Articulo 48 Sistema «Eurodac» para la comparación de datos biométricos

1. El Estado miembro de origen garantizará la seguridad de los datos antes de la transmisión a Eurodac y mientras esta se produce.

2. Los Estados miembros adoptarán, en relación con todos los datos tratados por sus autoridades competentes de conformidad con el presente Reglamento, las medidas necesarias, incluido un plan de seguridad de los datos, para:

a) proteger los datos físicamente, entre otras cosas mediante la elaboración de planes de emergencia para la protección de infraestructuras críticas;

b) denegar el acceso de las personas no autorizadas a los equipos de tratamiento de datos y a las instalaciones nacionales en que el Estado miembro lleva a cabo operaciones de conformidad con el objetivo de Eurodac (control de acceso a los equipos y controles a la entrada de la instalación);

c) impedir que los soportes de datos puedan ser leídos, copiados, modificados o suprimidos sin autorización (control de los soportes de datos);

d) impedir que se introduzcan datos sin autorización, o que puedan inspeccionarse, modificarse o suprimirse sin autorización datos personales conservados (control de la conservación);

e) impedir la utilización de sistemas de tratamiento de datos automatizados por parte de personas no autorizadas utilizando equipos de comunicación de datos (control del usuario);

f) impedir el tratamiento no autorizado de datos en Eurodac y toda modificación o supresión no autorizada de datos tratados en Eurodac (control de la entrada de datos);

g) garantizar que el personal autorizado para acceder a Eurodac solo pueda tener acceso a los datos que prevea su autorización de acceso, mediante identificaciones personales y de utilización única, y claves de acceso confidenciales (control de acceso a los datos);

h) garantizar que todas las autoridades con derecho de acceso a Eurodac creen perfiles que describan las funciones y responsabilidades de las personas con autorización de acceso, registro, actualización, supresión y búsqueda de datos, y que dichas autoridades pongan dichos perfiles y cualquier otra información pertinente que puedan precisar a efectos de supervisión a disposición de las autoridades de control mencionadas en el artículo 51 del Reglamento (UE) 2016/679 y en el artículo 41 de la Directiva (UE) 2016/680, sin demora, a petición de estas (perfiles del personal);

i) garantizar la posibilidad de verificar y determinar a qué autoridades pueden transmitirse datos personales mediante equipos de transmisión de datos (control de la transmisión);

j) garantizar la posibilidad de verificar y determinar qué datos han sido tratados en Eurodac, en qué momento, por quién y con qué fin (control del registro de datos);

k) impedir la lectura, copia, modificación o borrado no autorizados de datos personales durante la transmisión de estos a o desde Eurodac o durante el transporte de los soportes de datos, en particular mediante técnicas adecuadas de criptografiado (control del transporte);

l) asegurar que los sistemas instalados puedan ser restaurados en caso de interrupción (recuperación);

m) asegurar que Eurodac lleva a cabo sus funciones, que se notifica la aparición de defectos en las funciones (fiabilidad) y que los datos personales conservados no pueden ser corrompidos por el mal funcionamiento del sistema (integridad), y

n) controlar la eficacia de las medidas de seguridad mencionadas en el presente apartado y adoptar las medidas de organización necesarias relativas al control interno, para garantizar el cumplimiento del presente Reglamento (control interno) y detectar automáticamente en el plazo de 24 horas cualquier acontecimiento relevante que se produzca como consecuencia de la aplicación de las medidas mencionadas en las letras b) a k) que pueda indicar que se ha producido un incidente de seguridad.

3. Los Estados miembros y Europol informarán a eu-LISA de los incidentes de seguridad relativos a Eurodac detectados en sus sistemas, sin perjuicio de la notificación y comunicación de una violación de un dato personal, de conformidad con los artículos 33 y 34 del Reglamento (UE) 2016/679, los artículos 30 y 31 de la Directiva (UE) 2016/680 y los artículos 34 y 35 del Reglamento (UE) 2016/794, respectivamente. La Agencia eu-LISA informará sin demora injustificada a los Estados miembros, a Europol y al Supervisor Europeo de Protección de Datos de los incidentes de seguridad relativos a Eurodac detectados en sus sistemas, sin perjuicio de los artículos 34 y 35 del Reglamento (UE) 2018/1725. Los Estados miembros de que se trate, eu-LISA y Europol colaborarán durante un incidente de seguridad.

4. La Agencia eu-LISA adoptará las medidas necesarias para alcanzar los objetivos fijados en el apartado 2 del presente artículo en relación con el funcionamiento de Eurodac, incluida la adopción de un plan de seguridad de los datos.

Antes de que comience el uso operativo de Eurodac, se actualizará el marco de seguridad para el entorno empresarial y técnico de Eurodac, de conformidad con el artículo 33 del Reglamento (UE) 2018/1725.

5. La Agencia de Asilo de la Unión Europea adoptará las medidas necesarias para aplicar lo dispuesto en el artículo 18, apartado 4, incluida la adopción del plan de seguridad de los datos mencionado en el apartado 2 del presente artículo.