EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32023Q02189

Consejo de Administración de la Empresa Común para la Salud Mundial EDCTP 3 Decisión n.O GB/18/2023, por la que se establecen las normas internas relativas a la limitación de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la Empresa Común para la Salud Mundial EDCTP 3 [2023/2189]

PUB/2023/1182

DO L, 2023/2189, 16.10.2023, ELI: http://data.europa.eu/eli/dec/2023/2189/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec/2023/2189/oj

European flag

Diario Oficial
de la Unión Europea

ES

Serie L


2023/2189

16.10.2023

CONSEJO DE ADMINISTRACIÓN DE LA EMPRESA COMÚN PARA LA SALUD MUNDIAL EDCTP 3 DECISIÓN n.O GB/18/2023

por la que se establecen las normas internas relativas a la limitación de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la Empresa Común para la Salud Mundial EDCTP 3 [2023/2189]

EL CONSEJO DE ADMINISTRACIÓN DE LA EMPRESA COMÚN PARA LA SALUD MUNDIAL EDCTP 3,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE [«Reglamento (UE) 2018/1725»] (1), y en particular su artículo 25,

Visto el Reglamento (UE) 2021/2085 del Consejo, de 19 de noviembre de 2021, por el que se establecen las empresas comunes en el marco de Horizonte Europa y se derogan los Reglamentos (CE) n.o 219/2007, (UE) n.o 557/2014, (UE) n.o 558/2014, (UE) n.o 559/2014, (UE) n.o 560/2014, (UE) n.o 561/2014 y (UE) n.o 642/2014 (2) («acto de base único»),

Visto el Documento de orientación del Supervisor Europeo de Protección de Datos (SEPD) sobre el artículo 25 del Reglamento (UE) 2018/1725 y las normas internas, de 24 de junio de 2020 (3),

Previa consulta al SEPD el 12 de junio de 2023, con arreglo a lo dispuesto en el artículo 41, apartado 2, del Reglamento (UE) 2018/1725,

Vistas las recomendaciones del SEPD de 19 de junio de 2023,

Previa información al personal de la Empresa Común para la Salud Mundial EDCTP 3,

Considerando lo siguiente:

(1)

Solo los actos jurídicos adoptados en virtud de los Tratados permiten limitar los derechos de los interesados. Cuando dichas limitaciones no puedan fundamentarse en actos jurídicos adoptados con arreglo a los Tratados, el Reglamento (UE) 2018/1725 contempla la posibilidad de incluir limitaciones en cuestiones relacionadas con el funcionamiento de la Empresa Común para la Salud Mundial EDCTP 3 por medio de normas internas, tras la evaluación de la necesidad y la proporcionalidad de dichas limitaciones.

(2)

De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 de dicho Reglamento, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 20, deben basarse en normas internas adoptadas por la Empresa Común para la Salud Mundial EDCTP 3.

(3)

En el marco de su funcionamiento administrativo, la Empresa Común para la Salud Mundial EDCTP 3 puede realizar investigaciones administrativas, tramitar procedimientos predisciplinarios, disciplinarios y de suspensión, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la Oficina Europea de Lucha contra el Fraude (OLAF), tramitar casos de denuncia de prácticas corruptas, tramitar procedimientos (formales e informales) en casos de acoso, tramitar quejas internas y externas, realizar auditorías internas y externas, emprender investigaciones a través del delegado de protección de datos («el DPD») en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 y llevar a cabo investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, el CERT-UE).

(4)

La Empresa Común para la Salud Mundial EDCTP 3 también puede llevar a cabo investigaciones sobre posibles infracciones de las normas de seguridad de la información clasificada de la Unión Europea (ICUE), sobre la base de la Decisión que tiene previsto adoptar en lo relativo a sus normas de seguridad para la protección de la ICUE.

(5)

En el contexto de tales investigaciones administrativas, auditorías e investigaciones, la Empresa Común para la Salud Mundial EDCTP 3 coopera con otras instituciones, órganos y organismos de la Unión.

(6)

La Empresa Común para la Salud Mundial EDCTP 3 puede cooperar con autoridades nacionales de terceros países y con organizaciones internacionales, ya sea a petición de estas o por propia iniciativa.

(7)

La Empresa Común para la Salud Mundial EDCTP 3 también puede cooperar con las autoridades públicas de los Estados miembros de la Unión Europea (UE), ya sea a petición suya o por propia iniciativa.

(8)

La Empresa Común para la Salud Mundial EDCTP 3 participa en los asuntos sometidos al Tribunal de Justicia de la Unión Europea cuando remite el asunto al Tribunal, defiende una decisión que ha adoptado y ha sido recurrida ante el Tribunal o interviene en asuntos relacionados con sus funciones. En este contexto, es posible que la Empresa Común para la Salud Mundial EDCTP 3 tenga que preservar el carácter confidencial de los datos personales contenidos en documentos obtenidos por las partes o por los intervinientes (partes coadyuvantes).

(9)

Para el cumplimiento de sus funciones, la Empresa Común para la Salud Mundial EDCTP 3 recopila y trata diversas categorías de datos personales, como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos; y datos relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos (4).

(10)

La Empresa Común para la Salud Mundial EDCTP 3, representada por su director ejecutivo, actúa como responsable del tratamiento de datos.

(11)

Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide el acceso ilícito a personas que no tengan un derecho lícito a conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados no se conservan durante un tiempo superior al necesario y al adecuado a los fines para los que se hubieran tratado durante el período especificado en los avisos de protección de datos, las declaraciones de confidencialidad o los registros de la Empresa Común para la Salud Mundial EDCTP 3.

(12)

Con arreglo al Reglamento (UE) 2018/1725, la Empresa Común para la Salud Mundial EDCTP 3 está, por tanto, obligada a facilitar información a los interesados sobre dichas actividades de tratamiento y a respetar sus derechos como titulares de datos.

(13)

La Empresa Común para la Salud Mundial EDCTP 3 podría estar obligada a conciliar esos derechos con los objetivos de las investigaciones administrativas, las auditorías, las investigaciones y los procedimientos judiciales. También podría ser necesario buscar un equilibrio entre los derechos de un interesado y los derechos y las libertades fundamentales de otros interesados. A tal fin, el artículo 25 del Reglamento (UE) 2018/1725 ofrece a la Empresa Común para la Salud Mundial EDCTP 3 la posibilidad de limitar, bajo condiciones estrictas, la aplicación de los artículos 14 a 22, 35 y 36, del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20.

(14)

Las normas internas deberían aplicarse a dichas operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente, durante estos y durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos y durante todo el período en el que la limitación siga aplicándose. También deberían ser aplicables a la asistencia y la cooperación prestadas por la Empresa Común para la Salud Mundial EDCTP 3 a las autoridades nacionales y las organizaciones internacionales al margen de sus propias investigaciones administrativas.

(15)

En los casos en los que sean aplicables estas normas internas, la Empresa Común para la Salud Mundial EDCTP 3 debe justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar el contenido esencial de los derechos y las libertades fundamentales.

(16)

En este contexto, la Empresa Común para la Salud Mundial EDCTP 3 ha de respetar, ateniéndose plenamente a los actos legislativos y orientaciones pertinentes, los derechos fundamentales de los interesados durante los procedimientos citados, en particular los relativos a la comunicación de información, el derecho de acceso, de rectificación y de supresión, el derecho a la limitación del tratamiento, a la comunicación de una violación de la seguridad de los datos personales al interesado o a la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725.

(17)

Sin embargo, la Empresa Común para la Salud Mundial EDCTP 3 puede verse obligada a limitar la comunicación de información a los interesados y otros derechos de los interesados para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones o con los procedimientos de otro tipo que se lleven a cabo.

(18)

Cuando se considere la posibilidad de aplicar una limitación, la Empresa Común para la Salud Mundial EDCTP 3 sopesará el riesgo para los derechos y las libertades del interesado, en particular, el riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por la Empresa Común para la Salud Mundial EDCTP 3, por ejemplo, mediante la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.

(19)

En consecuencia, la Empresa Común para la Salud Mundial EDCTP 3 puede restringir la información a efectos de proteger la investigación y los derechos y libertades fundamentales de otros interesados.

(20)

A fin de garantizar la máxima protección de los derechos y libertades de los interesados y de conformidad con lo dispuesto en el artículo 44, apartado 1, del Reglamento (UE) 2018/1725, debe consultarse al DPD, en tiempo oportuno, cualquier limitación que pueda aplicarse y comprobar su conformidad con la presente Decisión.

(21)

La Empresa Común para la Salud Mundial EDCTP 3 debe controlar de manera periódica que se cumplan las condiciones que justifiquen la aplicación de la limitación y levantar esta en cuanto dejen de resultar aplicables.

(22)

El responsable del tratamiento debe notificar al DPD en el momento del aplazamiento y durante las revisiones.

(23)

La presente Decisión se adoptará por procedimiento escrito de conformidad con el artículo 10 del reglamento interno del Consejo de Administración de la Empresa Común para la Salud Mundial EDCTP 3.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto y ámbito de aplicación

1.   La presente Decisión establece las normas relativas a las condiciones en las que la Empresa Común para la Salud Mundial EDCTP 3, en el marco de sus procedimientos establecidos en el artículo 3 de la presente Decisión, puede limitar la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, de conformidad con el artículo 25 de dicho Reglamento.

2.   Las categorías de datos pertinentes a efectos de los procedimientos mencionados son los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos, así como los datos relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos.

3.   Cuando la Empresa Común para la Salud Mundial EDCTP 3 ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

Artículo 2

Determinación del responsable del tratamiento

El responsable del tratamiento en las operaciones de tratamiento será la Empresa Común para la Salud Mundial EDCTP 3, representada por su director ejecutivo.

Artículo 3

Limitaciones

1.   La Empresa Común para la Salud Mundial EDCTP 3 podrá limitar la aplicación de los artículos 14 a 22, 35 y 36 del Reglamento (UE) 2018/1725, así como de su artículo 4, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones previstos en los artículos 14 a 20:

a)

de conformidad con el artículo 25, apartado 1, letras b), c), f), g) y h), del Reglamento (UE) 2018/1725, al llevar a cabo investigaciones administrativas o procedimientos predisciplinarios, disciplinarios o de suspensión con arreglo al artículo 86 y el anexo IX del Estatuto de los funcionarios y a la Decisión n.o 17/2023 del Consejo de Administración de la Empresa Común para la Salud Mundial EDCTP 3, y cuando se notifiquen los casos a la OLAF;

b)

de conformidad con el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725, a la hora de garantizar que los miembros del personal de la Empresa Común para la Salud Mundial EDCTP 3 puedan denunciar hechos de forma confidencial cuando consideren que existen graves irregularidades, tal como se establece en la Decisión n.o 12/2023 del Consejo de Administración de la Empresa Común para la Salud Mundial EDCTP 3 relativa a las normas internas en materia de denuncia de prácticas corruptas;

c)

de conformidad con el artículo 25, apartado 1, letra h), del Reglamento (UE) 2018/1725, al garantizar que los miembros del personal de la Empresa Común para la Salud Mundial EDCTP 3 puedan informar a los asesores confidenciales en el contexto de un procedimiento por acoso, tal como se define en la Decisión n.o 13/2023 del Consejo de Administración de la Empresa Común para la Salud Mundial EDCTP 3;

d)

de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725, cuando se realicen auditorías internas y externas en relación con actividades o departamentos de la Empresa Común para la Salud Mundial EDCTP 3;

e)

de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento (UE) 2018/1725, cuando preste asistencia a otras instituciones, órganos y organismos de la Unión, cuando reciba asistencia de dichas instituciones, órganos y organismos o cuando coopere con estos en el contexto de las actividades contempladas en las letras a) a d) del presente apartado y con arreglo a los acuerdos de nivel de servicio, memorandos de entendimiento y acuerdos de cooperación pertinentes;

f)

de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725, cuando preste asistencia a las autoridades nacionales y organizaciones internacionales de terceros países, cuando reciba asistencia de dichas autoridades y organizaciones o cuando coopere con estas, a petición de estas o por iniciativa propia;

g)

de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725, cuando presten asistencia a las autoridades públicas de los Estados miembros de la UE, cuando reciban asistencia de dichas autoridades o cuando cooperen con estas, ya sea a petición suya o por iniciativa propia;

h)

de conformidad con el artículo 25, apartado 1, letra e), del Reglamento (UE) 2018/1725, cuando se traten datos personales en documentos obtenidos por las partes o partes coadyuvantes en el contexto de un recurso ante el Tribunal de Justicia de la Unión Europea;

i)

de conformidad con el artículo 25, apartado 1, letras c) y h), del Reglamento (UE) 2018/1725, cuando se traten datos personales durante las investigaciones llevadas a cabo por el DPD de conformidad con el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

j)

de conformidad con el artículo 25, apartado 1, letras c), d), g) y h), del Reglamento (UE) 2018/1725, cuando se traten datos personales durante investigaciones de seguridad informática realizadas internamente o con la participación de agentes externos (por ejemplo, el CERT-UE);

k)

de conformidad con el artículo 25, apartado 1, letras c), g) y h), del Reglamento (UE) 2018/1725, cuando se traten datos personales en el marco de un procedimiento de gestión de subvenciones o de contratación pública, después de la fecha límite para la presentación de solicitudes en las convocatorias de propuestas u ofertas en las licitaciones.

2.   Como aplicación concreta de las limitaciones descritas en el apartado 1, la Empresa Común para la Salud Mundial EDCTP 3 podrá aplicar limitaciones en las siguientes circunstancias:

a)

en relación con los datos personales intercambiados con servicios de la Comisión u otras instituciones, órganos y organismos de la Unión;

i)

cuando dicho servicio de la Comisión o dicha institución, órgano u organismo de la Unión esté facultado para limitar el ejercicio de los derechos enumerados basándose en otros actos contemplados en el artículo 25 del Reglamento (UE) 2018/1725 o de conformidad con el capítulo IX de dicho Reglamento o con los actos fundacionales de otras instituciones, órganos u organismos de la Unión,

ii)

cuando la finalidad de dicha limitación impuesta por dicho servicio de la Comisión o institución, órgano, agencia u organismo de la Unión se pudiera ver comprometida en caso de que la Empresa Común para la Salud Mundial EDCTP 3 no aplicara una limitación equivalente en relación con los datos personales en cuestión;

b)

en relación con los datos personales intercambiados con autoridades competentes de los Estados miembros;

i)

cuando dichas autoridades competentes de los Estados miembros estén facultadas para limitar el ejercicio de los derechos enumerados basándose en los actos a que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5), o con arreglo a las medidas nacionales de transposición del artículo 13, apartado 3, el artículo 15, apartado 3, o el artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (6),

ii)

cuando la finalidad de dicha limitación impuesta por dicha autoridad competente se pudiera ver comprometida en caso de que la Empresa Común para la Salud Mundial EDCTP 3 no aplicara una limitación equivalente en relación con los datos personales en cuestión;

c)

en relación con los datos personales intercambiados con terceros países u organizaciones internacionales, cuando haya pruebas claras de que el ejercicio de esos derechos y obligaciones puede comprometer la cooperación de la Empresa Común para la Salud Mundial EDCTP 3 con terceros países u organizaciones internacionales en el ejercicio de sus funciones.

Antes de aplicar las limitaciones en las circunstancias mencionadas en el párrafo primero, letras a) y b), la Empresa Común para la Salud Mundial EDCTP 3 consultará a los servicios pertinentes de la Comisión, a las instituciones, órganos y organismos pertinentes de la Unión, o a las autoridades competentes de los Estados miembros, a menos que para la Empresa Común para la Seguridad Mundial EDCTP 3 resulte evidente que la aplicación de una limitación esté prevista en uno de los actos a que se hace referencia en dichas letra s).

3.   Cuando la Empresa Común para la Salud Mundial EDCTP 3 limite, en todo o en parte, la aplicación de los derechos a que se refieren los apartados 1 y 2 anteriores, adoptará las medidas contempladas en los artículos 5 y 6 de la presente Decisión.

4.   Cuando los interesados soliciten acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una operación de tratamiento determinada, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, la Empresa Común para la Salud Mundial EDCTP 3 circunscribirá su evaluación de la solicitud únicamente a dichos datos personales.

Artículo 4

Determinación de garantías

1.   La Empresa Común para la Salud Mundial EDCTP 3 aplicará garantías para evitar los abusos y el acceso o la transferencia ilícitos de datos personales respecto de los cuales se apliquen o puedan aplicarse limitaciones. Tales garantías incluirán medidas técnicas y organizativas y quedarán detalladas, en caso necesario, en las decisiones, procedimientos y normas de ejecución internos de la Empresa Común para la Salud Mundial EDCTP 3. Las garantías comprenderán:

a)

una definición clara de las funciones, responsabilidades y etapas del procedimiento;

b)

los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda tener acceso el personal autorizado;

c)

todos los datos en formato electrónico deberán almacenarse en una aplicación informática segura que respete las normas de seguridad de la Empresa Común para la Salud Mundial EDCTP 3 y en carpetas electrónicas específicas a las que únicamente pueda acceder el personal autorizado; deberán concederse de manera individualizada los niveles de acceso adecuados;

d)

todas las personas que dispongan de acceso a los datos quedarán sujetas a una obligación de confidencialidad;

e)

la debida supervisión de las limitaciones y la revisión periódica de su aplicación.

2.   Con arreglo a lo dispuesto en el artículo 5, apartado 3, de la presente Decisión, las garantías a que se hace referencia en el apartado 1 deberían ser objeto de revisión periódica.

3.   Los datos personales se conservarán de acuerdo con las normas de conservación aplicables de la Empresa Común para la Salud Mundial EDCTP 3, que se definirán en los registros de protección de datos mantenidos conforme al artículo 31 del Reglamento (UE) 2018/1725. El período de conservación no superará en ningún caso el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos.

Artículo 5

Necesidad y proporcionalidad de las limitaciones

1.   Toda limitación adoptada en virtud del artículo 3 de la presente Decisión será necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y las libertades de los interesados y el respeto del contenido esencial de los derechos y las libertades fundamentales en una sociedad democrática.

2.   Si se estudia aplicar una limitación, deberá llevarse a cabo una prueba de la necesidad y la proporcionalidad basada en las presentes normas. La prueba también se llevará a cabo en el contexto de cada revisión periódica, una vez se haya evaluado si continúan siendo de aplicación los fundamentos de hecho y de derecho en los que se basa la limitación. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.

La Empresa Común para la Salud Mundial EDCTP 3 elaborará informes periódicos sobre la aplicación del artículo 25 del Reglamento (UE) 2018/1725.

3.   Las limitaciones tendrán carácter temporal, y permanecerán en vigor mientras los motivos que las justifiquen sigan siendo aplicables, en particular cuando se considere que el ejercicio del derecho limitado ya no anula el efecto de la limitación impuesta ni afecta negativamente a los derechos o las libertades de otros interesados.

La Empresa Común para la Salud Mundial EDCTP 3 revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación o el procedimiento pertinentes. Posteriormente, el responsable del tratamiento supervisará cada seis meses la necesidad de mantener cualquier limitación.

4.   Cuando la Empresa Común para la Salud Mundial EDCTP 3 aplique, total o parcialmente, las limitaciones a que se refiere el artículo 3 de la presente Decisión, hará constar los motivos de la limitación y los fundamentos jurídicos con arreglo al apartado 3 de la presente Decisión, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.

Se registrarán la consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes. Se pondrán a disposición del SEPD, previa petición.

Artículo 6

Obligación de información

1.   En los avisos de protección de datos, las declaraciones de confidencialidad o los registros, en el sentido del artículo 31 del Reglamento (UE) 2018/1725, publicados en el sitio web o en la intranet de la Empresa Común para la Salud Mundial EDCTP 3, donde se informe a los interesados de sus derechos en el marco de determinado procedimiento, la Empresa Común para la Salud Mundial EDCTP 3 incluirá información sobre la posible limitación de dichos derechos. Esta información abarcará los derechos que pueden limitarse, las razones de la limitación y la posible duración de esta.

Sin perjuicio de lo dispuesto en el artículo 5, apartado 4, de la presente Decisión, cuando resulte proporcionado, la Empresa Común para la Salud Mundial EDCTP 3 también notificará de manera individualizada a todos los titulares de datos que se consideren interesados en la operación de tratamiento concreta cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.

2.   Cuando la Empresa Común para la Salud Mundial EDCTP 3 limite, de forma total o parcial, los derechos establecidos en el artículo 3 de la presente Decisión, informará al interesado en cuestión de la limitación aplicada y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea.

La comunicación de la información mencionada en el apartado 2 podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) 2018/1725.

Artículo 7

Participación del delegado de protección de datos

1.   La Empresa Común para la Salud Mundial EDCTP 3 consultará a su delegado de protección de datos («el DPD»), sin dilaciones indebidas, tanto antes del período en que el responsable del tratamiento limite la aplicación de los derechos de los interesados o prorrogue la limitación, de conformidad con la presente Decisión, como durante dicho período. El responsable del tratamiento proporcionará al DPD acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación, y a cualquier documento relativo al contexto fáctico o jurídico.

2.   El DPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. El responsable del tratamiento notificará por escrito al DPD el resultado de la revisión solicitada.

3.   El DPD participará en todo el procedimiento. El responsable del tratamiento notificará al DPD el levantamiento de las limitaciones.

4.   La Empresa Común para la Salud Mundial EDCTP 3 documentará por escrito la participación del DPD en la aplicación de las limitaciones, incluida la información que se le comparta.

Artículo 8

Comunicación al interesado de una violación de la seguridad de los datos personales

1.   Cuando la Empresa Común para la Salud Mundial EDCTP 3 tenga la obligación de comunicar una violación de la seguridad de los datos en virtud del artículo 35, apartado 1, del Reglamento (UE) 2018/1725, podrá, en casos excepcionales, limitar esta comunicación total o parcialmente. La Empresa Común para la Salud Mundial EDCTP 3 documentará en una nota los motivos de la limitación, su fundamento jurídico de conformidad con el artículo 3 de la presente Decisión y una evaluación de su necesidad y proporcionalidad. La nota se comunicará al SEPD en el momento en que se notifique la violación de la seguridad de los datos personales.

2.   Cuando dejen de ser aplicables las razones de la limitación, la Empresa Común para la Salud Mundial EDCTP 3 comunicará al interesado la violación de la seguridad de los datos personales y le informará de los motivos principales de la limitación, así como de su derecho a presentar una reclamación ante el SEPD.

Artículo 9

Confidencialidad de las comunicaciones electrónicas

1.   En circunstancias excepcionales, la Empresa Común para la Salud Mundial EDCTP 3 podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas en virtud del artículo 36 del Reglamento (UE) 2018/1725. Dichas limitaciones se ajustarán a lo dispuesto en la Directiva 2002/58/CE.

2.   Cuando la Empresa Común para la Salud Mundial EDCTP 3 limite el derecho de confidencialidad de las comunicaciones electrónicas, informará al interesado, en su respuesta a cualquier solicitud procedente de este, de los motivos principales que justifican la aplicación de la limitación y de su derecho a presentar una reclamación ante el SEPD.

3.   La Empresa Común para la Salud Mundial EDCTP 3 podrá aplazar, omitir o denegar la comunicación de información sobre los motivos de la limitación y el derecho a presentar una reclamación ante el SEPD durante el tiempo en que ello deje sin efecto la limitación. Se evaluará si dicha acción es justificable caso por caso.

Artículo 10

Entrada en vigor

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 3 de agosto de 2023.

Por el Consejo de Administración de la Empresa Común para la Salud Mundial EDCTP 3

Dr. Henning GÄDEKE

Presidente del Consejo de Administración


(1)   DO L 295 de 21.11.2018, p. 39.

(2)   DO L 427 de 30.11.2021, p. 17.

(3)  Disponible en Documento de orientación sobre el artículo 25 del Reglamento 2018/1725 , Supervisor Europeo de Protección de Datos (europa.eu).

(4)  En caso de corresponsabilidad del tratamiento, los datos se tratarán de acuerdo con los medios y los fines establecidos en el acuerdo pertinente entre los corresponsables del tratamiento definidos en el artículo 28 del Reglamento (UE) 2018/1725.

(5)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO L 119 de 4.5.2016, p. 1).

(6)  Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).


ELI: http://data.europa.eu/eli/dec/2023/2189/oj

ISSN 1977-0685 (electronic edition)


Top