DECISIONE DELL'AUTORITA' EUROPEA PER LA SICUREZZA ALIMENTARE 19 giugno 2019
G.U.U.E. 25 ottobre 2019, n. L 272
Decisione sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell'ambito delle attività svolte dall'EFSA.
Note sull'entrata in vigore e sull'applicabilità
Adottata il: 19 giugno 2019
Entrata in vigore il: 26 ottobre 2019
IL CONSIGLIO DI AMMINISTRAZIONE
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (1), e in particolare l'articolo 25,
visto il regolamento (CE) n. 178/2002 del Parlamento europeo e del Consiglio, del 28 gennaio 2002, che stabilisce i principi e i requisiti generali della legislazione alimentare (2), e in particolare gli articoli 25, 26 e 48,
visto il regolamento interno del consiglio di amministrazione dell'EFSA (3), e in particolare l'articolo 8,
visto il parere del Garante europeo della protezione dei dati («il GEPD») del 14 maggio 2019 e gli orientamenti del GEPD sull'articolo 25 del nuovo regolamento e le norme interne,
sentito il comitato del personale,
considerando che:
1) L'EFSA svolge le proprie attività in conformità con il suo regolamento istitutivo (CE) n. 178/2002.
2) Conformemente all'articolo 25, paragrafo 1, del regolamento (UE) 2018/1725, le limitazioni nell'applicazione degli articoli dal 14 al 22, 35 e 36, nonché dell'articolo 4 del regolamento, nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi previsti dagli articoli dal 14 al 22, dovrebbero basarsi sulle norme interne che saranno adottate dall'EFSA, laddove non si basino su atti giuridici adottati in base ai trattati.
3) Queste norme interne, comprese le disposizioni sulla valutazione della necessità e proporzionalità di una limitazione, non si dovrebbero applicare se un atto giuridico adottato sulla base dei trattati prevede una limitazione dei diritti degli interessati.
4) Quando esercita le sue funzioni con riguardo ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, l'EFSA valuta se sia applicabile una delle deroghe previste in tale regolamento.
5) L'EFSA può, nell'ambito del proprio operato, condurre indagini amministrative, procedimenti disciplinari, avviare attività preliminari riguardanti i casi di potenziali irregolarità segnalate all'OLAF, trattare denunce di irregolarità (whistleblowing), procedure (formali e informali) di prevenzione delle molestie, reclami interni ed esterni, effettuare audit interni, condurre indagini svolte dal responsabile della protezione dei dati («RPD»), in linea con l'articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, e indagini interne sulla sicurezza (IT).
L'EFSA tratta diverse categorie di dati personali, tra cui dati controllati (dati «oggettivi» quali dati d'identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico) e/o dati non controllati (dati «soggettivi» riguardanti il caso, quali motivazione, dati comportamentali, valutazioni, dati su comportamenti e prestazioni e dati relativi o presentati in relazione all'oggetto del procedimento o dell'attività).
6) L'EFSA, rappresentata dal suo direttore esecutivo, agisce in qualità di titolare del trattamento dei dati, indipendentemente dalle ulteriori deleghe di tale ruolo all'interno dell'EFSA per riflettere le responsabilità operative delle specifiche attività di trattamento dei dati personali.
7) I dati personali sono conservati in modo sicuro in un ambiente elettronico o in formato cartaceo, impedendo l'accesso illecito o il trasferimento dei dati a persone che non hanno necessità di venirne a conoscenza. I dati personali trattati sono conservati solo per il periodo di tempo necessario e opportuno per le finalità del trattamento come specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy o nei registri dell'EFSA.
8) Le norme interne dovrebbero applicarsi a tutti i trattamenti dei dati svolti dall'EFSA quando conduce indagini amministrative, procedimenti disciplinari, attività preliminari riguardanti casi di potenziali irregolarità segnalate all'OLAF, procedure in materia di denunce di irregolarità (whistleblowing), procedure (formali e informali) di casi di molestia, quando tratta reclami interni ed esterni, audit interni, indagini svolte dal responsabile della protezione dei dati («RPD»), conformemente all'articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, e indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-EU).
9) Queste norme interne dovrebbero applicarsi ai trattamenti dei dati svolti anteriormente all'avvio delle procedure di cui sopra, nel corso del loro svolgimento e durante il monitoraggio del controllo dei loro risultati. Dovrebbero essere comprese altresì l'assistenza e la cooperazione fornite dall'EFSA alle autorità nazionali e alle organizzazioni internazionali al di fuori delle proprie indagini amministrative.
10) Nei casi in cui si applichino tali norme interne, l'EFSA deve fornire giustificazioni che spieghino il motivo per cui tali limitazioni siano strettamente necessarie e proporzionate in una società democratica e rispettino l'essenza dei diritti e delle libertà fondamentali.
11) In questo quadro, l'EFSA è tenuta a rispettare, nella misura più ampia possibile, i diritti fondamentali degli interessati durante i citati procedimenti, in particolare quelli che riguardano il diritto di comunicare informazioni, il diritto di accesso e rettifica, il diritto di cancellazione e limitazione del trattamento, il diritto di comunicazione di una violazione dei dati personali all'interessato o il diritto alla riservatezza delle comunicazioni sancito nel regolamento (UE) 2018/1725.
12) Tuttavia, l'EFSA può essere costretta a limitare le informazioni all'interessato e altri suoi diritti per proteggere, in particolare, le proprie indagini, le indagini e i procedimenti di altre autorità pubbliche, nonché i diritti di altre persone coinvolte nelle sue indagini o in altre procedure.
13) L'EFSA può quindi limitare le informazioni allo scopo di proteggere l'indagine e i diritti e le libertà fondamentali degli altri interessati.
14) L'EFSA dovrebbe monitorare periodicamente che le condizioni che giustificano la limitazione continuino ad applicarsi e revocare la limitazione non appena cessino di sussistere.
15) Il titolare del trattamento dovrebbe informare il responsabile della protezione dei dati al momento del rinvio e durante le revisioni.
HA ADOTTATO LA PRESENTE DECISIONE:
GU L 295 del 21.11.2018.
GU L 31, dell'1.2.2002.
mb 27 06 13 - Regolamento interno rivisto del consiglio di amministrazione - ADOTTATO.
Scopo e ambito di applicazione
1. La presente decisione stabilisce le norme relative alle condizioni alle quali l'EFSA, nel quadro delle sue procedure stabilite al paragrafo 2, può limitare l'applicazione dei diritti sanciti negli articoli da 14 a 21, 35 e 36, nonché nell'articolo 4 in base all'articolo 25 del regolamento (UE) 2018/1725.
2. Nel quadro del funzionamento amministrativo dell'EFSA, tale decisione si applica ai trattamenti dei dati personali svolti dall'EFSA ai fini di condurre indagini amministrative, procedimenti disciplinari, attività preliminari riguardanti casi di potenziali irregolarità segnalate all'OLAF, trattare denunce di irregolarità (whistleblowing), procedure (formali e informali) di prevenzione delle molestie, reclami interni ed esterni, effettuare audit interni, indagini svolte dal RPD, conformemente all'articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, e indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-EU).
3. Le categorie di dati interessate sono i dati controllati (dati «oggettivi» quali dati d'identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico) e/o dati non controllati (dati «soggettivi» riguardanti il caso, quali motivazione, dati comportamentali, valutazioni, dati su comportamenti e prestazioni e dati relativi o presentati in relazione all'oggetto del procedimento o dell'attività).
4. Quando esercita le sue funzioni rispetto ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, l'EFSA valuta se sia applicabile una delle deroghe previste in tale regolamento.
5. Fatte salve le condizioni stabilite in questa decisione, le limitazioni si possono applicare ai seguenti diritti: comunicazione di informazioni agli interessati, diritto di accesso, rettifica, cancellazione, limitazione del trattamento, comunicazione di una violazione dei dati personali all'interessato o riservatezza delle comunicazioni elettroniche.
Specifiche del titolare del trattamento e garanzie
1. Le garanzie predisposte per prevenire violazioni, sottrazioni di dati o divulgazioni non autorizzate sono le seguenti:
a) i documenti cartacei sono tenuti in armadi sicuri e accessibili soltanto al personale autorizzato;
b) tutti i dati elettronici sono memorizzati in una applicazione informatica sicura conformemente agli standard di sicurezza dell'EFSA e in specifiche cartelle elettroniche accessibili unicamente al personale autorizzato. Sono disposti appropriati livelli di accesso su base individuale;
c) le banche dati sono protette da password nell'ambito del programma di accesso SSO (Single Sign On), e sono collegate automaticamente all'ID dell'utente e alla password. Sono supportate da un sistema di gestione sicuro di accesso alle informazioni. I registri elettronici sono conservati in modo sicuro per tutelare la riservatezza e la conformità alle norme e ai principi in materia di protezione dei dati;
d) tutte le persone che hanno accesso ai dati hanno l'obbligo della riservatezza.
2. Il titolare del trattamento è l'EFSA, rappresentata dal suo direttore esecutivo, il quale può delegare la funzione di titolare. Gli interessati sono informati dei titolari del trattamento delegati attraverso comunicazioni sulla protezione dei dati o registri pubblicati nel sito web, sull'intranet e/o sul catalogo dei servizi dell'EFSA.
3. Il periodo di conservazione dei dati personali di cui all'articolo 1, paragrafo 3, non deve essere più lungo di quanto necessario e opportuno per le finalità del trattamento. In ogni caso, non deve superare il periodo di conservazione specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy o nei registri di cui all'articolo 5, paragrafo 1.
4. Qualora l'EFSA consideri di applicare una limitazione, si valuta il rischio per i diritti e le libertà dell'interessato, in particolare, rispetto al rischio per i diritti e le libertà degli altri interessati e al rischio di annullare gli effetti delle indagini o delle procedure dell'EFSA, ad esempio, distruggendo gli elementi di prova. I rischi per i diritti e le libertà dell'interessato riguardano principalmente, ma non esclusivamente, i rischi legati alla reputazione e i rischi per il diritto di difesa e al contraddittorio.
Limitazioni
1. Eventuali limitazioni sono applicate dall'EFSA esclusivamente per salvaguardare:
a) la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o l'esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;
b) altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare gli obiettivi della politica estera e di sicurezza comune dell'Unione o un rilevante interesse economico o finanziario dell'Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;
c) la sicurezza interna delle istituzioni e degli organi dell'Unione, inclusa quelle delle loro reti di comunicazione elettronica;
d) le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;
e) una funzione di controllo, d'ispezione o di regolamentazione connessa, anche occasionalmente, all'esercizio di pubblici poteri nei casi di cui alle lettere a) e b);
f) la tutela dell'interessato o dei diritti e delle libertà altrui.
2. Come applicazione specifica delle finalità descritte nel precedente paragrafo 1, l'EFSA può applicare limitazioni riguardanti i dati personali scambiati con i servizi della Commissione o altre istituzioni, organi e organismi dell'Unione, autorità competenti degli Stati membri o paesi terzi o organizzazioni internazionali nei seguenti casi:
a) quando l'esercizio di tali diritti e obblighi potrebbe essere limitato dai servizi della Commissione o da altre istituzioni, organi e organismi dell'Unione in virtù di altri motivi previsti dall'articolo 25 del regolamento (UE) 2018/1725, conformemente al capo IX di detto regolamento oppure sulla base degli atti costitutivi di altre istituzioni, organi e organismi dell'Unione;
b) quando l'esercizio di tali diritti e obblighi potrebbe essere limitato dalle autorità competenti degli Stati membri sulla base dei motivi di cui all'articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (1) o a norma delle disposizioni nazionali di recepimento dell'articolo 13, paragrafo 3, dell'articolo 15, paragrafo 3, o dell'articolo 16, paragrafo 3, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (2);
c) quando l'esercizio di tali diritti e obblighi potrebbe pregiudicare la cooperazione dell'EFSA con paesi terzi od organizzazioni internazionali nello svolgimento dei suoi compiti.
Prima di applicare limitazioni nei casi di cui ai punti a) e b) di cui sopra, l'EFSA consulta i servizi della Commissione, le istituzioni, gli organi e gli organismi pertinenti dell'Unione o le autorità competenti degli Stati membri, a meno che all'EFSA non risulti evidente che l'applicazione di una limitazione è prevista in virtù di uno dei motivi di cui alle citate lettere.
3. Le eventuali limitazioni sono necessarie e proporzionate tenuto conto dei rischi per i diritti e le libertà degli interessati e rispettano l'essenza dei diritti e delle libertà fondamentali in una società democratica.
4. Se si considera l'applicazione di limitazioni, si effettua una verifica della necessità e della proporzionalità sulla base delle presenti regole. Tale procedura è documentata in ogni caso mediante una nota di valutazione interna.
5. Le limitazioni sono revocate non appena le circostanze che le giustificano cessino di sussistere. In particolare, laddove si ritenga che l'esercizio del diritto ristretto non pregiudicherebbe più l'effetto della limitazione imposta o lederebbe i diritti e le libertà degli altri interessati. In tal caso, le limitazioni sono revocate non appena possibile e, di norma, entro cinque giorni lavorativi dal cambio della situazione di diritto o di fatto.
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016)
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016).
Revisione da parte del responsabile della protezione dei dati
1. L'EFSA informa senza indebito ritardo il proprio responsabile della protezione dei dati («il RPD») ogniqualvolta il titolare del trattamento limiti l'applicazione dei diritti degli interessati o estenda la limitazione a norma della presente decisione. Il titolare del trattamento fornisce all"RPD l'accesso al registro che contiene la valutazione della necessità e della proporzionalità della limitazione e documenta nel registro la data in cui ha informato il RPD.
2. Il RPD può chiedere al titolare del trattamento di riesaminare l'applicazione della limitazione. Il titolare del trattamento informa per iscritto il proprio RPD circa l'esito del riesame richiesto.
3. Il titolare del trattamento informa il RPD quando la limitazione cessa di sussistere.
Comunicazione di informazioni agli interessati
1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto all'informazione può essere limitato dal titolare del trattamento nell'ambito dei seguenti trattamenti:
a) svolgimento di indagini amministrative e procedimenti disciplinari;
b) attività preliminari riguardanti casi di potenziali irregolarità segnalate all'OLAF;
c) procedure in materia di denunce di irregolarità (whistleblowing);
d) procedure (formali e informali) di casi di molestia;
e) trattamento di reclami interni ed esterni;
f) audit interni
g) indagini svolte dal responsabile della protezione dei dati («il RPD»), in linea con l'articolo 45, paragrafo 2, del regolamento (UE) 2018/1725;
h) indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-EU).
Nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy e nei registri, ai sensi dell'articolo 31 del regolamento (UE) 2018/1725, pubblicati sul proprio sito Internet e/o su intranet che informano gli interessati sui loro diritti nel quadro di una determinata procedura, l'EFSA include informazioni riguardanti le potenziali limitazioni di questi diritti. Tali informazioni riguardano i diritti che possono essere limitati, le ragioni e la durata potenziale della limitazione.
2. Fatte salve le disposizioni di cui al paragrafo 3, se proporzionato, l'EFSA informa anche singolarmente tutti gli interessati, considerati persone interessate nella specifica operazione di trattamento, dei loro diritti riguardanti le limitazioni attuali o future senza indebito ritardo e in forma scritta.
3. Qualora l'EFSA limiti, in tutto o in parte, la comunicazione di informazioni agli interessati di cui al paragrafo 2, essa registra le ragioni della limitazione, il motivo giuridico conformemente all'articolo 3 della presente decisione, inclusa la valutazione della necessità e della proporzionalità della limitazione.
La registrazione e, se del caso, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati.
4. La limitazione di cui al paragrafo 3 continua ad applicarsi fintantoché permangono i motivi che la giustificano. Viene revocata quanto prima e, di norma, entro cinque giorni lavorativi dal mutamento della situazione di diritto o di fatto.
Qualora detti motivi della limitazione non siano più applicabili, l'EFSA fornisce all'interessato le informazioni sulle ragioni principali alla base dell'applicazione di una limitazione. Nel contempo, l'EFSA informa l'interessato in merito alla possibilità di presentare in qualsiasi momento reclamo al Garante europeo della protezione dei dati o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea.
L'EFSA riesamina l'applicazione della limitazione ogni sei mesi dalla sua adozione e all'atto della chiusura dell'inchiesta, della procedura o dell'indagine pertinente.
Diritto di accesso degli interessati
1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto di accesso può essere limitato dal titolare del trattamento, laddove necessario e proporzionato, nel contesto dei seguenti trattamenti:
a) svolgimento di indagini amministrative e procedimenti disciplinari;
b) attività preliminari riguardanti casi di potenziali irregolarità segnalate all'OLAF;
c) procedure in materia di denunce di irregolarità (whistleblowing);
d) procedure (formali e informali) di casi di molestia;
e) trattamento di reclami interni ed esterni;
f) audit interni;
g) indagini svolte dal responsabile della protezione dei dati («il RPD»), in linea con l'articolo 45, paragrafo 2, del regolamento (UE) 2018/1725;
h) indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-EU).
Qualora, a norma dell'articolo 17 del regolamento (UE) 2018/1725, gli interessati chiedano l'accesso ai propri dati personali trattati nell'ambito di uno o più casi specifici o di particolari trattamenti, l'EFSA limita la propria valutazione della richiesta esclusivamente a tali dati personali.
2. Allorché l'EFSA limita, integralmente o in parte, il diritto di accesso di cui all'articolo 17 del regolamento (UE) 2018/1725, essa procede nel modo seguente:
a) informa l'interessato, nella propria risposta alla richiesta, in merito alla limitazione applicata e ai principali motivi della stessa, come pure alla possibilità di presentare reclamo al Garante europeo della protezione dei dati (GEPD) o di proporre un ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea;
b) registra in una nota di valutazione interna i motivi della limitazione, compresa una valutazione della necessità, della proporzionalità della limitazione e della sua durata.
La comunicazione di informazioni di cui alla lettera a) può essere rinviata, omessa o negata se annullasse l'effetto della limitazione in conformità dell'articolo 25, paragrafo 8, del regolamento (UE) 2018/1725.
L'EFSA riesamina l'applicazione della limitazione ogni sei mesi dalla sua adozione e all'atto della chiusura dell'indagine pertinente.
3. La registrazione e, se del caso, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati (GEPD).
Diritto di rettifica, cancellazione e limitazione del trattamento
1. In casi debitamente giustificati e alle condizioni stabilite in questa decisione, il diritto di rettifica, cancellazione e limitazione può essere limitato dal titolare del trattamento, laddove necessario e proporzionato, nel contesto dei seguenti trattamenti:
a) svolgimento di indagini amministrative e procedimenti disciplinari;
b) attività preliminari riguardanti casi di potenziali irregolarità segnalate all'OLAF;
c) procedure in materia di denunce di irregolarità (whistleblowing);
d) procedure (formali e informali) di casi di molestia;
e) trattamento di reclami interni ed esterni;
f) audit interni;
g) indagini svolte dal responsabile della protezione dei dati («il RPD»), in linea con l'articolo 45, paragrafo 2, del regolamento (UE) 2018/1725;
h) indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-EU).
2. Qualora l'EFSA limiti, integralmente o in parte, l'applicazione del diritto di rettifica, cancellazione o limitazione di trattamento di cui all'articolo 18, all'articolo 19, paragrafo 1, e all'articolo 20, paragrafo 1, del regolamento (UE) 2018/1725, essa adotta le misure di cui all'articolo 6, paragrafo 2, della presente decisione e conserva la registrazione in un registro in conformità dell'articolo 6, paragrafo 3, della stessa.
Comunicazione di una violazione dei dati personali all'interessato e riservatezza delle comunicazioni elettroniche
1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, la comunicazione di una violazione dei dati personali può essere limitata dal titolare del trattamento, laddove necessario e proporzionato, nel contesto dei seguenti trattamenti:
a) svolgimento di indagini amministrative e procedimenti disciplinari;
b) attività preliminari riguardanti casi di potenziali irregolarità segnalate all'OLAF;
c) procedure in materia di denunce di irregolarità (whistleblowing);
d) procedure (formali e informali) di casi di molestia;
e) trattamento di reclami interni ed esterni;
f) audit interni;
g) indagini svolte dal responsabile della protezione dei dati («il RPD»), in linea con l'articolo 45, paragrafo 2, del regolamento (UE) 2018/1725;
h) indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-EU).
2. In casi debitamente giustificati e alle condizioni stabilite in questa decisione, la riservatezza delle comunicazioni elettroniche può essere limitata dal titolare del trattamento, laddove necessario e appropriato, nel contesto dei seguenti trattamenti:
a) svolgimento di indagini amministrative e procedimenti disciplinari;
b) attività preliminari riguardanti casi di potenziali irregolarità segnalate all'OLAF;
c) procedure in materia di denunce di irregolarità (whistleblowing);
d) procedure formali di casi di molestia;
e) trattamento di reclami interni ed esterni;
f) indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-EU).
3. Laddove l'EFSA limiti la comunicazione delle violazioni dei dati personali agli interessati o la riservatezza delle comunicazioni elettroniche di cui agli articoli 35 e 36 del regolamento (UE) 2018/1725, essa annota e registra i motivi della limitazione conformemente all'articolo 5, paragrafo 3, della presente decisione. Si applica l'articolo 5, paragrafo 4, della presente decisione.