EVALUACION DE IMPACTO PARA EL TRATAMIENTO DE DATOS – FACULTATIVO U OBLIGATORIO?

Facebook
Twitter
Reddit
LinkedIn
Telegram
WhatsApp

EVALUACION DE IMPACTO PARA EL TRATAMIENTO DE DATOS – FACULTATIVO U OBLIGATORIO?

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

[email protected]

¿Están obligadas las empresas a realizar/actualizar, por responsabilidad proactiva, una evaluación de impacto previa al tratamiento? ¿Incluso aquellas que registraron sus Bancos de Datos?

Sí hay una acción prioritaria a realizar/adecuar/actualizar en el Iter data propuesto por el  Nuevo Reglamento de la Ley de Protección de Datos sería la de Evaluación de Impacto?.

Hoy en mi TIP#1 preguntaba sobre algunas acciones a realizar por las empresas respecto de la vigencia a partir de hoy del Nuevo reglamento de Protección de Datos y de su adecuación/actualización inminente. Aquí algunas reflexiones. [1] 

La Evaluación de Impacto de la Protección de Datos Personales (EIPD) es un proceso fundamental dentro del marco de protección de datos, especialmente en la implementación del Reglamento General de Protección de Datos (RGPD) en la Unión Europea y ahora ya en diferentes países de América Latina. Este análisis previo se pretende crucial para identificar y mitigar los riesgos asociados al tratamiento de datos personales antes de que estos se materialicen.

La duda es si uno de los aspectos claves de su carácter releva de la obligación o de la facultad, y aunque acabo de ver que algunos Estudios Jurídicos en el Perú la consideran obligatoria, la propuesta del RGPD es mucho mas matizada. Veamos.

Según el Nuevo Reglamento de la Ley de Protección de Datos. Si nos referimos a su artículo 40°, la Evaluación de Impacto sería facultativa:

el titular del banco de datos o responsable del tratamiento puede realizar la Evaluación de impacto”.

Sin embargo, añade, “especialmente cuando se trate de datos sensibles, datos con fines de crear perfiles personales, ..”, es decir, aún facultativa, con datos de riesgo.

El RGPD oscila en sus Considerandos entre la facultad y la obligación, particularmente en el tratamiento de grandes volúmenes de datos (Véase Considerandos 91 vis à vis del 95).

No obstante, el Reglamento ve la Evaluación de impacto obligatoria: cuando exista alto riesgo para los derechos y libertades de las personas, casos específicos relacionados con la evaluación integral y sistemática de aspectos personales basada en tratamientos automatizados, incluida la elaboración de perfiles, o el tratamiento de categorías especiales de datos (datos sensibles) o datos relativos a delitos y faltas penales.

Para luego, decirnos que la Evaluación de impacto puede ser facultativa u opcional, cuando el riesgo es bajo, se proponen como directivas de buenas prácticas en algunas organizaciones, mejora continua de procesos y/o anticipación sobre futuros tratamientos.

Definitivamente, no destaca aun una tendencia fuerte sobre la Evaluación de impacto, mientras nuestra legislación, incluido el Nuevo Reglamento, no integra, amplía, ni resuelve los aportes de fuentes internacionales.

________________________________________________________

El Artículo III, Inc. 13 del Nuevo Reglamento de la Ley de Protección de Datos, Ley 29733, define la Evaluación de Impacto relativo a protección de los datos personales.

  1. Evaluación de impacto relativo a la protección de datos personales:                  Es el mecanismo de responsabilidad proactiva que consiste en que el titular del banco de datos personales o responsable del tratamiento de datos realice, de forma previa al tratamiento de los mismos, un análisis o evaluación del impacto o riesgos que implica el tratamiento de esos datos.

 El Artículo 40, del Nuevo Reglamento, Evaluación de impacto relativo a la protección de datos personales, regula:

40.1 De manera facultativa y previa al tratamiento de datos personales, el titular del banco de datos o responsable del tratamiento puede realizar la Evaluación de impacto relativa a la protección de datos personales, especialmente cuando se trate de datos sensibles, datos con fines de crear perfiles personales, datos de personas en especial situación de vulnerabilidad como niños, niñas y adolescentes, personas pertenecientes a pueblos indígenas en situación de aislamiento y/o contacto inicial o personas con discapacidad; o cuando se realice tratamiento de grandes volúmenes de datos u otros supuestos determinados por la Autoridad Nacional de Protección de Datos Personales.

 40.2 La evaluación de impacto relativo a la protección de datos personales se puede elaborar tomando como referencia la guía, lineamientos y procedimientos establecidos en la NTP-ISO/IEC 27005 y la NTP-ISO 31000 en su edición vigente u otros estándares relacionados con el análisis y la evaluación de riesgos para la protección de datos personales.

 40.3 La Autoridad Nacional de Protección de Datos Personales emite las disposiciones complementarias que resulten pertinentes para la realización de la Evaluación de impacto relativo a la protección de datos personales.

 _______________ ……………………….__________________

La Ley N° 29733 no contempló esta figura.

_______________ ……………………….__________________

El Reglamento General Europeo de Protección de Datos (UE) 2016/679,  RGDP, en los:

1.1 Considerandos

(84)   A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una Evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una Evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.

(90) En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una Evaluación de impacto relativa a la protección de datos con el fin de valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha Evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento.

(91)   Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos. La Evaluación de impacto relativa a la protección de datos debe realizarse también en los casos en los que se tratan datos personales para adoptar decisiones relativas a personas físicas concretas a raíz de una evaluación sistemática y exhaustiva de aspectos personales propios de personas físicas, basada en la elaboración de perfiles de dichos datos o a raíz del tratamiento de categorías especiales de datos personales, datos biométricos o datos sobre condenas e infracciones penales o medidas de seguridad conexas. También es necesaria una Evaluación de impacto relativa a la protección de datos para el control de zonas de acceso público a gran escala, en particular cuando se utilicen dispositivos optoelectrónicos o para cualquier otro tipo de operación cuando la autoridad de control competente considere que el tratamiento entrañe probablemente un alto riesgo para los derechos y libertades de los interesados, en particular porque impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato, o porque se efectúe sistemáticamente a gran escala. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la Evaluación de impacto de la protección de datos no debe ser obligatoria.

(92) Hay circunstancias en las que puede ser razonable y económico que una Evaluación de impacto relativa a la protección de datos abarque más de un único proyecto, por ejemplo, en el caso de que las autoridades u organismos públicos prevean crear una aplicación o plataforma común de tratamiento, o si varios responsables proyecten introducir una aplicación o un entorno de tratamiento común en un sector o segmento empresarial o para una actividad horizontal de uso generalizado.

(94)   Debe consultarse a la autoridad de control antes de iniciar las actividades de tratamiento si una Evaluación de impacto relativa a la protección de datos muestra que, en ausencia de garantías, medidas de seguridad y mecanismos destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación. Existe la probabilidad de que ese alto riesgo se deba a determinados tipos de tratamiento y al alcance y frecuencia de este, lo que también puede ocasionar daños y perjuicios o una injerencia en los derechos y libertades de la persona física. La autoridad de control debe responder a la solicitud de consulta dentro de un plazo determinado. Sin embargo, la ausencia de respuesta de la autoridad de control dentro de dicho plazo no debe obstar a cualquier intervención de dicha autoridad basada en las funciones y poderes que le atribuye el presente Reglamento, incluido el poder de prohibir operaciones de tratamiento. Como parte de dicho proceso de consulta, se puede presentar a la autoridad de control el resultado de una Evaluación de impacto relativa a la protección de datos efectuada en relación con el tratamiento en cuestión, en particular las medidas previstas para mitigar los riesgos para los derechos y libertades de las personas físicas.

(95)   El encargado del tratamiento debe asistir al responsable cuando sea necesario y a petición suya, a fin de asegurar que se cumplen las obligaciones que se derivan de la realización de las evaluaciones de impacto relativas a la protección de datos y de la consulta previa a la autoridad de control.

1.2 Legislación

Sección 3 Evaluación de impacto relativa a la protección de datos y consulta previa

Artículo 35 Evaluación de impacto relativa a la protección de datos

  1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
  2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la Evaluación de impactorelativa a la protección de datos.
  3. La Evaluación de impactorelativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:
  4. a)  evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  5. b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
  6. c) observación sistemática a gran escala de una zona de acceso público.
  7. La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una Evaluación de impactorelativa a la protección de datos de conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68.
  8. La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité.
  9. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control competente aplicará el mecanismo de coherencia contemplado en el artículo 63 si esas listas incluyen actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión.
  10. La evaluación deberá incluir como mínimo:
  11. a)  una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
  12. b)  una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
  13. c)  una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y
  14. d)  las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
  15. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la Evaluación de impactorelativa a la protección de datos.
  16. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
  17. Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una Evaluación de impactorelativa a la protección de datos como parte de una Evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.
  18. En caso necesario, el responsable examinará si el tratamiento es conforme con la Evaluación de impactorelativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.

Artículo 36 Consulta previa

  1. El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una Evaluación de impactorelativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.
  2. Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 58. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta.
  3. Cuando consulte a la autoridad de control con arreglo al apartado 1, el responsable del tratamiento le facilitará la información siguiente:

a ) en su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial;

  1. b)  los fines y medios del tratamiento previsto;
  2. c)  las medidas y garantías establecidas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento;
  3. d)  en su caso, los datos de contacto del delegado de protección de datos;
  4. e)  la Evaluación de impactorelativa a la protección de datos establecida en el artículo 35, y
  5. f)  cualquier otra información que solicite la autoridad de control.
  6. Los Estados miembros garantizarán que se consulte a la autoridad de control durante la elaboración de toda propuesta de medida legislativa que haya de adoptar un Parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que se refiera al tratamiento.
  7. No obstante lo dispuesto en el apartado 1, el Derecho de los Estados miembros podrá obligar a los responsables del tratamiento a consultar a la autoridad de control y a recabar su autorización previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública.

Artículo 39 Funciones del delegado de protección de datos

  1. El delegado de protección de datos tendrá como mínimo las siguientes funciones:
  2. a)  informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  3. b)  supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  4. c)  ofrecer el asesoramiento que se le solicite acerca de la Evaluación de impactorelativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
  5. d) cooperar con la autoridad de control;
  6. e)  actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
  7. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Artículo 57 Funciones

  1. Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio:
  2. a)  controlar la aplicación del presente Reglamento y hacerlo aplicar;
  3. b)  promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención;
  4. c)  asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento;
  5. d)  promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento;
  6. e)  previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros;
  7. f)  tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;
  8. g)  cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento;
  9. h)  llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública;
  10. i)   hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales;
  11. j)  adoptar las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);
  12. k)  elaborar y mantener una lista relativa al requisito de la Evaluación de impactorelativa a la protección de datos, en virtud del artículo 35, apartado 4;
  13. l)   ofrecer asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2;
  14. m) alentar la elaboración de códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5;
  15. n)  fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5;
  16. o)  llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7;
  17. p)  elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;
  18. q)  efectuar la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;
  19. r)  autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3;
  20. s)  aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47;
  21. t)  contribuir a las actividades del Comité;
  22. u)  llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2, y
  23. v)  desempeñar cualquier otra función relacionada con la protección de los datos personales.
  24. Cada autoridad de control facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra f), mediante medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación.
  25. El desempeño de las funciones de cada autoridad de control será gratuito para el interesado y, en su caso, para el delegado de protección de datos.
  26. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control.

Artículo 64 Dictamen del Comité

  1. El Comité emitirá un dictamen siempre que una autoridad de control competente proyecte adoptar alguna de las medidas enumeradas a continuación. A tal fin, la autoridad de control competente comunicará el proyecto de decisión al Comité, cuando la decisión:
  2. a)  tenga por objeto adoptar una lista de las operaciones de tratamiento supeditadas al requisito de la Evaluación de impactorelativa a la protección de datos de conformidad con el artículo 35, apartado 4;
  3. b)  afecte a un asunto de conformidad con el artículo 40, apartado 7, cuyo objeto sea determinar si un proyecto de código de conducta o una modificación o ampliación de un código de conducta es conforme con el presente Reglamento;
  4. c)  tenga por objeto aprobar los criterios aplicables a la acreditación de un organismo con arreglo al artículo 41, apartado 3, o un organismo de certificación conforme al artículo 43, apartado 3;
  5. d)  tenga por objeto determinar las cláusulas tipo de protección de datos contemplados en el artículo 46, apartado 2, letra d), y el artículo 28, apartado 8;
  6. e)  tenga por objeto autorizar las cláusulas contractuales a que se refiere el artículo 46, apartado 3, letra a);
  7. f)  tenga por objeto la aprobación de normas corporativas vinculantes a tenor del artículo 47.
  8. Cualquier autoridad de control, el presidente del Comité o la Comisión podrán solicitar que cualquier asunto de aplicación general o que surta efecto en más de un Estado miembro sea examinado por el Comité a efectos de dictamen, en particular cuando una autoridad de control competente incumpla las obligaciones relativas a la asistencia mutua con arreglo al artículo 61 o las operaciones conjuntas con arreglo al artículo 62.
  9. En los casos a que se refieren los apartados 1 y 2, el Comité emitirá dictamen sobre el asunto que le haya sido presentado siempre que no haya emitido ya un dictamen sobre el mismo asunto. Dicho dictamen se adoptará en el plazo de ocho semanas por mayoría simple de los miembros del Comité. Dicho plazo podrá prorrogarse seis semanas más, teniendo en cuenta la complejidad del asunto. Por lo que respecta al proyecto de decisión a que se refiere el apartado 1 y distribuido a los miembros del Comité con arreglo al apartado 5, todo miembro que no haya presentado objeciones dentro de un plazo razonable indicado por el presidente se considerará conforme con el proyecto de decisión.
  10. Las autoridades de control y la Comisión comunicarán sin dilación por vía electrónica al Comité, utilizando un formato normalizado, toda información útil, en particular, cuando proceda, un resumen de los hechos, el proyecto de decisión, los motivos por los que es necesaria tal medida, y las opiniones de otras autoridades de control interesadas.
  11. La Presidencia del Comité informará sin dilación indebida por medios electrónicos:
  12. a)  a los miembros del Comité y a la Comisión de cualquier información pertinente que le haya sido comunicada, utilizando un formato normalizado. La secretaría del Comité facilitará, de ser necesario, traducciones de la información que sea pertinente, y
  13. b)  a la autoridad de control contemplada, en su caso, en los apartados 1 y 2 y a la Comisión del dictamen, y lo publicará.
  14. La autoridad de control competente no adoptará su proyecto de decisión a tenor del apartado 1 en el plazo mencionado en el apartado 3.
  15. La autoridad de control contemplada en el artículo 1 tendrá en cuenta en la mayor medida posible el dictamen del Comité y, en el plazo de dos semanas desde la recepción del dictamen, comunicará por medios electrónicos al presidente del Comité si va a mantener o modificar su proyecto de decisión y, si lo hubiera, el proyecto de decisión modificado, utilizando un formato normalizado.
  16. Cuando la autoridad de control interesada informe al presidente del Comité, en el plazo mencionado en el apartado 7 del presente artículo, de que no prevé seguir el dictamen del Comité, en todo o en parte, alegando los motivos correspondientes, se aplicará el artículo 65, apartado 1.

 

[1] Las opiniones o puntos de vista expresados en este artículo son de estricta responsabilidad del autor y no necesariamente representan los del Estudio Jurídico del cual soy socio. El contenido del texto NO expresa una solucion juridica a cualquier consulta legal, ni podra servir como elemento de responsabilidad alguna.

El Estudio Jurídico FERREYROS&FERREYROS es una firma especializada en aspectos legales y regulatorios relacionados con las Nanotecnologías, materia transversal, relacionada con la integración y convergencia de tecnologías (Nanotecnologías, Biotecnologías, Tecnologías de la Información y ciencias Cognitivas) (NBIC).

El Estudio realiza asesorías, consultorías, auditorías, formaciones, investigaciones y defensas en favor de agentes públicos y empresas privadas en Contenidos y Servicios vinculados con las NBIC, en todas las fases y etapas del negocio jurídico.

Desde la concepción, elaboración de proyectos, estudio de impacto, gestión, declaraciones y obtención de las autorizaciones y licencias, incluyendo negociación y ejecución de contratos y resolución de conflictos

Facebook
Twitter
Reddit
LinkedIn
Telegram
WhatsApp

Carlos Ferreyros

Doctor en Derecho. Magister en Informática Jurídica y Derecho Informático

Leave a Reply

Your email address will not be published. Required fields are marked *

Te puede interesar

LLAMÁNOS:

+51 952 612 544
+51 641 041 393

Facebook Twitter
Cursos
WEBMAIL
Servicios
Otros
©Ferreyros Ferreyros Todos los derechos reservados
Diseño y Desarrollo: Carlos Coder