PROTECCION DE DATOS: PROGRAMA DEL COMITE EUROPEO 2023-2024.

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com   

RESUMEN  

 El Comité Europeo de Protección de Datos (CEPD) es un organismo europeo independiente. Es la organización coordinadora que reúne a las autoridades nacionales de protección de datos (Autoridades Nacionales de Supervisión) de los países del Espacio Económico Europeo, así como al Supervisor Europeo de Protección de Datos (SEPD).

El CEPD vela por que el Reglamento General de Protección de Datos y la Directiva sobre aplicación de la ley se apliquen de manera coherente y garantice la cooperación, también en materia de aplicación de la ley.

Las autoridades de protección de datos son responsables de hacer cumplir la legislación en materia de protección de datos a nivel nacional y transfronterizo cooperando a través del mecanismo de ventanilla única.

El CEPD adopta decisiones vinculantes sobre casos transfronterizos en los que no se llega a un consenso.

El presente, es el Resumen del Programa de Trabajo del CEPD para 2023-2024, traducido por el suscrito del inglés, el mismo que contiene enlaces a recursos normativos.

 A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com

__________________________________________________________________

Programa de trabajo del CEPD 2023/2024

Adoptado el 14 de febrero de 2023

El Consejo Europeo de Protección de Datos

El Consejo Europeo de Protección de Datos (EDPB) es un organismo europeo independiente establecido por el Reglamento General de Protección de Datos (RGPD).

El EDPB tiene las siguientes tareas principales:

• Emitir opiniones, lineamientos, recomendaciones y mejores prácticas para promover una comprensión común del RGPD y la Directiva de aplicación de la ley (LED);
• Asesorar a la Comisión Europea sobre cualquier tema relacionado con la protección de datos personales en la Union;
• Contribuir a la aplicación coherente del RGPD, en particular en casos de protección de datos transfronterizos; y
• Promover la cooperación y el intercambio efectivo de información y mejores prácticas entre autoridades nacionales de control.

De conformidad con el artículo 29 del Reglamento interno del EDPB, el EDPB ha desarrollado su programa de trabajo para dos años 2023 y 2024, basado en la Estrategia EDPB y las necesidades identificadas por los miembros como prioridad para los interesados.

Pilar I - Avanzar en la armonización y facilitar el cumplimiento

Como se menciona en la Estrategia del EDPB, además de proporcionar orientación práctica y accesible, el EDPB desarrollará y promoverá herramientas que ayuden a implementar la protección de datos en la práctica, teniendo en cuenta las experiencias prácticas de las diferentes partes interesadas sobre el terreno. También se harán esfuerzos para hacer un uso proactivo del mecanismo de coherencia, así como de otras herramientas para abordar las posibles divergencias en la aplicación del RGPD.

Ø  Orientación adicional sobre nociones clave de la ley de protección de datos de la UE, desarrollada también teniendo en cuenta la experiencia práctica de las partes interesadas, recopilada a través de eventos y consultas con las partes interesadas.

• Directrices sobre los derechos de los interesados: derecho de acceso*[1]
• Actualización específica de las Directrices sobre la identificación de la autoridad de control principal responsable o del encargado del tratamiento*
• Actualización específica sobre las Directrices sobre la notificación de violación de datos*
• Lineamientos sobre el uso de Tecnologías para la Detección y Reporte de Abuso Sexual Infantil en Línea
• Directrices sobre el interés legítimo
• Directrices sobre los datos de los niños
• Directrices sobre el tratamiento de datos con fines de investigación médica y científica
• Directrices sobre el uso de las redes sociales por parte de los organismos públicos

 • Actividades de coherencia: El EDPB seguirá tomando medidas dirigidas directamente a las autoridades nacionales de control y cuyo objetivo es garantizar la coherencia de sus decisiones en una serie de áreas (p. ej., evaluación de códigos de conducta, sistemas y criterios de certificación, normas corporativas vinculantes, creación de cláusulas contractuales estándar, listas de actividades de procesamiento riesgosas que deben someterse a una evaluación de impacto de la protección de datos,...) de conformidad con el artículo 64, apartados 1 y 2, del RGPD. Además, el EDPB seguirá actuando como organismo de resolución de disputas en caso de disputas entre las autoridades de supervisión del EEE (artículo 65 del RGPD decisiones vinculantes; decisiones/dictámenes en el contexto de un procedimiento de urgencia en virtud del artículo 66 del RGPD)

• Desarrollo e implementación de mecanismos de cumplimiento para controladores y procesadores (por ejemplo, Directrices sobre la evaluación de los criterios de certificación *)

• Asesorar al legislador de la UE sobre cualquier tema importante relacionado con la protección de datos personales en la Unión e intensificar el compromiso y la cooperación con otros reguladores y legisladores (euro digital, seguimiento de los avances legales relacionados con el paquete digital[2], etc.)

• Desarrollo de herramientas comunes de sensibilización sobre el RGPD para un público más amplio (información dedicada a las PYMES)

Pilar II - Apoyar la aplicación efectiva y la cooperación eficiente entre las autoridades nacionales de supervisión.

El EDPB facilitará un funcionamiento más eficiente del mecanismo de cooperación y coherencia que vincula a todas las autoridades nacionales de control, que trabajan juntas para hacer cumplir la ley europea de protección de datos, mediante la simplificación de los procesos internos, la combinación de experiencia y la promoción de una mejor coordinación. El EDPB también se esforzará por desarrollar una verdadera cultura de aplicación en toda la UE entre las autoridades de control. Por lo tanto, se esforzará activamente por cumplir su función como foro para el intercambio regular de información sobre los casos en curso.

Ø  Fomentar y facilitar el uso de la gama completa de herramientas de cooperación consagradas en el Capítulo VII del RGPD y el Capítulo VII de la LED y evaluar y mejorar continuamente la eficiencia y eficacia de estas herramientas, así como promover aún más una aplicación común de conceptos clave. en el procedimiento de cooperación.

• Directrices sobre multas administrativas *
• Directrices sobre el artículo 61 del RGPD - Asistencia mutua
• Directrices sobre el artículo 66 del RGPD
• Plantilla para reclamaciones de interesados
• Derecho a ser oído y derecho de acceso al expediente relativo a los procedimientos de cooperación según el artículo 60 del RGPD

• Implementación del Marco de Cumplimiento Coordinado (CEF) para llevar a cabo acciones coordinadas anuales sobre temas predefinidos para permitir que las SA realicen acciones conjuntas de manera flexible pero coordinada: 2023 CEF sobre la designación y el cargo del delegado de protección de datos

• Apoyo al trabajo en los casos de importancia estratégica

• Creación de grupos de trabajo cuando sea necesario para proporcionar una plataforma operativa para casos que requieran cooperación en asuntos de aplicación

• Posible opinión sobre el proyecto de ley de la CE con el objetivo de armonizar las leyes administrativas de la aplicación del RGPD

• Implementación del grupo de expertos de apoyo (SPE) para brindar apoyo material a los miembros del EDPB en forma de experiencia que sea útil para las investigaciones y las actividades de aplicación, como continuación de la fase piloto

• Procedimientos de aprobación que requieren una fase de cooperación entre las SA, seguida de una acción de consistencia del EDPB (Procedimiento para la aprobación de criterios de certificación, procedimiento para la aprobación de Cláusulas Contractuales Ad-hoc (Artículo 46(3)(a) RGPD) y Datos Estándar Cláusulas de protección (Artículo 46(2)(d) RGPD), Procedimiento para la adopción de BCR)

• Despliegue del programa de secondment (intercambio de personal) de EDPB, como continuación de la fase piloto.

Pilar III - Un enfoque de derechos fundamentales para las nuevas tecnologías

Como se menciona en la Estrategia del EDPB, el EDPB supervisará las tecnologías nuevas y emergentes y su impacto potencial en los derechos fundamentales y la vida cotidiana de las personas, y ayudará a configurar el futuro digital de Europa de acuerdo con nuestras normas y valores comunes, sin dejar de trabajar con otros reguladores y formuladores de políticas para promover la coherencia regulatoria y una mayor protección para las personas.

Ø  Reforzar la aplicación de los principios fundamentales de protección de datos y derechos individuales y establecer posiciones y orientaciones comunes, especialmente en el contexto de las nuevas tecnologías.

• Directrices sobre el uso del reconocimiento facial por parte de las autoridades encargadas de hacer cumplir la ley*
• Directrices sobre la anonimización
• Directrices sobre la seudonimización
• Directrices sobre Blockchain   
• Directrices sobre telemetría y datos de diagnóstico
• Directrices sobre la interacción entre la Ley de IA y el RGPD

• Fortalecimiento de la cooperación con partes interesadas externas

Ø  Pilar IV - La dimensión global

Como se menciona en la Estrategia del EDPB, el EDPB está decidido a establecer y promover altos estándares globales y de la UE para las transferencias internacionales de datos a terceros países y reforzará su compromiso con la comunidad internacional para promover la protección de datos de la UE como un modelo global y garantizar una protección efectiva de datos personales más allá de las fronteras de la UE.

Ø  Brindar orientación sobre el uso de herramientas de transferencia, asegurando un nivel de protección esencialmente equivalente y aumentando la conciencia sobre su implementación práctica y los problemas relacionados con el acceso del gobierno a los datos personales.

• Opiniones sobre y revisión de decisiones de adecuación (EE.UU., Japón, etc.)
• Referencial para la aprobación del Controlador BCR *
• Referencial para la aprobación de Procesador BCR
• Orientación sobre el artículo 48 del RGPD
• Directrices sobre el artículo 37 LED

• Comprometerse con la comunidad internacional para promover la protección de datos de la UE como modelo global y garantizar una protección eficaz de los datos personales más allá de las fronteras de la UE

• Facilitar el compromiso entre los miembros del EDPB y las autoridades de control de terceros países, centrándose en la cooperación en casos de ejecución que involucren a controladores/procesadores ubicados fuera del EEE.

---

[1] Los artículos acompañados de un asterisco (*) ya han sido adoptados en su primera versión, pero deben ser finalizados después de la consulta pública.

[2] Ley de Gobernanza Digital (Reglamento 2022/868) https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022R0868; Proyecto de Ley de IA: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52021PC0206; Proyecto de Ley de Datos: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2022%3A68%3AFIN; Ley de Servicios Digitales (Reglamento (UE) 2022/2065) https://eur-lex.europa.eu/legal-content/en/TXT/?uri=COM%3A2020%3A825%3AFIN; Ley de Mercados Digitales (Reglamento (UE) 2022/1925) https://eur-lex.europa.eu/legal-content/EN/TXT/?toc=OJ%3AL%3A2022%3A265%3ATOC&uri=uriserv%3AOJ.L_ .2022.265.01.0001.01.ESP.

 

FORTALECIMIENTO DE LA INFRAESTRUCTURA ENERGÉTICA CRÍTICA CONTRA LAS AMENAZAS HÍBRIDAS - UNION EUROPEA

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com   

RESUMEN  

El aumento alarmante de las amenazas híbridas en suelo europeo ha explotado contundentemente las vulnerabilidades e interdependencias de la infraestructura crítica de la UE. Tales amenazas incluyen olas incesantes de ataques cibernéticos a nuestras entidades críticas y desafíos cada vez más intensos que surgen de los efectos en cascada del cambio climático y la pandemia de COVID-19. Los actores estatales y no estatales están empleando amenazas híbridas para desestabilizar nuestras sociedades, por ejemplo, a través de la coerción económica, las campañas de desinformación, la interferencia en nuestros procesos políticos y el abuso de los flujos migratorios. 

El objetivo general del estudio es fortalecer la resiliencia de la energía de defensa mediante la propuesta de un conjunto integral de medidas a nivel nacional y de la UE diseñadas para evaluar y mitigar las vulnerabilidades, optimizar las políticas y los procedimientos, y aprovechar las tecnologías y capacidades avanzadas para contrarrestar las amenazas híbridas de manera efectiva y holística. Al hacerlo, el estudio brinda a los Ministerios de Defensa y otras partes interesadas relevantes recomendaciones para fomentar la colaboración entre civiles y militares, aumentar la conciencia, compartir las mejores prácticas y crear sinergias para proyectos conjuntos para garantizar la resiliencia de la energía de defensa. Como subrayan los Estados miembros de la UE en la brújula estratégica de la UE para la seguridad y la defensa, todos estos esfuerzos fortalecerán nuestra solidaridad y asistencia mutua.

El texto integral en inglés, publicado en mayo de 2023, se encuentra en el siguiente enlace: https://eda.europa.eu/docs/default-source/brochures/eda-jrc-study_web-version.pdf

 A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com

___________________________________________________________.____

TRATAMIENTO DE DATOS PERSONALES POR LA AGENCIA FERROVIARIA DE LA UNIÓN EUROPEA.

   Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com   

RESUMEN  

La Decisión N° 253 del Consejo de Administración de la Agencia Ferroviaria de la Unión Europea comprende las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco de sus actividades en las que la Agencia puede limitar la aplicación de los artículos 4, 14 a 22, 35 y 36, de conformidad con el artículo 25 Limitaciones del Reglamento 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.^o 45/2001 y la Decisión n.^o 1247/2002/CE.

El articulo 1° Objeto y Ámbito de aplicación de la Decisión N° 253:

1. Establece las normas relativas a las condiciones en las que la Agencia puede limitar la aplicación de los artículos 4, 14 a 22, 35 y 36, de conformidad con el artículo 25 del Reglamento.

2. La Agencia, en su calidad de responsable del tratamiento, está representada por el director ejecutivo.

 A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com

___________________________________________________________.____

DECISIÓN N.O 253

del Consejo de Administración de la Agencia Ferroviaria de la Unión Europea relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco de las actividades realizadas por la Agencia Ferroviaria de la Unión Europea [2023/1585]

EL CONSEJO DE ADMINISTRACIÓN DE LA AGENCIA FERROVIARIA DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,

Visto el Reglamento (UE) 2016/796 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia Ferroviaria de la Unión Europea y por el que se deroga el Reglamento (CE) n.o 881/2004 (2),

Consultado el Supervisor Europeo de Protección de Datos,

Considerando lo siguiente:

(1)

La Agencia está facultada para llevar a cabo investigaciones administrativas, procedimientos predisciplinarios, disciplinarios y de suspensión, de conformidad con el Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión Europea, establecidos en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo («Estatuto de los funcionarios») (3), y con la Decisión de la Agencia, de 8 de julio de 2022, por la que se establecen disposiciones generales de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios. Si es necesario, también notifica los casos a la OLAF.

(2)

Los miembros del personal de la Agencia están obligados a informar sobre actividades potencialmente ilegales, en particular el fraude y la corrupción, que vayan en detrimento de los intereses de la Unión. Los miembros del personal también están obligados a comunicar las actuaciones relativas al cumplimiento de las obligaciones profesionales que puedan constituir un incumplimiento grave de las obligaciones de los funcionarios de la Unión, lo que está regulado por la Decisión de la Agencia sobre las normas internas relativas a la denuncia de irregularidades, de 15 de noviembre de 2018.

(3)

La Agencia ha puesto en marcha una política destinada a prevenir y tratar eficazmente los casos reales o potenciales de acoso psicológico o sexual en el lugar de trabajo, tal como se establece en la Decisión ERA-ED-690/2013, por la que se adoptan medidas de ejecución en virtud del Estatuto de los funcionarios. La Decisión establece un procedimiento informal por el que la presunta víctima del acoso puede ponerse en contacto con los consejeros «confidenciales» de la Agencia.

(4)	La Agencia también puede llevar a cabo investigaciones sobre posibles infracciones de las normas de seguridad de la información clasificada de la Unión Europea (ICUE), sobre la base de su política de información y TI por la que se adoptan las normas de seguridad para la protección de la ICUE.

(5)	Las actividades de la Agencia están sujetas a auditorías internas y externas.

(6)	En el contexto de tales investigaciones administrativas, auditorías e investigaciones, la Agencia coopera con otras instituciones, órganos y organismos de la Unión.

(7)	La Agencia puede cooperar con autoridades nacionales de terceros países y con organizaciones internacionales, ya sea a petición de estas o por propia iniciativa.

(8)	La Agencia también puede cooperar con las autoridades públicas de los Estados miembros de la UE, ya sea a petición de estas o por propia iniciativa.

(9)

La Agencia participa en los asuntos sometidos al Tribunal de Justicia de la Unión Europea cuando remite el asunto al Tribunal, defiende una decisión que ha adoptado y ha sido recurrida ante el Tribunal o interviene en asuntos relacionados con sus funciones. En este contexto, es posible que la Agencia tenga que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos por las partes o por las partes coadyuvantes.

(10)

Para desempeñar sus funciones, la Agencia recoge y trata información y varias categorías de datos personales, incluidos datos identificativos de personas físicas, información de contacto, datos sobre las funciones y tareas profesionales, información sobre la conducta y el rendimiento profesional y privado, y datos financieros. La Agencia actúa como responsable del tratamiento de los datos.

(11)	Con arreglo al Reglamento (UE) 2018/1725 («Reglamento»), la Agencia está, por tanto, obligada a facilitar información a los interesados sobre dichas actividades de tratamiento y a respetar sus derechos como titulares de datos.

(12)

La Agencia puede verse obligada a conciliar esos derechos con los objetivos de las investigaciones administrativas, las auditorías, las investigaciones y los procedimientos judiciales. También podría ser necesario buscar un equilibrio entre los derechos de un interesado y los derechos y libertades fundamentales de otros interesados. A tal fin, el artículo 25 del Reglamento ofrece a la Agencia la posibilidad de limitar, si se cumplen unas condiciones estrictas, la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento, y también del artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 20. A menos que se establezcan limitaciones en un acto jurídico adoptado sobre la base de los Tratados, es necesario adoptar normas internas con arreglo a las cuales la Agencia esté facultada para limitar esos derechos.

(13)

Es posible que la Agencia necesite, por ejemplo, limitar la información que proporciona a un interesado sobre el tratamiento de sus datos personales durante la fase de evaluación preliminar de una investigación administrativa o durante la propia investigación, antes de la posible desestimación del asunto o en la fase predisciplinaria. En determinadas circunstancias, facilitar dicha información podría afectar gravemente a la capacidad de la Agencia para llevar a cabo la investigación de manera eficaz, por ejemplo, cuando exista el riesgo de que la persona afectada pueda destruir pruebas o influir en posibles testigos antes de su declaración. Es posible que la Agencia también necesite proteger los derechos y libertades de los testigos, así como los de otras personas implicadas.

(14)

Podría ser necesario proteger el anonimato de aquellos testigos o denunciantes que hayan solicitado no ser identificados. En tal caso, la Agencia podría decidir limitar el acceso a la identidad, las declaraciones y otros datos personales de esas personas, a fin de proteger sus derechos y libertades.

(15)

Podría ser necesario proteger la información confidencial relativa a un miembro del personal que se haya puesto en contacto con consejeros confidenciales de la Agencia en el contexto de un procedimiento por acoso. En tales casos, la Agencia podría tener que limitar el acceso a la identidad, las declaraciones y otros datos personales de la presunta víctima, el presunto acosador y otras personas implicadas, con el fin de proteger los derechos y libertades de todos los afectados.

(16)	La Agencia solo debe aplicar limitaciones cuando estas respeten en lo esencial los derechos y las libertades fundamentales y sean una medida necesaria y proporcionada en una sociedad democrática. La Agencia deberá explicar las razones que justifiquen dichas limitaciones.

(17)	En aplicación del principio de rendición de cuentas, la Agencia debe llevar un registro de las limitaciones impuestas.

(18)

Al tratar los datos personales intercambiados con otras organizaciones en el marco de sus funciones, tanto la Agencia como dichas organizaciones se deben consultar mutuamente sobre los posibles motivos de imposición de limitaciones, así como sobre la necesidad y proporcionalidad de estas, a menos que ello ponga en peligro las actividades de la Agencia.

(19)	El artículo 25, apartado 6, del Reglamento obliga al responsable del tratamiento a informar a los interesados de las razones principales que justifican la limitación, así como de su derecho a presentar una reclamación ante el SEPD.

(20)

De conformidad con el artículo 25, apartado 8, del Reglamento, la Agencia podrá aplazar, omitir o denegar la comunicación de la información que justifica la limitación al interesado si dicha comunicación dejase sin efecto la limitación impuesta. La Agencia debe evaluar caso por caso si la comunicación de la limitación la deja sin efecto.

(21)	La Agencia debe levantar la limitación tan pronto como las condiciones que la justifiquen ya no sean aplicables y debe evaluar dichas condiciones de forma periódica.

(22)

A fin de garantizar la máxima protección de los derechos y libertades de los interesados y de conformidad con lo dispuesto en el artículo 44, apartado 1, del Reglamento, debe consultarse al delegado de protección de datos, en tiempo oportuno, cualquier limitación que pueda aplicarse y comprobar su conformidad con la presente Decisión.

(23)	El artículo 16, apartado 5, y el artículo 17, apartado 4, del Reglamento prevén excepciones al derecho a la información y al derecho de acceso de los interesados. Si resultan aplicables estas excepciones, la Agencia no necesitará aplicar una limitación con arreglo a la presente Decisión.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto y ámbito de aplicación

1.   La presente Decisión establece normas relativas a las condiciones en las que la Agencia puede limitar la aplicación de los artículos 4, 14 a 22, 35 y 36, de conformidad con el artículo 25 del Reglamento.

2.   La Agencia, en su calidad de responsable del tratamiento, está representada por el director ejecutivo.

Artículo 2

Limitaciones

1.   La Agencia podrá limitar la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento, y también del artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 20:

a)

de conformidad con el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento, al llevar a cabo investigaciones administrativas o procedimientos predisciplinarios, disciplinarios o de suspensión con arreglo al artículo 86 y el anexo IX del Estatuto de los funcionarios y a la Decisión n.o 297 del Consejo de Administración de la Agencia (4), y cuando se notifiquen los casos a la OLAF;

b)

de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que los miembros del personal de la Agencia puedan denunciar hechos de forma confidencial cuando consideren que existen irregularidades graves, tal como se establece en la Decisión n.o 183 del Consejo de Administración de la Agencia (5) sobre la denuncia de irregularidades y en la Decisión n.o 8 (6) sobre las investigaciones internas;

c)	de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, al garantizar que los miembros del personal de la Agencia puedan informar a los asesores confidenciales en el contexto de un procedimiento de acoso, tal como se define en la Decisión ERA-ED-690-2013 (7) de la Agencia;

d)	de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando lleve a cabo auditorías internas en relación con actividades o departamentos de la Agencia;

e)

de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento, cuando preste asistencia a otras instituciones, órganos y organismos de la Unión, cuando reciba asistencia de dichas instituciones, órganos y organismos o cuando coopere con estos en el contexto de las actividades contempladas en las letras a) a d) del presente apartado y con arreglo a los acuerdos de nivel de servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes;

f)

de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando preste asistencia a las autoridades nacionales y organizaciones internacionales de terceros países, cuando reciba asistencia de dichas autoridades y organizaciones o cuando coopere con estas, a petición de estas o por iniciativa propia;

g)	de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando presten asistencia a las autoridades públicas de los Estados miembros de la UE, cuando reciban asistencia de dichas autoridades o cuando cooperen con estas, ya sea a petición suya o por iniciativa propia;

h)	de conformidad con el artículo 25, apartado 1, letra e), del Reglamento, cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un recurso ante el Tribunal de Justicia de la Unión Europea.

2.   En una sociedad democrática, cualquier limitación deberá respetar la esencia de los derechos y libertades fundamentales y deberá ser necesaria y proporcionada.

3.   Se llevará a cabo una prueba de necesidad y proporcionalidad, caso por caso, antes de aplicar limitaciones. Las limitaciones se ajustarán a lo estrictamente necesario para alcanzar su objetivo.

4.   A efectos de rendición de cuentas, la Agencia llevará un registro en el que se describirán los motivos de las limitaciones aplicadas, los fundamentos que se aplican de entre los enumerados en el apartado 1 y el resultado de la prueba de necesidad y proporcionalidad. Estos documentos formarán parte de un registro, que se pondrá a disposición del SEPD a petición suya. La Agencia elaborará informes periódicos sobre la aplicación del artículo 25 del Reglamento.

5.   Al tratar los datos personales procedentes de otras organizaciones en el marco de sus funciones, la Agencia consultará a dichas organizaciones sobre los posibles motivos de imposición de limitaciones y sobre la necesidad y proporcionalidad de las limitaciones de que se trate, a menos que ello ponga en peligro las actividades de la Agencia.

Artículo 3

Riesgos para los derechos y libertades de los interesados

1.   Las evaluaciones de los riesgos para los derechos y libertades de los interesados que suponga la aplicación de limitaciones y los detalles sobre el período de aplicación de dichas limitaciones se harán constar en el registro de actividades de tratamiento llevado por la Agencia en virtud del artículo 31 del Reglamento. También se harán constar en todas las evaluaciones de impacto relativas a la protección de datos llevadas a cabo en relación con dichas limitaciones con arreglo al artículo 39 del Reglamento.

2.   Siempre que la Agencia evalúe la necesidad y proporcionalidad de una limitación, tendrá en cuenta los posibles riesgos para los derechos y libertades del interesado.

Artículo 4

Garantías y plazos de conservación

1.   La Agencia aplicará garantías para evitar accesos a datos personales o transferencias de datos personales ilícitos o abusivos en relación con los cuales se apliquen o puedan aplicarse limitaciones. Tales garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de aplicación internas de la Agencia. Estas garantías incluirán lo siguiente:

a)	una definición clara de las funciones, responsabilidades y etapas del procedimiento;

b)	cuando proceda, un entorno electrónico seguro que impida el acceso ilícito y accidental a los datos electrónicos o la transferencia ilícita o accidental de datos electrónicos a personas no autorizadas;

c)	cuando proceda, un almacenamiento y un tratamiento seguro de los documentos en soporte papel;

d)	la debida supervisión de las limitaciones y la revisión periódica de su aplicación.

2.   Las revisiones mencionadas en la letra d) se llevarán a cabo al menos cada seis meses.

3.   Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hubieran justificado.

4.   Los datos personales se conservarán de acuerdo con las normas de conservación aplicables de la Agencia, que se definirán en los registros de protección de datos llevados conforme al artículo 31 del Reglamento. Al finalizar el período de conservación, los datos personales se suprimirán, se anonimizarán o se transferirán a los archivos contemplados en el artículo 13 del Reglamento.

Artículo 5

Participación del delegado de protección de datos

1.   Cuando los derechos de los interesados estén limitados de conformidad con la presente Decisión, se informará de ello sin demora al delegado de protección de datos de la Agencia. Se le dará acceso a los registros correspondientes y a todos los documentos relativos al contexto fáctico o jurídico.

2.   El delegado de protección de datos de la Agencia podrá solicitar que se revisen las limitaciones aplicadas. La Agencia informará por escrito del resultado de la revisión a su delegado de protección de datos.

3.   La Agencia documentará la participación del delegado de protección de datos en la aplicación de las limitaciones, incluida la información que se comparta con él.

Artículo 6

Información dirigida a los interesados sobre las limitaciones de sus derechos

1.   La Agencia incluirá una sección, en los avisos de protección de datos publicados en su sitio web o intranet, donde proporcione información general a los interesados sobre la posible limitación de sus derechos, de conformidad con el artículo 2, apartado 1. Esta información cubrirá los derechos que pueden ser objeto de limitaciones, los motivos por los que pueden aplicarse las limitaciones y su posible duración.

2.   La Agencia informará a los interesados, individualmente, por escrito y sin demora injustificada, de las limitaciones actuales o futuras de sus derechos. La Agencia informará al interesado de las razones principales que justifican la aplicación de la limitación, de su derecho a consultar al delegado de protección de datos con el fin de impugnar la limitación y de su derecho a presentar una reclamación ante el SEPD.

3.   La Agencia podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso. Tan pronto como dicha comunicación de información deje de anular el efecto de la limitación, la Agencia facilitará la información al interesado.

Artículo 7

Comunicación de una violación de la seguridad de los datos personales al interesado

1.   Cuando la Agencia tenga la obligación de comunicar una violación de la seguridad de los datos con arreglo al artículo 35, apartado 1, del Reglamento, podrá, en casos excepcionales, limitar dicha comunicación total o parcialmente. La Agencia documentará en una nota los motivos de la limitación, su fundamento jurídico de conformidad con el artículo 2 y una evaluación de su necesidad y proporcionalidad. La nota se comunicará al SEPD en el momento en que se notifique la violación de la seguridad de los datos personales.

2.   Cuando dejen de ser aplicables las razones de la limitación, la Agencia comunicará al interesado la violación de la seguridad de los datos personales y le informará de los motivos principales de la limitación, así como de su derecho a presentar una reclamación ante el SEPD.

Artículo 8

Confidencialidad de las comunicaciones electrónicas

1.   En circunstancias excepcionales, la Agencia podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas previsto en el artículo 36 del Reglamento. Dichas limitaciones se ajustarán a lo dispuesto en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (8).

2.   Sin perjuicio de lo estipulado en el artículo 8, apartado 3, en caso de que la Agencia limite el derecho a la confidencialidad de las comunicaciones electrónicas, deberá informar al interesado, en su respuesta a cualquier solicitud procedente de este, de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD.

Artículo 9

Entrada en vigor

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Por el Consejo de Administración, 17 de febrero de 2021.

La Presidenta

Clio LIÉGEOIS

---

(1)  DO L 295 de 21.11.2018, p. 39.

(2)  . DO L 138 de 26.5.2016, p. 1, en lo sucesivo, «Reglamento de la Agencia».

(3)  Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).

(4)  Decisión n.o 297 del Consejo de Administración de la Agencia de la Unión Europea por la que se establecen disposiciones generales de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios, de 8 de julio de 2022.

(5)  Decisión n.o 183 del Consejo de Administración de la Agencia Ferroviaria de la Unión Europea sobre las directrices relativas a la denuncia de irregularidades, de 15 de noviembre de 2018.

(6)  Decisión n.o 8 del Consejo de Administración de la Agencia Ferroviaria Europea sobre las condiciones y modalidades de las investigaciones internas en materia de lucha contra el fraude, la corrupción y toda actividad ilegal que vaya en detrimento de los intereses de las Comunidades, de 17 de octubre de 2006.

(7)  Decisión n.o 690/2013 de la Agencia Ferroviaria Europea sobre la política de protección de la dignidad de la persona y la prevención del acoso psicológico y sexual.

(8)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).