos personales en el contexto de las actividades y procedimientos llevados a cabo por el Comité, con independencia de que se haya delegado o no la responsabilidad de dicha determinación.

3.   La presente Decisión es aplicable al tratamiento de datos personales a efectos de las actividades y procedimientos llevados a cabo por el Comité. No será de aplicación cuando un acto jurídico adoptado sobre la base de los Tratados establezca una limitación de los derechos de los interesados.

4.   En el sentido del artículo 3, apartado 8, del RPDUE, el responsable del tratamiento es el Comité, que puede delegar la responsabilidad de determinar los fines y medios del tratamiento de los datos personales.

5.   A efectos de cada tratamiento, limitación y aplazamiento, omisión o denegación de información, el responsable del tratamiento a cargo se determinará con arreglo a las decisiones internas, los procedimientos y las normas aplicables pertinentes del Comité.

Artículo 2

Exenciones y excepciones

1.   Antes de aplicar las limitaciones previstas en el artículo 3 (1), los responsables del tratamiento considerarán si es de aplicación alguna de las excepciones o exenciones establecidas en el Reglamento, en particular las previstas en el artículo 15, apartado 4, el artículo 16, apartado 5, el artículo 19, apartado 3, el artículo 25, apartados 3 y 4, y el artículo 35, apartado 3, del RPDUE.

2.   La aplicación de excepciones estará sujeta a garantías adecuadas de conformidad con el artículo 13 del RPDUE y el artículo 6 de la presente Decisión.

Artículo 3

Limitaciones

1.   Los responsables del tratamiento podrán limitar la aplicación, en su caso, de los artículos 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 y 36 del RPDUE, y también del artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones establecidos en los artículos 14 a 22 del RPDUE, cuando el ejercicio de sus derechos por parte de los interesados perjudique el objetivo o el resultado de una o varias de las actividades o procedimientos llevados a cabo por el Comité, en particular:

a)

con arreglo al artículo 25, apartado 1, letras b), c), f), g) y h) del RPDUE, cuando la autoridad facultada para proceder a los nombramientos y la autoridad facultada para celebrar contratos del Comité («la Autoridad facultada para proceder a los nombramientos») lleve a cabo procedimientos disciplinarios, indagaciones administrativas e investigaciones por lo que respecta a cuestiones de personal de conformidad con el artículo 86 del Estatuto de los funcionarios de la Unión Europea (el «Estatuto de los funcionarios» o «EF») y con el anexo IX del Estatuto y los artículos 50 bis y 119 del Régimen aplicable a los otros agentes de la Unión Europea (6) (el «Régimen» o «RAA»), e investigaciones en el marco de solicitudes de asistencia presentadas según lo definido en el artículo 24 del EF y a los artículos 11 y 81 del RAA y por lo que respecta a supuestos casos de acoso conforme a lo previsto en el artículo 12 bis del EF,

 

b)

con arreglo al artículo 25, apartado 1, letras b), c), f) y h) del RPDUE, cuando la Autoridad facultada para proceder a los nombramientos examine las solicitudes y reclamaciones presentadas por los funcionarios y otros agentes del Comité (los «miembros del personal») de conformidad con el artículo 90 del EF y los artículos 46 y 117 del RAA;

 

c)	con arreglo al artículo 25, apartado 1, letras c) y h), del RPDUE, cuando la Autoridad facultada para proceder a los nombramientos aplique la política de personal del Comité mediante procedimientos de selección (contratación), evaluación (valoración) y promoción;

 

d)

con arreglo al artículo 25, apartado 1, letras c), f), g) y h), del RPDUE, cuando el ordenador del Comité («el Ordenador») ejecute la sección del presupuesto general de la Unión Europea correspondiente a dicho Comité mediante procedimientos de adjudicación de conformidad con las normas financieras aplicables al presupuesto general de la Unión (7) («el Reglamento Financiero» o «RF»);

 

e)

con arreglo al artículo 25, apartado 1, letras b), c), f), g) y h), del RPDUE, cuando el Ordenador lleve a cabo tareas de seguimiento e investigaciones respecto a la legalidad de las transacciones financieras llevadas a cabo por el Comité y en el seno de este, respecto a los derechos financieros (8) de los miembros y suplentes del Comité (los «miembros del Comité»), y a la financiación de las actividades y los eventos organizados o coorganizados por el Comité, y se ocupe de las irregularidades financieras por parte de un miembro del personal con arreglo al artículo 93 del RF;

 

f)

con arreglo al artículo 25, apartado 1, letras b), c), f), g) y h), del RPDUE, cuando el Comité facilite información y documentos a la Oficina Europea de Lucha contra el Fraude («OLAF»), ya sea a petición de esta o por iniciativa propia, notifique asuntos a la OLAF o procese información y documentos recibidos de la OLAF (9);

 

g)	con arreglo al artículo 25, apartado 1, letras c), g) y h), del RPDUE, cuando el Comité realice auditorías internas a efectos de los artículos 118 y 119 del RF y en relación con las actividades y los procedimientos de sus departamentos;

 

h)

con arreglo al artículo 25, apartado 1, letras c), d) y h), del RPDUE, cuando el Comité lleve a cabo evaluaciones de riesgos internas, controles de acceso, incluidas comprobaciones de antecedentes, medidas de prevención e investigaciones sobre incidentes de seguridad y protección, incluidos los incidentes que impliquen a miembros del Comité o miembros del personal y los incidentes relacionados con la infraestructura y las tecnologías de información y comunicación del Comité, así como investigaciones de seguridad e investigaciones auxiliares, incluidas de sus redes de comunicaciones electrónicas, por iniciativa propia o a petición de terceros;

 

i)

con arreglo al artículo 25, apartado 1, letras c), d) y h), del RPDUE, cuando el DPD, por iniciativa propia o a petición de terceros, investigue las cuestiones y los incidentes directamente relacionados con sus funciones que lleguen a su conocimiento, de conformidad con el artículo 45, apartado 2 del RPDUE;

 

j)

con arreglo al artículo 25, apartado 1, letra h), del RPDUE, cuando los responsables del tratamiento traten datos personales obtenidos en el contexto de un miembro del personal que informe de buena fe elementos de hecho que apunten a la existencia de posibles actividades ilegales, incluidos el fraude y la corrupción, que sean perjudiciales para los intereses de la Unión («irregularidades graves») o de conductas relacionadas con el desempeño de funciones profesionales que puedan constituir un incumplimiento grave de las obligaciones de los miembros del personal («faltas graves»);

 

k)	con arreglo al artículo 25, apartado 1, letra h), del RPDUE, cuando los responsables del tratamiento traten datos personales obtenidos por asesores confidenciales en el contexto del procedimiento informal de supuestos casos de acoso;

 

l)

con arreglo al artículo 25, apartado 1, letra h), del RPDUE, cuando los responsables del tratamiento traten datos personales relativos a la salud («datos médicos») de un miembro del Comité o de un miembro del personal, incluidos los de naturaleza psicológica o psiquiátrica, que figuren en el expediente médico en poder del Comité sobre el interesado en cuestión;

 

m)

con arreglo al artículo 25, apartado 1, letra e), del RPDUE, cuando los responsables del tratamiento traten datos personales en documentos elaborados u obtenidos por las partes o los interesados en el marco de procedimientos ante el Tribunal de Justicia de la Unión Europea («el Tribunal de Justicia»);

 

n)

con arreglo al artículo 25, apartado 1, letras b), c), d), g) y h), del RPDUE, cuando el Comité preste o reciba asistencia a o de otras instituciones, órganos u organismos de la Unión («IUE») y coopere con ellos en el contexto de las actividades o procedimientos mencionados en el apartado 1, letras (a) a (m), y de conformidad con los acuerdos de nivel de servicio, memorandos de acuerdo y acuerdos de cooperación aplicables;

 

o)

con arreglo al artículo 25, apartado 1, letras b), c), g) y h) del RPDUE, cuando el Comité preste asistencia a o reciba asistencia de las autoridades de los Estados miembros o de terceros países u organizaciones internacionales y coopere con dichas autoridades y organizaciones, ya sea a petición de estas o por iniciativa propia;

 

p)	con arreglo al artículo 25, apartado 1, letras a), b), e) y f), del RPDUE, cuando el Comité facilite a las autoridades de los Estados miembros, o de terceros países u organizaciones internacionales, la información y los documentos que soliciten en el contexto de las investigaciones.

2.   Las limitaciones a que se refiere el apartado 1 pueden referirse indistintamente a datos personales objetivos («datos sólidos») y subjetivos («datos frágiles»), en particular, pero no exclusivamente, de una o varias de las categorías siguientes:

a)	datos de identificación personal;

 

b)	datos de contacto;

 

c)	datos profesionales (10);

 

d)	datos financieros;

 

e)	datos de vigilancia (11);

 

f)	datos de tráfico (12);

 

g)	datos médicos (13);

 

h)	datos genéticos (13);

 

i)	datos biométricos (13);

 

j)	datos relativos a la vida sexual u orientación sexual de una persona física (13);

 

k)	datos que revelen el origen racial o étnico, creencias religiosas o filosóficas, opiniones políticas o afiliación sindical (13);

 

l)	datos que revelan el desempeño o el comportamiento de las personas físicas que participan en procedimientos de selección (contratación), evaluación (valoración) o promoción (14);

 

m)	datos sobre la presencia de personas físicas;

 

n)	datos sobre actividades externas de personas físicas;

 

o)	datos relativos a presuntos delitos, infracciones, condenas penales o medidas de seguridad;

 

p)	comunicaciones electrónicas;

 

q)	Todos los demás datos relacionados con el objeto de la actividad o procedimiento pertinente que requieran el tratamiento de dichos datos.

3.   Todas las limitaciones respetarán la esencia de los derechos y libertades fundamentales y serán necesarias y proporcionadas en una sociedad democrática, y se limitarán a lo estrictamente necesario para alcanzar su objetivo.

4.   Cualquier limitación de la aplicación del artículo 36 del RPDUE (Confidencialidad de las comunicaciones electrónicas), total o parcial, con arreglo al apartado 1, se atendrá a la legislación de la Unión aplicable en materia de privacidad de las comunicaciones electrónicas (¹⁵).

5.   Los responsables del tratamiento revisarán periódicamente la aplicación de las limitaciones mencionadas en el apartado 1, como mínimo cada seis meses a partir de su respectiva adopción, pero también cuando cambien elementos esenciales y decisivos del asunto y cuando finalice o termine la actividad o el procedimiento que haya generado dichas limitaciones. Posteriormente, supervisarán con periodicidad anual la necesidad de mantener cualquier limitación.

6.   Las limitaciones a que se refiere el apartado 1 seguirán en vigor mientras los motivos que la justifiquen sigan siendo aplicables. Cuando dejen de existir los motivos de la limitación a que se refiere el apartado 1, los responsables del tratamiento suprimirán dicha limitación.

7.   Cuando se traten datos personales recibidos de terceros en el contexto de las funciones del Comité, los responsables del tratamiento consultarán a dichos terceros sobre los posibles motivos para imponer limitaciones y sobre la necesidad y proporcionalidad de las limitaciones en cuestión, a menos que ello afecte negativamente a las actividades o procedimientos del Comité.

Artículo 4

Evaluación de la necesidad y la proporcionalidad

1.   Antes de aplicar cualquier limitación, los responsables del tratamiento evaluarán caso por caso si las limitaciones en cuestión son necesarias y proporcionadas.

2.   Siempre que los responsables del tratamiento evalúen la necesidad y la proporcionalidad de una limitación, tendrán en cuenta los posibles riesgos para los derechos y libertades de los interesados.

3.   Las evaluaciones de los riesgos para los derechos y libertades de los interesados derivados de la imposición de las limitaciones, en particular el riesgo de que sus datos personales puedan seguir siendo tratados sin su conocimiento y de que se les impida ejercer sus derechos de conformidad con el Reglamento, así como los detalles sobre el período de aplicación de dichas limitaciones, se registrarán en el registro de las actividades de tratamiento mantenido por los responsables del tratamiento de conformidad con el artículo 31, apartado 1, del RPDUE. También se harán constar en todas las evaluaciones de impacto de protección de datos relativas a dichas limitaciones llevadas a cabo con arreglo al artículo 39 del RPDUE.

Artículo 5

Consignación y registro de las limitaciones

1.   Siempre que los responsables del tratamiento apliquen limitaciones, registrarán:

a)	los motivos para aplicar las limitaciones;

 

b)	los motivos que justifican la aplicación de las limitaciones;

 

c)	el modo en que el ejercicio de los derechos de los interesados perjudicaría la finalidad o el resultado de una o varias de las actividades o procedimientos llevados a cabo por el Comité;

 

d)	el resultado de la evaluación a que se refiere el artículo 4, apartado 1.

2.   Los registros mencionados en el apartado 1 formarán parte del registro central previsto en el artículo 31, apartado 5, del RPDUE y se pondrán a disposición del SEPD previa solicitud.

3.   Cuando los responsables del tratamiento limiten la aplicación del artículo 35 del RPDUE (Comunicación de una violación de la seguridad de los datos personales al interesado), el registro mencionado en el apartado 1 se incluirá en la notificación al SEPD prevista en el artículo 34, apartado 1, del RPDUE.

Artículo 6

Garantías y período de conservación

1.   Los responsables del tratamiento aplicarán garantías para evitar el abuso y el acceso o la transferencia ilícitos de datos personales que puedan estar sujetos a limitaciones con arreglo al artículo 3, apartado 1. Tales garantías incluirán medidas técnicas y organizativas adecuadas y quedarán detalladas, en caso necesario, en las decisiones, los procedimientos y las normas de ejecución internos del Comité.

2.   Las garantías a que se refiere el apartado 1 incluirán:

a)	funciones, responsabilidades y pasos procedimentales claramente definidos;

 

b)	cuando proceda, un entorno electrónico seguro que impida el acceso o la transferencia ilícitos o accidentales de datos electrónicos por personas no autorizadas;

 

c)	cuando proceda, un almacenamiento y tratamiento seguros de los documentos en soporte papel;

 

d)	la debida supervisión de las limitaciones y la revisión periódica de su aplicación.

3.   Los datos personales se conservarán de conformidad con las normas de conservación aplicables del Comité (¹⁶), que se establecerán en los registros mantenidos por los responsables del tratamiento con arreglo al artículo 31, apartado 1, del RPDUE. Al término del período de conservación, los datos personales se suprimirán o se anonimizarán, según proceda, de manera que el interesado en cuestión no sea o deje de ser identificable, o se transferirán a los archivos del Comité de conformidad con el artículo 13 del RPDUE.

Artículo 7

Información a los interesados sobre la limitación de sus derechos

1.   Los avisos de protección de datos publicados en el sitio web público del Comité y en su intranet incluirán una sección en la que se facilitará a los interesados información general sobre la posible limitación de sus derechos en el contexto de las actividades y procedimientos del Comité que impliquen el tratamiento de sus datos personales. Esta sección especificará los derechos que pueden limitarse, los motivos por los que podrían aplicarse limitaciones, la duración potencial de dichas limitaciones y los recursos administrativos y jurídicos a disposición de los interesados.

2.   Siempre que los responsables del tratamiento apliquen limitaciones, informarán directamente a cada interesado, sin demora indebida y en el formato más adecuado, de:

a)	cualquier limitación existente o futura de sus derechos;

 

b)	los principales motivos en los que se basa la aplicación de la limitación;

 

c)	su derecho a consultar al DPD para impugnar la limitación;

 

d)	su derecho a presentar una queja ante el SEPD;

 

e)	su derecho a interponer recurso ante el Tribunal de Justicia.

3.   No obstante lo dispuesto en el apartado 2, cuando los responsables del tratamiento limiten, en casos excepcionales, la aplicación del artículo 35 del RPDUE (Comunicación de una violación de la seguridad de los datos personales al interesado), comunicarán la violación de la seguridad de los datos personales al interesado y facilitarán la información mencionada en el apartado 2, letras (b), (d) y (e), tan pronto como dejen de existir los motivos para limitar dicha comunicación.

4.   No obstante lo dispuesto en el apartado 2, cuando los responsables del tratamiento limiten, en casos excepcionales, la aplicación del artículo 36 del RPDUE (Confidencialidad de las comunicaciones electrónicas), facilitarán la información mencionada en el apartado 2 en su respuesta a cualquier solicitud del interesado en cuestión.

5.   Los responsables del tratamiento podrán aplazar, omitir o denegar la información mencionada en el apartado 2 («aplazamiento, omisión o denegación de información») en la medida en que con ello pueda anularse el efecto de la limitación. Facilitarán al interesado la información mencionada en el apartado 2 tan pronto como con ello no se anule el efecto de la limitación.

6.   El artículo 4 y el artículo 5 se aplicarán por analogía a cualquier caso de aplazamiento, omisión o denegación de información.

Artículo 8

Participación del delegado de protección de datos del Comité

1.   Los responsables del tratamiento informarán por escrito al DPD, sin demora indebida, siempre que limiten los derechos de un interesado de conformidad con el artículo 3, apartado 1, realicen las revisiones periódicas mencionadas en el artículo 3, apartado 5, supriman las limitaciones previstas en el artículo 3, apartado 6, o aplacen, omitan o denieguen la información mencionada en el artículo 7, apartado 2, de conformidad con el artículo 7, apartado 5. Previa solicitud, el DPD tendrá acceso a los registros asociados y a cualquier documento que contenga elementos de hecho y jurídicos subyacentes.

2.   El DPD podrá solicitar a los responsables del tratamiento que revisen las limitaciones existentes, así como los aplazamientos, las omisiones o las denegaciones de información, y su aplicación. El DPD será informado por escrito del resultado de la revisión solicitada.

3.   La participación del DPD prevista en los apartados 1 y 2 por lo que respecta a la aplicación de limitaciones y aplazamientos, omisiones o denegaciones de información será debidamente documentada por los responsables del tratamiento, incluida la información compartida con el DPD.

4.   Previa solicitud, el DPD facilitará su dictamen a los responsables del tratamiento sobre la determinación de sus responsabilidades en el contexto de un acuerdo de corresponsabilidad del tratamiento con arreglo al artículo 28, apartado 1, del RPDUE.

Artículo 9

Servicios conjuntos

El DPD cooperará con el delegado de protección de datos del CESE en lo que respecta al tratamiento de datos personales por parte de los Servicios Conjuntos, con vistas a garantizar la aplicación efectiva de la presente Decisión.

Artículo 10

Disposiciones finales

1.   El secretario general podrá, según proceda, impartir instrucciones o adoptar normas de desarrollo para, en su caso, especificar con mayor detalle y dar efecto a cualquier disposición de la presente Decisión, de conformidad con esta última.

2.   La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas el 25 de enero de 2022.

Por la Mesa del Comité de las Regiones

Apostolos TZITZIKOSTAS

Presidente

---

(¹)  DO C 202 de 7.6.2016, p. 47.

(²)  DO L 295 de 21.11.2018, p. 39.

(³)  DO L 472 de 30.12.2021, p. 1.

(⁴)  Decisión n.^o 19/2020 de la Mesa del Comité de las Regiones, de 9 de octubre de 2020, por la que se adoptan normas de aplicación por lo que respecta al Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos (la «Decisión n.^o 19/2020»).

(⁵)  Tratado de la Unión Europea («TUE») (DO C 202 de 7.6.2016, p. 13) y Tratado de Funcionamiento de la Unión Europea («TFUE»).

(⁶)  Anexo del Reglamento n.^o 31 (CEE) del Consejo, 11 (CEEA), por el que se establece el Estatuto de los funcionarios y el régimen aplicable a los otros agentes de la Comunidad Económica Europea y de la Comunidad Europea de la Energía Atómica (DO P 45 de 14.6.1962, p. 1385), modificado por el Reglamento (CEE, Euratom, CECA) n.^o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1), y con sus posteriores enmiendas, reformulaciones, adiciones y cualesquiera otras modificaciones.

(⁷)  Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.^o 1296/2013, (UE) n.^o 1301/2013, (UE) n.^o 1303/2013, (UE) n.^o 1304/2013, (UE) n.^o 1309/2013, (UE) n.^o 1316/2013, (UE) n.^o 223/2014 y (UE) n.^o 283/2014 y la Decisión n.^o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.^o 966/2012 (DO L 193 de 30.7.2018, p. 1).

(⁸)  Incluidas, a título enunciativo y no limitativo, las dietas para gastos generales, las asignaciones de personal, las asignaciones para equipos e instalaciones, las dietas para viajes, estancia y reuniones (a distancia), así como otras indemnizaciones que deban abonarse de conformidad con el artículo 238 del RF.

(⁹)  Este punto no es de aplicación al tratamiento de datos personales para los que la OLAF actúe como único responsable, especialmente cuando la OLAF trate datos personales que se encuentren en las instalaciones del Comité.

(¹⁰)  Incluidos, entre otros, contratos de empleo, contratos con proveedores de servicios y datos relacionados con misiones.

(¹¹)  Incluidos, entre otros, grabaciones de audio y vídeo y registros de inicio y cierre de sesión.

(¹²)  Incluidos, entre otros, horas de inicio y cierre de sesión, acceso a aplicaciones internas, recursos basados en la red y uso de internet.

(¹³)  En la medida en que dichos datos sean tratados de conformidad con lo dispuesto en el artículo 10, apartado 2, del RPDUE.

(¹⁴)  Incluidos, a título enunciativo y no limitativo, pruebas escritas, ponencias grabadas, hojas de evaluación y evaluaciones, observaciones u opiniones de los evaluadores.

(¹⁵)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(¹⁶)  Decisión n.^o 129/2003 del Secretario General del Comité de las Regiones, de 17 de junio de 2003, sobre la gestión documental en el Comité de las Regiones.