DECISÃO n.o 4/2022 DA MESA DO COMITÉ DAS REGIÕES

de 25 de janeiro de 2022

que estabelece normas internas relativas a limitações de certos direitos dos titulares dos dados em relação ao tratamento de dados pessoais no contexto de atividades e procedimentos realizados pelo Comité das Regiões

A MESA DO COMITÉ DAS REGIÕES,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia (1), nomeadamente o artigo 306.o,

Tendo em conta o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (2) (a seguir designado «Regulamento» ou «RPDUE»), nomeadamente o artigo 25.o,

Tendo em conta o Regimento do Comité das Regiões Europeu (3), nomeadamente o artigo 37.o, alínea d),

Tendo em conta o parecer D(2021) 0894 (processo 2021-0345) da Autoridade Europeia para a Proteção de Dados (a seguir designada «AEPD»), de 20 de abril de 2021, consultada em conformidade com o artigo 41.o, n.o 2, do RPDUE,

Considerando o seguinte:

(1)	Nos termos do artigo 3.o, n.o 1, do RPDUE, as informações relativas a uma pessoa singular identificada ou identificável («titular dos dados») devem ser consideradas dados pessoais.

(2)	O Regulamento é aplicável ao Comité das Regiões (a seguir designado «Comité»), tal como às outras instituições da União, no que diz respeito ao tratamento de dados pessoais no contexto das atividades e dos procedimentos que o Comité realiza.

(3)	O responsável pelo tratamento na aceção do artigo 3.o, n.o 8, do RPDUE é o Comité, que pode delegar a responsabilidade pela determinação das finalidades e dos meios de tratamento dos dados pessoais.

(4)

Nos termos do artigo 45.o, n.o 3, do RPDUE, a Mesa do Comité das Regiões (a seguir designada «Mesa») adotou disposições de execução (4) relativas ao regulamento e ao encarregado da proteção de dados do Comité (a seguir designado «EPD»). Em conformidade com essas disposições, o serviço (direção, unidade ou setor) do Secretariado-Geral do Comité ou o secretariado de um dos grupos políticos do Comité que, isoladamente ou em conjunto com outros, determina as finalidades e os meios de tratamento de dados pessoais deve, relativamente a esses dados, agir em nome do Comité na qualidade de responsável pelo tratamento delegado.

(5)

O Comité e o Comité Económico e Social Europeu (a seguir designado «CESE») partilham determinados serviços e recursos (a seguir designados «Serviços Conjuntos») no contexto da cooperação interinstitucional, e as normas internas aplicáveis relativas a limitações dos direitos dos titulares dos dados por parte dos Serviços Conjuntos devem ser determinadas em conformidade com os acordos celebrados entre o Comité e o CESE para esse efeito.

(6)

Para cumprir as funções do Comité, os responsáveis pelo tratamento recolhem e tratam informações e diversas categorias de dados pessoais, incluindo os dados de identificação de pessoas singulares, os dados de contacto, as funções e tarefas profissionais, as informações sobre conduta e desempenho privados e profissionais e os dados financeiros. Por conseguinte, nos termos do Regulamento, os responsáveis pelo tratamento estão obrigados a prestar informações aos titulares dos dados sobre as atividades que realizam nesse domínio e a respeitar os seus direitos enquanto titulares dos dados.

(7)

Os responsáveis pelo tratamento poderão ser obrigados a conciliar esses direitos com os objetivos dos inquéritos, investigações, verificações, atividades, auditorias e procedimentos realizados no Comité. Poderá igualmente ser-lhes exigido que ponderem os direitos de um titular dos dados em face dos direitos e liberdades fundamentais de outros titulares de dados. Para o efeito, o artigo 25.o, n.o 1, do RPDUE confere aos responsáveis pelo tratamento a possibilidade de limitar a aplicação dos artigos 14.o, 15.o, 16.o, 17.o, 18.o, 19.o, 20.o, 21.o, 22.o, 35.o e 36.o do RPDUE, bem como do artigo 4.o do RPDUE, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 22.o do RPDUE.

(8)	Os responsáveis pelo tratamento apenas devem aplicar limitações quando estas respeitem a essência dos direitos e liberdades fundamentais e constituam uma medida estritamente necessária e proporcionada numa sociedade democrática.

(9)	Os responsáveis pelo tratamento devem indicar os motivos que justificam tais limitações e conservar um registo da aplicação de limitações aos direitos dos titulares dos dados.

(10)	Os responsáveis pelo tratamento devem levantar a limitação logo que as condições que a justificaram deixam de ser aplicáveis. Devem reexaminar regularmente essas condições.

(11)	A fim de garantir a máxima proteção dos direitos e liberdades dos titulares dos dados, o encarregado da proteção de dados deve ser consultado em tempo útil antes da eventual aplicação das limitações para verificar a sua conformidade com a presente decisão.

(12)	A menos que as limitações estejam previstas num ato jurídico adotado com base nos Tratados (5), cumpre adotar normas internas que confiram aos responsáveis pelo tratamento o direito de limitar os direitos dos titulares dos dados.

(13)	A presente decisão não se deve aplicar nos casos em que seja aplicável uma das exceções previstas nos artigos 15.o, n.o 4, e 16.o, n.o 5, do RPDUE no que diz respeito às informações a comunicar ao titular dos dados,

ADOTOU A PRESENTE DECISÃO:

Artigo 1.o

Objeto, âmbito de aplicação e definições

1. A presente decisão estabelece as disposições gerais relativas às condições em que, nos termos do artigo 25.o, n.o 1, do RPDUE, os responsáveis pelo tratamento podem limitar a aplicação, consoante o caso, dos artigos 14.o, 15.o, 16.o, 17.o, 18.o, 19.o, 20.o, 21.o, 22.o, 35.o e 36.o do RPDUE, bem como do artigo 4.o do RPDUE, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 22.o do RPDUE.

2. Para efeitos da presente decisão, entende-se por:

«dados pessoais», as informações relativas a um titular dos dados tratadas durante a realização de atividades ou procedimentos não abrangidos pelo capítulo 4 ou capítulo 5 do título V da parte III do Tratado sobre o Funcionamento da União Europeia, por oposição aos dados pessoais operacionais na aceção do artigo 3.o, n.o 2, do RPDUE;

«responsável pelo tratamento», a entidade que, individualmente ou em conjunto com outras entidades, determina efetivamente as finalidades e os meios de tratamento dos dados pessoais no contexto das atividades e dos procedimentos realizados pelo Comité, independentemente de a responsabilidade por tal determinação ter sido delegada.

3. A presente decisão é aplicável ao tratamento de dados pessoais para as finalidades das atividades e dos procedimentos realizados pelo Comité. Não é aplicável nos casos em que um ato jurídico adotado com base nos Tratados prevê uma limitação dos direitos dos titulares dos dados.

4. O responsável pelo tratamento na aceção do artigo 3.o, n.o 8, do RPDUE é o Comité, que pode delegar a responsabilidade pela determinação das finalidades e dos meios de tratamento dos dados pessoais.

5. Para efeitos de cada operação de tratamento, limitação e adiamento, omissão ou recusa de informação, o responsável pelo tratamento é determinado em conformidade com as decisões, os procedimentos e as disposições de execução pertinentes internos do Comité.

Artigo 2.o

Exceções e derrogações

1. Antes de aplicar uma limitação ao abrigo do artigo 3.o, n.o 1, os responsáveis pelo tratamento determinam se é aplicável alguma das exceções ou derrogações estabelecidas no Regulamento, nomeadamente as previstas nos artigos 15.o, n.o 4, 16.o, n.o 5, 19.o, n.o 3, 25.o, n.o 3 e n.o 4, e 35.o, n.o 3, do RPDUE.

2. A aplicação de derrogações está sujeita a garantias de proteção adequadas, em conformidade com o artigo 13.o do RPDUE e o artigo 6.o da presente decisão.

Artigo 3.o

Limitações

1. Os responsáveis pelo tratamento podem limitar a aplicação, consoante o caso, dos artigos 14.o, 15.°, 16.°, 17.°, 18.°, 19.°, 20.°, 21.°, 22.°, 35.° e 36.° do RPDUE, bem como do artigo 4.o do RPDUE, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 22.° do RPDUE, sempre que o exercício dos direitos por parte dos titulares dos dados possa afetar negativamente a finalidade ou o resultado de uma ou mais das atividades ou dos procedimentos realizados pelo Comité, nomeadamente:

nos termos do artigo 25.o, n.o 1, alíneas b), c), f), g) e h), do RPDUE, quando a entidade competente para proceder a nomeações e a entidade competente para celebrar contratos de provimento do Comité (a seguir designadas «autoridade investida do poder de nomeação») levam a cabo processos disciplinares, inquéritos administrativos e averiguações relacionadas com questões relativas ao pessoal em conformidade com o artigo 86.o do Estatuto dos Funcionários da União Europeia (a seguir designado «Estatuto dos Funcionários») e o anexo IX do Estatuto dos Funcionários, bem como com os artigos 50.o-A e 119.° do Regime Aplicável aos Outros Agentes da União Europeia (6) (a seguir designado «Regime Aplicável» ou «ROA»), e inquéritos no contexto de pedidos de assistência apresentados nos termos do artigo 24.o do Estatuto dos Funcionários e dos artigos 11.o e 81.° do ROA e no que diz respeito a alegados casos de assédio, na aceção do artigo 12.o-A do Estatuto dos Funcionários;

nos termos do artigo 25.o, n.o 1, alíneas b), c), f) e h), do RPDUE, quando a autoridade investida do poder de nomeação analisa pedidos e denúncias apresentados por funcionários e outros agentes do Comité (a seguir designados «membros do pessoal») em conformidade com o artigo 90.o do Estatuto dos Funcionários e os artigos 46.o e 117.o do ROA;

c)	nos termos do artigo 25.o, n.o 1, alíneas c) e h), do RPDUE, quando a autoridade investida do poder de nomeação executa a política de pessoal do Comité através da realização de procedimentos de seleção (recrutamento), avaliação (aferição) e promoção;

nos termos do artigo 25.o, n.o 1, alíneas c), f), g) e h), do RPDUE, quando o gestor orçamental do Comité (a seguir designado «gestor orçamental») executa a secção do orçamento geral da União Europeia relativa ao Comité através da realização de procedimentos de adjudicação em conformidade com as disposições financeiras aplicáveis ao orçamento geral da União (7) (a seguir designadas «Regulamento Financeiro»);

nos termos do artigo 25.o, n.o 1, alíneas b), c), f), g) e h), do RPDUE, quando o gestor orçamental procede a controlos e investigações quanto à legalidade de transações financeiras realizadas pelo Comité e no âmbito deste, relativamente aos direitos financeiros (8) dos membros efetivos e suplentes do Comité (a seguir designados «membros do Comité»), e no que diz respeito ao financiamento das atividades e dos eventos organizados ou coorganizados pelo Comité, e trata de irregularidades financeiras por parte de membros do pessoal em conformidade com o artigo 93.o do Regulamento Financeiro;

nos termos do artigo 25.o, n.o 1, alíneas b), c), f), g) e h), do RPDUE, quando o Comité fornece informações e documentos ao Organismo Europeu de Luta Antifraude (a seguir designado «OLAF»), quer a pedido do OLAF quer por iniciativa própria, comunica casos ao OLAF ou trata informações e documentos recebidos do OLAF (9);

g)	nos termos do artigo 25.o, n.o 1, alíneas c), g) e h), do RPDUE, quando o Comité procede a auditorias internas para efeitos dos artigos 118.o e 119.o do Regulamento Financeiro e no que diz respeito às atividades e aos procedimentos dos respetivos serviços;

nos termos do artigo 25.o, n.o 1, alíneas c), d) e h), do RPDUE, quando o Comité procede a avaliações dos riscos internas, controlos de acesso, incluindo verificações de antecedentes, medidas de prevenção e investigação de incidentes de segurança e proteção, nomeadamente incidentes em que estejam envolvidos membros do Comité ou membros do pessoal, bem como incidentes relacionados com a infraestrutura e as tecnologias da informação e comunicação do Comité, e também inquéritos de segurança e inquéritos auxiliares, nomeadamente das respetivas redes de comunicações eletrónicas, por iniciativa própria ou a pedido de terceiros;

nos termos do artigo 25.o, n.o 1, alíneas c), d) e h), do RPDUE, quando o EPD, por iniciativa própria ou mediante pedido de terceiros, realiza investigações sobre questões e ocorrências diretamente relacionadas com as suas funções de que tenha tomado conhecimento, em conformidade com o artigo 45.o, n.o 2, do RPDUE;

nos termos do artigo 25.o, n.o 1, alínea h), do RPDUE, quando os responsáveis pelo tratamento tratam dados pessoais obtidos no contexto da denúncia de boa-fé, por parte de um membro do pessoal, de elementos factuais que apontam para a existência de possíveis atividades ilegais, incluindo fraude ou corrupção, lesivas dos interesses da União («irregularidades graves») ou de condutas relacionadas com o exercício de atividades profissionais que possam constituir incumprimento grave das obrigações dos membros do pessoal («culpa grave»);

k)	nos termos do artigo 25.o, n.o 1, alínea h), do RPDUE, quando os responsáveis pelo tratamento tratam dados pessoais obtidos por conselheiros confidenciais no contexto do procedimento informal para alegados casos de assédio;

nos termos do artigo 25.o, n.o 1, alínea h), do RPDUE, quando os responsáveis pelo tratamento tratam dados pessoais relativos à saúde («dados médicos») quer de um membro do Comité quer de um membro do pessoal, nomeadamente de natureza psicológica ou psiquiátrica, que constem do processo médico na posse do Comité sobre o titular dos dados em causa;

nos termos do artigo 25.o, n.o 1, alínea e), do RPDUE, quando os responsáveis pelo tratamento tratam dados pessoais constantes de documentos produzidos ou obtidos pelas partes ou pelos intervenientes no âmbito de um processo no Tribunal de Justiça da União Europeia (a seguir designado «Tribunal de Justiça»);

nos termos do artigo 25.o, n.o 1, alíneas b), c), d), g) e h), do RPDUE, quando o Comité presta assistência a outras instituições, órgãos e organismos da União (a seguir designados «instituições da UE») ou recebe assistência destes e coopera com os mesmos no contexto das atividades ou dos procedimentos a que se refere o n.o 1, alíneas (a) a (m), e em conformidade com os acordos de nível de serviço, os memorandos de entendimento e os acordos de cooperação aplicáveis;

o)	nos termos do artigo 25.o, n.o 1, alíneas b), c), g) e h), do RPDUE, quando o Comité presta assistência a autoridades dos Estados-Membros ou de países terceiros ou a organizações internacionais, ou recebe assistência e coopera com as mesmas, quer a seu pedido quer por iniciativa própria;

p)	nos termos do artigo 25.o, n.o 1, alíneas a), b), e) e f), do RPDUE, quando o Comité fornece às autoridades dos Estados-Membros ou de países terceiros ou a organizações internacionais informações e documentos por estas solicitados no contexto de inquéritos.

2. As limitações a que se refere o n.o 1 podem dizer respeito tanto a dados pessoais objetivos («dados tangíveis») como subjetivos («dados intangíveis»), nomeadamente, embora não exclusivamente, a uma ou mais das seguintes categorias:

a)	Dados de identificação;

b)	Dados de contacto;

c)	Dados profissionais (10);

d)	Dados financeiros;

e)	Dados de vigilância (11);

f)	Dados de tráfego (12);

g)	Dados médicos (13);

h)	Dados genéticos (13);

i)	Dados biométricos (13);

j)	Dados relativos à vida sexual ou orientação sexual de pessoas singulares (13);

k)	Dados que revelem a origem racial ou étnica, as crenças religiosas ou filosóficas, as opiniões ou afiliações políticas ou a pertença a organizações sindicais (13);

l)	Dados que revelem o desempenho ou a conduta de pessoas singulares que participam em procedimentos de seleção (recrutamento), avaliação (aferição) ou promoção (14);

m)	Dados sobre a presença de pessoas singulares;

n)	Dados sobre as atividades externas de pessoas singulares;

o)	Dados relativos a suspeitas de infração, infrações, condenações penais ou medidas de segurança;

p)	Comunicações eletrónicas;

q)	Todos os outros dados relativos ao objeto da atividade ou procedimento pertinente que obriga ao tratamento de tais dados.

3. Qualquer limitação deve respeitar a essência dos direitos e liberdades fundamentais e constituir uma medida necessária e proporcionada numa sociedade democrática e deve ser limitada ao estritamente necessário para alcançar o seu objetivo.

4. Qualquer limitação total ou parcial à aplicação do artigo 36.o do RPDUE (Confidencialidade das comunicações eletrónicas) nos termos do n.o 1, deve cumprir as disposições aplicáveis do direito da União em matéria de privacidade das comunicações eletrónicas (15).

5. Os responsáveis pelo tratamento reexaminam periodicamente a aplicação das limitações a que se refere o n.o 1, pelo menos de seis em seis meses a partir da respetiva adoção mas também quando da alteração de elementos essenciais e decisivos do processo e da conclusão ou término da atividade ou do procedimento que deu origem às limitações. Daí em diante, verificam, anualmente, a necessidade de manter uma determinada limitação.

6. As limitações a que se refere o n.o 1 continuam a ser aplicáveis enquanto subsistirem os motivos que as justificam. Nos casos em que os motivos que justificam uma limitação referida no n.o 1 deixam de existir, os responsáveis pelo tratamento levantam a limitação.

7. Quando do tratamento de dados pessoais recebidos de terceiros no âmbito das funções do Comité, os responsáveis pelo tratamento consultam esses terceiros sobre as razões potenciais para impor limitações e sobre a necessidade e proporcionalidade das limitações em causa, a menos que tal afete negativamente as atividades ou os procedimentos do Comité.

Artigo 4.o

Avaliação da necessidade e proporcionalidade

1. Antes da aplicação de eventuais limitações, os responsáveis pelo tratamento analisam, caso a caso, se as limitações em questão são necessárias e proporcionadas.

2. Sempre que os responsáveis pelo tratamento avaliam a necessidade e a proporcionalidade de uma limitação, consideram os potenciais riscos para os direitos e liberdades dos titulares dos dados.

3. As avaliações dos riscos para os direitos e liberdades dos titulares dos dados decorrentes da imposição de limitações, nomeadamente o risco de os dados pessoais poderem vir a ser novamente tratados sem o seu conhecimento e o risco de os titulares dos dados poderem vir a ser impedidos de exercer os seus direitos em conformidade com o Regulamento, bem como os pormenores sobre o período de aplicação de tais limitações, são inscritos no registo de atividades de tratamento conservado pelos responsáveis pelo tratamento nos termos do artigo 31.o, n.o 1, do RPDUE. São igualmente registados em eventuais avaliações de impacto sobre a proteção de dados relativas a essas limitações realizadas nos termos do artigo 39.o do RPDUE.

Artigo 5.o

Documentação e registo das limitações

1. Sempre que aplicam limitações, os responsáveis pelo tratamento registam:

a)	os motivos da aplicação das limitações;

b)	a fundamentação da aplicação das limitações;

c)	a forma como o exercício dos direitos dos titulares dos dados afetaria negativamente a finalidade ou o resultado de uma ou mais das atividades ou dos procedimentos realizados pelo Comité;

d)	o resultado da avaliação a que se refere o artigo 4.o, n.o 1.

2. Os registos a que se refere o n.o 1 fazem parte do registo central previsto no artigo 31.o, n.o 5, do RPDUE e são disponibilizados, mediante pedido, à AEPD.

3. Nos casos em que os responsáveis pelo tratamento limitam a aplicação do artigo 35.o do RPDUE (Comunicação de violações de dados pessoais ao titular dos dados), o registo a que se refere o n.o 1 é incluído na notificação à AEPD prevista no artigo 34.o, n.o 1, do RPDUE.

Artigo 6.o

Garantias e período de conservação

1. Os responsáveis pelo tratamento aplicam garantias para evitar o abuso, o acesso ou a transferência ilícitos dos dados pessoais passíveis de estarem sujeitos a limitações nos termos do artigo 3.o, n.o 1. Estas garantias incluem medidas técnicas e organizativas adequadas e, se for caso disso, são descritas pormenorizadamente nas decisões, nos procedimentos e nas disposições de execução pertinentes internos do Comité.

2. As garantias a que se refere o n.o 1 incluem:

a)	uma definição clara das funções, responsabilidades e etapas processuais;

b)	se for caso disso, um ambiente eletrónico seguro que evite o acesso ilícito ou acidental a dados eletrónicos por pessoas não autorizadas ou a sua transferência ilícita ou acidental para pessoas não autorizadas;

c)	se for caso disso, a conservação segura e o tratamento de documentos em papel;

d)	a monitorização adequada das limitações e um reexame periódico da sua aplicação.

3. Os dados pessoais são conservados em conformidade com as regras de conservação do Comité aplicáveis (16), a definir nos registos mantidos pelos responsáveis pelo tratamento nos termos do artigo 31.o, n.o 1, do RPDUE. No final do período de conservação, os dados pessoais são, consoante o caso, eliminados, anonimizados de forma que o titular dos dados em causa não seja ou deixe de ser identificável ou transferidos para os arquivos do Comité, em conformidade com o artigo 13.o do RPDUE.

Artigo 7.o

Informação ao titular dos dados sobre as limitações dos seus direitos

1. Os avisos relativos à proteção de dados publicados no sítio Web do Comité e na sua Intranet incluem uma secção com informações gerais para os titulares dos dados sobre as potenciais limitações dos seus direitos no contexto das atividades e dos procedimentos do Comité que implicam o tratamento dos respetivos dados pessoais. Esta secção especifica os direitos passíveis de serem limitados, os fundamentos em que assenta a aplicação das limitações, a potencial duração de tais limitações e as vias de recurso administrativas e legais à disposição dos titulares dos dados.

2. Sempre que aplicam limitações, os responsáveis pelo tratamento informam diretamente, sem demoras indevidas e no formato mais adequado, cada titular dos dados em causa sobre:

a)	eventuais limitações atuais ou futuras dos seus direitos;

b)	os motivos principais em que se baseia a aplicação da limitação;

c)	o seu direito de consultar o EPD com vista a contestar a limitação;

d)	o seu direito de apresentar queixa à AEPD;

e)	o seu direito de recorrer judicialmente ao Tribunal de Justiça.

3. Não obstante o disposto no n.o 2, nos casos em que os responsáveis pelo tratamento limitam, em situações excecionais, a aplicação do artigo 35.o do RPDUE (Comunicação de violações de dados pessoais ao titular dos dados), devem comunicar a violação de dados pessoais ao titular dos dados em causa e fornecer as informações referidas no n.o 2, alíneas (b), (d) e (e), assim que os motivos para a limitação dessa comunicação deixem de existir.

4. Não obstante o disposto no n.o 2, nos casos em que os responsáveis pelo tratamento limitam, em situações excecionais, a aplicação do artigo 36.o do RPDUE (Confidencialidade das comunicações eletrónicas), devem fornecer as informações referidas no n.o 2 na sua resposta a qualquer pedido do titular dos dados em causa.

5. Os responsáveis pelo tratamento podem adiar, omitir ou recusar a comunicação das informações a que se refere o n.o 2 («adiamento, omissão ou recusa de informação») enquanto tal comunicação prejudicar o efeito da limitação. Comunicam ao titular dos dados em causa as informações a que se refere o n.o 2, assim que tal já não torne a limitação ineficaz.

6. O artigo 4.o e o artigo 5.o são aplicáveis por analogia relativamente a qualquer caso de adiamento, omissão ou recusa de informação.

Artigo 8.o

Participação do encarregado da proteção de dados do Comité

1. Os responsáveis pelo tratamento informam o EPD por escrito, sem demoras indevidas, sempre que limitam os direitos de um titular dos dados nos termos do artigo 3.o, n.o 1, realizam os reexames periódicos a que se refere o artigo 3.o, n.o 5, levantam as limitações conforme previsto no artigo 3.o, n.o 6, ou adiam, omitem ou recusam a comunicação das informações a que se refere o artigo 7.o, n.o 2, nos termos do artigo 7.o, n.o 5. Mediante pedido, o EPD tem acesso aos registos associados e a quaisquer documentos que contenham elementos factuais ou legais subjacentes.

2. O EPD pode solicitar aos responsáveis pelo tratamento que reexaminem eventuais limitações existentes, bem como adiamentos, omissões ou recusas de informação, e a aplicação das mesmas. O EPD é informado por escrito do resultado do reexame solicitado.

3. A participação do EPD prevista no n.o 1 e no n.o 2 em relação à aplicação de limitações e aos adiamentos, omissões ou recusas de informação é devidamente documentada pelos responsáveis pelo tratamento, incluindo as informações partilhadas com o EPD.

4. Mediante pedido, o EPD emite parecer destinado aos responsáveis pelo tratamento sobre a determinação das respetivas responsabilidades no contexto de um acordo de responsabilidade conjunta pelo tratamento nos termos do artigo 28.o, n.o 1, do RPDUE.

Artigo 9.o

Serviços Conjuntos

O EPD coopera com o responsável pela proteção de dados do CESE relativamente ao tratamento de dados pessoais pelos Serviços Conjuntos, a fim de assegurar a execução efetiva da presente decisão.

Artigo 10.o

Disposições finais

1. Se for caso disso, o secretário-geral pode emitir instruções ou adotar medidas de execução para, se necessário, especificar e aplicar as disposições da presente decisão, no respeito desta última.

2. A presente decisão entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

Bruxelas, 25 de janeiro de 2022.

Pela Mesa do Comité das Regiões

Apostolos TZITZIKOSTAS

Presidente

(1) JO C 202 de 7.6.2016, p. 47.

(2) JO L 295 de 21.11.2018, p. 39.

(3) JO L 472 de 30.12.2021, p. 1.

(4) Decisão n.o 19/2020 da Mesa do Comité das Regiões, de 9 de outubro de 2020, que estabelece as disposições de execução do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados (a seguir designada «Decisão n.o 19/2020»).

(5) O Tratado da União Europeia (TUE) (JO C 202 de 7.6.2016, p 13) e o Tratado sobre o Funcionamento da União Europeia (TFUE).

(6) Anexo do Regulamento n.o 31 (CEE), n.o 11 (CEEA) do Conselho, que fixa o Estatuto dos Funcionários e o Regime Aplicável aos Outros Agentes da Comunidade Económica Europeia e da Comunidade Europeia da Energia Atómica (JO P 45 de 14.6.1962, p. 1385), com a redação que lhe foi dada pelo Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho, de 29 de fevereiro de 1968, que fixa o Estatuto dos Funcionários das Comunidades Europeias assim como o Regime Aplicável aos Outros Agentes destas Comunidades, e institui medidas especiais temporariamente aplicáveis aos funcionários da Comissão (JO L 56 de 4.3.1968, p. 1), tal como posteriormente alterado, reformulado, aditado ou de outra forma modificado.

(7) Regulamento (UE, Euratom) 2018/1046 do Parlamento Europeu e do Conselho, de 18 de julho de 2018, relativo às disposições financeiras aplicáveis ao orçamento geral da União, que altera os Regulamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 e (UE) n.o 283/2014, e a Decisão n.o 541/2014/UE, e revoga o Regulamento (UE, Euratom) n.o 966/2012 (JO L 193 de 30.7.2018, p. 1).

(8) Incluindo, entre outros, subsídios para despesas gerais, subsídios dos funcionários, subsídios para equipamentos e instalações, ajudas de custo em geral, de viagem e por dia de reunião (inclusive à distância), bem como outros subsídios concedidos nos termos do artigo 238.o do Regulamento Financeiro.

(9) O presente ponto não é aplicável ao tratamento de dados pessoais em que o OLAF atua na qualidade de responsável único pelo tratamento, nomeadamente nos casos em que o OLAF trata dados pessoais conservados nas instalações do Comité.

(10) Incluindo, entre outros, contratos de trabalho, contratos com prestadores de serviços e dados relativos a missões.

(11) Incluindo, entre outros, gravações de áudio e de vídeo e registos de entrada e saída.

(12) Incluindo, entre outros, horas de início («log-on») e de fim («log-off») de sessão, acesso a aplicações internas e a recursos na rede e utilização da Internet.

(13) Desde que tais dados sejam tratados nos termos do artigo 10.o, n.o 2, do RPDUE.

(14) Incluindo, entre outros, provas escritas, discursos gravados, fichas de avaliação e as avaliações, observações ou opiniões dos avaliadores.

(15) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).

(16) Decisão n.o 129/2003 do Secretário-Geral do Comité das Regiões, de 17 de junho de 2003, relativa à gestão documental do Comité das Regiões.