Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
La Empresa Común para las Redes y los Servicios Inteligentes
(Empresa Común SNS) es una asociación público-privada con una doble misión:
- fomentar la soberanía tecnológica
de Europa en la 6G
- impulsar
el despliegue de la 5G en Europa
La Empresa Común SNS financia proyectos de investigación
e innovación (I+i) para reforzar la posición industrial de Europa en la cadena de
valor mundial de las redes y servicios inteligentes. Agrupa los recursos de la UE
y la industria para acelerar el desarrollo de tecnologías para redes y servicios
inteligentes que sean seguras y eficientes desde el punto de vista energético.
El objeto y ámbito de aplicación de la presente Decisión establece: - las normas relativas a las condiciones en las que la Empresa Común SNS, en el marco de sus procedimientos establecidos en el apartado 2, puede limitar la aplicación de los derechos previstos en los artículos 14 a 22, 35 y 36 del Reglamento (UE) 2018/1725, así como la aplicación de su artículo 4, de conformidad con el artículo 25 de dicho Reglamento; y - las categorías de datos pertinentes a efectos de los procedimientos mencionados son los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos, así como los datos relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos.
El articulado de la Decisión comprende también la: Designación
del responsable del tratamiento, Especificación de las salvaguardias, Necesidad
y proporcionalidad de las limitaciones, Obligación de información, Participación
del delegado de protección de datos, Comunicación de una violación de datos personales
al interesado, Confidencialidad de las comunicaciones electrónicas y Entrada en
vigor.
A fin de acceder a normas similares y estándares europeos,
las empresas, organizaciones públicas y privados interesados en asesorías, consultorías,
capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar
al correo electrónico:cferreyros@hotmail.com
 | Diario Oficial | Serie L |
2023/2511 | 14.11.2023 |
DECISIÓN n.o 18/2023 DEL CONSEJO DE
ADMINISTRACIÓN DE LA EMPRESA COMÚN PARA LAS REDES Y LOS SERVICIOS INTELIGENTES
de 11 de octubre de 2023
por la que se establecen las normas internas relativas a la limitación de
determinados derechos de los interesados en relación con el tratamiento de
datos personales en el marco del funcionamiento de la Empresa Común para las
Redes y los Servicios Inteligentes [2023/2511]
EL CONSEJO DE ADMINISTRACIÓN,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del
Consejo, de 23 de octubre de 2018, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales por las
instituciones, órganos y organismos de la Unión, y a la libre circulación de
esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la
Decisión n.o 1247/2002/CE (1) [«el
Reglamento (UE) 2018/1725»], y en particular su artículo 25,
Visto el Reglamento (UE) 2021/2085 del Consejo, de
19 de noviembre de 2021, por el que se establecen las empresas
comunes en el marco de Horizonte Europa y se derogan los Reglamentos (CE) n.o 219/2007, (UE)
n.o 557/2014, (UE) n.o 558/2014, (UE) n.o 559/2014, (UE)
n.o 560/2014, (UE) n.o 561/2014 y (UE) n.o 642/2014 (2) (en
lo sucesivo, «Reglamento de base»), y, en particular, la Empresa Común para las
Redes y los Servicios Inteligentes (en lo sucesivo, «la Empresa Común SNS»),
Visto el Documento de orientación del Supervisor Europeo de Protección de
Datos (SEPD) sobre el artículo 25 del Reglamento (UE) 2018/1725 y las
normas internas, de 24 de junio de 2020 (3),
Previa consulta al SEPD el 13 de junio de 2023, con arreglo a lo
dispuesto en el artículo 41, apartado 2, del Reglamento
(UE) 2018/1725,
Vistas las recomendaciones del SEPD de 19 de junio de 2023,
Previa información al personal de la Empresa Común SNS,
CONSIDERANDO LO SIGUIENTE:
1) Solo los actos jurídicos
adoptados en virtud de los Tratados permiten limitar los derechos de los
interesados. Cuando dichas limitaciones no puedan fundamentarse en actos
jurídicos adoptados con arreglo a los Tratados, el Reglamento
(UE) 2018/1725 contempla la posibilidad de incluir limitaciones en
cuestiones relacionadas con el funcionamiento de la Empresa Común SNS por medio
de normas internas, tras la evaluación de la necesidad y la proporcionalidad de
dichas limitaciones.
2) De conformidad con lo dispuesto
en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las
limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y
también del artículo 4 de dicho Reglamento en la medida en que sus
disposiciones se correspondan con los derechos y obligaciones que establecen
los artículos 14 a 20, deberían basarse en normas internas adoptadas por
la Empresa Común SNS.
3) En el marco de su funcionamiento
administrativo, la Empresa Común SNS puede realizar investigaciones
administrativas, tramitar procedimientos disciplinarios, llevar a cabo
actividades preliminares relacionadas con casos de posibles irregularidades
puestas en conocimiento de la Oficina Europea de Lucha contra el Fraude (OLAF),
tramitar casos de denuncia de irregularidades, tramitar procedimientos
(formales e informales) en casos de acoso, tramitar quejas internas y externas,
realizar auditorías internas, emprender investigaciones a través del delegado
de protección de datos (SEPD) en consonancia con lo dispuesto en el
artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y llevar a
cabo investigaciones internas sobre la seguridad (informática) realizadas internamente
o con la participación de agentes externos (por ejemplo, CERT-EU);
4) La Empresa Común SNS también
puede llevar a cabo investigaciones sobre posibles infracciones de las normas
de seguridad de la información clasificada de la Unión Europea (ICUE), sobre la
base de la Decisión que tiene previsto adoptar en lo relativo a sus normas de
seguridad para la protección de la ICUE.
5) En el contexto de tales
investigaciones administrativas, auditorías e investigaciones, la Empresa Común
SNS coopera con otras instituciones, órganos y organismos de la Unión.
6) La Empresa Común SNS puede
cooperar con autoridades nacionales de terceros países y con organizaciones
internacionales, ya sea a petición de estas o por propia iniciativa.
7) La Empresa Común SNS también
puede cooperar con las autoridades públicas de los Estados miembros de la UE,
ya sea a petición de estas o por propia iniciativa.
8) La Empresa Común SNS participa en
los asuntos sometidos al Tribunal de Justicia de la Unión Europea cuando remite
el asunto al Tribunal, defiende una decisión que ha adoptado y ha sido
recurrida ante el Tribunal o interviene en asuntos relacionados con sus
funciones. En este contexto, es posible que la Empresa Común SNS tenga que
preservar el carácter confidencial de los datos personales contenidos en
documentos obtenidos por las partes o por las partes coadyuvantes.
9) Para el cumplimiento de sus funciones,
la Empresa Común SNS recopila y trata diversas categorías de datos personales,
como los datos de identificación, los datos de contacto, los datos
profesionales, los datos administrativos, los datos recibidos de determinadas
fuentes y los datos de las comunicaciones y el tráfico electrónicos; y datos
relacionados con el caso, como el razonamiento, los datos de comportamiento,
las valoraciones, los datos de actuación y conducta, y los datos relacionados
con el objeto del procedimiento o la actividad o presentados en relación con
estos (4).
10) La Empresa Común SNS,
representada por su director ejecutivo, actúa como responsable del tratamiento
de datos.
11) Los datos personales se
almacenan en un entorno electrónico o en papel de un modo seguro que impide el
acceso ilícito a personas que no tengan un derecho lícito a conocerlos y la
transferencia ilícita a estas personas. Los datos personales tratados no se
conservan durante un tiempo superior al necesario y adecuado para los fines
para los que se hubieran tratado durante el período especificado en los avisos
de protección de datos, las declaraciones de confidencialidad o los registros
de la Empresa Común SNS.
12) Con arreglo al Reglamento
(UE) 2018/1725, la Empresa Común SNS está, por tanto, obligada a facilitar
información a los interesados sobre dichas actividades de tratamiento y a
respetar sus derechos como titulares de datos.
13) La Empresa Común SNS puede verse
obligada a conciliar esos derechos con los objetivos de las investigaciones
administrativas, las auditorías, las investigaciones y los procedimientos
judiciales. También podría ser necesario buscar un equilibrio entre los derechos
de un interesado y los derechos y libertades fundamentales de otros
interesados. A tal fin, el artículo 25 del Reglamento (UE) 2018/1725
ofrece a la Empresa Común SNS la posibilidad de limitar, bajo condiciones
estrictas, la aplicación de los artículos 14 a 22, 35 y 36, del
Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en
que sus disposiciones se correspondan con los derechos y obligaciones previstos
en los artículos 14 a 20.
14) Las normas internas deberían
aplicarse a dichas operaciones de tratamiento de datos llevadas a cabo antes
del inicio de los procedimientos citados previamente, durante estos y durante
el seguimiento de la actuación consecutiva a los resultados de dichos
procedimientos y durante todo el período en el que la limitación siga
aplicándose. También deberían ser aplicables a la asistencia y la cooperación
prestadas por la Empresa Común SNS a las autoridades nacionales y las
organizaciones internacionales al margen de sus propias investigaciones
administrativas.
15) En los casos en que resulten
aplicables estas normas internas, la Empresa Común SNS deberá justificar que
las limitaciones son estrictamente necesarias y proporcionadas en una sociedad
democrática y que respetan el contenido esencial de los derechos y las libertades
fundamentales.
16) En este contexto, la Empresa
Común SNS ha de respetar, ateniéndose plenamente a los actos legislativos y
orientaciones pertinentes, los derechos fundamentales de los interesados
durante los procedimientos citados, en particular los relativos a la
comunicación de información, el derecho de acceso, de rectificación y de
supresión, el derecho a la limitación del tratamiento, a la comunicación de una
violación de la seguridad de los datos personales al interesado o a la confidencialidad
de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725.
17) Sin embargo, la Empresa Común
SNS puede verse obligada a limitar la comunicación de información a los
interesados y otros derechos de los interesados para proteger, en particular,
sus propias investigaciones, las investigaciones y los procedimientos de otras
autoridades públicas y los derechos de otras personas relacionadas con sus
investigaciones o con los procedimientos de otro tipo que se lleven a cabo.
18) Cuando estudie la posibilidad de
aplicar una limitación, la Empresa Común SNS sopesará el riesgo para los
derechos y las libertades del interesado, en particular, con respecto al riesgo
para los derechos y las libertades de otros interesados y el riesgo de dejar
sin efecto las investigaciones o los procedimientos emprendidos por la Empresa
Común SNS, por ejemplo, por la destrucción de pruebas. Los riesgos para los
derechos y las libertades del interesado consisten principalmente, aunque no de
manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la
defensa y a ser oído.
19) En consecuencia, la Empresa
Común SNS puede limitar la información a efectos de proteger la investigación y
los derechos y libertades fundamentales de otros interesados.
20) A fin de garantizar la máxima
protección de los derechos y libertades de los interesados y de conformidad con
lo dispuesto en el artículo 44, apartado 1, del Reglamento
(UE) 2018/1725, debe consultarse al delegado de protección de datos, en
tiempo oportuno, cualquier limitación que pueda aplicarse y comprobar su
conformidad con la presente Decisión.
21) La Empresa Común SNS debe
controlar de manera periódica que se cumplan las condiciones que justifiquen la
aplicación de la limitación y levantar la limitación en cuanto dejen de
cumplirse.
22) El responsable del tratamiento
debe notificar al delegado de protección de datos en el momento del
aplazamiento y durante las revisiones.
23) Esta decisión se adoptará por
procedimiento escrito de conformidad con el artículo 10 del reglamento
interno del Consejo de Administración de la Empresa Común SNS.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Objeto y ámbito de aplicación
1. La presente Decisión establece las normas relativas a
las condiciones en las que la Empresa Común SNS, en el marco de sus
procedimientos establecidos en el apartado 2, puede limitar la aplicación de
los derechos previstos en los artículos 14 a 22, 35 y 36 del Reglamento
(UE) 2018/1725, así como la aplicación de su artículo 4, de
conformidad con el artículo 25 de dicho Reglamento.
2. Las categorías de datos pertinentes a efectos de los
procedimientos mencionados son los datos de identificación, los datos de
contacto, los datos profesionales, los datos administrativos, los datos
recibidos de determinadas fuentes y los datos de las comunicaciones y el
tráfico electrónicos, así como los datos relacionados con el caso, como el
razonamiento, los datos de comportamiento, las valoraciones, los datos de
actuación y conducta, y los datos relacionados con el objeto del procedimiento
o la actividad o presentados en relación con estos.
3. Cuando la Empresa Común SNS ejerza sus funciones en
relación con los derechos de los interesados en virtud del Reglamento
(UE) 2018/1725, analizará si es aplicable alguna de las excepciones
establecidas en dicho Reglamento.
Artículo 2
Designación del responsable del tratamiento
El responsable del tratamiento en las operaciones de tratamiento será la
Empresa Común SNS, representada por su director ejecutivo.
Artículo 3
Restricciones
1. La Empresa Común SNS podrá limitar la aplicación de los
artículos 14 a 22, 35 y 36 del Reglamento (UE) 2018/1725, así
como de su artículo 4, en la medida en que sus disposiciones se
correspondan con los derechos y obligaciones previstos en los artículos 14
a 20:
a) de conformidad con el
artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento
(UE) 2018/1725, al llevar a cabo investigaciones administrativas o
procedimientos predisciplinarios, disciplinarios o de suspensión con arreglo al
artículo 86 y el anexo IX del Estatuto de los funcionarios, y cuando se
notifiquen los casos a la OLAF;
b) de conformidad con el
artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725, a
la hora de garantizar que los miembros del personal de la Empresa Común SNS
puedan denunciar hechos de forma confidencial cuando consideren que existen graves
irregularidades, tal como se establece en la Decisión n.o 09/2023 del Consejo de
Administración de la Empresa Común SNS, relativa a las normas internas en
materia de denuncia de prácticas corruptas;
c) de conformidad con el
artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725, al
garantizar que los miembros del personal de la Empresa Común SNS puedan
informar a los asesores confidenciales en el contexto de un procedimiento por
acoso, tal como se define en la Decisión n.o 13/2023 del Consejo de Administración de la
Empresa Común SNS;
d) de conformidad con el
artículo 25, apartado 1, letras c), g) y h), del Reglamento
(UE) 2018/1725, cuando se realicen auditorías internas y externas en relación
con actividades o departamentos de la Empresa Común SNS;
e) de conformidad con el
artículo 25, apartado 1, letras c), d), g) y h), del Reglamento
(UE) 2018/1725, cuando se preste asistencia a otras instituciones, órganos
y organismos de la Unión, cuando se reciba asistencia de dichas instituciones,
órganos y organismos o cuando se coopere con estos en el contexto de las
actividades contempladas en las letras a) a d) del presente apartado y con
arreglo a los acuerdos de nivel de servicio, memorandos de entendimiento y
acuerdos de cooperación pertinentes;
f) de conformidad con el
artículo 25, apartado 1, letras c), g) y h), del Reglamento
(UE) 2018/1725, cuando se preste asistencia a las autoridades nacionales
de terceros países y organizaciones internacionales, cuando se reciba
asistencia de dichas autoridades y organizaciones o cuando se coopere con
estas, a petición de estas o por iniciativa propia;
g) de conformidad con el
artículo 25, apartado 1, letras c), g) y h), del Reglamento
(UE) 2018/1725, cuando se preste asistencia a las autoridades públicas de
los Estados miembros de la UE, cuando se reciba asistencia de dichas
autoridades o cuando se coopere con estas, ya sea a petición suya o por
iniciativa propia;
h) de conformidad con el
artículo 25, apartado 1, letra e), del Reglamento (UE) 2018/1725,
cuando se traten datos personales en documentos obtenidos por las partes o
partes coadyuvantes en el contexto de un recurso ante el Tribunal de Justicia
de la Unión Europea;
i) de conformidad con el
artículo 25, apartado 1, letras c) y h), del Reglamento
(UE) 2018/1725, cuando se traten datos personales durante las
investigaciones llevadas a cabo por el delegado de protección de datos de
conformidad con el artículo 45, apartado 2, del Reglamento
(UE) 2018/1725;
j) de conformidad con el
artículo 25, apartado 1, letras c), d), g) y h), del Reglamento
(UE) 2018/1725, cuando se traten datos personales durante investigaciones
de seguridad informática realizadas internamente o con la participación de
agentes externos (por ejemplo, CERT-EU);
k) de conformidad con el
artículo 25, apartado 1, letras c), g) y h), del Reglamento
(UE) 2018/1725, cuando se traten datos personales en el marco de un
procedimiento de gestión de subvenciones o de contratación pública, después de
la fecha límite para la presentación de solicitudes en las convocatorias de
propuestas u ofertas en las licitaciones.
2. Como aplicación concreta de las limitaciones descritas
en el apartado 1, la Empresa Común SNS podrá aplicar limitaciones en las
siguientes circunstancias:
a) en relación con los datos
personales intercambiados con servicios de la Comisión u otras instituciones,
órganos y organismos de la Unión:
i. cuando dicho servicio de la
Comisión o dicha institución, órgano u organismo de la Unión esté facultado
para limitar el ejercicio de los derechos enumerados basándose en otros actos
contemplados en el artículo 25 del Reglamento (UE) 2018/1725 o de
conformidad con el capítulo IX de dicho Reglamento o con los actos
fundacionales de otras instituciones, órganos u organismos de la Unión;
ii. cuando la finalidad de dicha
limitación impuesta por dicho servicio de la Comisión o institución, órgano,
agencia u organismo de la Unión se pudiera ver comprometida en caso de que la
Empresa Común SNS no aplicara una limitación equivalente en relación con los
datos personales en cuestión;
b) en relación con los datos
personales intercambiados con autoridades competentes de los Estados miembros;
i. cuando dichas autoridades
competentes de los Estados miembros estén facultadas para limitar el ejercicio
de los derechos enumerados basándose en los actos a que se refiere el
artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del
Consejo (5), o
con arreglo a las medidas nacionales de transposición del artículo 13,
apartado 3, el artículo 15, apartado 3, o el artículo 16, apartado 3,
de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (6);
ii.
cuando la finalidad de dicha
limitación por parte de esa autoridad competente se viera comprometida si la
Empresa Común SNS no aplicara una limitación equivalente respecto de los mismos
datos personales;
c) en relación con los datos
personales intercambiados con terceros países u organizaciones internacionales,
cuando haya pruebas claras de que el ejercicio de esos derechos y obligaciones
puede comprometer la cooperación de la Empresa Común SNS con terceros países u
organizaciones internacionales en el ejercicio de sus funciones. Antes de
aplicar limitaciones en las circunstancias mencionadas en el párrafo primero,
letras a) y b), la Empresa Común SNS consultará a los servicios pertinentes de
la Comisión, a las instituciones, órganos u organismos pertinentes de la Unión
o a las autoridades competentes de los Estados miembros, a menos que para la
Empresa Común SNS resulte evidente que la aplicación de una limitación está
contemplada en uno de los actos a que se hace referencia en dichas letra s).
3. Cuando la Empresa Común SNS limite, en todo o en parte,
la aplicación de los derechos a que se refieren los apartados 1 y 2
anteriores, adoptará las medidas contempladas en los artículos 5 y 6 de la
presente Decisión.
4. Cuando los interesados soliciten acceso a sus datos
personales tratados en el contexto de uno o varios casos específicos o a una
operación de tratamiento determinada, de conformidad con el artículo 17
del Reglamento (UE) 2018/1725, la Empresa Común SNS circunscribirá su
evaluación de la solicitud únicamente a dichos datos personales.
Artículo 4
Especificación de las salvaguardias
1. La Empresa Común SNS aplicará garantías para evitar los
accesos a datos personales o las transferencias de datos personales ilícitos o
abusivos en relación con los cuales se apliquen o puedan aplicarse
limitaciones. Tales garantías incluirán medidas técnicas y organizativas y
quedarán detalladas, en caso necesario, en las decisiones, procedimientos y
normas de ejecución internos de la Empresa Común SNS. Las garantías
comprenderán:
a) una definición clara de las
funciones, responsabilidades y etapas del procedimiento;
b) los documentos en papel deberán
conservarse en armarios protegidos a los que únicamente pueda tener acceso el
personal autorizado;
c) todos los datos en formato
electrónico se almacenarán en una aplicación informática segura que respete las
normas de seguridad de la Empresa Común SNS y en carpetas electrónicas
específicas a las que únicamente pueda acceder el personal autorizado. Se concederán
de manera individualizada los niveles de acceso adecuados;
d) todas las personas que dispongan
de acceso a los datos quedarán sujetas a una obligación de confidencialidad;
e) la debida supervisión de las
limitaciones y la revisión periódica de su aplicación.
2. Con arreglo a lo dispuesto en el artículo 5,
apartado 3, las salvaguardias a que hace referencia el apartado 1 deberán ser
objeto de revisión periódica.
3. Los datos personales se conservarán de acuerdo con las
normas de conservación aplicables de la Empresa Común SNS, que se definirán en
los registros de protección de datos mantenidos conforme al artículo 31
del Reglamento (UE) 2018/1725. El período de conservación no superará en
ningún caso el necesario ni el adecuado para los fines que justifiquen el
tratamiento de los datos.
Artículo 5
Necesidad y proporcionalidad de las limitaciones
1. Toda limitación adoptada en virtud del artículo 3
de la presente Decisión será necesaria y proporcionada teniendo en cuenta los
riesgos para los derechos y las libertades de los interesados y el respeto del
contenido esencial de los derechos y las libertades fundamentales en una
sociedad democrática.
2. Si se estudia aplicar una limitación, se llevará a cabo
una prueba de la necesidad y la proporcionalidad basada en las presentes
normas. La prueba también se llevará a cabo en el contexto de la revisión
periódica, una vez se haya evaluado si continúan siendo aplicables los fundamentos
de hecho y de derecho en los que se basa la limitación. Esta se documentará con
una nota interna de evaluación para cumplir con la obligación de rendir cuentas
en cada caso.
La Empresa Común SNS elaborará informes periódicos sobre la aplicación del
artículo 25 del Reglamento (UE) 2018/1725.
3. Las limitaciones tendrán carácter temporal. y
permanecerán en vigor mientras los motivos que las justifiquen sigan siendo
aplicables, en particular, cuando se considere que el ejercicio del derecho
limitado ya no anula el efecto de la limitación impuesta ni afecta
negativamente a los derechos o las libertades de otros interesados.
La Empresa Común SNS revisará la aplicación de la limitación cada seis
meses desde la fecha de su adopción y al cierre de la indagación, el
procedimiento o la investigación pertinentes. Posteriormente, el responsable
del tratamiento deberá supervisar cada seis meses la necesidad de mantener
cualquier limitación.
4. Cuando la Empresa Común SNS aplique, total o
parcialmente, las limitaciones a que se refiere el artículo 3 de la
presente Decisión, hará constar los motivos de la limitación y el fundamento
jurídico con arreglo el artículo 3 de la presente Decisión, incluida una
evaluación de la necesidad y la proporcionalidad de la limitación.
La consignación y, en su caso, los documentos que contengan los elementos
de hecho y de derecho subyacentes serán registrados. Se pondrán a disposición
del SEPD, previa petición.
Artículo 6
Obligación de información
1. En los avisos de protección de datos, las declaraciones
de confidencialidad o los registros en el sentido del artículo 31 del
Reglamento (UE) 2018/1725, publicados en el sitio web o en la intranet de
la Empresa Común SNS, donde se informe a los interesados de sus derechos en el
marco de un procedimiento determinado, la Empresa Común SNS incluirá
información sobre la posible limitación de dichos derechos. Esta información
abarcará los derechos que pueden limitarse, las razones de la limitación y la
posible duración de la misma.
Sin perjuicio de lo dispuesto en el artículo 5, apartado 4, de la
presente Decisión, cuando resulte proporcionado, la Empresa Común SNS también
notificará de manera individualizada a todos los titulares de datos que se
consideren interesados en la operación de tratamiento concreta cuáles son sus
derechos con respecto a las limitaciones presentes o futuras, sin dilaciones
indebidas y por escrito.
2. Cuando la Empresa Común SNS limite, de forma total o
parcial, los derechos tal y como se establece en el artículo 3 de la
presente Decisión, informará al interesado en cuestión de la limitación
aplicada y de los principales motivos de esta, así como de la posibilidad de
presentar una reclamación ante el Supervisor Europeo de Protección de Datos o
de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
La comunicación de la información mencionada en el apartado 2 podrá aplazarse,
omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con
arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento
(UE) 2018/1725.
Artículo 7
Participación del delegado de protección de datos
1. La Empresa Común SNS consultará a su delegado de
protección de datos (en lo sucesivo, «DPD»), sin dilaciones indebidas, antes de
que el responsable del tratamiento limite la aplicación de los derechos de los
interesados o prorrogue dicha limitación y durante el período en que dicha
limitación se aplique, de conformidad con la presente Decisión. El responsable
del tratamiento proporcionará al DPD acceso al registro que contenga la
evaluación de la necesidad y la proporcionalidad de la limitación, y a
cualquier documento relativo al contexto fáctico o jurídico.
2. El DPD podrá solicitar por escrito al responsable del
tratamiento que revise la aplicación de las limitaciones. Este notificará por
escrito al DPD el resultado de la revisión solicitada.
3. El DPD participará a lo largo de todo el procedimiento.
El responsable del tratamiento notificará al DPD el levantamiento de las
limitaciones.
4. La Empresa Común SNS documentará por escrito la
participación del DPD en la aplicación de las limitaciones, incluida la
información que se comparta con él.
Artículo 8
Comunicación de una violación de datos personales al interesado
1. Cuando la SNS tenga la obligación de comunicar una
violación de la seguridad de los datos en virtud del artículo 35, apartado
1, del Reglamento (UE) 2018/1725, podrá, en casos excepcionales, limitar
dicha comunicación total o parcialmente, La Empresa Común SNS documentará en
una nota los motivos de la limitación, su fundamento jurídico de conformidad
con el artículo 3 de la presente Decisión y una evaluación de su necesidad
y proporcionalidad. La nota se comunicará al SEPD en el momento en que se
notifique la violación de la seguridad de los datos personales.
2. Cuando dejen de ser aplicables las razones de la
limitación, la Empresa Común SNS comunicará al interesado la violación de la
seguridad de los datos personales y le informará de los motivos principales de
la limitación, así como de su derecho a presentar una reclamación ante el SEPD.
Artículo 9
Confidencialidad de las comunicaciones electrónicas
1. En casos excepcionales, la Empresa Común SNS podrá
limitar el derecho de confidencialidad de las comunicaciones electrónicas con
arreglo al artículo 36 del Reglamento (UE) 2018/1725. Dichas
limitaciones se ajustarán a lo dispuesto en la Directiva 2002/58/CE del
Parlamento Europeo y del Consejo (7).
2. En caso de que la Empresa Común SNS limite el derecho a
la confidencialidad de las comunicaciones electrónicas, deberá informar a los
interesados, en su respuesta a cualquier solicitud procedente de estos, de las
razones principales que justifican la limitación y de su derecho a presentar
una reclamación ante el SEPD.
3. La Empresa Común SNS podrá aplazar, omitir o denegar la
comunicación de información sobre los motivos de la limitación y el derecho a
presentar una reclamación ante el SEPD en la medida en que ello anule el efecto
de la limitación. Se evaluará si dicha acción es justificable caso por caso.
Artículo 10
Entrada en vigor
La presente Decisión entrará en vigor a los veinte días de su publicación
en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 11 de octubre de 2023.
Por el Consejo de Administración
Colin WILLCOCK
El Presidente
(1) DO L 295
de 21.11.2018, p. 39.
(2) DO L 427
de 30.11.2021, p. 17.
(3) Disponible
en Documento de orientación sobre el artículo 25 del Reglamento 2018/1725,
Supervisor Europeo de Protección de Datos (europa.eu) (disponible en inglés).
(4) En
caso de corresponsabilidad del tratamiento, los datos se tratarán de acuerdo
con los medios y los fines establecidos en el acuerdo pertinente entre los
corresponsables del tratamiento definidos en el artículo 28 del Reglamento
(UE) 2018/1725.
(5) Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo, de
27 de abril de 2016, relativo a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre circulación
de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento
general de protección de datos) (DO L 119
de 4.5.2016, p. 1).
(6) Directiva
(UE) 2016/680 del Parlamento Europeo y del Consejo, de
27 de abril de 2016, relativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales por parte de las
autoridades competentes para fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a
la libre circulación de dichos datos y por la que se deroga la Decisión
Marco 2008/977/JAI del Consejo (DO L 119
de 4.5.2016, p. 89).
(7) Directiva 2002/58/CE
del Parlamento Europeo y del Consejo, de 12 de julio de 2002,
relativa al tratamiento de los datos personales y a la protección de la
intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la
privacidad y las comunicaciones electrónicas) (DO L 201
de 31.7.2002, p. 37).
ELI: http://data.europa.eu/eli/dec/2023/2511/oj
ISSN 1977-0685
(electronic edition)
No hay comentarios:
Publicar un comentario