Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
Resumen
La decisión del Consejo de Administración del
Centro Europeo de Prevención y Control de Enfermedades (ECDC) del 27 de marzo de
2025 estableció normas internas que incluyen la limitación de ciertos derechos
de las personas interesadas en el tratamiento de datos personales del Centro,
principalmente en el cuadro de procedimientos administrativos y disciplinarios.
Esta decisión se aplica al reglamento (UE)
2018/1725 relativa a la protección de las personas físicas por los organismos de
la Unión y, en particular, al artículo 25 que autoriza restricciones a ciertos derechos
(artículos 14 a 22, 35, 36 y 4 del Reglamento), en circunstancias determinadas y
motivadas.
Los derechos que pueden ser limitados incluyen
el derecho de información, el derecho de acceso, el derecho de rectificación, la
eliminación, la limitación del trato, la notificación, el derecho de oposición y
la portabilidad, en el estricto respeto de la necesidad y la proporcionalidad.
Cada limitación debe:
- Estar justificada
(razones documentadas en un registro accesible a la Autoridad Europea de Protección
de Datos).
- Ser proporcionada,
protegiendo los intereses legítimos del Centro (P. ej., proteger las investigaciones,
evitar la destrucción de pruebas, preservar los derechos de terceros).
- Ser informada
explícitamente a los interesados en la declaración de confidencialidad o,
cuando corresponda, individualmente sin demora indebida.
- Ser revisada
cada seis meses y al final del procedimiento.
En resumen, esta decisión incluye un cuadro
riguroso, transparente y controlado sobre la posibilidad para el Centro de limitar
temporalmente ciertos derechos de las personas sobre sus datos, exclusividad bajo
condiciones estrictas que justifican el interés público o institucional.
A fin de acceder a normas
similares y estándares europeos, las empresas, organizaciones públicas y privados
interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones,
auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com
____________________________________________
 | Diario Oficial | ES Serie L |
2025/1747 | 14.8.2025 |
DECISIÓN DEL CONSEJO DE ADMINISTRACIÓN DEL CENTRO EUROPEO PARA LA PREVENCIÓN Y EL CONTROL DE LAS ENFERMEDADES
de 27 de marzo de 2025
relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento del Centro Europeo para la Prevención y el Control de las Enfermedades (ECDC)
EL CONSEJO DE ADMINISTRACIÓN DEL CENTRO EUROPEO PARA LA PREVENCIÓN Y EL CONTROL DE LAS ENFERMEDADES (en lo sucesivo, «ECDC»),
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,
Visto el Reglamento (CE) n.o 851/2004 del Parlamento Europeo y del Consejo, de 21 de abril de 2004, por el que se crea un Centro Europeo para la Prevención y el Control de las Enfermedades (2), y en particular su artículo 20, apartado 4,
Visto el Reglamento interno del Consejo de Administración del ECDC, y en particular su artículo 10,
Vista la decisión del Consejo de Administración relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento del Centro Europeo para la Prevención y el Control de las Enfermedades de 9 de septiembre de 2019,
Visto el dictamen del Supervisor Europeo de Protección de Datos (en lo sucesivo, «SEPD»), de 22 de julio de 2019, y la orientación del SEPD sobre el artículo 25 del nuevo Reglamento y las normas internas,
Previa consulta al Comité de Personal,
Considerando lo siguiente:
(1) | El ECDC lleva a cabo su actividad de conformidad con el Reglamento (CE) n.o 851/2004. |
(2) | De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, deben basarse en normas internas adoptadas por el ECDC cuando no se encuentren fundamentadas en actos jurídicos adoptados con arreglo a los Tratados. |
(3) | Estas normas internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la proporcionalidad de la limitación, no deben aplicarse cuando un acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los derechos de los interesados. |
(4) | Cuando el ECDC ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento. |
(5) | En el marco de su funcionamiento administrativo, el ECDC puede realizar investigaciones administrativas, tramitar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, tramitar casos de denuncia de irregularidades, tramitar procedimientos (formales e informales) en casos de acoso, tramitar quejas internas y externas, realizar auditorías internas, tratar datos de salud del personal del ECDC, emprender investigaciones a través del responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y llevar a cabo investigaciones internas sobre la seguridad (informática). |
(6) | El ECDC trata diversas categorías de datos personales, incluidos los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos). |
(7) | El ECDC, representado por su director, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro del propio ECDC al objeto de reflejar las diversas responsabilidades operativas por las distintas tareas de tratamiento de datos personales. |
(8) | Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide el acceso ilícito a personas que no necesiten conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados no se conservan durante un tiempo superior al necesario y al adecuado para los fines para los que se hubieran tratado, durante el período especificado en los avisos de protección de datos, las declaraciones de confidencialidad o los registros del ECDC. |
(9) | Estas normas internas deben aplicarse a todas las operaciones de tratamiento de datos llevadas a cabo por el ECDC en el ejercicio de sus investigaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, procedimientos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitación de quejas internas y externas, auditorías internas, investigaciones llevadas a cabo por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE); y en relación con el tratamiento de los expedientes personales de los miembros del personal. |
(10) | Las normas internas deben aplicarse a las operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente, durante estos y durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos. También se incluyen la asistencia y la cooperación prestadas por el ECDC a las autoridades nacionales y las organizaciones internacionales al margen de sus investigaciones administrativas. |
(11) | En los casos en los que resultan aplicables estas normas internas, el ECDC debe justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar en lo esencial los derechos y libertades fundamentales. |
(12) | En este contexto, el ECDC debe respetar, en la medida de lo posible, los derechos fundamentales de los interesados durante los procedimientos anteriores, en particular, los correspondientes al derecho a la comunicación de información, el acceso y la rectificación, el derecho de supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado y la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725. |
(13) | Sin embargo, el ECDC puede verse obligado a limitar la comunicación de información al interesado y otros derechos del interesado para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones o con los procedimientos de otro tipo que se lleven a cabo. |
(14) | En consecuencia, el ECDC puede restringir la información a los efectos de proteger la investigación y los derechos y libertades fundamentales de otros interesados. |
(15) | El ECDC debe controlar de manera periódica que se cumplan las condiciones que justifiquen la limitación y levantar la limitación en cuanto dejen de cumplirse. |
(16) | El responsable del tratamiento debe realizar la notificación pertinente al responsable de protección de datos en el momento del aplazamiento y durante las revisiones. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Objeto y ámbito de aplicación
1. La siguiente decisión establece las normas relativas a las condiciones en las que el ECDC, en el marco de sus procedimientos establecidos en el apartado 2, puede limitar el ejercicio de los derechos consagrados en los artículos 14 a 21, 35 y 36, y la aplicación del artículo 4, del Reglamento (UE) 2018/1725, de conformidad con el artículo 25 de este.
2. En el marco del funcionamiento administrativo del ECDC, esta decisión se aplica a las operaciones de tratamiento de datos personales llevadas a cabo por el ECDC a los efectos de llevar a cabo investigaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, tramitaciones de casos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitaciones de quejas internas y externas, auditorías internas, investigaciones realizadas por el responsable de protección de datos en línea con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE); y en relación con el tratamiento de los expedientes personales de los miembros del personal (que pueden contener datos de índole psicológica o psiquiátrica).
3. Las categorías de datos de que se trata son los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).
4. Cuando el ECDC ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.
5. Con arreglo a las condiciones previstas en la presente Decisión, las limitaciones pueden aplicarse a los siguientes derechos: la comunicación de información a los interesados, el derecho de acceso, la rectificación, la supresión, la limitación del tratamiento, la comunicación de una violación de la seguridad de los datos personales al interesado y la confidencialidad de las comunicaciones.
Artículo 2
Especificación del responsable del tratamiento y garantías
1. Las garantías establecidas para evitar las violaciones de la seguridad de los datos, las filtraciones o las divulgaciones no autorizadas son las siguientes:
a) | los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda acceder el personal autorizado; |
b) | todos los datos en formato electrónico deberán almacenarse de forma segura en aplicaciones informáticas que respeten las normas de seguridad del ECDC y en carpetas electrónicas específicas, y únicamente podrá acceder a las mismas el personal autorizado. Deberán concederse de manera individualizada los niveles de acceso adecuados; |
c) | la base de datos deberá estar protegida mediante contraseña, de modo que únicamente puedan acceder a esta los usuarios autorizados. Los registros electrónicos se almacenarán de forma segura para salvaguardar la confidencialidad y la privacidad de los datos que contengan; |
d) | todas las personas que dispongan de acceso a los datos quedarán sujetas a una obligación de confidencialidad o a acuerdos de confidencialidad. |
2. El responsable del tratamiento en las operaciones de tratamiento será el ECDC, representado por su director, quien podrá delegar esta función de responsable del tratamiento de datos. Se informará a los interesados de la identidad del responsable del tratamiento delegado por medio de avisos de protección de datos o de registros publicados en el sitio web o la intranet del ECDC.
3. El período de conservación de los datos personales al que hace referencia el artículo 1, apartado 3, no superará el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos. En ningún caso deberá superar el período de conservación especificado en los avisos de protección de datos, las declaraciones de confidencialidad o los registros a los que se hace referencia en el artículo 5, apartado 1.
4. Cuando el ECDC estudie aplicar una limitación, deberá sopesarse el riesgo para los derechos y las libertades del interesado, en particular, con el riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por el ECDC, por ejemplo, por la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.
Artículo 3
Limitaciones
1. El ECDC solo adoptará limitaciones para salvaguardar:
a) | la prevención, investigación, detección y enjuiciamiento de infracciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención; |
b) | la seguridad interna de las instituciones y organismos de la Unión, incluida la de sus redes de comunicación electrónica; |
c) | la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas; |
d) | una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos enunciados en las letras a) a c); |
e) | la protección del interesado o de los derechos y libertades de otros. |
2. Como aplicación concreta de los fines descritos en el apartado 1 anterior, el ECDC podrá introducir limitaciones en relación con los datos personales compartidos con los servicios de la Comisión u otras instituciones, órganos y organismos de la Unión, autoridades competentes de los Estados miembros o de terceros países u organizaciones internacionales, en las siguientes circunstancias:
a) | cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda ser limitado por los servicios de la Comisión o por otras instituciones, órganos y organismos de la Unión, sobre la base de los actos jurídicos contemplados en el artículo 25 del Reglamento (UE) 2018/1725, o de conformidad con el capítulo IX de dicho Reglamento o con los actos fundacionales de otras instituciones, órganos y organismos de la Unión; |
b) | cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda verse limitado por las autoridades competentes de los Estados miembros sobre la base de los actos a que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3), o con arreglo a las medidas nacionales de transposición del artículo 13, apartado 3; del artículo 15, apartado 3, o del artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (4); |
c) | cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda comprometer la cooperación del ECDC con terceros países u organizaciones internacionales en el desempeño de sus funciones. |
Antes de aplicar las limitaciones en las circunstancias mencionadas en el apartado 1, letras a) y b), el ECDC consultará a los servicios pertinentes de la Comisión; a las instituciones, órganos y organismos pertinentes de la Unión; o a las autoridades competentes de los Estados miembros, a menos que para el ECDC resulte evidente que la aplicación de una limitación está prevista en uno de los actos a que se hace referencia en dichas letras.
3. Toda limitación deberá ser necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y las libertades de los interesados y el respeto, en lo esencial, de los derechos y libertades fundamentales en una sociedad democrática.
4. Si se estudia aplicar una limitación, deberá llevarse a cabo una evaluación de la necesidad y la proporcionalidad basada en las presentes normas. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.
5. Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hayan justificado. En particular, cuando se considere que el ejercicio del derecho limitado ya no anula el efecto de la limitación impuesta ni afecta negativamente a los derechos o las libertades de los demás interesados.
Artículo 4
Participación del responsable de la protección de datos
1. El ECDC consultará a su responsable de la protección de datos («RPD») siempre que considere si aplicar o no las disposiciones de la presente Decisión. La participación del RPD se documentará por escrito.
2. El ECDC informará a su RPD, sin dilaciones indebidas, de toda situación en que el responsable del tratamiento limite el ejercicio de los derechos de los interesados o extienda la limitación de conformidad con la presente Decisión. El responsable del tratamiento proporcionará al RPD acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación y documentará en dicho registro la fecha de la notificación al RPD.
3. El RPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. Este notificará por escrito al RPD el resultado de la revisión solicitada.
4. El responsable del tratamiento notificará al RPD el levantamiento de las limitaciones.
Artículo 5
Comunicación de información al interesado
1. En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la información en el contexto de las siguientes operaciones de tratamiento:
a) | la realización de investigaciones administrativas y los procedimientos disciplinarios; |
b) | las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF; |
c) | los procedimientos de denuncia de irregularidades; |
d) | los procedimientos (formales e informales) en casos de acoso; |
e) | las tramitaciones de quejas internas y externas; |
f) | las auditorías internas; |
g) | las investigaciones realizadas por el RPD en línea con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725; |
h) | las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE). En los avisos de protección de datos, las declaraciones de confidencialidad o los registros, en el sentido del artículo 31 del Reglamento (UE) 2018/1725, publicados en el sitio web o en la intranet del ECDC, donde se informe a los interesados de sus derechos en el marco de determinado procedimiento, el ECDC incluirá información sobre la posible limitación de dichos derechos. Esta información abarcará los derechos que pueden limitarse, las razones de la limitación y la posible duración de esta. |
2. Sin perjuicio de lo dispuesto en el apartado 3, cuando resulte proporcionado, el ECDC también notificará de manera individualizada a todos los titulares de datos que se consideren interesados en la operación de tratamiento concreta cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.
3. Cuando el ECDC limite, total o parcialmente, la comunicación de información a los interesados a que se refiere el apartado 2, hará constar los motivos de la limitación y el fundamento jurídico con arreglo al artículo 3 de la presente Decisión, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.
La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.
4. La limitación a que se refiere el apartado 3 seguirá aplicándose mientras persistan los motivos que la justifiquen.
Cuando desaparezcan los motivos que justifiquen la limitación, el ECDC informará al interesado de los principales motivos en que se hubiera basado la aplicación de la limitación. Al mismo tiempo, el ECDC informará al interesado del derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o a interponer un recurso ante el Tribunal de Justicia de la Unión Europea.
El ECDC revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación o el procedimiento pertinentes. Posteriormente, el responsable del tratamiento deberá supervisar cada seis meses la necesidad de mantener cualquier limitación.
Artículo 6
Derecho de acceso del interesado
1. En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de acceso, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:
a) | la realización de investigaciones administrativas y los procedimientos disciplinarios; |
b) | las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF; |
c) | los procedimientos de denuncia de irregularidades; |
d) | los procedimientos (formales e informales) en casos de acoso; |
e) | las tramitaciones de quejas internas y externas; |
f) | las auditorías internas; |
g) | las investigaciones realizadas por el RPD en línea con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725; |
h) | las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE); |
i) | en relación con el acceso directo a documentos relacionados con datos médicos de índole psicológica o psiquiátrica incluidos en el expediente personal de los miembros del personal del ECDC. |
Cuando los interesados soliciten el acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una determinada operación de tratamiento, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, el ECDC deberá circunscribir su evaluación de la solicitud exclusivamente a dichos datos personales.
2. Cuando el ECDC limite, en su totalidad o en parte, el derecho de acceso a que se refiere el artículo 17 del Reglamento (UE) 2018/1725, deberá adoptar las siguientes medidas:
a) | informará al interesado, en su respuesta a la solicitud, de la limitación y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea; |
b) | documentará en una nota interna de evaluación los motivos de la limitación, incluida una evaluación de la necesidad, la proporcionalidad y la duración de la limitación. |
La comunicación de la información mencionada en la letra a) podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.
El ECDC revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación. Posteriormente, el responsable del tratamiento deberá supervisar cada seis meses la necesidad de mantener cualquier limitación.
3. La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.
Artículo 7
Derecho de rectificación, supresión y limitación del tratamiento de datos
1. En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de rectificación, supresión y limitación, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:
a) | la realización de investigaciones administrativas y los procedimientos disciplinarios; |
b) | las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF; |
c) | los procedimientos de denuncia de irregularidades; |
d) | los procedimientos (formales e informales) en casos de acoso; |
e) | las tramitaciones de quejas internas y externas; |
f) | las auditorías internas; |
g) | las investigaciones realizadas por el RPD en línea con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725; |
h) | las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE). |
2. Cuando el ECDC limite, total o parcialmente, el ejercicio del derecho de rectificación, supresión o limitación del tratamiento a que se refieren el artículo 18; el artículo 19, apartado 1; y el artículo 20, apartado 1, del Reglamento (UE) 2018/1725, adoptará las medidas contempladas en el artículo 6, apartado 2, de la presente Decisión y registrará los documentos pertinentes de conformidad con lo dispuesto en el artículo 6, apartado 3, de esta.
Artículo 8
Comunicación de una violación de la seguridad de los datos personales al interesado y confidencialidad de las comunicaciones electrónicas
1. En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la comunicación de una violación de la seguridad de los datos personales, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:
a) | la realización de investigaciones administrativas y los procedimientos disciplinarios; |
b) | las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF; |
c) | los procedimientos de denuncia de irregularidades; |
d) | los procedimientos (formales e informales) en casos de acoso; |
e) | las tramitaciones de quejas internas y externas; |
f) | las auditorías internas; |
g) | las investigaciones realizadas por el RPD en línea con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725; |
h) | las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE). |
2. En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:
a) | la realización de investigaciones administrativas y los procedimientos disciplinarios; |
b) | las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF; |
c) | los procedimientos de denuncia de irregularidades; |
d) | los procedimientos formales en casos de acoso; |
e) | las tramitaciones de quejas internas y externas; |
f) | las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE). |
3. Cuando el ECDC limite la comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones electrónicas a que se refieren los artículos 35 y 36 del Reglamento (UE) 2018/1725, deberá consignar y registrar los motivos de la limitación de conformidad con lo dispuesto en el artículo 5, apartado 3, de la presente Decisión. Será de aplicación el artículo 5, apartado 4, de la presente Decisión.
Artículo 9
Entrada en vigor
1. Se deroga la decisión anterior del Consejo de Administración, de 9 de septiembre de 2019, relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento del Centro Europeo para la Prevención y el Control de las Enfermedades.
2. La presente Decisión entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Estocolmo, el 27 de marzo de 2025.
Por el Centro Europeo para la Prevención y el Control de las Enfermedades
Gesa LÜCKING
Presidenta del Consejo de Administración
(1) DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.
(2) DO L 142 de 30.4.2004, p. 1, ELI: http://data.europa.eu/eli/reg/2004/851/oj.
(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89, ELI: http://data.europa.eu/eli/dir/2016/680/oj).
ELI: http://data.europa.eu/eli/proc_rules/2025/1747/oj
ISSN 1977-0685 (electronic edition)
