10.2.2020

Diario Oficial de la Unión Europea

L 37/5

REGLAMENTO DE EJECUCIÓN (UE) 2020/180 DE LA COMISIÓN

de 7 de febrero de 2020

relativo a la autorización de un preparado de Bacillus subtilis KCCM 10673P y Aspergillus oryzae KCTC 10258BP como aditivo en piensos para todas las especies animales

(Texto pertinente a efectos del EEE)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (CE) n.o 1831/2003 del Parlamento Europeo y del Consejo, de 22 de septiembre de 2003, sobre los aditivos en la alimentación animal (1), y en particular su artículo 9, apartado 2,

Considerando lo siguiente:

(1)	El Reglamento (CE) n.o 1831/2003 regula la autorización de aditivos para su uso en la alimentación animal, así como los motivos y los procedimientos para conceder dicha autorización.

(2)

De conformidad con el artículo 7 del Reglamento (CE) n.o 1831/2003, se presentó una solicitud de autorización de un preparado de Bacillus subtilis KCCM 10673P y Aspergillus oryzae KCTC 10258BP como aditivo en piensos para todas las especies animales. La solicitud iba acompañada de la información y la documentación exigidas en el artículo 7, apartado 3, de dicho Reglamento.

(3)	La solicitud se refiere a la autorización de un preparado de Bacillus subtilis KCCM 10673P y Aspergillus oryzae KCTC 10258BP para utilizar en semillas de soja, que debe clasificarse en la categoría de «aditivos tecnológicos».

(4)

En sus dictámenes de 8 de septiembre de 2015 (2) y 18 de septiembre de 2018 (3), la Autoridad Europea de Seguridad Alimentaria («Autoridad») concluyó que, en las condiciones de uso propuestas, el preparado de Bacillus subtilis KCCM 10673P y Aspergillus oryzae KCTC 10258BP no tiene ningún efecto adverso para la salud animal ni el medio ambiente. No obstante, también concluyó que el aditivo se considera irritante para la piel y los ojos y como sensibilizante cutáneo y respiratorio. Por consiguiente, la Comisión considera que deben adoptarse las medidas de protección adecuadas para evitar efectos adversos en la salud humana, en particular la de los usuarios del aditivo. La Autoridad también llegó a la conclusión de que el aditivo puede ser eficaz para reducir la concentración de oligosacáridos de la serie de la rafinosa y el inhibidor de la tripsina en las semillas de soja. La Autoridad no considera que sean necesarios requisitos específicos de seguimiento posterior a la comercialización. La Autoridad verificó también el informe sobre el método de análisis del aditivo en piensos presentado por el laboratorio de referencia establecido por el Reglamento (CE) n.o 1831/2003.

(5)

La evaluación del preparado de Bacillus subtilis KCCM 10673P y Aspergillus oryzae KCTC 10258BP muestra que se cumplen los requisitos de autorización establecidos en el artículo 5 del Reglamento (CE) n.o 1831/2003. En consecuencia, procede autorizar el uso de este preparado según se especifica en el anexo del presente Reglamento.

(6)	Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité Permanente de Vegetales, Animales, Alimentos y Piensos.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Se autoriza el uso como aditivo en la alimentación animal del preparado especificado en el anexo, perteneciente a la categoría de «aditivos tecnológicos» y al grupo funcional de «otros aditivos tecnológicos», como establece el anexo.

Artículo 2

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 7 de febrero de 2020.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1) DO L 268 de 18.10.2003, p. 29.

(2) EFSA Journal 2015; 13(9):4230.

(3) EFSA Journal 2018; 16(5):5275.

ANEXO

Número de identificación del aditivo

Aditivo

Composición, fórmula química, descripción y método analítico

Especie o categoría de animales

Edad máxima

Contenido mínimo

Contenido máximo

Otras disposiciones

Expiración del período de autorización

UFC de aditivo/kg de semillas de soja

Categoría de aditivos tecnológicos. Grupo funcional: otros aditivos tecnológicos (reducción de los factores antinutricionales en las semillas de soja)

1o01

Bacillus subtilis KCCM 10673P

Aspergillus oryzae KCTC 10258BP

Composición del aditivo

Preparado de Bacillus subtilis KCCM 10673P y Aspergillus oryzae KCTC 10258BP con un contenido mínimo de 1,2 × 108 UFC/g de aditivo y 2,0 × 108 UFC/g de aditivo, respectivamente.

Todas las especies animales

—

Bacillus subtilis

1,2 × 106

Aspergillus oryzae

2,0 × 106

—

1.	En las instrucciones de uso del aditivo y la premezcla, indíquense las condiciones de almacenamiento.

2.	El aditivo solo se utilizará en semillas de soja.

Los explotadores de empresas de piensos establecerán procedimientos operativos y medidas organizativas para los usuarios del aditivo y las premezclas, a fin de abordar los posibles riesgos derivados de su utilización. Si estos riesgos no pueden eliminarse o reducirse al mínimo mediante dichos procedimientos y medidas, el aditivo y las premezclas se utilizarán con un equipo de protección personal que incluya protección cutánea, ocular y respiratoria.

1 de marzo de 2030

Caracterización de la sustancia activa

Células viables de Bacillus subtilis KCCM 10673P y Aspergillus oryzae KCTC 10258BP.

Método analítico (1)

Recuento de Bacillus subtilis KCCM 10673P en el aditivo para piensos, las premezclas y los piensos: método de recuento por extensión en placas de agar de soja y triptona (EN 15784).

Identificación de Bacillus subtilis KCCM 10673P en el aditivo para piensos:

electroforesis en gel de campo pulsado (PFGE).

Identificación de Aspergillus oryzae KCTC 10258BP en el aditivo para piensos: Tipificación de la reacción en cadena de la polimerasa (RCP).

(1) Puede consultarse información detallada sobre los métodos analíticos en la siguiente dirección del laboratorio de referencia: https://ec.europa.eu/jrc/en/eurl/feed-additives/evaluation-reports

10.2.2020

Diario Oficial de la Unión Europea

L 37/11

DECISIÓN DEL CONSEJO DE ADMINISTRACIÓN DE LA AGENCIA DE LA UNIÓN EUROPEA PARA LA CIBERSEGURIDAD

de 21 de noviembre de 2019

relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la ENISA

EL CONSEJO DE ADMINISTRACIÓN DE LA ENISA

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) n.o 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y, en particular, su artículo 25,

Visto el Reglamento (UE) n.o 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a la ENISA (la Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (2), y en concreto su artículo 15, apartado 1,

Visto el dictamen del Supervisor Europeo de Protección de Datos (en lo sucesivo, el «SEPD»), de jueves, 17 de octubre de 2019, y la orientación del SEPD sobre el artículo 25 del Reglamento (UE) n.o 2018/1725 y las normas internas.

Considerando lo siguiente:

(1)

De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) n.o 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 de dicho Reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, deben basarse en normas internas adoptadas por la ENISA cuando no se encuentren fundamentadas en actos jurídicos adoptados con arreglo a los Tratados.

(2)	Estas normas internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la proporcionalidad de la limitación, no deben aplicarse cuando un acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los derechos de los interesados.

(3)	Cuando la ENISA ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) n.o 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

(4)

En el marco de su funcionamiento administrativo, la ENISA puede realizar investigaciones administrativas, tramitar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, tramitar casos de denuncia de irregularidades, tramitar procedimientos (formales e informales) en casos de acoso, tramitar quejas internas y externas, realizar auditorías internas, llevar a cabo evaluaciones de incidentes de ciberseguridad con arreglo al artículo 7, apartado 4, del Reglamento (UE) n.o 2019/881, emprender investigaciones a través del responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) n.o 2018/1725 y llevar a cabo investigaciones internas sobre la seguridad (informática).

La ENISA trata diversas categorías de datos personales, incluidos los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).

(5)

La ENISA, representada por su director ejecutivo, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro de la propia ENISA al objeto de reflejar las diversas responsabilidades operativas por las distintas tareas de tratamiento de datos personales.

(6)

Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide el acceso ilícito a personas que no necesiten conocerlos y la transferencia ilícita a estas personas. Los datos personales tratados no se conservan durante un tiempo superior al necesario y al adecuado para los fines para los que se hubieran tratado, durante el período especificado en los avisos de protección de datos, las declaraciones de confidencialidad o los registros de la ENISA.

(7)

Estas normas internas deben aplicarse a todas las operaciones de tratamiento de datos llevadas a cabo por la ENISA en el ejercicio de sus indagaciones administrativas, procedimientos disciplinarios, actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, procedimientos de denuncia de irregularidades, procedimientos (formales e informales) en casos de acoso, tramitación de quejas internas y externas, auditorías internas, evaluaciones de incidentes de ciberseguridad con arreglo al artículo 7, apartado 4, del Reglamento (UE) n.o 2019/881, investigaciones llevadas a cabo por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) n.o 2018/1725 e investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

(8)

Las normas internas deben aplicarse a las operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente, durante estos y durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos. También se incluyen la asistencia y la cooperación prestadas por la ENISA a las autoridades nacionales y las organizaciones internacionales al margen de sus investigaciones administrativas.

(9)	En los casos en los que resulten aplicables estas normas internas, la ENISA debe justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar el contenido esencial de los derechos y las libertades fundamentales.

(10)

En este contexto, la ENISA debe respetar, en la medida de lo posible, los derechos fundamentales de los interesados durante los procedimientos anteriores, en particular, los correspondientes al derecho a la comunicación de información, el acceso y la rectificación, el derecho de supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado y la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) n.o 2018/1725.

(11)

Sin embargo, la ENISA puede verse obligada a limitar la comunicación de información al interesado y otros derechos del interesado para proteger, en particular, sus propias investigaciones, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones o con los procedimientos de otro tipo que se lleven a cabo.

(12)	En consecuencia, la ENISA puede restringir la información a los efectos de proteger la investigación y los derechos y libertades fundamentales de otros interesados.

(13)	La ENISA debe controlar de manera periódica que se cumplan las condiciones que justifiquen la limitación y levantar la limitación en cuanto dejen de cumplirse.

(14)	El responsable del tratamiento debe realizar la notificación pertinente al responsable de protección de datos en el momento del aplazamiento y durante las revisiones.

(15)	Debido a la importancia de las normas internas para la protección de los derechos de los interesados, la Decisión debería entrar en vigor lo antes posible después de su publicación en el Diario Oficial de la Unión Europea.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto y ámbito de aplicación

1. La siguiente Decisión establece las normas relativas a las condiciones en las que la ENISA, en el marco de sus procedimientos establecidos en el apartado 2, puede limitar el ejercicio de los derechos consagrados en los artículos 14 a 21, 35 y 36, y la aplicación del artículo 4, del Reglamento (UE) 2018/1725, de conformidad con el artículo 25 de este.

2. En el marco del funcionamiento administrativo de la ENISA, esta Decisión se aplica a las operaciones de tratamiento de datos personales llevadas a cabo por la ENISA a los efectos de hacer indagaciones administrativas, incoar procedimientos disciplinarios, llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, tramitar casos de denuncia de irregularidades (whistleblowing), procedimientos (formales e informales) para la prevención del acoso, así como reclamaciones internas y externas, realizar auditorías internas, evaluaciones de incidentes de ciberseguridad con arreglo al artículo 7, apartado 4, del Reglamento (UE) n.o 2019/881, investigaciones emprendidas por el responsable de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) n.o 2018/1725 e investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

3. Las categorías de datos de que se trata son los datos sólidos (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos frágiles (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o la actividad o presentados en relación con estos).

4. Cuando la ENISA ejerza sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) n.o 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho Reglamento.

5. Con arreglo a las condiciones previstas en la presente Decisión, las limitaciones pueden aplicarse a los siguientes derechos: la comunicación de información a los interesados, el derecho de acceso, la rectificación, la supresión, la limitación del tratamiento, la comunicación de una violación de la seguridad de los datos personales al interesado y la confidencialidad de las comunicaciones.

Artículo 2

Especificación del responsable del tratamiento y garantías

1. Las garantías establecidas para evitar las violaciones de la seguridad de los datos, las filtraciones o las divulgaciones no autorizadas son las siguientes:

a)	Los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda acceder el personal autorizado.

Todos los datos en formato electrónico deberán almacenarse en una aplicación informática segura que respete las normas de seguridad de la ENISA y en carpetas electrónicas específicas a las que únicamente pueda acceder el personal autorizado. Deberán concederse de manera individualizada los niveles de acceso adecuados.

La base de datos estará protegida por contraseña en virtud de un sistema de autenticación única y conectada automáticamente al identificador y la contraseña del usuario. Queda terminantemente prohibido que los usuarios intercambien sus datos de identificación. Los registros electrónicos se almacenarán de forma segura para salvaguardar la confidencialidad y la privacidad de los datos que contengan.

d)	Todas las personas que dispongan de acceso a los datos quedarán sujetas a una obligación de confidencialidad.

2. El responsable de las operaciones de tratamiento será la ENISA, representada por su director ejecutivo, quien podrá delegar la función de responsable del tratamiento de datos. Se informará a los interesados de la identidad del responsable del tratamiento delegado por medio de avisos de protección de datos o de registros publicados en el sitio web o la intranet de la ENISA.

3. El período de conservación de los datos personales al que hace referencia el artículo 1, apartado 3, no superará el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos. En ningún caso deberá superar el período de conservación especificado en los avisos de protección de datos, las declaraciones de confidencialidad o los registros a los que se hace referencia en el artículo 5, apartado 1.

4. Cuando la ENISA estudie aplicar una limitación, deberá sopesarse el riesgo para los derechos y las libertades del interesado, en particular, con el riesgo para los derechos y las libertades de otros interesados y el riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por la ENISA, por ejemplo, por la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.

Artículo 3

Limitaciones

1. La ENISA solo adoptará limitaciones para salvaguardar:

a)	la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;

otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular los objetivos de la política exterior y de seguridad común de la Unión o un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

c)	la seguridad interna de las instituciones y organismos de la Unión, incluida la de sus redes de comunicación electrónica;

d)	la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;

e)	una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) y b);

f)	la protección del interesado o de los derechos y libertades de otros.

2. La evaluación de incidentes de ciberseguridad realizada por la ENISA con arreglo al artículo 7, apartado 4, del Reglamento (UE) n.o 2019/881 («Reglamento sobre la Ciberseguridad») incluida en el apartado 1, letra b), del presente artículo.

3. Como aplicación concreta de los fines descritos en el apartado 1 anterior, la ENISA podrá introducir limitaciones en relación con los datos personales compartidos con los servicios de la Comisión u otras instituciones, órganos y organismos de la Unión, autoridades competentes de los Estados miembros o de terceros países u organizaciones internacionales, respectivamente en las siguientes circunstancias:

cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda ser limitado por los servicios de la Comisión o por otras instituciones, órganos y organismos de la Unión, sobre la base de los actos jurídicos contemplados en el artículo 25 del Reglamento (UE) n.o 2018/1725, o de conformidad con el capítulo IX de dicho Reglamento o con los actos fundacionales de otras instituciones, órganos y organismos de la Unión;

cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda verse limitado por las autoridades competentes de los Estados miembros sobre la base de los actos a que se refiere el artículo 23 del Reglamento (UE) n.o 2016/679 del Parlamento Europeo y del Consejo (3), o con arreglo a las medidas nacionales de transposición del artículo 13, apartado 3; del artículo 15, apartado 3; o del artículo 16, apartado 3, de la Directiva (UE) n.o 2016/680 del Parlamento Europeo y del Consejo (4);

c)	cuando el ejercicio de esos derechos y el cumplimiento de esas obligaciones pueda comprometer la cooperación de la ENISA con terceros países u organizaciones internacionales en el desempeño de sus funciones.

Antes de aplicar las limitaciones en las circunstancias mencionadas en el párrafo primero, letras a) y b), la ENISA consultará a los servicios pertinentes de la Comisión; a las instituciones, órganos y organismos pertinentes de la Unión; o a las autoridades competentes de los Estados miembros, a menos que para la ENISA resulte evidente que la aplicación de una limitación está prevista en uno de los actos a que se hace referencia en dichas letra s).

4. Toda limitación deberá ser necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y las libertades de los interesados y el respeto, en lo esencial, de los derechos y libertades fundamentales en una sociedad democrática.

5. Si se estudia aplicar una limitación, deberá llevarse a cabo una evaluación de la necesidad y la proporcionalidad basada en las presentes normas. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.

6. Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hubieran justificado; en particular, cuando se considere que el ejercicio del derecho limitado ya no anula el efecto de la limitación impuesta ni afecta negativamente a los derechos o las libertades de los demás interesados.

Artículo 4

Revisión por parte del responsable de la protección de datos

1. La ENISA informará al responsable de protección de datos de la agencia (en lo sucesivo, «RPD»), sin dilaciones indebidas, de toda situación en que el responsable del tratamiento limite la aplicación de los derechos de los interesados o prorrogue la limitación de conformidad con la presente Decisión. El responsable del tratamiento proporcionará al RPD acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación y documentará en dicho registro la fecha de la notificación al RPD. La ENISA deberá involucrar al RPD en los procedimientos pertinentes y la intervención de este último deberá documentarse.

2. El RPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. Este notificará por escrito al RPD el resultado de la revisión solicitada.

3. El responsable del tratamiento notificará al RPD el levantamiento de las limitaciones.

Artículo 5

Comunicación de información al interesado

1. En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la información en el contexto de las siguientes operaciones de tratamiento:

a)	la realización de investigaciones administrativas y los procedimientos disciplinarios;

b)	las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)	los procedimientos de denuncia de irregularidades;

d)	los procedimientos (formales e informales) en casos de acoso;

e)	las tramitaciones de quejas internas y externas;

f)	las auditorías internas;

g)	las investigaciones realizadas por el RPD en línea con lo dispuesto en el artículo 45, apartado 2, del Reglamento n.o 2018/1725;

h)	las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE);

i)	evaluaciones de incidentes de ciberseguridad realizadas por la ENISA con arreglo al artículo 7, apartado 4, del Reglamento (UE) n.o 2019/881, de acuerdo con el artículo 3, apartado 2, de la presente Decisión.

En los avisos de protección de datos, las declaraciones de confidencialidad o los registros, en el sentido del artículo 31 del Reglamento (UE) n.o 2018/1725, publicados en el sitio web o en la intranet de la ENISA, donde se informe a los interesados de sus derechos en el marco de determinado procedimiento, la ENISA incluirá información sobre la posible limitación de dichos derechos. Esta información abarcará los derechos que pueden limitarse, las razones de la limitación y la posible duración de esta.

2. Sin perjuicio de lo dispuesto en el apartado 3 del presente artículo, cuando resulte proporcionado, la ENISA también notificará de manera individualizada a todos los titulares de datos que se consideren interesados en la operación de tratamiento concreta cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.

3. Cuando la ENISA limite, total o parcialmente, la comunicación de información a los interesados a que se refiere el apartado 2 del presente artículo, hará constar los motivos de la limitación y el fundamento jurídico con arreglo al artículo 3 de la presente Decisión, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.

La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Previa solicitud, se pondrán a disposición del Supervisor Europeo de Protección de Datos.

4. La limitación a que se refiere el apartado 3 del presente artículo seguirá aplicándose mientras persistan los motivos que la justifiquen.

Cuando desaparezcan los motivos que justifiquen la limitación, la ENISA informará al interesado de los principales motivos en que se hubiera basado la aplicación de la limitación. Al mismo tiempo, la ENISA informará al interesado del derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o a interponer un recurso ante el Tribunal de Justicia de la Unión Europea.

La ENISA revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación o el procedimiento pertinentes. Posteriormente, el responsable del tratamiento deberá supervisar cada seis meses la necesidad de mantener cualquier limitación.

Artículo 6

Derecho de acceso del interesado

1. En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de acceso, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

a)	la realización de investigaciones administrativas y los procedimientos disciplinarios;

b)	las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)	los procedimientos de denuncia de irregularidades;

d)	los procedimientos (formales e informales) en casos de acoso;

e)	las tramitaciones de quejas internas y externas;

f)	las auditorías internas;

g)	las investigaciones realizadas por el RPD en línea con lo dispuesto en el artículo 45, apartado 2, del Reglamento n.o 2018/1725;

h)	las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE);

i)	evaluaciones de incidentes de ciberseguridad realizadas por la ENISA con arreglo al artículo 7, apartado 4, del Reglamento (UE) n.o 2019/881, de acuerdo con el artículo 3, apartado 2 de la presente Decisión.

Cuando los interesados soliciten el acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o a una determinada operación de tratamiento, de conformidad con el artículo 17 del Reglamento (UE) n.o 2018/1725, la ENISA deberá circunscribir su evaluación de la solicitud exclusivamente a dichos datos personales.

2. Cuando la ENISA limite, en su totalidad o en parte, el derecho de acceso a que se refiere el artículo 17 del Reglamento (UE) n.o 2018/1725, deberá adoptar las siguientes medidas:

a)	informará al interesado, en su respuesta a la solicitud, de la limitación y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea;

b)	documentará en una nota interna de evaluación los motivos de la limitación, incluida una evaluación de la necesidad, la proporcionalidad y la duración de la limitación.

La comunicación de la información mencionada en la letra a) podrá aplazarse, omitirse o denegarse en caso de que pudiera dejar sin efecto la limitación, con arreglo a lo dispuesto en el artículo 25, apartado 8, del Reglamento (UE) n.o 2018/1725.

La ENISA revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación. Posteriormente, el responsable del tratamiento deberá supervisar cada seis meses la necesidad de mantener cualquier limitación.

3. La consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes se registrarán. Se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.

Artículo 7

Derecho de rectificación, supresión y limitación del tratamiento de datos

1. En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho de rectificación, supresión y limitación, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

a)	la realización de investigaciones administrativas y los procedimientos disciplinarios;

b)	las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)	los procedimientos de denuncia de irregularidades;

d)	los procedimientos (formales e informales) en casos de acoso;

e)	las tramitaciones de quejas internas y externas;

f)	las auditorías internas;

g)	las investigaciones realizadas por el RPD en línea con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) n.o 2018/1725;

h)	las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE);

i)	evaluaciones de incidentes de ciberseguridad realizadas por la ENISA con arreglo al artículo 7, apartado 4, del Reglamento (UE) n.o 2019/881, de acuerdo con el artículo 3, apartado 2 de la presente Decisión.

2. Cuando la ENISA limite, total o parcialmente, el ejercicio del derecho de rectificación, supresión o limitación del tratamiento a que se refieren el artículo 18; el artículo 19, apartado 1; y el artículo 20, apartado 1, del Reglamento (UE) n.o 2018/1725, adoptará las medidas contempladas en el artículo 6, apartado 2, de la presente Decisión y de conformidad con lo dispuesto en su artículo 6, apartado 3.

Artículo 8

Comunicación de una violación de la seguridad de los datos personales al interesado y confidencialidad de las comunicaciones electrónicas

1. En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la comunicación de una violación de la seguridad de los datos personales, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

a)	la realización de investigaciones administrativas y los procedimientos disciplinarios;

b)	las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)	los procedimientos de denuncia de irregularidades;

d)	las tramitaciones de quejas internas y externas;

e)	las auditorías internas;

f)	las investigaciones realizadas por el RPD en línea con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) n.o 2018/1725;

g)	las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE);

h)	evaluaciones de incidentes de ciberseguridad realizadas por la ENISA con arreglo al artículo 7, apartado 4, del Reglamento (UE) n.o 2019/881, de acuerdo con el artículo 3, apartado 2 de la presente Decisión.

2. En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la confidencialidad de las comunicaciones electrónicas, cuando resulte necesario y proporcionado, en el contexto de las siguientes operaciones de tratamiento:

a)	la realización de investigaciones administrativas y los procedimientos disciplinarios;

b)	las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)	los procedimientos de denuncia de irregularidades;

d)	los procedimientos formales en casos de acoso;

e)	las tramitaciones de quejas internas y externas;

f)	las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

g)	evaluaciones de incidentes de ciberseguridad realizadas por la ENISA con arreglo al artículo 7, apartado 4, del Reglamento (UE) n.o 2019/881, de acuerdo con el artículo 3, apartado 2.

3. Cuando la ENISA limite la comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones electrónicas a que se refieren los artículos 35 y 36 del Reglamento (UE) n.o 2018/1725, deberá aplicar las disposiciones del artículo 5, apartado 3, de la presente Decisión. Será de aplicación el artículo 5, apartado 4, de la presente Decisión.

Artículo 9

Entrada en vigor

La presente Decisión entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Atenas, el 21 de noviembre de 2019.

Por la ENISA

Jean Baptiste DEMAISON

Presidente del Consejo de Administración

(1) DO L 295 de 21.11.2018, p. 39.

(2) DO L 151 de 7.6.2019, p. 15.

(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(4) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

10.2.2020

Diario Oficial de la Unión Europea

L 37/18

DECISIÓN DEL CONSEJO DE GOBIERNO DE FUSIÓN PARA LA ENERGÍA

de 9 de diciembre de 2019

relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de Fusión para la Energía

EL CONSEJO DE GOBIERNO,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1), y en particular su artículo 25,

Vista la Decisión (Euratom) n.o 198/2007 del Consejo, de 27 de marzo de 2007, por la que se establece la Empresa Común Europea para el ITER y el desarrollo de la energía de fusión y por la que se le confieren ventajas (2), y en particular su artículo 6;

Vistos los estatutos adjuntos a la Decisión antes mencionada, y en particular su artículo 6, apartado 10;

Visto el Estatuto de los funcionarios y el régimen aplicable a los otros agentes de la Unión Europea («Estatuto de los funcionarios), y en particular su artículo 2, apartado 3, y el artículo 30 del anexo IX del mencionado Estatuto;

Visto el Reglamento (UE, Euratom) n.o 883/2013 del Parlamento Europeo y del Consejo, de 11 de septiembre de 2013, relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) y por el que se deroga el Reglamento (CE) n.o 1073/1999 del Parlamento Europeo y del Consejo y el Reglamento (Euratom) n.o 1074/1999 del Consejo (3),

Vistas las orientaciones del Supervisor Europeo de Protección de Datos (SEPD) de 18 de diciembre de 2018 y su dictamen de 26 de julio de 2019 tras la notificación a efectos de lo dispuesto en el artículo 41, apartado 2, del Reglamento (UE) 2018/1725.

Previa consulta al Comité de Personal,

Considerando lo siguiente:

(1)	Fusión para la Energía lleva a cabo sus actividades de conformidad con los Estatutos anexos a la Decisión (Euratom) n.o 198/2007.

(2)

De conformidad con lo dispuesto en el artículo 25, apartado 1, del Reglamento (UE) 2018/1725, las limitaciones a la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 de dicho reglamento en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, deben basarse en normas internas adoptadas por Fusión para la Energía cuando no se encuentren fundamentadas en actos jurídicos adoptados con arreglo a los Tratados.

(3)	Estas normas internas, incluidas sus disposiciones sobre la evaluación de la necesidad y la proporcionalidad de la limitación, no deben aplicarse cuando un acto jurídico adoptado con arreglo a los Tratados prevea una limitación de los derechos de los interesados.

(4)	Cuando Fusión para la Energía realice sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho reglamento.

(5)

En el marco de su funcionamiento administrativo, Fusión para la Energía podrá llevar a cabo investigaciones administrativas y procedimientos disciplinarios de conformidad con las normas establecidas en el Estatuto de los funcionarios.

Fusión para la Energía también puede llevar a cabo actividades preliminares específicas relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, procedimientos de denuncia de irregularidades, procedimientos (formales e informales) de casos de acoso, tramitación de reclamaciones internas y externas, tratamiento de datos médicos, realización de auditorías internas, realización de investigaciones por parte del delegado de protección de datos de conformidad con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

(6)

Fusión para la Energía trata diversas categorías de datos personales, incluidos los datos duros (datos «objetivos», como los datos de identificación, los datos de contacto, los datos profesionales, los datos administrativos, los datos recibidos de determinadas fuentes y los datos de las comunicaciones y el tráfico electrónicos) y los datos blandos (datos «subjetivos» relacionados con el caso, como el razonamiento, los datos de comportamiento, las valoraciones, los datos de actuación y conducta, y los datos relacionados con el objeto del procedimiento o de la actividad o presentados en relación con estos).

(7)

Fusión para la Energía, representada por su director, actúa como responsable del tratamiento de datos, con independencia de las posteriores delegaciones de esta función dentro de Fusión para la Energía al objeto de reflejar las diversas responsabilidades operativas respecto a operaciones específicas de tratamiento de datos personales.

(8)

Los datos personales se almacenan en un entorno electrónico o en papel de un modo seguro que impide el acceso ilícito a personas que no necesiten conocerlos. Los datos personales tratados no se retienen durante un tiempo superior al necesario y al adecuado para los fines para los que se hubieran tratado durante el período especificado en los anuncios de protección de datos, las declaraciones de confidencialidad o los registros de Fusión para la Energía.

(9)

Las normas internas también deben aplicarse a las operaciones de tratamiento de datos llevadas a cabo antes del inicio de los procedimientos citados previamente en el considerando 5, durante estos y durante el seguimiento de la actuación consecutiva a los resultados de dichos procedimientos. También se incluyen la asistencia y la cooperación prestadas por Fusión para la Energía a las autoridades nacionales y las organizaciones internacionales al margen de sus investigaciones administrativas.

Estas normas internas también deben aplicarse a las actividades relacionadas con la cooperación con las instituciones y organismos de la UE y con la transmisión de información relativa a una investigación administrativa o a un procedimiento disciplinario. A tal efecto, Fusión para la Energía debe consultar a las instituciones, organismos, oficinas, agencias, autoridades u organizaciones sobre los motivos pertinentes para imponer limitaciones y sobre la necesidad y proporcionalidad de estas.

(10)	En los casos en los que resultan aplicables estas normas internas, Fusión para la Energía debe justificar el carácter estrictamente necesario y proporcionado de las limitaciones en una sociedad democrática y respetar el contenido esencial de los derechos y de las libertades fundamentales.

(11)

En este contexto, Fusión para la Energía debe respetar, en la medida de lo posible, los derechos fundamentales de los interesados durante los procedimientos anteriores, en particular, los relativos al derecho a la comunicación de información, de acceso y rectificación, el derecho a la supresión, la limitación del tratamiento, el derecho a la comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones, de conformidad con el Reglamento (UE) 2018/1725.

(12)

Sin embargo, Fusión para la Energía puede verse obligada a limitar la comunicación de información al interesado y otros derechos del interesado para proteger, en particular, sus propias investigaciones y procedimientos, las investigaciones y los procedimientos de otras autoridades públicas y los derechos de otras personas relacionadas con sus investigaciones u otros procedimientos.

(13)

En consecuencia, Fusión para la Energía puede limitar la información a los efectos de proteger la investigación y los derechos y libertades fundamentales de otros interesados.

Fusión para la Energía puede, en particular, aplazar la comunicación de información a efectos de proteger sus investigaciones administrativas y procedimientos disciplinarios, las investigaciones y los procedimientos de otras autoridades públicas, así como de proteger la identidad de los informantes y otras personas implicadas en los procedimientos, incluidos los denunciantes y los testigos, que no deben sufrir repercusiones negativas por su cooperación.

De conformidad con el artículo 25, apartado 8, del Reglamento (UE) 2018/1725, el responsable del tratamiento de los datos podrá aplazar, omitir o denegar la comunicación al interesado de la información sobre las razones que justifican la limitación si la información comprometiese el efecto de la limitación impuesta.

(14)	Fusión para la Energía debe controlar de manera periódica que sigan existiendo las condiciones que justifiquen la limitación y levantarla en cuanto dejen de ser aplicables.

(15)	El responsable del tratamiento debe informar al delegado de protección de datos («DPD») en el momento del aplazamiento de la comunicación o cuando se apliquen otras limitaciones de los derechos de los interesados y durante las revisiones.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto y ámbito de aplicación

1. La siguiente decisión establece las normas relativas a las condiciones en las que Fusión para la Energía, en el marco de sus procedimientos establecidos en el apartado 2, puede limitar la aplicación de los derechos previstos en los artículos 14 a 21, 35 y 36, y también de su artículo 4, de conformidad con el artículo 25 del Reglamento (UE) 2018/1725.

2. En el marco del funcionamiento administrativo de Fusión para la Energía, esta decisión se aplica a las operaciones de tratamiento de datos personales llevadas a cabo por Fusión para la Energía a los efectos de hacer indagaciones administrativas, incoar procedimientos disciplinarios, así como llevar a cabo actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF, tramitar casos de denuncia de irregularidades (whistleblowing), tratar procedimientos (formales e informales) para la prevención del acoso, tratar reclamaciones internas y externas, tratar datos médicos, realizar auditorías internas e investigaciones emprendidas por el delegado de protección de datos en consonancia con el artículo 45, apartado 2, del Reglamento (UE) 2018/1725 e investigaciones en materia de seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

La presente Decisión también debe aplicarse a las actividades de ayuda y cooperación de Fusión para la Energía realizadas al margen de sus investigaciones administrativas para las autoridades nacionales y las organizaciones internacionales.

Además, esta decisión se aplica a las actividades relacionadas con la cooperación con las instituciones y organismos de la UE y con la transmisión de información relativa a una investigación administrativa o a un procedimiento disciplinario, cuando dicha información sea necesaria para que el destinatario evalúe los motivos para incoar un procedimiento o investigación formal.

4. Cuando Fusión para la Energía realice sus funciones en relación con los derechos de los interesados en virtud del Reglamento (UE) 2018/1725, analizará si es aplicable alguna de las excepciones establecidas en dicho reglamento.

5. Con arreglo a las condiciones previstas en la presente Decisión, las limitaciones pueden aplicarse a los siguientes derechos: la comunicación de información a los interesados, el derecho de acceso, de rectificación, de supresión, la limitación del tratamiento, la comunicación de una violación de la seguridad de los datos personales al interesado y la confidencialidad de las comunicaciones.

Artículo 2

Especificación del responsable del tratamiento y salvaguardas

1. Las salvaguardas adoptadas para evitar las violaciones de datos, las filtraciones o las revelaciones no autorizadas son las siguientes:

a)	los documentos en papel deberán conservarse en armarios protegidos a los que únicamente pueda acceder el personal autorizado;

todos los datos en formato electrónico deberán almacenarse en una aplicación informática segura que respete las normas de seguridad de Fusión para la Energía y en carpetas electrónicas específicas a las que únicamente pueda acceder el personal autorizado. Deberán concederse de manera individualizada los niveles de acceso adecuados;

la base de datos estará protegida con contraseña en virtud de un sistema de autenticación única y conectada automáticamente al identificador y la contraseña del usuario. Queda estrictamente prohibida la sustitución de los usuarios. Los registros electrónicos se conservarán de manera segura para salvaguardar la confidencialidad y la privacidad de los datos que contengan;

d)	todas las personas que tengan acceso a los datos estarán sujetas a una obligación de confidencialidad.

2. El responsable de las operaciones de tratamiento será Fusión para la Energía, representada por su director, quien podrá delegar la función de responsable del tratamiento de datos. Se informará a los interesados de la identidad del responsable del tratamiento delegado por medio de anuncios de protección de datos o de registros publicados en el sitio web o la intranet de Fusión para la Energía.

3. El período de retención de los datos personales al que hace referencia el artículo 1, apartado 3, no superará el necesario ni el adecuado para los fines que justifiquen el tratamiento de los datos. En ningún caso deberá superar el período de retención especificado en los avisos sobre la protección de datos, las declaraciones de confidencialidad o los registros a los que se hace referencia en el artículo 5, apartado 1.

4. Cuando Fusión para la Energía estudie aplicar una limitación, deberá sopesar el riesgo para los derechos y las libertades del interesado, en particular, respecto al riesgo para los derechos y las libertades de otros interesados y al riesgo de dejar sin efecto las investigaciones o los procedimientos emprendidos por Fusión para la Energía, por ejemplo, por la destrucción de pruebas. Los riesgos para los derechos y las libertades del interesado consisten principalmente, aunque no de manera exclusiva, en riesgos para la reputación y riesgos para el derecho a la defensa y a ser oído.

Artículo 3

Limitaciones

1. Fusión para la Energía solo adoptará limitaciones para salvaguardar:

a)	la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas contra la seguridad pública y su prevención;

c)	la seguridad interna de las instituciones y los organismos de la Unión, incluida la de sus redes de comunicación electrónica;

d)	la protección de la independencia judicial y de los procedimientos judiciales;

e)	la prevención, la investigación, la detección y la persecución de infracciones de normas deontológicas de las profesiones reguladas;

f)	una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos enunciados en las letras a) a c);

g)	la protección del interesado o de los derechos y las libertades de terceros;

h)	la ejecución de demandas civiles.

2. Como aplicación concreta de los fines descritos en el apartado 1 anterior, Fusión para la Energía puede introducir limitaciones en relación con los datos personales compartidos con los servicios de la Comisión o demás instituciones, organismos, agencias y oficinas de la Unión, las autoridades competentes de los Estados miembros o de terceros países u organizaciones internacionales, en las siguientes circunstancias:

cuando los servicios de la Comisión u otras instituciones, organismos, agencias y oficinas de la Unión puedan limitar el ejercicio de esos derechos y obligaciones en virtud de los actos jurídicos contemplados en el artículo 25 del Reglamento (UE) 2018/1725, o de conformidad con el capítulo IX de dicho reglamento o con los actos fundacionales de otras instituciones, organismos, agencias y oficinas de la Unión;

cuando las autoridades competentes de los Estados miembros puedan limitar el ejercicio de esos derechos y el cumplimiento de esas obligaciones de acuerdo con los actos a que se refiere el artículo 23 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4), o con arreglo a las medidas nacionales de transposición del artículo 13, apartado 3, del artículo 15, apartado 3, o del artículo 16, apartado 3, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (5);

c)	cuando el ejercicio de esos derechos y esas obligaciones pueda comprometer la cooperación de Fusión para la Energía con terceros países u organizaciones internacionales en el desempeño de sus funciones.

Antes de aplicar las limitaciones en las circunstancias mencionadas en el apartado 1, letras a) y b), Fusión para la Energía consultará a los servicios pertinentes de la Comisión, a las instituciones, a los organismos, las agencias y las oficinas pertinentes de la Unión o a las autoridades competentes de los Estados miembros, a menos que para Fusión para la Energía resulte evidente que la aplicación de una limitación está prevista en uno de los actos a que se hace referencia en esas disposiciones.

3. Toda limitación deberá ser necesaria y proporcionada teniendo en cuenta los riesgos para los derechos y las libertades de los interesados y el respeto del contenido esencial de los derechos y las libertades fundamentales en una sociedad democrática.

4. Si se estudia aplicar una limitación, deberá llevarse a cabo una prueba de la necesidad y la proporcionalidad basada en las presentes normas. Esta se documentará con una nota interna de evaluación para cumplir con la obligación de rendir cuentas en cada caso.

5. Las limitaciones se levantarán tan pronto como dejen de cumplirse las circunstancias que las hubieran justificado; en particular, cuando se considere que el ejercicio del derecho limitado ya no anula el efecto de la limitación impuesta ni afecta negativamente a los derechos o las libertades de los demás interesados.

Artículo 4

Revisión por parte del delegado de protección de datos

1. (El responsable de protección de datos de) Fusión para la Energía informará a su delegado de protección de datos (en lo sucesivo, «DPD»), sin dilaciones indebidas, de toda situación en la que el responsable del tratamiento limite la aplicación de los derechos de los interesados o prorrogue la limitación de conformidad con la presente Decisión. El responsable del tratamiento proporcionará al DPD acceso al registro que contenga la evaluación de la necesidad y la proporcionalidad de la limitación y documentará en dicho registro la fecha de la notificación al DPD.

2. El DPD podrá solicitar por escrito al responsable del tratamiento que revise la aplicación de las limitaciones. Este notificará por escrito al DPD el resultado de la revisión solicitada.

3. El responsable del tratamiento notificará al DPD el levantamiento de las limitaciones.

Artículo 5

Comunicación de información al interesado

a)	la realización de investigaciones administrativas y procedimientos disciplinarios;

b)	las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)	los procedimientos de denuncia de irregularidades;

d)	los procedimientos (formales e informales) en casos de acoso;

e)	las tramitaciones de quejas internas y externas;

f)	las auditorías internas;

g)	las investigaciones realizadas por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

h)	las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

En los avisos de protección de datos, las declaraciones de confidencialidad y privacidad o los registros, en el sentido del artículo 31 del Reglamento (UE) 2018/1725, publicados en el sitio web o en la intranet donde se informe a los interesados de sus derechos en el marco de determinado procedimiento, Fusión para la Energía incluirá información relativa a la posible limitación de dichos derechos. La comunicación indicará qué derechos pueden ser objeto de limitaciones.

2. Sin perjuicio de lo dispuesto en el apartado 3, cuando resulte proporcionado, Fusión para la Energía también notificará de manera individualizada a todos los titulares de datos que se consideren interesados en la operación de tratamiento concreta, cuáles son sus derechos con respecto a las limitaciones presentes o futuras, sin dilaciones indebidas y por escrito.

3. Cuando Fusión para la Energía limite, total o parcialmente, la comunicación de información a los interesados a que se refiere el apartado 2, hará constar los motivos de la limitación y el fundamento jurídico con arreglo al artículo 3 de la presente Decisión, incluida una evaluación de la necesidad y la proporcionalidad de la limitación.

Se deberá registrar la consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes. Dicha consignación y dichos documentos se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.

4. La limitación a que se refiere el apartado 3 seguirá en vigor mientras los motivos que la justifiquen sigan siendo aplicables.

Cuando los motivos que justifiquen la limitación dejen de ser aplicables, Fusión para la Energía informará al interesado de los principales motivos en que se hubiera basado la aplicación de la limitación. Al mismo tiempo, Fusión para la Energía informará al interesado del derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos en cualquier momento o a interponer un recurso ante el Tribunal de Justicia de la Unión Europea.

Fusión para la Energía revisará la aplicación de la limitación cada seis meses desde la fecha de su adopción y al cierre de la investigación o el procedimiento pertinentes. Posteriormente, el responsable del tratamiento deberá supervisar cada seis meses la necesidad de mantener cualquier limitación.

Artículo 6

Derecho de acceso del interesado

a)	la realización de investigaciones administrativas y procedimientos disciplinarios;

b)	las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)	los procedimientos de denuncia de irregularidades;

d)	los procedimientos (formales e informales) en casos de acoso;

e)	las tramitaciones de quejas internas y externas;

f)	el tratamiento de datos médicos, únicamente en casos justificados específicos (6);

g)	las auditorías internas;

h)	las investigaciones realizadas por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

i)	las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

Cuando los interesados soliciten el acceso a sus datos personales tratados en el contexto de uno o varios casos específicos o respecto a una determinada operación de tratamiento, de conformidad con el artículo 17 del Reglamento (UE) 2018/1725, Fusión para la Energía deberá circunscribir su evaluación de la solicitud a dichos datos personales únicamente.

2. Cuando Fusión para la Energía limite, en su totalidad o en parte, el derecho de acceso a que se refiere el artículo 17 del Reglamento (UE) 2018/1725, deberá adoptar las siguientes medidas:

a)	informará al interesado, en su respuesta a la solicitud, de la limitación y de los principales motivos de esta, así como de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer un recurso ante el Tribunal de Justicia de la Unión Europea;

b)	documentará en una nota interna de evaluación los motivos de la limitación, incluida una evaluación de la necesidad, la proporcionalidad y la duración de la limitación.

3. Se deberá registrar la consignación y, en su caso, los documentos que contengan los elementos de hecho y de derecho subyacentes. Dicha consignación y dichos documentos se pondrán a disposición del Supervisor Europeo de Protección de Datos, previa solicitud.

Artículo 7

Derecho de rectificación, supresión y limitación del tratamiento de datos

a)	la realización de investigaciones administrativas y procedimientos disciplinarios;

b)	las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)	los procedimientos de denuncia de irregularidades;

d)	los procedimientos (formales e informales) en casos de acoso;

e)	las tramitaciones de quejas internas y externas;

f)	el tratamiento de datos médicos, únicamente en casos justificados específicos (7);

g)	las auditorías internas;

h)	las investigaciones realizadas por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

i)	las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

2. Cuando Fusión para la Energía limite, total o parcialmente, la aplicación del derecho a la rectificación, supresión o limitación del tratamiento a que se refieren el artículo 18; el artículo 19, apartado 1, y el artículo 20, apartado 1, del Reglamento (UE) 2018/1725, adoptará las medidas contempladas en el artículo 6, apartados 2 y 3, de la presente Decisión.

Artículo 8

Comunicación de una violación de la seguridad de los datos personales al interesado y confidencialidad de las comunicaciones electrónicas

1. En los casos debidamente justificados y en las condiciones estipuladas en la presente Decisión, el responsable del tratamiento podrá limitar el derecho a la comunicación de una violación de la seguridad de los datos personales, cuando resulte necesario y adecuado, en el contexto de las siguientes operaciones de tratamiento:

a)	la realización de investigaciones administrativas y procedimientos disciplinarios;

b)	las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)	los procedimientos de denuncia de irregularidades;

d)	los procedimientos (formales e informales) en casos de acoso;

e)	las tramitaciones de quejas internas y externas;

f)	las auditorías internas;

g)	las investigaciones realizadas por el delegado de protección de datos en consonancia con lo dispuesto en el artículo 45, apartado 2, del Reglamento (UE) 2018/1725;

h)	las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

a)	la realización de investigaciones administrativas y procedimientos disciplinarios;

b)	las actividades preliminares relacionadas con casos de posibles irregularidades puestas en conocimiento de la OLAF;

c)	los procedimientos de denuncia de irregularidades;

d)	los procedimientos formales en casos de acoso;

e)	las tramitaciones de quejas internas y externas;

f)	las investigaciones sobre la seguridad (informática) realizadas internamente o con la participación de agentes externos (por ejemplo, CERT-UE).

3. Cuando Fusión para la Energía limite la comunicación de una violación de la seguridad de los datos personales al interesado o la confidencialidad de las comunicaciones electrónicas a que se refieren los artículos 35 y 36 del Reglamento (UE) 2018/1725, se aplicará lo dispuesto en el artículo 5, apartados 3 y 4, de la presente Decisión.

Artículo 9

Entrada en vigor

La presente Decisión entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Barcelona, el 9 de diciembre de 2019.

Por Fusión para la Energía

Joaquín SÁNCHEZ

Presidente del Consejo de Gobierno

(1) DO L 295 de 21.11.2018, p. 39.

(2) DO L 90 de 30.3.2007, p. 58.

(3) DO L 248 de 18.9.2013, p. 1.

(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(5) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(6) Estas situaciones se explican en la Comunicación sobre protección de la intimidad (por ejemplo, acceso al expediente médico en presencia del médico de F4E), una limitación general del acceso a las notas personales de los médicos en el marco del procedimiento de invalidez en consonancia con la limitación prevista en el artículo 25, apartado 1, letra h), del nuevo Reglamento (es decir, la protección del interesado o de los derechos y las libertades de los demás).

(7) Estas situaciones se explican en la Comunicación sobre protección de la intimidad (por ejemplo, la rectificación se limita a los datos administrativos).

		ISSN 1977-0685
Diario Oficial de la Unión Europea		L 37

Edición en lengua española	Legislación	63.° año 10 de febrero de 2020

Sumario		II Actos no legislativos	Página
		REGLAMENTOS
	*	Reglamento de Ejecución (UE) 2020/178 de la Comisión de 31 de enero de 2020 relativo a la presentación de información a los viajeros procedentes de terceros países y a los clientes de servicios postales y de determinados operadores profesionales en lo que se refiere a las prohibiciones de introducción de vegetales, productos vegetales y otros objetos en el territorio de la Unión de conformidad con el Reglamento (UE) 2016/2031 del Parlamento Europeo y del Consejo	1
	*	Reglamento de Ejecución (UE) 2020/… de la Comisión de 3 de febrero de 2020 por el que se aprueba una modificación del pliego de condiciones de una indicación geográfica de bebida espirituosa registrada [Berliner Kümmel]	4
	*	Reglamento de Ejecución (UE) 2020/180 de la Comisión de 7 de febrero de 2020 relativo a la autorización de un preparado de Bacillus subtilis KCCM 10673P y Aspergillus oryzae KCTC 10258BP como aditivo en piensos para todas las especies animales ( 1 )	5
		DECISIONES
	*	Decisión de Ejecución (UE) 2020/181 de la Comisión de 7 de febrero de 2020 relativa a determinadas medidas provisionales de protección por lo que respecta a la peste porcina africana en Grecia [notificada con el número C(2020) 799] ( 1 )	8
		REGLAMENTOS INTERNOS Y DE PROCEDIMIENTO
	*	Decisión del Consejo de Administración de la Agencia de la Unión Europea para la Ciberseguridad de 21 de noviembre de 2019 relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la ENISA	11
	*	Decisión del Consejo de Gobierno de Fusión para la Energía de 9 de diciembre de 2019 relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de Fusión para la Energía	18