Decisión n.º 18/2023 del Consejo de Administración de la Empresa Común para las Redes y los Servicios Inteligentes, de 11 de octubre de 2023, por la que se establecen las normas internas relativas a la limitación de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la Empresa Común para las Redes y los Servicios Inteligentes [2023/2511], - Diario Oficial de la Unión Europea, de 14-11-2023

DECISIÓN n.º 18/2023 DEL CONSEJO DE ADMINISTRACIÓN DE LA EMPRESA COMÚN PARA LAS REDES Y LOS SERVICIOS INTELIGENTES

de 11 de octubre de 2023

por la que se establecen las normas internas relativas a la limitación de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la Empresa Común para las Redes y los Servicios Inteligentes [2023/2511]

EL CONSEJO DE ADMINISTRACIÓN,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (1) [«el Reglamento (UE) 2018/1725»], y en particular su artículo 25,

Visto el Reglamento (UE) 2021/2085 del Consejo, de 19 de noviembre de 2021, por el que se establecen las empresas comunes en el marco de Horizonte Europa y se derogan los Reglamentos (CE) n.º 219/2007, (UE) n.º 557/2014, (UE) n.º 558/2014, (UE) n.º 559/2014, (UE) n.º 560/2014, (UE) n.º 561/2014 y (UE) n.º 642/2014 (2) (en lo sucesivo, «Reglamento de base»), y, en particular, la Empresa Común para las Redes y los Servicios Inteligentes (en lo sucesivo, «la Empresa Común SNS»),

Visto el Documento de orientación del Supervisor Europeo de Protección de Datos (SEPD) sobre el artículo 25 del Reglamento (UE) 2018/1725 y las normas internas, de 24 de junio de 2020 (3),

Previa consulta al SEPD el 13 de junio de 2023, con arreglo a lo dispuesto en el artículo 41, apartado 2, del Reglamento (UE) 2018/1725,

Vistas las recomendaciones del SEPD de 19 de junio de 2023,

Previa información al personal de la Empresa Común SNS,

CONSIDERANDO LO SIGUIENTE:

1)Solo los actos jurídicos adoptados en virtud de los Tratados permiten limitar los derechos de los interesados. Cuando dichas limitaciones no puedan fundamentarse en actos jurídicos adoptados con arreglo a los Tratados, el Reglamento (UE) 2018/1725 contempla la posibilidad de incluir limitaciones en cuestiones relacionadas con el funcionamiento de la Empresa Común SNS por medio de normas internas, tras la evaluación de la necesidad y la proporcionalidad de dichas limitaciones.

2)De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que establecen los artículos 14 a 20, deberían basarse en normas internas adoptadas por la Empresa Común SNS.

3)En el marco de su funcionamiento administrativo, la Empresa Común SNS puede realizar investigaciones administrativas, tramitar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la Oficina Europea de Lucha contra el Fraude (OLAF), tramitar casos de denuncia de irregularidades, tramitar procedimientos (formales e informales) en casos de acoso, tramitar quejas internas y externas, realizar auditorías internas, emprender investigaciones a través del delegado de protección de datos (SEPD) en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y llevar a cabo investigaciones internas sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-EU);

4)La Empresa Común SNS también puede llevar a cabo investigaciones sobre posibles infracciones de las normas de seguridad de la información clasificada de la Unión Europea (ICUE), sobre la base de la Decisión que tiene previsto adoptar en lo relativo a sus normas de seguridad para la protección de la ICUE.

5)En el contexto de tales investigaciones administrativas, auditorías e investigaciones, la Empresa Común SNS coopera con otras instituciones, órganos y organismos de la Unión.

6)La Empresa Común SNS puede cooperar con autoridades nacionales de terceros países y con organizaciones internacionales, ya sea a petición de estas o por propia iniciativa.

7)La Empresa Común SNS también puede cooperar con las autoridades públicas de los Estados miembros de la UE, ya sea a petición de estas o por propia iniciativa.

8)La Empresa Común SNS participa en los asuntos sometidos al Tribunal de Justicia de la Unión Europea cuando remite el asunto al Tribunal, defiende una decisión que ha adoptado y ha sido recurrida ante el Tribunal o interviene en asuntos relacionados con sus funciones. En este contexto, es posible que la Empresa Común SNS tenga que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos por las partes o por las partes coadyuvantes.

9)Para el cumplimiento de sus funciones, la Empresa Común SNS recopila y trata diversas categorías de datos personales, como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos; y datos relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos (4).

10)La Empresa Común SNS, representada por su director ejecutivo, actúa como responsable del tratamiento de datos.

11)Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide el acceso ilícito a personas que no tengan un derecho lícito a conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados no se conservan durante un tiempo superior al necesario y adecuado para los fines para los que se hubieran tratado durante el período especificado en los avisos de protección de datos, las declaraciones de confidencialidad o los registros de la Empresa Común SNS.

12)Con arreglo al Reglamento (UE) 2018/1725, la Empresa Común SNS está, por tanto, obligada a facilitar información a los interesados sobre dichas actividades de tratamiento y a respetar sus derechos como titulares de datos.

13)La Empresa Común SNS puede verse obligada a conciliar esos derechos con los objetivos de las investigaciones administrativas, las auditorías, las investigaciones y los procedimientos judiciales. También podría ser necesario buscar un equilibrio entre los derechos de un interesado y los derechos y libertades fundamentales de otros interesados. A tal fin, el artículo 25 del Reglamento (UE) 2018/1725 ofrece a la Empresa Común SNS la posibilidad de limitar, bajo condiciones estrictas, la aplicación de los artículos 14 a 22, 35 y 36, del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20.

14)Las normas internas deberían aplicarse a dichas operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente, durante estos y durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos y durante todo el período en el que la limitación siga aplicándose. También deberían ser aplicables a la asistencia y la cooperación prestadas por la Empresa Común SNS a las autoridades nacionales y las organizaciones internacionales al margen de sus propias investigaciones administrativas.

15)En los casos en que resulten aplicables estas normas internas, la Empresa Común SNS deberá justificar que las limitaciones son estrictamente necesarias y proporcionadas en una sociedad democrática y que respetan el contenido esencial de los derechos y las libertades fundamentales.

16)En este contexto, la Empresa Común SNS ha de respetar, ateniéndose plenamente a los actos legislativos y orientaciones pertinentes, los derechos fundamentales de los interesados durante los procedimientos citados, en particular los relativos a la comunicación de información, el derecho de acceso, de rectificación y de supresión, el derecho a la limitación del tratamiento, a la comunicación de una violación de la seguridad de los datos personales al interesado o a la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725.

17)Sin embargo, la Empresa Común SNS puede verse obligada a limitar la comunicación de información a los interesados y otros derechos de los interesados para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones o con los procedimientos de otro tipo que se lleven a cabo.

18)Cuando estudie la posibilidad de aplicar una limitación, la Empresa Común SNS sopesará el riesgo para los derechos y las libertades del interesado, en particular, con respecto al riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por la Empresa Común SNS, por ejemplo, por la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.

19)En consecuencia, la Empresa Común SNS puede limitar la información a efectos de proteger la investigación y los derechos y libertades fundamentales de otros interesados.

20)A fin de garantizar la máxima protección de los derechos y libertades de los interesados y de conformidad con lo dispuesto en el artículo 44, apartado 1, del Reglamento (UE) 2018/1725, debe consultarse al delegado de protección de datos, en tiempo oportuno, cualquier limitación que pueda aplicarse y comprobar su conformidad con la presente Decisión.

21)La Empresa Común SNS debe controlar de manera periódica que se cumplan las condiciones que justifiquen la aplicación de la limitación y levantar la limitación en cuanto dejen de cumplirse.

22)El responsable del tratamiento debe notificar al delegado de protección de datos en el momento del aplazamiento y durante las revisiones.

23)Esta decisión se adoptará por procedimiento escrito de conformidad con el artículo 10 del reglamento interno del Consejo de Administración de la Empresa Común SNS.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto y ámbito de aplicación

1. La presente Decisión establece las normas relativas a las condiciones en las que la Empresa Común SNS, en el marco de sus procedimientos establecidos en el apartado 2, puede limitar la aplicación de los derechos previstos en los artículos 14 a 22, 35 y 36 del Reglamento (UE) 2018/1725, así como la aplicación de su artículo 4, de conformidad con el artículo 25 de dicho Reglamento.

2. Las categorías de datos pertinentes a efectos de los procedimientos mencionados son los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos, así como los datos relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos.

3. Cuando la Empresa Común SNS ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

Artículo 2

Designación del responsable del tratamiento

El responsable del tratamiento en las operaciones de tratamiento será la Empresa Común SNS, representada por su director ejecutivo.

Artículo 3

Restricciones

1. La Empresa Común SNS podrá limitar la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20:

a)de conformidad con el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento (UE) 2018/1725, al llevar a cabo investigaciones administrativas o procedimientos predisciplinarios, disciplinarios o de suspensión con arreglo al artículo 86 y el anexo IX del Estatuto de los funcionarios, y cuando se notifiquen los casos a la OLAF;

b)de conformidad con el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725, a la hora de garantizar que los miembros del personal de la Empresa Común SNS puedan denunciar hechos de forma confidencial cuando consideren que existen graves irregularidades, tal como se establece en la Decisión n.º 09/2023 del Consejo de Administración de la Empresa Común SNS, relativa a las normas internas en materia de denuncia de prácticas corruptas;

c)de conformidad con el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725, al garantizar que los miembros del personal de la Empresa Común SNS puedan informar a los asesores confidenciales en el contexto de un procedimiento por acoso, tal como se define en la Decisión n.º 13/2023 del Consejo de Administración de la Empresa Común SNS;

d)de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725, cuando se realicen auditorías internas y externas en relación con actividades o departamentos de la Empresa Común SNS;

e)de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento (UE) 2018/1725, cuando se preste asistencia a otras instituciones, órganos y organismos de la Unión, cuando se reciba asistencia de dichas instituciones, órganos y organismos o cuando se coopere con estos en el contexto de las actividades contempladas en las letras a) a d) del presente apartado y con arreglo a los acuerdos de nivel de servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes;

f)de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725, cuando se preste asistencia a las autoridades nacionales de terceros países y organizaciones internacionales, cuando se reciba asistencia de dichas autoridades y organizaciones o cuando se coopere con estas, a petición de estas o por iniciativa propia;

g)de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725, cuando se preste asistencia a las autoridades públicas de los Estados miembros de la UE, cuando se reciba asistencia de dichas autoridades o cuando se coopere con estas, ya sea a petición suya o por iniciativa propia;

h)de conformidad con el artículo 25, apartado 1, letra e), del Reglamento (UE) 2018/1725, cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un recurso ante el Tribunal de Justicia de la Unión Europea;

i)de conformidad con el artículo 25, apartado 1, letras c) y h), del Reglamento (UE) 2018/1725, cuando se traten datos personales durante las investigaciones llevadas a cabo por el delegado de protección de datos de conformidad con el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

j)de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento (UE) 2018/1725, cuando se traten datos personales durante investigaciones de seguridad informática realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-EU);

k)de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725, cuando se traten datos personales en el marco de un procedimiento de gestión de subvenciones o de contratación pública, después de la fecha límite para la presentación de solicitudes en las convocatorias de propuestas u ofertas en las licitaciones.

2. Como aplicación concreta de las limitaciones descritas en el apartado 1, la Empresa Común SNS podrá aplicar limitaciones en las siguientes circunstancias:

a)en relación con los datos personales intercambiados con servicios de la Comisión u otras instituciones, órganos y organismos de la Unión:

i.cuando dicho servicio de la Comisión o dicha institución, órgano u organismo de la Unión esté facultado para limitar el ejercicio de los derechos enumerados basándose en otros actos contemplados en el artículo 25 del Reglamento (UE) 2018/1725 o de conformidad con el capítulo IX de dicho Reglamento o con los actos fundacionales de otras instituciones, órganos u organismos de la Unión;

ii.cuando la finalidad de dicha limitación impuesta por dicho servicio de la Comisión o institución, órgano, agencia u organismo de la Unión se pudiera ver comprometida en caso de que la Empresa Común SNS no aplicara una limitación equivalente en relación con los datos personales en cuestión;

b)en relación con los datos personales intercambiados con autoridades competentes de los Estados miembros;

i.cuando dichas autoridades competentes de los Estados miembros estén facultadas para limitar el ejercicio de los derechos enumerados basándose en los actos a que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5), o con arreglo a las medidas nacionales de transposición del artículo 13, apartado 3, el artículo 15, apartado 3, o el artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (6);

ii.cuando la finalidad de dicha limitación por parte de esa autoridad competente se viera comprometida si la Empresa Común SNS no aplicara una limitación equivalente respecto de los mismos datos personales;

c)en relación con los datos personales intercambiados con terceros países u organizaciones internacionales, cuando haya pruebas claras de que el ejercicio de esos derechos y obligaciones puede comprometer la cooperación de la Empresa Común SNS con terceros países u organizaciones internacionales en el ejercicio de sus funciones. Antes de aplicar limitaciones en las circunstancias mencionadas en el párrafo primero, letras a) y b), la Empresa Común SNS consultará a los servicios pertinentes de la Comisión, a las instituciones, órganos u organismos pertinentes de la Unión o a las autoridades competentes de los Estados miembros, a menos que para la Empresa Común SNS resulte evidente que la aplicación de una limitación está contemplada en uno de los actos a que se hace referencia en dichas letra s).

3. Cuando la Empresa Común SNS limite, en todo o en parte, la aplicación de los derechos a que se refieren los apartados 1 y 2 anteriores, adoptará las medidas contempladas en los artículos 5 y 6 de la presente Decisión.

4. Cuando los interesados soliciten acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una operación de tratamiento determinada, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, la Empresa Común SNS circunscribirá su evaluación de la solicitud únicamente a dichos datos personales.

Artículo 4

Especificación de las salvaguardias

1. La Empresa Común SNS aplicará garantías para evitar los accesos a datos personales o las transferencias de datos personales ilícitos o abusivos en relación con los cuales se apliquen o puedan aplicarse limitaciones. Tales garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de ejecución internos de la Empresa Común SNS. Las garantías comprenderán:

a)una definición clara de las funciones, responsabilidades y etapas del procedimiento;

b)los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda tener acceso el personal autorizado;

c)todos los datos en formato electrónico se almacenarán en una aplicación informática segura que respete las normas de seguridad de la Empresa Común SNS y en carpetas electrónicas específicas a las que únicamente pueda acceder el personal autorizado. Se concederán de manera individualizada los niveles de acceso adecuados;

d)todas las personas que dispongan de acceso a los datos quedarán sujetas a una obligación de confidencialidad;

e)la debida supervisión de las limitaciones y la revisión periódica de su aplicación.

2. Con arreglo a lo dispuesto en el artículo 5, apartado 3, las salvaguardias a que hace referencia el apartado 1 deberán ser objeto de revisión periódica.

3. Los datos personales se conservarán de acuerdo con las normas de conservación aplicables de la Empresa Común SNS, que se definirán en los registros de protección de datos mantenidos conforme al artículo 31 del Reglamento (UE) 2018/1725. El período de conservación no superará en ningún caso el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos.

Artículo 5

Necesidad y proporcionalidad de las limitaciones

1. Toda limitación adoptada en virtud del artículo 3 de la presente Decisión será necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y las libertades de los interesados y el respeto del contenido esencial de los derechos y las libertades fundamentales en una sociedad democrática.

2. Si se estudia aplicar una limitación, se llevará a cabo una prueba de la necesidad y la proporcionalidad basada en las presentes normas. La prueba también se llevará a cabo en el contexto de la revisión periódica, una vez se haya evaluado si continúan siendo aplicables los fundamentos de hecho y de derecho en los que se basa la limitación. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.

La Empresa Común SNS elaborará informes periódicos sobre la aplicación del artículo 25 del Reglamento (UE) 2018/1725.

3. Las limitaciones tendrán carácter temporal. y permanecerán en vigor mientras los motivos que las justifiquen sigan siendo aplicables, en particular, cuando se considere que el ejercicio del derecho limitado ya no anula el efecto de la limitación impuesta ni afecta negativamente a los derechos o las libertades de otros interesados.

La Empresa Común SNS revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la indagación, el procedimiento o la investigación pertinentes. Posteriormente, el responsable del tratamiento deberá supervisar cada seis meses la necesidad de mantener cualquier limitación.

4. Cuando la Empresa Común SNS aplique, total o parcialmente, las limitaciones a que se refiere el artículo 3 de la presente Decisión, hará constar los motivos de la limitación y el fundamento jurídico con arreglo el artículo 3 de la presente Decisión, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.

La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes serán registrados. Se pondrán a disposición del SEPD, previa petición.

Artículo 6

Obligación de información

1. En los avisos de protección de datos, las declaraciones de confidencialidad o los registros en el sentido del artículo 31 del Reglamento (UE) 2018/1725, publicados en el sitio web o en la intranet de la Empresa Común SNS, donde se informe a los interesados de sus derechos en el marco de un procedimiento determinado, la Empresa Común SNS incluirá información sobre la posible limitación de dichos derechos. Esta información abarcará los derechos que pueden limitarse, las razones de la limitación y la posible duración de la misma.

Sin perjuicio de lo dispuesto en el artículo 5, apartado 4, de la presente Decisión, cuando resulte proporcionado, la Empresa Común SNS también notificará de manera individualizada a todos los titulares de datos que se consideren interesados en la operación de tratamiento concreta cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.

2. Cuando la Empresa Común SNS limite, de forma total o parcial, los derechos tal y como se establece en el artículo 3 de la presente Decisión, informará al interesado en cuestión de la limitación aplicada y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.

La comunicación de la información mencionada en el apartado 2 podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.

Artículo 7

Participación del delegado de protección de datos

1. La Empresa Común SNS consultará a su delegado de protección de datos (en lo sucesivo, «DPD»), sin dilaciones indebidas, antes de que el responsable del tratamiento limite la aplicación de los derechos de los interesados o prorrogue dicha limitación y durante el período en que dicha limitación se aplique, de conformidad con la presente Decisión. El responsable del tratamiento proporcionará al DPD acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación, y a cualquier documento relativo al contexto fáctico o jurídico.

2. El DPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. Este notificará por escrito al DPD el resultado de la revisión solicitada.

3. El DPD participará a lo largo de todo el procedimiento. El responsable del tratamiento notificará al DPD el levantamiento de las limitaciones.

4. La Empresa Común SNS documentará por escrito la participación del DPD en la aplicación de las limitaciones, incluida la información que se comparta con él.

Artículo 8

Comunicación de una violación de datos personales al interesado

1. Cuando la SNS tenga la obligación de comunicar una violación de la seguridad de los datos en virtud del artículo 35, apartado 1, del Reglamento (UE) 2018/1725, podrá, en casos excepcionales, limitar dicha comunicación total o parcialmente, La Empresa Común SNS documentará en una nota los motivos de la limitación, su fundamento jurídico de conformidad con el artículo 3 de la presente Decisión y una evaluación de su necesidad y proporcionalidad. La nota se comunicará al SEPD en el momento en que se notifique la violación de la seguridad de los datos personales.

2. Cuando dejen de ser aplicables las razones de la limitación, la Empresa Común SNS comunicará al interesado la violación de la seguridad de los datos personales y le informará de los motivos principales de la limitación, así como de su derecho a presentar una reclamación ante el SEPD.

Artículo 9

Confidencialidad de las comunicaciones electrónicas

1. En casos excepcionales, la Empresa Común SNS podrá limitar el derecho de confidencialidad de las comunicaciones electrónicas con arreglo al artículo 36 del Reglamento (UE) 2018/1725. Dichas limitaciones se ajustarán a lo dispuesto en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (7).

2. En caso de que la Empresa Común SNS limite el derecho a la confidencialidad de las comunicaciones electrónicas, deberá informar a los interesados, en su respuesta a cualquier solicitud procedente de estos, de las razones principales que justifican la limitación y de su derecho a presentar una reclamación ante el SEPD.

3. La Empresa Común SNS podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD en la medida en que ello anule el efecto de la limitación. Se evaluará si dicha acción es justificable caso por caso.

Artículo 10

Entrada en vigor

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 11 de octubre de 2023.

Por el Consejo de Administración

Colin WILLCOCK

El Presidente

(1) DO L 295 de 21.11.2018, p. 39.

(2) DO L 427 de 30.11.2021, p. 17.

(3) Disponible en Documento de orientación sobre el artículo 25 del Reglamento 2018/1725, Supervisor Europeo de Protección de Datos (europa.eu) (disponible en inglés).

(4) En caso de corresponsabilidad del tratamiento, los datos se tratarán de acuerdo con los medios y los fines establecidos en el acuerdo pertinente entre los corresponsables del tratamiento definidos en el artículo 28 del Reglamento (UE) 2018/1725.

(5) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(6) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(7) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).