Decisión del Consejo de Administración del Centro Europeo para la Prevención y el Control de las Enfermedades de 9 de septiembre de 2019 relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento del Centro Europeo para la Prevención y el Control de las Enfermedades

• Section: Serie L
• Issuing Organization: Consejo de la Unión Europea

31.3.2020 ES Diario Oficial de la Unión Europea L 98/38

EL CONSEJO DE ADMINISTRACIÓN DEL CENTRO EUROPEO PARA LA PREVENCIÓN Y EL CONTROL DE LAS ENFERMEDADES (en lo sucesivo, «ECDC»)

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,

Visto el Reglamento (CE) n.o 851/2004 del Parlamento Europeo y del Consejo, de 21 de abril de 2004, por el que se crea un Centro Europeo para la Prevención y el Control de las Enfermedades (2), y en particular su artículo 20, apartado 4,

Visto el Reglamento interno del Consejo de Administración del ECDC, y en particular su artículo 10,

Visto el dictamen del Supervisor Europeo de Protección de Datos (en lo sucesivo, el «SEPD»), de 22 de julio de 2019, y la orientación del SEPD sobre el artículo 25 del nuevo Reglamento y las normas internas,

Previa consulta al Comité de Personal, Considerando lo siguiente:

(1) El ECDC lleva a cabo su actividad de conformidad con el Reglamento (CE) n.o 851/2004.

(2) De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, deben basarse en normas internas adoptadas por el ECDC cuando no se encuentren fundamentadas en actos jurídicosadoptados con arreglo a los Tratados.

(3) Estas normas internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la proporcionalidad de la limitación, no deben aplicarse cuando un acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los derechos de los interesados.

4) Cuando el ECDC ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

(5) En el marco de su funcionamiento administrativo, el ECDC puede realizar investigaciones administrativas, tramitar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, tramitar casos de denuncia de irregularidades, tramitar procedimientos (formales e informales) en casos de acoso, tramitar quejas internas y externas, realizar auditorías internas, tratar datos de salud del personal del ECDC, emprender investigaciones a través del responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y llevar a cabo investigaciones internas sobre la seguridad (informática).

6) El ECDC trata diversas categorías de datos personales, incluidos los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).

(7) El ECDC, representado por su director, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro del propio ECDC al objeto de reflejar las diversas responsabilidades operativas por las distintas tareas de tratamiento de datos personales.

(8) Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide el acceso ilícito a personas que no necesiten conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados no se conservan durante un tiempo superior al necesario y al adecuado para los fines para los que se hubieran tratado, durante el período especificado en los avisos de protección de datos, las declaraciones de confidencialidad o los registros del ECDC.

(9) Estas normas internas deben aplicarse a todas las operaciones de tratamiento de datos llevadas a cabo por el ECDC en el ejercicio de sus investigaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, procedimientos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitación de quejas internas y externas, auditorías internas, investigaciones llevadas a cabo por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE); y en relación con el tratamiento de los expedientes personales de los miembros del personal.

(10) Las normas internas deben aplicarse a las operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente, durante estos y durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos. También se incluyen la asistencia y la cooperación prestadas por el ECDC a las autoridades nacionales y las organizaciones internacionales al margen de sus investigaciones administrativas.

(11) En los casos en los que resultan aplicables estas normas internas, el ECDC debe justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar en lo esencial los derechos y libertades fundamentales.

(12) En este contexto, el ECDC debe respetar, en la medida de lo posible, los derechos fundamentales de los interesados durante los procedimientos anteriores, en particular, los correspondientes al derecho a la comunicación de información, el acceso y la rectificación, el derecho de supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado y la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725.

(13) Sin embargo, el ECDC puede verse obligado a limitar la comunicación de información al interesado y otros derechos del interesado para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones o con los procedimientos de otro tipo que se lleven a cabo.

(14) En consecuencia, el ECDC puede restringir la información a los efectos de proteger la investigación y los derechos y libertades fundamentales de otros interesados.

(15) El ECDC debe controlar de manera periódica que se cumplan las condiciones que justifiquen la limitación y levantar la limitación en...