Inicio
Legislación

Decisión n.º 20/2022 del Consejo de Administración de la ALE de 24 de noviembre de 2022 relativa a las normas internas para limitar determinados derechos de los interesados en relación con el tratamiento de datos personales en el contexto de las actividades llevadas a cabo por la Autoridad Laboral Europea (2023/C 113/10), - Diario Oficial de la Unión Europea, de 28-03-2023

nuevo

GPT Iberley IA

Copiloto jurídico

Ambito: DOUE

Órgano emisor: AUTORIDAD LABORAL EUROPEA

Boletín: Diario Oficial de la Unión Europea Número 113

F. Publicación: 28/03/2023

Documento oficial en PDF: Enlace

Esta norma es una reproducción del texto publicado en el Diario Oficial de la Unión Europea Número 113 de 28/03/2023 y no contiene posibles reformas posteriores

DECISIÓN n.o 20/2022 DEL CONSEJO DE ADMINISTRACIÓN DE LA ALE

de 24 de noviembre de 2022

relativa a las normas internas para limitar determinados derechos de los interesados en relación con el tratamiento de datos personales en el contexto de las actividades llevadas a cabo por la Autoridad Laboral Europea

(2023/C 113/10)

EL CONSEJO DE ADMINISTRACIÓN DE LA AUTORIDAD LABORAL EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1) [en lo sucesivo, «Reglamento (UE) 2018/1725» o «Reglamento»], y en particular su artículo 25,

Visto el Reglamento (UE) 2019/1149 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por el que se crea la Autoridad Laboral Europea, se modifican los Reglamentos (CE) n.o 883/2004, (UE) n.o 492/2011 y (UE) 2016/589 y se deroga la Decisión (UE) 2016/344 (2) («Reglamento de base»), y en particular su artículo 36,

Tras haber consultado al Supervisor Europeo de Protección de Datos,

Considerando lo siguiente:

(1)

La Autoridad Laboral Europea (en lo sucesivo, «ALE») está facultada para llevar a cabo investigaciones administrativas y procedimientos predisciplinarios, disciplinarios y de suspensión, de conformidad con el Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión Europea, establecidos en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (3) («Estatuto de los funcionarios») y con la Decisión n.o 22/2021 del Consejo de Administración de la ALE, de 10 de noviembre de 2021, relativa a las condiciones de las investigaciones internas en la Autoridad Laboral Europea en relación con la prevención del fraude, la corrupción y cualquier actividad ilegal que vaya en detrimento de los intereses de la Unión por la que se adoptan disposiciones de aplicación relativas a la realización de investigaciones administrativas y procedimientos disciplinarios. En caso necesario, también notifica los casos a la OLAF.

(2)

La ALE está facultada para coordinar y apoyar inspecciones concertadas y conjuntas en los ámbitos que sean competencia de la Autoridad, de conformidad con los artículos 8 y 9 del Reglamento de base.

Además, la Autoridad también puede proponer, por propia iniciativa, a las autoridades de los Estados miembros afectados que lleven a cabo una inspección concertada o conjunta.

(3)

Los miembros del personal de la ALE están obligados a informar sobre actividades potencialmente ilegales, incluidos el fraude y la corrupción, que vayan en detrimento de los intereses de la Unión. El personal también está obligado a comunicar las actuaciones relativas al cumplimiento de las obligaciones profesionales que puedan constituir un incumplimiento grave de las obligaciones de los funcionarios de la Unión. Así se establece en la Decisión n.o 11/2021, de 25 de mayo de 2021, del Consejo de Administración de la ALE.

(4)

La ALE ha puesto en marcha una política para prevenir y tratar eficazmente los casos reales o potenciales de acoso psicológico o sexual en el lugar de trabajo, tal como se establece en su Decisión n.o 6/2022, de 15 de marzo de 2022, del Consejo de Administración de la ALE por la que se adoptan medidas de ejecución de conformidad con el Estatuto de los funcionarios.

La Decisión establece un procedimiento informal por el que la presunta víctima del acoso puede ponerse en contacto con los «asesores confidenciales» de la ALE.

(5)

La ALE también puede llevar a cabo investigaciones sobre posibles infracciones de las normas de seguridad aplicables a la información sensible no clasificada de la Unión Europea, sobre la base del artículo 38 del Reglamento de base.

(6)

La ALE está sujeta a auditorías internas y externas en relación con sus actividades.

(7)

En el contexto de tales investigaciones, auditorías e investigaciones administrativas, la ALE coopera con otras instituciones, órganos, oficinas y agencias de la Unión.

(8)

La ALE puede cooperar con las autoridades nacionales y organizaciones internacionales de terceros países, ya sea a petición suya o por propia iniciativa. En el caso particular de las inspecciones concertadas o conjuntas, a petición de uno o más Estados miembros o por propia iniciativa, la Autoridad coordinará y apoyará inspecciones concertadas o conjuntas en los ámbitos de competencia de la Autoridad a fin de alcanzar los objetivos establecidos en el Reglamento de base y sin perjuicio de la competencia de los Estados miembros y de las instituciones de la Unión.

(9)

La ALE también puede cooperar con las autoridades públicas de los Estados miembros de la UE, ya sea a petición suya o por propia iniciativa. En el caso particular de las inspecciones concertadas o conjuntas, a petición de uno o más Estados miembros o por propia iniciativa, la Autoridad coordinará y apoyará inspecciones concertadas o conjuntas en los ámbitos de competencia de la Autoridad a fin de alcanzar los objetivos establecidos en el Reglamento de base y sin perjuicio de la competencia de los Estados miembros y de las instituciones de la Unión.

(10)

La ALE participa en los asuntos sometidos al Tribunal de Justicia de la Unión Europea ya sea cuando remite el asunto al Tribunal de Justicia, cuando defiende una decisión que ha adoptado y que ha sido recurrida ante el Tribunal de Justicia, o cuando interviene en asuntos relacionados con sus funciones. En este contexto, la ALE puede tener que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos por las partes o por las partes coadyuvantes.

(11)

Para desempeñar sus funciones, la ALE recoge y trata información y varias categorías de datos personales, incluidos los datos de identificación de personas físicas, la información de contacto, las funciones y tareas profesionales, la información sobre la conducta y el rendimiento profesionales y privados, y los datos financieros. La ALE, en su calidad de responsable del tratamiento de datos, está representada por su director ejecutivo, con independencia de otras delegaciones de la función de responsable del tratamiento dentro de la ALE para reflejar las responsabilidades operativas de operaciones específicas de tratamiento de datos personales.

(12)

Por lo tanto, con arreglo al Reglamento (UE) 2018/1725, la ALE está obligada a facilitar información a los interesados sobre dichas actividades de tratamiento y a respetar sus derechos como interesados.

(13)

La ALE puede verse obligada a conciliar esos derechos con los objetivos de las investigaciones administrativas, las auditorías, las investigaciones, las inspecciones concertadas y conjuntas y los procedimientos judiciales. También puede ser necesario equilibrar los derechos de un interesado frente a los derechos y libertades fundamentales de otros interesados. A tal fin, el artículo 25 del Reglamento (UE) 2018/1725 ofrece a la ALE la posibilidad de limitar, bajo condiciones estrictas, la aplicación de los artículos 14 a 22, 35 y 36, del Reglamento, y también del artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 20. A menos que se establezcan limitaciones en un acto jurídico adoptado sobre la base de los Tratados, es necesario adoptar normas internas con arreglo a las cuales la ALE tenga derecho a limitar esos derechos.

(14)

Por ejemplo, la ALE puede tener que limitar la información que proporciona a un interesado sobre el tratamiento de sus datos personales durante la fase de evaluación preliminar de una investigación administrativa o durante la propia investigación, antes de la posible desestimación del asunto o en la fase predisciplinaria. En determinadas circunstancias, facilitar dicha información podría afectar gravemente a la capacidad de la ALE para llevar a cabo la investigación de manera eficaz, por ejemplo, cuando exista el riesgo de que la persona afectada pueda destruir pruebas o interferir con posibles testigos antes de su declaración. La ALE también puede tener que proteger los derechos y libertades de los testigos, así como los de otras personas implicadas.

(15)

Podría ser necesario proteger el anonimato de aquellos testigos o denunciantes que hayan solicitado no ser identificados. En tal caso, la ALE podría decidir limitar el acceso a la identidad, las declaraciones y otros datos personales de esas personas, a fin de proteger sus derechos y libertades.

(16)

Podría ser necesario proteger la información confidencial relativa a un miembro del personal que se haya puesto en contacto con «asesores confidenciales» de la ALE en el contexto de un procedimiento por acoso. En tales casos, la ALE podría tener que limitar el acceso a la identidad, las declaraciones y otros datos personales de la presunta víctima, el presunto acosador y otras personas implicadas, con el fin de proteger los derechos y libertades de todos los interesados.

(17)

La ALE aplicará limitaciones solo cuando estas respeten la esencia de los derechos y libertades fundamentales, sean estrictamente necesarias, y constituyan una medida proporcionada en una sociedad democrática. La ALE deberá explicar las razones que justifican dichas limitaciones.

(18)

En aplicación del principio de responsabilidad, la ALE debe llevar un registro de las limitaciones impuestas.

(19)

Al tratar los datos personales intercambiados con otras organizaciones en el marco de sus funciones, tanto la ALE como dichas organizaciones se consultarán mutuamente sobre los posibles motivos de imposición de limitaciones, así como sobre la necesidad y proporcionalidad de estas, a menos que ello ponga en peligro las actividades de la ALE.

(20)

El artículo 25, apartado 6, del Reglamento obliga al responsable del tratamiento a informar a los interesados de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD.

(21)

De conformidad con el artículo 25, apartado 8, del Reglamento, la ALE podrá aplazar, omitir o denegar la comunicación de la información que justifica la limitación al interesado si dicha comunicación dejase sin efecto la limitación impuesta. La ALE evaluará caso por caso si la comunicación de la limitación la deja sin efecto.

(22)

La ALE levantará la limitación tan pronto como las condiciones que la justifiquen ya no sean aplicables, y evaluará dichas condiciones de forma periódica.

(23)

A fin de garantizar la máxima protección de los derechos y libertades de los interesados y de conformidad con lo dispuesto en el artículo 44, apartado 1, del Reglamento, debe consultarse al DPD de la ALE a su debido tiempo cualquier limitación que pueda aplicarse y comprobar su conformidad con la presente Decisión.

(24)

El artículo 16, apartado 5, y el artículo 17, apartado 4, del Reglamento prevén excepciones al derecho a la información y al derecho de acceso de los interesados. Si se aplican estas excepciones, no es necesario que la ALE aplique una limitación con arreglo a la presente Decisión.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto y ámbito de aplicación

1. La presente Decisión establece normas relativas a las condiciones en las que la ALE puede limitar la aplicación de los artículos 4, 14 a 22, 35 y 36, de conformidad con el artículo 25 del Reglamento.

2. La ALE, en su calidad de responsable del tratamiento, estará representada por su director ejecutivo.

Artículo 2

Limitaciones

1. La ALE podrá limitar la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 20:

a)

de conformidad con el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento, al llevar a cabo investigaciones administrativas o procedimientos predisciplinarios, disciplinarios o de suspensión con arreglo al artículo 86 y el anexo IX del Estatuto de los funcionarios y a la Decisión n.o 22/2021, de 10 de noviembre de 2021, del Consejo de Administración de la ALE, relativa a las condiciones de las investigaciones internas en la Autoridad Laboral Europea en relación con la prevención del fraude, la corrupción y cualquier actividad ilegal que vaya en detrimento de los intereses de la Unión, y cuando se notifiquen los casos a la OLAF;

b)

de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que los miembros del personal de la ALE puedan denunciar hechos de forma confidencial cuando consideren que existen graves irregularidades, tal como se establece en la Decisión n.o 11/2021 del Consejo de Administración de la ALE, de 25 de mayo de 2021;

c)

de conformidad con el artículo 25, apartado 1, letra h), del Reglamento, a la hora de garantizar que los miembros del personal de la ALE puedan informar a los «asesores confidenciales» en el contexto de un procedimiento de acoso, tal como se define en la Decisión n.o 6/2022, de 15 de marzo de 2022, del Consejo de Administración de la ALE por la que se adoptan medidas de ejecución de conformidad con el Estatuto de los funcionarios;

d)

de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, al realizar auditorías internas en relación con actividades o departamentos de la ALE, las investigaciones llevadas a cabo por el delegado de protección de datos de conformidad con el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y las investigaciones de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE);

e)

de conformidad con el artículo 25, apartado 1, letras b, c), d), g) y h), del Reglamento, cuando presten asistencia a otras instituciones, organismos, oficinas y agencias de la Unión, cuando reciban asistencia de dichas instituciones, organismos, oficinas y agencias o cuando cooperen con ellas en el contexto de las actividades contempladas en las letras a) a d) del presente apartado, en particular las inspecciones concertadas y conjuntas, y con arreglo a los acuerdos de nivel servicio, memorandos de entendimiento y acuerdos de inspecciones concertadas y conjuntas y de cooperación pertinentes;

f)

de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento, cuando presten asistencia a las autoridades nacionales y organizaciones internacionales de terceros países, cuando reciban asistencia de dichas autoridades y organizaciones o cuando cooperen con estas, a petición de estas o por iniciativa propia;

g)

de conformidad con el artículo 25, apartado 1, letras b), c), g) y h), del Reglamento, cuando presten asistencia a las autoridades públicas de los Estados miembros de la UE, cuando reciban asistencia de dichas autoridades o cuando cooperen con estas, ya sea a petición suya o por iniciativa propia, en particular para inspecciones concertadas y conjuntas;

h)

de conformidad con el artículo 25, apartado 1, letra e), del Reglamento, cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea.

2. Cualquier limitación respetará la esencia de los derechos y libertades fundamentales y será necesaria y proporcionada en una sociedad democrática.

3. Se llevará a cabo una prueba de necesidad y proporcionalidad, caso por caso, antes de aplicar limitaciones. Las limitaciones se ceñirán a lo estrictamente necesario para alcanzar su objetivo.

4. A efectos de rendición de cuentas, la ALE elaborará un registro en el que se describirán los motivos de las limitaciones aplicadas, los fundamentos enumerados en el apartado 1 que se aplican y el resultado de la prueba de necesidad y proporcionalidad. Dichos registros formarán parte de un registro, que se pondrá a disposición del SEPD a petición suya. La ALE elaborará informes periódicos sobre la aplicación del artículo 25 del Reglamento.

5. Al tratar los datos personales procedentes de otras organizaciones en el contexto de sus funciones, la ALE consultará a dichas organizaciones sobre los posibles motivos de imposición de limitaciones y sobre la necesidad y proporcionalidad de las limitaciones de que se trate, a menos que ello ponga en peligro las actividades de la ALE.

Artículo 3

Riesgos para los derechos y libertades de los interesados

1. Las evaluaciones de los riesgos para los derechos y libertades de los interesados que supongan la aplicación de limitaciones y los detalles sobre el período de aplicación de dichas limitaciones se harán constar en el registro de actividades de tratamiento mantenido por la ALE en virtud del artículo 31 del Reglamento. También se harán constar en todas las evaluaciones de impacto de protección de datos relativas dichas limitaciones llevadas a cabo con arreglo al artículo 39 del Reglamento.

2. Siempre que la ALE evalúe la necesidad y proporcionalidad de una limitación, tendrá en cuenta los posibles riesgos para los derechos y libertades del interesado.

Artículo 4

Garantías y plazos de conservación

1. La ALE aplicará garantías para evitar los abusos y el acceso o transferencia ilícita de datos personales respecto de los cuales se apliquen o puedan aplicarse limitaciones. Tales garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de ejecución internos de la ALE. Estas garantías incluirán:

a)

una definición clara de las funciones, responsabilidades y etapas del procedimiento;

b)

en su caso, un entorno electrónico seguro que impida el acceso o la transferencia ilícitos y accidentales de datos electrónicos a personas no autorizadas;

c)

en su caso, un almacenamiento y tratamiento seguros de los documentos en soporte papel;

d)

las garantías deberán incluir la debida supervisión de las limitaciones y la revisión periódica de su aplicación.

Las revisiones mencionadas en la letra d) se llevarán a cabo al menos cada seis meses.

2. Las limitaciones se levantarán tan pronto como dejen de existir las circunstancias que las justifiquen.

3. Los datos personales se conservarán de conformidad con las normas de conservación aplicables que se definan en los registros de protección de datos mantenidos con arreglo al artículo 31 del Reglamento.

Al final del período de conservación, los datos personales se suprimirán, se anonimizarán o se transferirán a los archivos de conformidad con el artículo 13 del Reglamento.

Artículo 5

Participación del delegado de protección de datos

1. Se informará al DPD de la ALE sin demora indebida antes de que se adopte cualquier decisión de limitar los derechos de los interesados de conformidad con la presente Decisión. El DPD de la ALE dará acceso a los registros correspondientes y a todos los documentos relativos al contexto fáctico o jurídico.

2. El DPD de la ALE podrá solicitar que se revisen las limitaciones aplicadas. La ALE informará por escrito a su DPD del resultado de la revisión.

3. La ALE documentará la participación del DPD en la aplicación de las limitaciones, incluida la información que se comparta con él.

4. El responsable del tratamiento notificará al RPD el levantamiento de las limitaciones.

Artículo 6

Derecho a la información

1. En los casos debidamente justificados y en las condiciones estipuladas en la presente decisión, el responsable del tratamiento podrá limitar el derecho a la información en el contexto de las siguientes operaciones de tratamiento:

a)

la realización de investigaciones administrativas y los procedimientos predisciplinarios y disciplinarios;

b)

las actividades relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)

los procedimientos de denuncia de irregularidades;

d)

los procedimientos (formales e informales) en casos de acoso;

e)

las tramitaciones de quejas internas y externas;

f)

las auditorías internas y externas;

g)

las inspecciones concertadas y conjuntas, cuando se preste asistencia a las autoridades públicas de los Estados miembros de la UE, cuando se reciba asistencia de dichas autoridades o cuando se coopere con estas, ya sea a petición suya o por propia iniciativa de la ALE;

h)

las investigaciones emprendidas por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

i)

las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE);

j)

cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea.

En los avisos de protección de datos, las declaraciones de confidencialidad o los registros, en el sentido del artículo 31 del Reglamento (UE) 2018/1725, publicados en el sitio web o en la intranet, donde se informe a los interesados de sus derechos en el marco de determinado procedimiento, la ALE incluirá información sobre la posible limitación de dichos derechos. Esta información abarcará los derechos que pueden limitarse, las razones de la limitación y la posible duración de esta.

2. Sin perjuicio de lo dispuesto en el apartado 1, cuando resulte proporcionado, la ALE también notificará de manera individualizada a todos los titulares de datos que se consideren interesados en la operación de tratamiento concreta sobre cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.

3. Cuando la ALE limite, de forma total o parcial, la comunicación de información a los interesados a que se refiere el apartado 2, hará constar los motivos de la limitación y el fundamento jurídico con arreglo al artículo 2 de la presente Decisión, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.

La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.

4. La limitación a que se refiere el apartado 1 seguirá en vigor mientras los motivos que la justifiquen sigan siendo aplicables.

Cuando los motivos que justifiquen la limitación dejen de ser aplicables, la ALE informará al interesado de los principales motivos en que se haya basado la aplicación de la limitación. Al mismo tiempo, la ALE informará al interesado del derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o a interponer un recurso ante el Tribunal de Justicia de la Unión Europea.

Artículo 7

Derecho de acceso del interesado

1. En los casos debidamente justificados y en las condiciones dispuestas en la presente decisión, el responsable del tratamiento podrá limitar el derecho de acceso, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

a)

la realización de investigaciones administrativas y los procedimientos disciplinarios;

b)

las actividades relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)

los procedimientos de denuncia de irregularidades;

d)

los procedimientos (formales e informales) en casos de acoso;

e)

las tramitaciones de quejas internas y externas;

f)

las auditorías internas y externas;

g)

las inspecciones concertadas y conjuntas, cuando se preste asistencia a las autoridades públicas de los Estados miembros de la UE, cuando se reciba asistencia de dichas autoridades o cuando se coopere con estas, ya sea a petición suya o por propia iniciativa de la ALE;

h)

las investigaciones emprendidas por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

i)

las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE);

j)

cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea.

Cuando los interesados soliciten acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una operación de tratamiento determinada, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, la ALE circunscribirá su evaluación de la solicitud únicamente a dichos datos personales.

2. Cuando la ALE limite, en su totalidad o en parte, el derecho de acceso a que se refiere el artículo 17 del Reglamento (UE) 2018/1725, deberá adoptar las medidas siguientes:

a)

informará al interesado, en su respuesta a la solicitud, de la limitación y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea;

b)

documentará en una nota interna de evaluación los motivos de la limitación, incluida una evaluación de la necesidad, la proporcionalidad y la duración de la limitación.

La comunicación de la información mencionada en la letra a) podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.

La ALE revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación. Posteriormente, el responsable del tratamiento deberá supervisar anualmente la necesidad de mantener cualquier limitación.

3. La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.

Artículo 8

Derecho de rectificación, supresión y limitación del tratamiento de datos

1. En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de rectificación, supresión y limitación, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

a)

la realización de investigaciones administrativas y los procedimientos disciplinarios;

b)

las actividades relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)

los procedimientos de denuncia de irregularidades;

d)

los procedimientos (formales e informales) en casos de acoso;

e)

las tramitaciones de quejas internas y externas;

f)

las auditorías internas y externas;

g)

las inspecciones concertadas y conjuntas, cuando se preste asistencia a las autoridades públicas de los Estados miembros de la UE, cuando se reciba asistencia de dichas autoridades o cuando se coopere con estas, ya sea a petición suya o por propia iniciativa de la ALE;

h)

las investigaciones emprendidas por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

i)

las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE);

j)

cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un procedimiento sometido al Tribunal de Justicia de la Unión Europea.

2. Cuando la ALE limite, de forma total o parcial, la aplicación del derecho a la rectificación, supresión o limitación del tratamiento a que se refieren el artículo 18, el artículo 19, apartado 1; y el artículo 20, apartado 1, del Reglamento (UE) 2018/1725, adoptará las medidas contempladas en el artículo 6, apartado 2, de la presente Decisión y las consignará de conformidad con lo dispuesto en su artículo 6, apartado 3.

Artículo 9

Información dirigida a los interesados sobre las limitaciones de sus derechos

La ALE podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso. Tan pronto como la acción deje de anular el efecto de la limitación, la ALE facilitará la información al interesado.

Artículo 10

Comunicación de una violación de la seguridad de los datos personales al interesado

1. Cuando la ALE tenga la obligación de comunicar una violación de datos con arreglo al artículo 35, apartado 1, del Reglamento, podrá, en casos excepcionales, limitar dicha comunicación total o parcialmente. La ALE documentará en una nota los motivos de la limitación, su fundamento jurídico de conformidad con el artículo 2 y una evaluación de su necesidad y proporcionalidad. La nota se comunicará al SEPD en el momento en que se notifique la violación de datos personales.

2. Cuando dejen de ser aplicables las razones de la limitación, la ALE comunicará al interesado la violación de la seguridad de los datos personales y le informará de los motivos principales de la limitación, así como de su derecho a presentar una reclamación ante el SEPD.

Artículo 11

Confidencialidad de las comunicaciones electrónicas

1. En circunstancias excepcionales, la ALE podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas con arreglo al artículo 36 del Reglamento. Dichas limitaciones se ajustarán a lo dispuesto en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (4).

2. En caso de que la ALE limite el derecho a la confidencialidad de las comunicaciones electrónicas, deberá informar al interesado, en su respuesta a cualquier solicitud procedente de este, de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD.

3. La ALE podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso.

Artículo 12

Entrada en vigor

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bratislava, el 24 de noviembre de 2022.

Por el Consejo de Administración

Tom BEVERS

Presidente del Consejo de Administración

(1) DO L 295 de 21.11.2018, p. 39.

(2) DO L 186 de 11.7.2019, p. 21.

(3) Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión (DO L 56 de 4.3.1968, p. 1).

(4) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).