jueves, 26 de mayo de 2022

ESTRATEGIA EUROPEA PARA LOS DATOS.

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com   

Resumen

La estrategia se basa en cuatro pilares:

1. Establecer un marco de gobernanza intersectorial para el acceso y uso de datos.

2. Invertir en datos y fortalecer las capacidades e infraestructuras de Europa para alojar, procesar y utilizar datos, interoperabilidad.

3. Empoderar a las personas, invertir en habilidades y en pequeñas y medianas empresas.

4. Desarrollar espacios de datos europeos comunes en sectores estratégicos y dominios de interés público

Para mayor información o análisis sobre la Estrategia Europea para los Datos,  referencias legislativas, perspectivas de investigación asi como sus implicancias en América Latina, consúltenos al correo electrónico cferreyros@hotmail.com  

__________________________________________________________________

Frente a los rápidos cambios económicos y sociales provocados por las tecnologías digitales, la Comisión presentó su visión sobre la configuración del futuro digital de Europa el 19 de febrero de 2020, destacando en particular que los datos son el núcleo de la transformación digital. El mismo día, la Comisión adoptó una estrategia europea para los datos. Su objetivo es establecer un mercado único de datos, de modo que Europa pueda cosechar los beneficios de la revolución de los datos y que, para 2030, la participación de la UE en la economía de los datos alcance al menos su peso económico.

La estrategia presenta una gama de medidas políticas e inversiones para permitir la economía de datos, destacando que será necesario abordar una serie de cuestiones: disponibilidad de datos (en particular en el contexto de gobierno a empresa, empresa a empresa, empresa -intercambio de datos de gobierno a gobierno y de gobierno a gobierno); desequilibrios en el poder de mercado (en relación con los servicios en la nube o los proveedores de infraestructuras de datos, o las grandes plataformas en línea); interoperabilidad y calidad de los datos; dato de governancia; dependencias en infraestructuras y tecnologías de datos; la habilitación de las personas para ejercer sus derechos sobre sus datos; habilidades digitales y alfabetización de datos, y ciberseguridad.

La estrategia se basa en cuatro pilares:

  1. Establecer un marco de gobernanza intersectorial para el acceso y uso de datos.
  2. Invertir en datos y fortalecer las capacidades e infraestructuras de Europa para alojar, procesar y utilizar datos, interoperabilidad. Incluye un proyecto de alto impacto de entre 4 000 y 6 000 millones EUR sobre espacios de datos europeos (la contribución de la Comisión ascenderá a 2 000 millones EUR).
  3. Empoderar a las personas, invertir en habilidades y en pequeñas y medianas empresas.
  4. Desarrollar espacios de datos europeos comunes en sectores estratégicos y dominios de interés público: se crearán al menos nueve espacios de datos europeos comunes, en relación con: industria (manufactura), Green Deal, movilidad, salud, finanzas, energía, agricultura, administración pública y habilidades. Además, la Comisión seguirá desarrollando una Nube científica abierta europea para un espacio de datos de ciencia, investigación e innovación.

La Comisión Europea realizó una consulta pública para recopilar las opiniones de las partes interesadas entre el 19 de febrero y el 31 de mayo de 2020. Casi todos los encuestados coincidieron en la necesidad de una estrategia de datos para permitir la transformación digital de la sociedad.

El 25 de noviembre de 2020, la Comisión adoptó una primera iniciativa legislativa en el marco de la Estrategia, una propuesta de Reglamento sobre la gobernanza europea de datos («Ley de gobernanza de datos»). Su objetivo es aumentar la disponibilidad de datos para su uso aumentando la confianza en los intermediarios de datos y reforzando los mecanismos de intercambio de datos en toda la UE. El Parlamento y el Consejo alcanzaron un acuerdo político sobre este expediente el 30 de noviembre de 2021 (véase la ficha específica). 

Además, se esperan propuestas legislativas sobre una Ley de datos y una Revisión de la Directiva de bases de datos. La última agenda tentativa para la próxima reunión de la Comisión menciona el 23 de febrero de 2022 como una posible fecha para la adopción de la propuesta por parte de la Comisión.

En el PE, la Comisión de Industria, Investigación y Energía adoptó un informe sobre una estrategia europea para los datos el 24 de febrero de 2021 (ponente Miapetra KUMPULA-NATRI, S&D). El informe acoge con satisfacción la estrategia de datos de la Comisión y analiza las condiciones para garantizar el papel de liderazgo de la UE en la economía de datos. Apoya la opinión de que la UE debe establecer una gobernanza de datos en toda la UE y una sociedad y economía de datos centrada en el ser humano, basada en los valores de privacidad, transparencia y respeto por los derechos y libertades fundamentales, y que los ciudadanos deben poder tomar decisiones sobre los datos que producen. El 25 de marzo de 2021, el informe fue aprobado sin modificaciones en el Pleno por 602 votos a favor y 8 en contra.

El programa de trabajo de la Comisión Europea para 2022 incluye la iniciativa REFIT "GreenData4All" (es decir, la revisión de la infraestructura para la información espacial en la Directiva de la Comunidad Europea (INSPIRE) y la Directiva de acceso público a la información ambiental) (ver carro dedicado).

Referencias:

    •  European Commission, Tentative agenda for forthcoming Commission meetings, SEC(2022)2403, 18 January 2022

•  European Commission, Communication on a European strategy for data, COM(2020) 66    

•  European Commission, Summary report of the public consultation on the European strategy for data, 24 July 2020    

•  European Parliament, Resolution on a European strategy for data, P9_TA(2021)0098, 25 March 2021    

•  European Committee of the Regions, Opinion on a strategy for Europe's digital future and a strategy for data, 12 October 2020    

•  European Economic and Social Committee, Opinion on a European strategy for data, 18 September 2020

lunes, 23 de mayo de 2022

( eu-LISA) AGENCIA EUROPEA PARA LA GESTION DE LOS SISTEMAS OPERATIVOS DE SISTEMAS TI DE GRAN ESCALA Y ESTRATEGIA 2021-2027

 

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com   

Resumen

Eu LISA es la Agencia de la Unión Europea para la Gestión Operativa de Sistemas TI de Gran Escala en el Espacio de Libertad, Seguridad y Justicia​ ( eu-LISA), agencia de la UE establecida para proporcionar una solución a largo plazo para la gestión operativa de sistemas informáticos a gran escala, que son instrumentos esenciales en la implementación de las políticas de asilo, gestión de fronteras y migración de la UE.

La Agencia gestiona actualmente Eurodac, el Sistema de Información de Schengen de segunda generación (SIS II) y el Sistema de Información de Visados ​​(VIS). Además de estos, eu-LISA está desarrollando el Sistema de Entrada/Salida (EES), el Sistema Europeo de Autorización de Información de Viajes (ETIAS) y el Sistema Europeo de Información de Antecedentes Penales - Nacionales de Terceros Países (ECRIS-TCN). Estos sistemas y los preexistentes se están construyendo/adaptando para garantizar la interoperabilidad: acceso mejorado a la información almacenada en los sistemas de información de la UE y gestión de identidades a nivel de la UE.

Los detalles y la información sobre los sistemas individuales se pueden encontrar en la sección " Sistemas de TI a gran escala " de nuestro sitio web. También hay disponibles otras lecturas sobre interoperabilidad .

La Agencia se estableció en 2011 mediante el Reglamento por el que se crea (UE) n.º 1077/2011 e inició sus actividades el 1 de diciembre de 2012. En 2018, eu-LISA recibió un mandato más amplio que se detalla en el  Reglamento (UE) 2018/1726 .

La sede de eu-LISA se encuentra en Tallin, Estonia, mientras que su centro operativo se encuentra en Estrasburgo, Francia. También hay un sitio de continuidad comercial para los sistemas bajo gestión con sede en Sankt Johann im Pongau, Austria y una Oficina de Enlace en Bruselas, Bélgica.

Para mayor información o análisis sobre la Estrategia de (eu-LISA),  referencias legislativas, perspectivas de investigación asi como sus implicancias en América Latina, consúltenos al correo electrónico cferreyros@hotmail.com  


Estrategia eu-LISA 2021-2027

Este documento resume la estrategia de eu-LISA para 2021-2027 y sienta las bases y la dirección para el desarrollo estratégico de eu-LISA durante este período. La estrategia tiene en cuenta las responsabilidades actuales de la Agencia y las nuevas oportunidades que se avecinan, así como las mayores expectativas y demandas de sus partes interesadas. Esta estrategia se basa en los logros y desarrollos hasta la fecha y proporciona orientación para un mayor desarrollo de las capacidades básicas de eu-LISA en consonancia con el Reglamento por el que se establece revisado de 2018 con respecto a la gestión operativa y el desarrollo de los sistemas bajo su control, para proporcionar servicios de calidad y experiencia tecnológica y empresarial a los Estados miembros y las instituciones asociadas de la UE.

Ver publicación completa

martes, 17 de mayo de 2022

LIMITACIONES DE DERECHOS EN EL TRATAMIENTO DE DATOS PERSONALES EN EL MARCO DEL FUNCIONAMIENTO DE LA EMPRESA COMÚN PARA LA INVESTIGACIÓN SOBRE GESTION DEL TRAFICO AEREO (ATM) EN EL CIELO ÚNICO EUROPEO.

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com   

Resumen

La presente Decisión establece las normas relativas a las condiciones en virtud de las cuales la Empresa Común SESAR 3, en el marco de sus procedimientos establecidos en el apartado 2, podrá limitar el ejercicio de los derechos consagrados en los artículos 14 a 21, 35 y 36, así como la aplicación del artículo 4 del mismo, de conformidad con el artículo 25 del Reglamento (UE) 2018/1725.

Para mayor información o análisis sobre la presente Decisión,  referencias legislativas, perspectivas de investigación asi como sus implicancias en América Latina, consúltenos al correo electrónico cferreyros@hotmail.com  

________________________________________________________


DECISIÓN GB(D)06-2021

relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la Empresa Común para la Investigación sobre ATM en el Cielo Único Europeo 3 [2022/737]

EL CONSEJO DE ADMINISTRACIÓN DE LA EMPRESA COMÚN PARA LA INVESTIGACIÓN SOBRE ATM EN EL CIELO ÚNICO EUROPEO 3 (EMPRESA COMÚN SESAR),

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1) [en lo sucesivo, el «Reglamento (UE) 2018/1725»], y, en particular, su artículo 25,

Visto el Reglamento (UE) 2021/2085 del Consejo, de 19 de noviembre de 2021, por el que se establecen las empresas comunes en el marco de Horizonte Europa y se derogan los Reglamentos (CE) n.o 219/2007, (UE) n.o 557/2014, (UE) n.o 558/2014, (UE) n.o 559/2014, (UE) n.o 560/2014, (UE) n.o 561/2014 y (UE) n.o 642/2014 (2) («acto de base único»),

Vista la Decisión del Consejo de Administración (D) 03-2021 relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la Empresa Común SESAR,

Visto el Documento de orientación del Supervisor Europeo de Protección de Datos (SEPD) sobre el artículo 25 del Reglamento (UE) 2018/1725 y normas internas,

Previa consulta al SEPD el 12 de noviembre de 2019, con arreglo a lo dispuesto en el artículo 41, apartado 2, del Reglamento (UE) 2018/1725,

Vistas las Recomendaciones del Supervisor Europeo de Protección de Datos (SEPD) de 18 de diciembre de 2019,

Previa consulta al Comité de Personal de la Empresa Común SESAR 3,

Considerando lo siguiente:

(1)

Solo los actos jurídicos adoptados en virtud de los Tratados permiten limitar los derechos de los interesados. Cuando dichas limitaciones no puedan fundamentarse en actos jurídicos adoptados con arreglo a los Tratados, el Reglamento (UE) 2018/1725 contempla la posibilidad de incluir limitaciones en cuestiones relacionadas con el funcionamiento de la Empresa Común SESAR 3 por medio de normas internas, tras la evaluación de la necesidad y la proporcionalidad de dichas limitaciones.

(2)

De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que establecen los artículos 14 a 22, deberían basarse en normas internas adoptadas por la Empresa Común SESAR 3.

(3)

En el marco de su funcionamiento administrativo, la Empresa Común SESAR 3 podrá realizar investigaciones administrativas, tramitar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la Oficina Europea de Lucha contra el Fraude (OLAF), tramitar casos de denuncia de irregularidades, tramitar procedimientos (formales e informales) en casos de acoso, tramitar quejas internas y externas, realizar auditorías internas, emprender investigaciones a través del delegado de protección de datos de la Empresa Común SESAR 3 en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y llevar a cabo investigaciones internas sobre seguridad (informática).

(4)

La Empresa Común SESAR 3 trata diversas categorías de datos personales, como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y del tráfico electrónicos; y datos relacionados con el caso (como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos) (3).

(5)

La Empresa Común SESAR 3, representada por su director ejecutivo, actúa como responsable del tratamiento de datos.

(6)

Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide el acceso ilícito a personas que no tengan un derecho lícito a conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados no se conservan durante un tiempo superior al necesario y al adecuado a los fines para los que se hubieran tratado durante el período especificado en los avisos de protección de datos, las declaraciones de confidencialidad o los registros de la Empresa Común SESAR 3.

(7)

Estas normas internas deberían aplicarse a todas las operaciones de tratamiento de datos llevadas a cabo por la Empresa Común SESAR 3 en el ejercicio de sus investigaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades notificadas a la OLAF, procedimientos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitación de quejas internas y externas, auditorías internas, investigaciones llevadas a cabo por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725, así como investigaciones en materia de seguridad (informática) realizadas a nivel interno o con la participación de agentes externos (por ejemplo, el CERT-UE).

(8)

Las normas internas deberían aplicarse a dichas operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente, durante estos y durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos y durante todo el período en el que la limitación siga aplicándose. También deberían ser aplicables a la asistencia y la cooperación prestadas por la Empresa Común SESAR 3 a las autoridades nacionales y las organizaciones internacionales al margen de sus propias investigaciones administrativas.

(9)

En los casos en los que sean aplicables estas normas internas, la Empresa Común SESAR 3 debe justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar el contenido esencial de los derechos y las libertades fundamentales.

(10)

En este contexto, la Empresa Común SESAR 3 ha de respetar, en la medida de lo posible y ateniéndose plenamente a los actos legislativos y orientaciones pertinentes, los derechos fundamentales de los interesados durante los procedimientos citados, en particular los relativos a la comunicación de información, el derecho de acceso, de rectificación y de supresión, el derecho a la limitación del tratamiento, a la comunicación de una violación de la seguridad de los datos personales al interesado o a la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725.

(11)

Sin embargo, la Empresa Común SESAR 3 podrá verse obligada a limitar la comunicación de información a los interesados y otros derechos del interesado para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionados con sus investigaciones o con los procedimientos de otro tipo que se lleven a cabo.

(12)

Cuando se considere la posibilidad de aplicar una limitación, la Empresa Común SESAR 3 sopesará el riesgo para los derechos y las libertades del interesado, en particular, el riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por la Empresa Común SESAR 3, por ejemplo, mediante la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.

(13)

En consecuencia, la Empresa Común SESAR 3 podrá limitar la información a efectos de proteger la investigación y los derechos y libertades fundamentales de otros interesados.

(14)

La Empresa Común SESAR 3 debería controlar de manera periódica que se cumplan las condiciones que justifiquen la aplicación de la limitación y levantar esta en cuanto dejen de resultar aplicables.

(15)

El responsable del tratamiento debería realizar la notificación pertinente al delegado de protección de datos en el momento del aplazamiento y durante las revisiones.

(16)

Esta decisión se adoptará por procedimiento escrito de conformidad con el artículo 10 del reglamento interno del Consejo de Administración.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto y ámbito de aplicación

1.   La presente Decisión establece las normas relativas a las condiciones en virtud de las cuales la Empresa Común SESAR 3, en el marco de sus procedimientos establecidos en el apartado 2, podrá limitar el ejercicio de los derechos consagrados en los artículos 14 a 21, 35 y 36, así como la aplicación del artículo 4 del mismo, de conformidad con el artículo 25 del Reglamento (UE) 2018/1725.

2.   En el marco del funcionamiento administrativo de la Empresa Común SESAR 3, esta decisión se aplica a las operaciones de tratamiento de datos personales realizadas por la oficina del programa a los efectos de llevar a cabo investigaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, tramitaciones de casos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitaciones de quejas internas y externas, auditorías internas, investigaciones realizadas por el delegado de protección de datos en línea con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, el CERT-UE).

3.   Las categorías de datos de que se trata son los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y del tráfico electrónicos; así como los datos relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos.

4.   Cuando la Empresa Común SESAR 3 ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

Artículo 2

Designación del responsable del tratamiento

El responsable del tratamiento en las operaciones de tratamiento será la Empresa Común SESAR 3, representada por su director ejecutivo.

Artículo 3

Especificación de las salvaguardias

1.   Para prevenir el uso indebido de los datos personales, el acceso ilícito a estos o su transferencia ilícita, la Empresa Común SESAR 3 aplicará las salvaguardias siguientes:

a)

los documentos en papel se conservarán en armarios protegidos a los que únicamente pueda acceder el personal autorizado;

b)

todos los datos en formato electrónico se almacenarán en una aplicación informática segura que respete las normas de seguridad de la Empresa Común SESAR 3 y en carpetas electrónicas específicas a las que únicamente pueda acceder el personal autorizado. Se concederán de manera individualizada los niveles de acceso adecuados;

c)

la base de datos estará protegida por contraseña en virtud de un sistema de autenticación única y conectada automáticamente al identificador y la contraseña del usuario, e incorporará técnicas de «seudonimización» o «cifrado» cuando resulten pertinentes. Queda estrictamente prohibida la sustitución de los usuarios. Los registros electrónicos se almacenarán de forma segura para salvaguardar la confidencialidad y la privacidad de los datos que contengan;

d)

todas las personas que dispongan de acceso a los datos quedarán sujetas a una obligación de confidencialidad.

2.   Con arreglo a lo dispuesto en el artículo 6, apartado 3, las salvaguardias a que hace referencia el apartado 1 deberían ser objeto de revisión periódica.

3.   El período de conservación de los datos personales al que se refiere el artículo 1, apartado 3, se indicará en los correspondientes avisos de protección de datos, declaraciones de confidencialidad o registros mencionados en el artículo 7, apartado 1. El período de conservación no superará en ningún caso el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos. (4)

Artículo 4

Motivos que justifican las limitaciones

1.   La Empresa Común SESAR 3 solo adoptará limitaciones para salvaguardar:

a)

la seguridad nacional, el orden público o la defensa de los Estados miembros;

b)

la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;

c)

otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular los objetivos de la política exterior y de seguridad común de la Unión o un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

d)

la seguridad interna de las instituciones y los organismos de la Unión, incluida la de sus redes de comunicación electrónica;

e)

la prevención, la investigación, la detección y la persecución de infracciones de normas deontológicas de las profesiones reguladas;

f)

una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos enunciados en las letras a) a c);

g)

la protección del interesado o de los derechos y las libertades de terceros;

h)

la ejecución de demandas civiles.

2.   Como aplicación concreta de los fines descritos en el apartado 1, la Empresa Común SESAR 3 podrá aplicar limitaciones en las siguientes circunstancias:

a)

en relación con los datos personales intercambiados con servicios de la Comisión u otras instituciones, órganos y organismos de la Unión:

i)

cuando dicho servicio de la Comisión o institución, órgano u organismo de la Unión esté facultado para limitar el ejercicio de los citados derechos sobre la base de otros actos jurídicos contemplados en el artículo 25 del Reglamento (UE) 2018/1725, o de conformidad con el capítulo IX de dicho Reglamento o con los actos fundacionales de otras instituciones, órganos, agencias y organismos de la Unión,

ii)

cuando la finalidad de dicha limitación por parte de ese servicio de la Comisión, institución, órgano u organismo de la Unión se vería comprometida si la Empresa Común SESAR 3 no aplicara una limitación equivalente respecto de los mismos datos personales;

b)

en relación con los datos personales intercambiados con autoridades competentes de los Estados miembros:

i)

cuando dichas autoridades competentes de los Estados miembros estén facultadas para limitar el ejercicio de los citados derechos sobre la base de los actos a que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5), o con arreglo a las medidas nacionales de transposición del artículo 13, apartado 3, del artículo 15, apartado 3, o del artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (6),

ii)

cuando la finalidad de dicha limitación impuesta por dicha autoridad competente se pudiera ver comprometida en caso de que la Empresa Común SESAR 3 no aplicara una limitación equivalente en relación con los datos personales en cuestión;

c)

en relación con los datos personales intercambiados con terceros países u organizaciones internacionales, cuando haya pruebas claras de que el ejercicio de esos derechos y obligaciones puede comprometer la cooperación de la Empresa Común SESAR 3 con terceros países u organizaciones internacionales en el ejercicio de sus funciones.

Antes de aplicar las limitaciones en las circunstancias mencionadas en el párrafo primero, letras a) y b), la Empresa Común SESAR 3 consultará a los servicios pertinentes de la Comisión, a las instituciones, órganos y organismos pertinentes de la Unión, o a las autoridades competentes de los Estados miembros, a menos que para la Empresa Común SESAR 3 resulte evidente que la aplicación de una limitación esté prevista en uno de los actos a que se hace referencia en dichas letra s).

Artículo 5

Limitaciones y derechos de los interesados

1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar los siguientes derechos, cuando resulte necesario y proporcionado, en el contexto de las operaciones de tratamiento previstas en el artículo 1, apartado 2, y en el siguiente apartado 2:

a)

el derecho a la información;

b)

el derecho de acceso;

c)

el derecho de rectificación, supresión y limitación del tratamiento de datos;

d)

el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado;

e)

el derecho a la confidencialidad de las comunicaciones electrónicas.

2.   En los casos debidamente justificados y a fin de salvaguardar los fines citados en el artículo 4, apartado 1, el responsable del tratamiento podrá aplicar limitaciones en el contexto de las siguientes operaciones de tratamiento a que hace referencia el artículo 1, apartado 2:

a)

la realización de investigaciones administrativas y los procedimientos disciplinarios;

b)

las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)

los procedimientos de denuncia de irregularidades;

d)

los procedimientos formales e informales en casos de acoso;

e)

las tramitaciones de quejas internas y externas;

f)

las auditorías internas;

g)

las investigaciones realizadas por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

h)

las investigaciones sobre la seguridad (informática) gestionadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE);

i)

en el marco de un procedimiento de gestión de subvenciones o de contratación pública, después de la fecha límite para la presentación de solicitudes en las convocatorias de propuestas u ofertas en las licitaciones.

3.   En el contexto de los procedimientos por casos de acoso, los derechos mencionados en el apartado 1 podrán limitarse en las mismas condiciones, con la salvedad del derecho a la comunicación de una violación de la seguridad de los datos personales al interesado a que hace referencia el apartado 1, letra d).

4.   En el contexto de un procedimiento de licitación o de gestión de subvenciones, los derechos mencionados en el apartado 1 podrán limitarse en las mismas condiciones, con la salvedad del derecho de rectificación, supresión y limitación del tratamiento de datos a que hace referencia el apartado 1, letra c).

5.   En casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de rectificación, supresión y limitación del tratamiento de datos, con las salvedades previstas en los apartados 3 y 4.

6.   Cuando la Empresa Común SESAR 3 limite, en todo o en parte, la aplicación de los derechos a que se refieren los apartados 1, 3, 4 y 5, adoptará las medidas contempladas en los artículos 6 y 7 de la presente Decisión.

7.   Cuando los interesados soliciten acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una operación de tratamiento determinada, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, la Empresa Común SESAR 3 circunscribirá su evaluación de la solicitud únicamente a dichos datos personales.

Artículo 6

Necesidad y proporcionalidad de las limitaciones

1.   Toda limitación adoptada en virtud del artículo 4 será necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y las libertades de los interesados y el respeto del contenido esencial de los derechos y las libertades fundamentales en una sociedad democrática.

2.   Si se estudia aplicar una limitación, se llevará a cabo una prueba de la necesidad y la proporcionalidad basada en las presentes normas. La prueba también se llevará a cabo en el contexto de la revisión periódica, una vez se haya evaluado si continúan siendo aplicables los fundamentos de hecho y de derecho en los que se basa la limitación. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.

3.   Las limitaciones tendrán carácter temporal. Seguirán aplicándose mientras persistan los motivos que las justifiquen. En particular, cuando se considere que el ejercicio del derecho limitado ya no anula el efecto de la limitación impuesta ni afecta negativamente a los derechos o las libertades de los demás interesados.

La Empresa Común SESAR 3 revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación o del procedimiento pertinentes. Posteriormente, el responsable del tratamiento supervisará cada seis meses la necesidad de mantener cualquier limitación.

4.   Cuando la Empresa Común SESAR 3 aplique, total o parcialmente, las limitaciones a que se refiere el artículo 4 de la presente Decisión, hará constar los motivos de la limitación y el fundamento jurídico con arreglo al apartado 1 anterior, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.

La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes serán registrados. Estos se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.

Artículo 7

Obligación de información

1.   En los avisos de protección de datos, las declaraciones de confidencialidad o los registros, en el sentido del artículo 31 del Reglamento (UE) 2018/1725, publicados en el sitio web o en la intranet de la Empresa Común SESAR 3, donde se informe a los interesados de sus derechos en el marco de determinado procedimiento, la Empresa Común SESAR 3 incluirá información sobre la posible limitación de dichos derechos. Esta información abarcará los derechos que pueden limitarse, las razones de la limitación y la posible duración de la misma.

Sin perjuicio de lo dispuesto en el artículo 6, apartado 4, cuando resulte proporcionado, la Empresa Común SESAR 3 también notificará de manera individualizada a todos los titulares de datos que se consideren interesados en la operación de tratamiento concreta cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.

2.   Cuando la Empresa Común SESAR 3 limite, en todo o en parte, los derechos previstos en el artículo 5, informará al interesado sobre la limitación y sobre los principales motivos de la misma, así como sobre la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.

La comunicación de la información mencionada en el apartado 2 anterior podrá aplazarse, omitirse o denegarse cuando pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.

Artículo 8

Revisión por parte del delegado de protección de datos

1.   La Empresa Común SESAR 3 informará a su delegado de protección de datos (en lo sucesivo, «DPD»), sin dilaciones indebidas, de toda situación en que el responsable del tratamiento limite la aplicación de los derechos de los interesados o prorrogue la limitación de conformidad con la presente Decisión. El responsable del tratamiento proporcionará al DPD acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación y documentará en dicho registro la fecha de la notificación al DPD.

2.   El DPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. Este notificará por escrito al DPD el resultado de la revisión solicitada.

3.   El DPD participará a lo largo de todo el procedimiento. El responsable del tratamiento notificará al DPD el levantamiento de las limitaciones.

Artículo 9

Entrada en vigor

La presente Decisión entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 14 de diciembre de 2021.

Por el Consejo de Administración de la Empresa Común SESAR 3

Henrik HOLOLEI

El Presidente


(1)  DO L 295 de 21.11.2018, p. 39.

(2)  DO L 427 de 30.11.2021, p. 17.

(3)  En caso de corresponsabilidad por el tratamiento, los datos se tratarán de conformidad con los objetivos y los medios establecidos en el correspondiente acuerdo entre los corresponsables del tratamiento, con arreglo a los términos previstos en el artículo 28 del Reglamento (UE) 2018/1725.

(4)  La política de conservación de la Empresa Común SESAR 3 se basa en la conservación de los expedientes en la Comisión, regulada por la lista común de conservación, un documento normativo —cuya última versión es el documento SEC(2019)900— en forma de calendario de conservación que establece los períodos de conservación de los distintos tipos de expedientes de la Comisión.

(5)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(6)  Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).