DECISÃO DO COMITÉ DIRETOR

sobre normas internas relativas a limitações de certos direitos dos titulares dos dados em relação ao tratamento de dados pessoais no contexto de atividades realizadas pela Agência de Execução relativa à Educação, ao Audiovisual e à Cultura

O COMITÉ DIRETOR,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 249.o, n.o 1,

Tendo em conta o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (1) (a seguir «Regulamento»), nomeadamente o artigo 25.o,

Tendo em conta a Decisão de Execução 2013/776/UE da Comissão, de 18 de dezembro de 2013, que institui a Agência de Execução relativa à Educação, ao Audiovisual e à Cultura, e que revoga a Decisão 2009/336/CE (2),

Tendo consultado a Autoridade Europeia para a Proteção de Dados,

Considerando o seguinte:

(1)	A Agência de Execução relativa à Educação, ao Audiovisual e à Cultura (a seguir «Agência») foi instituída pela Decisão de Execução 2013/776/UE para o desempenho das funções associadas à execução de programas da União no domínio da educação, do audiovisual e da cultura (3).

(2)

No âmbito do respetivo funcionamento operacional e administrativo, a Agência pode proceder a inquéritos administrativos e a processos pré-disciplinares, disciplinares e de suspensão, em conformidade com o Estatuto dos Funcionários da União Europeia e o Regime aplicável aos outros agentes da União Europeia, estabelecidos no Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho (4) (a seguir «Estatuto dos Funcionários»), e com as disposições de execução relativas à condução dos inquéritos administrativos e dos processos disciplinares. Caso seja necessário, a Agência pode realizar atividades preliminares relacionadas com possíveis casos de fraude e irregularidades e pode notificar situações ao OLAF.

(3)

Os membros do pessoal da Agência têm a obrigação de comunicar atividades potencialmente ilegais, incluindo a fraude e a corrupção, que sejam lesivas dos interesses da União. Os membros do pessoal estão também obrigados a comunicar os atos relacionados com o exercício de atividades profissionais que sejam suscetíveis de constituir um incumprimento grave das obrigações dos funcionários da União. O que precede é regulamentado por políticas ou regras internas no que concerne à denúncia de irregularidades.

(4)

A Agência instaurou uma política para prevenir e lidar eficazmente com casos atuais ou futuros de assédio psicológico e sexual no local de trabalho, conforme previsto nas medidas de execução nos termos do Estatuto dos Funcionários que estipula um procedimento informal mediante o qual a alegada vítima de assédio pode entrar em contacto com os conselheiros confidenciais da Agência.

(5)	A Agência pode igualmente realizar investigações de segurança internas (tecnologias da informação) e relativas a potenciais violações de regras de segurança de informações classificadas da União Europeia («ICUE»).

(6)	A Agência é sujeita a auditorias internas e externas relativas às respetivas atividades, incluindo autorias realizadas pelos Serviços de Auditoria Interna da Comissão Europeia e do Tribunal de Contas Europeu.

(7)	A Agência pode tratar de pedidos da Procuradoria Europeia, tratar de pedidos de acesso a relatórios médicos dos membros do pessoal da Agência e proceder a investigações efetuadas pelo encarregado da proteção de dados, em consonância com o artigo 45.o, n.o 2, do Regulamento.

(8)	No contexto desses inquéritos administrativos, auditorias, investigações e requerimentos, a Agência coopera com outras instituições, órgãos, organismos e agências da União.

(9)	A Agência pode cooperar com as autoridades nacionais e as organizações internacionais de países terceiros, quer a pedido destas quer por iniciativa própria.

(10)	A Agência pode também cooperar com as autoridades públicas dos Estados-Membros da UE, quer a pedido destas quer por iniciativa própria.

(11)	A Agência pode estar sujeita a reclamações, processos ou investigações originadas por denunciantes ou pelo Provedor de Justiça Europeu.

(12)

A Agência intervém em processos no Tribunal de Justiça da União Europeia quando submete uma questão à apreciação do Tribunal de Justiça, quando defende uma decisão que tenha adotado e que tenha sido contestada perante o Tribunal de Justiça ou quando intervém em processos relevantes para as suas funções. Neste contexto, a Agência poderá ter de preservar a confidencialidade dos dados pessoais contidos em documentos obtidos pelas partes ou pelos intervenientes.

(13)

No contexto das suas atividades, a Agência trata de diversas categorias de dados pessoais, incluindo dados de identificação de pessoas singulares, informações de contacto, funções e responsabilidades profissionais, informações sobre a conduta e o desempenho privado e profissional e dados financeiros, bem como dados sensíveis (por exemplo, dados relativos à saúde), em alguns casos específicos. Os dados pessoais incluem dados «concretos» reais e dados de avaliação «indicativos».

Por «dados concretos» entende-se dados objetivos reais, tais como dados de identificação, dados de contacto, dados profissionais, informações administrativas, metadados relacionados com comunicações eletrónicas e dados de tráfego.

Por «dados indicativos» entende-se dados subjetivos que incluem, nomeadamente, a descrição e avaliação de situações e circunstâncias, os pareceres, as observações relacionadas com os titulares dos dados, a avaliação da conduta e do desempenho dos titulares dos dados e a fundamentação das decisões individuais apresentadas ou relacionadas com o objeto do procedimento ou da atividade realizada pela Agência, em conformidade com o quadro jurídico aplicável.

As avaliações, as observações e os pareceres são considerados dados pessoais na aceção do artigo 3.o, n.o 1, do Regulamento.

(14)	Por conseguinte, nos termos do Regulamento, a Agência é obrigada a prestar informações aos titulares dos dados sobre essas atividades de tratamento e a respeitar os seus direitos enquanto titulares de dados.

(15)

Compete à Agência respeitar, tanto quanto possível, os direitos fundamentais dos titulares dos dados, em especial o direito de comunicação de informações, o direito de acesso e retificação, o direito ao apagamento, o direito à limitação do tratamento, o direito de comunicação ao titular dos dados de uma violação de dados pessoais ou o direito de confidencialidade da comunicação, conforme estabelecido no Regulamento. No entanto, a Agência pode igualmente ser obrigada a limitar os direitos e as obrigações do titular dos dados para efeitos de proteção das respetivas atividades e dos direitos e liberdades fundamentais de terceiros.

(16)

Por conseguinte, o artigo 25.o, n.os 1 e 5, do Regulamento, concede à Agência a possibilidade de limitar, mediante determinadas condições, a aplicação dos artigos 14.o a 22.o, 35.o e 36.o, bem como do artigo 4.o do Regulamento, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 20.o. As limitações devem ter por base regras internas adotadas ao mais alto nível de direção da Agência e sujeitas a publicação no Jornal Oficial da União Europeia, sempre que não se baseiem em atos jurídicos adotados com base nos Tratados.

(17)

Podem aplicar-se limitações a diferentes direitos dos titulares dos dados, incluindo comunicação de informações a titulares de dados, direito de acesso, retificação, apagamento, limitação do tratamento, comunicação de uma violação de dados pessoais ao titular dos dados ou confidencialidade da comunicação, conforme estabelecido no Regulamento.

(18)

A Agência poderá ser obrigada a conciliar esses direitos com os objetivos dos inquéritos administrativos, auditorias, investigações e processos judiciais. Pode igualmente ser-lhe exigido que pondere os direitos de um titular dos dados em face dos direitos e liberdades fundamentais de outros titulares de dados.

(19)

A Agência poderá, por exemplo, ter de limitar as informações que fornece a um titular de dados acerca do tratamento dos seus dados pessoais durante a fase de avaliação preliminar de um inquérito administrativo ou durante o próprio inquérito, antes de um eventual arquivamento do processo ou na fase pré-disciplinar. Em determinadas circunstâncias, a prestação dessas informações pode afetar seriamente a capacidade da Agência para conduzir o inquérito de forma eficaz, sempre que, por exemplo, exista o risco do titular de dados destruir provas ou interferir com potenciais testemunhas antes de estas serem inquiridas. A Agência poderá também ter de proteger os direitos e liberdades das testemunhas, bem como os de outras pessoas envolvidas.

(20)

Poderá ser necessário proteger o anonimato de uma testemunha ou de um denunciante que tenha pedido para não ser identificado. Nesse caso, a Agência pode decidir limitar o acesso à identidade, às declarações e a outros dados pessoais dessas pessoas ou do suspeito, a fim de proteger os seus direitos e liberdades.

(21)

Poderá ser necessário proteger as informações confidenciais de um membro do pessoal que tenha contactado os conselheiros confidenciais da Agência no contexto de um procedimento de assédio. Nesse caso, a Agência pode decidir limitar o acesso à identidade, às declarações e a outros dados pessoais da alegada vítima, do alegado autor do assédio e de outras pessoas envolvidas, a fim de proteger os direitos e liberdades de todas as partes em causa.

(22)

No que concerne aos procedimentos de seleção e recrutamento, avaliação do pessoal e procedimentos de adjudicação de contratos públicos, o direito de acesso, retificação, apagamento e limitação apenas pode ser exercido em determinados momentos e nas condições previstas nos procedimentos pertinentes, a fim de salvaguardar os direitos de outros titulares de dados e cumprir os princípios da igualdade de tratamento e do sigilo das deliberações.

(23)

A Agência pode também limitar o acesso dos indivíduos aos respetivos dados médicos, por exemplo, de natureza psicológica ou psiquiátrica, devido à potencial sensibilidade de tais dados, e o serviço médico da Comissão pode apenas conceder acesso indireto aos titulares dos dados através do seu próprio médico. O titular dos dados pode exercer o direito de retificação das avaliações ou pareceres do serviço médico da Comissão mediante a apresentação dos seus comentários ou de um relatório de um médico à sua escolha.

(24)

A Agência, representada pelo seu diretor, atua como responsável pelo tratamento dos dados, sem prejuízo de subsequentes delegações dessa função no seio da Agência, a fim de refletir as responsabilidades operacionais no que se refere a atividades de tratamento de dados pessoais específicas por parte dos «responsáveis pelo tratamento dos dados delegados».

(25)

Os dados pessoais são armazenados em segurança num meio eletrónico, em conformidade com a Decisão (UE, Euratom) 2017/46 da Comissão (5) relativa à segurança dos sistemas de comunicação e de informação na Comissão Europeia, ou em papel, a fim de impedir o acesso ilícito ou a transferência de dados para pessoas sem qualquer necessidade de tomar conhecimento dos mesmos. Os dados pessoais tratados são conservados apenas durante o tempo necessário e adequado às finalidades do respetivo tratamento, num período especificado nos avisos sobre a proteção de dados e nos registos da Agência.

(26)

A Agência apenas deve aplicar limitações quando estas respeitem a essência dos direitos e liberdades fundamentais, sejam estritamente necessárias e constituam uma medida proporcionada numa sociedade democrática. A Agência deve apresentar os motivos que justificam tais limitações, bem como informar os titulares dos dados dos referidos motivos e do seu direito de apresentar uma reclamação à AEPD, conforme previsto no artigo 25.o, n.o 6, do Regulamento.

(27)	Em cumprimento do princípio da responsabilização, a Agência deve manter um registo da sua aplicação de limitações.

(28)

Ao tratar dados pessoais trocados com outras organizações no âmbito das suas funções, a Agência e essas organizações deverão consultar-se mutuamente sobre os motivos potenciais para impor limitações e sobre a necessidade e proporcionalidade dessas limitações, a menos que tal comprometa as atividades da Agência.

(29)

Assim, as referidas regras internas devem ser aplicáveis a todas as atividades de tratamento de dados pessoais realizadas pela Agência aquando da realização de inquéritos administrativos, processos disciplinares, atividades preliminares relacionadas com possíveis casos de irregularidades comunicadas ao OLAF, investigações da Procuradoria Europeia, procedimentos de denúncia de irregularidades, procedimentos (formais e informais) de casos de assédio, tratamento de reclamações internas e externas, pedidos de acesso ou retificação dos próprios relatórios médicos, investigações realizadas pelo encarregado da proteção de dados, em consonância com o artigo 45.o, n.o 2, do Regulamento, investigações de segurança (inclusive na área das tecnologias da informação) tratadas internamente ou com envolvimento externo (por exemplo, CERT-UE), auditorias, processos no Tribunal de Justiça da União Europeia ou autoridades públicas nacionais, procedimentos de seleção e recrutamento, avaliação do pessoal e de adjudicação de contratos públicos, conforme enumerado supra.

(30)

Estas regras internas devem aplicar-se a atividades de tratamento realizadas antes do início dos procedimentos acima referidos, ao longo dos mesmos e durante a supervisão do seguimento dado aos seus resultados. Devem ainda abranger a assistência e a cooperação disponibilizadas pela Agência, fora do âmbito das suas investigações administrativas, a outras instituições da UE, a autoridades nacionais e a organizações internacionais.

(31)

Nos termos do artigo 25.o, n.o 8, do Regulamento, a Agência pode diferir, omitir ou recusar a prestação de informações sobre os motivos para a aplicação de uma limitação ao titular dos dados, caso tal seja suscetível de anular o efeito da limitação. A Agência deve avaliar, caso a caso, se a comunicação da limitação anularia o seu efeito.

(32)	A Agência deve levantar a limitação logo que as condições que a justificam deixem de ser aplicáveis e avaliar essas condições com regularidade.

(33)

A fim de garantir a máxima proteção dos direitos e liberdades dos titulares dos dados e em conformidade com o artigo 44.o, n.o 1, do Regulamento, o encarregado da proteção de dados da Agência deve ser consultado em tempo útil antes que quaisquer limitações possam ser aplicadas e verificar a sua conformidade com a presente decisão.

(34)	Os artigos 16.o, n.o 5, e 17.o, n.o 4, do Regulamento preveem exceções ao direito à informação e ao direito de acesso dos titulares de dados. Caso estas exceções sejam aplicáveis, não será necessário que a Agência aplique uma limitação nos termos da presente decisão,

ADOTOU A PRESENTE DECISÃO:

Artigo 1.o

Objeto e âmbito

1. A presente decisão estipula regras relativas às condições ao abrigo das quais a Agência de Execução relativa à Educação, ao Audiovisual e à Cultura ou qualquer um dos seus sucessores legais (a seguir «Agência») podem limitar a aplicação dos artigos 4.o, 14.o a 22.o, 35.o e 36.o, nos termos do artigo 25.o do Regulamento.

2. A Agência, enquanto responsável pelo tratamento dos dados, é representada pelo respetivo diretor, que pode delegar a função do responsável pelo tratamento dos dados.

Artigo 2.o

Limitações aplicáveis

1. A Agência pode limitar a aplicação dos artigos 14.o a 22.o, 35.o e 36.o, bem como do artigo 4.o do Regulamento, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 20.o.

2. A presente decisão é aplicável ao tratamento de dados pessoais realizado pela Agência no âmbito do respetivo funcionamento operacional e administrativo:

Nos termos do artigo 25.o, n.o 1, alíneas b), c), f), g) e h), do Regulamento, ao realizar investigações internas, incluindo investigações que tenham por base reclamações externas, inquéritos administrativos, processos pré-disciplinares, disciplinares e de suspensão ao abrigo do artigo 86.o e do anexo IX do Estatuto dos Funcionários e respetivas normas de execução, investigações de segurança ou inquéritos do OLAF;

Nos termos do artigo 25.o, n.o 1, alínea h), do Regulamento, ao assegurar que os membros do pessoal da Agência possam comunicar factos confidencialmente sempre que considerem que existem irregularidades graves, tal como previsto nas políticas ou regras internas em matéria de denúncia de irregularidades;

c)	Nos termos do artigo 25.o, n.o 1, alínea h), do Regulamento, ao assegurar que os membros do pessoal da Agência possam contactar os conselheiros confidenciais no contexto de um procedimento de assédio, conforme definido nas regras internas;

d)	Nos termos do artigo 25.o, n.o 1, alíneas c), g) e h), do Regulamento, ao realizar auditorias internas ou externas relativamente às atividades ou ao funcionamento da Agência;

Nos termos do artigo 25.o, n.o 1, alíneas d) e h), do Regulamento, ao garantir análises de segurança, incluindo cibersegurança e abusos dos sistemas informáticos, tratadas internamente ou com envolvimento externo (por exemplo, CERT-UE), ao assegurar a segurança interna mediante meios de videovigilância, controlo de acesso e fins de investigação, ao garantir a segurança dos sistemas de comunicação e informação e ao aplicar contramedidas técnicas de segurança;

f)	Nos termos do artigo 25.o, n.o 1, alíneas g) e h), do Regulamento, sempre que o encarregado da proteção de dados (a seguir «EPD») da Agência investigar questões diretamente relacionadas com as suas funções;

g)	Nos termos do artigo 25.o, n.o 1, alíneas b), g) e h), do Regulamento, no contexto das investigações realizadas pela Procuradoria Europeia;

h)	Nos termos do artigo 25.o, n.o 1, alínea h), do Regulamento, sempre que os indivíduos solicitem o acesso ou a retificação dos seus dados médicos, incluindo se estes estiverem na posse do serviço médico da Comissão;

Nos termos do artigo 25.o, n.o 1, alíneas c), d), g) e h), do Regulamento, ao prestar assistência a outras instituições, órgãos, organismos e agências da União, ao receber assistência destes ou ao cooperar com estes no contexto das atividades previstas nas alíneas a) a h) do presente número e nos termos dos acordos de nível de serviço, memorandos de entendimento e acordos de cooperação pertinentes do respetivo ato de estabelecimento;

j)	Nos termos do artigo 25.o, n.o 1, alíneas c), g) e h), do Regulamento, ao prestar assistência às autoridades nacionais de países terceiros e organizações internacionais, ao receber assistência destas ou ao cooperar com tais autoridades e organizações, quer a seu pedido, quer por iniciativa própria;

k)	Nos termos do artigo 25.o, n.o 1, alíneas c), g) e h), do Regulamento, ao prestar assistência e cooperação às autoridades públicas dos Estados-Membros da UE ou ao receber assistência e cooperação destas, quer a seu pedido quer por iniciativa própria;

l)	Nos termos do artigo 25.o, n.o 1, alínea e), do Regulamento, aquando do tratamento de dados pessoais constantes de documentos obtidos pelas partes ou pelos intervenientes no âmbito de um processo no Tribunal de Justiça da União Europeia.

Para efeitos da presente decisão, as atividades supramencionadas devem incluir ações de preparação e de seguimento diretamente relacionadas com a atividade em causa.

3. A Agência pode igualmente aplicar limitações, caso a caso, aos direitos dos titulares dos dados referidos na presente decisão, nas seguintes circunstâncias:

Sempre que os serviços da Comissão ou outras instituições, órgãos, organismos e agências da União tenham o direito de limitar o exercício dos direitos enumerados e a finalidade da limitação em causa por parte de tal serviço da Comissão ou instituições, organismos ou agências da União seja comprometida caso a Agência não implemente uma limitação equivalente no que concerne aos mesmos dados pessoais;

Sempre que as autoridades competentes dos Estados-Membros tenham o direito de limitar o exercício dos direitos enumerados e a finalidade da limitação em causa por parte de tal autoridade do Estado-Membro seja comprometida caso a Agência não implemente uma limitação equivalente no que concerne aos mesmos dados pessoais;

c)	Sempre que o exercício de tais direitos e obrigações comprometa a cooperação da Agência com países terceiros ou organizações internacionais na execução das suas funções, salvo se a necessidade de cooperação for anulada pelos interesses ou direitos e liberdades fundamentais do titular dos dados;

Antes de aplicar as limitações previstas no presente número, a Agência deve consultar, se necessário, os serviços competentes da Comissão, outras instituições, órgãos, organismos e agências da União, organizações internacionais ou autoridades competentes dos Estados-Membros, a menos que seja evidente que a limitação está prevista por um dos atos supramencionados ou que tal consulta possa comprometer as atividades da Agência.

4. As categorias de dados pessoais tratados relacionados com as atividades supra podem conter dados «concretos» reais e dados de avaliação «indicativos».

5. Qualquer limitação deve respeitar a essência dos direitos e das liberdades fundamentais e constituir uma medida necessária e proporcionada numa sociedade democrática.

Artigo 3.o

Documentação e registo das limitações

1. O responsável pelo tratamento dos dados deve elaborar um registo da limitação que indique:

a)	Os motivos para a aplicação da limitação nos termos da presente decisão;

b)	Quais dos motivos especificados no artigo 2.o são aplicáveis;

c)	De que modo o exercício do direito representaria um risco para o titular dos dados, comprometeria a finalidade das funções da Agência ou afetaria negativamente os direitos e liberdades de outros titulares dos dados;

d)	O resultado da avaliação da necessidade e proporcionalidade da limitação, tendo em consideração os elementos pertinentes do artigo 25.o, n.o 2, do Regulamento.

2. Deve ser efetuado um teste da necessidade e da proporcionalidade de uma limitação, caso a caso, antes da aplicação da mesma. O responsável pelo tratamento dos dados deve considerar os potenciais riscos para os direitos e liberdades dos titulares dos dados. As limitações devem limitar-se ao estritamente necessário para alcançar os seus objetivos.

3. O registo da limitação e, se for caso disso, os documentos que contêm os elementos factuais e jurídicos subjacentes devem ser registados. Estes elementos são colocados à disposição da Autoridade Europeia para a Proteção de Dados, a pedido desta.

Artigo 4.o

Riscos para os direitos e liberdades dos titulares de dados

1. As avaliações dos riscos para os direitos e liberdades dos titulares de dados decorrentes da imposição de limitações e os pormenores sobre o período de aplicação dessas limitações devem ser registados no registo das atividades de tratamento conservado pelo responsável pelo tratamento dos dados nos termos do artigo 31.o do Regulamento. Devem igualmente ser registados em quaisquer avaliações de impacto sobre a proteção de dados relativas a essas limitações realizadas nos termos do artigo 39.o do Regulamento, sempre que aplicável.

2. Sempre que o responsável pelo tratamento dos dados pondere aplicar uma limitação, os riscos para os direitos e as liberdades do titular dos dados devem ser avaliados, em especial, face aos riscos para os direitos e liberdades de outros titulares dos dados e ao risco de afetar negativamente as investigações ou procedimentos, nomeadamente através da destruição de provas. Os riscos para os direitos e liberdades do titular dos dados dizem respeito sobretudo, mas não exclusivamente, a riscos para a reputação e a riscos para o direito de defesa e para o direito a ser ouvido.

Artigo 5.o

Garantias e prazos de conservação

1. A Agência deve aplicar garantias para evitar o abuso ou o acesso ou transferência ilícitos dos dados pessoais relativamente aos quais se aplicam ou podem ser aplicadas limitações. Estas garantias incluem medidas técnicas e organizativas e, se necessário, devem ser descritas nas decisões, procedimentos e normas de execução internas da Agência. Tais garantias devem incluir:

a)	uma definição adequada das funções, responsabilidades e etapas processuais;

b)	se adequado, um ambiente eletrónico seguro que impeça o acesso ilícito e acidental ou a transferência de dados eletrónicos para pessoas não autorizadas;

c)	se for caso disso, a conservação segura e o tratamento de documentos em papel;

d)	a garantia do cumprimento das obrigações de confidencialidade por todas as pessoas que tenham acesso aos dados pessoais.

2. O período de conservação dos dados pessoais sujeitos a uma limitação deve ser definido no respetivo registo, nos termos do artigo 31.o do Regulamento, tendo em consideração a finalidade do tratamento e deve incluir o prazo necessário para as vias de recurso administrativo e judicial. No termo do período de conservação, os dados pessoais são apagados, anonimizados ou transferidos para arquivos em conformidade com o artigo 13.o do Regulamento.

Artigo 6.o

Duração das limitações

1. As limitações a que se refere o artigo 2.o continuam a aplicar-se enquanto se mantiverem aplicáveis as razões que as justificam.

2. Sempre que os motivos de uma limitação deixarem de ser aplicáveis, o responsável pelo tratamento dos dados deve abolir a limitação caso o exercício do direito limitado deixe de ter um impacto negativo no procedimento aplicável pertinente ou afetar negativamente os direitos ou liberdades de outros titulares dos dados.

3. Caso o titular dos dados tenha solicitado novamente o acesso aos dados pessoais em questão, o responsável pelo tratamento dos dados deve indicar os principais motivos para a limitação ao titular dos dados. Simultaneamente, a Agência deve informar o titular dos dados da possibilidade de, a qualquer momento, apresentar uma queixa à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial no Tribunal de Justiça da União Europeia.

4. A Agência deve reavaliar a aplicação das limitações referidas no artigo 2.o a cada seis meses.

Artigo 7.o

Participação do encarregado da proteção de dados

1. O responsável pelo tratamento dos dados da Agência informa o EPD da Agência sem demora injustificada e antes de qualquer decisão de limitar os direitos dos titulares dos dados nos termos da presente decisão ou de prolongar a aplicação da limitação. O responsável pelo tratamento dos dados deve conceder ao EPD acesso aos registos conexos e a quaisquer documentos relativos ao contexto factual ou jurídico.

2. O EPD pode solicitar ao responsável pelo tratamento a reavaliação da aplicação de uma limitação. O responsável pelo tratamento dos dados informa o EPD, por escrito, acerca do resultado da reavaliação solicitada.

3. O responsável pelo tratamento dos dados deve documentar a intervenção do EPD na aplicação da limitação, incluindo as informações comunicadas. Os documentos referidos no presente artigo devem ser incluídos no registo associado à limitação e devem ser colocados à disposição da AEPD mediante pedido da mesma.

Artigo 8.o

Informação ao titular dos dados sobre as limitações aos seus direitos

1. O responsável pelo tratamento dos dados deve incluir nos avisos e registos de proteção de dados ao abrigo do artigo 31.o do Regulamento, publicados no seu sítio web e na intranet, as informações gerais sobre as potenciais limitações dos direitos dos titulares dos dados nos termos do artigo 2.o, n.o 2, da presente decisão. As informações devem abranger as obrigações e os direitos que podem ser limitados, os motivos que podem justificar a aplicação das limitações e a duração da eventual limitação.

2. O responsável pelo tratamento dos dados deve informar individualmente os titulares dos dados, por escrito e sem demora injustificada, acerca das limitações atuais ou futuras aos seus direitos. O responsável pelo tratamento dos dados deve informar o titular dos dados acerca dos principais motivos em que se baseia a aplicação da limitação, do seu direito de consultar o encarregado da proteção de dados com vista a contestar a limitação e do seu direito de apresentar uma queixa à AEPD.

3. O responsável pelo tratamento dos dados pode diferir, omitir ou recusar a prestação de informações sobre os motivos de uma limitação e o direito de apresentar uma reclamação à AEPD, caso isso seja suscetível de anular o efeito da limitação. A avaliação de tal justificação deve ser efetuada caso a caso e o responsável pelo tratamento dos dados deve prestar as informações ao titular dos dados, logo que tal não anule o efeito da limitação.

Artigo 9.o

Direito de acesso do titular dos dados

1. Nos casos devidamente justificados e nas condições estipuladas na presente decisão, o direito de acesso ao abrigo do artigo 17.o do Regulamento pode ser limitado pelo responsável pelo tratamento dos dados sempre que tal seja necessário e proporcionado no que diz respeito às atividades ao abrigo da presente decisão.

2. Sempre que os titulares dos dados solicitem acesso aos seus dados pessoais tratados no contexto de uma atividade de tratamento específica referida no artigo 2.o, n.o 2, da presente decisão, a Agência deve limitar a sua resposta aos dados pessoais tratados para tal atividade.

3. Os direitos dos titulares dos dados ao acesso direto aos documentos de natureza psicológica ou psiquiátrica podem ser limitados. Nem o direito de acesso indireto, nem o direito de retificação e comunicação de uma violação de dados pessoais devem ser limitados por tais regras internas. Por conseguinte, um médico intermediário deve obter o acesso a todas as informações relacionadas, a pedido do indivíduo em causa, bem como poder discricionário sobre como e que acesso conceder ao titular dos dados.

4. Se o responsável pelo tratamento dos dados limitar, total ou parcialmente, o direito de acesso aos dados pessoais, conforme referido no artigo 17.o do Regulamento, este deve informar o titular dos dados em causa, por escrito, na sua resposta ao pedido de acesso, da limitação aplicada e dos principais motivos para tal, bem como da possibilidade de apresentar uma reclamação à AEPD ou de instaurar uma ação judicial no Tribunal de Justiça da União Europeia.

5. A comunicação das informações relativas à limitação de acesso pode ser adiada, omitida ou recusada caso se presuma que anule o efeito da limitação, em conformidade com o artigo 25.o, n.o 8, do Regulamento.

6. Deve ser aplicada uma limitação ao abrigo do presente artigo, em conformidade com a presente decisão.

Artigo 10.o

Direito de retificação, apagamento e limitação do tratamento

1. Nos casos devidamente justificados e nas condições estipuladas na presente decisão, os direitos de retificação, apagamento e limitação do tratamento ao abrigo dos artigos 18.o, 19.o, n.o 1, e 20.o, n.o 1, do Regulamento podem ser limitados pelo responsável pelo tratamento dos dados, sempre que necessário e adequado no que diz respeito às atividades ao abrigo do artigo 2.o, n.o 2, da presente decisão.

2. No que concerne aos dados médicos, os titulares dos dados podem exercer o direito de retificação da avaliação ou do parecer do serviço médico da Comissão mediante a apresentação dos seus comentários ou de um relatório de um médico à sua escolha, incluindo apresentação direta ao serviço médico da Comissão.

3. Deve ser aplicada uma limitação ao abrigo do presente artigo, em conformidade com a presente decisão.

Artigo 11.o

Comunicação de violações de dados pessoais ao titular dos dados

1. Sempre que o responsável pelo tratamento dos dados esteja obrigado a comunicar uma violação de dados nos termos do artigo 35.o, n.o 1, do Regulamento, este pode, em circunstâncias excecionais, limitar total ou parcialmente essa comunicação. Deve documentar em nota as razões da limitação, o seu fundamento jurídico nos termos do artigo 2.o e uma avaliação da sua necessidade e proporcionalidade. A nota deve ser comunicada à AEPD no momento da notificação da violação de dados pessoais.

2. Se os motivos da limitação deixarem de se aplicar, a Agência deve comunicar a violação dos dados pessoais ao titular dos dados e informá-lo dos principais motivos da limitação e do seu direito de apresentar uma reclamação à AEPD.

Artigo 12.o

Confidencialidade das comunicações eletrónicas

1. Em circunstâncias excecionais, a Agência pode limitar o direito à confidencialidade das comunicações eletrónicas previsto no artigo 36.o do Regulamento. Tais limitações devem cumprir o disposto na Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (6).

2. Sem prejuízo do artigo 8.o, n.o 3, sempre que a Agência limita o direito à confidencialidade das comunicações eletrónicas, deve informar o titular dos dados em causa, na sua resposta a qualquer pedido deste, acerca dos principais motivos em que se baseia a aplicação da limitação e do seu direito de apresentar uma reclamação à AEPD.

Artigo 13.o

Entrada em vigor

A presente decisão entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

Feito em Bruxelas, em 22 de outubro de 2020.

Pelo Comité Diretor

O Presidente

Themis CHRISTOPHIDOU

(1) JO L 295 de 21.11.2018, p. 39.

(2) Decisão de Execução 2013/776/UE da Comissão, de 18 de dezembro de 2013, que institui a Agência de Execução relativa à Educação, ao Audiovisual e à Cultura, e que revoga a Decisão 2009/336/CE (JO L 343 de 19.12.2013, p. 46); posteriormente alterada pelas Decisões de Execução (UE) 2018/1716/UE (JO L 286 de 14.11.2018, p. 33) e (UE) 2019/1855/UE (JO L 285 de 6.11.2019, p. 14).

(3) Decisão da Comissão C(2013) 9189, de 18 de dezembro de 2013, que delega poderes à EACEA para o desempenho das funções associadas à execução de programas da União no domínio da educação, do audiovisual e da cultura, incluindo, nomeadamente, a execução de dotações inscritas no orçamento geral da União e das dotações do FED. A referida decisão foi posteriormente alterada pela Decisão da Comissão C(2014) 4084 de 26 de junho de 2014, Decisão da Comissão C(2015) 658 de 12 de fevereiro de 2015, Decisão da Comissão C(2016) 401 de 1 de fevereiro de 2016, Decisão da Comissão C(2016) 1851 de 31 de março de 2016, Decisão da Comissão C(2017) 3049 de 12 de maio de 2017, Decisão da Comissão C(2018) 5011 de 1 de agosto de 2018, Decisão da Comissão C(2018) 7435 de 13 de novembro de 2018, Decisão da Comissão C(2019) 1299 de 19 de fevereiro de 2019, e Decisão da Comissão C(2019) 7856 de 6 de novembro de 2019.

(4) Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho, de 29 de fevereiro de 1968, que fixa o Estatuto dos Funcionários das Comunidades Europeias assim como o Regime aplicável aos outros agentes destas Comunidades, e institui medidas especiais temporariamente aplicáveis aos funcionários da Comissão (JO L 56 de 4.3.1968, p. 1).

(5) Decisão (UE, Euratom) 2017/46 da Comissão, de 10 de janeiro de 2017, relativa à segurança dos sistemas de comunicação e de informação na Comissão Europeia (JO L 6 de 11.1.2017, p. 40).

(6) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (JO L 201 de 31.7.2002, p. 37).