1.   La presente Decisión establece normas sobre las condiciones en las que el Cedefop podrá limitar la aplicación de los derechos consagrados en los artículos 14 a 21, 35 y 36, así como el artículo 4 del Reglamento (UE) 2018/1725 en el contexto de los procedimientos establecidos en el apartado 2 de conformidad con lo dispuesto en el artículo 25 de dicho Reglamento.

2.   En el marco del funcionamiento administrativo del Cedefop, la presente Decisión se aplica a las operaciones de tratamiento de datos personales llevadas a cabo por el Cedefop a los efectos de realizar indagaciones administrativas, incoar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, tramitar casos de denuncia de irregularidades, incoar procedimientos (formales e informales) para casos de acoso, así como reclamaciones internas y externas, realizar auditorías internas, investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE), así como la gestión de las solicitudes de acceso de los miembros del personal a sus fichas médicas.

3.   Las categorías de datos de que se trata son los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).

4.   Cuando el Cedefop ejerza sus funciones con respecto a los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

5.   Con arreglo a las condiciones previstas en la presente Decisión, las limitaciones pueden aplicarse a los siguientes derechos: el derecho de comunicación de información al interesado, el derecho de acceso, rectificación, supresión, limitación del tratamiento, comunicación de una violación de la seguridad de los datos personales al interesado y confidencialidad de las comunicaciones electrónicas.

1.   Para prevenir el uso indebido, el acceso ilícito o la transferencia, el Cedefop aplicará las salvaguardias que se detallan a continuación:

2.   El responsable de las operaciones de tratamiento será el Cedefop, representado por su director ejecutivo, quien podrá delegar la función de responsable del tratamiento de datos. Se informará a los interesados de la identidad del responsable del tratamiento delegado por medio de anuncios de protección de datos o de registros publicados en el sitio web o la intranet del Cedefop.

3.   El período de retención de los datos personales al que hace referencia el artículo 1, apartado 3, de la presente Decisión no superará el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos. En ningún caso deberá superar el período de retención especificado en los anuncios de protección de datos o los registros a los que se hace referencia en el artículo 3, apartado 3, de la presente Decisión.

4.   Cuando el Cedefop estudie aplicar una limitación, deberá sopesarse el riesgo para los derechos y las libertades del interesado, en particular, con el riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por el Cedefop, en concreto por la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.

1.   Las limitaciones serán aplicadas solo por el Cedefop sobre la base de uno o varios motivos de los enumerados en el artículo 25, apartado 1, letras a) a i), del Reglamento (UE) 2018/1725. En concreto, en el contexto de los fines del tratamiento de los datos personales indicados en el artículo 1, apartado 2, de la presente Decisión, las limitaciones podrán basarse en los motivos siguientes:

2.   Como aplicación concreta de los fines descritos en el apartado 1 anterior, el Cedefop podrá establecer limitaciones sobre los derechos previstos en el artículo 1, apartado 5, de la presente Decisión en las circunstancias que se detallan a continuación:

Antes de aplicar limitaciones en las circunstancias mencionadas en las letras a) y b) del primer párrafo, el Cedefop deberá consultar a las instituciones, órganos y organismos de la Unión pertinentes o a las autoridades competentes de los Estados miembros, a menos que para el Cedefop resulte evidente que está prevista la aplicación de una limitación por uno de los actos a que se hace referencia en dichos puntos.

3.   En los anuncios de protección de datos o los registros, en el sentido del artículo 31 del Reglamento (UE) 2018/1725, publicados en su sitio web o la intranet, donde se informe a los interesados de sus derechos en el marco de determinado procedimiento, el Cedefop incluirá información relativa a la posible limitación de dichos derechos. Esta información indicará qué derechos pueden limitarse, las razones de la limitación y la posible duración de esta.

Sin perjuicio de lo dispuesto en el artículo 5, apartado 2, cuando resulte proporcionado, el Cedefop también informará de manera individualizada a todos los titulares de datos que se consideren interesados en la operación de tratamiento concreta, de cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.

4.   Toda limitación deberá ser necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y las libertades de los interesados y el respeto del contenido esencial de los derechos y las libertades fundamentales en una sociedad democrática.

5.   Si se estudia aplicar una limitación, deberá llevarse a cabo una prueba de la necesidad y la proporcionalidad basada en las presentes normas. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.

6.   Las limitaciones se levantarán tan pronto como dejen de existir las circunstancias que las hubieran justificado.

1.   El responsable de protección de datos (en lo sucesivo, «RPD») del Cedefop será informado, sin dilaciones indebidas, de toda situación en que el responsable del tratamiento pretenda limitar la aplicación de los derechos de los interesados o prorrogue la limitación de conformidad con la presente Decisión. El responsable del tratamiento proporcionará al RPD acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación y documentará en dicho registro la fecha de la notificación al RPD. El RPD participará en todo el procedimiento hasta que se alce la limitación.

2.   El RPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. Este notificará por escrito al RPD el resultado de la revisión solicitada.

3.   El responsable del tratamiento notificará al RPD el levantamiento de las limitaciones.

1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la información en el contexto de las siguientes operaciones de tratamiento:

2.   Cuando el Cedefop limite, total o parcialmente, el derecho de información a los interesados a que se refieren los artículos 14 a 16 del Reglamento (UE) 2018/1725, hará constar los motivos de la limitación y el fundamento jurídico con arreglo al artículo 3 de la presente Decisión, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.

La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes serán registrados.

Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.

3.   La limitación a que se refiere el apartado 2 seguirá en vigor mientras los motivos que la justifiquen sigan siendo aplicables.

Cuando los motivos que justifiquen la limitación dejen de ser aplicables, el Cedefop informará al interesado de los principales motivos en que se hubiera fundamentado la aplicación de la limitación. Al mismo tiempo, el Cedefop informará al interesado del derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o a interponer un recurso ante el Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia»).

El Cedefop revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la indagación, investigación o procedimiento pertinentes. Posteriormente, el responsable del tratamiento supervisará cada seis meses la necesidad de mantener cualquier limitación. La prueba de la necesidad y la proporcionalidad mencionada en el artículo 3, apartado 5, se llevará a cabo en el contexto de cada revisión periódica, de acuerdo con una evaluación sobre si aún son de aplicación los motivos fácticos y legales de la limitación.

1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de acceso de los interesados cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

Cuando los interesados soliciten el acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una determinada operación de tratamiento, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, el Cedefop deberá circunscribir su evaluación de la solicitud a dichos datos personales únicamente.

2.   Cuando el Cedefop limite, en parte o en su totalidad, el derecho de acceso al que se refiere el artículo 17 del Reglamento (UE) 2018/1725, deberá adoptar las siguientes medidas:

Las limitaciones impuestas sobre el derecho de acceso de los miembros del personal a sus fichas médicas solo abarcarán las solicitudes de acceso directo por parte de los miembros del personal a los datos médicos de naturaleza psicológica o psiquiátrica cuando una evaluación realizada caso por caso revele que es necesario un acceso indirecto para la protección de los interesados. El acceso a dichos datos se concederá a través de la intermediación de un médico designado por el interesado afectado. Se concederá al médico elegido por el interesado acceso a toda la información, así como facultad discrecional para decidir cómo acceder y qué acceso otorgar al interesado.

La comunicación de información mencionada en la letra a) podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.

El Cedefop revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la indagación, investigación o procedimiento pertinentes. Posteriormente, el responsable del tratamiento supervisará cada seis meses la necesidad de mantener cualquier limitación. La prueba de la necesidad y la proporcionalidad mencionada en el artículo 3, apartado 5, se llevará a cabo en el contexto de cada revisión periódica, de acuerdo con una evaluación sobre si aún son de aplicación los motivos fácticos y legales de la limitación.

3.   La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes serán registrados. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.

1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de rectificación, supresión y limitación, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

2.   Cuando el Cedefop limite, total o parcialmente, la aplicación de los derechos de rectificación, supresión o limitación del tratamiento de los datos a los que se refieren el artículo 18; el artículo 19, apartado 1; y el artículo 20, apartado 1, del Reglamento (UE) 2018/1725, respectivamente, adoptará las medidas contempladas en el artículo 6, apartado 2, de la presente Decisión y las consignará de conformidad con lo dispuesto en su artículo 6, apartado 3.

1.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

2.   En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

3.   Cuando el Cedefop limite los derechos de comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones electrónicas a que se refieren los artículos 35 y 36 del Reglamento (UE) 2018/1725, respectivamente, deberá anotar y registrar los motivos de la limitación de conformidad con lo dispuesto en el artículo 5, apartado 2, de la presente Decisión. Será también de aplicación el artículo 5, apartado 3, de la presente Decisión.