Decisão do Conselho de Administração da Agência da União Europeia para a Cibersegurança, de 21 de novembro – Normas internas em matéria de limitações de determinados direitos dos titulares de dados em relação ao tratamento de dados pessoais no contexto do funcionamento da ENISA.
Relativa às normas internas em matéria de limitações de determinados direitos dos titulares de dados em relação ao tratamento de dados pessoais no contexto do funcionamento da ENISA.
https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32020Q0210(01)&from=EN
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (1), e em particular o artigo 25.o do mesmo,
Tendo em conta o Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (2), e em particular o artigo 15, n.o 1, do mesmo,
Tendo em conta o parecer da Autoridade Europeia para a Proteção de Dados (AEPD), de 17 de outubro de 2019, bem como as suas orientações relativas ao artigo 25.o do Regulamento (UE) 2018/1725 e às normas internas,
Considerando o seguinte:
(1) Em conformidade com o artigo 25.o, n.o 1, do Regulamento (UE) 2018/1725, as limitações à aplicação dos artigos 14.o a 22.o, 35.o e 36.o, bem como do artigo 4.o do mesmo regulamento, na medida em que as disposições deste artigo correspondam aos direitos e obrigações previstos nos artigos 14.o a 22.o, devem basear-se nas normas internas a adotar pela ENISA, quando estas não se baseiem em atos normativos adotados com base nos Tratados.
(2) Estas normas internas, incluindo as respetivas disposições sobre a avaliação da necessidade e da proporcionalidade de uma limitação, não devem aplicar-se nos casos em que um ato normativo adotado com base nos Tratados preveja uma limitação dos direitos do titular dos dados.
(3) Nos casos em que a ENISA desempenha as suas funções relativamente a direitos do titular dos dados nos termos do Regulamento (UE) 2018/1725, deve ter em conta se são aplicáveis algumas das derrogações previstas nesse regulamento.
(4) No contexto do seu funcionamento administrativo, a ENISA pode conduzir inquéritos administrativos e processos disciplinares, levar a cabo atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao Organismo Europeu de Luta Antifraude (OLAF), tratar casos de denúncias, tratar procedimentos (formais e informais) relativos a casos de assédio, tratar reclamações internas e externas, realizar auditorias internas, conduzir avaliações de incidentes de cibersegurança nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019/881, levar a cabo investigações através do encarregado da proteção de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725, e realizar investigações em matéria de segurança (informática) interna.
A ENISA trata várias categorias de dados pessoais, incluindo dados tangíveis (dados «objetivos», como dados de identificação, dados de contacto, dados profissionais, detalhes administrativos, dados recebidos de fontes específicas, comunicações eletrónicas e dados de tráfego) e/ou dados intangíveis (dados «subjetivos» relacionados com o caso, como fundamentações, dados comportamentais, avaliações, dados de desempenho e conduta e dados relacionados com ou apresentados no âmbito da matéria a que se refere o procedimento ou a atividade).
(5) A ENISA, representada pelo seu diretor-executivo, atua como responsável pelo tratamento dos dados, sem prejuízo de subsequentes delegações dessa função no seio da ENISA, a fim de refletir as responsabilidades operacionais no que se refere a operações específicas de tratamento de dados pessoais.
(6) Os dados pessoais são armazenados em segurança num ambiente eletrónico ou em papel, evitando o acesso ou a transferência ilícitos de dados para pessoas que não tenham de os conhecer. Os dados pessoais tratados são conservados apenas durante o tempo necessário e adequado às finalidades do respetivo tratamento, num período especificado nos avisos sobre a proteção de dados, nas declarações de privacidade ou nos registos da ENISA.
(7) Estas normas internas devem aplicar-se a todas as operações de tratamento realizadas pela ENISA no âmbito de inquéritos administrativos, processos disciplinares, atividades relacionadas com casos de eventuais irregularidades comunicadas ao OLAF, procedimentos de denúncia, procedimentos (formais e informais) relativos a casos de assédio, tratamento de reclamações internas e externas, auditorias internas, avaliações de incidentes de cibersegurança nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019/881, investigações realizadas pelo encarregado da proteção de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725, e investigações em matéria de segurança (informática) levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE).
(8) Estas normas internas devem aplicar-se a operações de tratamento realizadas antes do início dos procedimentos acima referidos, ao longo dos mesmos e durante a supervisão do seguimento dado aos resultados de tais procedimentos. Devem ainda abranger a assistência e a cooperação disponibilizadas pela ENISA, fora do âmbito das suas investigações administrativas, a autoridades nacionais e a organizações internacionais.
(9) Sempre que tais normas internas se apliquem, a ENISA tem de apresentar justificações em que explique a razão pela qual as limitações são estritamente necessárias e proporcionadas numa sociedade democrática, e a forma como respeitam a essência dos direitos e liberdades fundamentais.
(10) Neste contexto, compete à ENISA respeitar tanto quanto possível, durante os procedimentos acima referidos, os direitos fundamentais dos titulares dos dados, em especial os relacionados com o direito de comunicação de informações, direito de acesso e retificação, direito ao apagamento, limitação do tratamento, direito de comunicação ao titular dos dados de uma violação de dados pessoais ou a confidencialidade da comunicação, conforme estabelecido no Regulamento (UE) 2018/1725.
(11) Contudo, a ENISA poderá ser obrigada a limitar a comunicação de informações ao titular dos dados, e outros direitos deste, a fim de proteger, em especial, as suas próprias investigações, as investigações e os processos de outras autoridades públicas, bem como os direitos de outras pessoas relacionadas com as suas investigações ou com outros procedimentos.
(12) Assim, a ENISA pode limitar a comunicação de informações para proteger a investigação e os direitos e liberdades fundamentais de outros titulares de dados.
(13) A ENISA deve verificar regularmente se as condições que justificam a limitação ainda se mantêm e anular essa limitação em caso negativo.
(14) O responsável pelo tratamento deve informar o encarregado da proteção de dados aquando da prorrogação de uma limitação e durante as respetivas revisões.
(15) Dada a importância das normas internas para a proteção dos direitos do titular de dados, a decisão deve entrar em vigor o mais rapidamente possível após a sua publicação no Jornal Oficial da União Europeia,
ADOTOU A PRESENTE DECISÃO:
Artigo 1.o
Objeto e âmbito
1. A presente decisão estabelece as regras relativas às condições em que a ENISA, no âmbito dos seus procedimentos descritos no n.o 2, pode limitar a aplicação dos direitos consagrados nos artigos 14.o a 21.o, 35.o e 36.o do Regulamento (UE) 2018/1725, bem como no artigo 4.o, conforme previsto no artigo 25.o do mesmo regulamento.
2. No âmbito do funcionamento administrativo da ENISA, a presente decisão aplica-se às operações de tratamento de dados pessoais realizadas pela ENISA com as seguintes finalidades: realizar inquéritos administrativos, processos disciplinares, atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF, tratar casos de denúncia, procedimentos (formais e informais) de assédio, tratar reclamações internas e externas, realizar auditorias internas, conduzir avaliações de incidentes de cibersegurança nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019/881, investigações realizadas pelo encarregado da proteção de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725, e investigações em matéria de segurança (informática), levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE).
3. As categorias de dados em questão consistem em dados tangíveis (dados «objetivos», como dados de identificação, dados de contacto, dados profissionais, detalhes administrativos, dados recebidos de fontes específicas, comunicações eletrónicas e dados de tráfego) e/ou dados intangíveis (dados «subjetivos» relacionados com o caso, como fundamentações, dados comportamentais, avaliações, dados de desempenho e conduta e dados relacionados com ou apresentados no âmbito da matéria a que se refere o procedimento ou a atividade).
4. Nos casos em que a ENISA desempenha as suas funções relativamente a direitos do titular dos dados nos termos do Regulamento (UE) 2018/1725, deve ter em conta se são aplicáveis algumas das derrogações previstas nesse regulamento.
5. Sob reserva das condições estabelecidas na presente decisão, as limitações podem aplicar-se aos seguintes direitos: comunicação de informações a titulares de dados, direito de acesso, retificação, apagamento, limitação do tratamento, comunicação de uma violação de dados pessoais ao titular dos dados ou confidencialidade da comunicação.
Artigo 2.o
Especificação do responsável pelo tratamento e salvaguardas
1. As salvaguardas existentes para evitar violações, fugas ou divulgações não autorizadas de dados são as seguintes:
a) os documentos em papel são mantidos em armários de arquivo seguros e estão acessíveis apenas a membros autorizados do pessoal;
b) todos os dados eletrónicos são conservados numa aplicação informática segura, de acordo com as normas de segurança da ENISA, bem como em pastas eletrónicas específicas, acessíveis apenas a membros autorizados do pessoal. Os níveis adequados de acesso são concedidos individualmente;
c) o acesso à base de dados está protegido por uma palavra-passe num sistema de início de sessão único e associado automaticamente à palavra-passe e ao ID do utilizador. A substituição de utilizadores é estritamente proibida. Os registos eletrónicos são mantidos em segurança para salvaguardar a confidencialidade e a privacidade dos dados que contêm;
d) todas as pessoas que disponham de acesso aos dados estão sujeitas à obrigação de confidencialidade.
2. O responsável pelas operações de tratamento é a ENISA, representada pelo seu diretor-executivo, que pode delegar a função de responsável pelo tratamento. Os titulares dos dados devem ser informados acerca do responsável pelo tratamento delegado por meio dos avisos sobre a proteção de dados ou de registos publicados no sítio Web e/ou na intranet da ENISA.
3. O período de conservação dos dados pessoais mencionado no artigo 1.o, n.o 3, não deve exceder o necessário e adequado para os fins a que se destina o tratamento dos dados. Em qualquer caso, não pode exceder o período de conservação indicado nos avisos sobre a proteção de dados, nas declarações de privacidade ou nos registos a que se refere o artigo 5.o, n.o 1.
4. Sempre que a ENISA pondere aplicar uma limitação, os riscos para os direitos e liberdades do titular dos dados devem ser avaliados, em especial, face aos riscos para os direitos e liberdades de outros titulares dos dados e ao risco de anular o efeito de investigações ou procedimentos da ENISA, nomeadamente através da destruição de provas. Os riscos para os direitos e liberdades do titular dos dados dizem respeito sobretudo, mas não exclusivamente, a riscos para a reputação e a riscos para o direito de defesa e o direito a ser ouvido.
Artigo 3.o
Limitações
1. A ENISA só pode aplicar uma limitação a fim de salvaguardar:
a) a prevenção, investigação, deteção e repressão de infrações penais, ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;
b) outros objetivos importantes do interesse público geral da União ou de um Estado-Membro, em particular, os objetivos da política externa e de segurança comum da União, ou um interesse económico ou financeiro importante da União ou de um Estado-Membro, inclusive de ordem monetária, orçamental e fiscal, de saúde pública e de segurança social;
c) a segurança interna das instituições e órgãos da União, incluindo a das suas redes de comunicações eletrónicas;
d) a prevenção, investigação, deteção e repressão de violações da deontologia de profissões regulamentadas;
e) uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) e b);
f) a defesa do titular dos dados ou dos direitos e liberdades de terceiros.
2. A avaliação dos incidentes de cibersegurança efetuada pela ENISA nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019/881 (Regulamento Cibersegurança) é abrangida pelo n.o 1, alínea (b), do presente artigo.
3. Enquanto aplicação específica dos fins descritos no n.o 1 acima, a ENISA pode aplicar limitações em relação a dados pessoais trocados com serviços da Comissão ou com outras instituições, órgãos, agências e serviços da União, autoridades competentes dos Estados-Membros ou de países terceiros ou organizações internacionais, respetivamente, nas seguintes circunstâncias:
a) nos casos em que o exercício desses direitos e obrigações puder ser limitado por serviços da Comissão ou outras instituições, órgãos, agências e serviços da União com base noutros atos previstos no artigo 25.o do Regulamento (UE) 2018/1725, ou em conformidade com o capítulo IX desse regulamento, ou com os atos constitutivos de outras instituições, órgãos, agências e serviços da União;
b) no caso em que o exercício desses direitos e obrigações puder ser limitado pelas autoridades competentes dos Estados-Membros com base nos atos referidos no artigo 23.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (3), ou ao abrigo de medidas nacionais de transposição dos artigos 13.o, n.o 3, 15.o, n.o 3, ou 16.o, n.o 3, da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (4);
c) nos casos em que o exercício desses direitos e obrigações possa pôr em causa a cooperação da ENISA com países terceiros ou organizações internacionais no exercício das suas funções.
Antes de aplicar limitações nas circunstâncias referidas nas alíneas a) e b) do primeiro parágrafo, a ENISA deve consultar os serviços competentes da Comissão, de outras instituições, órgãos, agências e serviços da União ou de autoridades competentes dos Estados-Membros, salvo se para a ENISA for claro que a aplicação de uma limitação está prevista num dos atos referidos nessas alíneas.
4. Qualquer limitação deve ser necessária e proporcionada, tendo em conta os riscos para os direitos e liberdades dos titulares dos dados, devendo ainda respeitar a essência dos direitos e liberdades fundamentais numa sociedade democrática.
5. Se for ponderada a aplicação de uma limitação, deve ser realizado um teste de necessidade e de proporcionalidade baseado nas presentes regras. O mesmo deve ser documentado, caso a caso, mediante uma nota de avaliação interna, para efeitos de responsabilização.
6. As limitações devem ser anuladas assim que cessarem as circunstâncias que as justificam. Em especial, é esse o caso quando se considera que o exercício do direito limitado já não anula o efeito da limitação imposta nem afeta negativamente os direitos ou liberdades de outros titulares dos dados.
Artigo 4.o
Reexame pelo encarregado da proteção de dados
1. A ENISA deve informar, sem demora injustificada, o seu encarregado da proteção de dados (o «EPD») sempre que o responsável pelo tratamento limite a aplicação de direitos dos titulares dos dados, ou prorrogue a limitação, em conformidade com a presente decisão. O responsável pelo tratamento deve conceder ao EPD acesso ao registo que contém a avaliação da necessidade e proporcionalidade da limitação, bem como documentar, nesse registo, a data em que informou o EPD. A ENISA deve envolver o EPD em todos os procedimentos pertinentes e a participação do EPD deve ser documentada.
2. O EPD pode pedir por escrito, ao responsável pelo tratamento, o reexame da aplicação das limitações. O responsável pelo tratamento deve informar o EPD, por escrito, acerca do resultado do reexame solicitado.
3. O responsável pelo tratamento deve informar o EPD aquando do levantamento da limitação.
Artigo 5.o
Comunicação de informações ao titular dos dados
1. Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito à informação pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento:
a) realização de inquéritos administrativos e de processos disciplinares;
b) atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;
c) procedimentos de denúncia;
d) procedimentos (formais e informais) relativos a casos de assédio;
e) tratamento de reclamações internas e externas;
f) auditorias internas;
g) investigações realizadas pelo encarregado da proteção de dados, em consonância com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725;
h) investigações em matéria de segurança (informática) levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE);
i) avaliações de incidentes de cibersegurança realizadas pela ENISA nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019/881, em conformidade com o artigo 3.o, n.o 2, da presente decisão.
Nos avisos sobre a proteção de dados, declarações de privacidade ou registos, na aceção do artigo 31.o do Regulamento (UE) 2018/1725, publicados no seu sítio Web e/ou na intranet para informar os titulares dos dados acerca dos seus direitos no âmbito de um determinado procedimento, a ENISA deve incluir informações relacionadas com a eventual limitação desses direitos. As informações devem abranger os direitos passíveis de serem limitados, bem como os motivos e a duração da eventual limitação.
2. Sem prejuízo do disposto no n.o 3 do presente artigo, quando tal for proporcionado, a ENISA deve informa também individualmente, por escrito e sem demora injustificada, todos os titulares dos dados que sejam considerados pessoas afetadas pela operação de tratamento em causa acerca dos seus direitos no que diz respeito a limitações presentes e futuras.
3. Nos casos em que a ENISA limitar, no todo ou em parte, a comunicação de informações aos titulares dos dados a que se refere o n.o 2 do presente artigo, deve documentar os motivos dessa limitação e a base jurídica, em conformidade com o artigo 3.o da presente decisão, incluindo uma avaliação da necessidade e proporcionalidade da limitação.
O registo e, se for caso disso, os documentos que contêm os elementos factuais e jurídicos subjacentes devem ser registados. Estes elementos devem ser colocados à disposição da Autoridade Europeia para a Proteção de Dados, a pedido desta.
4. A limitação a que se refere o n.o 3 do presente artigo continuará a aplicar-se enquanto se mantiverem aplicáveis as razões que a justificam.
Quando as razões para a limitação cessarem, a ENISA deve fornecer informações ao titular dos dados sobre os principais motivos em que se baseia a aplicação de uma limitação. Simultaneamente, a ENISA deve informar o titular dos dados do direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados, a qualquer momento, ou de intentar uma ação judicial no Tribunal de Justiça da União Europeia.
A ENISA deve reexaminar a aplicação da limitação semestralmente após a sua adoção e aquando do encerramento do inquérito, procedimento ou investigação pertinentes. Daí em diante, o responsável pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limitação.
Artigo 6.o
Direito de acesso do titular dos dados
1. Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito de acesso pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e proporcionado:
a) realização de inquéritos administrativos e de processos disciplinares;
b) atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;
c) procedimentos de denúncia;
d) procedimentos (formais e informais) relativos a casos de assédio;
e) tratamento de reclamações internas e externas;
f) auditorias internas;
g) investigações realizadas pelo encarregado da proteção de dados, em consonância com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725;
h) investigações em matéria de segurança (informática) levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE);
i) avaliações de incidentes de cibersegurança realizadas pela ENISA nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019/881, em conformidade com o artigo 3.o, n.o 2, da presente decisão.
Sempre que os titulares dos dados solicitarem o acesso aos seus dados pessoais tratados no contexto de um ou mais casos específicos ou de uma determinada operação de tratamento, em conformidade com o artigo 17.o do Regulamento (UE) 2018/1725, a ENISA deve restringir a sua apreciação do pedido a esses dados pessoais.
2. Se a ENISA limitar, no todo ou em parte, o direito de acesso previsto no artigo 17.o do Regulamento (UE) 2018/1725, deve tomar as seguintes medidas:
a) informar o titular dos dados em causa, na sua resposta ao pedido, da limitação aplicada e dos principais motivos para tal, bem como da possibilidade de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial no Tribunal de Justiça da União Europeia;
b) documentar, numa nota de avaliação interna, os motivos da limitação, incluindo uma avaliação da necessidade e proporcionalidade da limitação e a respetiva duração.
A comunicação das informações a que se refere a alínea (a) pode ser adiada, omitida ou recusada caso se presuma que anule o efeito da limitação, em conformidade com o artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725.
A ENISA deve reexaminar a aplicação da limitação semestralmente após a sua adoção e aquando do encerramento da investigação pertinente. Daí em diante, o responsável pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limitação.
3. O registo e, se for caso disso, os documentos que contêm os elementos factuais e jurídicos subjacentes devem ser registados. Estes elementos devem ser disponibilizados à Autoridade Europeia para a Proteção de Dados mediante pedido.
Artigo 7.o
Direito de retificação, apagamento e limitação do tratamento
1. Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito à retificação, apagamento e limitação pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:
a) realização de inquéritos administrativos e de processos disciplinares;
b) atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;
c) procedimentos de denúncia;
d) procedimentos (formais e informais) relativos a casos de assédio;
e) tratamento de reclamações internas e externas;
f) auditorias internas;
g) investigações realizadas pelo encarregado da proteção de dados, em consonância com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725;
h) investigações em matéria de segurança (informática) levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE);
i) avaliações de incidentes de cibersegurança realizadas pela ENISA nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019/881, em conformidade com o artigo 3.o, n.o 2, da presente decisão.
2. Se a ENISA limitar, no todo ou em parte, a aplicação do direito de retificação, apagamento e limitação do tratamento a que se referem os artigos 18.o, 19.o, n.o 1, e 20.o, n.o 1, do Regulamento (UE) 2018/1725, deve tomar as medidas indicadas no artigo 6.o, n.o 2, da presente decisão, e em conformidade com o artigo 6.o, n.o 3 da mesma.
Artigo 8.o
Comunicação de uma violação de dados pessoais ao titular dos dados e confidencialidade das comunicações eletrónicas
1. Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito à comunicação de uma violação de dados pessoais pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:
a) realização de inquéritos administrativos e de processos disciplinares;
b) atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;
c) procedimentos de denúncia;
d) tratamento de reclamações internas e externas;
e) auditorias internas;
f) investigações realizadas pelo encarregado da proteção de dados, em consonância com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725;
g) investigações em matéria de segurança (informática) levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE);
h) avaliações de incidentes de cibersegurança realizadas pela ENISA nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019/881, em conformidade com o artigo 3.o, n.o 2, da presente decisão.
2. Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito à confidencialidade das comunicações eletrónicas pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:
a) realização de inquéritos administrativos e de processos disciplinares;
b) atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;
c) procedimentos de denúncia;
d) procedimentos formais relativos a casos de assédio;
e) tratamento de reclamações internas e externas;
f) investigações em matéria de segurança (informática) levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE);
g) avaliações de incidentes de cibersegurança realizadas pela ENISA nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019/881, em conformidade com o artigo 3.o, n.o 2.
3. Se a ENISA limitar a comunicação de uma violação de dados pessoais ao titular de dados ou a confidencialidade das comunicações eletrónicas a que se referem os artigos 35.o e 36.o do Regulamento (UE) 2018/1725, deve aplicar o disposto no artigo 5.o, n.o 3, da presente decisão. Aplica-se o artigo 5.o, n.o 4, da presente decisão.
Artigo 9.o
Entrada em vigor
A presente decisão entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
Feito em Atenas, em 21 de novembro de 2019.
Pela ENISA
Jean Baptiste DEMAISON
Presidente do Conselho de Administração
(1) JO L 295 de 21.11.2018, p. 39.
(2) JO L 151 de 7.6.2019, p. 15.
(3) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).
(4) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89).