jueves, 17 de diciembre de 2020

CONCLUSIONES DEL CONSEJO EUROPEO SOBRE LA CIBERSEGURIDAD DE LOS DISPOSITIVOS CONECTADOS

 

Por: Carlos A. FERREYROS SOTO
        Doctor en Derecho
        Université de Montpellier I Francia.
        M. Sc. Institut Agronomique Méditerranéen

        cferreyros@hotmail.com

 PROLOGO

El Consejo de la Unión Europea, reconoce la creciente importancia de los dispositivos conectados y de su seguridad, incluidos las máquinas, los sensores y las redes que componen la internet de las cosas. Los dispositivos conectados tendrán un papel clave en la ulterior configuración del futuro digital de Europa, desde el punto de vista industrial y empresarial, así como en la vida cotidiana de los consumidores de una nueva generación tecnológica. Además de la 5G, la inteligencia artificial, la informática cuántica, la informática de alto rendimiento, la computación en nube, las tecnologías de registro descentralizado y en particular la cadena de bloques y otras nuevas aplicaciones y oportunidades encaminadas a lograr un crecimiento económico sostenible y un mayor nivel de digitalización en nuestra sociedad solo pueden alcanzarse mediante dispositivos conectados y ciberseguros.


________________________________________________________________

Conclusiones del Consejo sobre la ciberseguridad de los dispositivos conectados

(2020/C 427/04)

EL CONSEJO DE LA UNIÓN EUROPEA,

RECORDANDO LO SIGUIENTE:

las Conclusiones del Consejo sobre la Comunicación conjunta al Parlamento Europeo y al Consejo titulada «Resiliencia, disuasión y defensa: fortalecer la ciberseguridad de la UE»,

las Conclusiones del Consejo sobre el desarrollo de capacidades y competencias en materia de ciberseguridad en la UE,

las Conclusiones del Consejo sobre la importancia de la tecnología 5G para la economía europea y la necesidad de mitigar los riesgos para la seguridad relacionados con la 5G,

las Conclusiones del Consejo sobre el futuro de una Europa altamente digitalizada más allá de 2020: «Impulsar la competitividad digital y económica en toda la Unión y la cohesión digital»,

las Conclusiones del Consejo sobre la configuración del futuro digital de Europa,

las Conclusiones del Consejo Europeo sobre la COVID-19, el mercado único, la política industrial, el ámbito digital y las relaciones exteriores,

la Comunicación de la Comisión Europea titulada «Configurar el futuro digital de Europa»,


1.   

 

DESTACA que la Unión Europea y sus Estados miembros deben garantizar su soberanía digital y su autonomía estratégica, preservando al mismo tiempo una economía abierta. Ello implica reforzar la capacidad de tomar decisiones tecnológicas autónomas y desarrollar infraestructuras, productos y servicios resilientes y seguros, que son uno de los pilares principales, con el fin de generar confianza en el mercado único digital y en la sociedad europea. Los valores fundamentales de la Unión Europea protegen, en particular, la privacidad, la seguridad, la igualdad, la dignidad humana, el Estado de Derecho y una internet abierta, todos ellos elementos indispensables para lograr una sociedad, una economía y una industria digitalizadas y centradas en el ser humano.

2.   

 

RECONOCE la creciente importancia de los dispositivos conectados y de su seguridad, incluidos las máquinas, los sensores y las redes que componen la internet de las cosas. Los dispositivos conectados tendrán un papel clave en la ulterior configuración del futuro digital de Europa, desde el punto de vista industrial y empresarial, así como en la vida cotidiana de los consumidores de una nueva generación tecnológica. Además de la 5G, la inteligencia artificial, la informática cuántica, la informática de alto rendimiento, la computación en nube, las tecnologías de registro descentralizado y en particular la cadena de bloques y otras nuevas aplicaciones y oportunidades encaminadas a lograr un crecimiento económico sostenible y un mayor nivel de digitalización en nuestra sociedad solo pueden alcanzarse mediante dispositivos conectados y ciberseguros.

3.   

 

SEÑALA que el aumento del uso de productos de consumo y dispositivos industriales conectados a internet también planteará nuevos riesgos para la privacidad, la información y la ciberseguridad, en particular, un aumento de las posibles repercusiones sobre la integridad y la disponibilidad de productos y datos, lo que puede afectar de manera directa a la seguridad. Minimizar dichos riesgos es esencial para proteger a los consumidores, reforzar la resiliencia cibernética general de Europa y reforzar la confianza que los ciudadanos depositan en las soluciones y las tecnologías digitales. Esto además contribuirá a fomentar la competitividad y las capacidades de innovación de los proveedores europeos de esos dispositivos. La ciberseguridad y la privacidad deben considerarse requisitos esenciales en la innovación de productos, así como en los procesos de producción y desarrollo, incluida la fase de diseño (seguridad desde el diseño), y deben garantizarse a lo largo de todo el ciclo de vida del producto y en toda su cadena de suministro.

4.   

 

HACE HINCAPIÉ en que, además de garantizar un alto nivel de seguridad de los dispositivos conectados, también es importante sensibilizar más a los consumidores sobre los riesgos que estos dispositivos pueden generan para la privacidad y la seguridad. Ello contribuiría a minimizar las amenazas que se derivan de un mayor uso de los dispositivos conectados, reforzar la confianza en el mercado único digital y aprovechar al máximo los beneficios económicos y sociales que ofrecen las tecnologías de los dispositivos conectados.

5.   

 

SUBRAYA que las inversiones públicas en investigación e innovación, en particular, a través de los programas Horizonte Europa y Europa Digital, así como las inversiones privadas, podrían constituir un valioso incentivo para mejorar la seguridad y la protección de los dispositivos conectados y, por tanto, mejorar la resiliencia de las redes de comunicación inteligentes. También deben acelerarse las inversiones en las infraestructuras y tecnologías digitales necesarias para el despliegue de las últimas tecnologías de dispositivos conectados, con el fin de alcanzar el liderazgo industrial y digital y de garantizar la autonomía estratégica, al tiempo que se mantiene una economía abierta.

6.   

 

DESTACA que es necesario garantizar un nivel elevado de complementariedad y comparabilidad de las funcionalidades de seguridad de los sistemas y componentes de TIC, que se utilizan en muchos sectores distintos del mercado único digital.

7.   

 

RECONOCE los avances que se están produciendo a escala de la Unión para elevar el nivel de ciberseguridad de los dispositivos conectados, en particular, con respecto a las iniciativas que la Comisión ha adoptado recientemente para abordar, a corto plazo, cuestiones de ciberseguridad en los actos jurídicos pertinentes, por ejemplo, los actos en virtud del nuevo marco legislativo, y en particular la Directiva 2014/53/UE (Directiva sobre Equipos Radioeléctricos). SUBRAYA que es importante evaluar si se precisa de una legislación horizontal, que especifique también las condiciones necesarias para la comercialización, para abordar a largo plazo todas las cuestiones pertinentes de la ciberseguridad de los dispositivos conectados, como la disponibilidad, la integridad y la confidencialidad. ACOGE FAVORABLEMENTE, a este respecto, la celebración de un debate para estudiar el ámbito de aplicación de dicha legislación y sus vínculos con el marco de certificación de la ciberseguridad que se define en el Reglamento sobre la Ciberseguridad, con el objetivo de elevar el nivel de seguridad en el mercado único digital.

8.   

 

SUBRAYA que los requisitos de ciberseguridad deben definirse con arreglo a la legislación pertinente de la Unión, incluidos el Reglamento sobre la Ciberseguridad, el nuevo marco legislativo, el Reglamento sobre la Normalización Europea y la posible futura legislación horizontal, con el fin de evitar la ambigüedad y la fragmentación de la legislación.

9.   

 

RECONOCE que todas las partes interesadas, en particular los fabricantes, desempeñan un papel importante a la hora de elevar el nivel de ciberseguridad de los dispositivos conectados en el mercado único digital; por tanto, PIDE que se establezca una coordinación y una estrecha cooperación con todas las partes interesadas pertinentes de los sectores público y privado, también de cara a una posible legislación horizontal en el futuro.

9 bis.   

 

ACOGE CON SATISFACCIÓN la labor que está llevando a cabo la Agencia de la Unión Europea para la Ciberseguridad (ENISA) para elaborar los primeros esquemas de certificación de la UE, a saber, la propuesta de criterios comunes de la Unión Europea y la propuesta de esquemas relativos a los servicios en la nube. Estos esquemas constituyen una base importante para la certificación de dispositivos conectados.

10.   

 

HACE HINCAPIÉ en que cualquier esquema de certificación adicional de dispositivos conectados y de servicios relacionados que se establezca en el programa de trabajo evolutivo de la Unión y se defina con arreglo al Reglamento sobre la Ciberseguridad debe especificar cómo han de cumplirse los requisitos de seguridad aplicables al nivel de garantía pertinente, conforme a las normas específicas europeas reconocidas a nivel internacional —independientemente del sector en el que vaya a utilizarse el producto—, y qué especificaciones en materia de ensayo, certificaciones, etc., deben aplicarse.

11.   

 

RECONOCE que la certificación de dispositivos conectados exigiría normas, criterios y especificaciones técnicas pertinentes para las evaluaciones de ciberseguridad en el marco del Reglamento sobre la Ciberseguridad. Por tanto, HACE HINCAPIÉ en que es necesario establecer normas, criterios o especificaciones técnicas en materia de ciberseguridad para los dispositivos conectados y RECOMIENDA reforzar la labor de las organizaciones europeas de normalización en este ámbito. Al mismo tiempo, SEÑALA que la norma ETSI EN 303 645 en materia de ciberseguridad para los dispositivos de consumo de la internet de las cosas constituye un paso importante en este sentido.

12.   

 

PIDE a la Comisión que considere solicitar propuestas de esquemas de certificación de la ciberseguridad para dispositivos conectados y servicios relacionados, sobre la base del programa de trabajo evolutivo de la Unión, tomando en la mayor consideración posible los esquemas de certificación europeos horizontales que se están desarrollando actualmente. De forma voluntaria, dicho esquema permitirá que los fabricantes de esos productos promocionen productos que presenten el nivel de garantía evaluado.

13.   

 

PROPONE que se organice un debate para estudiar de qué modo puede integrarse el objetivo de la ciberseguridad en una futura legislación horizontal en la que se aborden los riesgos de ciberseguridad relacionados con los dispositivos conectados, y al mismo tiempo SEÑALA que es necesario considerar, cuando proceda, la adaptación de los requisitos esenciales que se recogen en las respectivas Directivas del nuevo marco legislativo.

14.   

 

ANIMA a la Comisión a que también examine, cuando sea necesario, los reglamentos sectoriales complementarios que definan el nivel de ciberseguridad que deben cumplir los dispositivos conectados, con el fin de garantizar que se establezcan requisitos específicos en materia de seguridad y privacidad para los dispositivos que presentan mayores riesgos para la seguridad.

15.   

 

SUBRAYA la necesidad de mejorar la calidad de vida y el bienestar de los ciudadanos europeos y fomentar la confianza en el mercado único digital. La seguridad y la privacidad de nuestras sociedades son esenciales para preservar los valores fundamentales de la Unión. Por tanto, INSISTE en la necesidad de utilizar como base el marco que proporciona el Reglamento sobre la Ciberseguridad para armonizar los requisitos de seguridad en todos los sectores del nuevo marco legislativo, en función de los distintos niveles de garantía, con el fin de evitar la fragmentación y la verificación repetida de requisitos idénticos, y ofrecer unas condiciones equitativas en materia de competencia e innovación en toda la Unión Europea.

16.   

 

PIDE a la Comisión, a la Agencia de la Unión Europea para la Ciberseguridad (ENISA), al Comité de Vigilancia del Mercado y Evaluación de la Conformidad en materia de Telecomunicaciones y al Grupo Europeo de Certificación de la Ciberseguridad que participen activamente en esta iniciativa que pretende reforzar el mercado único digital y la confianza en los productos, servicios y procesos de TIC para dispositivos conectados, garantizando la privacidad y la ciberseguridad, y que contribuyan a que la industria europea de la internet de las cosas sea más competitiva a nivel mundial, garantizando el máximo nivel de resiliencia, seguridad y protección.

17.   

 

DESTACA, en este contexto, que es necesario apoyar a las pymes, que constituyen un pilar esencial del ecosistema europeo de la ciberseguridad, y ANIMA a las pymes a que participen en todas las consultas públicas que se organicen, así como en actividades de normalización, con el fin de tener en cuenta su importante y valiosa contribución a la hora de hacer de la ciberseguridad un objetivo alcanzable, así como una ventaja competitiva en el mercado europeo.

18.   

 

SEÑALA que la obligación de garantizar la ciberseguridad y la privacidad a lo largo de todo el ciclo de vida de un producto y en toda su cadena de suministro podría tener efectos positivos para la huella ambiental del sector tecnológico al orientar a los fabricantes hacia unos procesos de desarrollo y producción inteligentes y sostenibles, lo que contribuiría a reducir el volumen de residuos electrónicos procedente de la eliminación de los dispositivos conectados.


DECISION DE LA DEFENSORA DEL PUEBLO EUROPEO: LIMITACION DE DETERMINADOS DERECHOS DE LOS INTERESADOS EN EL TRATAMIENTO DE SUS DATOS PERSONALES

 

Por: Carlos A. FERREYROS SOTO
        Doctor en Derecho
        Université de Montpellier I Francia.
        M. Sc. Institut Agronomique Méditerranéen

        cferreyros@hotmail.com

 PROLOGO

El Defensor del Pueblo Europeo lleva a cabo investigaciones de presuntos supuestos de mala administración en la acción de las instituciones u órganos comunitarios, con la excepción del Tribunal de Justicia de la Unión Europea cuando actúa en su función jurisdiccional. En este contexto, el Defensor del Pueblo Europeo podría tener que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos de las partes y durante las investigaciones. El Defensor del Pueblo Europeo también podría tener que proteger los derechos y libertades de los demandantes, así como los de otras personas implicadas.

Para cumplir con sus cometidos, el Defensor del Pueblo Europeo recoge y trata información y varias categorías de datos personales, incluidos los datos de identificación de personas físicas, la información de contacto, las funciones y tareas profesionales, la información sobre la conducta y el rendimiento profesionales y privados, y los datos financieros. El Defensor del Pueblo Europeo actúa como responsable del tratamiento.

El contenido de esta Decisión pudiera interesar a instituciones similares en Latinoamérica.

_______________________________________________________________

DECISIÓN DE LA DEFENSORA DEL PUEBLO EUROPEO

de 9 de noviembre de 2020

sobre el reglamento interno para limitar determinados derechos de los interesados en el tratamiento de sus datos personales

LA DEFENSORA DEL PUEBLO EUROPEO,

VISTO EL TRATADO DE FUNCIONAMIENTO DE LA UNIÓN EUROPEA

El Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y, en particular, su artículo 25,

Tras consultar al Supervisor Europeo de Protección de Datos

Considerando lo siguiente:

(1)

La Defensora del Pueblo Europeo está facultada para llevar a cabo investigaciones administrativas y procedimientos predisciplinarios, disciplinarios y de suspensión, de conformidad con el Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión Europea, establecidos en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (2) (en lo sucesivo, «Estatuto de los funcionarios»), y con la Decisión del Defensor del Pueblo Europeo, de 4 de noviembre de 2004, por la que se adoptan disposiciones de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios. Si es necesario, también notifica los casos a la OLAF.

(2)

Los miembros del personal del Defensor del Pueblo Europeo están obligados a informar sobre actividades potencialmente ilegales, incluidos el fraude y la corrupción, que vayan en detrimento de los intereses de la Unión. Los agentes también están obligados a comunicar las actuaciones relativas al cumplimiento de las obligaciones profesionales que puedan constituir un incumplimiento grave de las obligaciones de los funcionarios de la Unión. Esto queda regulado por la Decisión del Defensor del Pueblo Europeo relativa a las normas internas en materia de denuncia de prácticas corruptas de 20 de febrero de 2015.

(3)

El Defensor del Pueblo Europeo ha instaurado una política para impedir y gestionar efectivamente los casos efectivos o potenciales de acoso psicológico o sexual en el puesto de trabajo, como se dispone en su Decisión de 18 de diciembre de 2017. La Decisión establece un procedimiento informal por el que la presunta víctima del acoso puede ponerse en contacto con los «corresponsales de ética» del Defensor del Pueblo Europeo o con el Comité de Conciliación.

(4)

El Defensor del Pueblo Europeo también puede llevar a cabo investigaciones sobre posibles violaciones de las normas sobre la seguridad de la información clasificada de la UE (en lo sucesivo, «ICUE»).

(5)

El Defensor del Pueblo Europeo está sujeto a auditorías internas y externas en relación con sus actividades.

(6)

En el contexto de tales investigaciones, auditorías e investigaciones administrativas, el Defensor del Pueblo Europeo coopera con otras instituciones, órganos, oficinas y agencias de la Unión.

(7)

El Defensor del Pueblo Europeo puede cooperar con las autoridades nacionales y organizaciones internacionales de terceros países, ya sea a petición suya o por propia iniciativa.

(8)

El Defensor del Pueblo Europeo también puede cooperar con las autoridades públicas de los Estados miembros de la Unión Europea (UE), ya sea a petición suya o por propia iniciativa.

(9)

El Defensor del Pueblo Europeo lleva a cabo investigaciones de presuntos supuestos de mala administración en la acción de las instituciones u órganos comunitarios, con la excepción del Tribunal de Justicia de la Unión Europea cuando actúa en su función jurisdiccional. En este contexto, el Defensor del Pueblo Europeo podría tener que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos de las partes y durante las investigaciones. El Defensor del Pueblo Europeo también podría tener que proteger los derechos y libertades de los demandantes, así como los de otras personas implicadas.

(10)

Para cumplir con sus cometidos, el Defensor del Pueblo Europeo recoge y trata información y varias categorías de datos personales, incluidos los datos de identificación de personas físicas, la información de contacto, las funciones y tareas profesionales, la información sobre la conducta y el rendimiento profesionales y privados, y los datos financieros. El Defensor del Pueblo Europeo actúa como responsable del tratamiento.

(11)

Con arreglo al Reglamento (UE) 2018/1725 (en lo sucesivo, «Reglamento»), el Defensor del Pueblo Europeo está, por tanto, obligado a facilitar información a las personas interesadas sobre dichas actividades de tratamiento y a respetar sus derechos como interesados.

(12)

El Defensor del Pueblo Europeo podría estar obligado a conciliar esos derechos con los objetivos de las investigaciones administrativas, las auditorías, las investigaciones y los procedimientos judiciales. También podría ser necesario equilibrar los derechos de una persona interesada frente a los derechos y libertades fundamentales de otros interesados. A tal fin, el artículo 25 del Reglamento ofrece al Defensor del Pueblo Europeo la posibilidad de limitar, bajo condiciones estrictas, la aplicación de los artículos 14 a 22, 35 y 36, del Reglamento, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20. A menos que se establezcan limitaciones en un acto jurídico adoptado sobre la base de los Tratados, es necesario adoptar normas internas con arreglo a las cuales el Defensor del Pueblo Europeo tenga derecho a limitar esos derechos.

(13)

El Defensor del Pueblo Europeo podría, por ejemplo, limitar la información que proporciona a una persona interesada sobre el tratamiento de sus datos personales durante la fase de evaluación preliminar de una investigación administrativa o durante la propia investigación, antes de la posible desestimación del asunto o en la fase predisciplinaria. En determinadas circunstancias, facilitar dicha información podría afectar gravemente a la capacidad del Defensor del Pueblo Europeo para llevar a cabo la investigación de manera eficaz, por ejemplo, cuando exista el riesgo de que la persona afectada pueda destruir pruebas o interferir con posibles testigos antes de su declaración. El Defensor del Pueblo Europeo también podría tener que proteger los derechos y libertades de los testigos, así como los de otras personas implicadas.

(14)

Podría ser necesario proteger el anonimato de aquellos testigos o denunciantes que hayan solicitado no ser identificados. En tal caso, el Defensor del Pueblo Europeo podría decidir limitar el acceso a la identidad, las declaraciones y otros datos personales de esas personas, a fin de proteger sus derechos y libertades.

(15)

Podría ser necesario proteger la información confidencial relativa a un miembro del personal que se haya puesto en contacto con los corresponsales de ética del Defensor del Pueblo Europeo o con el Comité de Conciliación en el contexto de un procedimiento por acoso. En tales casos, el Defensor del Pueblo Europeo podría tener que limitar el acceso a la identidad, las declaraciones y otros datos personales de la presunta víctima, el presunto acosador y otras personas implicadas, con el fin de proteger los derechos y libertades de todos los interesados.

(16)

Por ejemplo, el Defensor del Pueblo Europeo podría tener que limitar la información que proporciona a un interesado mencionado en una reclamación o en documentos de la investigación sobre el tratamiento de sus datos personales durante el examen de una presunta mala administración en una institución, un órgano o un organismo de la UE. Facilitar dicha información podría afectar gravemente a la capacidad del Defensor del Pueblo Europeo para llevar a cabo la investigación de manera eficaz, por ejemplo, cuando exista el riesgo de que la persona afectada pueda poner en peligro la investigación. El Defensor del Pueblo Europeo también podría tener que proteger los derechos y libertades del demandante, así como los de otras personas implicadas.

(17)

El Defensor del Pueblo Europeo debe aplicar limitaciones solo cuando estas respeten la esencia de los derechos y libertades fundamentales, sean estrictamente necesarias y constituyan una medida proporcionada en una sociedad democrática. El Defensor del Pueblo Europeo deberá explicar las razones que justifican dichas limitaciones.

(18)

En aplicación del principio de responsabilidad, el Defensor del Pueblo Europeo debe llevar un registro de las limitaciones impuestas.

(19)

Al tratar los datos personales intercambiados con otras organizaciones en el marco de sus funciones, tanto el Defensor del Pueblo Europeo como dichas organizaciones deben consultarse mutuamente sobre los posibles motivos de imposición de limitaciones, así como sobre la necesidad y proporcionalidad de estas, a menos que ello ponga en peligro las actividades del Defensor del Pueblo Europeo.

(20)

El artículo 25, apartado 6, del Reglamento obliga al responsable del tratamiento a informar a los interesados de los motivos principales en los que se fundamenta la limitación y de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos (SEPD).

(21)

De conformidad con el artículo 25, apartado 8, del Reglamento, el Defensor del Pueblo Europeo puede aplazar, omitir o denegar la comunicación de información sobre los motivos de la aplicación de una limitación a la persona interesada si ello anula de cualquier modo el efecto de la restricción. El Defensor del Pueblo Europeo debe evaluar caso por caso si la comunicación de la limitación anula su efecto.

(22)

El Defensor deberá levantar la limitación tan pronto como las condiciones que la justifiquen ya no sean aplicables y evaluar dichas condiciones de forma periódica.

(23)

A fin de garantizar la máxima protección de los derechos y libertades de las personas interesadas y de conformidad con lo dispuesto en el artículo 44, apartado 1, del Reglamento, debe consultarse al DPD a su debido tiempo cualquier limitación que pueda aplicarse y comprobar su conformidad con la presente Decisión.

(24)

El artículo 16, apartado 5, y el artículo 17, apartado 4, del Reglamento prevén excepciones al derecho a la información y al derecho de acceso de los interesados. Si se aplican estas excepciones, el Defensor del Pueblo Europeo no necesita aplicar una limitación con arreglo a la presente Decisión.

DECIDE:

Artículo 1

Objeto y ámbito de aplicación

1.   La presente Decisión establece normas relativas a las condiciones en las que el Defensor del Pueblo Europeo puede limitar la aplicación de los artículos 4, 14 a 22, 35 y 36, de conformidad con el artículo 25 del Reglamento.

2.   La Oficina del Defensor del Pueblo Europeo, en su calidad de responsable, está representada por el Defensor del Pueblo Europeo.

Artículo 2

Limitaciones

1.   El Defensor del Pueblo Europeo podrá limitar la aplicación de los artículos 14 a 22, 35 y 36, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20:

a)

con arreglo al artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento, al llevar a cabo una investigación administrativa o un procedimiento predisciplinario, disciplinario o de suspensión con arreglo al artículo 86 y el anexo IX del Estatuto de los funcionarios y la Decisión del Defensor del Pueblo Europeo de 4 de noviembre de 2004 relativa la realización de investigaciones administrativas y procedimientos disciplinarios, y cuando se notifiquen casos a la OLAF;

b)

de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que los miembros del personal del Defensor del Pueblo Europeo puedan denunciar hechos de forma confidencial cuando consideren que existen graves irregularidades, tal como se establece en la Decisión del Defensor del Pueblo Europeo de 20 de febrero de 2015 relativa a las normas internas en materia de denuncia de prácticas corruptas;

c)

de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que los miembros del personal del Defensor del Pueblo Europeo pueden informar a los corresponsales de ética o el Comité de Conciliación en el contexto de un procedimiento de acoso, según su definición en la Decisión del Defensor del Pueblo Europeo sobre una política de prevención y protección del acoso en la Oficina del Defensor del Pueblo Europeo;

d)

de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando lleve a cabo auditorías internas en relación con actividades o departamentos del Defensor del Pueblo Europeo;

e)

de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento, cuando preste asistencia a otras instituciones, órganos y organismos de la Unión, cuando reciba asistencia de dichas instituciones, órganos y organismos o cuando coopere con ellos en el contexto de las actividades contempladas en las letras a) a d) del presente apartado y con arreglo a los acuerdos de nivel servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes;

f)

de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando preste asistencia a las autoridades nacionales y organizaciones internacionales de terceros países, cuando reciba asistencia de dichas autoridades y organizaciones o cuando coopere con estas, a petición de estas o por iniciativa propia;

g)

de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando preste asistencia a las autoridades públicas de los Estados miembros de la UE, cuando reciba asistencia de dichas autoridades o cuando coopere con estas, ya sea a petición suya o por iniciativa propia;

h)

de conformidad con el artículo 25, apartado 1, letra e), del Reglamento, cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea;

i)

de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, cuando se lleven a cabo investigaciones sobre presuntos supuestos de mala administración en la acción de las instituciones u órganos de la Unión, de conformidad con el artículo 228 del Tratado de Funcionamiento de la Unión Europea y el Estatuto del Defensor del Pueblo Europeo y las disposiciones de aplicación.

2.   Cualquier limitación respetará la esencia de los derechos y libertades fundamentales y será necesaria y proporcionada en una sociedad democrática.

3.   Se llevará a cabo una prueba de necesidad y proporcionalidad, caso por caso, antes de aplicar limitaciones. Las limitaciones se acotarán a lo estrictamente necesario para alcanzar su objetivo.

4.   A efectos de rendición de cuentas, el Defensor del Pueblo Europeo elaborará un registro en el que se describirán los motivos de las limitaciones aplicadas, los fundamentos enumerados en el apartado 1 que se aplican y el resultado de la prueba de necesidad y proporcionalidad. Dichos elementos formarán parte de un registro, que se pondrá a disposición del SEPD a petición suya. El Defensor del Pueblo Europeo elaborará informes periódicos sobre la aplicación del artículo 25 del Reglamento.

5.   Al tratar los datos personales procedentes de otras organizaciones en el contexto de sus funciones, el Defensor del Pueblo Europeo consultará a dichas organizaciones sobre los posibles motivos de imposición de limitaciones y sobre la necesidad y proporcionalidad de las limitaciones de que se trate, a menos que ello ponga en peligro las actividades del Defensor del Pueblo Europeo.

Artículo 3

Riesgos para los derechos y las libertades de las personas interesadas

1.   Las evaluaciones de los riesgos para los derechos y libertades de las personas interesadas que supongan la aplicación de limitaciones y los detalles sobre el período de aplicación de dichas limitaciones se harán constar en el registro de actividades de tratamiento mantenido por el Defensor del Pueblo Europeo en virtud del artículo 31 del Reglamento. También se harán constar en todas las evaluaciones de impacto de protección de datos relativas a dichas limitaciones llevadas a cabo con arreglo al artículo 39 del Reglamento.

2.   Siempre que el Defensor del Pueblo Europeo evalúe la necesidad y proporcionalidad de una limitación, tendrá en cuenta los posibles riesgos para los derechos y libertades de la persona interesada.

Artículo 4

Garantías y períodos de conservación

1.   El Defensor del Pueblo Europeo aplicará garantías para evitar los abusos y el acceso o la transferencia ilícitos de datos personales respecto de los cuales se apliquen o puedan aplicarse limitaciones. Tales garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de ejecución internos del Defensor del Pueblo Europeo. Estas garantías incluirán:

a)

una definición clara de las funciones, responsabilidades y etapas del procedimiento;

b)

en su caso, un entorno electrónico seguro que impida el acceso o la transferencia ilícitos y accidentales de datos electrónicos a personas no autorizadas;

c)

en su caso, un almacenamiento y tratamiento seguros de los documentos en soporte papel;

d)

la debida supervisión de las limitaciones y la revisión periódica de su aplicación.

Las revisiones mencionadas en la letra d) se llevarán a cabo al menos cada seis meses.

2.   Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hubieran justificado.

3.   Los datos personales se conservarán de conformidad con las normas de conservación aplicables del Defensor del Pueblo Europeo, que se definirán en los registros de protección de datos mantenidos en virtud del artículo 31 del Reglamento. Al final del período de conservación, los datos personales se suprimirán, se anonimizarán o se transferirán a los archivos de conformidad con el artículo 13 del Reglamento.

Artículo 5

Participación por parte del delegado de protección de datos

1.   Se informará sin demora al DPD del Defensor del Pueblo Europeo cuando los derechos de las personas interesadas estén limitados de conformidad con la presente Decisión. Se dará acceso a los registros correspondientes y a todos los documentos relativos al contexto fáctico o jurídico.

2.   El DPD del Defensor del Pueblo Europeo podrá solicitar que se revisen las limitaciones aplicadas. El Defensor informará por escrito a su DPD del resultado de la revisión.

3.   El Defensor del Pueblo Europeo documentará la participación del DPD en la aplicación de las limitaciones, incluida la información que se comparta con él.

Artículo 6

Información a los interesados sobre las limitaciones de sus derechos

1.   El Defensor del Pueblo Europeo incluirá una sección en los anuncios de protección de datos publicados en su sitio web que proporcione información general a las personas interesadas sobre la posible limitación de sus derechos, de conformidad con el artículo 2, apartado 1. La información cubrirá los derechos que puedan ser objeto de limitaciones, los motivos por los que pueden aplicarse las limitaciones y su posible duración.

2.   El Defensor del Pueblo Europeo informará a las personas interesadas individualmente, por escrito y sin demora injustificada de las limitaciones en curso o futuras de sus derechos. El Defensor informará a la persona interesada de los motivos principales en los que se fundamenta la limitación aplicada, de su derecho a consultar al DPD con el fin de impugnar la limitación y de sus derechos a presentar una reclamación ante el SEPD.

3.   El Defensor del Pueblo Europeo podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso. Tan pronto como la acción deje de anular el efecto de la limitación, el Defensor del Pueblo Europeo facilitará la información al interesado.

Artículo 7

Comunicación de una violación de la seguridad de los datos personales a la persona interesada

1.   Cuando el Defensor del Pueblo Europeo tenga la obligación de comunicar una violación de la seguridad de los datos con arreglo al artículo 35, apartado 1, del Reglamento, podrá, en casos excepcionales, limitar dicha comunicación total o parcialmente. El Defensor del Pueblo Europeo documentará en una nota los motivos de la limitación, su fundamento jurídico de conformidad con el artículo 2 y una evaluación de su necesidad y proporcionalidad. La nota se comunicará al SEPD en el momento en que se notifique la violación de datos personales.

2.   Cuando dejen de ser aplicables las razones de la limitación, el Defensor del Pueblo Europeo comunicará a la persona interesada la violación de la seguridad de los datos personales y le informará de los motivos principales de la limitación, así como de su derecho a presentar una reclamación ante el SEPD.

Artículo 8

Confidencialidad de las comunicaciones electrónicas

1.   En circunstancias excepcionales, el Defensor del Pueblo Europeo podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas con arreglo al artículo 36 del Reglamento. Dichas limitaciones se ajustarán a lo dispuesto en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (3).

2.   En caso de que el Defensor del Pueblo Europeo limite el derecho a la confidencialidad de las comunicaciones electrónicas, deberá informar a la persona interesada, en su respuesta a cualquier solicitud procedente de esta, de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD.

3.   El Defensor del Pueblo Europeo podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará caso por caso si dicha acción es justificable. Tan pronto como la acción deje de anular el efecto de la limitación, el Defensor del Pueblo Europeo facilitará la información a la persona interesada.

Artículo 9

Entrada en vigor

La presente Decisión entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Estrasburgo, el 9 de noviembre de 2020.

Por la Defensoar del Pueblo Europeo

Emily O’REILLY


(1)  DO L 295 de 21.11.2018, p. 39.

(2)  Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).

(3)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31 de julio de 2002, p. 37).