Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
¿Están obligadas las
empresas a realizar/actualizar, por responsabilidad proactiva, una evaluación
de impacto previa al tratamiento? ¿Incluso aquellas que registraron sus Bancos
de Datos?
Sí hay una acción prioritaria a realizar/adecuar/actualizar en el Iter data propuesto por el Nuevo Reglamento de la Ley de Protección de Datos sería la de Evaluación de Impacto?.
Hoy en mi TIP#1 preguntaba sobre
algunas acciones a realizar por las empresas respecto de la vigencia a partir
de hoy del Nuevo reglamento de Protección de Datos y de su
adecuación/actualización inminente. Aquí algunas reflexiones. [1]
La Evaluación de Impacto de la Protección
de Datos Personales (EIPD) es un proceso fundamental dentro del marco de
protección de datos, especialmente en la implementación del Reglamento General
de Protección de Datos (RGPD) en la Unión Europea y ahora ya en diferentes países
de América Latina. Este análisis previo se pretende crucial para identificar y mitigar
los riesgos asociados al tratamiento de datos personales antes de que estos se
materialicen.
La duda es si uno de los aspectos claves de su carácter releva de la obligación o de la facultad, aunque acabo de ver que algunos Estudios Jurídicos en el Perú la consideran obligatoria, la propuesta del RGPD es mucho mas matizada. Veamos.
Según el Nuevo Reglamento de la Ley
de Protección de Datos. Si nos referimos a su artículo 40°, la Evaluación de Impacto sería
facultativa:
“el titular del banco
de datos o responsable del tratamiento puede realizar la
Evaluación de impacto”.
Sin embargo, añade, “especialmente
cuando se trate de datos sensibles, datos con fines de crear perfiles
personales, ..”, es decir, aún facultativa, con datos de riesgo.
El RGPD oscila en sus Considerandos entre la
facultad y la obligación, particularmente en el tratamiento de grandes volúmenes
de datos (Véase Considerandos 91 vis à vis del 95).
No obstante, el Reglamento ve la Evaluación de impacto
obligatoria: cuando exista alto riesgo para los derechos y libertades de las personas,
casos específicos relacionados con la evaluación integral y sistemática de
aspectos personales basada en tratamientos automatizados, incluida la
elaboración de perfiles, o el tratamiento de categorías especiales de datos
(datos sensibles) o datos relativos a delitos y faltas penales.
Para luego, decirnos que la Evaluación de impacto puede ser
facultativa u opcional, cuando el riesgo es bajo, se proponen como directivas
de buenas prácticas en algunas organizaciones, mejora continua de
procesos y/o anticipación sobre futuros tratamientos.
Definitivamente, no destaca aun una
tendencia fuerte sobre la Evaluación de impacto, mientras nuestra legislación, incluido
el Nuevo Reglamento, no integra, amplía, ni resuelve los aportes de fuentes
internacionales.
________________________________________________________
El Artículo
III, Inc. 13 del
Nuevo Reglamento de la Ley de Protección de Datos, Ley 29733, define la
Evaluación de Impacto relativo a protección de los datos personales.
13. Evaluación de
impacto relativo a la protección de datos personales: Es el mecanismo de
responsabilidad proactiva que consiste en que el titular del banco de datos
personales o responsable del tratamiento de datos realice, de forma previa al
tratamiento de los mismos, un análisis o evaluación del impacto o riesgos que
implica el tratamiento de esos datos.
El Artículo
40, del Nuevo Reglamento, Evaluación de impacto relativo a la
protección de datos personales, regula:
40.1 De manera facultativa y previa al tratamiento de datos personales, el
titular del banco de datos o responsable del tratamiento puede realizar la
Evaluación de impacto relativa a la protección de datos personales,
especialmente cuando se trate de datos sensibles, datos con fines de crear
perfiles personales, datos de personas en especial situación de vulnerabilidad
como niños, niñas y adolescentes, personas pertenecientes a pueblos indígenas
en situación de aislamiento y/o contacto inicial o personas con discapacidad; o
cuando se realice tratamiento de grandes volúmenes de datos u otros supuestos
determinados por la Autoridad Nacional de Protección de Datos Personales.
40.2 La evaluación de impacto relativo a la protección de datos personales
se puede elaborar tomando como referencia la guía, lineamientos y
procedimientos establecidos en la NTP-ISO/IEC 27005 y la NTP-ISO 31000 en su
edición vigente u otros estándares relacionados con el análisis y la evaluación
de riesgos para la protección de datos personales.
40.3 La Autoridad Nacional de Protección de Datos Personales emite las
disposiciones complementarias que resulten pertinentes para la realización de
la Evaluación de impacto relativo a la protección de datos personales.
_______________
............................__________________
La Ley N° 29733 no contempló esta figura.
_______________
............................__________________
El Reglamento General Europeo de
Protección de Datos (UE) 2016/679, RGDP, en los:
1.1 Considerandos
(84) A fin de mejorar el
cumplimiento del presente Reglamento en aquellos casos en los que sea probable
que las operaciones de tratamiento entrañen un alto riesgo para los derechos y
libertades de las personas físicas, debe incumbir al responsable del tratamiento
la realización de una Evaluación de impacto relativa a la protección de datos,
que evalúe, en particular, el origen, la naturaleza, la particularidad y la
gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta
cuando se decidan las medidas adecuadas que deban tomarse con el fin de
demostrar que el tratamiento de los datos personales es conforme con el
presente Reglamento. Si una Evaluación de impacto relativa a la
protección de datos muestra que las operaciones de tratamiento entrañan un alto
riesgo que el responsable no puede mitigar con medidas adecuadas en términos de
tecnología disponible y costes de aplicación, debe consultarse a la autoridad
de control antes del tratamiento.
(90) En tales casos, el responsable
debe llevar a cabo, antes del tratamiento, una Evaluación de impacto relativa a la
protección de datos con el fin de valorar la particular gravedad y probabilidad
del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del
tratamiento y los orígenes del riesgo. Dicha Evaluación de impacto debe incluir, en
particular, las medidas, garantías y mecanismos previstos para mitigar el
riesgo, garantizar la protección de los datos personales y demostrar la
conformidad con el presente Reglamento.
(91) Lo anterior debe
aplicarse, en particular, a las operaciones de tratamiento a gran escala que
persiguen tratar una cantidad considerable de datos personales a nivel
regional, nacional o supranacional y que podrían afectar a un gran número de
interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su
sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado,
se haya utilizado una nueva tecnología a gran escala y a otras operaciones de
tratamiento que entrañan un alto riesgo para los derechos y libertades de los
interesados, en particular cuando estas operaciones hace más difícil para los
interesados el ejercicio de sus derechos. La Evaluación de impacto relativa a la
protección de datos debe realizarse también en los casos en los que se tratan
datos personales para adoptar decisiones relativas a personas físicas concretas
a raíz de una evaluación sistemática y exhaustiva de aspectos personales
propios de personas físicas, basada en la elaboración de perfiles de dichos datos
o a raíz del tratamiento de categorías especiales de datos personales, datos
biométricos o datos sobre condenas e infracciones penales o medidas de
seguridad conexas. También es necesaria una Evaluación de impacto relativa a la
protección de datos para el control de zonas de acceso público a gran escala,
en particular cuando se utilicen dispositivos optoelectrónicos o para cualquier
otro tipo de operación cuando la autoridad de control competente considere que
el tratamiento entrañe probablemente un alto riesgo para los derechos y
libertades de los interesados, en particular porque impida a los interesados
ejercer un derecho o utilizar un servicio o ejecutar un contrato, o porque se
efectúe sistemáticamente a gran escala. El tratamiento de datos personales no
debe considerarse a gran escala si lo realiza, respecto de datos personales de
pacientes o clientes, un solo médico, otro profesional de la salud o abogado.
En estos casos, la Evaluación de impacto de la protección de datos no debe ser obligatoria.
(92) Hay circunstancias en las que puede
ser razonable y económico que una Evaluación de impacto relativa a la
protección de datos abarque más de un único proyecto, por ejemplo, en el caso
de que las autoridades u organismos públicos prevean crear una aplicación o
plataforma común de tratamiento, o si varios responsables proyecten introducir
una aplicación o un entorno de tratamiento común en un sector o segmento
empresarial o para una actividad horizontal de uso generalizado.
(94) Debe consultarse a
la autoridad de control antes de iniciar las actividades de tratamiento si
una Evaluación de impacto relativa a la protección de datos muestra que, en ausencia de
garantías, medidas de seguridad y mecanismos destinados a mitigar los riesgos,
el tratamiento entrañaría un alto riesgo para los derechos y libertades de las
personas físicas, y el responsable del tratamiento considera que el riesgo no
puede mitigarse por medios razonables en cuanto a tecnología disponible y
costes de aplicación. Existe la probabilidad de que ese alto riesgo se deba a
determinados tipos de tratamiento y al alcance y frecuencia de este, lo que
también puede ocasionar daños y perjuicios o una injerencia en los derechos y
libertades de la persona física. La autoridad de control debe responder a la
solicitud de consulta dentro de un plazo determinado. Sin embargo, la ausencia
de respuesta de la autoridad de control dentro de dicho plazo no debe obstar a
cualquier intervención de dicha autoridad basada en las funciones y poderes que
le atribuye el presente Reglamento, incluido el poder de prohibir operaciones
de tratamiento. Como parte de dicho proceso de consulta, se puede presentar a
la autoridad de control el resultado de una Evaluación de impacto relativa a la
protección de datos efectuada en relación con el tratamiento en cuestión, en
particular las medidas previstas para mitigar los riesgos para los derechos y
libertades de las personas físicas.
(95) El encargado del
tratamiento debe asistir al responsable cuando sea necesario y a petición suya,
a fin de asegurar que se cumplen las obligaciones que se derivan de la
realización de las evaluaciones de impacto relativas a la protección de datos y
de la consulta previa a la autoridad de control.
1.2 Legislación
Sección 3 Evaluación de impacto relativa a la
protección de datos y consulta previa
Artículo 35 Evaluación de impacto relativa a la
protección de datos
1. Cuando sea probable
que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su
naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos
y libertades de las personas físicas, el responsable del tratamiento realizará,
antes del tratamiento, una evaluación del impacto de las operaciones de
tratamiento en la protección de datos personales. Una única evaluación podrá
abordar una serie de operaciones de tratamiento similares que entrañen altos
riesgos similares.
2. El responsable del
tratamiento recabará el asesoramiento del delegado de protección de datos, si
ha sido nombrado, al realizar la Evaluación de impacto relativa a la
protección de datos.
3. La Evaluación de impacto relativa a la
protección de los datos a que se refiere el apartado 1 se requerirá en
particular en caso de:
a) evaluación
sistemática y exhaustiva de aspectos personales de personas físicas que se base
en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya
base se tomen decisiones que produzcan efectos jurídicos para las personas
físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran
escala de las categorías especiales de datos a que se refiere el
artículo 9, apartado 1, o de los datos personales relativos a
condenas e infracciones penales a que se refiere el artículo 10, o
c) observación
sistemática a gran escala de una zona de acceso público.
4. La autoridad de
control establecerá y publicará una lista de los tipos de operaciones de
tratamiento que requieran una Evaluación de impacto relativa a la
protección de datos de conformidad con el apartado 1. La autoridad de
control comunicará esas listas al Comité a que se refiere el artículo 68.
5. La autoridad de
control podrá asimismo establecer y publicar la lista de los tipos de
tratamiento que no requieren evaluaciones de impacto relativas a la protección
de datos. La autoridad de control comunicará esas listas al Comité.
6. Antes de adoptar las
listas a que se refieren los apartados 4 y 5, la autoridad de control
competente aplicará el mecanismo de coherencia contemplado en el
artículo 63 si esas listas incluyen actividades de tratamiento que guarden
relación con la oferta de bienes o servicios a interesados o con la observación
del comportamiento de estos en varios Estados miembros, o actividades de
tratamiento que puedan afectar sustancialmente a la libre circulación de datos
personales en la Unión.
7. La evaluación deberá
incluir como mínimo:
a) una
descripción sistemática de las operaciones de tratamiento previstas y de los
fines del tratamiento, inclusive, cuando proceda, el interés legítimo
perseguido por el responsable del tratamiento;
b) una
evaluación de la necesidad y la proporcionalidad de las operaciones de
tratamiento con respecto a su finalidad;
c) una
evaluación de los riesgos para los derechos y libertades de los interesados a
que se refiere el apartado 1, y
d) las
medidas previstas para afrontar los riesgos, incluidas garantías, medidas de
seguridad y mecanismos que garanticen la protección de datos personales, y a
demostrar la conformidad con el presente Reglamento, teniendo en cuenta los
derechos e intereses legítimos de los interesados y de otras personas
afectadas.
8. El cumplimiento de los
códigos de conducta aprobados a que se refiere el artículo 40 por los
responsables o encargados correspondientes se tendrá debidamente en cuenta al
evaluar las repercusiones de las operaciones de tratamiento realizadas por
dichos responsables o encargados, en particular a efectos de la Evaluación de impacto relativa a la
protección de datos.
9. Cuando proceda, el
responsable recabará la opinión de los interesados o de sus representantes en
relación con el tratamiento previsto, sin perjuicio de la protección de
intereses públicos o comerciales o de la seguridad de las operaciones de
tratamiento.
10. Cuando el tratamiento
de conformidad con el artículo 6, apartado 1, letras c)
o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del
Estado miembro que se aplique al responsable del tratamiento, tal Derecho
regule la operación específica de tratamiento o conjunto de operaciones en
cuestión, y ya se haya realizado una Evaluación de impacto relativa a la
protección de datos como parte de una Evaluación de impacto general en el
contexto de la adopción de dicha base jurídica, los apartados 1 a 7
no serán de aplicación excepto si los Estados miembros consideran necesario
proceder a dicha evaluación previa a las actividades de tratamiento.
11. En caso necesario, el
responsable examinará si el tratamiento es conforme con la Evaluación de impacto relativa a la
protección de datos, al menos cuando exista un cambio del riesgo que
representen las operaciones de tratamiento.
Artículo 36 Consulta previa
1. El responsable
consultará a la autoridad de control antes de proceder al tratamiento cuando
una Evaluación de impacto relativa a la protección de los datos en virtud del artículo 35
muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma
medidas para para mitigarlo.
2. Cuando la autoridad de
control considere que el tratamiento previsto a que se refiere el
apartado 1 podría infringir el presente Reglamento, en particular cuando
el responsable no haya identificado o mitigado suficientemente el riesgo, la
autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de
la consulta, asesorar por escrito al responsable, y en su caso al encargado, y
podrá utilizar cualquiera de sus poderes mencionados en el artículo 58.
Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento
previsto. La autoridad de control informará al responsable y, en su caso, al
encargado de tal prórroga en el plazo de un mes a partir de la recepción de la
solicitud de consulta, indicando los motivos de la dilación. Estos plazos
podrán suspenderse hasta que la autoridad de control haya obtenido la
información solicitada a los fines de la consulta.
3. Cuando consulte a la
autoridad de control con arreglo al apartado 1, el responsable del
tratamiento le facilitará la información siguiente:
a ) en su caso, las
responsabilidades respectivas del responsable, los corresponsables y los
encargados implicados en el tratamiento, en particular en caso de tratamiento
dentro de un grupo empresarial;
b) los fines
y medios del tratamiento previsto;
c) las
medidas y garantías establecidas para proteger los derechos y libertades de los
interesados de conformidad con el presente Reglamento;
d) en su
caso, los datos de contacto del delegado de protección de datos;
e) la Evaluación de impacto relativa a la
protección de datos establecida en el artículo 35, y
f) cualquier
otra información que solicite la autoridad de control.
4. Los Estados miembros
garantizarán que se consulte a la autoridad de control durante la elaboración
de toda propuesta de medida legislativa que haya de adoptar un Parlamento
nacional, o de una medida reglamentaria basada en dicha medida legislativa, que
se refiera al tratamiento.
5. No obstante lo
dispuesto en el apartado 1, el Derecho de los Estados miembros podrá
obligar a los responsables del tratamiento a consultar a la autoridad de
control y a recabar su autorización previa en relación con el tratamiento por
un responsable en el ejercicio de una misión realizada en interés público, en
particular el tratamiento en relación con la protección social y la salud
pública.
Artículo 39 Funciones del delegado
de protección de datos
1. El delegado de
protección de datos tendrá como mínimo las siguientes funciones:
a) informar y
asesorar al responsable o al encargado del tratamiento y a los empleados que se
ocupen del tratamiento de las obligaciones que les incumben en virtud del
presente Reglamento y de otras disposiciones de protección de datos de la Unión
o de los Estados miembros;
b) supervisar
el cumplimiento de lo dispuesto en el presente Reglamento, de otras
disposiciones de protección de datos de la Unión o de los Estados miembros y de
las políticas del responsable o del encargado del tratamiento en materia de
protección de datos personales, incluida la asignación de responsabilidades, la
concienciación y formación del personal que participa en las operaciones de
tratamiento, y las auditorías correspondientes;
c) ofrecer el
asesoramiento que se le solicite acerca de la Evaluación de impacto relativa a la
protección de datos y supervisar su aplicación de conformidad con el
artículo 35;
d) cooperar con la
autoridad de control;
e) actuar
como punto de contacto de la autoridad de control para cuestiones relativas al
tratamiento, incluida la consulta previa a que se refiere el artículo 36,
y realizar consultas, en su caso, sobre cualquier otro asunto.
2. El delegado de
protección de datos desempeñará sus funciones prestando la debida atención a
los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la
naturaleza, el alcance, el contexto y fines del tratamiento.
Artículo 57 Funciones
1. Sin perjuicio de otras
funciones en virtud del presente Reglamento, incumbirá a cada autoridad de
control, en su territorio:
a) controlar la
aplicación del presente Reglamento y hacerlo aplicar;
b) promover
la sensibilización del público y su comprensión de los riesgos, normas,
garantías y derechos en relación con el tratamiento. Las actividades dirigidas
específicamente a los niños deberán ser objeto de especial atención;
c) asesorar,
con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al
Gobierno y a otras instituciones y organismos sobre las medidas legislativas y
administrativas relativas a la protección de los derechos y libertades de las
personas físicas con respecto al tratamiento;
d) promover
la sensibilización de los responsables y encargados del tratamiento acerca de
las obligaciones que les incumben en virtud del presente Reglamento;
e) previa
solicitud, facilitar información a cualquier interesado en relación con el
ejercicio de sus derechos en virtud del presente Reglamento y, en su caso,
cooperar a tal fin con las autoridades de control de otros Estados miembros;
f) tratar las
reclamaciones presentadas por un interesado o por un organismo, organización o
asociación de conformidad con el artículo 80, e investigar, en la medida
oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y
el resultado de la investigación en un plazo razonable, en particular si fueran
necesarias nuevas investigaciones o una coordinación más estrecha con otra
autoridad de control;
g) cooperar,
en particular compartiendo información, con otras autoridades de control y
prestar asistencia mutua con el fin de garantizar la coherencia en la
aplicación y ejecución del presente Reglamento;
h) llevar a
cabo investigaciones sobre la aplicación del presente Reglamento, en particular
basándose en información recibida de otra autoridad de control u otra autoridad
pública;
i) hacer
un seguimiento de cambios que sean de interés, en la medida en que tengan
incidencia en la protección de datos personales, en particular el desarrollo de
las tecnologías de la información y la comunicación y las prácticas comerciales;
j) adoptar
las cláusulas contractuales tipo a que se refieren el artículo 28,
apartado 8, y el artículo 46, apartado 2, letra d);
k) elaborar y
mantener una lista relativa al requisito de la Evaluación de impacto relativa a la
protección de datos, en virtud del artículo 35, apartado 4;
l) ofrecer
asesoramiento sobre las operaciones de tratamiento contempladas en el
artículo 36, apartado 2;
m) alentar la
elaboración de códigos de conducta con arreglo al artículo 40,
apartado 1, y dictaminar y aprobar los códigos de conducta que den
suficientes garantías con arreglo al artículo 40, apartado 5;
n) fomentar
la creación de mecanismos de certificación de la protección de datos y de
sellos y marcas de protección de datos con arreglo al artículo 42,
apartado 1, y aprobar los criterios de certificación de conformidad con el
artículo 42, apartado 5;
o) llevar a
cabo, si procede, una revisión periódica de las certificaciones expedidas en
virtud del artículo 42, apartado 7;
p) elaborar y
publicar los criterios para la acreditación de organismos de supervisión de los
códigos de conducta con arreglo al artículo 41 y de organismos de
certificación con arreglo al artículo 43;
q) efectuar
la acreditación de organismos de supervisión de los códigos de conducta con
arreglo al artículo 41 y de organismos de certificación con arreglo al
artículo 43;
r) autorizar
las cláusulas contractuales y disposiciones a que se refiere el
artículo 46, apartado 3;
s) aprobar
normas corporativas vinculantes de conformidad con lo dispuesto en el
artículo 47;
t) contribuir
a las actividades del Comité;
u) llevar
registros internos de las infracciones del presente Reglamento y de las medidas
adoptadas de conformidad con el artículo 58, apartado 2, y
v) desempeñar
cualquier otra función relacionada con la protección de los datos personales.
2. Cada autoridad de
control facilitará la presentación de las reclamaciones contempladas en el
apartado 1, letra f), mediante medidas como un formulario de
presentación de reclamaciones que pueda cumplimentarse también por medios
electrónicos, sin excluir otros medios de comunicación.
3. El desempeño de las
funciones de cada autoridad de control será gratuito para el interesado y, en
su caso, para el delegado de protección de datos.
4. Cuando las solicitudes
sean manifiestamente infundadas o excesivas, especialmente debido a su carácter
repetitivo, la autoridad de control podrá establecer una tasa razonable basada
en los costes administrativos o negarse a actuar respecto de la solicitud. La
carga de demostrar el carácter manifiestamente infundado o excesivo de la
solicitud recaerá en la autoridad de control.
Artículo 64 Dictamen del Comité
1. El Comité emitirá un
dictamen siempre que una autoridad de control competente proyecte adoptar
alguna de las medidas enumeradas a continuación. A tal fin, la autoridad de
control competente comunicará el proyecto de decisión al Comité, cuando la
decisión:
a) tenga por
objeto adoptar una lista de las operaciones de tratamiento supeditadas al
requisito de la Evaluación de impacto relativa a la protección de datos de conformidad con el
artículo 35, apartado 4;
b) afecte a
un asunto de conformidad con el artículo 40, apartado 7, cuyo objeto
sea determinar si un proyecto de código de conducta o una modificación o
ampliación de un código de conducta es conforme con el presente Reglamento;
c) tenga por
objeto aprobar los criterios aplicables a la acreditación de un organismo con
arreglo al artículo 41, apartado 3, o un organismo de certificación
conforme al artículo 43, apartado 3;
d) tenga por
objeto determinar las cláusulas tipo de protección de datos contemplados en el
artículo 46, apartado 2, letra d), y el artículo 28,
apartado 8;
e) tenga por
objeto autorizar las cláusulas contractuales a que se refiere el
artículo 46, apartado 3, letra a);
f) tenga por
objeto la aprobación de normas corporativas vinculantes a tenor del
artículo 47.
2. Cualquier autoridad de
control, el presidente del Comité o la Comisión podrán solicitar que cualquier
asunto de aplicación general o que surta efecto en más de un Estado miembro sea
examinado por el Comité a efectos de dictamen, en particular cuando una
autoridad de control competente incumpla las obligaciones relativas a la
asistencia mutua con arreglo al artículo 61 o las operaciones conjuntas
con arreglo al artículo 62.
3. En los casos a que se
refieren los apartados 1 y 2, el Comité emitirá dictamen sobre el
asunto que le haya sido presentado siempre que no haya emitido ya un dictamen
sobre el mismo asunto. Dicho dictamen se adoptará en el plazo de ocho semanas
por mayoría simple de los miembros del Comité. Dicho plazo podrá prorrogarse
seis semanas más, teniendo en cuenta la complejidad del asunto. Por lo que
respecta al proyecto de decisión a que se refiere el apartado 1 y
distribuido a los miembros del Comité con arreglo al apartado 5, todo
miembro que no haya presentado objeciones dentro de un plazo razonable indicado
por el presidente se considerará conforme con el proyecto de decisión.
4. Las autoridades de
control y la Comisión comunicarán sin dilación por vía electrónica al Comité,
utilizando un formato normalizado, toda información útil, en particular, cuando
proceda, un resumen de los hechos, el proyecto de decisión, los motivos por los
que es necesaria tal medida, y las opiniones de otras autoridades de control
interesadas.
5. La Presidencia del
Comité informará sin dilación indebida por medios electrónicos:
a) a los
miembros del Comité y a la Comisión de cualquier información pertinente que le
haya sido comunicada, utilizando un formato normalizado. La secretaría del
Comité facilitará, de ser necesario, traducciones de la información que sea
pertinente, y
b) a la
autoridad de control contemplada, en su caso, en los apartados 1 y 2
y a la Comisión del dictamen, y lo publicará.
6. La autoridad de
control competente no adoptará su proyecto de decisión a tenor del
apartado 1 en el plazo mencionado en el apartado 3.
7. La autoridad de
control contemplada en el artículo 1 tendrá en cuenta en la mayor medida
posible el dictamen del Comité y, en el plazo de dos semanas desde la recepción
del dictamen, comunicará por medios electrónicos al presidente del Comité si va
a mantener o modificar su proyecto de decisión y, si lo hubiera, el proyecto de
decisión modificado, utilizando un formato normalizado.
8. Cuando la autoridad de
control interesada informe al presidente del Comité, en el plazo mencionado en
el apartado 7 del presente artículo, de que no prevé seguir el dictamen
del Comité, en todo o en parte, alegando los motivos correspondientes, se
aplicará el artículo 65, apartado 1.
[1] Las
opiniones o puntos de vista expresados en este artículo son de estricta responsabilidad del autor y no necesariamente
representan los del Estudio Jurídico del cual soy socio. El contenido del texto
NO expresa una solucion juridica
a cualquier consulta legal, ni podra servir como elemento de responsabilidad
alguna.
No hay comentarios:
Publicar un comentario