ISSN 1977-0707

Gazzetta ufficiale

dell’Unione europea

L 295

European flag  

Edizione in lingua italiana

Legislazione

61° anno
21 novembre 2018


Sommario

 

I   Atti legislativi

pagina

 

 

REGOLAMENTI

 

*

Regolamento (UE) 2018/1724del Parlamento europeo e del Consiglio, del 2 ottobre 2018, che istituisce uno sportello digitale unico per l’accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012 ( 1 )

1

 

*

Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE ( 1 )

39

 

*

Regolamento (UE) 2018/1726 del Parlamento europeo e del Consiglio, del 14 novembre 2018, relativo all’Agenzia dell’Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA), che modifica il regolamento (CE) n. 1987/2006 e la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (UE) n. 1077/2011

99

 

*

Regolamento (UE) 2018/1727 del Parlamento europeo e del Consiglio, del 14 novembre 2018, che istituisce l’Agenzia dell’Unione europea per la cooperazione giudiziaria penale (Eurojust) e che sostituisce e abroga la decisione 2002/187/GAI del Consiglio

138

 


 

(1)   Testo rilevante ai fini del SEE.

IT

Gli atti i cui titoli sono stampati in caratteri chiari appartengono alla gestione corrente. Essi sono adottati nel quadro della politica agricola ed hanno generalmente una durata di validità limitata.

I titoli degli altri atti sono stampati in grassetto e preceduti da un asterisco.


I Atti legislativi

REGOLAMENTI

21.11.2018   

IT

Gazzetta ufficiale dell’Unione europea

L 295/1


REGOLAMENTO (UE) 2018/1724DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 2 ottobre 2018

che istituisce uno sportello digitale unico per l’accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012

(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 21, paragrafo 2, e l’articolo 114, paragrafo 1,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo (1),

deliberando secondo la procedura legislativa ordinaria (2),

considerando quanto segue:

(1)

Il mercato interno è una delle conquiste più tangibili dell’Unione. Consentendo a persone, beni, servizi e capitali di circolare liberamente, offre nuove opportunità ai cittadini e alle imprese. Il presente regolamento rappresenta un elemento fondamentale della strategia per il mercato unico istituita dalla comunicazione della Commissione del 28 ottobre 2015 intitolata «Migliorare il mercato unico: maggiori opportunità per i cittadini e per le imprese». Tale strategia mira a sfruttare appieno il potenziale del mercato interno, rendendo più semplice per i cittadini e le imprese spostarsi all’interno dell’Unione, esercitare attività commerciali, stabilirsi ed espandere le proprie attività economiche a livello transfrontaliero.

(2)

La comunicazione della Commissione del 6 maggio 2015 dal titolo «Strategia per il mercato unico digitale in europea» riconosce il ruolo di Internet e delle tecnologie digitali nel trasformare la vita e il modo in cui i cittadini e le imprese accedono alle informazioni, acquisiscono conoscenze, acquistano beni e servizi, partecipano al mercato e lavorano, creando opportunità di innovazione, crescita e occupazione. Nella comunicazione, così come in varie risoluzioni approvate dal Parlamento europeo, si riconosce anche che si potrebbe rispondere meglio alle esigenze dei cittadini e delle imprese nel loro paese e nelle loro attività transfrontaliere ampliando e integrando i portali a livello europeo, i siti web, le reti, i servizi e i sistemi esistenti e collegandoli a diverse soluzioni nazionali, creando così uno «sportello digitale unico» che funga da punto di ingresso unico europeo («sportello»). La comunicazione della Commissione del 19 aprile 2016 dal titolo «Il piano d’azione dell’Unione per l’e-Government 2016-2020 — Accelerare la trasformazione digitale della pubblica amministrazione» indica lo sportello tra le azioni previste per il 2017. La relazione della Commissione del 24 gennaio 2017 dal titolo «Rafforzare i diritti dei cittadini in un’Unione di cambiamento democratico — Relazione sulla cittadinanza dell’UE 2017» considera lo sportello una priorità per i diritti dei cittadini dell’Unione.

(3)

Il Parlamento europeo e il Consiglio hanno sollecitato ripetutamente un pacchetto di servizi d’informazione e assistenza più completo e facile da utilizzare per aiutare i cittadini e le imprese a muoversi nel mercato interno e per rafforzare e razionalizzare gli strumenti del mercato interno al fine di rispondere meglio alle esigenze dei cittadini e delle imprese nelle loro attività transfrontaliere.

(4)

Il presente regolamento risponde a tali solleciti offrendo ai cittadini e alle imprese un facile accesso alle informazioni, alle procedure e ai servizi di assistenza e di risoluzione dei problemi di cui hanno bisogno per esercitare i loro diritti nel mercato interno. Lo sportello potrebbe contribuire a migliorare la trasparenza delle norme e regolamentazioni relative a diversi eventi professionali e personali, in ambiti quali i viaggi, il pensionamento, l’istruzione, l’occupazione, l’assistenza sanitaria, i diritti dei consumatori e della famiglia. Inoltre, potrebbe contribuire a migliorare la fiducia dei consumatori, ad affrontare la mancanza di conoscenze in merito alle norme in materia di protezione dei consumatori e mercato interno e a ridurre i costi di conformità per le imprese. Il presente regolamento istituisce uno sportello interattivo e di facile utilizzo che, sulla base delle esigenze degli utenti, dovrebbe indirizzarli ai servizi più appropriati. In tale ambito la Commissione e gli Stati membri dovrebbero svolgere un ruolo importante per raggiungere i suddetti obiettivi.

(5)

Lo sportello dovrebbe agevolare le interazioni tra cittadini e imprese, da un lato, e autorità competenti, dall’altro, fornendo accesso a soluzioni in linea, agevolando le attività giornaliere di cittadini e imprese e riducendo al minimo gli ostacoli incontrati nel mercato interno. L’esistenza di uno sportello digitale unico che fornisca accesso in linea a informazioni esatte e aggiornate, a procedure e a servizi di assistenza e di risoluzione dei problemi potrebbe contribuire a sensibilizzare gli utenti in merito ai diversi servizi in linea esistenti e a generare un risparmio in termini di tempi e di spesa.

(6)

Il presente regolamento persegue i tre obiettivi di ridurre l’onere amministrativo per i cittadini e per le imprese che esercitano o intendono esercitare i loro diritti relativi al mercato interno, compresa la libera circolazione dei cittadini, in piena conformità con le norme e le procedure nazionali, di eliminare la discriminazione e di garantire il funzionamento del mercato interno per quanto riguarda la messa a disposizione di informazioni, procedure e servizi di assistenza e di risoluzione dei problemi. Poiché comprende anche il settore della libera circolazione dei cittadini, che non può essere considerato meramente secondario, il presente regolamento dovrebbe basarsi sull’articolo 21, paragrafo 2, e sull’articolo 114, paragrafo 1, del trattato sul funzionamento dell’Unione europea (TFUE).

(7)

Per consentire ai cittadini e alle imprese dell’Unione di esercitare il diritto alla libera circolazione nel mercato interno, l’Unione dovrebbe adottare misure specifiche non discriminatorie che consentano ai cittadini e alle imprese di accedere facilmente a informazioni sufficientemente complete e affidabili sui loro diritti a norma del diritto dell’Unione e sulle norme e procedure nazionali che devono rispettare in caso di trasferimento, soggiorno, studio ovvero svolgimento o creazione di attività commerciali in un altro Stato membro. Le informazioni dovrebbero essere considerate sufficientemente complete se comprendono tutti gli elementi necessari affinché gli utenti comprendano quali siano i loro diritti e i loro obblighi e individuano le norme che si applicano a loro, in relazione alle attività che intendono intraprendere, in quanto utenti transfrontalieri. Le informazioni dovrebbero essere formulate in modo chiaro, conciso e comprensibile ed essere operative e adeguate al gruppo di utenti. Le informazioni sulle procedure dovrebbero contemplare tutte le prevedibili fasi procedurali che sono importanti per l’utente. È importante che le imprese e i cittadini confrontati a contesti normativi complessi, come coloro che operano nei settori del commercio elettronico e dell’economia collaborativa, possano reperire facilmente le norme applicabili e le modalità con cui si applicano alle loro attività. Per facilità di accesso alle informazioni e semplicità di utilizzo s’intende la possibilità, per gli utenti, di reperire facilmente le informazioni, di individuare facilmente quali parti delle informazioni sono rilevanti per la loro particolare situazione e di comprendere facilmente le informazioni pertinenti. Le informazioni da fornire a livello nazionale non dovrebbero riguardare solo le norme nazionali di attuazione del diritto dell’Unione, ma anche tutte le altre norme nazionali che si applicano agli utenti sia transfrontalieri sia non transfrontalieri.

(8)

Le norme sulla messa a disposizione di informazioni previste dal presente regolamento non dovrebbero applicarsi ai sistemi giudiziari nazionali, dal momento che le informazioni relative a tale settore pertinenti per gli utenti transfrontalieri sono già contenute nel portale della giustizia elettronica. In alcune situazioni contemplate dal presente regolamento, i tribunali dovrebbero essere considerati le autorità competenti, ad esempio nei casi in cui gestiscono i registri di imprese. Inoltre, il principio di non discriminazione dovrebbe altresì applicarsi alle procedure in linea che danno accesso ai procedimenti giudiziari.

(9)

È evidente che i cittadini e le imprese provenienti da altri Stati membri possono trovarsi in una situazione di svantaggio a causa della loro mancanza di conoscenza delle norme e dei sistemi amministrativi nazionali, delle differenti lingue utilizzate e della lontananza geografica dalle autorità competenti di uno Stato membro diverso dal proprio. Il modo più efficiente per ridurre tali ostacoli al mercato interno è offrire agli utenti transfrontalieri e non transfrontalieri la possibilità di accedere alle informazioni in linea in una lingua che sono in grado di comprendere per consentire loro di espletare interamente in linea le procedure necessarie per conformarsi alle norme nazionali e fornire loro assistenza nei casi in cui le norme e le procedure non siano sufficientemente chiare o qualora incontrino ostacoli all’esercizio dei loro diritti.

(10)

Diversi atti dell’Unione hanno l’obiettivo di fornire soluzioni mediante la creazione di sportelli unici settoriali, tra cui gli sportelli unici istituiti dalla direttiva 2006/123/CE del Parlamento europeo e del Consiglio (3), che offrono in linea servizi di informazione, assistenza e accesso alle procedure pertinenti per la fornitura di servizi; i punti di contatto per i prodotti istituiti dal regolamento (CE) n. 764/2008 del Parlamento europeo e del Consiglio (4) e i punti di contatto di prodotti da costruzione istituiti dal regolamento (UE) n. 305/2011 del Parlamento europeo e del Consiglio (5), che forniscono accesso a specifiche norme tecniche sui prodotti e i centri di assistenza per le qualifiche professionali istituiti dalla direttiva 2005/36/CE del Parlamento europeo e del Consiglio (6) che aiutano i lavoratori che si trasferiscono oltre frontiera. Inoltre sono state create reti, come la rete dei centri europei dei consumatori, al fine di promuovere la comprensione dei diritti dei consumatori dell’Unione e contribuire alla risoluzione di reclami riguardanti acquisti effettuati in linea o in occasione di viaggi in altri Stati membri inclusi nella rete. Anche la rete SOLVIT, di cui alla raccomandazione 2013/461/UE della Commissione (7), mira a fornire soluzioni veloci, efficaci e informali per individui e imprese quando i loro diritti nell’ambito del mercato interno sono negati dalle autorità pubbliche. Infine vari portali d’informazione, quali «La tua Europa» per quanto concerne il mercato interno e il portale europeo della giustizia elettronica, sono stati istituiti per informare gli utenti delle norme dell’Unione e nazionali.

(11)

Data la natura settoriale di tali atti dell’Unione, la fornitura in linea ai cittadini e alle imprese di informazioni e di servizi di assistenza e di risoluzione dei problemi, unitamente a procedure in linea, rimane molto frammentaria. La disponibilità di procedure e informazioni in linea non è omogenea; la qualità dei servizi è insufficiente e manca la conoscenza di tali informazioni e servizi di assistenza e di risoluzione dei problemi. Gli utenti transfrontalieri hanno inoltre problemi per quanto riguarda la reperibilità e l’accessibilità di tali servizi.

(12)

Il presente regolamento dovrebbe istituire uno sportello digitale unico che funga da punto di ingresso unico mediante il quale i cittadini e le imprese possano accedere alle informazioni sulle norme e sui requisiti che devono soddisfare in virtù del diritto dell’Unione o nazionale. Lo sportello dovrebbe semplificare il contatto di cittadini e imprese con i servizi assistenza e di risoluzione dei problemi istituiti a livello nazionale o di Unione, migliorandone l’efficacia. Lo sportello dovrebbe inoltre agevolare l’accesso e il completamento delle procedure in linea. Il presente regolamento non dovrebbe pregiudicare in alcun modo i diritti e gli obblighi vigenti in virtù del diritto dell’Unione o nazionale in tali settori. Il presente regolamento dovrebbe sostenere il ricorso al principio «una tantum» e dovrebbe rispettare pienamente il diritto fondamentale alla protezione dei dati personali per lo scambio di elementi di prova tra le autorità competenti in diversi Stati membri in relazione alle procedure di cui all’allegato II del presente regolamento e alle procedure previste nelle direttive 2005/36/CE e 2006/123/CE e nelle direttive 2014/24/UE (8) e 2014/25/UE (9) del Parlamento europeo e del Consiglio.

(13)

Lo sportello e il suo contenuto dovrebbero essere di facile utilizzo e incentrati sull’utente. Lo sportello dovrebbe mirare a evitare le sovrapposizioni e dovrebbe fornire interconnessioni con i servizi esistenti. Dovrebbe consentire alle imprese e ai cittadini di interagire con gli enti pubblici a livello dell’Unione e nazionale, offrendo loro la possibilità di fornire mediante lo sportello riscontri sulle proprie esperienze riguardanti i servizi offerti e il funzionamento del mercato interno. Lo strumento di riscontro dovrebbe consentire all’utente di indicare, in un modo che gli consenta di rimanere anonimo, eventuali problemi, carenze ed esigenze al fine di incoraggiare un miglioramento costante della qualità dei servizi.

(14)

Il successo dello sportello dipenderà dall’impegno comune della Commissione e degli Stati membri. Lo sportello dovrebbe includere un’interfaccia utenti comune integrata nel portale «La tua Europa», che sarà gestita dalla Commissione. L’interfaccia utenti comune dovrebbe fornire link a informazioni, procedure, servizi di assistenza o di risoluzione dei problemi disponibili sui portali gestiti dalle autorità competenti degli Stati membri e dalla Commissione. Al fine di agevolare l’uso dello sportello, l’interfaccia utenti comune dovrebbe essere disponibile in tutte le lingue ufficiali delle istituzioni dell’Unione («lingue ufficiali dell’Unione»). L’attuale portale «La tua Europa» e la relativa pagina di accesso web principale, adattata ai requisiti dello sportello, dovrebbe preservare tale approccio multilingue alle informazioni fornite. Strumenti tecnici messi a punto dalla Commissione in stretta collaborazione con gli Stati membri dovrebbero fornire supporto al funzionamento dello sportello.

(15)

Nella carta per gli sportelli elettronici unici di cui alla direttiva 2006/123/CE, che è stata approvata dal Consiglio nel 2013, gli Stati membri si sono impegnati volontariamente ad adottare un approccio incentrato sull’utente nella messa a disposizione di informazioni mediante gli sportelli unici, al fine di coprire settori di particolare importanza per le imprese, tra cui IVA, imposte sul reddito, prescrizioni in materia di sicurezza sociale o del diritto del lavoro. In base alla carta e alla luce delle esperienze acquisite con il portale «La tua Europa», tali informazioni dovrebbero inoltre contemplare una descrizione dei servizi di assistenza e di risoluzione dei problemi. I cittadini e le imprese dovrebbero potersi rivolgere a tali servizi in caso di problemi riguardanti la comprensione delle informazioni, l’applicazione di tali informazioni alla loro situazione o il completamento di una procedura.

(16)

Il presente regolamento dovrebbe indicare i settori di informazione che sono pertinenti per i cittadini e le imprese che esercitano i loro diritti e adempiono i loro obblighi nel mercato interno. Per tali settori dovrebbero essere fornite informazioni sufficientemente complete a livello nazionale, ivi compreso a livello regionale e locale, nonché a livello di Unione chiarendo le norme e gli obblighi applicabili e le procedure che cittadini e imprese devono espletare per conformarsi a tali norme e obblighi. Al fine di garantire la qualità dei servizi offerti, le informazioni fornite attraverso tale sportello dovrebbero essere chiare, esatte e aggiornate, l’utilizzo di terminologia complessa dovrebbe essere ridotto al minimo e l’utilizzo di acronimi dovrebbe essere limitato a quelli che forniscono termini semplificati e facilmente comprensibili che non richiedono una conoscenza preesistente della questione o dell’ambito giuridico. Tali informazioni dovrebbero essere fornite in modo tale che gli utenti possano comprendere facilmente le norme e i requisiti di base applicabili alla loro situazione in tali settori. È opportuno inoltre informare gli utenti circa l’assenza, in alcuni Stati membri, di norme nazionali nei settori elencati nell’allegato I, in particolare nei casi in cui tali zone sono soggette a norme nazionali in altri Stati membri. Tali informazioni in merito all’assenza di norme nazionali potrebbero essere incluse nel portale «La tua Europa».

(17)

Ove possibile, le informazioni che la Commissione ha già raccolto dagli Stati membri nel quadro della vigente normativa dell’Unione o di accordi volontari, come nel caso delle informazioni raccolte per il portale EURES istituito dal regolamento (UE) 2016/589 del Parlamento europeo e del Consiglio (10), per il portale della giustizia elettronica istituito dalla Decisione del Consiglio 2001/470/CE (11) o per la banca dati delle professioni regolamentate istituita dalla direttiva 2005/36/CE, dovrebbero essere utilizzate per coprire parte delle informazioni da rendere accessibili ai cittadini e alle imprese a livello dell’Unione e nazionale a norma del presente regolamento. Gli Stati membri non dovrebbero essere tenuti a fornire sui loro siti web nazionali informazioni già disponibili nelle pertinenti banche dati gestite dalla Commissione. Qualora gli Stati membri debbano già fornire informazioni in linea in virtù di altri atti dell’Unione, quali la direttiva 2014/67/UE del Parlamento europeo e del Consiglio (12), dovrebbe essere sufficiente che gli Stati membri forniscano dei link alle informazioni in linea esistenti.Qualora determinati settori siano già stati pienamente armonizzati attraverso il diritto dell’Unione, ad esempio i diritti dei consumatori, le informazioni fornite a livello dell’Unione dovrebbero essere generalmente sufficienti affinché gli utenti siano in grado di comprendere i loro rispettivi diritti o obblighi. In tali casi, gli Stati membri dovrebbero essere obbligati soltanto a fornire informazioni supplementari riguardanti le procedure amministrative nazionali e i servizi di assistenza o eventuali altre regole amministrative nazionali, ove pertinenti per gli utenti. Per esempio, le informazioni concernenti i diritti dei consumatori non dovrebbero interferire con il diritto contrattuale, ma dovrebbero invece rendere edotti gli utenti in merito ai propri diritti a norma del diritto dell’Unione e del diritto nazionale nell’ambito delle transazioni commerciali.

(18)

Il presente regolamento dovrebbe potenziare la dimensione «mercato interno» delle procedure in linea e contribuire in tal modo alla digitalizzazione del mercato interno, accogliendo il principio generale di non discriminazione, tra l’altro in relazione all’accesso in linea da parte dei cittadini o delle imprese a procedure già stabilite a livello nazionale sulla base del diritto dell’Unione o nazionale e a quelle che devono essere rese interamente disponibili in linea conformemente al presente regolamento. Se un utente la cui situazione è limitata esclusivamente a un solo Stato membro può accedere ed espletare una procedura in linea in tale Stato membro in un settore disciplinato dal presente regolamento, anche un utente transfrontaliero dovrebbe poter accedere ed espletare la procedura in linea o tramite la medesima soluzione tecnica o tramite una soluzione alternativa e tecnicamente distinta che porti allo stesso risultato, senza ostacoli di carattere discriminatorio. Tali ostacoli potrebbero consistere in soluzioni elaborate a livello nazionale, come ad esempio campi di moduli che richiedono numeri telefonici nazionali, prefissi telefonici nazionali o codici postali nazionali, il pagamento di diritti effettuabile solo mediante sistemi che non prevedono pagamenti transfrontalieri, mancanza di spiegazioni dettagliate in una lingua compresa da utenti transfrontalieri, l’impossibilità di presentare prove elettroniche da parte delle autorità situate in un altro Stato membro e il rifiuto di accettare mezzi di identificazione elettronici emessi in altri Stati membri. Gli Stati membri dovrebbero fornire soluzioni per superare tali ostacoli.

(19)

Nel completare procedure in linea a livello transfrontaliero, gli utenti dovrebbero poter ricevere tutte le pertinenti spiegazioni in una lingua ufficiale dell’Unione che sia compresa dal numero più ampio possibile di utenti transfrontalieri. Ciò non implica che gli Stati membri abbiano l’obbligo di tradurre in tale lingua i rispettivi moduli amministrativi relativi alla procedura o il risultato finale della procedura. Gli Stati membri sono tuttavia incoraggiati ad avvalersi di soluzioni tecniche che consentano agli utenti di espletare le procedure in tale lingua nel maggior numero di casi possibile, nel rispetto delle norme degli Stati membri in materia di utilizzo delle lingue.

(20)

Le procedure nazionali in linea pertinenti affinché gli utenti transfrontalieri possano esercitare i loro diritti nel mercato interno dipendono dal fatto se tali utenti risiedono o sono stabiliti nel territorio dello Stato membro interessato o se desiderano accedere alle procedure di tale Stato membro pur essendo residenti o stabiliti in un altro Stato membro. Il presente regolamento non dovrebbe impedire agli Stati membri di imporre agli utenti transfrontalieri residenti o stabiliti sul loro territorio l’obbligo di ottenere un numero di identificazione nazionale per accedere alle procedure nazionali in linea, a condizione che ciò non comporti un onere o un costo supplementare ingiustificabile per tali utenti. Per gli utenti transfrontalieri che non sono residenti o non sono stabiliti nello Stato membro interessato, non è necessario rendere interamente accessibili in linea le procedure nazionali in linea che non sono pertinenti per l’esercizio dei loro diritti nel mercato interno, come l’iscrizione al fine di beneficiare di servizi locali quali la raccolta dei rifiuti e i permessi di parcheggio.

(21)

Il presente regolamento dovrebbe basarsi sul regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio (13), che fissa le condizioni in cui gli Stati membri riconoscono e accettano taluni mezzi di identificazione elettronica delle persone fisiche e giuridiche soggette a un regime di identificazione elettronica notificato di un altro Stato membro. Il regolamento (UE) n. 910/2014 stabilisce le condizioni a norma delle quali agli utenti è consentito utilizzare i loro mezzi di identificazione e autenticazione elettronica per accedere ai servizi pubblici in linea in situazioni transfrontaliere. Le istituzioni, gli organi e gli organismi dell’Unione sono incoraggiati ad accettare mezzi di identificazione e autenticazione elettronica per le procedure di cui sono responsabili.

(22)

Una serie di atti settoriali dell’Unione come le direttive 2005/36/CE, 2006/123/CE, 2014/24/UE e 2014/25/UE dispongono che le procedure siano interamente disponibili in linea. Il presente regolamento dovrebbe imporre che una serie di altre procedure di importanza fondamentale per la maggioranza dei cittadini e delle imprese che esercitano i propri diritti e assolvono ai propri doveri oltre frontiera sia interamente disponibile in linea.

(23)

Al fine di consentire ai cittadini e alle imprese di beneficiare direttamente dei vantaggi del mercato interno senza incorrere in inutili oneri amministrativi, il presente regolamento dovrebbe prescrivere una completa digitalizzazione dell’interfaccia utenti di determinate procedure importanti per gli utenti transfrontalieri, elencate all’allegato II del presente regolamento. Il presente regolamento dovrebbe anche stabilire i criteri per qualificare una procedura come interamente in linea. L’obbligo di rendere una procedura interamente disponibile in linea dovrebbe applicarsi solo nel caso in cui tale procedura sia stata istituita nello Stato membro interessato. Nel presente regolamento non è opportuno includere la registrazione iniziale di un’attività commerciale, le procedure di costituzione di imprese o società in quanto soggetti giuridici o qualsiasi successiva registrazione da parte di tali società o aziende, poiché tali procedure richiedono un approccio globale volto a facilitare soluzioni digitali durante l’intero ciclo di vita di un’impresa. Quando si stabiliscono in un altro Stato membro, le imprese sono tenute a iscriversi a un regime di sicurezza sociale e a un regime di assicurazione per registrare i loro dipendenti e versare i contributi a ciascun regime. Esse potrebbero aver necessità di notificare la loro attività, ottenere i permessi o registrare i cambiamenti apportati alla loro attività imprenditoriale. Tali procedure sono comuni per le imprese che operano in molti settori dell’economia; è quindi opportuno esigere che siano rese disponibili in linea.

(24)

Il presente regolamento dovrebbe chiarire le implicazioni di una procedura interamente in linea. Una procedura dovrebbe essere considerata come interamente in linea quando l’utente può espletare tutte le fasi, dall’accesso al completamento, interagendo con l’autorità competente («front office») per via elettronica, a distanza e mediante un servizio in linea. Tale servizio in linea dovrebbe guidare l’utente attraverso un elenco di tutti i requisiti da rispettare e di tutte le prove da fornire, consentirgli di trasmettere le informazioni e le prove della conformità a tutti i suddetti requisiti e inviargli automaticamente un avviso di ricevimento, a meno che il risultato della procedura non sia consegnato immediatamente. Ciò non dovrebbe impedire alle autorità competenti di contattare gli utenti direttamente, ove necessario per ottenere ulteriori chiarimenti necessari per la procedura. Ove possibile in base al diritto dell’Unione e al diritto nazionale applicabili, le autorità competenti dovrebbero fornire all’utente anche il risultato della procedura per via elettronica, come previsto dal presente regolamento.

(25)

Il presente regolamento non dovrebbe incidere sulla sostanza delle procedure elencate nell’allegato II, che sono stabilite a livello nazionale, regionale o locale e non stabilisce norme sostanziali o procedurali all’interno delle zone di cui all’allegato II, anche in materia tributaria. L’obiettivo del presente regolamento è di stabilire i requisiti tecnici al fine di garantire che tali procedure, laddove siano state istituite nello Stato membro interessato, siano rese interamente disponibili in linea.

(26)

Il presente regolamento non dovrebbe pregiudicare le competenze delle autorità nazionali in qualunque procedura, comprese la verifica dell’esattezza e della validità delle informazioni o prove presentate e la verifica di autenticità nel caso in cui le prove siano trasmesse tramite mezzi diversi dal sistema tecnico basato sul principio «una tantum». Il presente regolamento non dovrebbe neanche pregiudicare l’iter procedurale, digitalizzato o meno, in seno alle autorità competenti e tra di esse («back office»). Se necessario, nell’ambito di alcune procedure per registrare le modifiche delle attività commerciali, gli Stati membri dovrebbero continuare a poter esigere il coinvolgimento di notai o avvocati che vogliano eventualmente utilizzare gli strumenti di verifica, compresa la videoconferenza o altri mezzi in linea che forniscono un collegamento audio-video in tempo reale. Tuttavia, tale partecipazione non dovrebbe impedire il completamento delle procedure per la registrazione della totalità di tali modifiche in linea.

(27)

In alcuni casi gli utenti potrebbero essere tenuti a presentare prove per dimostrare la veridicità di fatti che non possono essere stabiliti per via elettronica. Tali prove possono includere i certificati medici, i certificati di esistenza in vita e i certificati di superamento del controllo tecnico per i veicoli a motore o di verifica del numero di telaio. Nella misura in cui gli elementi di prova possano essere presentati in formato elettronico, ciò non dovrebbe costituire una deroga al principio secondo cui una procedura dovrebbe essere offerta interamente in linea. In altri casi, nel contesto di una specifica procedura in linea potrebbe comunque essere necessario che l’utente compaia personalmente dinanzi a un’autorità competente. Tali eccezioni, diverse da quelle risultanti dal diritto dell’Unione, dovrebbero essere limitate ai casi in cui sono giustificate da un motivo imperativo di interesse pubblico in materia di sicurezza pubblica, salute pubblica o lotta contro la frode. Al fine di garantire la trasparenza, gli Stati membri dovrebbero condividere con la Commissione e gli altri Stati membri informazioni su tali eccezioni, oltre che i motivi per cui e le circostanze in cui possono essere applicate. Gli Stati membri non dovrebbero essere tenuti a segnalare ogni singolo caso in cui, in via eccezionale, la presenza fisica è necessaria, ma dovrebbero piuttosto comunicare le disposizioni nazionali che prevedono tali casi. Le migliori prassi a livello nazionale e gli sviluppi tecnici che consentono l’ulteriore digitalizzazione a tal proposito dovrebbero essere discussi periodicamente in seno a un gruppo di coordinamento dello sportello.

(28)

In situazioni transfrontaliere, la procedura di registrazione di un cambio di indirizzo potrebbe consistere di due procedure distinte, una nello Stato membro di origine per richiedere la cancellazione dal vecchio indirizzo e l’altra nello Stato membro di destinazione per richiedere la registrazione al nuovo indirizzo. Entrambe le procedure dovrebbero essere contemplate dal presente regolamento.

(29)

Poiché la digitalizzazione dei requisiti, delle procedure e delle formalità relative al riconoscimento delle qualifiche professionali è già contemplata dalla direttiva 2005/36/CE, il presente regolamento dovrebbe disciplinare soltanto la digitalizzazione della procedura relativa alla richiesta di riconoscimento accademico di diplomi, certificati o altri attestati di completamento di corsi di chi desideri iniziare o continuare a studiare o utilizzare un titolo accademico, escluse le formalità connesse al riconoscimento delle qualifiche professionali.

(30)

Il presente regolamento non dovrebbe pregiudicare le norme di coordinamento della sicurezza sociale di cui al regolamento (CE) n. 883/2004 (14) e al regolamento (CE) n. 987/2009 (15) del Parlamento europeo e del Consiglio, che definiscono i diritti e gli obblighi delle persone assicurate e delle istituzioni di sicurezza sociale, nonché le procedure applicabili nel settore del coordinamento della sicurezza sociale.

(31)

Diverse reti e servizi sono stati istituiti a livello dell’Unione e nazionale per fornire assistenza ai cittadini e alle imprese nelle loro attività transfrontaliere. È importante che tali servizi, compresi i servizi di assistenza o di risoluzione dei problemi esistenti istituiti a livello dell’Unione, quali i centri europei dei consumatori, La tua Europa — Consulenza, SOLVIT, l’helpdesk sui diritti di proprietà intellettuale, Europe Direct e la rete Enterprise Europe, facciano parte dello sportello al fine di garantire che tutti i potenziali utenti possano reperirli. I servizi elencati nell’allegato III sono stati istituiti con atti vincolanti dell’Unione, mentre altri servizi operano su base facoltativa. I servizi istituiti tramite atti vincolanti dell’Unione dovrebbero essere tenuti a rispettare i requisiti di qualità stabiliti nel presente regolamento. I servizi che operano su base facoltativa dovrebbero conformarsi a tali requisiti di qualità se l’intento è quello di renderli accessibili mediante lo sportello. La portata e la natura di tali servizi, le loro modalità di gestione, le scadenze esistenti e le basi volontarie, contrattuali o di altro tipo su cui operano non dovrebbero essere modificati dal presente regolamento. Ad esempio, qualora l’assistenza che forniscono sia di natura informale, il presente regolamento non dovrebbe avere l’effetto di mutare tale assistenza in consulenza legale a carattere vincolante.

(32)

Inoltre gli Stati membri e la Commissione dovrebbero poter aggiungere allo sportello altri servizi nazionali di assistenza o di risoluzione dei problemi forniti dalle autorità competenti o da organismi privati o semiprivati, o organismi pubblici, quali camere di commercio o servizi di assistenza non governativa per i cittadini, nel rispetto delle condizioni stabilite dal presente regolamento. In linea di principio dovrebbe spettare alle autorità competenti assistere i cittadini e le imprese in caso di interrogativi relativi a norme e procedure applicabili che non possano essere trattati in modo esauriente dai servizi in linea. In ambiti altamente specializzati e quando il servizio fornito da organismi privati o semiprivati soddisfa le esigenze degli utenti, gli Stati membri possono tuttavia proporre alla Commissione di includere tali servizi nello sportello, purché questi soddisfino tutte le condizioni stabilite dal presente regolamento e non costituiscano una duplicazione di servizi di assistenza o di risoluzione dei problemi già esistenti.

(33)

Al fine di aiutare gli utenti a individuare il servizio appropriato, il presente regolamento dovrebbe istituire uno strumento di reperimento di servizi di assistenza che orienti automaticamente gli utenti verso il servizio giusto.

(34)

La conformità a un elenco minimo di requisiti di qualità è indispensabile per il successo dello sportello, al fine di garantire che la messa a disposizione delle informazioni o la fornitura di servizi siano affidabili, poiché in caso contrario si comprometterebbe seriamente la credibilità dello sportello nel suo insieme. L’obiettivo generale della conformità è garantire che le informazioni o il servizio siano presentati in modo chiaro e facilmente fruibile. Spetta agli Stati membri determinare come presentare le informazioni lungo il percorso dell’utente al fine di conseguire tale obiettivo. Ad esempio, sebbene sia utile che gli utenti siano informati, prima dell’avvio di una procedura, circa i mezzi di ricorso generalmente disponibili in caso di esito negativo di una procedura, è molto più semplice per l’utente ricevere eventuali informazioni specifiche circa le possibili misure da adottare in tal caso al termine della procedura.

(35)

L’accessibilità delle informazioni per gli utenti transfrontalieri può essere migliorata sostanzialmente mettendo a disposizione tali informazioni in un’altra lingua ufficiale dell’Unione che sia ampiamente compresa dal maggior numero possibile di utenti transfrontalieri. Tale lingua dovrebbe essere, nella maggior parte dei casi, la lingua straniera più studiata dagli utenti in tutta l’Unione, ma in alcuni casi specifici, in particolare nel caso di informazioni da fornire a livello locale da parte di piccoli comuni vicini al confine di uno Stato membro, la lingua più adatta potrebbe essere quella utilizzata come prima lingua da parte degli utenti transfrontalieri nello Stato membro limitrofo. La traduzione dalla lingua o dalle lingue ufficiali dello Stato membro in questione in tale altra lingua ufficiale dell’Unione dovrebbe riportare fedelmente il contenuto delle informazioni fornite nella lingua o nelle lingue originali. La traduzione potrebbe essere limitata alle informazioni di cui gli utenti hanno bisogno per comprendere le norme e i requisiti di base applicabili alla loro situazione. Se, da un lato, gli Stati membri dovrebbero essere incoraggiati a tradurre la maggior quantità possibile di informazioni, in una lingua ufficiale dell’Unione che sia ampiamente compresa dal maggior numero possibile di utenti transfrontalieri, dall’altro il volume delle informazioni da tradurre ai sensi d del presente regolamento dipenderà dalle risorse finanziarie disponibili a tal fine, in particolare quelle provenienti dal bilancio dell’Unione. La Commissione dovrebbe adottare le disposizioni opportune per garantire la fornitura efficiente di traduzioni agli Stati membri su loro richiesta. Il gruppo di coordinamento dello sportello dovrebbe esaminare e fornire orientamenti per la lingua o le lingue ufficiali dell’Unione in cui tali informazioni dovrebbero essere tradotte.

(36)

A norma della direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio (16), gli Stati membri sono tenuti a garantire che i siti web dei loro enti pubblici siano accessibili in conformità dei principi di percepibilità, utilizzabilità, comprensibilità e solidità e che siano conformi ai requisiti previsti da tale direttiva. La Commissione e gli Stati membri dovrebbero garantire la conformità con la Convenzione delle Nazioni Unite sui diritti delle persone con disabilità, in particolare gli articoli 9 e 21, e, al fine di migliorare l’accesso alle informazioni per le persone con disabilità intellettuali, dovrebbero essere fornite alternative di facile lettura nella massima misura possibile e nel rispetto del principio di proporzionalità. Gli Stati membri con la ratifica e l’Unione con conclusione di tale convenzione (17) si sono impegnati ad adottare le misure adeguate per garantire l’accesso delle persone con disabilità, a condizioni di parità rispetto alle altre persone, alle nuove tecnologie e ai nuovi sistemi di informazione e comunicazione, tra cui Internet, semplificando l’accesso alle informazioni per le persone con disabilità intellettuali e fornendo alternative di facile lettura nella massima misura possibile e in modo proporzionato.

(37)

La direttiva (UE) 2016/2102 non si applica a siti web e altre applicazioni mobili delle istituzioni, degli organi e degli organismi dell’Unione, ma la Commissione dovrebbe assicurare che l’interfaccia utenti comune e le pagine web sotto la sua responsabilità che devono essere incluse nello sportello siano accessibili alle persone con disabilità, il che significa che esse devono essere percepibili, utilizzabili, comprensibili e solide. Percepibilità significa che le informazioni e i componenti dell’interfaccia utenti comune devono essere presentabili agli utenti in modalità percepibili; utilizzabilità significa che i componenti e la navigazione dell’interfaccia utenti comune devono essere utilizzabili; comprensibilità significa che le informazioni e il funzionamento dell’interfaccia utenti comune devono essere comprensibili e solidità significa che i contenuti devono essere abbastanza solidi da poter essere interpretati con sicurezza da una vasta gamma di programmi utente, comprese le tecnologie assistive. Riguardo ai termini percepibilità, utilizzabilità, comprensibilità e solidità, la Commissione è incoraggiata a rispettare le pertinenti norme armonizzate.

(38)

Al fine di facilitare il pagamento dei diritti richiesti nell’ambito delle procedure in linea o per la prestazione di servizi di assistenza o di risoluzione dei problemi, gli utenti transfrontalieri dovrebbero potersi avvalere di bonifici o addebiti diretti come specificato nel regolamento (UE) n. 260/2012 del Parlamento europeo e del Consiglio (18) o di altri mezzi di pagamento transfrontalieri utilizzati comunemente, tra cui carte di credito o di debito.

(39)

È utile che gli utenti siano informati della durata prevista di una procedura. Pertanto, gli utenti dovrebbero essere informati delle scadenze applicabili o dei regimi di approvazione tacita o di silenzio amministrativo o, qualora non siano applicabili, almeno della durata media, stimata o indicativa abituale della procedura in questione. Tali stime o indicazioni dovrebbero soltanto aiutare gli utenti nella pianificazione delle loro attività o delle eventuali fasi amministrative successive e non dovrebbero avere alcun effetto giuridico.

(40)

Il presente regolamento dovrebbe inoltre consentire la verifica delle prove fornite in formato elettronico dagli utenti, qualora tali prove siano presentate senza certificazione o un sigillo elettronico dell’autorità competente di emissione o non sia disponibile lo strumento tecnico istituito dal presente regolamento o un altro sistema che consenta lo scambio diretto o la verifica di prove tra le autorità competenti di Stati membri diversi. Per tali casi il presente regolamento dovrebbe prevedere un efficace meccanismo di cooperazione amministrativa tra le autorità competenti degli Stati membri, basato sul sistema di informazione del mercato interno («IMI») istituito dal regolamento (UE) n. 1024/2012 del Parlamento europeo e del Consiglio (19). In tali casi, la decisione di un’autorità competente di ricorrere all’IMI dovrebbe essere volontaria; tuttavia, una volta che la richiesta di informazioni o di cooperazione sia stata presentata dall’autorità tramite l’IMI, l’autorità competente destinataria della richiesta dovrebbe essere tenuta a collaborare e a fornire una risposta. La richiesta può essere inviata tramite l’IMI all’autorità competente di rilascio delle prove o all’autorità centrale che dovrà essere designata dagli Stati membri in conformità delle proprie regole amministrative.Al fine di evitare inutili duplicazioni e dal momento che il regolamento (UE) 2016/1191 del Parlamento europeo e del Consiglio (20) disciplina una parte delle prove pertinenti per le procedure di cui al presente regolamento, le disposizioni di cooperazione relative all’IMI di cui al regolamento (UE) 2016/1191 possono essere applicate anche ai fini delle altre prove richieste nelle procedure di cui al presente regolamento. Al fine di consentire agli organi o organismi dell’Unione di partecipare all’IMI, è opportuno modificare il regolamento (UE) n. 1024/2012.

(41)

I servizi in linea forniti dalle autorità competenti sono fondamentali per accrescere la qualità e la sicurezza dei servizi offerti ai cittadini e alle imprese. Sempre più spesso le amministrazioni pubbliche all’interno degli Stati membri si adoperano per riutilizzare i dati e dispensano i cittadini e le imprese dall’obbligo di fornire le stesse informazioni più volte e. Il riutilizzo dei dati dovrebbe essere semplificato per gli utenti transfrontalieri in modo da ridurre gli oneri supplementari.

(42)

Al fine di consentire il legittimo scambio transfrontaliero di prove e informazioni mediante l’applicazione a livello di Unione del principio «una tantum», l’applicazione del presente regolamento e di tale principio dovrebbe essere conforme a tutte le norme in materia di protezione dei dati, ivi compresi i principi di minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, necessità, proporzionalità e limitazione della finalità. Dovrebbe inoltre essere applicato nel pieno rispetto dei principi di sicurezza e tutela della vita privata fin dalla progettazione e dovrebbe altresì rispettare i diritti fondamentali degli individui, inclusi quelli relativi all’equità e alla trasparenza.

(43)

Gli Stati membri dovrebbero provvedere affinché gli utenti delle procedure ricevano informazioni chiare sulle modalità di trattamento dei dati personali che li riguardano a norma degli articoli 13 e 14 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (21) e degli articoli 15 e 16 del regolamento (UE) 2018/1725. (22)

(44)

Al fine di facilitare ulteriormente l’utilizzo delle procedure in linea e secondo il principio «una tantum», il presente regolamento dovrebbe istituire la base per la messa a punto e l’uso di un sistema tecnico pienamente operativo, sicuro e protetto per lo scambio transfrontaliero e automatizzato di prove tra i soggetti coinvolti nella procedura, ove sia richiesto esplicitamente dai cittadini e dalle imprese. Qualora lo scambio di prove comprenda dati personali, la richiesta dovrebbe essere considerata come esplicita se contiene una manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato che si scambino i dati personali pertinenti, mediante dichiarazione o azione positiva. Se l’utente non è la persona interessata dai dati, la procedura in linea non dovrebbe pregiudicare i suoi diritti di cui al regolamento (UE) 2016/679. L’applicazione transfrontaliera del principio «una tantum» dovrebbe comportare che i cittadini e le imprese non siano costretti a fornire gli stessi dati alle pubbliche amministrazioni più di una volta e dovrebbe essere altresì possibile utilizzare tali dati su richiesta dell’utente ai fini del completamento delle procedure in linea transfrontaliere che coinvolgono utenti transfrontalieri. Per l’autorità competente di emissione, l’obbligo di utilizzare il sistema tecnico per lo scambio automatizzato di prove tra Stati membri diversi dovrebbe applicarsi soltanto laddove le autorità emettono legalmente nel loro Stato membro prove in un formato elettronico che rende possibile tale scambio automatizzato.

(45)

Gli scambi transfrontalieri di prove dovrebbero disporre di una base giuridica adeguata, come ad esempio le direttive 2005/36/CE, 2006/123/CE, 2014/24/UE o 2014/25/UE oppure, per le procedure elencate nell’allegato II, altra normativa dell’Unione o nazionale applicabile.

(46)

È opportuno che il presente regolamento stabilisca, come regola generale, che lo scambio transfrontaliero automatizzato di prove avviene su richiesta esplicita dell’utente. Tale requisito non dovrebbe tuttavia applicarsi nei casi in cui il pertinente diritto dell’Unione o nazionale consenta lo scambio transfrontaliero automatizzato di dati senza una richiesta esplicita dell’utente.

(47)

L’utilizzo del sistema tecnico istituito dal presente regolamento dovrebbe restare volontario e l’utente dovrebbe avere la possibilità di presentare le prove mediante altri mezzi esterni al sistema tecnico. L’utente dovrebbe avere la possibilità di prevedere le prove e il diritto di scegliere di non procedere allo scambio di prove nei casi in cui l’utente, dopo la visione delle prove da scambiare, scopra che le informazioni sono inesatte, non aggiornate o vanno al di là di ciò che è necessario per la procedura in questione. I dati inclusi nell’anteprima non dovrebbero essere conservati al di là di quanto necessario sotto il profilo tecnico.

(48)

Il sistema tecnico securizzato da istituire per consentire lo scambio di prova a norma del presente regolamento dovrebbe inoltre confermare alle autorità competenti richiedenti che le prove sono state rilasciate dall’autorità pertinente. Prima di accettare le informazioni fornite da un utente nell’ambito di una procedura, in caso di dubbi le autorità competenti dovrebbero poter verificare le informazioni e giungere alla conclusione che sono corrette.

(49)

Esistono taluni moduli costitutivi che offrono capacità di base utilizzabili per creare il sistema tecnico, come il meccanismo per collegare l’Europa, istituito dal regolamento (UE) n. 1316/2013 del Parlamento europeo e del Consiglio (23), e i moduli costitutivi eDelivery ed eID che ne formano parte. Tali moduli costitutivi consistono in specifiche tecniche, software modello e servizi di supporto e mirano a garantire l’interoperabilità tra i sistemi di tecnologia dell’informazione e della comunicazione (TIC) esistenti in diversi Stati membri in modo che i cittadini, le imprese e le amministrazioni, in qualunque parte dell’Unione si trovino, possano beneficiare di servizi pubblici digitali disponibili senza soluzione di continuità.

(50)

Il sistema tecnico istituito dal presente regolamento dovrebbe essere disponibile in aggiunta ad altri sistemi che forniscono meccanismi di cooperazione tra le autorità, come l’IMI, e non dovrebbe pregiudicare altri sistemi, come il sistema di cui al regolamento (CE) n. 987/2009, il Documento di gara unico europeo di cui alla direttiva 2014/24/UE, lo scambio elettronico di informazioni sulla sicurezza sociale di cui al regolamento (CE) n. 987/2009, la tessera professionale europea di cui alla direttiva 2005/36/CE, l’interconnessione dei registri nazionali e l’interconnessione dei registri centrali, commerciali e delle imprese di cui alla direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio (24) e l’interconnessione dei registri fallimentari di cui al regolamento (UE) 2015/848 del Parlamento europeo e del Consiglio (25).

(51)

Al fine di garantire condizioni uniformi per l’attuazione di un sistema tecnico che consenta lo scambio automatizzato delle prove, è opportuno attribuire alla Commissione competenze di esecuzione al fine di stabilire, in particolare, le specifiche tecniche e operative di un sistema per il trattamento della richiesta di un utente di scambio delle prove e il trasferimento di tali prove, nonché le regole necessarie per garantire l’integrità e la riservatezza del trasferimento. È opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (26).

(52)

Al fine di garantire che il sistema tecnico garantisca un elevato livello di sicurezza ai fini dell’applicazione transfrontaliera del principio «una tantum», in sede di adozione degli atti di esecuzione che definiscono le specifiche di tale sistema tecnico la Commissione dovrebbe tenere debitamente conto delle norme e delle specifiche tecniche elaborate da organizzazioni e organismi di normalizzazione europei e internazionali, in particolare il Comitato europeo di normalizzazione (CEN), l’Istituto europeo delle norme di telecomunicazione (European Telecommunications Standards Institute — ETSI), l’Organizzazione internazionale per la standardizzazione (International Organisation for Standardisation — ISO) e l’Unione internazionale delle telecomunicazioni (UIT), nonché delle norme in materia di sicurezza di cui all’articolo 32 del regolamento (UE) 2016/679 e all’articolo 22 del regolamento (UE) 2018/1725.

(53)

Se del caso, al fine di assicurare l’elaborazione, la disponibilità, la manutenzione, la supervisione, il monitoraggio e la gestione della sicurezza delle parti del sistema tecnico di cui la Commissione è responsabile, la Commissione dovrebbe richiedere il parere del Garante europeo della protezione dei dati.

(54)

Le autorità competenti e la Commissione dovrebbero assicurare che le informazioni, le procedure e i servizi di loro competenza rispettino i criteri di qualità. I coordinatori nazionali nominati a norma del presente regolamento e la Commissione dovrebbero verificare a intervalli regolari il rispetto dei criteri di qualità e sicurezza a livello dell’Unione e nazionale, rispettivamente, e risolvere eventuali problemi. I coordinatori nazionali dovrebbero inoltre assistere la Commissione nel controllare il funzionamento del sistema tecnico che consente lo scambio transfrontaliero di prove. Il presente regolamento dovrebbe attribuire alla Commissione una gamma di mezzi per far fronte a un eventuale deterioramento della qualità dei servizi offerti mediante lo sportello, a seconda della gravità e della persistenza del deterioramento, anche con l’intervento, ove necessario, del gruppo di coordinamento dello sportello, senza pregiudicare la responsabilità generale della Commissione per quanto riguarda il controllo del rispetto del presente regolamento.

(55)

Il presente regolamento dovrebbe specificare le principali funzionalità degli strumenti tecnici di supporto al funzionamento dello sportello, in particolare l’interfaccia utenti comune, il repertorio di link e lo strumento comune di reperimento di servizi di assistenza. L’interfaccia utenti comune dovrebbe garantire che gli utenti possano reperire facilmente informazioni, procedure e servizi di assistenza e di risoluzione dei problemi sui siti Internet dell’Unione e nazionali. Gli Stati membri e la Commissione dovrebbero mirare a fornire link verso un’unica fonte di informazioni necessaria per lo sportello, in modo da evitare che tra gli utenti si crei confusione a causa dell’esistenza di fonti diverse, che costituiscono duplicazioni totali o parziali, per una stessa informazione. Ciò non dovrebbe escludere la possibilità di fornire link alla stessa informazione da parte delle autorità competenti a livello locale o regionale per quanto riguarda le diverse aree geografiche. Non dovrebbe nemmeno impedire la duplicazione di alcune informazioni qualora ciò sia inevitabile o auspicabile, per esempio nei casi in cui alcuni diritti, obblighi e norme dell’Unione siano ripetuti o descritti sui siti web nazionali per migliorare la facilità d’uso. Per ridurre al minimo l’intervento umano nell’aggiornamento dei link da utilizzare nell’interfaccia utenti comune, è opportuno creare un collegamento diretto tra i pertinenti sistemi tecnici degli Stati membri e il repertorio di link, ove ciò sia possibile sul piano tecnico. I comuni strumenti di supporto TIC potrebbero avvalersi del vocabolario dei servizi pubblici di base (Core Public Services Vocabulary — CPSV) al fine di facilitare l’interoperabilità con la semantica e i cataloghi dei servizi nazionali. Gli Stati membri dovrebbero essere incoraggiati a utilizzare il CPSV, pur mantenendo la possibilità di decidere di utilizzare soluzioni nazionali. Le informazioni contenute nel repertorio di link dovrebbero essere messe a disposizione del pubblico in un formato aperto, di uso comune e leggibile elettronicamente, ad esempio tramite interfacce per programmi applicativi (application programming interfaces — API), per consentirne il riutilizzo.

(56)

Lo strumento di ricerca dell’interfaccia utenti comune dovrebbe permettere agli utenti di recuperare le informazioni di cui hanno bisogno su qualsiasi sito web a livello di Unione e nazionale. Inoltre, un modo alternativo per guidare gli utenti alle informazioni di cui hanno bisogno consisterebbe nel continuare a creare link tra pagine e siti web esistenti e complementari, semplificandoli e raggruppandoli per quanto possibile, così come creare link tra pagine e siti web a livello di Unione e nazionale che forniscono accesso a servizi e informazioni in linea.

(57)

Il presente regolamento dovrebbe inoltre specificare requisiti in materia di qualità per l’interfaccia utenti comune. La Commissione dovrebbe garantire che l’interfaccia utenti comune sia conforme a tali requisiti e in particolare che sia disponibile e accessibile in linea attraverso vari canali, oltre che di facile utilizzo.

(58)

Al fine di garantire condizioni uniformi per l’attuazione delle soluzioni tecniche di supporto allo sportello è opportuno attribuire alla Commissione competenze di esecuzione per stabilire, ove necessario, le norme applicabili e i requisiti di interoperabilità al fine di facilitare il reperimento delle informazioni sulle norme e sugli obblighi, sulle procedure e sui servizi di assistenza e di risoluzione dei problemi dei quali gli Stati membri e la Commissione hanno la responsabilità. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio.

(59)

Il presente regolamento dovrebbe inoltre assegnare chiaramente alla Commissione e agli Stati membri le responsabilità riguardanti lo sviluppo, la disponibilità, la manutenzione e la sicurezza delle applicazioni TIC di supporto allo sportello. Nell’ambito dei loro compiti di manutenzione, la Commissione e gli Stati membri dovrebbero monitorare periodicamente il regolare funzionamento di tali applicazioni TIC.

(60)

Al fine di sviluppare appieno il potenziale dei diversi settori d’informazione, delle procedure e dei servizi di assistenza e di risoluzione dei problemi che dovrebbero essere inclusi nello sportello, si dovrebbe diffondere molto meglio la conoscenza della loro esistenza e del loro funzionamento tra gli utenti destinatari. La loro inclusione nello sportello dovrebbe facilitare notevolmente il reperimento di informazioni, procedure e servizi di assistenza e di risoluzione dei problemi da parte degli utenti che ne hanno bisogno, anche se non li conoscono. Inoltre saranno necessarie attività coordinate di promozione al fine di garantire che i cittadini e le imprese in tutta l’Unione sappiano dell’esistenza dello sportello e dei vantaggi che esso offre. Tali attività di promozione dovrebbero includere l’ottimizzazione per i motori di ricerca e altre azioni di sensibilizzazione in linea, dal momento che queste sono maggiormente efficienti sotto il profilo dei costi e possono potenzialmente raggiungere il più ampio pubblico possibile. Per garantire la massima efficienza, tali attività promozionali dovrebbero essere coordinate nel quadro del gruppo di coordinamento dello sportello e gli Stati membri dovrebbero adeguare le loro campagne promozionali in modo che vi sia un marchio comune di riferimento in tutti i contesti pertinenti, con la possibilità di associare il marchio dello sportello alle iniziative nazionali.

(61)

Tutti gli organi, gli organismi e le istituzioni dell’Unione dovrebbero essere invitati a promuovere lo sportello inserendo il logo e i link allo stesso in tutte le pertinenti pagine web dei quali hanno la responsabilità.

(62)

Il nome con cui lo sportello sarà designato e promosso presso il pubblico dovrebbe essere «Your Europe». L’interfaccia utenti comune dovrebbe essere visibile e facile da trovare, in particolare sulle pertinenti pagine web dell’Unione e nazionali. Il logo dello sportello dovrebbe essere visibile nei pertinenti siti web dell’Unione e nazionali.

(63)

Al fine di ottenere informazioni appropriate per misurare e migliorare i risultati dello sportello, il presente regolamento dovrebbe imporre alle autorità competenti e alla Commissione di raccogliere e analizzare i dati connessi all’uso dei diversi settori d’informazione, delle procedure e dei servizi di informazione offerti tramite lo sportello. La raccolta di statistiche relative agli utenti, come i dati in merito al numero di visite a specifiche pagine web, al numero di utenti all’interno di uno Stato membro rispetto a quello di utenti di altri Stati membri, ai termini di ricerca utilizzati, alle pagine web più visitate, ai siti di indirizzamento o al numero, all’origine e all’oggetto delle richieste di assistenza, dovrebbe migliorare il funzionamento dello sportello contribuendo a individuare il pubblico, a sviluppare attività di promozione e a migliorare la qualità dei servizi offerti. La raccolta di tali dati dovrebbe tenere conto dell’analisi comparativa annuale in materia di governo elettronico realizzata dalla Commissione al fine di evitare duplicazioni.

(64)

Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, dovrebbero essere attribuite alla Commissione competenze di esecuzione. per stabilire norme uniformi sul metodo di raccolta e scambio delle statistiche relative agli utenti. Tali competenze di esecuzione dovrebbero essere esercitate conformemente al regolamento (UE) n. 182/2011.

(65)

La qualità dello sportello dipende dalla qualità dei servizi dell’Unione e nazionali prestati attraverso lo sportello. Pertanto, la qualità delle informazioni, delle procedure e dei servizi di assistenza e di risoluzione dei problemi disponibili tramite lo sportello dovrebbe essere regolarmente monitorata anche mediante uno strumento di riscontro che inviti gli utenti a valutare la portata e la qualità delle informazioni, delle procedure o dei servizi di assistenza e di risoluzione dei problemi che hanno utilizzato e a esprimere riscontri al riguardo. I riscontri degli utenti dovrebbero essere raccolte in uno strumento comune cui dovrebbero poter accedere la Commissione, le autorità competenti e i coordinatori nazionali. Al fine di garantire condizioni uniformi di attuazione del presente regolamento in relazione alle funzionalità comuni degli strumenti di riscontro degli utenti e alle modalità di raccolta e condivisione dei riscontri degli utenti, è opportuno attribuire competenze di esecuzione alla Commissione. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011. La Commissione dovrebbe pubblicare in forma anonima panoramiche sintetiche in linea dei problemi che emergono dalle informazioni, dalle principali statistiche relative agli utenti e dai principali riscontri degli utenti raccolti a norma del presente regolamento.

(66)

In aggiunta, lo sportello dovrebbe comprendere uno strumento di riscontro che consenta agli utenti di segnalare, su base facoltativa e in forma anonima, i problemi e le difficoltà incontrati nell’esercizio dei loro diritti nel mercato interno. Tale strumento dovrebbe essere considerato solo complementare al meccanismo per il trattamento dei reclami, in quanto non può offrire una risposta personalizzata agli utenti. Le osservazioni ricevute dovrebbero essere combinate con le informazioni aggregate provenienti dai servizi di assistenza e di risoluzione dei problemi riguardanti i casi trattati al fine di elaborare una panoramica di come gli utenti percepiscano il mercato interno, individuare le aree problematiche per eventuali azioni future e migliorare il funzionamento del mercato interno. Tale panoramica dovrebbe essere collegata agli strumenti di comunicazione esistenti, come il quadro di valutazione del mercato unico.

(67)

Il presente regolamento dovrebbe lasciare impregiudicato il diritto degli Stati membri di decidere chi debba svolgere il ruolo di coordinatore nazionale. Gli Stati membri dovrebbero poter adattare le funzioni e responsabilità dei loro coordinatori nazionali relative allo sportello alle loro strutture amministrative interne. Gli Stati membri dovrebbero poter nominare coordinatori nazionali supplementari che svolgano i compiti di cui al presente regolamento, da soli o insieme ad altri, e siano responsabili di una divisione dell’amministrazione, una regione geografica o in base a un altro criterio. Gli Stati membri dovrebbero informare la Commissione in merito all’identità del coordinatore nazionale unico che hanno nominato per i contatti con la Commissione stessa.

(68)

Al fine di facilitare l’applicazione del presente regolamento, in particolare mediante lo scambio delle migliori prassi e la cooperazione per migliorare la coerenza della presentazione delle informazioni, come disposto nel presente regolamento, si dovrebbe istituire un gruppo di coordinamento dello sportello composto dai coordinatori nazionali e presieduto dalla Commissione. I lavori del gruppo di coordinamento dello sportello dovrebbero tenere conto degli obiettivi fissati nel programma di lavoro annuale, che la Commissione dovrebbe presentare, per esame, al gruppo stesso. Il programma di lavoro annuale dovrebbe assumere la forma di orientamenti o raccomandazioni, privi di effetti vincolanti per gli Stati membri. La Commissione, su richiesta del Parlamento europeo, può decidere di invitare tale istituzione a inviare esperti affinché partecipino alle riunioni del gruppo di coordinamento dello sportello.

(69)

Il presente regolamento dovrebbe precisare quali parti dello sportello debbano essere finanziate attraverso il bilancio dell’Unione e quali siano di responsabilità degli Stati membri. La Commissione dovrebbe assistere gli Stati membri nell’individuazione dei moduli costitutivi TIC riutilizzabili e dei finanziamenti disponibili attraverso vari fondi e programmi a livello dell’Unione, che possono contribuire a coprire i costi degli adeguamenti e degli sviluppi TIC necessari a livello nazionale per conformarsi al presente regolamento. Il bilancio necessario per l’attuazione del presente regolamento dovrebbe essere compatibile con il quadro finanziario pluriennale applicabile.

(70)

Gli Stati membri sono incoraggiati ad accrescere il coordinamento, lo scambio e la collaborazione reciproci per potenziare le loro capacità strategiche, operative e di ricerca e sviluppo nel settore della cibersicurezza, in particolare mediante l’attuazione della sicurezza delle reti e dei sistemi informativi di cui alla direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (27), al fine di rafforzare la sicurezza e la resilienza dell’amministrazione e dei servizi pubblici. Gli Stati membri sono incoraggiati ad aumentare la sicurezza delle transazioni e ad assicurare un livello di fiducia sufficiente nei mezzi elettronici mediante l’uso del quadro eIDAS stabilito dal regolamento (UE) n. 910/2014 e, in particolare, di livelli di garanzia adeguati. Gli Stati membri possono adottare misure compatibili con il diritto dell’Unione al fine di garantire la cibersicurezza e prevenire il furto d’identità o altre forme di frodi.

(71)

Se l’attuazione del presente regolamento comporta il trattamento di dati personali, questo dovrebbe essere effettuato conformemente al diritto dell’Unione in materia di protezione dei dati personali, in particolare il regolamento (UE) 2016/679 e il regolamento (UE) 2018/1725. Anche la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (28) si dovrebbe applicare nel contesto del presente regolamento. Come previsto dal regolamento (UE) 2016/679, gli Stati membri possono mantenere o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati relativi alla salute, e possono anche prevedere norme più specifiche per il trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro.

(72)

Il presente regolamento dovrebbe promuovere e agevolare la semplificazione delle modalità di governance per i servizi inclusi nello sportello. A tal fine la Commissione dovrebbe, in stretta cooperazione con gli Stati membri, rivedere le modalità di governance esistenti e adattarle, se necessario, al fine di evitare duplicazioni e inefficienze.

(73)

L’obiettivo del presente regolamento è garantire che gli utenti che operano in altri Stati membri abbiano un accesso in linea a informazioni dell’Unione e nazionali riguardanti i diritti, le norme e gli obblighi che siano complete, affidabili, accessibili e comprensibili, a procedure in linea che siano completamente operative a livello transnazionale e a servizi di assistenza e di risoluzione dei problemi. Poiché tale obiettivo non può essere conseguito in misura sufficiente dagli Stati membri, ma, a motivo della portata e degli effetti del presente regolamento, può essere conseguito meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(74)

Per consentire agli Stati membri e alla Commissione di sviluppare e applicare gli strumenti necessari per dare attuazione al presente regolamento, è opportuno che alcune disposizioni si applichino due anni dopo la data di entrata in vigore. Le autorità comunali dovrebbero disporre di un periodo fino a quattro anni dopo l’entrata in vigore del presente regolamento per soddisfare l’obbligo di fornire informazioni relative alle norme, alle procedure e ai servizi di assistenza e di risoluzione dei problemi rientranti tra le loro competenze. Le disposizioni del presente regolamento relative alle procedure da offrire interamente in linea, all’accesso transfrontaliero alle procedure in linea e al sistema tecnico per lo scambio automatico transfrontaliero delle prove conformemente al principio «una tantum» dovrebbero essere attuate al più tardi entro cinque anni dopo l’entrata in vigore del presente regolamento.

(75)

Il presente regolamento rispetta i diritti fondamentali e osserva i principi sanciti in particolare dalla Carta dei diritti fondamentali dell’Unione europea e dovrebbe essere applicato conformemente a tali diritti e principi.

(76)

Il Garante europeo della protezione dei dati è stato consultato a norma dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (29) ed ha espresso un parere il 1o agosto 2017 (30),

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO I

DISPOSIZIONI GENERALI

Articolo 1

Oggetto

1.   Il presente regolamento stabilisce le norme per:

a)

l’istituzione e la gestione di uno sportello digitale unico per offrire ai cittadini e alle imprese un facile accesso a informazioni di alta qualità, a procedure efficienti e a servizi di assistenza e di risoluzione dei problemi efficaci in relazione alle norme dell’Unione e nazionali applicabili ai cittadini e alle imprese che esercitano o che intendono esercitare i loro diritti derivanti dal diritto dell’Unione nell’ambito del mercato interno ai sensi dell’articolo 26, paragrafo 2, TFUE;

b)

l’uso di procedure da parte di utenti transfrontalieri e l’applicazione del principio «una tantum» in relazione alle procedure riportate all’allegato II del presente regolamento e alle procedure previste dalle direttive 2005/36/CE, 2006/123/CE, 2014/24/UE e 2014/25/UE;

c)

la segnalazione di ostacoli nel mercato interno in base alla raccolta di riscontri degli utenti e di statistiche provenienti dai servizi inclusi nello sportello.

2.   Laddove il presente regolamento sia in conflitto con una disposizione di un altro atto dell’Unione che disciplina aspetti specifici della materia oggetto del presente regolamento, prevale la disposizione dell’altro atto dell’Unione.

3.   Il presente regolamento non pregiudica la sostanza delle procedure istituite a livello nazionale o di Unione nei settori contemplati dal presente regolamento, né pregiudica i diritti concessi mediante tali procedure. Inoltre, il presente regolamento non pregiudica le misure adottate in conformità del diritto dell’Unione per salvaguardare la cibersicurezza e prevenire le frodi.

Articolo 2

Istituzione dello sportello digitale unico

1.   Conformemente al presente regolamento la Commissione e gli Stati membri istituiscono uno sportello digitale unico («sportello»). Lo sportello è composto da un’interfaccia utenti comune gestita dalla Commissione («interfaccia utenti comune»), integrata nel portale «La tua Europa», che fornisce accesso ai pertinenti siti web dell’Unione e nazionali.

2.   Lo sportello dà accesso a:

a)

informazioni relative ai diritti, agli obblighi e alle norme di cui al diritto dell’Unione e nazionale che si applicano agli utenti che esercitano o intendono esercitare i loro diritti derivanti dal diritto dell’Unione nell’ambito del mercato interno nei settori elencati all’allegato I;

b)

informazioni sulle procedure in linea e non in linea e link alle procedure in linea, incluse le procedure di cui all’allegato II, stabilite a livello dell’Unione o nazionale per consentire agli utenti di esercitare i diritti e rispettare gli obblighi e le norme nell’ambito del mercato interno nei settori di cui all’allegato I;

c)

informazioni sui servizi di assistenza e di risoluzione dei problemi elencati all’allegato III o a cui è fatto riferimento all’articolo 7 a cui si possono rivolgere cittadini e imprese per domande o problemi connessi ai diritti, agli obblighi o alle norme o procedure di cui alle lettere a) e b) del presente paragrafo, e link a tali servizi.

3.   L’interfaccia utenti comune è accessibile in tutte le lingue ufficiali dell’Unione.

Articolo 3

Definizioni

Ai fini del presente regolamento si intende per:

1)

«utente»: un cittadino dell’Unione, una persona fisica residente in uno Stato membro o una persona giuridica avente la sede sociale in uno Stato membro che accede mediante lo sportello alle informazioni, alle procedure o ai servizi di assistenza o di risoluzione dei problemi di cui all’articolo 2, paragrafo 2;

2)

«utente transfrontaliero»: utente che si trova in una situazione i cui elementi non si collocano tutti all’interno di un solo Stato membro;

3)

«procedura»: una sequenza di azioni che devono essere compiute dagli utenti allo scopo di soddisfare i requisiti o ottenere dall’autorità competente una decisione al fine di poter esercitare i diritti di cui all’articolo 2, paragrafo 2, lettera a);

4)

«autorità competente»: ogni autorità od organo di uno Stato membro, a livello nazionale, regionale o locale, con competenze specifiche relative alle informazioni, alle procedure e ai servizi di assistenza e di risoluzione dei problemi di cui al presente regolamento;

5)

«prova»: ogni documento o dato, compresi testi o registrazioni sonore, visive o audiovisive, su qualsiasi supporto, richiesto da un’autorità competente per dimostrare la veridicità dei fatti o il rispetto degli obblighi procedurali di cui all’articolo 2, paragrafo 2, lettera b).

CAPO II

SERVIZI DELLO SPORTELLO

Articolo 4

Accesso alle informazioni

1.   Gli Stati membri assicurano che gli utenti possano accedere facilmente sulle loro pagine web nazionali alle seguenti informazioni in linea:

a)

informazioni sui diritti, sugli obblighi e sulle norme di cui all’articolo 2, paragrafo 2, lettera a), derivanti dal diritto nazionale;

b)

informazioni sulle procedure di cui all’articolo 2, paragrafo 2, lettera b), stabiliti a livello nazionale;

c)

informazioni sui servizi di assistenza e di risoluzione dei problemi di cui all’articolo 2, paragrafo 2, lettera c), forniti a livello nazionale.

2.   La Commissione garantisce che il portale «La tua Europa» assicuri agli utenti un accesso in linea agevole alle seguenti informazioni:

a)

informazioni sui diritti, sugli obblighi e sulle norme di cui all’articolo 2, paragrafo 2, lettera a), derivanti dal diritto dell’Unione;

b)

informazioni sulle procedure di cui all’articolo 2, paragrafo 2, lettera b), stabiliti a livello dell’Unione;

c)

informazioni sui servizi di assistenza e di risoluzione dei problemi di cui all’articolo 2, paragrafo 2, lettera c), forniti a livello dell’Unione.

Articolo 5

Accesso alle informazioni non riportate all’allegato I

1.   Gli Stati membri e la Commissione possono fornire link a informazioni in ambiti non riportati all’allegato I che sono offerte dalle autorità competenti, dalla Commissione o da organi e organismi dell’Unione, a condizione che tali informazioni rientrino nell’ambito di applicazione dello sportello quale definito all’articolo 1, paragrafo 1, lettera a), e soddisfino i requisiti di qualità di cui all’articolo 9.

2.   I link alle informazioni di cui al paragrafo 1 del presente articolo sono inseriti conformemente all’articolo 19, paragrafi 2 e 3.

3.   Prima di attivare un link, la Commissione verifica se siano soddisfatte le condizioni di cui al paragrafo 1 e consulta il gruppo di coordinamento dello sportello.

Articolo 6

Procedure da offrire interamente in linea

1.   Ciascuno Stato membro provvede affinché gli utenti possano accedere alle procedure di cui all’allegato II ed espletarle interamente in linea, purché la pertinente procedura sia stata istituita nello Stato membro interessato.

2.   Le procedure di cui al paragrafo 1 sono considerate come interamente in linea quando:

a)

l’identificazione degli utenti, la messa a disposizione di informazioni e prove, la firma e la presentazione finale possono essere effettuate per via elettronica a distanza, attraverso un canale di servizio che permette agli utenti di soddisfare tutti i requisiti relativi alla procedura in modo facilmente fruibile e strutturato;

b)

agli utenti è fornito un avviso automatico di ricevimento, a meno che il risultato della procedura non sia consegnato immediatamente;

c)

il risultato della procedura è consegnato per via elettronica o è consegnato fisicamente se necessario per conformarsi al diritto dell’Unione o al diritto nazionale applicabile; e

d)

gli utenti ricevono una notifica elettronica del completamento della procedura.

3.   Se, in casi eccezionali giustificati da motivi imperativi di interesse pubblico negli ambiti della sicurezza pubblica, della salute pubblica o della lotta alla frode, l’obiettivo perseguito non può essere conseguito interamente in linea, gli Stati membri possono chiedere all’utente di comparire di persona dinanzi all’autorità competente come una delle fasi della procedura. In tali casi eccezionali, gli Stati membri limitano tale presenza fisica a quanto strettamente necessario e oggettivamente giustificato e garantiscono che le altre fasi della procedura possano essere espletate interamente in linea. Gli Stati membri garantiscono anche che i requisiti di presenza fisica non provochino una discriminazione nei confronti degli utenti transfrontalieri.

4.   Gli Stati membri notificano e illustrano mediante un repertorio comune accessibile alla Commissione e agli altri Stati membri i motivi per cui e le circostanze in cui potrebbe essere richiesta la presenza fisica per le fasi procedurali di cui al paragrafo 3 e i motivi per cui e le circostanze in cui è necessaria la consegna fisica a norma del paragrafo 2, lettera c.

5.   Il presente articolo non osta a che gli Stati membri offrano agli utenti la possibilità aggiuntiva di accedere alle procedure di cui all’articolo 2, paragrafo 2, lettera b), e di completarle con strumenti diversi da un canale in linea o contattino gli utenti direttamente.

Articolo 7

Accesso ai servizi di assistenza e di risoluzione dei problemi

1.   Gli Stati membri e la Commissione garantiscono che gli utenti, inclusi gli utenti transfrontalieri, possano accedere facilmente in linea tramite canali diversi ai servizi di assistenza e di risoluzione dei problemi di cui all’articolo 2, paragrafo 2, lettera c).

2.   Conformemente all’articolo 19, paragrafi 2 e 3, i coordinatori nazionali di cui all’articolo 28 e la Commissione possono fornire link ai servizi di assistenza e di risoluzione dei problemi offerti dalle autorità competenti, dalla Commissione o da organi e organismi dell’Unione diversi da quelli elencati nell’allegato III, purché tali servizi soddisfino i requisiti di qualità di cui agli articoli 11 e 16.

3.   Se necessario per soddisfare le esigenze degli utenti, il coordinatore nazionale può proporre alla Commissione di inserire nello sportello link a servizi di assistenza o di risoluzione dei problemi offerti da operatori privati o semiprivati, purché tali servizi:

a)

offrano informazioni o assistenza negli ambiti e per gli scopi contemplati dal presente regolamento e siano complementari ai servizi già inclusi nello sportello;

b)

siano offerti a titolo gratuito o a un prezzo accessibile per le microimprese, le organizzazioni senza scopo di lucro e i cittadini; e

c)

siano conformi ai requisiti di cui agli articoli 8, 11 e 16.

4.   Se il coordinatore nazionale ha proposto l’inserimento di un link in conformità del paragrafo 3 del presente articolo e fornisce tale link in conformità dell’articolo 19, paragrafo 3, la Commissione verifica se le condizioni di cui al paragrafo 3 del presente articolo siano soddisfatte dal servizio da inserire mediante il link e, in caso affermativo, attiva il link.

Se riscontra che le condizioni di cui al paragrafo 3 non sono soddisfatte dal servizio da inserire, la Commissione informa il coordinatore nazionale dei motivi per cui non ha attivato il link.

Articolo 8

Requisiti di qualità relativi all’accessibilità della rete

La Commissione rende i siti e le pagine web attraverso i quali concede l’accesso alle informazioni di cui all’articolo 4, paragrafo 2, e ai servizi di assistenza e di risoluzione dei problemi di cui all’articolo 7 maggiormente accessibili, ossia li rende percepibili, utilizzabili, comprensibili e solidi.

CAPO III

PRESCRIZIONI RELATIVE ALLA QUALITÀ

SEZIONE 1

Requisiti di qualità relativi alle informazioni sui diritti, sugli obblighi, sulle norme, sulle procedure e sui servizi di assistenza e di risoluzione dei problemi

Articolo 9

Qualità delle informazioni sui diritti, sugli obblighi e sulle norme

1.   Nei casi in cui gli Stati membri e la Commissione hanno la responsabilità, a norma dell’articolo 4, di assicurare l’accesso alle informazioni di cui all’articolo 2, paragrafo 2, lettera a), essi garantiscono che tali informazioni soddisfino i seguenti requisiti:

a)

sono di facile utilizzo e consentono agli utenti di reperire facilmente le informazioni e di individuare facilmente quali parti delle informazioni sono rilevanti per la loro particolare situazione;

b)

sono esatte e sufficientemente complete per comprendere le informazioni che gli utenti devono conoscere per poter esercitare i loro diritti in piena conformità delle norme e degli obblighi applicabili;

c)

contengono riferimenti, link a atti giuridici, specifiche tecniche e linee guida, se del caso;

d)

comprendono il nome dell’autorità competente o del soggetto responsabile del contenuto delle informazioni;

e)

includono i recapiti di ogni pertinente servizio di assistenza e di risoluzione dei problemi, come il numero di telefono, l’indirizzo e-mail, un modulo in linea di richiesta e qualsiasi altro strumento di comunicazione elettronica di uso comune che sia il più idoneo al tipo di servizio offerto e ai destinatari di tale servizio;

f)

includono la data dell’ultimo aggiornamento delle informazioni, se pertinente, o, qualora le informazioni non siano state aggiornate, la data di pubblicazione delle stesse;

g)

sono ben strutturate e presentate in modo che gli utenti possano trovare rapidamente ciò di cui hanno bisogno;

h)

sono aggiornate; e

i)

sono scritte in un linguaggio semplice e chiaro, adeguato alle esigenze degli utenti destinatari.

2.   Gli Stati membri rendono le informazioni di cui al paragrafo 1 del presente articolo accessibili in una lingua ufficiale dell’Unione che sia ampiamente compresa dal maggior numero possibile di utenti transfrontalieri, conformemente all’articolo 12.

Articolo 10

Qualità delle informazioni sulle procedure

1.   Per conformarsi all’articolo 4, gli Stati membri e la Commissione garantiscono che gli utenti, prima della loro identificazione anteriore all’avvio della procedura, abbiano accesso a una spiegazione sufficientemente completa, chiara e di facile comprensione dei seguenti elementi, se del caso, delle procedure di cui all’articolo 2, paragrafo 2, lettera b):

a)

le pertinenti fasi della procedura che l’utente deve seguire, comprese eventuali deroghe di cui all’articolo 6, paragrafo 3, all’obbligo degli Stati membri di offrire la procedura interamente in linea;

b)

il nome dell’autorità competente responsabile della procedura, compresi i recapiti;

c)

i mezzi di autenticazione, identificazione e firma accettati per tale procedura;

d)

il tipo e il formato in cui presentare le prove;

e)

i mezzi di ricorso o di impugnazione generalmente disponibili in caso di controversie con le autorità competenti;

f)

i diritti da assolvere e le modalità di pagamento in linea;

g)

le scadenze che l’utente o l’autorità competente sono tenuti a rispettare e, nei casi in cui non esistono scadenze, il tempo medio, stimato o indicativo, che occorre all’autorità competente per espletare la procedura;

h)

le eventuali norme per il caso di mancata risposta da parte dell’autorità competente e le relative conseguenze giuridiche per gli utenti, compresi i regimi di approvazione tacita o di silenzio amministrativo;

i)

eventuali lingue supplementari in cui può essere espletata la procedura.

2.   Se non esistono regimi di approvazione tacita, di silenzio amministrativo o simili, le autorità competenti informano, se del caso, gli utenti di eventuali ritardi e di eventuali proroghe delle scadenze o delle eventuali relative conseguenze.

3.   Se la spiegazione di cui al paragrafo 1 è già disponibile per gli utenti non transfrontalieri, essa può essere utilizzata o riutilizzata ai fini del presente regolamento, purché riguardi, se del caso, anche le informazioni relative alla situazione degli utenti transfrontalieri.

4.   Gli Stati membri rendono la spiegazione di cui al paragrafo 1 del presente articolo accessibile in una lingua ufficiale dell’Unione che sia ampiamente compresa dal maggior numero possibile di utenti transfrontalieri, conformemente all’articolo 12.

Articolo 11

Qualità delle informazioni sui servizi di assistenza e di risoluzione dei problemi

1.   Per conformarsi all’articolo 4, gli Stati membri e la Commissione garantiscono che gli utenti, prima di richiedere un servizio ai sensi dell’articolo 2, paragrafo 2, lettera c), abbiano accesso a una spiegazione chiara e di facile comprensione dei seguenti elementi:

a)

il tipo, le finalità e i possibili risultati del servizio offerto;

b)

i recapiti dei soggetti responsabili del servizio, come il numero di telefono, l’indirizzo e-mail, un modulo in linea di richiesta e qualsiasi altro strumento di comunicazione elettronica di uso comune che è più idoneo al tipo di servizio offerto e ai destinatari di tale servizio;

c)

se del caso, i diritti da assolvere e le modalità di pagamento in linea;

d)

le eventuali scadenze da rispettare e, nei casi in cui non esistono scadenze, una media o una stima del tempo necessario per fornire il servizio;

e)

eventuali lingue supplementari nelle quali le domande possono essere presentate e che possono essere utilizzate nei contatti successivi.

2.   Gli Stati membri rendono la spiegazione di cui al paragrafo 1 del presente articolo accessibile in una lingua ufficiale dell’Unione che sia ampiamente compresa dal maggior numero possibile di utenti transfrontalieri, conformemente all’articolo 12.

Articolo 12

Traduzione delle informazioni

1.   Qualora uno Stato membro non fornisca le informazioni, le spiegazioni e le istruzioni di cui agli articoli 9, 10 e 11, e all’articolo 13, paragrafo 2, lettera a), in una lingua ufficiale dell’Unione che sia ampiamente compresa dal maggior numero possibile di utenti transfrontalieri, tale Stato membro richiede alla Commissione di fornire le traduzioni in tale lingua, entro i limiti del bilancio dell’Unione disponibile a norma dell’articolo 32, paragrafo 1, lettera c).

2.   Gli Stati membri provvedono affinché i testi da tradurre inviati a norma del paragrafo 1 del presente articolo riguardino almeno le informazioni di base in tutti i settori indicati nell’allegato I e, il bilancio dell’Unione disponibile è sufficiente, riguardino ogni altra informazione, spiegazione e istruzione di cui agli articoli 9, 10 e 11, e all’articolo 13, paragrafo 2, lettera a), tenendo conto delle esigenze più importanti degli utenti transfrontalieri. Gli Stati membri forniscono al repertorio dei link di cui all’articolo 19 i link a tali informazioni tradotte.

3.   La lingua di cui al paragrafo 1 è la lingua ufficiale dell’Unione più ampiamente studiata come lingua straniera dagli utenti in tutta l’Unione. In via d’eccezione, quando si prevede che le informazioni, le spiegazioni e le istruzioni da tradurre interessino prevalentemente gli utenti transfrontalieri provenienti da un altro Stato membro, la lingua di cui al paragrafo 1 può essere la lingua ufficiale dell’Unione usata come prima lingua da tali utenti transfrontalieri.

4.   Quando richiede una traduzione in una lingua ufficiale dell’Unione diversa dalla lingua più ampiamente studiata come lingua straniera dagli utenti in tutta l’Unione, uno Stato membro motiva debitamente la sua richiesta. Se riscontra che le condizioni di cui al paragrafo 3 per la scelta di tale lingua diversa non sono soddisfatte, la Commissione può respingere la richiesta e informa lo Stato membro dei relativi motivi.

SEZIONE 2

Requisiti relativi alle procedure in linea

Articolo 13

Accesso transfrontaliero alle procedure in linea

1.   Gli Stati membri assicurano che, qualora una procedura di cui all’articolo 2, paragrafo 2, lettera b), stabilita a livello nazionale, sia accessibile in linea e possa essere espletata in linea dagli utenti non transfrontalieri, essa sia accessibile e possa essere espletata in linea anche dagli utenti transfrontalieri in modo non discriminatorio, tramite la medesima soluzione tecnica o una soluzione tecnica alternativa.

2.   Per le procedure di cui al paragrafo 1 del presente articolo, gli Stati membri assicurano che siano soddisfatti almeno i seguenti requisiti:

a)

gli utenti possono consultare istruzioni per completare la procedura almeno in una lingua ufficiale dell’Unione che sia ampiamente compresa dal maggior numero possibile di utenti transfrontalieri, conformemente all’articolo 12;

b)

gli utenti transfrontalieri possono di presentare le informazioni richieste, anche quando la struttura di tali informazioni è diversa da quella di informazioni analoghe nello Stato membro interessato;

c)

gli utenti transfrontalieri possono identificarsi e autenticarsi nonché firmare o sigillare elettronicamente i documenti come previsto dal regolamento (UE) n. 910/2014, in tutti i casi in cui questo sia possibile anche per gli utenti non transfrontalieri;

d)

gli utenti transfrontalieri possono fornire la prova del rispetto dei requisiti applicabili e ricevere l’esito delle procedure in formato elettronico, in tutti i casi in cui questo sia possibile anche per gli utenti non transfrontalieri;

e)

nel caso in cui l’espletamento di una procedura sia a pagamento, gli utenti possono pagare i diritti in linea mediante servizi di pagamento transfrontalieri ampiamente diffusi, senza discriminazioni fondate sul luogo di stabilimento del fornitore del servizio di pagamento, sul luogo di emissione dello strumento di pagamento o sull’ubicazione del conto di pagamento all’interno dell’Unione.

3.   Nei casi in cui la procedura non richiede l’identificazione o l’autenticazione elettronica di cui al paragrafo 2, lettera c), e le autorità competenti possono, in virtù del diritto o delle prassi amministrative nazionali applicabili, accettare, per gli utenti non transfrontalieri, copie digitali di prove di identità non elettroniche, come carte d’identità o passaporti, tali autorità accettano tali copie digitali anche per gli utenti transfrontalieri.

Articolo 14

Sistema tecnico per lo scambio transfrontaliero automatizzato di prove e applicazione del principio «una tantum»

1.   Ai fini dello scambio di prove per le procedure in linea elencate nell’allegato II del presente regolamento e le procedure di cui alle direttive 2005/36/CE, 2006/123/CE, 2014/24/UE e 2014/25/UE, la Commissione, in cooperazione con gli Stati membri, istituisce un sistema tecnico per lo scambio automatizzato di prove tra le autorità competenti di diversi Stati membri («il sistema tecnico»).

2.   Se le autorità competenti rilasciano legalmente, nel proprio Stato membro e in un formato elettronico che consente uno scambio automatizzato, prove rilevanti ai fini delle procedure in linea di cui al paragrafo 1, esse mettono tali prove anche a disposizione delle autorità competenti richiedenti di altri Stati membri in un formato elettronico che consenta uno scambio automatizzato.

3.   Il sistema tecnico, in particolare:

a)

consente il trattamento delle richieste di prove su richiesta esplicita dell’utente;

b)

consente il trattamento delle richieste di scambio di prove o di accesso ad esse;

c)

consente la trasmissione delle prove tra autorità competenti;

d)

consente il trattamento delle prove da parte dell’autorità competente richiedente;

e)

garantisce la riservatezza e l’integrità delle prove;

f)

prevede la possibilità per l’utente di esaminare le prove che devono essere utilizzate dall’autorità richiedente competente e di scegliere se procedere o meno allo scambio delle prove;

g)

garantisce un adeguato livello di interoperabilità con altri sistemi pertinenti;

h)

garantisce un elevato livello di sicurezza per la trasmissione e il trattamento delle prove;

i)

non tratta le prove al di là di quanto necessario sul piano tecnico per lo scambio delle prove, e successivamente solo per la durata necessaria a tal fine.

4.   L’uso del sistema tecnico non è obbligatorio per gli utenti ed è consentito unicamente su loro esplicita richiesta, se non diversamente previsto dal diritto dell’Unione o nazionale. Agli utenti è consentito di presentare le prove con mezzi diversi dal sistema tecnico direttamente all’autorità competente richiedente.

5.   La possibilità di esaminare le prove di cui al paragrafo 3, lettera f), del presente articolo non deve essere obbligatoria per le procedure in cui lo scambio transfrontaliero automatizzato di dati in assenza di un tale esame sia consentito a norma del diritto dell’Unione o del diritto nazionale applicabili. Tale possibilità di esaminare le prove lascia impregiudicato l’obbligo di fornire le informazioni a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.

6.   Gli Stati membri integrano il sistema tecnico pienamente operativo nell’ambito delle procedure di cui al paragrafo 1.

7.   Su richiesta esplicita, libera, specifica, informata e inequivocabile dell’utente interessato le autorità competenti responsabili delle procedure in linea di cui al paragrafo 1 richiedono, mediante il sistema tecnico, le prove direttamente alle autorità di rilascio competenti in altri Stati membri. A norma del paragrafo 3, lettera e), le autorità di rilascio di cui al comma 2 competenti mettono a disposizioni tali prove mediante lo stesso sistema.

8.   Le prove messe a disposizione dell’autorità competente richiedente si limitano a ciò che è stato richiesto e possono essere utilizzate da tale autorità solo ai fini della procedura per la quale sono state scambiate. Le prove scambiate mediante il sistema tecnico sono considerate autentiche, ai fini dell’autorità competente richiedente.

9.   Entro 12 giugno 2021, la Commissione adotta atti di esecuzione per definire le specifiche tecniche e operative del sistema tecnico necessarie per l’attuazione del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all’articolo 37, paragrafo 2.

10.   I paragrafi da 1 a 8 non si applicano alle procedure stabilite a livello dell’Unione che prevedono meccanismi per lo scambio di prove diversi, fatti salvi i casi in cui il sistema tecnico necessario ai fini dell’attuazione del presente articolo sia integrato nelle procedure a norma delle disposizioni degli atti dell’Unione che le istituiscono.

11.   La Commissione e ciascuno degli Stati membri sono responsabili dello sviluppo, della messa a disposizione, della manutenzione, del controllo, del monitoraggio e della gestione della sicurezza delle rispettive parti del sistema tecnico.

Articolo 15

Verifica delle prove tra gli Stati membri

Nei casi in cui non siano disponibili o applicabili il sistema tecnico o altri sistemi per lo scambio o la verifica delle prove tra gli Stati membri o nei casi in cui l’utente non richieda l’utilizzo del sistema tecnico, le autorità competenti cooperano mediante il sistema di informazione del mercato interno (IMI) se ciò è necessario per verificare l’autenticità delle prove presentate a una di esse in un formato elettronico dall’utente nel quadro di una procedura in linea.

SEZIONE 3

Requisiti di qualità relativi ai servizi di assistenza e di risoluzione dei problemi

Articolo 16

Requisiti di qualità relativi ai servizi di assistenza e di risoluzione dei problemi

Le autorità competenti e la Commissione, nell’ambito delle rispettive competenze, assicurano che i servizi di assistenza e di risoluzione dei problemi elencati nell’allegato III e i servizi che sono stati inclusi nello sportello a norma dell’articolo 7, paragrafi 2, 3 e 4, soddisfino i seguenti requisiti di qualità:

a)

sono prestati entro un termine ragionevole tenuto conto della complessità della richiesta;

b)

nel caso in cui i termini siano prorogati, gli utenti sono informati in anticipo della motivazione e del nuovo termine;

c)

se il servizio è a pagamento, gli utenti possono assolvere in linea i diritti mediante servizi di pagamento transfrontalieri ampiamente diffusi, senza discriminazioni fondate sul luogo di stabilimento del fornitore del servizio di pagamento, sul luogo di emissione dello strumento di pagamento o sull’ubicazione del conto di pagamento all’interno dell’Unione.

SEZIONE 4

Monitoraggio della qualità

Articolo 17

Monitoraggio della qualità

1.   I coordinatori nazionali di cui all’articolo 28 e la Commissione, nell’ambito delle rispettive competenze, eseguono periodicamente il monitoraggio della conformità ai requisiti di qualità di cui agli articoli da 8 a 13 e all’articolo 16 delle informazioni, delle procedure e dei servizi di assistenza e di risoluzione dei problemi disponibili mediante lo sportello. Il monitoraggio è effettuato in base ai dati raccolti a norma degli articoli 24 e 25.

2.   In caso di deterioramento della qualità delle informazioni, delle procedure e dei servizi di assistenza e di risoluzione dei problemi di cui al paragrafo 1 forniti dalle autorità competenti, la Commissione adotta, tenendo conto della gravità e della persistenza del deterioramento, una o più delle seguenti misure:

a)

informare il coordinatore nazionale pertinente e chiedere azioni correttive;

b)

discutere le azioni raccomandate per migliorare la conformità ai requisiti di qualità in seno al gruppo di coordinamento dello sportello;

c)

inviare una lettera con raccomandazioni allo Stato membro interessato;

d)

scollegare temporaneamente dallo sportello le informazioni, la procedura o il servizio di assistenza o di risoluzione dei problemi.

3.   Qualora un servizio di assistenza o di risoluzione dei problemi i cui link sono forniti a norma dell’articolo 7, paragrafo 3, sistematicamente non rispetti le prescrizioni di cui agli articoli 11 e 16 o non soddisfi più le esigenze degli utenti come indicato dai dati raccolti a norma degli articoli 24 e 25, la Commissione può scollegare il servizio dallo sportello, previa consultazione con il coordinatore nazionale pertinente e, se del caso, con il gruppo di coordinamento dello sportello.

CAPO IV

SOLUZIONI TECNICHE

Articolo 18

Interfaccia utenti comune

1.   La Commissione, in stretta cooperazione con gli Stati membri, mette a disposizione un’interfaccia utenti comune integrata nel portale «La tua Europa» per garantire il corretto funzionamento dello sportello.

2.   L’interfaccia utenti comune dà accesso alle informazioni, alle procedure e ai servizi di assistenza o di risoluzione dei problemi mediante link ai pertinenti siti Internet o pagine web a livello dell’Unione e nazionali inclusi nel repertorio di link di cui all’articolo 19.

3.   Gli Stati membri e la Commissione, conformemente ai rispettivi ruoli e responsabilità e come previsto all’articolo 4, garantiscono che le informazioni sulle norme e sugli obblighi, sulle procedure e sui servizi di assistenza e di risoluzione dei problemi siano organizzate e marcate in modo tale che sia più semplice trovarle mediante l’interfaccia utenti comune.

4.   La Commissione garantisce che l’interfaccia utenti comune soddisfi i seguenti requisiti di qualità:

a)

è di facile utilizzo;

b)

è accessibile in linea attraverso vari dispositivi elettronici;

c)

è sviluppata e ottimizzata per vari navigatori di rete;

d)

soddisfa i seguenti requisiti di accessibilità della rete: percepibilità, utilizzabilità, comprensibilità e solidità.

5.   La Commissione può adottare atti di esecuzione che stabiliscono requisiti di interoperabilità affinché sia più semplice trovare le informazioni sulle norme e sugli obblighi, sulle procedure e sui servizi di assistenza e di risoluzione dei problemi mediante l’interfaccia utenti comune. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all’articolo 37, paragrafo 2.

Articolo 19

Repertorio di link

1.   La Commissione, in stretta cooperazione con gli Stati membri, crea e mantiene aggiornato un repertorio elettronico dei link alle informazioni, alle procedure e ai servizi di assistenza e di risoluzione dei problemi di cui all’articolo 2, paragrafo 2, che consentono il collegamento tra tali servizi e l’interfaccia utenti comune.

2.   La Commissione fornisce all’interno del repertorio di link tutti i link alle informazioni, alle procedure e ai servizi di assistenza e di risoluzione dei problemi accessibili sulle pagine web gestite a livello dell’Unione e assicura che tali link siano accurati e aggiornati.

3.   I coordinatori nazionali forniscono all’interno del repertorio di link tutti i link alle informazioni, alle procedure e ai servizi di assistenza e di risoluzione dei problemi accessibili sulle pagine web gestite dalle autorità competenti o dai soggetti privati o semiprivati di cui all’articolo 7, paragrafo 3, e assicurano che tali link siano accurati e aggiornati.

4.   Ove possibile sul piano tecnico, la messa a disposizione dei link di cui al paragrafo 3 può essere effettuata automaticamente tra i pertinenti sistemi degli Stati membri e il repertorio di link.

5.   La Commissione mette a disposizione del pubblico le informazioni incluse nel repertorio di link in un formato aperto e leggibile elettronicamente.

6.   La Commissione e i coordinatori nazionali garantiscono che i link alle informazioni, alle procedure e ai servizi di assistenza o di risoluzione dei problemi offerti mediante lo sportello non contengano inutili duplicazioni e sovrapposizioni, totali o parziali, che rischiano di confondere gli utenti.

7.   Se la messa a disposizione delle informazioni di cui all’articolo 4 è prevista in altre disposizioni del diritto dell’Unione, la Commissione e i coordinatori nazionali possono fornire i link a tali informazioni per rispettare le disposizioni del suddetto articolo.

Articolo 20

Strumento comune di reperimento di servizi di assistenza

1.   Al fine di agevolare l’accesso ai servizi di assistenza e di risoluzione dei problemi elencati all’allegato III o a cui è fatto riferimento all’articolo 7, paragrafi 2 e 3, le autorità competenti e la Commissione assicurano che gli utenti possano accedervi mediante uno strumento comune di reperimento di servizi di assistenza e di risoluzione dei problemi («strumento comune di reperimento di servizi di assistenza») disponibile mediante lo sportello.

2.   La Commissione elabora e gestisce lo strumento comune di reperimento di servizi di assistenza e decide la struttura e il formato in cui devono essere messi a disposizione le descrizioni e i recapiti dei servizi di assistenza e di risoluzione dei problemi per garantire il buon funzionamento dello strumento comune di reperimento di servizi.

3.   I coordinatori nazionali forniscono alla Commissione le descrizioni e i recapiti di cui al paragrafo 2.

Articolo 21

Responsabilità per le applicazioni TIC di supporto allo sportello

1.   La Commissione è responsabile dello sviluppo, della messa a disposizione, del monitoraggio, dell’aggiornamento, della manutenzione, della sicurezza e dell’hosting delle seguenti applicazioni TIC e pagine web:

a)

il portale «La tua Europa» di cui all’articolo 2, paragrafo 1;

b)

l’interfaccia utenti comune di cui all’articolo 18, paragrafo 1, compreso il motore di ricerca o qualsiasi altro strumento TIC che consenta la reperibilità di informazioni e servizi web;

c)

il repertorio di link di cui all’articolo 19, paragrafo 1;

d)

lo strumento comune di reperimento di servizi di assistenza di cui all’articolo 20, paragrafo 1;

e)

gli strumenti di riscontro di cui all’articolo 25, paragrafo 1, e all’articolo 26, paragrafo 1, lettera a).

La Commissione lavora in stretta cooperazione con gli Stati membri per sviluppare le applicazioni TIC.

2.   Gli Stati membri sono responsabili dello sviluppo, della messa a disposizione, del monitoraggio, dell’aggiornamento, della manutenzione e della sicurezza delle applicazioni TIC relative ai siti e alle pagine web nazionali che essi gestiscono e che sono connessi all’interfaccia utenti comune.

CAPO V

PROMOZIONE

Articolo 22

Nome, logo e marchio di qualità

1.   Il nome con cui lo sportello sarà designato e promosso presso il pubblico è «Your Europe».

Al più tardi entro il 12 giugno 2019 la Commissione, in stretta cooperazione con il gruppo di coordinamento dello sportello, decide il logo con cui sarà designato e promosso lo sportello presso il pubblico.

Il logo dello sportello e il rispettivo link sono resi visibili e disponibili sui pertinenti siti web a livello di Unione e a livello nazionale collegati allo sportello.

2.   In quanto prova di conformità ai requisiti di qualità di cui agli articoli 9, 10 e 11, il nome e il logo dello sportello fungono anche da marchio di qualità. Tuttavia, il logo dello sportello è utilizzabile come marchio di qualità solo dalle pagine web e dai siti web inclusi nel repertorio di link di cui all’articolo 19.

Articolo 23

Promozione

1.   Gli Stati membri e la Commissione promuovono lo sportello e il suo uso tra i cittadini e le imprese e garantiscono che lo sportello stesso e le sue informazioni, le sue procedure e i suoi servizi di assistenza e di risoluzione dei problemi siano visibili al pubblico e possano essere trovati facilmente mediante motori di ricerca accessibili al pubblico.

2.   Gli Stati membri e la Commissione coordinano le attività di promozione di cui al paragrafo 1 e si riferiscono allo sportello e ne usano il logo in tali attività insieme ad eventuali altre denominazioni commerciali.

3.   Gli Stati membri e la Commissione garantiscono che lo sportello possa essere facilmente trovato mediante i siti web collegati di cui sono responsabili e che in tutti i siti web pertinenti a livello dell’Unione e nazionale siano disponibili link all’interfaccia utenti comune.

4.   I coordinatori nazionali promuovono lo sportello presso le autorità nazionali competenti.

CAPO VI

RACCOLTA DI RISCONTRI E STATISTICHE RELATIVE AGLI UTENTI

Articolo 24

Statistiche relative agli utenti

1.   Al fine di migliorare la funzionalità dello sportello le autorità competenti e la Commissione garantiscono che siano raccolte statistiche riguardanti le visite degli utenti allo sportello e alle pagine web connesse allo sportello mediante link in modo da garantire l’anonimato degli utenti.

2.   Le autorità competenti, i fornitori di servizi di assistenza o di risoluzione dei problemi di cui all’articolo 7, paragrafo 3, e la Commissione raccolgono e scambiano, in modo aggregato, il numero, l’origine e l’oggetto delle domande di servizi di assistenza e di risoluzione dei problemi, nonché i relativi tempi di risposta.

3.   Le statistiche raccolte conformemente ai paragrafi 1 e 2, riguardanti le informazioni, le procedure e i servizi di assistenza e di risoluzione dei problemi a cui lo sportello rimanda, comprendono le seguenti categorie di dati:

a)

dati relativi al numero, all’origine e al tipo di utenti dello sportello;

b)

dati relativi alle preferenze e ai percorsi degli utenti;

c)

dati relativi alla fruibilità, alla reperibilità e alla qualità delle informazioni, delle procedure e dei servizi di assistenza e di risoluzione dei problemi.

Tali dati sono messi a disposizione del pubblico in un formato aperto, di uso comune e leggibile elettronicamente.

4.   La Commissione adotta atti di esecuzione che stabiliscono il metodo di raccolta e scambio delle statistiche relative agli utenti di cui ai paragrafi 1, 2 e 3 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all’articolo 37, paragrafo 2.

Articolo 25

Riscontri degli utenti sui servizi dello sportello

1.   Al fine di raccogliere informazioni dirette dagli utenti sul loro livello di soddisfazione per i servizi forniti mediante lo sportello e le informazioni ivi rese disponibili, la Commissione fornisce agli utenti mediante lo sportello uno strumento di riscontro di facile utilizzo che consenta loro, immediatamente dopo aver usufruito uno dei servizi di cui all’articolo 2, paragrafo 2, di commentare in modo anonimo la qualità e la disponibilità dei servizi forniti mediante lo sportello, delle informazioni ivi rese disponibili e dell’interfaccia utenti comune.

2.   Le autorità competenti e la Commissione assicurano che gli utenti possano avere accesso allo strumento di cui al paragrafo 1 a partire da tutte le pagine web che fanno parte dello sportello.

3.   La Commissione, le autorità competenti e i coordinatori nazionali hanno accesso diretto al riscontro degli utenti raccolto mediante lo strumento di cui al paragrafo 1 al fine di porre rimedio a eventuali problemi.

4.   Le autorità competenti non hanno l’obbligo, sulle loro pagine web che fanno parte dello sportello, di dare accesso agli utenti allo strumento di riscontro degli utenti di cui al paragrafo 1, qualora sia già disponibile sulle loro pagine web un altro strumento di riscontro con funzionalità analoghe a quelle dello strumento di riscontro di cui al paragrafo 1 per monitorare la qualità del servizio. Le autorità competenti raccolgono il riscontro degli utenti ricevuto mediante il loro strumento di riscontro e lo condividono con la Commissione e i coordinatori nazionali degli altri Stati membri.

5.   La Commissione adotta atti di esecuzione che stabiliscono le norme per la raccolta e la condivisione del riscontro degli utenti. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all’articolo 37, paragrafo 2.

Articolo 26

Relazioni sul funzionamento del mercato interno

1.   La Commissione:

a)

fornisce agli utenti dello sportello uno strumento di facile utilizzo affinché segnalino e forniscano un riscontro, in modo anonimo, sugli ostacoli che incontrano nell’esercizio dei loro diritti nel mercato interno;

b)

raccoglie informazioni aggregate dai servizi di assistenza e di risoluzione dei problemi che fanno parte dello sportello sull’oggetto delle richieste e delle risposte.

2.   La Commissione, le autorità competenti e i coordinatori nazionali hanno accesso diretto ai riscontri raccolti in conformità del paragrafo 1, lettera a).

3.   Gli Stati membri e la Commissione analizzano ed esaminano i problemi sollevati dagli utenti a norma del presente articolo e vi pongono rimedio, per quanto possibile, con i mezzi appropriati.

Articolo 27

Panoramiche sintetiche in linea

La Commissione pubblica in forma anonima panoramiche sintetiche in linea dei problemi che emergono dalle informazioni raccolte a norma dell’articolo 26, paragrafo 1, dalle principali statistiche relative agli utenti di cui all’articolo 24 e dai principali riscontri degli utenti di cui all’articolo 25.

CAPO VII

GOVERNANCE DELLO SPORTELLO

Articolo 28

Coordinatori nazionali

1.   Ogni Stato membro nomina un coordinatore nazionale. Oltre ai loro obblighi a norma degli articoli 7, 17, 19, 20, 23 e 25, i coordinatori nazionali:

a)

fungono da punto di contatto all’interno delle loro rispettive amministrazioni per tutte le questioni concernenti lo sportello;

b)

promuovono l’applicazione uniforme degli articoli da 9 a 16 da parte delle loro rispettive autorità competenti;

c)

garantiscono che le raccomandazioni di cui all’articolo 17, paragrafo 2, lettera c), siano attuate correttamente.

2.   Ogni Stato membro può nominare uno o più coordinatori per svolgere qualsiasi compito tra quelli elencati al paragrafo 1, secondo la propria struttura amministrativa interna. Per ogni Stato membro, un solo coordinatore nazionale è responsabile dei contatti con la Commissione per tutte le questioni concernenti lo sportello.

3.   Ciascuno Stato membro comunica agli altri Stati membri e alla Commissione il nome e i recapiti del suo coordinatore nazionale.

Articolo 29

Gruppo di coordinamento

È istituito un gruppo di coordinamento («gruppo di coordinamento dello sportello»), composto da un coordinatore nazionale per ogni Stato membro e presieduto da un rappresentante della Commissione. Esso adotta il proprio regolamento interno. La Commissione ne assicura il segretariato.

Articolo 30

Compiti del gruppo di coordinamento dello sportello

1.   Il gruppo di coordinamento dello sportello sostiene l’attuazione del presente regolamento. In particolare:

a)

facilita lo scambio e l’aggiornamento periodico delle migliori prassi;

b)

incoraggia l’impiego di procedure interamente in linea, oltre a quelle di cui all’allegato II del presente regolamento, e di mezzi di autenticazione, identificazione e firma in linea, in particolare quelli previsti dal regolamento (UE) n. 910/2014;

c)

discute come migliorare la fruibilità della presentazione delle informazioni nei settori indicati all’allegato I, segnatamente sulla base dei dati raccolti in conformità degli articoli 24 e 25;

d)

assiste la Commissione nello sviluppo di soluzioni TIC comuni di supporto allo sportello;

e)

discute il progetto di programma di lavoro annuale;

f)

assiste la Commissione nel monitoraggio dell’esecuzione del programma di lavoro annuale;

g)

discute le informazioni aggiuntive fornite a norma dell’articolo 5 al fine di incoraggiare altri Stati membri a fornire informazioni analoghe, ove pertinente per gli utenti;

h)

assiste la Commissione nel monitoraggio della conformità ai requisiti di cui agli articoli da 8 a 16, conformemente all’articolo 17;

i)

informa sull’applicazione dell’articolo 6, paragrafo 1;

j)

discute ed esprime raccomandazioni alle autorità competenti e alla Commissione al fine di evitare o eliminare inutili duplicazioni dei servizi disponibili mediante lo sportello;

k)

esprime pareri o suggerimenti di miglioramento in merito a procedure o misure per affrontare in modo efficace eventuali problemi connessi alla qualità dei servizi sollevati dagli utenti;

l)

discute l’applicazione dei principi di sicurezza e tutela della vita privata sin dalla progettazione nel quadro del presente regolamento;

m)

discute le questioni relative alla raccolta dei riscontri degli utenti e alle statistiche di cui agli articoli 24 e 25, in modo che i servizi offerti a livello dell’Unione e nazionale siano continuamente migliorati;

n)

discute le questioni relative ai requisiti di qualità dei servizi offerti mediante lo sportello;

o)

procede allo scambio di migliori prassi e assiste la Commissione per quanto riguarda l’organizzazione, la strutturazione e la presentazione dei servizi di cui all’articolo 2, paragrafo 2, al fine di consentire il corretto funzionamento dell’interfaccia utenti comune;

p)

favorisce lo sviluppo e l’attuazione della promozione coordinata;

q)

coopera con gli organi di governance o le reti di servizi di informazione e di assistenza o di risoluzione dei problemi;

r)

formula orientamenti sulla lingua o sulle lingue ufficiali aggiuntive dell’Unione che devono essere utilizzate dalle autorità competenti in conformità dell’articolo 9, paragrafo 2, dell’articolo 10, paragrafo 4, dell’articolo 11, paragrafo 2, e dell’articolo 13, paragrafo 2, lettera a).

2.   La Commissione può consultare il gruppo di coordinamento dello sportello su qualsiasi questione relativa all’applicazione del presente regolamento.

Articolo 31

Programma di lavoro annuale

1.   La Commissione adotta il programma di lavoro annuale che specifica, in particolare:

a)

le azioni per migliorare la presentazione delle informazioni specifiche di cui ai settori indicati all’allegato I e le azioni per facilitare l’attuazione tempestiva, da parte delle autorità competenti a tutti i livelli, incluso quello municipale, dell’obbligo di fornire informazioni;

b)

le azioni per facilitare la conformità agli articoli 6 e 13;

c)

le azioni necessarie a garantire una conformità costante ai requisiti di cui agli articoli da 9 a 12;

d)

le attività connesse alla promozione dello sportello in conformità dell’articolo 23.

2.   Nella preparazione del progetto di programma di lavoro annuale, la Commissione tiene conto delle statistiche relative agli utenti e del riscontro degli utenti raccolti a norma degli articoli 24 e 25, nonché delle proposte formulate dagli Stati membri. Prima dell’adozione la Commissione presenta il progetto di programma di lavoro annuale al gruppo di coordinamento dello sportello per la discussione.

CAPO VIII

DISPOSIZIONI FINALI

Articolo 32

Costi

1.   Il bilancio generale dell’Unione europea copre le spese per:

a)

lo sviluppo e la manutenzione degli strumenti TIC a sostegno dell’attuazione del presente regolamento a livello dell’Unione;

b)

la promozione dello sportello a livello dell’Unione;

c)

la traduzione di informazioni, spiegazioni e istruzioni, conformemente all’articolo 12, entro un volume annuale massimo per Stato membro, fatta salva la possibilità di riassegnazione ove necessario per consentire il pieno utilizzo del bilancio disponibile.

2.   I costi relativi ai portali web nazionali, alle piattaforme di informazione, ai servizi di assistenza e alle procedure stabiliti a livello di Stato membro sono a carico dei rispettivi bilanci degli Stati membri, se non diversamente previsto dalla normativa dell’Unione.

Articolo 33

Protezione dei dati personali

Il trattamento di dati personali effettuato dalle autorità competenti nell’ambito del presente regolamento si conforma al regolamento (UE) 2016/679. Il trattamento dei dati personali effettuato dalla Commissione nell’ambito del presente regolamento si conforma al regolamento (UE) 2018/1725.

Articolo 34

Cooperazione con altre reti di informazione e di assistenza

1.   Previa consultazione degli Stati membri, la Commissione decide quali modalità informali di governance esistenti relative ai servizi di assistenza o di risoluzione dei problemi elencati nell’allegato III o agli ambiti delle informazioni di cui all’allegato I, diventano di pertinenza del gruppo di coordinamento dello sportello.

2.   Nei casi in cui le informazioni e i servizi o le reti di assistenza siano stati istituiti mediante un atto giuridicamente vincolante dell’Unione per uno qualsiasi dei settori di informazione di cui all’allegato I, la Commissione coordina i lavori del gruppo di coordinamento dello sportello e gli organi di governance di tali servizi o reti al fine di conseguire sinergie ed evitare le duplicazioni.

Articolo 35

Sistema di informazione del mercato interno

1.   Ai fini dell’articolo 6, paragrafo 4, e dell’articolo 15, e in conformità degli stessi, è utilizzato il sistema di informazione del mercato interno (IMI) istituito dal regolamento (UE) n. 1024/2012.

2.   La Commissione può decidere di utilizzare l’IMI come repertorio elettronico di link di cui all’articolo 19, paragrafo 1.

Articolo 36

Relazioni e riesame

Entro il 12 dicembre 2022, e successivamente ogni due anni, la Commissione riesamina l’applicazione del presente regolamento e presenta al Parlamento europeo e al Consiglio una relazione di valutazione sul funzionamento dello sportello e sul funzionamento del mercato interno basata sulle statistiche e sulle informazioni raccolte conformemente agli articoli 24, 25 e 26. Il riesame riguarda, in particolare, la valutazione dell’ambito di applicazione dell’articolo 14, tenendo conto degli sviluppi tecnologici, giuridici e di mercato attinenti allo scambio di prove tra autorità competenti.

Articolo 37

Procedura di comitato

1.   La Commissione è assistita da un comitato. Esso comitato è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.   Nei casi in cui è fatto riferimento al presente paragrafo, si applica l’articolo 5 del regolamento (UE) n. 182/2011.

Articolo 38

Modifica del regolamento (UE) n. 1024/2012

Il regolamento (UE) n. 1024/2012 è così modificato:

1)

l’articolo 1 è sostituito dal seguente:

«Articolo 1

Oggetto

Il presente regolamento stabilisce i requisiti per l’uso di un sistema di informazione del mercato interno (Internal Market Information — “IMI”) per la cooperazione amministrativa tra i partecipanti all’IMI, compreso il trattamento di dati personali.»;

2)

all’articolo 3, il paragrafo 1 è sostituito dal seguente:

«1.   L’IMI è utilizzato per lo scambio di informazioni, compresi i dati personali, tra i partecipanti all’IMI e per il trattamento di tali informazioni per una delle seguenti finalità:

a)

la cooperazione amministrativa richiesta conformemente agli atti di cui all’allegato;

b)

la cooperazione amministrativa oggetto di un progetto pilota eseguito conformemente all’articolo 4.»;

3)

all’articolo 5, il secondo comma è così modificato:

a)

la lettera a) è sostituita dalla seguente:

«a)

“IMI”: strumento elettronico fornito dalla Commissione per favorire la cooperazione amministrativa tra i partecipanti all’IMI;»;

b)

la lettera b) è sostituita dalla seguente:

«b)

“cooperazione amministrativa”: attività in collaborazione tra i partecipanti all’IMI attraverso lo scambio e il trattamento di informazioni allo scopo di migliorare l’applicazione del diritto dell’Unione;»;

c)

la lettera g) è sostituita dalla seguente:

«g)

“partecipanti all’IMI”: le autorità competenti, i coordinatori IMI, la Commissione e gli organi e gli organismi dell’Unione;»;

4)

all’articolo 8, paragrafo 1, è aggiunta la lettera seguente:

«f)

assicurare il coordinamento con organi e organismi dell’Unione e concedere loro l’accesso all’IMI.»;

5)

all’articolo 9, il paragrafo 4 è sostituito dal seguente:

«4.   Gli Stati membri, la Commissione e gli organi e organismi dell’Unione istituiscono adeguati strumenti per garantire che agli utenti dell’IMI sia consentito l’accesso ai dati personali trattati nell’ambito dell’IMI soltanto in base al principio della necessità di conoscere e nell’ambito del settore o dei settori del mercato interno per i quali sono stati loro concessi i diritti di accesso conformemente al paragrafo 3.»;

6)

l’articolo 21 è così modificato:

a)

il paragrafo 2 è sostituito dal seguente:

«2.   Il garante europeo della protezione dei dati controlla e garantisce l’applicazione del presente regolamento quando la Commissione o gli organi e organismi dell’Unione trattano dati personali nel loro ruolo di partecipanti all’IMI. Si applicano, di conseguenza, gli obblighi e le competenze di cui agli articoli 57 e 58 del regolamento (UE) n. 2018/1725 (*1).

(*1)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39)»;"

b)

il paragrafo 3 è sostituito dal seguente:

«3.   Le autorità nazionali di controllo e il garante europeo della protezione dei dati, ciascuno agendo nell’ambito delle rispettive competenze, cooperano al fine di assicurare il controllo coordinato dell’IMI e del suo uso da parte dei partecipanti all’IMI conformemente all’articolo 61 del regolamento (UE) 2018/1725.»;

c)

il paragrafo 4 è soppresso;

7)

l’articolo 29, paragrafo 1, è soppresso;

8)

all’allegato sono aggiunti i punti seguenti:

«11.

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (*2): articolo 56, articoli da 60 a 66 e articolo 70, paragrafo 1.

12.

Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 2 ottobre 2018, che istituisce uno sportello digitale unico per l’accesso a informazioni, a procedure e a servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012 (*3): articolo 6, paragrafo 4, e articoli 15 e 19.».

(*2)  GU L 119 del 4.5.2016, pag. 1."

(*3)  GU L 295 del 21.11.2018, pag. 39»"

Articolo 39

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

L’articolo 2, l’articolo 4, gli articoli da 7 a 12, gli articoli 16 e 17, l’articolo 18, paragrafi da 1 a 4, l’articolo 19, l’articolo 20, l’articolo 24, paragrafi 1, 2 e 3, l’articolo 25, paragrafi da 1 a 4, l’articolo 26 e l’articolo 27 si applicano a decorrere dal 12 dicembre 2020.

L’articolo 6, l’articolo 13, l’articolo 14, paragrafi da 1 a 8, l’articolo 14, paragrafo 10, e l’articolo 15 si applicano a decorrere dal 12 dicembre 2023.

Fatta salva la data di applicazione degli articoli 2, 9, 10 e 11, le autorità municipali rendono accessibili le informazioni, le spiegazioni e le istruzioni di cui ai detti articoli al più tardi entro il 12 dicembre 2022.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Strasburgo, il 2 ottobre 2018

Per il Parlamento europeo

Il presidente

A. TAJANI

Per il Consiglio

Il presidente

J. BOGNER-STRAUSS


(1)  GU C 81 del 2.3.2018, pag. 88.

(2)  Posizione del Parlamento europeo del 13 settembre 2018 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 27 settembre 2018.

(3)  Direttiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno (GU L 376 del 27.12.2006, pag. 36).

(4)  Regolamento (CE) n. 764/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che stabilisce procedure relative all’applicazione di determinate regole tecniche nazionali a prodotti legalmente commercializzati in un altro Stato membro e che abroga la decisione n. 3052/95/CE (GU L 218 del 13.8.2008, pag. 21).

(5)  Regolamento (UE) n. 305/2011 del Parlamento europeo e del Consiglio, del 9 marzo 2011, che fissa condizioni armonizzate per la commercializzazione dei prodotti da costruzione e che abroga la direttiva 89/106/CEE del Consiglio (GU L 88 del 4.4.2011, pag. 5).

(6)  Direttiva 2005/36/CE del Parlamento europeo e del Consiglio, del 7 settembre 2005, relativa al riconoscimento delle qualifiche professionali (GU L 255 del 30.9.2005, pag. 22).

(7)  Raccomandazione 2013/461/UE della Commissione, del 17 settembre 2013, sui principi di funzionamento di SOLVIT (GU L 249 del 19.9.2013, pag. 10).

(8)  Direttiva 2014/24/UE del Parlamento europeo e del Consiglio, del 26 febbraio 2014, sugli appalti pubblici e che abroga la direttiva 2004/18/CE (GU L 94 del 28.3.2014, pag. 65).

(9)  Direttiva 2014/25/UE del Parlamento europeo e del Consiglio, del 26 febbraio 2014, sulle procedure d’appalto degli enti erogatori nei settori dell’acqua, dell’energia, dei trasporti e dei servizi postali e che abroga la direttiva 2004/17/CE (GU L 94 del 28.3.2014, pag. 243).

(10)  Regolamento (UE) 2016/589 del Parlamento europeo e del Consiglio, del 13 aprile 2016, relativo a una rete europea di servizi per l’impiego (EURES), all’accesso dei lavoratori ai servizi di mobilità e a una maggiore integrazione dei mercati del lavoro e che modifica i regolamenti (UE) n. 492/2011 e (UE) n. 1296/2013 (GU L 107 del 22.4.2016, pag. 1).

(11)  Decisione 2001/470/CE del Consiglio, del 28 maggio 2001, relativa all’istituzione di una rete giudiziaria europea in materia civile e commerciale (GU L 174 del 27.6.2001, pag. 25).

(12)  Direttiva 2014/67/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, concernente l’applicazione della direttiva 96/71/CE relativa al distacco dei lavoratori nell’ambito di una prestazione di servizi e recante modifica del regolamento (UE) n. 1024/2012 relativo alla cooperazione amministrativa attraverso il sistema di informazione del mercato interno («regolamento IMI») (GU L 159 del 28.5.2014, pag. 11).

(13)  Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014, pag. 73).

(14)  Regolamento (CE) n. 883/2004 del Parlamento europeo e del Consiglio, del 29 aprile 2004, relativo al coordinamento dei sistemi di sicurezza sociale (GU L 166 del 30.4.2004, pag. 1).

(15)  Regolamento (CE) n. 987/2009 del Parlamento europeo e del Consiglio, del 16 settembre 2009, che stabilisce le modalità di applicazione del regolamento (CE) n. 883/2004 relativo al coordinamento dei sistemi di sicurezza sociale (GU L 284 del 30.10.2009, pag. 1).

(16)  Direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio, del 26 ottobre 2016, relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici (GU L 327 del 2.12.2016, pag. 1).

(17)  Decisione del Consiglio 2010/48/CE, del 26 novembre 2009, relativa alla conclusione, da parte della Comunità europea, della convenzione delle Nazioni Unite sui diritti delle persone con disabilità (GU L 23 del 27.1.2010, pag. 35).

(18)  Regolamento (UE) n. 260/2012 del Parlamento europeo e del Consiglio, del 14 marzo 2012, che stabilisce i requisiti tecnici e commerciali per i bonifici e gli addebiti diretti in euro e che modifica il regolamento (CE) n. 924/2009 (GU L 94 del 30.3.2012, pag. 22).

(19)  Regolamento (UE) n. 1024/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, relativo alla cooperazione amministrativa attraverso il sistema di informazione del mercato interno e che abroga la decisione 2008/49/CE della Commissione («regolamento IMI») (GU L 316 del 14.11.2012, pag. 1).

(20)  Regolamento (UE) 2016/1191 del Parlamento europeo e del Consiglio, del 6 luglio 2016, che promuove la libera circolazione dei cittadini semplificando i requisiti per la presentazione di alcuni documenti pubblici nell’Unione europea e che modifica il regolamento (UE) n. 1024/2012 (GU L 200 del 26.7.2016, pag. 1).

(21)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(22)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (Cfr. pag. 39 della presente Gazzetta ufficiale).

(23)  Regolamento (UE) n. 1316/2013 del Parlamento europeo e del Consiglio, dell’11 dicembre 2013, che istituisce il meccanismo per collegare l’Europa e che modifica il regolamento (UE) n. 913/2010 e che abroga i regolamenti (CE) n. 680/2007 e (CE) n. 67/2010 (GU L 348 del 20.12.2013, pag. 129).

(24)  Direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario (GU L 169 del 30.6.2017, pag. 46).

(25)  Regolamento (UE) 2015/848 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativo alle procedure di insolvenza (GU L 141 del 5.6.2015, pag. 19).

(26)  Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

(27)  Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (GU L 194 del 19.7.2016, pag. 1).

(28)  Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

(29)  Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

(30)  GU C 340 dell’11.10.2017, pag. 6.


ALLEGATO I

Elenco dei settori di informazione che sono pertinenti per i cittadini e le imprese che esercitano i loro diritti nel mercato interno di cui all’articolo 2, paragrafo 2, lettera a)

Settori di informazione pertinenti per i cittadini:

Settore

INFORMAZIONI RELATIVE A DIRITTI, OBBLIGHI E NORME DERIVANTI DAL DIRITTO DELL’UNIONE E DAL DIRITTO NAZIONALE

A.

Viaggiare all’interno dell’Unione

1.

Documenti richiesti ai cittadini dell’Unione, ai loro familiari che sono cittadini di paesi terzi, ai minori non accompagnati e ai cittadini di paesi terzi quando viaggiano fra Stati membri dell’Unione (carta di identità, visto, passaporto)

2.

Diritti e obblighi di chi viaggia in aereo, treno, bus o nave nell’Unione e dall’Unione e di chi acquista pacchetti turistici o servizi turistici collegati

3.

Assistenza in caso di mobilità ridotta per i viaggi nell’Unione e dall’Unione

4.

Trasporto di animali, piante, alcol, tabacco, sigarette e altre merci quando si viaggia nell’Unione

5.

Chiamate vocali e invio e ricevimento di messaggi elettronici e di dati elettronici all’interno dell’Unione

B.

Lavoro e pensionamento all’interno dell’Unione

1.

Ricerca di occupazione in un altro Stato membro

2.

Assunzione in un altro Stato membro

3.

Riconoscimento delle qualifiche ai fini dell’occupazione in un altro Stato membro

4.

Regime fiscale in un altro Stato membro

5.

Norme in materia di responsabilità e assicurazione obbligatoria per quanto concerne la residenza o un’attività lavorativa in un altro Stato membro

6.

Condizioni di impiego, anche per quanto concerne i lavoratori distaccati, quali stabilite da leggi o da fonti normative secondarie (tra cui informazioni in merito a orario di lavoro, ferie retribuite, diritti alle ferie, diritti e obblighi relativi alle ore di lavoro straordinario, controlli sanitari, risoluzione dei contratti, licenziamenti ed esuberi)

7.

Parità di trattamento (norme che vietano la discriminazione sul posto di lavoro, norme sulla parità di retribuzione tra uomini e donne e sulla parità di retribuzione tra lavoratori con contratti di lavoro a tempo indeterminato o determinato)

8.

Obblighi in materia di salute e sicurezza in relazione ai diversi tipi di attività

9.

Diritti e obblighi in materia di sicurezza sociale nell’Unione, inclusi quelli relativi alle pensioni

C.

Veicoli nell’Unione

1.

Trasferimento temporaneo o permanente di un veicolo a motore in un altro Stato membro

2.

Ottenimento e rinnovo di una patente di guida

3.

Sottoscrizione dell’assicurazione obbligatoria per i veicoli a motore

4.

Acquisto e vendita di un veicolo a motore in un altro Stato membro

5.

Codice delle strada nazionale e requisiti per i conducenti, comprese norme generali per l’utilizzo dell’infrastruttura stradale nazionale: diritti calcolati in base alla durata (vignetta), diritti calcolati in base alla distanza (pedaggio), bollini delle emissioni

D.

Residenza in un altro Stato membro

1.

Trasferimento temporaneo o permanente in un altro Stato membro

2.

Acquisto e vendita di beni immobiliari, inclusi eventuali obblighi e condizioni legati all’imposizione, alla proprietà o all’utilizzo di tali beni, compreso l’utilizzo come seconda residenza

3.

Partecipazione alle elezioni comunali e alle elezioni del Parlamento europeo

4.

Prescrizioni in materia di carte di soggiorno per i cittadini dell’Unione e i loro familiari, inclusi quelli cittadini di paesi terzi

5.

Condizioni applicabili alla naturalizzazione dei cittadini di un altro Stato membro

6.

Norme applicabili in caso di decesso, comprese norme in materia di rimpatrio della salma in un altro Stato membro

E.

Studi o tirocini in un altro Stato membro

1.

Sistema di istruzione in un altro Stato membro, comprese l’educazione e la cura della prima infanzia, l’istruzione primaria e secondaria, l’istruzione superiore e l’istruzione degli adulti

2.

Volontariato in un altro Stato membro

3.

Tirocini in un altro Stato membro

4.

Attività di ricerca in un altro Stato membro nell’ambito di un programma d’istruzione

F.

Sanità

1.

Assistenza sanitaria in un altro Stato membro

2.

Acquisto, in linea o di persona, di prodotti farmaceutici su prescrizione medica in uno Stato membro diverso da quello in cui è stata rilasciata la prescrizione

3.

Norme in materia di assicurazione sanitaria applicabili a soggiorni di breve o lunga durata in un altro Stato membro, comprese le modalità per richiedere la tessera europea di assicurazione malattia

4.

Informazioni generali i sui diritti di accesso o gli obblighi di partecipazione alle misure pubbliche disponibili in materia di prevenzione sanitaria

5.

Servizi forniti mediante i numeri di emergenza nazionali, compresi il 112 e il 116

6.

Diritti e condizioni relativi al trasferimento in un centro di assistenza residenziale

G.

Diritti relativi ai cittadini e alla famiglia

1.

Nascita, custodia dei figli minorenni, responsabilità genitoriale, norme in materia di maternità surrogata e adozione, compresa l’adozione da parte del secondo genitore, obbligo di pagamento degli alimenti per i figli in una situazione familiare transfrontaliera

2.

Coppie di nazionalità diverse, incluse coppie dello stesso sesso (matrimonio, unione civile o registrata, separazione, divorzio, regime patrimoniale, diritti dei conviventi)

3.

Norme in materia di riconoscimento del genere

4.

Diritti e obblighi di successione in un altro Stato membro, comprese le norme fiscali

5.

Diritti e obblighi applicabili nei casi di sottrazione transfrontaliera di minori da parte di un genitore

H.

Diritti dei consumatori

1.

Acquisto in linea o di persona di beni, contenuti digitali o servizi (inclusi i prodotti finanziari) da un altro Stato membro

2.

Titolarità di un conto bancario in un altro Stato membro

3.

Collegamento ai servizi di pubblica utilità, quali gas, energia elettrica, acqua, smaltimento dei rifiuti domestici, telecomunicazioni e Internet

4.

Pagamenti, compresi i bonifici, ritardi nei pagamenti transfrontalieri

5.

Diritti del consumatore e garanzia in caso di acquisto di beni e servizi, comprese le procedure per la risoluzione delle controversie e la compensazione dei consumatori

6.

Sicurezza dei prodotti di consumo

7.

Locazione di un veicolo a motore

I.

Protezione dei dati personali

1.

Esercizio dei diritti delle persone interessate in relazione alla protezione dei dati personali

Settori di informazione pertinenti per le imprese:

Settore

INFORMAZIONI RELATIVE A DIRITTI, OBBLIGHI E NORME

J.

Avvio, gestione e chiusura di un’impresa

1.

Registrazione, modifica della forma giuridica o chiusura di un’impresa (procedure di registrazione e forme giuridiche delle attività commerciali)

2.

Trasferimento di un’impresa in un altro Stato membro

3.

Diritti di proprietà intellettuale (domanda di brevetto, registrazione di marchi, disegni o progetti, ottenimento dei diritti di riproduzione)

4.

Equità e trasparenza nelle pratiche commerciali, inclusi i diritti dei consumatori e le garanzie relative alla vendita di beni e servizi

5.

Offerta di servizi in linea per i pagamenti transfrontalieri per la vendita di beni e servizi in linea

6.

Diritti e obblighi derivanti dal diritto contrattuale, compresi gli interessi di mora

7.

Procedure d’insolvenza e liquidazione della società

8.

Assicurazione crediti

9.

Fusioni di società o vendita di imprese

10.

Responsabilità civile degli amministratori di una società

11.

Norme e obblighi relativi al trattamento dei dati personali

K.

Dipendenti

1.

Condizioni di impiego stabilite da leggi o da fonti normative secondarie (tra cui orario di lavoro, ferie retribuite, diritti alle ferie, diritti e obblighi relativi alle ore di lavoro straordinario, controlli sanitari, risoluzione dei contratti, licenziamenti ed esuberi)

2.

Diritti e obblighi in materia di sicurezza sociale nell’Unione (iscrizione in qualità di datore di lavoro, iscrizione dei dipendenti, notifica della scadenza di un contratto d’impiego, versamento dei contributi sociali, diritti e obblighi relativi alle pensioni)

3.

Assunzione di lavoratori in altri Stati membri (distacco dei lavoratori, norme sulla libera prestazione dei servizi, requisiti in materia di residenza per i lavoratori)

4.

Parità di trattamento (norme che vietano la discriminazione sul posto di lavoro, norme sulla parità di retribuzione tra uomini e donne e sulla parità di retribuzione tra lavoratori con contratti di lavoro a tempo indeterminato o determinato)

5.

Norme in materia di rappresentanza del personale

L.

Imposte

1.

IVA: informazioni su norme generali, aliquote ed esenzioni, partita IVA e pagamento dell’IVA, rimborsi

2.

Accise: informazioni su norme generali, aliquote ed esenzioni, registrazione ai fini delle accise e pagamento delle accise, rimborsi

3.

Dazi doganali e altri diritti e imposte riscossi sulle importazioni

4.

Procedure doganali di importazione ed esportazione a norma del codice doganale dell’Unione

5.

Altre imposte: pagamento, aliquote, dichiarazioni dei redditi

M.

Merci

1.

Ottenimento del marchio CE

2.

Norme e obblighi relativi ai prodotti

3.

Individuazione delle norme e delle specifiche tecniche applicabili e certificazione dei prodotti

4.

Riconoscimento reciproco dei prodotti non soggetti a specifiche dell’Unione

5.

Prescrizioni relative alla classificazione, all’etichettatura e all’imballaggio delle sostanze chimiche pericolose

6.

Vendita a distanza/fuori dai locali commerciali: informazioni da fornire anticipatamente ai clienti, conferma scritta del contratto, recesso da un contratto, consegna delle merci, altri obblighi specifici

7.

Prodotti difettosi: diritti dei consumatori e garanzie, responsabilità post vendita, mezzi di reclamo per la parte lesa

8.

Certificazione, etichette (EMAS, etichettatura energetica, etichette sulla progettazione ecocompatibile, marchio Ecolabel UE)

9.

Riciclaggio e gestione dei rifiuti

N.

Servizi

1.

Acquisizione di licenze, autorizzazioni o permessi per l’avvio e la gestione di un’impresa

2.

Notifica delle attività transfrontaliere alle autorità

3.

Riconoscimento delle qualifiche professionali, comprese l’istruzione e la formazione professionali

O.

Finanziamento di un’attività commerciale

1.

Accesso a finanziamenti a livello dell’Unione, inclusi i programmi di finanziamento dell’Unione e sovvenzioni alle imprese

2.

Accesso ai finanziamenti a livello nazionale

3.

Iniziative rivolte agli imprenditori (scambi organizzati per i nuovi imprenditori, programmi di mentoring ecc.)

P.

Appalti pubblici

1.

Partecipazione a gare d’appalto: norme e procedure

2.

Presentazione di un’offerta in risposta a un bando di gara pubblico

3.

Segnalazione di irregolarità in relazione alla procedura di gara

Q.

Salute e sicurezza sul luogo di lavoro

1.

Obblighi in materia di salute e sicurezza in relazione ai diversi tipi di attività, compresa la prevenzione dei rischi, l’informazione e la formazione


ALLEGATO II

Procedure di cui all’articolo 6, paragrafo 1

Eventi della vita

Procedure

Risultati previsti fatta salva una valutazione della domanda da parte dell’autorità competente conformemente al diritto nazionale, se del caso

Nascita

Richiesta di una prova della registrazione di nascita

Prova della registrazione di nascita o certificato di nascita

Residenza

Richiesta di una prova di residenza

Conferma della registrazione all’indirizzo attuale

Studio

Domanda di finanziamento degli studi per l’istruzione terziaria, come borse di studio e prestiti per studenti offerti da un organismo o ente pubblico

Decisione in merito alla domanda di finanziamento o avviso di ricevimento

Presentazione di una domanda iniziale di ammissione presso un istituto pubblico di istruzione terziaria

Conferma di ricevimento della domanda

Richiesta di riconoscimento accademico di diplomi, certificati o altri attestati relativi a studi o corsi

Decisione in merito alla richiesta di riconoscimento

Lavoro

Richiesta di determinazione della legislazione applicabile a norma del titolo II del regolamento (CE) n. 883/2004 (1)

Decisione sulla legislazione applicabile

Notifica di cambiamenti, rilevanti ai fini delle prestazioni di sicurezza sociale, della situazione personale o professionale della persona che percepisce tali prestazioni

Conferma di ricevimento della notifica di tali cambiamenti

Domanda di tessera europea di assicurazione malattia (TEAM)

Tessera europea di assicurazione malattia (TEAM)

Presentazione di una dichiarazione dei redditi

Conferma di ricevimento della dichiarazione

Trasferimento

Registrazione del cambio di indirizzo

Conferma della cancellazione dall’indirizzo precedente e della registrazione del nuovo indirizzo

Immatricolazione di un veicolo a motore proveniente da uno Stato membro o in esso già immatricolato, secondo le procedure standard (2)

Prova dell’immatricolazione di un veicolo a motore

Ottenimento di bollini per l’utilizzo dell’infrastruttura stradale nazionale: diritti calcolati in base alla durata (vignetta), diritti calcolati in base alla distanza (pedaggio), rilasciati da un organismo o ente pubblico

Ricevimento del contrassegno di pedaggio o della vignetta o altra prova di pagamento

Ottenimento di bollini delle emissioni rilasciati da un organismo o ente pubblico

Ricevimento del bollino delle emissioni o altra prova di pagamento

Pensionamento

Domanda di pensione e di prestazioni di prepensionamento presso regimi obbligatori

Conferma di ricevimento della domanda o decisione relativa alla domanda di pensione o di prepensionamento

Richiesta di informazioni sui dati relativi alla pensione presso regimi obbligatori

Dichiarazione dei dati personali relativi alla pensione

Avvio, gestione e chiusura di un’impresa

Notifica di un’attività commerciale, licenza per l’esercizio di un’attività commerciale, modifiche di un’attività commerciale e cessazione di un’attività commerciale senza procedure di insolvenza o liquidazione, esclusa la registrazione iniziale di un’attività commerciale nel registro delle imprese ed escluse le procedure relative alla costituzione di imprese o società ai sensi dell’articolo 54, secondo comma, TFUE, o a qualsiasi fascicolo presentato successivamente da queste ultime

Conferma di ricevimento della notifica o della modifica, o della richiesta di licenza di attività commerciale

Iscrizione di un datore di lavoro (persona fisica) presso i regimi pensionistici e assicurativi obbligatori

Conferma della registrazione o numero di sicurezza sociale

Iscrizione di dipendenti presso i regimi pensionistici e assicurativi obbligatori

Conferma della registrazione o numero di sicurezza sociale

Presentazione di una dichiarazione dei redditi d’impresa

Conferma di ricevimento della dichiarazione

Notifica ai regimi di sicurezza sociale della fine del contratto con un dipendente, escluse le procedure per la risoluzione collettiva dei contratti dei dipendenti

Conferma di ricevimento della notifica

Pagamento dei contributi sociali per i lavoratori dipendenti

Ricevimento o altra forma di conferma del pagamento dei contributi sociali per i lavoratori dipendenti


(1)  Regolamento (CE) n. 883/2004 del Parlamento europeo e del Consiglio, del 29 aprile 2004, relativo al coordinamento dei sistemi di sicurezza sociale (GU L 166 del 30.4.2004, pag. 1).

(2)  Sono inclusi i seguenti veicoli: a) i veicoli a motore e i rimorchi di cui all’articolo 3 della direttiva 2007/46/CE del Parlamento europeo e del Consiglio (GU L 263 del 9.10.2007, pag. 1) e b) i veicoli a motore a due o tre ruote, gemellate o no, destinati a circolare su strada di cui all’articolo 1 del regolamento (UE) n. 168/2013 del Parlamento europeo e del Consiglio (GU L 60 del 2.3.2013, pag. 52).


ALLEGATO III

Elenco dei servizi di assistenza e risoluzione dei problemi di cui all’articolo 2, paragrafo 2, lettera c)

1)

Sportelli unici (1)

2)

Punti di contatto per i prodotti (2)

3)

Punti di contatto di prodotti da costruzione (3)

4)

Centri di assistenza nazionali per le qualifiche professionali (4)

5)

Punti di contatto nazionali per l’assistenza sanitaria transfrontaliera (5)

6)

Rete europea di servizi per l’impiego (EURES) (6)

7)

Risoluzione delle controversie online (ODR) (7)


(1)  Direttiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno (GU L 376 del 27.12.2006, pag. 36).

(2)  Regolamento (CE) n. 764/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che stabilisce procedure relative all’applicazione di determinate regole tecniche nazionali a prodotti legalmente commercializzati in un altro Stato membro e che abroga la decisione n. 3052/95/CE (GU L 218 del 13.8.2008, pag. 21).

(3)  Regolamento (UE) n. 305/2011 del Parlamento europeo e del Consiglio, del 9 marzo 2011, che fissa condizioni armonizzate per la commercializzazione dei prodotti da costruzione e che abroga la direttiva 89/106/CEE del Consiglio (GU L 88 del 4.4.2011, pag. 5).

(4)  Direttiva 2005/36/CE del Parlamento europeo e del Consiglio, del 7 settembre 2005, relativa al riconoscimento delle qualifiche professionali (GU L 255 del 30.9.2005, pag. 22).

(5)  Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).

(6)  Regolamento (UE) 2016/589 del Parlamento europeo e del Consiglio, del 13 aprile 2016, relativo a una rete europea di servizi per l’impiego (EURES), all’accesso dei lavoratori ai servizi di mobilità e a una maggiore integrazione dei mercati del lavoro e che modifica i regolamenti (UE) n. 492/2011 e (UE) n. 1296/2013 (GU L 107 del 22.4.2016, pag. 1).

(7)  Regolamento (UE) n. 524/2013 del Parlamento europeo e del Consiglio, del 21 maggio 2013, relativo alla risoluzione delle controversie online dei consumatori e che modifica il regolamento (CE) n. 2006/2004 e la direttiva 2009/22/CE (regolamento sull’ODR per i consumatori) (GU L 165 del 18.6.2013, pag. 1).


21.11.2018   

IT

Gazzetta ufficiale dell’Unione europea

L 295/39


REGOLAMENTO (UE) 2018/1725 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 23 ottobre 2018

sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE

(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16, paragrafo 2,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo (1),

deliberando secondo la procedura legislativa ordinaria (2),

considerando quanto segue:

(1)

La protezione delle persone fisiche in relazione al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Tale diritto è garantito altresì dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.

(2)

Il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (3) conferisce alle persone fisiche diritti giuridicamente tutelati, precisa gli obblighi dei titolari del trattamento in seno alle istituzioni e agli organi dell’Unione e istituisce un’autorità di controllo indipendente, il Garante europeo della protezione dei dati, incaricata di sorvegliare il trattamento dei dati personali effettuato dalle istituzioni e dagli organi dell’Unione. Non si applica, però, al trattamento dei dati personali nel corso di un’attività delle istituzioni e degli organi dell’Unione che esuli dall’ambito di applicazione del diritto dell’Unione.

(3)

Il 27 aprile 2016 sono stati adottati il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (4) e la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (5). Il regolamento stabilisce norme generali per la protezione delle persone fisiche in relazione al trattamento dei dati personali e per la libera circolazione dei dati personali nell’Unione, mentre la direttiva prevede norme specifiche per la protezione delle persone fisiche in relazione al trattamento dei dati personali e per la libera circolazione dei dati personali nell’Unione nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia.

(4)

Il regolamento (UE) 2016/679 reca gli adeguamenti del regolamento (CE) n. 45/2001 necessari per assicurare un quadro di protezione dei dati solido e coerente nell’Unione e per consentirne l’applicazione parallelamente al regolamento (UE) 2016/679.

(5)

È nell’interesse di un approccio coerente alla protezione dei dati in tutta l’Unione e della libera circolazione dei dati personali all’interno dell’Unione allineare per quanto possibile le norme sulla protezione dei dati per le istituzioni, gli organi e gli organismi dell’Unione a quelle adottate per il settore pubblico degli Stati membri. Quando le disposizioni del presente regolamento seguono gli stessi principi delle disposizioni del regolamento (UE) 2016/679, conformemente alla giurisprudenza della Corte di giustizia dell’Unione europea («Corte di giustizia») le disposizioni dei due regolamenti dovrebbero essere interpretate in modo omogeneo, in particolare in considerazione del fatto che il regime del presente regolamento dovrebbe essere inteso come equivalente a quello del regolamento (UE) 2016/679.

(6)

Le persone i cui dati personali sono trattati da istituzioni e organi dell’Unione, in qualsiasi circostanza, ad esempio in quanto impiegate presso tali istituzioni e organi, dovrebbero essere tutelate. Il presente regolamento non si dovrebbe applicare al trattamento dei dati personali delle persone decedute. Esso non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.

(7)

Al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate.

(8)

È opportuno che il presente regolamento si applichi al trattamento dei dati personali da parte di tutte le istituzioni e di tutti gli organi e gli organismi dell’Unione. Dovrebbe applicarsi al trattamento di dati personali interamente o parzialmente automatizzato e al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi. Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine.

(9)

Nella dichiarazione n. 21, relativa alla protezione dei dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all’atto finale della conferenza intergovernativa che ha adottato il trattato di Lisbona, la conferenza riconosce che potrebbero rivelarsi necessarie, in considerazione della specificità dei settori in questione, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia in base all’articolo 16 TFUE. Un capo distinto del presente regolamento contenente norme generali dovrebbe pertanto applicarsi al trattamento dei dati personali operativi, quali i dati personali trattati a fini di indagine penale da parte di organi o organismi dell’Unione nell’esercizio di attività nei settori della cooperazione giudiziaria e in materia penale e della cooperazione di polizia.

(10)

La direttiva (UE) 2016/680 stabilisce norme armonizzate per la protezione e la libera circolazione dei dati personali trattati a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. Al fine di assicurare lo stesso livello di protezione per le persone fisiche mediante diritti azionabili in tutta l’Unione e di prevenire disparità che possano ostacolare lo scambio di dati personali tra gli organi o gli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE e le autorità competenti, è opportuno che le norme per la protezione e la libera circolazione dei dati personali operativi trattati da tali organi o organismi dell’Unione siano coerenti con la direttiva (UE) 2016/680.

(11)

Le norme generali del capo del presente regolamento relativo al trattamento dei dati personali operativi dovrebbero applicarsi fatte salve le norme specifiche applicabili al trattamento dei dati personali operativi da parte degli organi o degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE. Tali norme specifiche dovrebbero essere considerate come lex specialis rispetto alle disposizioni del capo del presente regolamento relativo al trattamento dei dati personali operativi (lex specialis derogat legi generali). Al fine di ridurre la frammentazione giuridica, le norme specifiche sulla protezione dei dati applicabili al trattamento dei dati personali operativi da parte degli organi o degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE dovrebbero essere coerenti con i principi alla base del capo del presente regolamento relativo al trattamento dei dati personali operativi, nonché con le disposizioni del presente regolamento relative al controllo indipendente, ai ricorsi giurisdizionali, alla responsabilità e alle sanzioni.

(12)

Il capo del presente regolamento relativo al trattamento dei dati personali operativi dovrebbe applicarsi agli organi e agli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE, come compiti principali o accessori, a fini di prevenzione, accertamento, indagine o perseguimento di reati. Tuttavia, esso non dovrebbe applicarsi a Europol o alla Procura europea finché gli atti giuridici che istituiscono Europol e la Procura europea non siano stati modificati al fine di rendere loro applicabile il capo del presente regolamento relativo al trattamento dei dati personali operativi, nella versione adattata.

(13)

La Commissione dovrebbe effettuare un riesame del presente regolamento, in particolare del capo del presente regolamento relativo al trattamento dei dati personali operativi. La Commissione dovrebbe altresì svolgere un riesame di altri atti giuridici adottati sulla base dei trattati che disciplinano il trattamento dei dati personali operativi da parte degli organi o degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE. A seguito di tale riesame, allo scopo di garantire una protezione uniforme e coerente delle persone fisiche in relazione al trattamento dei dati personali, la Commissione dovrebbe poter presentare opportune proposte legislative, compresi gli adeguamenti del capo del presente regolamento relativo al trattamento dei dati personali operativi, al fine di applicarlo a Europol e alla Procura europea. Gli adeguamenti dovrebbero tener conto delle disposizioni relative al controllo indipendente, ai ricorsi giurisdizionali, alla responsabilità e alle sanzioni.

(14)

Il trattamento dei dati personali amministrativi, quali i dati relativi al personale, da parte degli organi o degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE dovrebbe essere disciplinato dal presente regolamento.

(15)

Il presente regolamento dovrebbe applicarsi al trattamento dei dati personali da parte delle istituzioni, degli organi o degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione del titolo V, capo 2, del trattato sull’Unione europea (TUE). Il presente regolamento non dovrebbe applicarsi al trattamento dei dati personali da parte delle missioni di cui all’articolo 42, paragrafo 1, e agli articoli 43 e 44 TUE, che attuano la politica di sicurezza e di difesa comune. Ove opportuno, dovrebbero essere presentate opportune proposte al fine di regolamentare ulteriormente il trattamento dei dati personali nel settore della politica di sicurezza e di difesa comune.

(16)

È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori oggettivi, tra cui i costi e il tempo necessari per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.

(17)

L’applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati e aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati. L’introduzione esplicita della «pseudonimizzazione» nel presente regolamento non è intesa a precludere altre misure di protezione dei dati.

(18)

Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

(19)

Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbero pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso. Tuttavia, l’interessato dovrebbe avere il diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso espresso prima della revoca. Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto giuridico per il trattamento dei dati personali in un caso specifico in cui esista un evidente squilibrio tra l’interessato e il titolare del trattamento e sia pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. In molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Pertanto, dovrebbe essere consentito agli interessati di prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista.

(20)

Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente in relazione alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che le riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso non autorizzato ai dati personali e alle attrezzature impiegate per il trattamento o l’utilizzo non autorizzato degli stessi, nonché per impedirne la comunicazione non autorizzata al momento della trasmissione.

(21)

Conformemente al principio di responsabilizzazione, le istituzioni e gli organi dell’Unione, quando trasmettono dati personali all’interno della stessa istituzione o dello stesso organo dell’Unione e il destinatario non fa parte del titolare del trattamento o ad altre istituzioni o altri organi dell’Unione, dovrebbero verificare se tali dati personali sono necessari per il legittimo esercizio dei compiti che rientrano nelle competenze del destinatario. In particolare, a seguito della richiesta di trasmissione di dati personali da parte di un destinatario, il titolare del trattamento dovrebbe verificare la sussistenza di un motivo pertinente per effettuare in modo lecito il trattamento e la competenza del destinatario. Il titolare del trattamento dovrebbe anche effettuare una valutazione provvisoria della necessità della trasmissione dei dati. Qualora emergano dubbi su tale necessità, il titolare del trattamento dovrebbe chiedere ulteriori spiegazioni al destinatario. Il destinatario dovrebbe provvedere a che si possa successivamente verificare la necessità del trasferimento dei dati.

(22)

Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sulla necessità delle istituzioni e degli organi dell’Unione di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, sulla necessità di adempiere a un obbligo legale al quale è soggetto il titolare del trattamento o su qualsiasi altra base legittima a norma del presente regolamento, incluso il consenso dell’interessato o la necessità di esecuzione di un contratto di cui l’interessato è parte o di esecuzione di misure precontrattuali adottate su richiesta dello stesso. Il trattamento di dati personali per l’esercizio dei compiti svolti da istituzioni e organi dell’Unione nell’interesse pubblico comprende il trattamento dei dati personali necessari alla gestione e al funzionamento di tali istituzioni e organi. Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. Il trattamento di dati personali fondato sull’interesse vitale di un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un’altra base giuridica. Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.

(23)

Il diritto dell’Unione di cui al presente regolamento dovrebbe essere chiaro e preciso, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità dei requisiti previsti dalla Carta e dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.

(24)

Le norme interne di cui al presente regolamento dovrebbero essere atti di applicazione generale chiari e precisi intesi a produrre effetti giuridici nei confronti degli interessati. Esse dovrebbero essere adottate al più alto livello di gestione delle istituzioni e degli organi dell’Unione, nell’ambito delle rispettive competenze e per questioni connesse al loro funzionamento, e dovrebbero essere pubblicate nella Gazzetta ufficiale dell’Unione europea. L’applicazione di tali norme dovrebbe essere prevedibile per le persone che vi sono sottoposte conformemente ai requisiti previsti dalla Carta e dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Le norme interne potrebbero assumere la forma di decisioni, in particolare ove adottate dalle istituzioni dell’Unione.

(25)

Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali. Se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento, il diritto dell’Unione può stabilire e precisare le finalità e i compiti per i quali l’ulteriore trattamento è considerato lecito e compatibile. L’ulteriore trattamento a fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile. La base giuridica fornita dal diritto dell’Unione per il trattamento dei dati personali può anche costituire una base giuridica per l’ulteriore trattamento. Per accertare se la finalità di un ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento, dopo aver soddisfatto tutti i requisiti per la liceità del trattamento originario, dovrebbe tener conto, tra l’altro, di ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento con riguardo al loro ulteriore utilizzo, della natura dei dati personali, delle conseguenze dell’ulteriore trattamento previsto per gli interessati e dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto.

(26)

Per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un’altra questione dovrebbero esistere garanzie che assicurino che l’interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene. In conformità della direttiva 93/13/CEE del Consiglio (6) è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive. Ai fini di un consenso informato, l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.

(27)

I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe riguardare, in particolare, la creazione di profili di personalità e la raccolta di dati personali relativi ai minori quando sono proposti servizi direttamente a un minore sui siti web delle istituzioni e degli organi dell’Unione, quali i servizi di comunicazione interpersonale o la vendita di biglietti online, e il trattamento dei dati personali si basa sul consenso.

(28)

I destinatari stabiliti nell’Unione diversi dalle istituzioni e dagli organi dell’Unione che desiderino che le istituzioni e gli organi dell’Unione trasmettano loro dati personali dovrebbero dimostrare che i dati sono necessari per l’esecuzione di un loro compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui sono investiti. In alternativa, tali destinatari dovrebbero dimostrare che la trasmissione è necessaria al fine specifico di servire l’interesse pubblico e il responsabile del trattamento dovrebbe stabilire se sussistono motivi per presumere che gli interessi legittimi dell’interessato possano subire pregiudizio. In tali casi, il responsabile del trattamento dovrebbe chiaramente soppesare i vari interessi in conflitto al fine di valutare se la trasmissione di dati personali richiesta sia proporzionata. Il fine specifico di servire l’interesse pubblico potrebbe riguardare la trasparenza delle istituzioni e degli organi dell’Unione. Nel rispetto del principio della trasparenza e della buona amministrazione, le istituzioni e gli organi dell’Unione dovrebbero dimostrare tale necessità quando danno origine a una trasmissione. I requisiti previsti dal presente regolamento per la trasmissione a destinatari stabiliti nell’Unione diversi dalle istituzioni e dagli organi dell’Unione dovrebbero essere intesi come complementari alle condizioni per il trattamento lecito.

(29)

Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che non siano soddisfatte le condizioni specifiche di cui al presente regolamento. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l’origine razziale o etnica, fermo restando che l’utilizzo dei termini «origine razziale» nel presente regolamento non implica l’accettazione da parte dell’Unione di teorie che tentano di dimostrare l’esistenza di razze umane distinte. Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto se trattate attraverso un dispositivo tecnico specifico che consenta l’identificazione univoca o l’autenticazione di una persona fisica. Oltre ai requisiti specifici per il trattamento dei dati sensibili, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l’altro per i casi in cui l’interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l’esercizio delle libertà fondamentali.

(30)

Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale. Pertanto il presente regolamento dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità connesse alla salute. Il diritto dell’Unione dovrebbe prevedere misure specifiche e appropriate a protezione dei diritti fondamentali e dei dati personali delle persone fisiche.

(31)

Il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell’interessato. Tale trattamento dovrebbe essere soggetto a misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche. In tale contesto, la nozione di «sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio (7): tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all’assistenza sanitaria, la prestazione di assistenza sanitaria e l’accesso universale a essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità. Il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico non dovrebbe comportare il trattamento dei dati personali per altre finalità.

(32)

Se i dati personali che tratta non gli consentono di identificare una persona fisica, il titolare del trattamento non dovrebbe essere obbligato ad acquisire ulteriori informazioni per identificare l’interessato al solo fine di rispettare una disposizione del presente regolamento. Tuttavia, il titolare del trattamento non dovrebbe rifiutare le ulteriori informazioni fornite dall’interessato al fine di sostenere l’esercizio dei suoi diritti. L’identificazione dovrebbe includere l’identificazione digitale di un interessato, ad esempio mediante un meccanismo di autenticazione quali le stesse credenziali, utilizzate dall’interessato per l’accesso (log in) al servizio online offerto dal titolare del trattamento.

(33)

Il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici dovrebbe essere soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del presente regolamento. Tali garanzie dovrebbero assicurare che siano state predisposte misure tecniche e organizzative al fine di garantire, in particolare, il principio della minimizzazione dei dati. L’ulteriore trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è da effettuarsi quando il titolare del trattamento ha valutato la fattibilità di conseguire tali finalità trattando dati personali che non consentono o non consentono più di identificare l’interessato, purché esistano garanzie adeguate (come ad esempio la pseudonimizzazione dei dati personali). Le istituzioni e gli organi dell’Unione dovrebbero prevedere garanzie adeguate nel diritto dell’Unione, ed eventualmente nelle norme interne adottate dalle istituzioni e dagli organi dell’Unione relative a questioni connesse al loro funzionamento, per il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

(34)

È opportuno prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare, l’accesso ai dati, la loro rettifica o cancellazione e per esercitare il diritto di opposizione. Il titolare del trattamento dovrebbe predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici. Il titolare del trattamento dovrebbe essere tenuto a rispondere alle richieste dell’interessato senza indebito ritardo e al più tardi entro un mese e a motivare la sua eventuale intenzione di non accogliere tali richieste.

(35)

I principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità. Il titolare del trattamento dovrebbe fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati. Inoltre l’interessato dovrebbe essere informato dell’esistenza di una profilazione e delle conseguenze della stessa. In caso di dati personali raccolti direttamente presso l’interessato, questi dovrebbe inoltre essere informato dell’eventuale obbligo di fornire i dati personali e delle conseguenze in cui incorre se si rifiuta di fornirli. Tali informazioni potrebbero essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone dovrebbero essere leggibili da dispositivo automatico.

(36)

L’interessato dovrebbe ricevere le informazioni relative al trattamento di dati personali che lo riguardano al momento della raccolta presso l’interessato o, se i dati sono ottenuti da altra fonte, entro un termine ragionevole, in funzione delle circostanze del caso. Se i dati personali possono essere legittimamente comunicati a un altro destinatario, l’interessato dovrebbe esserne informato nel momento in cui il destinatario riceve la prima comunicazione dei dati personali. Il titolare del trattamento, qualora intenda trattare i dati personali per una finalità diversa da quella per cui sono stati raccolti, dovrebbe fornire all’interessato, prima di tale ulteriore trattamento, informazioni in merito a tale finalità diversa e altre informazioni necessarie. Qualora non sia possibile comunicare all’interessato l’origine dei dati personali perché sono state utilizzate varie fonti, dovrebbe essere fornita un’informazione di carattere generale.

(37)

Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che lo riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. Ciò include il diritto di accedere ai dati relativi alla salute, ad esempio le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati. Ogni interessato dovrebbe pertanto avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento. Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni. Se il titolare del trattamento tratta una notevole quantità d’informazioni riguardanti l’interessato, il titolare in questione dovrebbe poter richiedere che l’interessato precisi, prima che siano fornite le informazioni, l’informazione o le attività di trattamento cui la richiesta si riferisce.

(38)

L’interessato dovrebbe avere il diritto di ottenere la rettifica dei dati personali che lo riguardano e il «diritto all’oblio» se la conservazione di tali data violi il presente regolamento o il diritto dell’Unione cui è soggetto il titolare del trattamento. L’interessato dovrebbe avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il proprio consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento. Tale diritto è in particolare rilevante se l’interessato ha prestato il proprio consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare tale tipo di dati personali, in particolare da Internet. L’interessato dovrebbe poter esercitare tale diritto nonostante il fatto che non è più un minore. Tuttavia, dovrebbe essere lecita l’ulteriore conservazione dei dati personali qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione, per adempiere un obbligo legale, per eseguire un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ovvero per accertare, esercitare o difendere un diritto in sede giudiziaria.

(39)

Per rafforzare il «diritto all’oblio» nell’ambiente online, è opportuno che il diritto di cancellazione sia esteso in modo tale da obbligare il titolare del trattamento che ha pubblicato dati personali a informare i titolari del trattamento che trattano tali dati personali di cancellare qualsiasi link verso tali dati personali o copia o riproduzione di detti dati personali. Nel fare ciò, è opportuno che il titolare del trattamento adotti misure ragionevoli tenendo conto della tecnologia disponibile e dei mezzi a sua disposizione, comprese le misure tecniche, per informare della richiesta dell’interessato i titolari del trattamento che trattano i dati personali.

(40)

Le modalità per limitare il trattamento dei dati personali potrebbero consistere, tra l’altro, nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento, nel rendere i dati personali selezionati inaccessibili agli utenti o nel rimuovere temporaneamente i dati pubblicati da un sito web. Negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe in linea di massima essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato.

(41)

Per rafforzare ulteriormente il controllo sui propri dati è opportuno anche che l’interessato abbia il diritto, qualora i dati personali siano trattati con mezzi automatizzati, di ricevere in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile i dati personali che lo riguardano che abbia fornito a un titolare del trattamento e di trasmetterli a un altro titolare del trattamento. È opportuno incoraggiare i titolari del trattamento a sviluppare formati interoperabili che consentano la portabilità dei dati. Tale diritto dovrebbe applicarsi qualora l’interessato abbia fornito i dati personali sulla base del proprio consenso o se il trattamento è necessario per l’esecuzione di un contratto. Non dovrebbe pertanto applicarsi quando il trattamento dei dati personali è necessario per l’adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non dovrebbe comportare l’obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili. Qualora un certo insieme di dati personali riguardi più di un interessato, il diritto di ricevere i dati personali non dovrebbe pregiudicare i diritti e le libertà degli altri interessati in ottemperanza del presente regolamento. Inoltre tale diritto non dovrebbe pregiudicare il diritto dell’interessato di ottenere la cancellazione dei dati personali e le limitazioni di tale diritto di cui al presente regolamento e non dovrebbe segnatamente implicare la cancellazione dei dati personali riguardanti l’interessato forniti da quest’ultimo per l’esecuzione di un contratto, nella misura in cui e fintantoché i dati personali siano necessari all’esecuzione di tale contratto. Ove tecnicamente fattibile, l’interessato dovrebbe avere il diritto di ottenere che i dati personali siano trasmessi direttamente da un titolare del trattamento a un altro.

(42)

Qualora i dati personali possano essere lecitamente trattati, essendo il trattamento necessario per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, l’interessato dovrebbe comunque avere il diritto di opporsi al trattamento dei dati personali che riguardano la sua situazione particolare. È opportuno che incomba al titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato.

(43)

L’interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che può includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali le pratiche di assunzione elettronica senza interventi umani. Tale trattamento comprende la «profilazione», che consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato, ove ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona.

Tuttavia, è opportuno che sia consentito adottare decisioni sulla base di tale trattamento, compresa la profilazione, se ciò è espressamente previsto dal diritto dell’Unione. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. Tale misura non dovrebbe riguardare un minore. Al fine di garantire un trattamento corretto e trasparente nel rispetto dell’interessato, tenendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca, tra l’altro, effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero trattamenti che risultino in misure aventi tali effetti. Il processo decisionale automatizzato e la profilazione basati su categorie particolari di dati personali dovrebbero essere consentiti solo a determinate condizioni.

(44)

Gli atti giuridici adottati sulla base dei trattati o le norme interne adottate dalle istituzioni e dagli organi dell’Unione relative a questioni connesse al loro funzionamento possono imporre limitazioni a specifici principi e ai diritti di informazione, accesso e rettifica o cancellazione dei dati personali, al diritto alla portabilità dei dati, alla riservatezza dei dati delle comunicazioni elettroniche nonché alla comunicazione di una violazione di dati personali all’interessato e ad alcuni obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica e per la prevenzione, l’indagine e il perseguimento di reati o l’esecuzione di sanzioni penali. Ciò comprende la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, la sicurezza interna delle istituzioni e degli organi dell’Unione, altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare gli obiettivi della politica estera e di sicurezza comune dell’Unione o un interesse economico o finanziario rilevante dell’Unione o di uno Stato membro, e la tenuta di registri pubblici per ragioni di interesse pubblico generale o la tutela dell’interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari.

(45)

È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

(46)

I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o èa loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.

(47)

La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.

(48)

La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle prescrizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici.

(49)

Il regolamento (UE) 2016/679 prevede che i titolari del trattamento dimostrino il rispetto degli obblighi ad essi incombenti attraverso l’adesione a meccanismi di certificazione approvati. Allo stesso modo, le istituzioni e gli organi dell’Unione dovrebbero essere in grado di dimostrare la conformità al presente regolamento ottenendo la certificazione in conformità dell’articolo 42 del regolamento (UE) 2016/679.

(50)

La protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento e dei responsabili del trattamento esigono una chiara ripartizione delle responsabilità nell’ambito del presente regolamento, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento è eseguita per conto del titolare del trattamento.

(51)

Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino le prescrizioni del presente regolamento, anche per la sicurezza del trattamento. L’applicazione da parte dei responsabili del trattamento diversi dalle istituzioni e dagli organi dell’Unione di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento. L’esecuzione dei trattamenti da parte di un responsabile del trattamento diverso da un’istituzione o un organo dell’Unione dovrebbe essere disciplinata da un contratto o, nel caso in cui istituzioni e organi dell’Unione agiscano in qualità di responsabili del trattamento, da un contratto o da altro atto giuridico a norma del diritto dell’Unione che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e delle responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato. Il titolare del trattamento e il responsabile del trattamento dovrebbero poter scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate direttamente dalla Commissione oppure dal Garante europeo della protezione dei dati e successivamente dalla Commissione. Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali, salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione di tali dati personali.

(52)

Per dimostrare che si conformano al presente regolamento, i titolari del trattamento dovrebbero tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità e i responsabili del trattamento dovrebbero tenere un registro delle categorie di attività di trattamento effettuate sotto la propria responsabilità. Le istituzioni e gli organi dell’Unione dovrebbero essere obbligati a cooperare con il Garante europeo della protezione dei dati e a mettere, su richiesta, i propri registri a sua disposizione affinché possano servire per monitorare detti trattamenti. Salvo i casi in cui ciò non sia appropriato date le dimensioni di un’istituzione o un organo dell’Unione, è opportuno che le istituzioni e gli organi dell’Unione possano istituire un registro centrale in cui registrare le proprie attività di trattamento. Per motivi di trasparenza, dovrebbero poter rendere pubblico tale registro.

(53)

Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione non autorizzata a dati personali trasmessi, conservati o comunque elaborati che potrebbero cagionare in particolare un danno fisico, materiale o immateriale, o l’accesso a tali dati.

(54)

Le istituzioni e gli organi dell’Unione dovrebbero garantire la riservatezza delle comunicazioni elettroniche come disposto dall’articolo 7 della Carta. In particolare le istituzioni e gli organi dell’Unione dovrebbero garantire la sicurezza delle proprie reti di comunicazione elettronica. Dovrebbero proteggere le informazioni relative alle apparecchiature terminali degli utenti che accedono ai loro siti web e alle applicazioni per dispositivi mobili a disposizione del pubblico in ottemperanza alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio (8) e proteggere inoltre i dati personali conservati in elenchi di utenti.

(55)

Una violazione dei dati personali, se non affrontata in modo adeguato e tempestivo, potrebbe provocare danni fisici, materiali o immateriali alle persone fisiche. Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificarla al Garante europeo della protezione dei dati, senza indebito o ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. Qualora il ritardo sia giustificato, si dovrebbero comunicare quanto prima le informazioni meno sensibili o meno specifiche sulla violazione invece di risolvere completamente l’incidente sottostante prima di procedere alla notifica.

(56)

Il titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione dovrebbe descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi. Tali comunicazioni agli interessati dovrebbero essere effettuate non appena ragionevolmente possibile e in stretta collaborazione con il Garante europeo della protezione dei dati, nel rispetto degli orientamenti impartiti da questo o da altre autorità competenti quali le autorità incaricate dell’applicazione della legge.

(57)

Il regolamento (CE) n. 45/2001 ha introdotto l’obbligo generale in capo al titolare del trattamento di notificare il trattamento dei dati personali al responsabile della protezione dei dati. Salvo i casi in cui ciò non sia appropriato date le dimensioni dell’istituzione o dell’organo dell’Unione, il responsabile della protezione dei dati deve tenere un registro dei trattamenti notificati. Oltre a tale obbligo generale, è opportuno istituire meccanismi e procedure efficaci per monitorare i trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità. Tali procedure dovrebbero essere altresì poste in essere, in particolare, quando i tipi di trattamenti comportano l’utilizzo di nuove tecnologie o sono di nuovo tipo in relazione a cui il titolare del trattamento non ha ancora effettuato una valutazione d’impatto sulla protezione dei dati o laddove se ne riveli la necessità alla luce del tempo trascorso dal trattamento iniziale. In tali casi, è opportuno che il titolare del trattamento effettui una valutazione d’impatto sulla protezione dei dati prima del trattamento, per valutare la particolare probabilità e gravità del rischio elevato, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio, assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento.

(58)

Se dalla valutazione d’impatto sulla protezione dei dati risulta che il trattamento, in mancanza delle garanzie, delle misure di sicurezza e dei meccanismi per attenuare il rischio, presenterebbe un rischio elevato per i diritti e le libertà delle persone fisiche e il titolare del trattamento è del parere che il rischio non possa essere ragionevolmente attenuato in termini di tecnologie disponibili e costi di attuazione, è opportuno consultare il Garante europeo della protezione dei dati prima dell’inizio delle attività di trattamento. Tale rischio elevato potrebbe scaturire da certi tipi di trattamento e dall’estensione e frequenza del trattamento, da cui potrebbe derivare altresì un danno o un’interferenza con i diritti e le libertà della persona fisica. Il Garante europeo della protezione dei dati che riceve una richiesta di consultazione dovrebbe darvi seguito entro un termine determinato. Tuttavia, la mancanza di reazione del Garante europeo della protezione dei dati entro tale termine dovrebbe far salvo ogni intervento dello stesso nell’ambito dei suoi compiti e poteri previsti dal presente regolamento, compreso il potere di vietare i trattamenti. Nell’ambito di tale processo di consultazione, dovrebbe essere possibile presentare al Garante europeo della protezione dei dati il risultato di una valutazione d’impatto sulla protezione dei dati effettuata riguardo al trattamento in questione, in particolare le misure previste per attenuare il rischio per i diritti e le libertà delle persone fisiche.

(59)

Il Garante europeo della protezione dei dati dovrebbe essere informato circa le misure amministrative e consultato in merito alle norme interne adottate dalle istituzioni e dagli organi dell’Unione relative a questioni connesse al loro funzionamento quando prevedono il trattamento di dati personali, stabiliscono le condizioni per le limitazioni dei diritti degli interessati o fissano garanzie adeguate per i diritti dell’interessato, al fine di garantire la conformità del trattamento previsto al presente regolamento, in particolare riguardo all’attenuazione dei rischi per l’interessato.

(60)

Il regolamento (UE) 2016/679 ha istituito il comitato europeo per la protezione dei dati quale organo indipendente dell’Unione dotato di personalità giuridica. Il comitato dovrebbe contribuire all’applicazione coerente del regolamento (UE) 2016/679 e della direttiva (UE) 2016/680 in tutta l’Unione, fornendo anche consulenza alla Commissione. Nel contempo il Garante europeo della protezione dei dati dovrebbe continuare a esercitare le proprie funzioni di controllo e consulenza in relazione a tutte le istituzioni e tutti gli organi dell’Unione, di propria iniziativa o su richiesta. Per garantire la coerenza delle norme sulla protezione dei dati in tutta l’Unione, la Commissione, all’atto della preparazione di proposte o raccomandazioni, dovrebbe sforzarsi di consultare il garante europeo della protezione dei dati. La Commissione dovrebbe avere l’obbligo di condurre una consultazione a seguito dell’adozione di atti legislativi o durante la preparazione di atti delegati e atti di esecuzione di cui agli articoli 289, 290 e 291 TFUE e a seguito dell’adozione di raccomandazioni e proposte relative ad accordi con paesi terzi e organizzazioni internazionali di cui all’articolo 218 TFUE se questi incidono sul diritto alla protezione dei dati personali. In tali casi la Commissione dovrebbe avere l’obbligo di consultare il Garante europeo della protezione dei dati, tranne qualora il regolamento (UE) 2016/679 stabilisca la consultazione obbligatoria del comitato europeo per la protezione dei dati, ad esempio per le decisioni di adeguatezza o gli atti delegati riguardanti le icone standardizzate e i requisiti dei meccanismi di certificazione. Qualora l’atto in questione sia di particolare rilevanza per la tutela dei diritti e delle libertà fondamentali delle persone fisiche in relazione al trattamento di dati personali, la Commissione dovrebbe altresì poter consultare il comitato europeo per la protezione dei dati. In tali casi il Garante europeo della protezione dei dati, in quanto membro del comitato europeo per la protezione dei dati, dovrebbe coordinare le proprie attività con quest’ultimo al fine di emettere un parere congiunto. Il Garante europeo della protezione dei dati e, ove applicabile, il comitato europeo per la protezione dei dati dovrebbero fornire la propria consulenza per iscritto entro otto settimane. Tale termine dovrebbe essere più breve in caso di urgenza o ove altrimenti appropriato, ad esempio quando la Commissione elabora atti delegati o di esecuzione.

(61)

In conformità dell’articolo 75 del regolamento (UE) 2016/679, il Garante europeo della protezione dei dati dovrebbe assicurare il segreteriato del comitato europeo per la protezione dei dati.

(62)

In tutte le istituzioni e tutti gli organi dell’Unione un responsabile della protezione dei dati dovrebbe garantire che l’applicazione del presente regolamento e consigliare i titolari del trattamento e i responsabili del trattamento nell’assolvimento dei loro obblighi. Il responsabile della protezione dei dati dovrebbe essere una persona con il livello necessario di conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, che dovrebbe essere determinato, in particolare, in base ai trattamenti di dati effettuati dal titolare o dal responsabile del trattamento e alla protezione richiesta per i dati personali interessati. Tali responsabili della protezione dei dati dovrebbero poter adempiere le funzioni e i compiti loro incombenti in maniera indipendente.

(63)

È opportuno che, quando i dati personali sono trasferiti da istituzioni e organi dell’Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, sia garantito il livello di tutela delle persone fisiche assicurato nell’Unione dal presente regolamento. Le stesse garanzie dovrebbero applicarsi nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall’organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un’altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali possono essere effettuati soltanto nel pieno rispetto del presente regolamento e dei diritti e delle libertà fondamentali sanciti dalla Carta. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.

(64)

A norma dell’articolo 45 del regolamento (UE) 2016/679 o dell’articolo 36 della direttiva (UE) 2016/680, la Commissione può riconoscere che un paese terzo, un territorio o un settore specifico all’interno di un paese terzo, o un’organizzazione internazionale offre un livello adeguato di protezione dei dati. In tali casi, i trasferimenti di dati personali verso tale paese terzo o organizzazione internazionale da parte di un’istituzione o di un organo dell’Unione possono avere luogo senza ulteriori autorizzazioni.

(65)

In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell’interessato. Tali adeguate garanzie possono consistere nell’applicazione di clausole tipo di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate dal Garante europeo della protezione dei dati o clausole contrattuali autorizzate dal Garante europeo della protezione dei dati. Quando il responsabile del trattamento non è un’istituzione o un organo dell’Unione, tali adeguate garanzie possono anche consistere in norme vincolanti d’impresa, codici di condotta e meccanismi di certificazione utilizzati per i trasferimenti internazionali a norma del regolamento (UE) 2016/679. Tali garanzie dovrebbero assicurare un rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati adeguato ai trattamenti all’interno dell’Unione, compresa la disponibilità di diritti azionabili degli interessati e di mezzi di ricorso effettivi, fra cui il ricorso effettivo in sede amministrativa o giudiziale e la richiesta di risarcimento, nell’Unione o in un paese terzo. Esse dovrebbero riguardare, in particolare, la conformità ai principi generali in materia di trattamento dei dati personali e ai principi di protezione dei dati fin dalla progettazione e di protezione dei dati di default. I trasferimenti possono essere effettuati anche da istituzioni e organi dell’Unione ad autorità pubbliche o organismi pubblici di paesi terzi, o organizzazioni internazionali con analoghi compiti o funzioni, anche sulla base di disposizioni da inserire in accordi amministrativi, quali un memorandum d’intesa, che prevedano per gli interessati diritti effettivi e azionabili. L’autorizzazione del Garante europeo della protezione dei dati dovrebbe essere ottenuta quando le garanzie sono offerte nell’ambito di accordi amministrativi giuridicamente non vincolanti.

(66)

La possibilità che il titolare del trattamento o il responsabile del trattamento utilizzi clausole tipo di protezione dei dati adottate dalla Commissione o dal Garante europeo della protezione dei dati non dovrebbe precludere ai titolari del trattamento o ai responsabili del trattamento la possibilità di includere tali clausole tipo in un contratto più ampio, anche in un contratto tra il responsabile del trattamento e un altro responsabile del trattamento, né di aggiungere altre clausole o garanzie supplementari, purché non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo adottate dalla Commissione o dal Garante europeo della protezione dei dati o ledano i diritti o le libertà fondamentali degli interessati. I titolari del trattamento e i responsabili del trattamento dovrebbero essere incoraggiati a fornire garanzie supplementari attraverso impegni contrattuali che integrino le clausole tipo di protezione dei dati.

(67)

Alcuni paesi terzi adottano leggi, regolamenti e altri atti normativi finalizzati a disciplinare direttamente le attività di trattamento delle istituzioni e degli organi dell’Unione. Essi possono includere le sentenze di autorità giurisdizionali o le decisioni di autorità amministrative di paesi terzi che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento e non sono basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione. L’applicazione extraterritoriale di tali leggi, regolamenti e altri atti normativi potrebbe essere contraria al diritto internazionale e ostacolare il conseguimento della protezione delle persone fisiche assicurata nell’Unione con il presente regolamento. I trasferimenti dovrebbero quindi essere consentiti solo se ricorrono le condizioni previste dal presente regolamento per i trasferimenti a paesi terzi. Ciò vale, tra l’altro, quando la comunicazione è necessaria per un rilevante motivo di interesse pubblico riconosciuto dal diritto dell’Unione.

(68)

È opportuno prevedere in situazioni specifiche la possibilità di trasferire dati in alcune circostanze se l’interessato ha esplicitamente acconsentito, se il trasferimento è occasionale e necessario in relazione a un contratto o un’azione legale, che sia in sede giudiziale, amministrativa o stragiudiziale, compresi i procedimenti dinanzi alle autorità di regolamentazione. È altresì opportuno prevedere la possibilità di trasferire dati se sussistono motivi di rilevante interesse pubblico previsti dal diritto dell’Unione o se i dati sono trasferiti da un registro stabilito per legge e destinato a essere consultato dal pubblico o dalle persone aventi un interesse legittimo. In quest’ultimo caso, il trasferimento non dovrebbe riguardare la totalità dei dati personali o delle categorie di dati contenuti nel registro, salvo se il diritto dell’Unione lo autorizza; inoltre, quando il registro è destinato a essere consultato dalle persone aventi un interesse legittimo, i dati dovrebbero essere trasferiti soltanto su richiesta di queste o, se ne sono destinatarie, tenendo pienamente conto degli interessi e dei diritti fondamentali dell’interessato.

(69)

Tali deroghe dovrebbero in particolare valere per i trasferimenti di dati richiesti e necessari per importanti motivi di interesse pubblico, ad esempio nel caso di scambio internazionale di dati tra istituzioni e organi dell’Unione e autorità garanti della concorrenza, amministrazioni fiscali o doganali, autorità di controllo finanziario e servizi competenti in materia di sicurezza sociale o sanità pubblica, ad esempio in caso di ricerca di contatti per malattie contagiose o al fine di ridurre e/o eliminare il doping nello sport. Il trasferimento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per salvaguardare un interesse che è essenziale per gli interessi vitali dell’interessato o di un’altra persona, comprese la vita o l’integrità fisica, qualora l’interessato si trovi nell’incapacità di prestare il proprio consenso. In mancanza di una decisione di adeguatezza, il diritto dell’Unione può, per importanti motivi di interesse pubblico, fissare espressamente limiti al trasferimento di categorie specifiche di dati verso un paese terzo o un’organizzazione internazionale. Qualunque trasferimento a un’organizzazione internazionale umanitaria di dati personali di un interessato che si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso ai fini dell’esecuzione di un compito derivante dalle convenzioni di Ginevra o al fine di rispettare il diritto internazionale umanitario applicabile nei conflitti armati potrebbe essere considerato necessario per importanti motivi di interesse pubblico o nell’interesse vitale dell’interessato.

(70)

In ogni caso, se la Commissione non ha adottato alcuna decisione circa il livello adeguato di protezione dei dati di un paese terzo, il titolare del trattamento o il responsabile del trattamento dovrebbe ricorrere a soluzioni che diano all’interessato diritti effettivi e azionabili in relazione al trattamento dei suoi dati personali nell’Unione, dopo il trasferimento, così da continuare a beneficiare dei diritti fondamentali e delle garanzie.

(71)

Con i trasferimenti transfrontalieri di dati personali al di fuori dell’Unione potrebbe aumentare il rischio che la persona fisica non possa esercitare il proprio diritto alla protezione dei dati, in particolare per tutelarsi da usi o comunicazioni illeciti di tali informazioni. Allo stesso tempo, le autorità di controllo nazionali e il Garante europeo della protezione dei dati possono non essere in grado di dar corso ai reclami o svolgere indagini relative ad attività che esulano dalla loro competenza territoriale. I loro sforzi di collaborazione nel contesto transfrontaliero possono anche essere ostacolati dall’insufficienza di poteri per prevenire o correggere, da regimi giuridici incoerenti e da difficoltà pratiche quali la limitatezza delle risorse disponibili. Pertanto è opportuno promuovere una più stretta cooperazione tra il Garante europeo della protezione dei dati e le autorità di controllo nazionali affinché possano scambiare informazioni con le loro controparti internazionali.

(72)

L’istituzione, mediante il regolamento (CE) n. 45/2001, del Garante europeo della protezione dei dati, cui è conferito il potere di eseguire compiti ed esercitare poteri in totale indipendenza, è un elemento essenziale della protezione delle persone fisiche in relazione al trattamento dei loro dati personali. Il presente regolamento dovrebbe rafforzarne e chiarirne ulteriormente il ruolo e l’indipendenza. Il Garante europeo della protezione dei dati dovrebbe essere una persona che offra ogni garanzia di indipendenza e che possieda un’esperienza e delle competenze notorie per l’esercizio delle funzioni di Garante europeo della protezione dei dati, come, ad esempio, l’aver fatto parte di una delle autorità di controllo di cui all’articolo 51 del regolamento (UE) 2016/679.

(73)

Al fine di garantire un monitoraggio e un’applicazione coerenti delle norme in materia di protezione dei dati in tutta l’Unione, il Garante europeo della protezione dei dati dovrebbe avere gli stessi compiti e poteri effettivi delle autorità di controllo nazionali, fra cui poteri di indagine, poteri correttivi e sanzionatori, e poteri autorizzativi e consultivi, segnatamente in caso di reclamo proposto da persone fisiche, e il potere di intentare un’azione dinanzi alla Corte di giustizia e di agire in sede giudiziale conformemente alle disposizioni del diritto primario in caso di violazione del presente regolamento. Tali poteri dovrebbero includere anche il potere di imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento. Onde evitare costi superflui ed eccessivi disagi alle persone interessate che potrebbero subire pregiudizio, ogni misura del Garante europeo della protezione dei dati dovrebbe essere appropriata, necessaria e proporzionata al fine di assicurare la conformità al presente regolamento, dovrebbe tenere conto delle circostanze di ciascun singolo caso e rispettare il diritto di ogni persona di essere ascoltata prima che nei suoi confronti sia adottato un provvedimento individuale. Ogni misura giuridicamente vincolante del Garante europeo della protezione dei dati dovrebbe avere forma scritta, essere chiara e univoca, riportare la data di adozione della misura, recare la firma del Garante europeo della protezione dei dati, precisare i motivi della misura e fare riferimento al diritto a un ricorso effettivo.

(74)

Non è opportuno che rientri nella competenza di controllo del Garante europeo della protezione dei dati il trattamento di dati personali effettuato dalla Corte di giustizia nell’esercizio delle sue funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della Corte nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale. Per tali trattamenti, la Corte dovrebbe istituire un controllo indipendente conformemente all’articolo 8, paragrafo 3, della Carta, ad esempio attraverso un meccanismo interno.

(75)

È opportuno che le decisioni del Garante europeo della protezione dei dati riguardanti le deroghe, le garanzie, le autorizzazioni e le condizioni relative ai trattamenti di dati, quali definiti dal presente regolamento, siano pubblicate nel rapporto sulle attività svolte. A prescindere dalla pubblicazione annuale del rapporto sulle attività svolte, il Garante europeo della protezione dei dati può pubblicare relazioni su temi specifici.

(76)

Il Garante europeo della protezione dei dati dovrebbe rispettare il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (9).

(77)

Le autorità di controllo nazionali sorvegliano l’applicazione del regolamento (UE) 2016/679 e contribuiscono alla sua coerente applicazione in tutta l’Unione, così da tutelare le persone fisiche in relazione al trattamento dei loro dati personali e facilitare la libera circolazione di tali dati nel mercato interno. Al fine di aumentare la coerenza dell’applicazione delle norme in materia di protezione dei dati applicabili negli Stati membri e di quelle applicabili alle istituzioni e agli organi dell’Unione, il Garante europeo della protezione dei dati dovrebbe cooperare efficacemente con le autorità di controllo nazionali.

(78)

In taluni casi, il diritto dell’Unione prevede un modello di controllo coordinato, condiviso tra il Garante europeo della protezione dei dati e le autorità di controllo nazionali. Il Garante europeo della protezione dei dati è altresì l’autorità di controllo di Europol e a tali fini è stato istituito un modello specifico di cooperazione con le autorità di controllo nazionali mediante un consiglio di cooperazione con funzione consultiva. Per migliorare l’efficacia del controllo e dell’applicazione delle norme sostanziali in materia di protezione dei dati, è opportuno introdurre nell’Unione un singolo modello coerente di controllo coordinato. Pertanto la Commissione dovrebbe, se del caso, presentare proposte legislative volte a modificare gli atti giuridici dell’Unione che prevedono un modello di controllo coordinato, onde allinearli al modello di controllo coordinato del presente regolamento. Il comitato europeo per la protezione dei dati dovrebbe costituire un forum unico per garantire un controllo coordinato efficace in tutti i settori.

(79)

Ciascun interessato dovrebbe avere il diritto di proporre reclamo al Garante europeo della protezione dei dati e il diritto a un ricorso giurisdizionale effettivo dinanzi alla Corte di giustizia, in conformità dei trattati, qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento o se il Garante europeo della protezione dei dati non dà seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell’interessato. Successivamente al reclamo si dovrebbe condurre un’indagine, soggetta a controllo giurisdizionale, nella misura in cui ciò sia opportuno nel caso specifico. È opportuno che il Garante europeo della protezione dei dati informi gli interessati dello stato e dell’esito del reclamo entro un termine ragionevole. Se il caso richiede un ulteriore coordinamento con un’autorità di controllo nazionale, l’interessato dovrebbe ricevere informazioni interlocutorie. Per agevolare la proposizione di reclami, il Garante europeo della protezione dei dati dovrebbe adottare misure quali la messa a disposizione di un modulo per la proposizione dei reclami compilabile anche elettronicamente, senza escludere altri mezzi di comunicazione.

(80)

Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento dovrebbe avere il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento, alle condizioni stabilite nei trattati.

(81)

Al fine di rafforzare la funzione di controllo del Garante europeo della protezione dei dati e l’applicazione efficace del presente regolamento, il Garante europeo della protezione dei dati dovrebbe, come sanzione di ultima istanza, poter imporre sanzioni amministrative pecuniarie. Tali sanzioni dovrebbero mirare a sanzionare l’istituzione o l’organo dell’Unione — piuttosto che la persona fisica — per la mancata conformità al presente regolamento, scoraggiarne future violazioni e promuovere una cultura di protezione dei dati personali all’interno delle istituzioni e degli organi dell’Unione. Il presente regolamento dovrebbe specificare le violazioni soggette a sanzione amministrativa pecuniaria, indicare i limiti massimi e i criteri per prevedere le sanzioni associate. Il Garante europeo della protezione dei dati dovrebbe stabilire l’ammontare della sanzione pecuniaria in ogni singolo caso, tenuto conto di tutte le circostanze pertinenti della situazione specifica, della natura, gravità e durata dell’infrazione, delle relative conseguenze e delle misure adottate per assicurare la conformità agli obblighi derivanti dal presente regolamento e prevenire o attenuare le conseguenze della violazione. Quando impone una sanzione amministrativa pecuniaria a un’istituzione o un organo dell’Unione, il Garante europeo della protezione dei dati dovrebbe tenere conto della proporzionalità dell’importo della sanzione. La procedura amministrativa per l’imposizione di sanzioni pecuniarie a istituzioni e organi dell’Unione dovrebbe rispettare i principi generali del diritto dell’Unione, come interpretato dalla Corte di giustizia.

(82)

Qualora l’interessato ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento, dovrebbe avere il diritto di dare mandato a un organismo, un’organizzazione o un’associazione che non abbiano scopo di lucro, costituiti in conformità del diritto dell’Unione o di uno Stato membro, con obiettivi statutari di pubblico interesse, e che siano attivi nel settore della protezione dei dati personali, per proporre reclamo per suo conto al Garante europeo della protezione dei dati. Tale organismo, organizzazione o associazione dovrebbe essere in grado di esercitare il diritto a un ricorso giurisdizionale per conto degli interessati o di esercitare il diritto a ottenere il risarcimento del danno per conto degli interessati.

(83)

Il funzionario o altro agente dell’Unione che non assolva agli obblighi previsti dal presente regolamento dovrebbe essere passibile di provvedimenti disciplinari o di altro genere, secondo le norme e le procedure previste dallo statuto dei funzionari dell’Unione europea e dal regime applicabile agli altri agenti dell’Unione, stabilite nel regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio (10) («statuto»).

(84)

Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, dovrebbero essere attribuite alla Commissione competenze di esecuzione. Tali competenze dovrebbero essere esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (11). È opportuno applicare la procedura d’esame per l’adozione di clausole contrattuali tipo tra i titolari del trattamento e i responsabili del trattamento e tra responsabili del trattamento, per l’adozione di un elenco di trattamenti che richiede la consultazione preventiva del Garante europeo della protezione dei dati personali da parte dei titolari del trattamento che effettuano un trattamento di dati personali necessario all’esecuzione di un compito di interesse pubblico e per l’adozione di clausole contrattuali tipo che prevedano garanzie adeguate per i trasferimenti internazionali.

(85)

È opportuno proteggere le informazioni riservate raccolte dalle autorità statistiche dell’Unione e nazionali per la produzione di statistiche ufficiali europee e nazionali. Le statistiche europee dovrebbero essere sviluppate, prodotte e diffuse conformemente ai principi statistici di cui all’articolo 338, paragrafo 2, TFUE. Il regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio (12) fornisce ulteriori specificazioni in merito al segreto statistico per quanto riguarda le statistiche europee.

(86)

Il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE del Parlamento europeo, del Consiglio e della Commissione (13) dovrebbero essere abrogati. I riferimenti al regolamento e alla direttiva abrogati dovrebbero intendersi fatti al presente regolamento.

(87)

Al fine di garantire la piena indipendenza dei membri dell’autorità di controllo indipendente, il presente regolamento non dovrebbe incidere sui mandati dell’attuale Garante europeo della protezione dei dati e dell’attuale Garante aggiunto. L’attuale Garante aggiunto dovrebbe rimanere in carica fino alla fine del mandato, a meno che non si verifichi una delle condizioni per la cessazione anticipata del mandato del Garante europeo della protezione dei dati stabilite dal presente regolamento. Le disposizioni pertinenti del presente regolamento dovrebbero applicarsi al Garante aggiunto fino alla fine del suo mandato.

(88)

Conformemente al principio di proporzionalità, è necessario e appropriato, al fine del conseguimento dell’obiettivo fondamentale di garantire un livello equivalente di tutela delle persone fisiche in relazione al trattamento dei dati personali e la libera circolazione dei dati personali nell’Unione, stabilire norme relative al trattamento dei dati personali nelle istituzioni e negli organi dell’Unione. Il presente regolamento si limita a quanto è necessario per conseguire gli obiettivi perseguiti, in ottemperanza all’articolo 5, paragrafo 4, TUE.

(89)

Il Garante europeo della protezione dei dati è stato consultato conformemente all’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 e ha espresso il proprio parere in data 15 marzo 2017 (14),

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO I

DISPOSIZIONI GENERALI

Articolo 1

Oggetto e finalità

1.   Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organi dell’Unione, nonché norme relative alla libera circolazione dei dati personali tra tali istituzioni e organi o verso altri destinatari stabiliti nell’Unione.

2.   Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

3.   Il Garante europeo della protezione dei dati sorveglia l’applicazione delle disposizioni del presente regolamento a tutti i trattamenti effettuati da un’istituzione o un organo dell’Unione.

Articolo 2

Ambito di applicazione

1.   Il presente regolamento si applica al trattamento di dati personali da parte di tutte le istituzioni e di tutti gli organi dell’Unione.

2.   Solo l’articolo 3 e il capo IX del presente regolamento si applicano al trattamento dei dati personali operativi da parte degli organi e degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE.

3.   Il presente regolamento non si applica al trattamento dei dati personali operativi da parte di Europol e della Procura europea, finché il regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio (15) e il regolamento (UE) 2017/1939 del Consiglio (16) non saranno sono adattati conformemente all’articolo 98 del presente regolamento.

4.   Il presente regolamento non si applica al trattamento dei dati personali da parte delle missioni di cui all’articolo 42, paragrafo 1, e agli articoli 43 e 44 TUE.

5.   Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

Articolo 3

Definizioni

Ai fini del presente regolamento si applicano le seguenti definizioni:

1)

«dati personali»: qualsiasi informazione concernente una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2)

«dati personali operativi»: tutti i dati personali trattati da organi o organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE per conseguire gli obiettivi ed eseguire i compiti stabiliti negli atti giuridici che li istituiscono;

3)

«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

4)

«limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;

5)

«profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

6)

«pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

7)

«archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

8)

«titolare del trattamento»: l’istituzione o l’organo dell’Unione, la direzione generale o qualunque altra entità organizzativa che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati da un atto specifico dell’Unione, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione;

9)

«titolari del trattamento diversi dalle istituzioni e dagli organi dell’Unione»: i titolari del trattamento ai sensi dell’articolo 4, punto 7), del regolamento (UE) 2016/679 e i titolari del trattamento ai sensi dell’articolo 3, punto 8), della direttiva (UE) 2016/680;

10)

«istituzioni e organi dell’Unione»: le istituzioni, gli organi e gli organismi dell’Unione istituiti dal TUE, dal TFUE o dal trattato Euratom oppure sulla base di tali trattati;

11)

«autorità competente»: qualsiasi autorità pubblica di uno Stato membro competente in materia di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;

12)

«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

13)

«destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

14)

«terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

15)

«consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

16)

«violazione dei dati personali»: violazione di sicurezza che comporta in modo accidentale o illecito la distruzione, la perdita, la modifica, la comunicazione non autorizzata dei dati personali trasmessi, memorizzati o comunque trattati, o l’accesso agli stessi;

17)

«dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano, in particolare, dati dall’analisi di un campione biologico della persona fisica in questione;

18)

«dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

19)

«dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

20)

«servizio della società dell’informazione»: il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (17);

21)

«organizzazione internazionale»: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più paesi;

22)

«autorità di controllo nazionale»: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51 del regolamento (UE) 2016/679 o ai sensi dell’articolo 41 della direttiva (UE) 2016/680;

23)

«utente»: qualsiasi persona fisica che si serve di una rete o di un’apparecchiatura terminale che funziona sotto il controllo di un’istituzione o di un organo dell’Unione;

24)

«elenco»: elenco di utenti accessibile al pubblico o elenco interno di utenti disponibile in un’istituzione od organo dell’Unione o condiviso tra istituzioni e organi dell’Unione, in formato cartaceo o elettronico.

25)

«rete di comunicazione elettronica»: un sistema di trasmissione basato o meno su un’infrastruttura permanente o una capacità di amministrazione centralizzata e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri fisse (a commutazione di circuito e a commutazione di pacchetto, compreso Internet) e mobili, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti utilizzate per le trasmissioni radio e televisive nonché le reti televisive via cavo, indipendentemente dal tipo di informazione trasmesso;

26)

«apparecchiature terminali»: le apparecchiature terminali quali definite all’articolo 1, punto 1), della direttiva 2008/63/CE della Commissione (18).

CAPO II

PRINCIPI GENERALI

Articolo 4

Principi applicabili al trattamento di dati personali

1.   I dati personali devono essere:

a)

trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b)

raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 13, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c)

adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d)

esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati personali inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e)

conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 13, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

f)

trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

2.   Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).

Articolo 5

Liceità del trattamento

1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)

il trattamento è necessario per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri di cui sono investiti l’istituzione o l’organo dell’Unione;

b)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

c)

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

d)

l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

e)

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.

2.   La base su cui si fonda il trattamento di cui al paragrafo 1, lettere a) e b), è stabilita dal diritto dell’Unione.

Articolo 6

Trattamento per un’altra finalità compatibile

Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su disposizioni del diritto dell’Unione che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 25, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:

a)

di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;

b)

del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;

c)

della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 10, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 11;

d)

delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;

e)

dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.

Articolo 7

Condizioni per il consenso

1.   Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

2.   Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.

3.   L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

4.   Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

Articolo 8

Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione

1.   Qualora si applichi l’articolo 5, paragrafo 1, lettera d), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 13 anni. Ove il minore abbia un’età inferiore ai 13 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

2.   Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili.

3.   Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore.

Articolo 9

Trasmissione di dati personali a destinatari stabiliti nell’Unione diversi dalle istituzioni e dagli organi dell’Unione

1.   Fatti salvi gli articoli da 4 a 6 e l’articolo 10, i dati personali possono essere trasmessi a destinatari stabiliti nell’Unione diversi dalle istituzioni e dagli organi dell’Unione solo se:

a)

il destinatario dimostra che i dati sono necessari per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri di cui è investito; oppure

b)

il destinatario dimostra che la trasmissione dei dati è necessaria al fine specifico di servire l’interesse pubblico e il responsabile del trattamento, qualora sussistano motivi per presumere che gli interessi legittimi dell’interessato possano subire pregiudizio, dimostra che è proporzionato trasmettere i dati personali per detto fine specifico dopo aver chiaramente soppesato i vari interessi in conflitto.

2.   Ove dia origine alla trasmissione a norma del presente articolo il titolare del trattamento dimostra che la trasmissione dei dati personali è necessaria e proporzionata alle finalità cui è destinata, applicando i criteri di cui al paragrafo 1, lettera a) o b).

3.   Le istituzioni e gli organi dell’Unione conciliano il diritto alla protezione dei dati personali con il diritto di accesso ai documenti in conformità del diritto dell’Unione.

Articolo 10

Trattamento di categorie particolari di dati personali

1.   È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2.   Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a)

l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

b)

il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

c)

il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

d)

il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da un organismo senza scopo di lucro che costituisca un’entità integrata in un’istituzione o in un organo dell’Unione e che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con l’organismo a motivo delle sue finalità e che i dati non siano comunicati a terzi senza il consenso dell’interessato;

e)

il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

f)

il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta la Corte di giustizia eserciti la sua funzione giurisdizionale;

g)

il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;

h)

il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

i)

il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale; o

j)

il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici sulla base del diritto dell’Unione, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

3.   I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.

Articolo 11

Trattamento dei dati personali relativi a condanne penali e reati

Il trattamento di dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 5, paragrafo 1, avviene solo sotto il controllo dell’autorità ufficiale o se il trattamento è autorizzato da disposizioni del diritto dell’Unione che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

Articolo 12

Trattamento che non richiede l’identificazione

1.   Se le finalità per cui un titolare del trattamento tratta i dati personali non richiedono o non richiedono più l’identificazione dell’interessato, il titolare del trattamento non è obbligato a conservare, acquisire o trattare ulteriori informazioni per identificare l’interessato al solo fine di rispettare il presente regolamento.

2.   Qualora, nei casi di cui al paragrafo 1 del presente articolo, il titolare del trattamento possa dimostrare di non essere in grado di identificare l’interessato, ne informa l’interessato, se possibile. In tali casi, gli articoli da 17 a 22 non si applicano tranne quando l’interessato, al fine di esercitare i diritti di cui ai suddetti articoli, fornisce ulteriori informazioni che ne consentano l’identificazione.

Articolo 13

Garanzie relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici

Il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo. Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta più di identificare l’interessato, tali finalità devono essere conseguite in tal modo.

CAPO III

DIRITTI DELL’INTERESSATO

SEZIONE 1

Trasparenza e modalità

Articolo 14

Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato

1.   Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 15 e 16 e le comunicazioni di cui agli articoli da 17 a 24 e all’articolo 35 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.

2.   Il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 17 a 24. Nei casi di cui all’articolo 12, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la richiesta dell’interessato di esercitare i suoi diritti ai sensi degli articoli da 17 a 24, salvo che il titolare del trattamento dimostri che non è in grado di identificare l’interessato.

3.   Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 17 a 24 senza indebito ritardo e, comunque, entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.

4.   Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo al Garante europeo della protezione dei dati e di proporre ricorso giurisdizionale.

5.   Le informazioni fornite ai sensi degli articoli 15 e 16 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 17 a 24 e dell’articolo 35 sono gratuite. Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può rifiutare di soddisfare la richiesta. Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

6.   Fatto salvo l’articolo 12, qualora il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta di cui agli articoli da 17 a 23, può richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato.

7.   Le informazioni da fornire agli interessati a norma degli articoli 15 e 16 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone sono leggibili da dispositivo automatico.

8.   Se la Commissione adotta atti delegati conformemente all’articolo 12, paragrafo 8, del regolamento (UE) 2016/679 che stabiliscono le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate, le istituzioni e gli organi dell’Unione forniscono, se del caso, le informazioni di cui agli articoli 15 e 16 del presente regolamento in combinazione con le icone standardizzate.

SEZIONE 2

Informazioni e accesso ai dati personali

Articolo 15

Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato

1.   In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

a)

l’identità e i dati di contatto del titolare del trattamento;

b)

i dati di contatto del responsabile della protezione dei dati;

c)

le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d)

gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

e)

ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 48, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2.   In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a)

il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b)

l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o, ove applicabile, del diritto di opporsi al trattamento o del diritto alla portabilità dei dati;

c)

qualora il trattamento sia basato sull’articolo 5, paragrafo 1, lettera d), oppure sull’articolo 10, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d)

il diritto di proporre reclamo al Garante europeo della protezione dei dati;

e)

se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f)

l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 24, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

3.   Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.

4.   I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni.

Articolo 16

Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato

1.   Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:

a)

l’identità e i dati di contatto del titolare del trattamento;

b)

i dati di contatto del responsabile della protezione dei dati;

c)

le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d)

le categorie di dati personali in questione;

e)

gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f)

ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 48, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2.   In aggiunta alle informazioni di cui al paragrafo 1, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell’interessato:

a)

il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b)

l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o, ove applicabile, del diritto di opporsi al trattamento o del diritto alla portabilità dei dati;

c)

qualora il trattamento sia basato sull’articolo 5, paragrafo 1, lettera d), oppure sull’articolo 10, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d)

il diritto di proporre reclamo al Garante europeo della protezione dei dati;

e)

la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;

f)

l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 24, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

3.   Il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2:

a)

entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;

b)

nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; oppure

c)

nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

4.   Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente di cui al paragrafo 2.

5.   I paragrafi da 1 a 4 non si applicano se e nella misura in cui:

a)

l’interessato dispone già delle informazioni;

b)

comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento;

c)

l’ottenimento o la comunicazione sono espressamente previsti da disposizioni del diritto dell’Unione che prevedono misure appropriate per tutelare gli interessi legittimi dell’interessato; oppure

d)

qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione, compreso un obbligo di segretezza previsto per legge.

6.   Nei casi di cui al paragrafo 5, lettera b), il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e gli interessi legittimi dell’interessato, anche rendendo pubbliche le informazioni.

Articolo 17

Diritto di accesso dell’interessato

1.   L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

a)

le finalità del trattamento;

b)

le categorie di dati personali in questione;

c)

i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d)

quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e)

l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f)

il diritto di proporre reclamo al Garante europeo della protezione dei dati;

g)

qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

h)

l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 24, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

2.   Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 48 relative al trasferimento.

3.   Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.

4.   Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

SEZIONE 3

Rettifica e cancellazione

Articolo 18

Diritto di rettifica

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza indebito ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

Articolo 19

Diritto alla cancellazione («diritto all’oblio»)

1.   L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza indebito ritardo e il titolare del trattamento ha l’obbligo di cancellare senza indebito ritardo i dati personali, se sussiste uno dei motivi seguenti:

a)

i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b)

l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 5, paragrafo 1, lettera d), o all’articolo 10, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;

c)

l’interessato si oppone al trattamento ai sensi dell’articolo 23, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;

d)

i dati personali sono stati trattati illecitamente;

e)

i dati personali devono essere cancellati per adempiere un obbligo legale cui è soggetto il titolare del trattamento;

f)

i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.

2.   Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento, o i titolari del trattamento diversi dalle istituzioni e dagli organi dell’Unione, che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

3.   I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:

a)

per l’esercizio del diritto alla libertà di espressione e di informazione;

b)

per l’adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

c)

per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 10, paragrafo 2, lettere h) e i), e dell’articolo 10, paragrafo 3;

d)

a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; oppure

e)

per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Articolo 20

Diritto di limitazione di trattamento

1.   L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

a)

l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza, inclusa la completezza, di tali dati personali;

b)

il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

c)

benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

d)

l’interessato si è opposto al trattamento ai sensi dell’articolo 23, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

2.   Se il trattamento è limitato a norma del paragrafo 1, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.

3.   L’interessato che ha ottenuto la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare del trattamento prima che detta limitazione sia revocata.

4.   Negli archivi automatizzati la limitazione del trattamento è assicurata, in linea di massima, mediante dispositivi tecnici. Il sistema deve indicare che i dati personali sono stati limitati in modo da rendere evidente che non possono essere utilizzati.

Articolo 21

Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 18, dell’articolo 19, paragrafo 1, e dell’articolo 20, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda.

Articolo 22

Diritto alla portabilità dei dati

1.   L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:

a)

il trattamento si basi sul consenso ai sensi dell’articolo 5, paragrafo 1, lettera d), o dell’articolo 10, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 5, paragrafo 1, lettera c); e

b)

il trattamento sia effettuato con mezzi automatizzati.

2.   Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento a un altro o a titolari del trattamento diversi dalle istituzioni e dagli organi dell’Unione, se tecnicamente fattibile.

3.   L’esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l’articolo 19. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

4.   Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui.

SEZIONE 4

Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche

Articolo 23

Diritto di opposizione

1.   L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 5, paragrafo 1, lettera a), compresa la profilazione sulla base di tale disposizione. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

2.   Il diritto di cui al paragrafo 1 è esplicitamente portato all’attenzione dell’interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’interessato.

3.   Fatti salvi gli articoli 36 e 37, nel contesto dell’utilizzo di servizi della società dell’informazione l’interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.

4.   Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici, l’interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico.

Articolo 24

Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

1.   L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

2.   Il paragrafo 1 non si applica nel caso in cui la decisione:

a)

sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare del trattamento;

b)

sia autorizzata dal diritto dell’Unione, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e degli interessi legittimi dell’interessato; oppure

c)

si basi sul consenso esplicito dell’interessato.

3.   Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e gli interessi legittimi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

4.   Le decisioni di cui al paragrafo 2 del presente articolo non si basano sulle categorie particolari di dati personali di cui all’articolo 10, paragrafo 1, a meno che non sia d’applicazione l’articolo 10, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e degli interessi legittimi dell’interessato.

SEZIONE 5

Limitazioni

Articolo 25

Limitazioni

1.   Gli atti giuridici adottati sulla base dei trattati oppure, per le questioni relative al funzionamento delle istituzioni e degli organi dell’Unione, le norme interne stabilite da questi ultimi possono limitare l’applicazione degli articoli da 14 a 22 e degli articoli 35 e 36, nonché dell’articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

a)

la sicurezza nazionale, la sicurezza pubblica o la difesa degli Stati membri;

b)

la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;

c)

altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare gli obiettivi della politica estera e di sicurezza comune dell’Unione o un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;

d)

la sicurezza interna delle istituzioni e degli organi dell’Unione, inclusa quella delle loro reti di comunicazione elettronica;

e)

la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari;

f)

le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;

g)

una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a) a c);

h)

la tutela dell’interessato o dei diritti e delle libertà altrui;

i)

l’esecuzione delle azioni civili.

2.   In particolare, gli atti giuridici o le norme interne di cui al paragrafo 1 contengono disposizioni specifiche riguardanti, se del caso:

a)

le finalità del trattamento o delle categorie di trattamento;

b)

le categorie di dati personali;

c)

la portata delle limitazioni introdotte;

d)

le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti;

e)

l’indicazione precisa del titolare del trattamento o delle categorie di titolari;

f)

i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento; e

g)

i rischi per i diritti e le libertà degli interessati.

3.   Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell’Unione, che può comprendere norme interne adottate dalle istituzioni e dagli organi dell’Unione relative a questioni connesse al loro funzionamento, può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20 e 23, fatte salve le condizioni e le garanzie di cui all’articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

4.   Se i dati personali sono trattati per finalità di archiviazione nel pubblico interesse, il diritto dell’Unione, che può comprendere norme interne adottate dalle istituzioni e dagli organi dell’Unione relative a questioni connesse al loro funzionamento, può prevedere deroghe ai diritti di cui agli articoli 17, 18, 20, 21, 22 e 23, fatte salve le condizioni e le garanzie di cui all’articolo 13, nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e tali deroghe sono necessarie al conseguimento di dette finalità.

5.   Le norme interne di cui ai paragrafi 1, 3 e 4 sono atti di applicazione generale chiari e precisi intesi a produrre effetti giuridici nei confronti degli interessati, adottati al più alto livello di gestione delle istituzioni e degli organi dell’Unione e destinati a essere pubblicati nella Gazzetta ufficiale dell’Unione europea.

6.   Qualora si applichi una delle limitazioni di cui al paragrafo 1, l’interessato è informato, conformemente al diritto dell’Unione, dei principali motivi della limitazione e del suo diritto di proporre reclamo al Garante europeo della protezione dei dati.

7.   Qualora si applichino le limitazioni previste al paragrafo 1 per negare all’interessato l’accesso ai dati che lo riguardano, il Garante europeo della protezione dei dati, nell’esaminare il reclamo, gli comunica solo se i dati sono stati trattati correttamente ovvero, in caso contrario, se sono state apportate tutte le rettifiche necessarie.

8.   La comunicazione delle informazioni di cui ai paragrafi 6 e 7 del presente articolo e all’articolo 45, paragrafo 2, può essere rinviata, omessa o negata qualora annulli l’effetto della limitazione imposta in forza del paragrafo 1 del presente articolo.

CAPO IV

TITOLARE DEL TRATTAMENTO E RESPONSABILE DEL TRATTAMENTO

SEZIONE 1

Obblighi generali

Articolo 26

Responsabilità del titolare del trattamento

1.   Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

2.   Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

3.   L’adesione a meccanismi di certificazione approvati di cui all’articolo 42 del regolamento (UE) 2016/679 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Articolo 27

Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

1.   Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2.   Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

3.   Un meccanismo di certificazione approvato ai sensi dell’articolo 42 del regolamento (UE) 2016/679 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Articolo 28

Contitolari del trattamento

1.   Allorché due o più titolari del trattamento o uno o più titolari del trattamento insieme a uno o più titolari del trattamento diversi dalle istituzioni e dagli organi dell’Unione determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi di protezione dei dati, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 15 e 16, a meno che e nella misura in cui le rispettive responsabilità dei contitolari siano determinate dal diritto dell’Unione o dello Stato membro cui i contitolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.

2.   L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.

3.   Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

Articolo 29

Responsabile del trattamento

1.   Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2.   Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3.   I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a)

tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b)

garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c)

adotti tutte le misure richieste ai sensi dell’articolo 33;

d)

rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e)

tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f)

assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 33 a 41, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g)

su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e

h)

metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4.   Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

5.   Quando un responsabile del trattamento non è un’istituzione o un organo dell’Unione, la sua adesione a un codice di condotta approvato di cui all’articolo 40, paragrafo 5, del regolamento (UE) 2016/679 o a un meccanismo di certificazione approvato di cui all’articolo 42 dello stesso regolamento può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

6.   Fatto salvo l’eventuale contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al responsabile del trattamento diverso da un’istituzione o un organo dell’Unione ai sensi dell’articolo 42 del regolamento (UE) 2016/679.

7.   La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 96, paragrafo 2.

8.   Il Garante europeo della protezione dei dati può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4.

9.   Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

10.   Fatti salvi gli articoli 65 e 66, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

Articolo 30

Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Articolo 31

Registri delle attività di trattamento

1.   Ogni titolare del trattamento tiene un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:

a)

il nome e i dati di contatto del titolare del trattamento, del responsabile della protezione dei dati e, ove applicabile, del responsabile del trattamento e del contitolare del trattamento;

b)

le finalità del trattamento;

c)

una descrizione delle categorie di interessati e delle categorie di dati personali;

d)

le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Stati membri, paesi terzi od organizzazioni internazionali;

e)

ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;

f)

ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g)

ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 33.

2.   Ogni responsabile del trattamento tiene un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

a)

il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento e del responsabile della protezione dei dati;

b)

le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c)

ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;

d)

ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 33.

3.   I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.

4.   Su richiesta, le istituzioni e gli organi dell’Unione mettono il registro a disposizione del Garante europeo della protezione dei dati.

5.   A meno che non sia opportuno tener conto delle dimensioni dell’istituzione o dell’organo dell’Unione, le istituzioni e gli organi dell’Unione conservano i loro registri delle attività di trattamento in un registro centrale che rendono accessibile al pubblico.

Articolo 32

Cooperazione con il Garante europeo della protezione dei dati;

Le istituzioni e gli organi dell’Unione collaborano, su richiesta, con il Garante europeo della protezione dei dati nello svolgimento dei suoi compiti.

SEZIONE 2

Sicurezza dei dati personali

Articolo 33

Sicurezza del trattamento

1.   Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a)

la pseudonimizzazione e la cifratura dei dati personali;

b)

la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c)

la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d)

una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.   Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare, in modo accidentale o illegale, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata di dati personali trasmessi, conservati o comunque trattati o dall’accesso agli stessi.

3.   Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione.

4.   L’adesione a un meccanismo di certificazione approvato ai sensi dell’articolo 42 del regolamento (UE) 2016/679 può essere utilizzata come elemento per dimostrare il rispetto dei requisiti di cui al paragrafo 1 del presente articolo.

Articolo 34

Notifica di una violazione dei dati personali al Garante europeo della protezione dei dati

1.   In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione al Garante europeo della protezione dei dati, senza indebito ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica al Garante europeo della protezione dei dati non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

2.   Il responsabile del trattamento informa il titolare del trattamento senza indebito ritardo dopo essere venuto a conoscenza della violazione.

3.   La notifica di cui al paragrafo 1 deve almeno:

a)

descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b)

comunicare il nome e i dati di contatto del responsabile della protezione dei dati;

c)

descrivere le probabili conseguenze della violazione dei dati personali;

d)

descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

4.   Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

5.   Il titolare del trattamento comunica al responsabile della protezione dei dati la violazione dei dati personali.

6.   Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente al Garante europeo della protezione dei dati di verificare il rispetto del presente articolo.

Articolo 35

Comunicazione di una violazione dei dati personali all’interessato

1.   Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza indebito ritardo.

2.   La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 34, paragrafo 3, lettere b), c) e d).

3.   Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

a)

il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b)

il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;

c)

detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

4.   Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, il Garante europeo della protezione dei dati può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.

SEZIONE 3

Riservatezza delle comunicazioni elettroniche

Articolo 36

Riservatezza delle comunicazioni elettroniche

Le istituzioni e gli organi dell’Unione garantiscono la riservatezza delle comunicazioni elettroniche, in particolare proteggendo le proprie reti di comunicazione elettronica.

Articolo 37

Tutela delle informazioni trasmesse relative all’apparecchiatura terminale degli utenti, nonché conservate, elaborate e raccolte dalla stessa

Le istituzioni e gli organi dell’Unione tutelano le informazioni trasmesse all’apparecchiatura terminale degli utenti, conservate nell’apparecchiatura terminale degli utenti, relative all’apparecchiatura terminale degli utenti, elaborate dall’apparecchiatura terminale degli utenti e raccolte dall’apparecchiatura terminale degli utenti che accede ai loro siti web e alle applicazioni per dispositivi mobili a disposizione del pubblico, in ottemperanza all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.

Articolo 38

Elenchi di utenti

1.   I dati personali contenuti in elenchi di utenti e l’accesso a detti elenchi sono limitati allo stretto necessario ai fini specifici degli elenchi.

2.   Le istituzioni e gli organi dell’Unione prendono le misure necessarie per impedire che i dati personali contenuti in tali elenchi siano utilizzati a fini di diffusione commerciale diretta, indipendentemente dal fatto che gli elenchi siano o meno accessibili al pubblico.

SEZIONE 4

Valutazione d’impatto sulla protezione dei dati e consultazione preventiva

Articolo 39

Valutazione d’impatto sulla protezione dei dati

1.   Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

2.   Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati.

3.   La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a)

una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b)

il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 10, o di dati relativi a condanne penali e a reati di cui all’articolo 11; oppure

c)

la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

4.   Il Garante europeo della protezione dei dati redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1.

5.   Il Garante europeo della protezione dei dati può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati.

6.   Prima di adottare gli elenchi di cui ai paragrafi 4 e 5 del presente articolo, il Garante europeo della protezione dei dati chiede che il comitato europeo per la protezione dei dati istituito dall’articolo 68 del regolamento (UE) 2016/679 esamini detti elenchi conformemente all’articolo 70, paragrafo 1, lettera e), dello stesso regolamento ove tali elenchi si riferiscano a trattamenti da parte di un titolare del trattamento che agisce congiuntamente a uno o più titolari del trattamento diversi dalle istituzioni e dagli organi dell’Unione.

7.   La valutazione contiene almeno:

a)

una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento;

b)

una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c)

una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e

d)

le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

8.   Nel valutare l’impatto del trattamento effettuato dai relativi responsabili diversi dalle istituzioni e dagli organi dell’Unione è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40 del regolamento (UE) 2016/679, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.

9.   Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi pubblici o la sicurezza dei trattamenti.

10.   Qualora il trattamento effettuato ai sensi dell’articolo 5, paragrafo 1, lettera a) o b), trovi una base giuridica in un atto giuridico adottato sulla base dei trattati, che disciplina il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale precedente all’adozione di tale atto giuridico, i paragrafi da 1 a 6 del presente articolo non si applicano, salvo se tale atto giuridico stabilisce altrimenti.

11.   Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

Articolo 40

Consultazione preventiva

1.   Prima di procedere al trattamento, il titolare del trattamento consulta il Garante europeo della protezione dei dati se dalla valutazione d’impatto sulla protezione dei dati a norma dell’articolo 39 risulta che il trattamento, in mancanza delle garanzie, delle misure di sicurezza e dei meccanismi per attenuare il rischio, presenterebbe un rischio elevato per i diritti e le libertà delle persone fisiche e il titolare del trattamento è del parere che il rischio non possa essere ragionevolmente attenuato in considerazione delle tecnologie disponibili e dei costi di attuazione. Il titolare del trattamento chiede il parere del responsabile della protezione dei dati sulla necessità di una consultazione preventiva.

2.   Se ritiene che il trattamento previsto di cui al paragrafo 1 violi il presente regolamento, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, il Garante europeo della protezione dei dati fornisce, entro un termine di otto settimane dal ricevimento della richiesta di consultazione, un parere scritto al titolare del trattamento e, ove applicabile, al responsabile del trattamento e può avvalersi dei poteri di cui all’articolo 58. Tale periodo può essere prorogato di sei settimane, tenendo conto della complessità del trattamento previsto. Il Garante europeo della protezione dei dati informa il titolare del trattamento e, ove applicabile, il responsabile del trattamento di tale proroga, unitamente ai motivi del ritardo, entro un mese dal ricevimento della richiesta di consultazione. La decorrenza dei termini può essere sospesa fino all’ottenimento da parte del Garante europeo della protezione dei dati delle informazioni richieste ai fini della consultazione.

3.   Al momento di consultare il Garante europeo della protezione dei dati ai sensi del paragrafo 1, il titolare del trattamento comunica al Garante europeo della protezione dei dati:

a)

ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento;

b)

le finalità e i mezzi del trattamento previsto;

c)

le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento;

d)

i dati di contatto del responsabile della protezione dei dati;

e)

la valutazione d’impatto sulla protezione dei dati di cui all’articolo 39; e

f)

ogni altra informazione richiesta dal Garante europeo della protezione dei dati.

4.   La Commissione può definire, mediante un atto di esecuzione, un elenco dei casi in cui i titolari del trattamento consultano il Garante europeo della protezione dei dati, e ne ottengono l’autorizzazione preliminare, in relazione al trattamento necessario all’esecuzione, da parte del titolare del trattamento di dati personali, di un compito di interesse pubblico, tra cui il trattamento di tali dati in relazione alla protezione sociale e alla sanità pubblica.

SEZIONE 5

Informazioni e consultazione legislativa

Articolo 41

Informazione e consultazione

1.   Le istituzioni e gli organi dell’Unione informano il Garante europeo della protezione dei dati al momento di elaborare provvedimenti amministrativi e norme interne in tema di trattamento di dati personali da parte di un’istituzione o un organo dell’Unione, singolarmente o congiuntamente con altri.

2.   Le istituzioni e gli organi dell’Unione consultano il Garante europeo della protezione dei dati al momento di elaborare le norme interne di cui all’articolo 25.

Articolo 42

Consultazione legislativa

1.   Dopo l’adozione di proposte di atti legislativi e di raccomandazioni o proposte al Consiglio a norma dell’articolo 218 TFUE o durante la stesura di atti delegati o di esecuzione, qualora essi incidano sulla tutela dei diritti e delle libertà delle persone in relazione al trattamento dei dati personali, la Commissione consulta il Garante europeo della protezione dei dati.

2.   Se un atto di cui al paragrafo 1 è di particolare rilevanza per la tutela dei diritti e delle libertà fondamentali delle persone in relazione al trattamento di dati personali, la Commissione può consultare anche il comitato europeo per la protezione dei dati. In tali casi, il Garante europeo per la protezione dei dati e il comitato europeo per la protezione dei dati coordinano le proprie attività al fine di emettere un parere congiunto.

3.   La consulenza di cui ai paragrafi 1 e 2 è fornita per iscritto entro un termine di otto settimane dal ricevimento della richiesta di consultazione di cui ai paragrafi 1 e 2. In caso di urgenza, o se altrimenti opportuno, la Commissione può abbreviare il termine.

4.   Il presente articolo non si applica quando il regolamento (UE) 2016/679 fa obbligo alla Commissione di consultare il comitato europeo per la protezione dei dati.

SEZIONE 6

Responsabile della protezione dei dati

Articolo 43

Designazione del responsabile della protezione dei dati

1.   Ogni istituzione od organo dell’Unione designa un responsabile della protezione dei dati.

2.   Un unico responsabile della protezione dei dati può essere designato per più istituzioni e organi dell’Unione, tenuto conto della loro struttura organizzativa e dimensione.

3.   Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 45.

4.   Il responsabile della protezione dei dati è un membro del personale dell’istituzione o dell’organo dell’Unione. Tenuto conto della loro dimensione e se l’opzione di cui al paragrafo 2 non è esercitata, le istituzioni e gli organi dell’Unione possono designare un responsabile della protezione dei dati che assolve i suoi compiti in base a un contratto di servizi.

5.   Le istituzioni e gli organi dell’Unione pubblicano i dati di contatto del responsabile della protezione dei dati e li comunicano al Garante europeo della protezione dei dati.

Articolo 44

Posizione del responsabile della protezione dei dati

1.   Le istituzioni e gli organi dell’Unione si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

2.   Le istituzioni e gli organi dell’Unione sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 45 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

3.   Le istituzioni e gli organi dell’Unione si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

4.   Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento.

5.   Il responsabile della protezione dei dati e il suo personale sono tenuti al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione.

6.   Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.

7.   Il responsabile della protezione dei dati può essere consultato dal titolare del trattamento e dal responsabile del trattamento, dal comitato del personale interessato e da qualsiasi persona su qualsiasi aspetto riguardante l’interpretazione o l’applicazione del presente regolamento, senza seguire la via gerarchica. Nessuno deve subire pregiudizio per una questione portata all’attenzione del responsabile della protezione dei dati competente e riguardante un’asserita violazione delle disposizioni del presente regolamento.

8.   Il responsabile della protezione dei dati è designato per un periodo da tre a cinque anni e il suo mandato è rinnovabile. Il responsabile della protezione dei dati può essere destituito dalle sue funzioni dall’istituzione o dall’organo dell’Unione che lo ha designato, se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni, solo con il consenso del Garante europeo della protezione dei dati.

9.   La designazione del responsabile della protezione dei dati è comunicata al Garante europeo della protezione dei dati dall’istituzione o dall’organo dell’Unione che lo ha designato.

Articolo 45

Compiti del responsabile della protezione dei dati

1.   Il responsabile della protezione dei dati è incaricato dei seguenti compiti:

a)

informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione relative alla protezione dei dati;

b)

assicurare in modo indipendente l’applicazione interna del presente regolamento; sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione applicabili relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c)

garantire che gli interessati siano informati dei propri diritti e obblighi ai sensi del presente regolamento;

d)

fornire, se richiesto, un parere in merito alla necessità di notificare o comunicare una violazione dei dati personali a norma degli articoli 34 e 35;

e)

fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento a norma dell’articolo 39 e consultare il Garante europeo della protezione dei dati in caso di dubbi sulla necessità di una valutazione d’impatto sulla protezione dei dati;

f)

fornire, se richiesto, un parere in merito alla necessità di una consultazione preventiva del Garante europeo della protezione dei dati a norma dell’articolo 40; consultare il Garante europeo della protezione dei dati in caso di dubbi sulla necessità di una consultazione preventiva;

g)

rispondere alle richieste del Garante europeo della protezione dei dati; nell’ambito delle sue competenze, cooperare e consultarsi con il Garante europeo della protezione dei dati su richiesta di quest’ultimo o di propria iniziativa;

h)

garantire che i trattamenti non arrechino pregiudizio ai diritti e alle libertà degli interessati.

2.   Il responsabile della protezione dei dati può formulare raccomandazioni al titolare del trattamento e al responsabile del trattamento per il miglioramento concreto della protezione dei dati e consigliare questi ultimi in merito all’applicazione delle disposizioni sulla protezione dei dati. Può inoltre, di propria iniziativa o a richiesta del titolare del trattamento o del responsabile del trattamento, del comitato del personale interessato o di qualsiasi persona, indagare sulle questioni e sui fatti direttamente collegati con l’esercizio delle sue funzioni di cui viene a conoscenza e riferire in merito alla persona che lo ha incaricato dell’indagine o al titolare o al responsabile del trattamento.

3.   Altre norme di attuazione relative al responsabile della protezione dei dati sono adottate da ogni istituzione od organo dell’Unione. Tali norme di attuazione riguardano in particolare le funzioni, gli obblighi e le competenze del responsabile della protezione dei dati.

CAPO V

TRASFERIMENTI DI DATI PERSONALI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI

Articolo 46

Principio generale per il trasferimento

Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato.

Articolo 47

Trasferimento sulla base di una decisione di adeguatezza

1.   Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso, ai sensi dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 o dell’articolo 36, paragrafo 3, della direttiva (UE) 2016/680, che il paese terzo, un territorio o uno o più settori specifici all’interno di tale paese terzo o l’organizzazione internazionale in questione assicurano un livello di protezione adeguato, e qualora i dati personali siano trasferiti esclusivamente per consentire lo svolgimento dei compiti che rientrano nelle competenze del titolare del trattamento.

2.   Le istituzioni e gli organi dell’Unione informano la Commissione e il Garante europeo della protezione dei dati circa i casi in cui a loro parere un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo o un’organizzazione internazionale in questione non assicurano un livello di protezione adeguato ai sensi del paragrafo 1.

3.   Le istituzioni e gli organi dell’Unione adottano le misure necessarie per conformarsi alle decisioni della Commissione che constatano, in applicazione dell’articolo 45, paragrafo 3 o 5, del regolamento (UE) 2016/679 o dell’articolo 36, paragrafo 3 o 5, della direttiva (UE) 2016/680, che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo o un’organizzazione internazionale assicurano o non assicurano più un livello di protezione adeguato.

Articolo 48

Trasferimento soggetto a garanzie adeguate

1.   In mancanza di una decisione ai sensi dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 o dell’articolo 36, paragrafo 3, della direttiva (UE) 2016/680, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

2.   Possono costituire garanzie adeguate di cui al paragrafo 1 senza necessitare di autorizzazioni specifiche da parte del Garante europeo della protezione dei dati:

a)

uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;

b)

le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 96, paragrafo 2;

c)

le clausole tipo di protezione dei dati adottate dal Garante europeo della protezione dei dati e approvate dalla Commissione secondo la procedura d’esame di cui all’articolo 96, paragrafo 2;

d)

qualora il responsabile del trattamento non sia un’istituzione o un organo dell’Unione, le norme vincolanti d’impresa, i codici di condotta o i meccanismi di certificazione ai sensi dell’articolo 46, paragrafo 2, lettere b), e) ed f), del regolamento (UE) 2016/679.

3.   Fatta salva l’autorizzazione del Garante europeo della protezione dei dati, possono altresì costituire in particolare garanzie adeguate di cui al paragrafo 1:

a)

le clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale; oppure

b)

le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.

4.   Le autorizzazioni rilasciate dal Garante europeo della protezione dei dati in base all’articolo 9, paragrafo 7, del regolamento (CE) 45/2001 restano valide fino a quando non sono modificate, sostituite o abrogate, se necessario, dal Garante europeo della protezione dei dati.

5.   Le istituzioni e gli organi dell’Unione informano il Garante europeo della protezione dei dati in merito alle categorie di casi in cui è stato applicato il presente articolo.

Articolo 49

Trasferimento o comunicazione non autorizzati dal diritto dell’Unione

Le sentenze di un’autorità giurisdizionale e le decisioni di un’autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione, ad esempio un trattato di mutua assistenza giudiziaria, fatti salvi gli altri presupposti di trasferimento a norma del presente capo.

Articolo 50

Deroghe in specifiche situazioni

1.   In mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 o dell’articolo 36, paragrafo 3, della direttiva (UE) 2016/680, o di garanzie adeguate ai sensi dell’articolo 48 del presente regolamento, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:

a)

l’interessato ha esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;

b)

il trasferimento è necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;

c)

il trasferimento è necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;

d)

il trasferimento è necessario per importanti motivi di interesse pubblico;

e)

il trasferimento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;

f)

il trasferimento è necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; oppure

g)

il trasferimento è effettuato a partire da un registro che, a norma del diritto dell’Unione, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un interesse legittimo, ma solo purché sussistano i requisiti per la consultazione previsti dal diritto dell’Unione.

2.   Il paragrafo 1, lettere a), b) e c), non si applica alle attività svolte dalle istituzioni e dagli organi dell’Unione nell’esercizio dei pubblici poteri.

3.   L’interesse pubblico di cui al paragrafo 1, lettera d), deve essere riconosciuto dal diritto dell’Unione.

4.   Il trasferimento di cui al paragrafo 1, lettera g), non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro, salvo se autorizzato dal diritto dell’Unione. Se il registro è destinato a essere consultato da persone aventi un interesse legittimo, il trasferimento è ammesso soltanto su richiesta di tali persone o qualora tali persone ne siano i destinatari.

5.   In mancanza di una decisione di adeguatezza, il diritto dell’Unione può, per importanti motivi di interesse pubblico, fissare espressamente limiti al trasferimento di categorie specifiche di dati verso un paese terzo o un’organizzazione internazionale.

6.   Le istituzioni e gli organi dell’Unione informano il Garante europeo della protezione dei dati in merito alle categorie di casi in cui è stato applicato il presente articolo.

Articolo 51

Cooperazione internazionale per la protezione dei dati personali

In relazione ai paesi terzi e alle organizzazioni internazionali, il Garante europeo della protezione dei dati, in cooperazione con la Commissione e il comitato europeo per la protezione dei dati, adotta misure appropriate per:

a)

sviluppare meccanismi di cooperazione internazionale per facilitare l’applicazione efficace della legislazione sulla protezione dei dati personali;

b)

prestare assistenza reciproca a livello internazionale nell’applicazione della legislazione sulla protezione dei dati personali, in particolare mediante notificazione, deferimento dei reclami, assistenza alle indagini e scambio di informazioni, fatte salve garanzie adeguate per la protezione dei dati personali e gli altri diritti e libertà fondamentali;

c)

coinvolgere le parti interessate pertinenti in discussioni e attività dirette a promuovere la cooperazione internazionale nell’applicazione della legislazione sulla protezione dei dati personali;

d)

promuovere lo scambio e la documentazione delle legislazioni e prassi in materia di protezione dei dati personali, compresi i conflitti di giurisdizione con paesi terzi.

CAPO VI

GARANTE EUROPEO DELLA PROTEZIONE DEI DATI

Articolo 52

Garante europeo della protezione dei dati

1.   È istituito il Garante europeo della protezione dei dati.

2.   Il Garante europeo della protezione dei dati ha il compito di garantire il rispetto dei diritti e delle libertà fondamentali delle persone fisiche, segnatamente del diritto alla protezione dei dati, in relazione al trattamento dei dati personali da parte delle istituzioni e degli organi dell’Unione.

3.   Il Garante europeo della protezione dei dati ha il compito di sorvegliare e assicurare l’applicazione del presente regolamento e di qualunque altro atto dell’Unione relativo alla tutela dei diritti e delle libertà fondamentali delle persone fisiche in relazione al trattamento dei dati personali da parte di un’istituzione o di un organo dell’Unione, e di fornire alle istituzioni e agli organi dell’Unione nonché agli interessati pareri su tutte le questioni relative al trattamento dei dati personali. A tal fine esso assolve ai compiti previsti all’articolo 57 ed esercita i poteri attribuitigli dall’articolo 58.

4.   Il regolamento (CE) n. 1049/2001 si applica ai documenti detenuti dal Garante europeo della protezione dei dati. Il Garante europeo della protezione dei dati adotta le modalità di applicazione del regolamento (CE) n. 1049/2001 per quanto riguarda tali documenti.

Articolo 53

Nomina del Garante europeo della protezione dei dati

1.   Il Parlamento europeo e il Consiglio nominano di comune accordo il Garante europeo della protezione dei dati, per un periodo di cinque anni, in base a un elenco predisposto dalla Commissione dopo un invito pubblico a presentare candidature. Tale invito consente a tutte le parti interessate nell’insieme dell’Unione di presentare la propria candidatura. L’elenco di candidati elaborato dalla Commissione è pubblico e include almeno tre candidati. Sulla base dell’elenco elaborato dalla Commissione, la commissione competente del Parlamento europeo può decidere di organizzare un’audizione per poter esprimere una preferenza.

2.   L’elenco di candidati di cui al paragrafo 1 deve essere composto da personalità che offrano ogni garanzia di indipendenza e che possiedano una conoscenza specialistica in materia di protezione dei dati nonché esperienza e competenze per l’esercizio delle funzioni di Garante europeo della protezione dei dati.

3.   Il mandato del Garante europeo della protezione dei dati è rinnovabile una volta.

4.   Le funzioni del Garante europeo della protezione dei dati cessano nei seguenti casi:

a)

se il Garante europeo della protezione dei dati è sostituito;

b)

se il Garante europeo della protezione dei dati si dimette;

c)

se il Garante europeo della protezione dei dati è rimosso o collocato a riposo d’ufficio.

5.   Il Garante europeo della protezione dei dati può essere rimosso o privato del diritto a pensione o di altri vantaggi sostitutivi dalla Corte di giustizia su richiesta del Parlamento europeo, del Consiglio o della Commissione qualora non sia più in possesso dei requisiti necessari all’esercizio delle sue funzioni o abbia commesso una colpa grave.

6.   In caso di normale avvicendamento o di dimissioni volontarie, il Garante europeo della protezione dei dati resta comunque in carica fino all’atto della sua sostituzione.

7.   Gli articoli da 11 a 14 e l’articolo 17 del protocollo sui privilegi e sulle immunità dell’Unione europea si applicano al Garante europeo della protezione dei dati.

Articolo 54

Statuto e condizioni generali di esercizio delle funzioni di Garante europeo della protezione dei dati, risorse umane e finanziarie

1.   Il Garante europeo della protezione dei dati è equiparato a un giudice della Corte di giustizia per quanto riguarda la retribuzione, le indennità, il trattamento di quiescenza e ogni altro compenso sostitutivo.

2.   L’autorità di bilancio provvede a che il Garante europeo della protezione dei dati disponga delle risorse umane e finanziarie necessarie per l’esercizio delle sue funzioni.

3.   Il bilancio assegnato al Garante europeo della protezione dei dati figura su una linea specifica della sezione del bilancio generale dell’Unione relativa alle spese amministrative.

4.   Il Garante europeo della protezione dei dati è assistito da un segretariato. I funzionari e gli altri agenti del segretariato sono nominati dal Garante europeo della protezione dei dati, che è il loro superiore gerarchico. Essi sono tenuti a conformarsi esclusivamente alle sue istruzioni. Il loro numero è stabilito ogni anno nell’ambito della procedura di bilancio. L’articolo 75, paragrafo 2, del regolamento (UE) 2016/679 si applica al personale del Garante europeo della protezione dei dati incaricato di svolgere i compiti attribuiti al comitato europeo per la protezione dei dati in virtù del diritto dell’Unione.

5.   I funzionari e gli altri agenti del segretariato del Garante europeo della protezione dei dati sono soggetti alla normativa relativa ai funzionari e agli altri agenti dell’Unione.

6.   La sede del Garante europeo della protezione dei dati è a Bruxelles.

Articolo 55

Indipendenza

1.   Il Garante europeo della protezione dei dati agisce in piena indipendenza nell’adempimento dei propri compiti e nell’esercizio dei propri poteri conformemente al presente regolamento.

2.   Nell’adempimento dei propri compiti e nell’esercizio dei propri poteri previsti dal presente regolamento, il Garante europeo della protezione dei dati non subisce pressioni esterne, né dirette né indirette, e non sollecita né accetta istruzioni da alcuno.

3.   Per tutta la durata del mandato, il Garante europeo della protezione dei dati si astiene da qualunque azione incompatibile con i suoi doveri e non può esercitare alcuna altra attività professionale, remunerata o meno.

4.   Al termine del mandato, il Garante europeo della protezione dei dati agisce con integrità e discrezione nell’accettazione di nomine e altri benefici.

Articolo 56

Segreto professionale

Durante e dopo il mandato, il Garante europeo della protezione dei dati ed il personale alle sue dipendenze sono tenuti al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso durante l’esercizio delle loro funzioni.

Articolo 57

Compiti

1.   Fatti salvi gli altri compiti indicati nel presente regolamento, il Garante europeo della protezione dei dati:

a)

sorveglia e garantisce l’applicazione del presente regolamento da parte delle istituzioni e degli organi dell’Unione, fatta eccezione per il trattamento di dati personali da parte della Corte di giustizia nell’esercizio delle sue funzioni giurisdizionali;

b)

promuove la consapevolezza e favorisce la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori;

c)

promuove la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal presente regolamento;

d)

su richiesta, fornisce informazioni all’interessato in merito all’esercizio dei propri diritti derivanti dal presente regolamento e, se del caso, coopera a tal fine con le autorità di controllo nazionali;

e)

tratta i reclami proposti da un interessato, o da un organismo, un’organizzazione o un’associazione ai sensi dell’articolo 67, e svolge le indagini opportune sull’oggetto del reclamo e informa il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo;

f)

svolge indagini sull’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità di controllo o da un’altra autorità pubblica;

g)

fornisce, di propria iniziativa o su richiesta, consulenza alle istituzioni e agli organi dell’Unione in merito alle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche in relazione al trattamento dei dati personali;

h)

sorveglia gli sviluppi che presentano un interesse, se e in quanto incidenti sulla protezione dei dati personali, in particolare l’evoluzione delle tecnologie dell’informazione e della comunicazione;

i)

adotta le clausole contrattuali tipo di cui all’articolo 29, paragrafo 8, e all’articolo 48, paragrafo 2, lettera c);

j)

redige e tiene un elenco in relazione al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 39, paragrafo 4;

k)

partecipa alle attività del comitato europeo per la protezione dei dati;

l)

espleta i compiti di segreteria per il comitato europeo per la protezione dei dati, a norma dell’articolo 75 del regolamento (UE) 2016/679;

m)

fornisce consulenza in merito al trattamento di cui all’articolo 40, paragrafo 2;

n)

autorizza le clausole contrattuali e le altre disposizioni di cui all’articolo 48, paragrafo 3;

o)

tiene registri interni delle violazioni del presente regolamento e delle misure adottate in conformità dell’articolo 58, paragrafo 2;

p)

svolge qualsiasi altro compito legato alla protezione dei dati personali; e

q)

adotta il proprio regolamento interno.

2.   Il Garante europeo della protezione dei dati agevola la proposizione di reclami di cui al paragrafo 1, lettera e), tramite un modulo per la proposizione dei reclami compilabile anche elettronicamente, senza escludere altri mezzi di comunicazione.

3.   Il Garante europeo della protezione dei dati svolge i propri compiti senza spese per l’interessato.

4.   Qualora le richieste siano manifestamente infondate o eccessive, in particolare per il carattere ripetitivo, il Garante europeo della protezione dei dati può rifiutarsi di soddisfare la richiesta. Incombe al Garante europeo della protezione dei dati dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

Articolo 58

Poteri

1.   Il Garante europeo della protezione dei dati dispone dei seguenti poteri di indagine:

a)

ingiungere al titolare del trattamento e al responsabile del trattamento di fornirgli ogni informazione di cui necessiti per l’esecuzione dei suoi compiti;

b)

condurre indagini sotto forma di attività di revisione sulla protezione dei dati;

c)

notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del presente regolamento;

d)

ottenere, dal titolare del trattamento o dal responsabile del trattamento, l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esecuzione dei suoi compiti; e

e)

ottenere accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell’Unione.

2.   Il Garante europeo della protezione dei dati dispone dei seguenti poteri correttivi:

a)

rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;

b)

rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;

c)

interpellare il titolare del trattamento o il responsabile del trattamento in questione e, se necessario, il Parlamento europeo, il Consiglio e la Commissione;

d)

ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti che gli derivano dal presente regolamento;

e)

ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;

f)

ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;

g)

imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;

h)

ordinare la rettifica o la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 18, 19 e 20 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell’articolo 19, paragrafo 2, e dell’articolo 21;

i)

infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 66, in caso di inosservanza da parte di un’istituzione o un organo dell’Unione di una delle misure di cui al presente paragrafo, lettere da d) ad h) e lettera j), in funzione delle circostanze di ogni singolo caso;

j)

ordinare la sospensione dei flussi di dati verso un destinatario in uno Stato membro, in un paese terzo o verso un’organizzazione internazionale.

3.   Il Garante europeo della protezione dei dati dispone dei seguenti poteri autorizzativi e consultivi:

a)

fornire consulenza agli interessati in merito all’esercizio dei loro diritti;

b)

fornire consulenza al titolare del trattamento secondo la procedura di consultazione preventiva di cui all’articolo 40 e in conformità dell’articolo 41, paragrafo 2;

c)

rilasciare, di propria iniziativa o su richiesta, pareri alle istituzioni e agli organi dell’Unione e al pubblico su questioni riguardanti la protezione dei dati personali;

d)

adottare le clausole tipo di protezione dei dati di cui all’articolo 29, paragrafo 8, e all’articolo 48, paragrafo 2, lettera c);

e)

autorizzare le clausole contrattuali di cui all’articolo 48, paragrafo 3, lettera a);

f)

autorizzare gli accordi amministrativi di cui all’articolo 48, paragrafo 3, lettera b);

g)

autorizzare trattamenti ai sensi degli atti di esecuzione adottati a norma dell’articolo 40, paragrafo 4.

4.   Il Garante europeo della protezione dei dati ha il potere di adire la Corte di giustizia alle condizioni previste dai trattati e di intervenire nelle cause dinanzi alla Corte di giustizia.

5.   L’esercizio da parte del Garante europeo della protezione dei dati dei poteri attribuitigli dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell’Unione.

Articolo 59

Obbligo dei titolari del trattamento e dei responsabili del trattamento di rispondere ai rilievi

Qualora il Garante europeo della protezione dei dati eserciti i poteri di cui all’articolo 58, paragrafo 2, lettere a), b) e c), il titolare del trattamento o il responsabile del trattamento gli comunica il proprio punto di vista entro un termine ragionevole fissato dal Garante europeo della protezione dei dati, tenendo conto delle circostanze di ciascun caso. Il parere comprende anche una descrizione degli eventuali provvedimenti presi a seguito delle osservazioni del Garante europeo della protezione dei dati.

Articolo 60

Rapporto sulle attività

1.   Il Garante europeo della protezione dei dati presenta al Parlamento europeo, al Consiglio e alla Commissione un rapporto annuale sulla propria attività, rendendolo pubblico allo stesso tempo.

2.   Il Garante europeo della protezione dei dati trasmette il rapporto sulle attività di cui al paragrafo 1 alle altre istituzioni e agli altri organi dell’Unione, che possono formulare osservazioni in vista dell’eventuale discussione dello stesso da parte del Parlamento europeo.

CAPO VII

COOPERAZIONE E COERENZA

Articolo 61

Cooperazione tra il Garante europeo della protezione dei dati e le autorità di controllo nazionali

Il Garante europeo per la protezione dei dati le autorità di controllo nazionali e l’autorità comune di controllo istituita dall’articolo 25 della decisione 2009/917/GAI del Consiglio (19) cooperano nella misura necessaria all’esecuzione delle rispettive funzioni, in particolare fornendosi reciprocamente informazioni pertinenti, chiedendosi reciprocamente di esercitare i rispettivi poteri e rispondendo alle reciproche richieste.

Articolo 62

Controllo coordinato del Garante europeo della protezione dei dati e delle autorità di controllo nazionali

1.   Quando un atto dell’Unione rinvia al presente articolo, il Garante europeo della protezione dei dati e le autorità di controllo nazionali, agendo ciascuno nei limiti delle proprie competenze, cooperano attivamente nell’ambito delle proprie responsabilità per garantire un controllo efficace dei sistemi IT su larga scala e degli organi e degli organismi dell’Unione.

2.   Essi, agendo ciascuno nei limiti delle proprie competenze e nell’ambito delle proprie responsabilità, si scambiano in funzione delle necessità informazioni pertinenti, si forniscono assistenza reciproca nello svolgimento di revisioni e ispezioni, esaminano difficoltà di interpretazione o applicazione del presente regolamento e di altri atti dell’Unione applicabili, studiano problemi inerenti all’esercizio di un controllo indipendente o all’esercizio dei diritti degli interessati, elaborano proposte armonizzate per soluzioni di eventuali problemi e promuovono la sensibilizzazione del pubblico in materia di diritto alla protezione dei dati.

3.   Ai fini di cui al paragrafo 2, il Garante europeo della protezione dei dati e le autorità di controllo nazionali si incontrano almeno due volte all’anno nell’ambito del comitato europeo per la protezione dei dati. A tali fini, il comitato europeo per la protezione dei dati può elaborare ulteriori metodi di lavoro, se necessario.

4.   Ogni due anni il comitato europeo per la protezione dei dati trasmette al Parlamento europeo, al Consiglio e alla Commissione una relazione congiunta sulle attività svolte in materia di controllo coordinato.

CAPO VIII

MEZZI DI RICORSO, RESPONSABILITÀ E SANZIONI

Articolo 63

Diritto di proporre reclamo al Garante europeo della protezione dei dati

1.   Fatto salvo ogni ricorso giurisdizionale, amministrativo o extragiudiziale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo al Garante europeo della protezione dei dati.

2.   Il Garante europeo della protezione dei dati informa il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 64.

3.   Se il Garante europeo della protezione dei dati non tratta il reclamo o non informa l’interessato entro tre mesi dello stato o dell’esito del reclamo, si considera che abbia adottato una decisione negativa.

Articolo 64

Diritto a un ricorso giurisdizionale effettivo

1.   La Corte di giustizia è competente a conoscere delle controversie relative alle disposizioni del presente regolamento, incluse le azioni per risarcimento del danno.

2.   Avverso le decisioni del Garante europeo della protezione dei dati, comprese le decisioni a norma dell’articolo 63, paragrafo 3, può essere proposto ricorso dinanzi alla Corte di giustizia.

3.   La Corte di giustizia ha competenza giurisdizionale anche di merito per le sanzioni amministrative pecuniarie di cui all’articolo 66. Essa può annullare, ridurre o aumentare dette sanzioni entro i limiti dell’articolo 66.

Articolo 65

Diritto al risarcimento

Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dall’istituzione o dall’organo dell’Unione, fatte salve le condizioni previste dai trattati.

Articolo 66

Sanzioni amministrative pecuniarie

1.   Il Garante europeo della protezione dei dati può imporre sanzioni amministrative pecuniarie alle istituzioni e agli organi dell’Unione, a seconda delle circostanze di ciascun caso, qualora un’istituzione o un organo dell’Unione non rispetti un ordine del Garante europeo della protezione dei dati emesso ai sensi dell’articolo 58, paragrafo 2, lettere da d) a h) e j). Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso, si tiene debito conto dei seguenti elementi:

a)

la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi e il livello del danno da essi subito;

b)

le misure adottate dall’istituzione o dall’organo dell’Unione per attenuare il danno subito dagli interessati;

c)

il grado di responsabilità dell’istituzione o dell’organo dell’Unione tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 27 e 33;

d)

eventuali precedenti violazioni analoghe commesse dall’istituzione o dall’organo dell’Unione;

e)

il grado di cooperazione con il Garante europeo della protezione dei dati al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

f)

le categorie di dati personali interessate dalla violazione;

g)

la maniera in cui il Garante europeo della protezione dei dati ha preso conoscenza della violazione, in particolare se e in che misura l’istituzione o l’organo dell’Unione ha notificato la violazione;

h)

il rispetto di qualsiasi provvedimento di cui all’articolo 58 precedentemente disposto nei confronti dell’istituzione o dell’organo dell’Unione in questione relativamente allo stesso oggetto. Il procedimento che porta all’imposizione di tali sanzioni pecuniarie si svolge in tempi ragionevoli in funzione delle circostanze del caso e tenendo conto delle pertinenti azioni e procedimenti di cui all’articolo 69.

2.   Le violazioni degli obblighi che incombono alle istituzioni o agli organi dell’Unione a norma degli articoli 8, 12, da 27 a 35, 39, 40, 43, 44 e 45 sono soggette, conformemente al paragrafo 1 del presente articolo, a sanzioni amministrative pecuniarie fino a 25 000 EUR per violazione e fino a un massimo di 250 000 EUR all’anno.

3.   Le violazioni delle seguenti disposizioni da parte delle istituzioni o degli organi dell’Unione sono soggette, conformemente al paragrafo 1, a sanzioni amministrative pecuniarie fino a 50 000 EUR per violazione e fino a un massimo di 500 000 EUR all’anno:

a)

i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 4, 5, 7 e 10;

b)

i diritti degli interessati a norma degli articoli da 14 a 24;

c)

i trasferimenti di dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale a norma degli articoli da 46 a 50.

4.   Se, in relazione allo stesso trattamento o a trattamenti collegati o continui, un’istituzione o un organo dell’Unione viola varie disposizioni del presente regolamento o ripetutamente la stessa disposizione del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.

5.   Prima di adottare qualsiasi decisione prevista dal presente articolo, il Garante europeo della protezione dei dati dà modo all’istituzione o all’organo dell’Unione oggetto del procedimento avviato dal Garante europeo della protezione dei dati di essere sentiti relativamente agli addebiti che muove loro. Il Garante europeo della protezione dei dati basa le sue decisioni solo sugli addebiti in merito ai quali le parti interessate sono state poste in condizione di esprimersi. I reclamanti sono strettamente associati al procedimento.

6.   Nel corso del procedimento sono pienamente garantiti i diritti di difesa delle parti interessate. Esse hanno diritto d’accesso al fascicolo del Garante europeo della protezione dei dati, fermo restando l’interesse legittimo delle persone fisiche o delle imprese alla tutela dei propri dati personali o segreti aziendali.

7.   I fondi raccolti mediante l’imposizione di sanzioni pecuniarie in forza del presente articolo entrano nel bilancio generale dell’Unione.

Articolo 67

Rappresentanza degli interessati

L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro che siano debitamente costituiti secondo il diritto dell’Unione o di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati in relazione alla protezione dei dati personali di proporre il reclamo al Garante europeo della protezione dei dati per suo conto e di esercitare per suo conto i diritti di cui agli articoli 63 e 64 nonché il diritto di ottenere il risarcimento di cui all’articolo 65.

Articolo 68

Reclami del personale dell’Unione

Qualsiasi persona alle dipendenze di un’istituzione o di un organo dell’Unione può proporre un reclamo al Garante europeo della protezione dei dati anche senza seguire la via gerarchica per un’asserita violazione delle norme del presente regolamento. Nessun pregiudizio può derivare ad alcuno per il fatto di aver presentato al Garante europeo della protezione dei dati un reclamo relativo a un’asserita violazione.

Articolo 69

Sanzioni

Il funzionario o altro agente dell’Unione che, volontariamente o per negligenza, non assolva agli obblighi previsti dal presente regolamento è passibile di provvedimenti disciplinari o di altro tipo, secondo le norme e le procedure previste dallo statuto.

CAPO IX

TRATTAMENTO DEI DATI PERSONALI OPERATIVI DA PARTE DEGLI ORGANI E DEGLI ORGANISMI DELL’UNIONE NELL’ESERCIZIO DI ATTIVITÀ RIENTRANTI NELL’AMBITO DI APPLICAZIONE DELLA PARTE TERZA, TITOLO V, CAPO 4 O CAPO 5, TFUE

Articolo 70

Ambito di applicazione del presente capo

Il presente capo si applica solo al trattamento dei dati personali operativi da parte di organi e organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE, fatte salve le norme specifiche in materia di protezione dei dati applicabili a tali organi o organismi dell’Unione.

Articolo 71

Principi applicabili al trattamento dei dati personali operativi

1.   I dati personali operativi sono:

a)

trattati in modo lecito e corretto («liceità e correttezza»);

b)

raccolti per finalità determinate, esplicite e legittime e trattati in modo non incompatibile con tali finalità («limitazione della finalità»);

c)

adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d)

esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati personali operativi inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e)

conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione»);

f)

trattati in modo da garantire un’adeguata sicurezza dei dati personali operativi, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

2.   Il trattamento da parte dello stesso o di un altro titolare del trattamento per una qualsiasi delle finalità stabilite nell’atto giuridico istitutivo dell’istituzione, dell’organo o dell’organismo dell’Unione diversa da quella per cui sono raccolti i dati personali operativi è consentito nella misura in cui:

a)

il titolare del trattamento è autorizzato a trattare tali dati personali operativi per detta finalità conformemente al diritto dell’Unione; e

b)

il trattamento è necessario e proporzionato a tale altra finalità conformemente al diritto dell’Unione.

3.   Il trattamento da parte dello stesso o di un altro titolare del trattamento può comprendere l’archiviazione nel pubblico interesse, l’utilizzo scientifico, storico o statistico per le finalità stabilite nell’atto giuridico istitutivo dell’organo o dell’organismo dell’Unione, fatte salve le garanzie adeguate per i diritti e le libertà degli interessati.

4.   Il titolare del trattamento è competente per il rispetto dei paragrafi 1, 2 e 3 e in grado di comprovarlo.

Articolo 72

Liceità del trattamento dei dati personali operativi

1.   Il trattamento dei dati personali operativi è lecito solo se e nella misura in cui è necessario per l’esecuzione di un compito da parte degli organi e degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE ed è basato sul diritto dell’Unione.

2.   Specifici atti giuridici dell’Unione che disciplinano il trattamento rientrante nell’ambito di applicazione del presente capo definiscono quantomeno gli obiettivi del trattamento, i dati personali operativi da trattare, le finalità del trattamento e il termine per la conservazione dei dati personali operativi o per un esame periodico della necessità dell’ulteriore conservazione dei dati personali operativi.

Articolo 73

Distinzione tra diverse categorie di interessati

Il titolare del trattamento, se del caso e nella misura del possibile, opera una chiara distinzione tra i dati personali operativi delle diverse categorie di interessati, quali le categorie elencate negli atti giuridici istitutivi degli organi e degli organismi dell’Unione.

Articolo 74

Distinzione tra i dati personali operativi e verifica della qualità dei dati personali operativi

1.   Il titolare del trattamento differenzia, nella misura del possibile, i dati personali operativi fondati su fatti da quelli fondati su valutazioni personali.

2.   Il titolare del trattamento prende tutte le misure ragionevoli per garantire che i dati personali operativi inesatti, incompleti o non più aggiornati non siano trasmessi o resi disponibili. A tal fine, il titolare del trattamento verifica, per quanto possibile e ove pertinente, la qualità dei dati personali operativi prima che questi siano trasmessi o resi disponibili, ad esempio consultando l’autorità competente da cui provengono i dati. Per quanto possibile, il titolare del trattamento correda tutte le trasmissioni di dati personali operativi delle informazioni necessarie che consentono al destinatario di valutare il grado di esattezza, completezza e affidabilità dei dati personali operativi, e la misura in cui essi sono aggiornati.

3.   Qualora risulti che sono stati trasmessi dati personali operativi inesatti o che sono stati trasmessi dati personali operativi illecitamente, il destinatario ne è informato quanto prima. In tal caso, i dati personali operativi interessati sono rettificati o cancellati o ne è limitato il trattamento a norma dell’articolo 82.

Articolo 75

Condizioni di trattamento specifiche

1.   Se il diritto dell’Unione applicabile al titolare del trattamento che trasmette i dati prevede condizioni di trattamento specifiche, il titolare del trattamento informa il destinatario dei dati personali operativi di tali condizioni e dell’obbligo di rispettarle.

2.   Il titolare del trattamento rispetta le condizioni di trattamento specifiche previste dall’autorità competente che trasmette i dati, in conformità dell’articolo 9, paragrafi 3 e 4, della direttiva (UE) 2016/680.

Articolo 76

Trattamento di categorie particolari di dati personali operativi

1.   Il trattamento di dati personali operativi che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, e il trattamento di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica o di dati personali operativi relativi alla salute o alla vita sessuale o orientamento sessuale della persona fisica è autorizzato solo se strettamente necessario a fini operativi, nell’ambito del mandato dell’organo o dell’organismo dell’Unione interessato e se soggetto a garanzie adeguate per i diritti e le libertà dell’interessato. È vietata la discriminazione delle persone fisiche sulla base di tali dati personali.

2.   Il responsabile della protezione dei dati è informato senza indebito ritardo del ricorso al presente articolo.

Articolo 77

Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

1.   Una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici negativi o incida significativamente sull’interessato è vietata salvo che sia autorizzata dal diritto dell’Unione cui è soggetto il titolare del trattamento e che preveda garanzie adeguate per i diritti e le libertà dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento.

2.   Le decisioni di cui al paragrafo 1 del presente articolo non si basano sulle categorie particolari di dati personali di cui all’articolo 76, a meno che non siano in vigore misure adeguate a salvaguardia dei diritti, delle libertà e degli interessi legittimi dell’interessato.

3.   La profilazione che porta alla discriminazione di persone fisiche sulla base di categorie particolari di dati personali di cui all’articolo 76 è vietata, conformemente al diritto dell’Unione.

Articolo 78

Comunicazioni e modalità per l’esercizio dei diritti dell’interessato

1.   Il titolare del trattamento adotta misure ragionevoli per fornire all’interessato tutte le informazioni di cui all’articolo 79 ed effettua le comunicazioni con riferimento agli articoli da 80 a 84 e 92 relative al trattamento, in forma concisa, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite con qualsiasi mezzo adeguato, anche per via elettronica. Come regola generale il titolare del trattamento fornisce le informazioni nella stessa forma della richiesta.

2.   Il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 79 a 84.

3.   Senza indebito ritardo e in ogni caso al più tardi entro tre mesi dal ricevimento della richiesta dell’interessato, il titolare del trattamento informa quest’ultimo per iscritto in merito al seguito dato alla sua richiesta.

4.   Il titolare del trattamento dispone che le informazioni fornite ai sensi dell’articolo 79 ed eventuali comunicazioni effettuate o azioni intraprese ai sensi degli articoli da 80 a 84 e 92 siano gratuite. Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può rifiutare di soddisfare la richiesta. Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

5.   Qualora il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che presenta una richiesta di cui agli articoli 80 o 82, può richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato.

Articolo 79

Informazioni da rendere disponibili o da fornire all’interessato

1.   Il titolare del trattamento mette a disposizione dell’interessato almeno le informazioni seguenti:

a)

l’identità e i dati di contatto dell’organo o dell’organismo dell’Unione;

b)

i dati di contatto del responsabile della protezione dei dati;

c)

le finalità del trattamento cui sono destinati i dati personali operativi;

d)

il diritto di proporre reclamo al Garante europeo della protezione dei dati e i suoi dati di contatto;

e)

l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali operativi e la loro rettifica o cancellazione e la limitazione del trattamento dei dati personali operativi che lo riguardano.

2.   In aggiunta alle informazioni di cui al paragrafo 1, il titolare del trattamento fornisce all’interessato, in casi specifici previsti dal diritto dell’Unione, le seguenti ulteriori informazioni per consentire l’esercizio dei diritti dell’interessato:

a)

la base giuridica per il trattamento;

b)

il periodo di conservazione dei dati personali operativi oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

c)

se del caso, le categorie di destinatari dei dati personali operativi, anche in paesi terzi o in seno a organizzazioni internazionali;

d)

se necessario, ulteriori informazioni, in particolare nel caso in cui i dati personali operativi siano raccolti all’insaputa dell’interessato.

3.   Il titolare del trattamento può ritardare, limitare o escludere la comunicazione di informazioni all’interessato ai sensi del paragrafo 2 nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e degli interessi legittimi della persona fisica interessata, al fine di:

a)

non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

b)

non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali;

c)

proteggere la sicurezza pubblica degli Stati membri;

d)

proteggere la sicurezza nazionale degli Stati membri;

e)

proteggere i diritti e le libertà di altri, inclusi le vittime e i testimoni.

Articolo 80

Diritto di accesso dell’interessato

L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali operativi che lo riguardano e, in tal caso, ha il diritto di ottenere l’accesso ai dati personali operativi e alle informazioni seguenti:

a)

le finalità e la base giuridica del trattamento;

b)

le categorie di dati personali operativi in questione;

c)

i destinatari o le categorie di destinatari a cui i dati personali operativi sono stati comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d)

quando possibile, il periodo di conservazione dei dati personali operativi previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e)

l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o cancellazione dei dati personali operativi o la limitazione del trattamento dei dati personali operativi che lo riguardano;

f)

il diritto di proporre reclamo al Garante europeo della protezione dei dati e i suoi dati di contatto;

g)

la comunicazione dei dati personali operativi oggetto del trattamento e di tutte le informazioni disponibili sulla loro origine.

Articolo 81

Limitazioni del diritto di accesso

1.   Il titolare del trattamento può limitare, in tutto o in parte, il diritto di accesso dell’interessato nella misura e per il tempo in cui tale limitazione totale o parziale costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e degli interessi legittimi della persona fisica interessata, al fine di:

a)

non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

b)

non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali;

c)

proteggere la sicurezza pubblica degli Stati membri;

d)

proteggere la sicurezza nazionale degli Stati membri;

e)

proteggere i diritti e le libertà di altri, inclusi le vittime e i testimoni.

2.   Nei casi di cui al paragrafo 1, il titolare del trattamento informa l’interessato, senza indebito ritardo e per iscritto, di ogni rifiuto o limitazione dell’accesso e dei motivi del rifiuto o della limitazione. Detta comunicazione può essere omessa qualora il suo rilascio rischi di compromettere una delle finalità di cui al paragrafo 1. Il titolare del trattamento informa l’interessato della possibilità di proporre reclamo al Garante europeo della protezione dei dati o di proporre ricorso giurisdizionale dinanzi alla Corte di giustizia. Il titolare del trattamento documenta i motivi di fatto o di diritto su cui si basa la decisione. Tali informazioni sono messe a disposizione del Garante europeo della protezione dei dati su richiesta.

Articolo 82

Diritto di rettifica o cancellazione di dati personali operativi e limitazione di trattamento

1.   L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali operativi inesatti che lo riguardano senza indebito ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali operativi incompleti, anche fornendo una dichiarazione integrativa.

2.   Il titolare del trattamento cancella senza indebito ritardo i dati personali operativi e l’interessato ha il diritto di ottenere dal titolare del trattamento, senza indebito ritardo, la cancellazione dei dati personali operativi che lo riguardano qualora il trattamento violi l’articolo 71, l’articolo 72, paragrafo 1, o l’articolo 76 oppure qualora i dati personali operativi debbano essere cancellati per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.

3.   Anziché cancellare, il titolare del trattamento limita il trattamento quando:

a)

l’esattezza dei dati personali è contestata dall’interessato e la loro esattezza o inesattezza non può essere accertata; oppure

b)

i dati personali devono essere conservati a fini probatori.

Quando il trattamento è limitato a norma del primo comma, lettera a), il titolare del trattamento informa l’interessato prima di revocare la limitazione del trattamento.

I dati ai quali l’accesso è limitato sono trattati per la sola finalità che ne ha impedito la cancellazione.

4.   Il titolare del trattamento informa per iscritto l’interessato dell’eventuale rifiuto di rettifica o cancellazione dei dati personali operativi o limitazione del trattamento e dei motivi del rifiuto. Il titolare del trattamento può limitare, in tutto o in parte, il rilascio di tali informazioni nella misura in cui tale limitazione costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e degli interessi legittimi della persona fisica interessata, al fine di:

a)

non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

b)

non compromettere la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali;

c)

proteggere la sicurezza pubblica degli Stati membri;

d)

proteggere la sicurezza nazionale degli Stati membri;

e)

proteggere i diritti e le libertà di altri, inclusi le vittime e i testimoni.

Il titolare del trattamento informa l’interessato della possibilità di proporre reclamo al Garante europeo della protezione dei dati e di proporre ricorso giurisdizionale dinanzi alla Corte di giustizia.

5.   Il titolare del trattamento comunica le rettifiche dei dati personali operativi inesatti all’autorità competente da cui i dati personali operativi inesatti provengono.

6.   Il titolare del trattamento, qualora i dati personali operativi siano stati rettificati o cancellati o il trattamento sia stato limitato a norma dei paragrafi 1, 2 o 3, ne informa i destinatari, comunicando loro che devono rettificare o cancellare i dati personali operativi o limitare il trattamento dei dati personali operativi sotto la propria responsabilità.

Articolo 83

Diritto di accesso nel corso di indagini e procedimenti penali

Quando i dati personali operativi provengono da un’autorità competente, gli organi e gli organismi dell’Unione verificano con l’autorità competente interessata, prima di decidere sul diritto di accesso di un interessato, se tali dati personali figurano in una decisione giudiziaria, in un casellario o in un fascicolo giudiziario oggetto di trattamento nel corso di un’indagine e di un procedimento penale nello Stato membro dell’autorità competente in questione. In caso affermativo, la decisione sul diritto di accesso è adottata in consultazione e in stretta cooperazione con l’autorità competente in questione.

Articolo 84

Esercizio dei diritti da parte dell’interessato e verifica da parte del Garante europeo della protezione dei dati

1.   Nei casi di cui all’articolo 79, paragrafo 3, all’articolo 81 e all’articolo 82, paragrafo 4, i diritti dell’interessato possono essere esercitati anche tramite il Garante europeo della protezione dei dati.

2.   Il titolare del trattamento informa l’interessato della possibilità di esercitare i suoi diritti tramite il Garante europeo della protezione dei dati ai sensi del paragrafo 1.

3.   Qualora sia esercitato il diritto di cui al paragrafo 1, il Garante europeo della protezione dei dati informa l’interessato, perlomeno, di aver eseguito tutte le verifiche necessarie o un riesame. Il Garante europeo della protezione dei dati informa inoltre l’interessato del diritto di quest’ultimo di proporre ricorso giurisdizionale dinanzi alla Corte di giustizia.

Articolo 85

Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

1.   Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e del suo atto giuridico istitutivo e tutelare i diritti degli interessati.

2.   Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali operativi adeguati, pertinenti e non eccedenti rispetto alle finalità per i quali sono trattati. Tale obbligo vale per la quantità dei dati personali operativi raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali operativi a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

Articolo 86

Contitolari del trattamento

1.   Allorché due o più titolari del trattamento o uno o più titolari del trattamento insieme a uno o più uno o più titolari del trattamento diversi dalle istituzioni e dagli organi dell’Unione determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi di protezione dei dati, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui all’articolo 79, a meno che e nella misura in cui le rispettive responsabilità dei contitolari siano determinate dal diritto dell’Unione o dello Stato membro cui i contitolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.

2.   L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con l’interessato. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.

3.   Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

Articolo 87

Responsabile del trattamento

1.   Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e dell’atto giuridico istitutivo del titolare del trattamento e garantisca la tutela dei diritti dell’interessato.

2.   Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3.   I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o del diritto degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali operativi e le categorie di interessati, nonché gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a)

agisca soltanto su istruzione del titolare del trattamento;

b)

garantisca che le persone autorizzate al trattamento dei dati personali operativi si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c)

assista il titolare del trattamento con ogni mezzo adeguato per garantire la conformità con le disposizioni relative ai diritti dell’interessato;

d)

su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali operativi dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o il diritto degli Stati membri preveda la conservazione dei dati personali operativi;

e)

metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo;

f)

soddisfi le condizioni di cui al paragrafo 2 e al presente paragrafo per ricorrere a un altro responsabile del trattamento.

4.   Il contratto o altro atto giuridico di cui al paragrafo 3 è stipulato in forma scritta, anche in formato elettronico.

5.   Se un responsabile del trattamento viola il presente regolamento o l’atto giuridico istitutivo del titolare del trattamento determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento relativamente al trattamento in questione.

Articolo 88

Registrazione

1.   Il titolare del trattamento registra in sistemi di trattamento automatizzato qualsiasi delle seguenti operazioni di trattamento: raccolta, modifica, accesso, consultazione, comunicazione, inclusi i trasferimenti, interconnessione e cancellazione di dati personali operativi. Le registrazioni delle consultazioni e delle comunicazioni consentono di stabilire la motivazione, la data e l’ora di tali operazioni, di identificare la persona che ha consultato o comunicato i dati personali operativi, nonché, nella misura del possibile, di stabilire l’identità dei destinatari di tali dati personali operativi.

2.   Le registrazioni sono usate ai soli fini della verifica della liceità del trattamento, dell’autocontrollo, per garantire l’integrità e la sicurezza dei dati personali operativi e nell’ambito di procedimenti penali. Le registrazioni sono cancellate dopo tre anni, salvo se sono necessarie per un controllo in corso.

3.   Su richiesta, il titolare del trattamento mette le registrazioni a disposizione del suo responsabile della protezione dei dati e del Garante europeo della protezione dei dati.

Articolo 89

Valutazione d’impatto sulla protezione dei dati

1.   Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali operativi.

2.   La valutazione di cui al paragrafo 1 contiene almeno una descrizione generale dei trattamenti previsti, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare tali rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali operativi e dimostrare la conformità alle norme in materia di protezione dei dati, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Articolo 90

Consultazione preventiva del Garante europeo della protezione dei dati

1.   Il titolare del trattamento consulta il Garante europeo della protezione dei dati prima del trattamento di dati personali che figureranno in un nuovo archivio di prossima creazione se:

a)

una valutazione d’impatto sulla protezione dei dati a norma dell’articolo 89 indica che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio; oppure

b)

il tipo di trattamento, in particolare se utilizza tecnologie, procedure o meccanismi nuovi, presenta un rischio elevato per i diritti e le libertà degli interessati.

2.   Il Garante europeo della protezione dei dati può stabilire un elenco di trattamenti soggetti a consultazione preventiva ai sensi del paragrafo 1.

3.   Il titolare del trattamento trasmette al Garante europeo della protezione dei dati la valutazione d’impatto sulla protezione dei dati di cui all’articolo 89 e, su richiesta, ogni altra informazione, al fine di consentire al Garante europeo della protezione dei dati di effettuare una valutazione della conformità del trattamento, in particolare dei rischi per la protezione dei dati personali operativi dell’interessato e delle relative garanzie.

4.   Se ritiene che il trattamento previsto di cui al paragrafo 1 violi il presente regolamento o l’atto giuridico istitutivo dell’organo o dell’organsimo dell’Unione, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, il Garante europeo della protezione dei dati fornisce un parere scritto al titolare del trattamento entro un termine di sei settimane dal ricevimento della richiesta di consultazione. Tale periodo può essere prorogato di un mese, tenendo conto della complessità del trattamento previsto. Il Garante europeo della protezione dei dati informa il titolare del trattamento di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta di consultazione.

Articolo 91

Sicurezza del trattamento dei dati personali operativi

1.   Il titolare del trattamento e il responsabile del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato ai rischi, in particolare riguardo al trattamento di categorie particolari di dati personali operativi.

2.   In relazione al trattamento automatizzato, titolare del trattamento e il responsabile del trattamento, previa valutazione dei rischi, mettono in atto misure volte a:

a)

vietare alle persone non autorizzate l’accesso alle attrezzature di trattamento dei dati utilizzate per il trattamento («controllo dell’accesso alle attrezzature»);

b)

impedire che i supporti di dati siano letti, copiati, modificati o rimossi senza autorizzazione («controllo dei supporti di dati»);

c)

impedire che dati personali operativi conservati siano introdotti, consultati, modificati o cancellati senza autorizzazione («controllo della conservazione»);

d)

impedire che persone non autorizzate utilizzino sistemi di trattamento automatizzato mediante attrezzature per la trasmissione di dati («controllo dell’utente»);

e)

garantire che le persone autorizzate a usare un sistema di trattamento automatizzato abbiano accesso solo ai dati personali operativi cui si riferisce la loro autorizzazione d’accesso («controllo dell’accesso ai dati»);

f)

garantire la possibilità di verificare e accertare gli organi ai quali siano stati o possano essere trasmessi o resi disponibili i dati personali operativi utilizzando la trasmissione di dati («controllo della trasmissione»);

g)

garantire la possibilità di verificare e accertare a posteriori quali dati personali operativi sono stati introdotti nei sistemi di trattamento automatizzato dei dati personali operativi, il momento dell’introduzione e la persona che l’ha effettuata («controllo dell’introduzione»);

h)

impedire che i dati personali possano essere letti, copiati, modificati o cancellati in modo non autorizzato durante i trasferimenti di dati personali operativi o il trasporto di supporti di dati («controllo del trasporto»);

i)

garantire che, in caso di interruzione, i sistemi utilizzati possano essere ripristinati («recupero»);

j)

garantire che le funzioni del sistema siano operative, che eventuali errori di funzionamento siano segnalati («affidabilità») e che i dati personali operativi conservati non possano essere falsati da un errore di funzionamento del sistema («integrità»).

Articolo 92

Notifica di una violazione dei dati personali al Garante europeo della protezione dei dati

1.   In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione al Garante europeo della protezione dei dati senza indebito ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica al Garante europeo della protezione dei dati non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

2.   La notifica di cui al paragrafo 1 deve almeno:

a)

descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali operativi in questione;

b)

comunicare il nome e i dati di contatto del responsabile della protezione dei dati;

c)

descrivere le probabili conseguenze della violazione dei dati personali;

d)

descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

3.   Qualora e nella misura in cui non sia possibile fornire le informazioni di cui al paragrafo 2 contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

4.   Il titolare del trattamento documenta qualsiasi violazione dei dati personali di cui al paragrafo 1, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione deve consentire al Garante europeo della protezione dei dati di verificare il rispetto del presente articolo.

5.   Se la violazione dei dati personali riguarda dati personali operativi che sono stati trasmessi dalle o alle autorità competenti, il titolare del trattamento comunica senza indebito ritardo le informazioni di cui al paragrafo 2 alle autorità competenti in questione.

Articolo 93

Comunicazione di una violazione dei dati personali all’interessato

1.   Qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza indebito ritardo.

2.   La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le raccomandazioni di cui all’articolo 92, paragrafo 2, lettere b), c) e d).

3.   Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

a)

il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali operativi oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b)

il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;

c)

detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

4.   Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, il Garante europeo della protezione dei dati, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, può richiedere che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.

5.   La comunicazione all’interessato di cui al paragrafo 1 del presente articolo può essere ritardata, limitata od omessa alle condizioni e per i motivi di cui all’articolo 79, paragrafo 3.

Articolo 94

Trasferimento dei dati personali operativi a paesi terzi e a organizzazioni internazionali

1.   Fatte salve le limitazioni e le condizioni stabilite negli atti giuridici istitutivi dell’organo o dell’organismo dell’Unione, il titolare del trattamento può trasferire i dati personali operativi a un’autorità di un paese terzo o a un’organizzazione internazionale nella misura in cui tale trasferimento è necessario per lo svolgimento delle attività del titolare del trattamento e soltanto se sono soddisfatte le condizioni di cui al presente articolo, vale a dire:

a)

la Commissione ha adottato una decisione di adeguatezza ai sensi dell’articolo 36, paragrafo 3, della direttiva (UE) 2016/680, che sancisca che il paese terzo o un territorio o un settore di trattamento all’interno di tale paese terzo o l’organizzazione internazionale in questione garantisce un livello di protezione adeguato;

b)

in assenza di una decisione di adeguatezza della Commissione a norma della lettera a), è stato concluso un accordo internazionale tra l’Unione e tale paese terzo o organizzazione internazionale ai sensi dell’articolo 218 TFUE, che presti garanzie sufficienti con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone;

c)

in assenza di una decisione di adeguatezza della Commissione a norma della lettera a) o di un accordo internazionale di cui alla lettera b), tra l’organo o l’organismo dell’Unione e il paese terzo in questione è stato concluso, prima della data di applicazione dell’atto giuridico istitutivo dell’organo o dell’organismo dell’Unione interessato, un accordo di cooperazione che consenta lo scambio di dati personali operativi.

2.   Gli atti giuridici istitutivi degli organi e degli organismi dell’Unione possono mantenere o introdurre disposizioni più specifiche riguardo alle condizioni per i trasferimenti internazionali di dati personali operativi, in particolare per quanto concerne il trasferimento in presenza di garanzie adeguate e le deroghe per situazioni specifiche.

3.   Il titolare del trattamento pubblica sul proprio sito web e tiene aggiornato un elenco delle decisioni di adeguatezza di cui al paragrafo 1, lettera a), degli accordi, delle intese amministrative e degli altri strumenti riguardanti il trasferimento di dati personali operativi ai sensi del paragrafo 1.

4.   Il titolare del trattamento provvede affinché siano registrati dettagliatamente tutti i trasferimenti effettuati a norma del presente articolo.

Articolo 95

Segretezza delle indagini e dei procedimenti penali

Gli atti giuridici istitutivi degli organi o degli organismi dell’Unione che svolgono attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE possono prescrivere che il Garante europeo della protezione dei dati tenga nella massima considerazione, nell’esercizio dei suoi poteri di vigilanza, la segretezza delle indagini e dei procedimenti penali, in conformità del diritto dell’Unione o degli Stati membri.

CAPO X

ATTI DI ESECUZIONE

Articolo 96

Procedura di comitato

1.   La Commissione è assistita dal comitato istituito dall’articolo 93 del regolamento (UE) 2016/679. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.   Nei casi in cui è fatto riferimento al presente paragrafo, si applica l’articolo 5 del regolamento (UE) n. 182/2011.

CAPO XI

RIESAME

Articolo 97

Clausola di riesame

Non oltre il 30 aprile 2022, e successivamente ogni cinque anni, la Commissione presenta al Parlamento europeo e al Consiglio una relazione sull’applicazione del presente regolamento, corredata, se necessario, di proposte legislative adeguate.

Articolo 98

Riesame degli atti giuridici dell’Unione

1.   Entro il 30 aprile 2022 la Commissione riesamina gli atti giuridici adottati a norma dei trattati che disciplinano il trattamento dei dati personali operativi da parte degli organi o degli organismi dell’Unione nell’esercizio di attività rientranti nell’ambito di applicazione della parte terza, titolo V, capo 4 o capo 5, TFUE al fine di:

a)

valutarne la coerenza con la direttiva (UE) 2016/680 e con il capo IX del presente regolamento;

b)

individuare disparità che possano ostacolare lo scambio di dati personali operativi tra gli organi o gli organismi dell’Unione nell’esercizio di attività in tali ambiti e le autorità competenti; e

c)

individuare divergenze che possano dare luogo a una frammentazione giuridica della legislazione in materia di protezione dei dati nell’Unione.

2.   Sulla base del riesame, allo scopo di garantire una protezione uniforme e coerente delle persone fisiche in relazione al trattamento, la Commissione può presentare a Europol e alla Procura europea adeguate proposte legislative, in particolare ai fini dell’applicazione del capo IX del presente regolamento, inclusi, se del caso, adeguamenti del capo IX del presente regolamento.

CAPO XII

DISPOSIZIONI FINALI

Articolo 99

Abrogazione del regolamento (CE) n. 45/2001 e della decisione n. 1247/2002/CE

Il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE sono abrogati a decorrere dall’11 dicembre 2018. I riferimenti al regolamento e alla decisione abrogati si intendono fatti al presente regolamento.

Articolo 100

Misure transitorie

1.   Il presente regolamento non incide sulla decisione 2014/886/UE del Parlamento europeo e del Consiglio (20) e sugli attuali mandati del Garante europeo della protezione dei dati e del garante aggiunto.

2.   Il garante aggiunto è equiparato al cancelliere della Corte di giustizia per quanto riguarda la retribuzione, le indennità, il trattamento di quiescenza e ogni altro compenso sostitutivo.

3.   L’articolo 53, paragrafi 4, 5 e 7, e gli articoli 55 e 56 del presente regolamento si applicano all’attuale garante aggiunto fino al termine del suo mandato.

4.   Il garante aggiunto assiste il Garante europeo della protezione dei dati nell’espletamento di tutte le sue funzioni e lo sostituisce quando quest’ultimo è assente o impossibilitato a svolgere le sue funzioni fino alla fine dell’attuale mandato del garante aggiunto.

Articolo 101

Entrata in vigore e applicazione

1.   Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

2.   Tuttavia il presente regolamento si applica al trattamento dei dati personali da parte di Eurojust a partire dal 12 dicembre 2019.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Strasburgo, il 23 ottobre 2018.

Per il Parlamento europeo

Il presidente

A. TAJANI

Per il Consiglio

Il president

K. EDTSTADLER


(1)  GU C 288 del 31.8.2017, pag. 107.

(2)  Posizione del Parlamento europeo del 13 settembre 2018 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio dell’11 ottobre 2018.

(3)  Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

(4)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(5)  Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

(6)  Direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori (GU L 95 del 21.4.1993, pag. 29).

(7)  Regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo alle statistiche comunitarie in materia di sanità pubblica e di salute e sicurezza sul luogo di lavoro (GU L 354 del 31.12.2008, pag. 70).

(8)  Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

(9)  Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all’accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).

(10)  GU L 56 del 4.3.1968, pag. 1.

(11)  Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

(12)  Regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio, dell’11 marzo 2009, relativo alle statistiche europee e che abroga il regolamento (CE, Euratom) n. 1101/2008 del Parlamento europeo e del Consiglio, relativo alla trasmissione all’Istituto statistico delle Comunità europee di dati statistici protetti dal segreto, il regolamento (CE) n. 322/97 del Consiglio, relativo alle statistiche comunitarie, e la decisione 89/382/CEE, Euratom del Consiglio, che istituisce un comitato del programma statistico delle Comunità europee (GU L 87 del 31.3.2009, pag. 164).

(13)  Decisione n. 1247/2002/CE del Parlamento europeo, del Consiglio e della Commissione, del 1o luglio 2002, relativa allo statuto e alle condizioni generali d’esercizio delle funzioni di Garante europeo della protezione dei dati (GU L 183 del 12.7.2002, pag. 1).

(14)  GU C 164 del 24.5.2017, pag. 2.

(15)  Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell’11 maggio 2016, che istituisce l’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI (GU L 135 del 24.5.2016, pag. 53).

(16)  Regolamento (UE) 2017/1939 del Consiglio, del 12 ottobre 2017, relativo all’attuazione di una cooperazione rafforzata sull’istituzione della Procura europea («EPPO») (GU L 283 del 31.10.2017, pag. 1).

(17)  Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015, che prevede una procedura d’informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione (GU L 241 del 17.9.2015, pag. 1).

(18)  Direttiva 2008/63/CE della Commissione, del 20 giugno 2008, relativa alla concorrenza sui mercati delle apparecchiature terminali di telecomunicazioni (GU L 162 del 21.6.2008, pag. 20).

(19)  Decisione 2009/917/GAI del Consiglio, del 30 novembre 2009, sull’uso dell’informatica nel settore doganale (GU L 323 del 10.12.2009, pag. 20).

(20)  Decisione 2014/886/UE del Parlamento europeo e del Consiglio, del 4 dicembre 2014, relativa alla nomina del garante europeo della protezione dei dati e del garante aggiunto (GU L 351 del 9.12.2014, pag. 9).


21.11.2018   

IT

Gazzetta ufficiale dell’Unione europea

L 295/99


REGOLAMENTO (UE) 2018/1726 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 14 novembre 2018

relativo all’Agenzia dell’Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA), che modifica il regolamento (CE) n. 1987/2006 e la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (UE) n. 1077/2011

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 74, l’articolo 77, paragrafo 2, lettere a) e b), l’articolo 78, paragrafo 2, lettera e), l’articolo 79, paragrafo 2, lettera c), l’articolo 82, paragrafo 1, lettera d), l’articolo 85, paragrafo 1, l’articolo 87, paragrafo 2, lettera a), e l’articolo 88, paragrafo 2,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

deliberando secondo la procedura legislativa ordinaria (1),

considerando quanto segue:

(1)

Il sistema d’informazione Schengen (SIS II) è stato istituito dal regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio (2) e dalla decisione 2007/533/GAI del Consiglio (3). Il regolamento (CE) n. 1987/2006 e la decisione 2007/533/GAI stabiliscono che la Commissione sia responsabile della gestione operativa del sistema centrale del SIS II (SIS II centrale) durante un periodo transitorio. Al termine di tale periodo transitorio un organo di gestione deve essere incaricato della gestione operativa del SIS II centrale e di determinati aspetti dell’infrastruttura di comunicazione.

(2)

Il sistema d’informazione visti (VIS) è stato istituito dalla decisione 2004/512/CE del Consiglio (4). Il regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio (5) prevede che la Commissione sia responsabile della gestione operativa del VIS durante un periodo transitorio. Al termine di tale periodo transitorio un organo di gestione deve essere incaricato della gestione operativa del VIS centrale e delle interfacce nazionali e deve essere incaricato di determinati aspetti dell’infrastruttura di comunicazione.

(3)

L’Eurodac è stato istituito dal regolamento (CE) n. 2725/2000 del Consiglio (6). Il regolamento (CE) n. 407/2002 del Consiglio (7) ha fissato le necessarie modalità di applicazione. Tali atti giuridici sono stati abrogati e sostituiti dal regolamento (UE) n. 603/2013 del Parlamento europeo e del Consiglio (8) a decorrere dal 20 luglio 2015.

(4)

L’Agenzia europea per la gestione operativa dei sistemi IT (tecnologia dell’informazione) su larga scala nello spazio di libertà, sicurezza e giustizia, comunemente nota come eu-LISA, è stata istituita dal regolamento (UE) n. 1077/2011 del Parlamento europeo e del Consiglio (9) al fine di provvedere alla gestione operativa del SIS, del VIS e dell’Eurodac, compresi determinati aspetti delle relative infrastrutture di comunicazione, ed eventualmente a quella di altri sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia, ferma restando l’adozione di separati atti giuridici dell’Unione. Il regolamento (UE) n. 1077/2011 è stato modificato dal regolamento (UE) n. 603/2013 affinché tenesse in considerazione le modifiche introdotte all’Eurodac.

(5)

L’organo di gestione necessitava di autonomia giuridica, amministrativa e finanziaria; è stato pertanto costituito sotto forma di agenzia di regolamentazione («Agenzia») dotata di personalità giuridica. Come convenuto, la sede dell’Agenzia è stata fissata a Tallinn, Estonia. Tuttavia, poiché i compiti relativi allo sviluppo tecnico e alla preparazione per la gestione operativa del SIS II e del VIS erano già svolti a Strasburgo, Francia, e un sito di riserva (backup site) per tali sistemi era stato installato a Sankt Johann im Pongau, Austria, anche in linea con l’ubicazione del SIS II e del VIS stabilita in conformità dei pertinenti atti giuridici dell’Unione, si dovrebbe continuare a operare in questo modo. Tali due siti dovrebbero continuare ad essere, rispettivamente, anche i luoghi in cui sono svolti i compiti relativi alla gestione operativa dell’Eurodac e in cui è stabilito un sito di riserva per l’Eurodac. Tali due siti dovrebbero essere anche i luoghi, rispettivamente, per lo sviluppo tecnico e la gestione operativa di altri sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia e per un sito di riserva in grado di assicurare il funzionamento di un sistema IT su larga scala in caso di guasto di tale sistema. Al fine di massimizzare il possibile utilizzo del sito di riserva, questo potrebbe inoltre essere utilizzato per far funzionare simultaneamente i sistemi purché in caso di guasto di uno o più sistemi resti in grado di garantirne il funzionamento. In ragione del livello elevato di sicurezza e disponibilità, nonché del ruolo cruciale dei sistemi, qualora la capacità di accoglienza dei siti tecnici esistenti diventasse insufficiente, il consiglio di amministrazione dell’Agenzia («consiglio di amministrazione») dovrebbe avere la facoltà di proporre, ove tale necessità sia motivata sulla base di una valutazione d’impatto e di un’analisi costi-benefici indipendenti, l’istituzione di un secondo sito tecnico distinto o a Strasburgo o a Sankt Johann im Pongau, o in entrambi i luoghi, in base alle necessità, al fine di ospitare tali sistemi. Il consiglio di amministrazione dovrebbe consultare la Commissione e tenere conto del suo punto di vista prima di notificare al Parlamento europeo e al Consiglio («autorità di bilancio») l’intenzione di realizzare un progetto di natura immobiliare.

(6)

Dal 1o dicembre 2012, momento in cui si è fatta carico delle sue responsabilità, l’Agenzia è subentrata nei compiti affidati all’organo di gestione dal regolamento (CE) n. 767/2008 e dalla decisione 2008/633/GAI del Consiglio (10) per quanto riguarda il VIS. Nell’aprile 2013 l’Agenzia è inoltre subentrata nei compiti affidati all’organo di gestione dal regolamento (CE) n. 1987/2006 e dalla decisione 2007/533/GAI per quanto riguarda il SIS II, in seguito all’entrata in funzione del SIS II, e nel giugno 2013 ha rilevato i compiti affidati alla Commissione in relazione all’Eurodac in conformità dei regolamenti (CE) n. 2725/2000 e (CE) n. 407/2002.

(7)

La prima valutazione dell’operato dell’Agenzia, realizzata nel periodo 2015-2016 in base a una valutazione esterna indipendente, ha concluso che l’Agenzia assicura in modo efficace la gestione operativa dei sistemi IT su larga scala e degli altri compiti assegnatile, ma ha evidenziato anche la necessità di apportare una serie di modifiche al regolamento (UE) n. 1077/2011, quali il trasferimento all’Agenzia dei compiti relativi all’infrastruttura di comunicazione mantenuti a livello di Commissione. Basandosi su tale valutazione esterna, la Commissione ha tenuto conto degli sviluppi giuridici, delle politiche e delle circostanze di fatto e ha proposto, in particolare nella relazione del 29 giugno 2017 sul funzionamento dell’agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA) («relazione di valutazione»), di ampliare il mandato dell’Agenzia affinché assolva ai compiti derivanti dall’adozione, da parte dei colegislatori, di proposte legislative che le affidano nuovi sistemi e ai compiti indicati nella comunicazione della Commissione del 6 aprile 2016 intitolata «Sistemi d’informazione più solidi e intelligenti per le frontiere e la sicurezza», a quelli indicati nella relazione finale del gruppo di esperti ad alto livello sui sistemi d’informazione e l’interoperabilità dell’11 maggio 2017, come pure ai compiti che figurano nella comunicazione della Commissione del 16 maggio 2017 intitolata «Settima relazione sui progressi compiuti verso un’autentica ed efficace Unione della sicurezza», ferma restando l’adozione dei pertinenti atti giuridici dell’Unione, ove necessario. In particolare, all’Agenzia dovrebbe essere affidato il compito di sviluppare soluzioni relative all’interoperabilità, definita nella comunicazione del 6 aprile 2016 come la capacità dei sistemi di informazione di scambiare dati e di consentire la condivisione delle informazioni.

Se del caso, qualsiasi azione svolta in merito all’interoperabilità dovrebbe essere ispirata alla comunicazione della Commissione del 23 marzo 2017 intitolata «Quadro europeo di interoperabilità — Strategia di attuazione». L’allegato 2 di tale comunicazione fornisce gli orientamenti generali, le raccomandazioni e le migliori pratiche per realizzare l’interoperabilità o almeno per creare l’ambiente che permetta di realizzare una migliore interoperabilità in fase di progettazione, attuazione e gestione dei servizi pubblici europei.

(8)

Dalla relazione di valutazione è emerso inoltre che il mandato dell’Agenzia dovrebbe essere ampliato per consentirle di prestare consulenza agli Stati membri in merito al collegamento fra i sistemi nazionali e i sistemi centrali dei sistemi IT a larga scala che gestisce («sistemi») e assistenza e sostegno ad hoc, ove richiesto, e di prestare assistenza e sostegno ai servizi della Commissione sulle questioni di carattere tecnico relative ai nuovi sistemi.

(9)

All’Agenzia dovrebbero essere affidati la preparazione, lo sviluppo e la gestione operativa del sistema di ingressi/uscite (Entry/Exit System — EES) istituito dal regolamento (UE) 2017/2226 del Parlamento europeo e del Consiglio (11).

(10)

All’Agenzia dovrebbe essere affidata anche la gestione operativa di DubliNet, un canale sicuro di trasmissione elettronica separato tra le autorità degli Stati membri e istituito in applicazione dell’articolo 18 del regolamento (CE) n. 1560/2003 della Commissione (12), che le autorità competenti in materia di asilo degli Stati membri dovrebbero utilizzare per lo scambio di informazioni sui richiedenti protezione internazionale.

(11)

Dovrebbero inoltre essere affidati all’Agenzia la preparazione, lo sviluppo e la gestione operativa del sistema europeo di informazione e autorizzazione ai viaggi (ETIAS) istituito dal regolamento (UE) 2018/1240 del Parlamento europeo e del Consiglio (13).

(12)

La funzione centrale dell’Agenzia dovrebbe continuare a consistere nell’assolvimento dei compiti di gestione operativa per il SIS II, il VIS, l’Eurodac, l’EES, DubliNet, l’ETIAS come pure, in caso di decisione in tal senso, per altri sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia. L’Agenzia dovrebbe essere altresì responsabile delle misure tecniche risultanti dai compiti non normativi che le sono conferiti. Tali responsabilità dovrebbero lasciare impregiudicati i compiti normativi che i rispettivi atti giuridici dell’Unione che disciplinano i sistemi riservano alla Commissione in via esclusiva o alla Commissione assistita da un comitato.

(13)

L’Agenzia dovrebbe essere in grado di attuare soluzioni tecniche al fine di soddisfare i requisiti di disponibilità definiti negli atti giuridici dell’Unione che disciplinano i sistemi, nel pieno rispetto delle disposizioni specifiche di tali atti per quanto concerne l’architettura tecnica dei rispettivi sistemi. Qualora tali soluzioni tecniche richiedano una duplicazione di un sistema o dei componenti di un sistema, dovrebbero essere svolte una valutazione d’impatto e un’analisi costi-benefici indipendenti e dovrebbe essere adottata una decisione da parte del consiglio di amministrazione, previa consultazione della Commissione. Tale valutazione d’impatto dovrebbe altresì includere un esame delle esigenze di capacità di accoglienza dei siti tecnici esistenti in relazione allo sviluppo di tali soluzioni tecniche, nonché degli eventuali rischi relativi all’attuale configurazione operativa.

(14)

Sono venuti meno i motivi per i quali la Commissione si doveva occupare di determinati compiti relativi all’infrastruttura di comunicazione dei sistemi, che, di conseguenza, andrebbero trasferiti all’Agenzia al fine di migliorare la coerenza della gestione dell’infrastruttura di comunicazione. Tuttavia, per i sistemi che utilizzano EuroDomain — infrastruttura di comunicazione protetta fornita da TESTA-ng (servizi transeuropei sicuri di nuova generazione per la comunicazione telematica tra amministrazioni), costituita come parte del programma ISA istituito dalla decisione n. 922/2009/CE del Parlamento europeo e del Consiglio (14) e proseguita come parte del programma ISA2 istituito dalla decisione (UE) 2015/2240 del Parlamento europeo e del Consiglio (15) — la Commissione dovrebbe continuare a occuparsi dei compiti relativi all’esecuzione del bilancio, di acquisizione e di rinnovo, così come degli aspetti contrattuali.

(15)

L’Agenzia dovrebbe poter affidare compiti relativi alla realizzazione, all’installazione, alla manutenzione e al monitoraggio dell’infrastruttura di comunicazione a soggetti o ad organismi esterni di diritto privato conformemente al regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio (16). L’Agenzia dovrebbe disporre di risorse sufficienti, in termini di bilancio e di personale, in modo da limitare nella misura del possibile l’esternalizzazione delle sue funzioni e dei suoi compiti a imprese o organismi privati esterni del settore.

(16)

L’Agenzia dovrebbe continuare ad assolvere i compiti relativi alla formazione sull’uso tecnico del SIS II, del VIS e dell’Eurodac, così come degli altri sistemi che le saranno affidati in futuro.

(17)

Per contribuire alla definizione delle politiche dell’Unione in materia di migrazione e sicurezza basate su dati concreti e al monitoraggio del corretto funzionamento dei sistemi, l’Agenzia dovrebbe compilare e pubblicare statistiche nonché elaborare rapporti statistici e metterli a disposizione degli attori interessati, in conformità degli atti giuridici dell’Unione che disciplinano i sistemi, ad esempio al fine di monitorare l’attuazione del regolamento (UE) n. 1053/2013 del Consiglio (17) e di condurre un’analisi del rischio e una valutazione delle vulnerabilità conformemente al regolamento (UE) 2016/1624 del Parlamento europeo e del Consiglio (18).

(18)

Inoltre, l’Agenzia dovrebbe poter essere incaricata anche della preparazione, dello sviluppo e della gestione operativa di altri sistemi IT su larga scala ai sensi degli articoli da 67 a 89 del trattato sul funzionamento dell’Unione europea (TFUE). Esempi di tali sistemi potrebbero essere il sistema centralizzato per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico dei cittadini di paesi terzi e apolidi e integrare e sostenere il sistema europeo di informazione sui casellari giudiziali (ECRIS-TCN) o il sistema informatico per la comunicazione transfrontaliera nei procedimenti civili e penali (e-CODEX). Tali sistemi dovrebbero essere tuttavia affidati all’Agenzia soltanto mediante atti giuridici dell’Unione successivi e separati, preceduti da una valutazione d’impatto.

(19)

Per quanto riguarda la ricerca il mandato dell’Agenzia dovrebbe essere ampliato al fine di renderla più attiva nel suggerire le modifiche tecniche opportune e necessarie da apportare ai sistemi. L’Agenzia non dovrebbe solo poter monitorare le attività di ricerca in relazione alla gestione operativa dei sistemi, ma dovrebbe anche poter contribuire all’attuazione delle parti pertinenti del programma quadro di ricerca e innovazione dell’Unione europea, qualora la Commissione le deleghi i poteri pertinenti. L’Agenzia dovrebbe trasmettere, almeno una volta l’anno, informazioni su tale monitoraggio al Parlamento europeo, al Consiglio e, per le questioni relative al trattamento dei dati personali, al Garante europeo della protezione dei dati.

(20)

La Commissione dovrebbe poter affidare all’Agenzia la responsabilità dello svolgimento di progetti pilota di natura sperimentale destinati ad accertare la fattibilità e l’utilità di un’azione, che possono essere eseguiti senza atto di base a norma del regolamento (UE, Euratom) 2018/1046. La Commissione dovrebbe inoltre poter affidare all’Agenzia i compiti di esecuzione del bilancio per i prototipi finanziati nell’ambito dello strumento di sostegno finanziario per le frontiere esterne e i visti istituito dal regolamento (UE) n. 515/2014 del Parlamento europeo e del Consiglio (19) a norma del regolamento (UE, Euratom) 2018/1046, dopo averne informato il Parlamento europeo. L’Agenzia dovrebbe altresì poter programmare e attuare le attività di collaudo rigorosamente su aspetti contemplati dal presente regolamento e dagli atti giuridici dell’Unione che disciplinano lo sviluppo, l’istituzione, l’esercizio e l’uso dei sistemi, come la verifica dei concetti di virtualizzazione. Quando è incaricata della realizzazione di un progetto pilota, l’Agenzia dovrebbe prestare particolare attenzione alla strategia di gestione delle informazioni dell’Unione europea.

(21)

Per quanto riguarda il collegamento dei sistemi nazionali con i sistemi centrali previsto dagli atti giuridici dell’Unione che disciplinano tali sistemi, l’Agenzia dovrebbe prestare consulenza agli Stati membri su loro richiesta.

(22)

L’Agenzia dovrebbe inoltre prestare sostegno ad hoc agli Stati membri su loro richiesta, fatta salva la procedura di cui al presente regolamento, ove necessario a causa di sfide o necessità eccezionali nel settore della sicurezza o della migrazione. In particolare, uno Stato membro dovrebbe poter chiedere rinforzi operativi e tecnici e poter contare su di essi qualora in determinate zone delle frontiere esterne tale Stato membro debba affrontare sfide migratorie specifiche e sproporzionate caratterizzate dall’arrivo di ampli flussi migratori. Tali rinforzi dovrebbero essere forniti nei punti di crisi (hotspot) dalle squadre di sostegno per la gestione della migrazione, composte da esperti provenienti dalle agenzie dell’Unione pertinenti. Se in tale contesto è necessario il sostegno dell’Agenzia per questioni relative ai sistemi, lo Stato membro interessato dovrebbe trasmettere una richiesta di sostegno alla Commissione, che, dopo aver stabilito che tale sostegno è effettivamente giustificato, dovrebbe a sua volta trasmettere la richiesta di sostegno senza ritardo all’Agenzia, affinché provveda a informarne il consiglio di amministrazione. La Commissione dovrebbe altresì verificare se l’Agenzia risponde tempestivamente alla richiesta di sostegno ad hoc. La relazione annuale di attività dell’Agenzia dovrebbe riportare informazioni dettagliate sulle azioni che l’Agenzia ha intrapreso per fornire sostegno ad hoc agli Stati membri e sui costi associati.

(23)

Ove richiesto, l’Agenzia dovrebbe inoltre prestare sostegno ai servizi della Commissione per le questioni di carattere tecnico riguardanti i sistemi esistenti o nuovi, in particolare per la preparazione delle nuove proposte relative ai sistemi IT su larga scala da affidare all’Agenzia.

(24)

Dovrebbe essere possibile per un gruppo di Stati membri assegnare all’Agenzia il compito di sviluppare, gestire o ospitare una componente IT comune affinché li assista nell’attuazione degli aspetti tecnici degli obblighi derivanti dagli atti giuridici dell’Unione sui sistemi IT decentrati nello spazio di libertà, sicurezza e giustizia, lasciando impregiudicati gli obblighi che gli atti giuridici dell’Unione impongono a tali Stati membri, in particolare per quanto riguarda l’architettura di tali sistemi. L’assegnazione di tali compiti dovrebbe essere subordinata all’approvazione della Commissione e a una decisione favorevole del consiglio di amministrazione, dovrebbe comportare un accordo di delega tra gli Stati membri interessati e l’Agenzia e dovrebbe essere finanziata integralmente dagli Stati membri interessati. L’Agenzia dovrebbe informare il Parlamento europeo e il Consiglio dell’accordo di delega approvato e delle eventuali modifiche apportate allo stesso. Altri Stati membri dovrebbero poter chiedere di partecipare alle soluzioni IT comuni, a condizione che tale possibilità sia prevista dall’accordo di delega e vi siano apportate le necessarie modifiche. Tale compito non dovrebbe pregiudicare la gestione operativa dei sistemi da parte dell’Agenzia.

(25)

Affidare all’Agenzia la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia non dovrebbe pregiudicare le norme specifiche applicabili a tali sistemi. In particolare, sono pienamente applicabili le norme specifiche riguardanti le finalità, i diritti di accesso, le misure di sicurezza e gli altri obblighi di protezione dei dati per ciascuno di tali sistemi.

(26)

Per monitorare in maniera efficace il funzionamento dell’Agenzia è opportuno che la Commissione e gli Stati membri siano rappresentati nel consiglio di amministrazione. Questo dovrebbe essere incaricato delle funzioni necessarie, in particolare di adottare il programma di lavoro annuale, svolgere le sue funzioni in relazione al bilancio dell’Agenzia, adottare la regolamentazione finanziaria applicabile all’Agenzia ed elaborare le procedure relative alle modalità di decisione del direttore esecutivo in ordine ai compiti operativi dell’Agenzia. Il consiglio di amministrazione dovrebbe svolgere tali compiti in maniera efficiente e trasparente. In seguito all’organizzazione di un’adeguata procedura di selezione da parte della Commissione e in seguito all’audizione dei candidati proposti in seno alla commissione o alle commissioni competenti del Parlamento europeo, il consiglio di amministrazione dovrebbe altresì nominare un direttore esecutivo.

(27)

Considerando che il numero dei sistemi IT su larga scala affidati all’Agenzia sarà aumentato in modo significativo entro il 2020 e che i compiti dell’Agenzia stanno conoscendo un notevole incremento, si registrerà di conseguenza un forte aumento del personale dell’Agenzia fino al 2020. È pertanto opportuno creare un posto di vicedirettore esecutivo dell’Agenzia, tenendo anche conto del fatto che i compiti relativi allo sviluppo e alla gestione operativa dei sistemi richiederanno una sorveglianza intensificata e specifica e che la sede e i siti tecnici dell’Agenzia sono ripartiti in tre Stati membri. Il consiglio di amministrazione dovrebbe nominare il vicedirettore esecutivo.

(28)

È opportuno che l’Agenzia sia gestita e disciplinata tenendo conto dei principi dell’orientamento comune sulle agenzie decentrate dell’Unione, adottato il 19 luglio 2012 dal Parlamento europeo, dal Consiglio e dalla Commissione.

(29)

Per quanto riguarda il SIS II, all’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) e all’Unità europea di cooperazione giudiziaria (Eurojust), che godono entrambe del diritto di accedere e consultare direttamente i dati inseriti nel SIS II a norma della decisione 2007/533/GAI, dovrebbe essere conferito lo status di osservatori alle riunioni del consiglio di amministrazione quando sono all’ordine del giorno questioni relative all’applicazione di tale decisione. All’Agenzia europea della guardia di frontiera e costiera, che gode del diritto di accedere al SIS II e di consultarlo in applicazione del regolamento (UE) 2016/1624, dovrebbe essere conferito lo status di osservatore alle riunioni del consiglio di amministrazione quando sono all’ordine del giorno questioni relative all’applicazione di tale regolamento. Europol, Eurojust e l’Agenzia europea della guardia di frontiera e costiera dovrebbero essere in grado di nominare ciascuna un rappresentante in seno al gruppo consultivo SIS II istituito ai sensi del presente regolamento.

(30)

Per quanto riguarda il VIS, a Europol dovrebbe essere conferito lo status di osservatore alle riunioni del consiglio di amministrazione quando sono all’ordine del giorno questioni riguardanti l’applicazione della decisione 2008/633/GAI. Europol dovrebbe poter nominare un rappresentante in seno al gruppo consultivo VIS istituito ai sensi del presente regolamento.

(31)

Per quanto riguarda l’Eurodac, a Europol dovrebbe essere conferito lo status di osservatore alle riunioni del consiglio di amministrazione quando sono all’ordine del giorno questioni relative all’applicazione del regolamento (UE) n. 603/2013. Europol dovrebbe poter nominare un rappresentante in seno al gruppo consultivo Eurodac istituito ai sensi del presente regolamento.

(32)

Per quanto riguarda l’EES, a Europol dovrebbe essere conferito lo status di osservatore alle riunioni del consiglio di amministrazione quando sono all’ordine del giorno questioni riguardanti il regolamento (UE) 2017/2226.

(33)

Per quanto riguarda l’ETIAS, a Europol dovrebbe essere conferito lo status di osservatore alle riunioni del consiglio di amministrazione quando sono all’ordine del giorno questioni riguardanti il regolamento (UE) 2018/1240. All’Agenzia europea della guardia di frontiera e costiera dovrebbe essere conferito lo status di osservatore alle riunioni del consiglio di amministrazione anche quando sono all’ordine del giorno questioni relative all’ETIAS in collegamento con l’applicazione di tale regolamento. Europol e l’Agenzia europea della guardia di frontiera e costiera dovrebbero poter nominare un rappresentante in seno al gruppo consultivo EES-ETIAS istituito ai sensi del presente regolamento.

(34)

Gli Stati membri dovrebbero avere diritto di voto nel consiglio di amministrazione in relazione a un sistema IT su larga scala, qualora siano vincolati, in base al diritto dell’Unione, dagli atti giuridici dell’Unione che disciplinano lo sviluppo, l’istituzione, l’esercizio e l’uso di quello specifico sistema. Anche la Danimarca dovrebbe avere diritto di voto per quanto concerne un sistema IT su larga scala qualora decida, ai sensi dell’articolo 4 del protocollo n. 22 sulla posizione della Danimarca, allegato al trattato sull’Unione europea (TUE) e al TFUE, di recepire l’atto giuridico dell’Unione che disciplina lo sviluppo, l’istituzione, l’esercizio e l’uso di quello specifico sistema nel proprio diritto interno.

(35)

Gli Stati membri dovrebbero nominare un membro in seno al gruppo consultivo di un sistema IT su larga scala ove siano vincolati, in base al diritto dell’Unione, dagli atti giuridici dell’Unione che disciplinano lo sviluppo, l’istituzione, l’esercizio e l’uso di quello specifico sistema. La Danimarca dovrebbe inoltre nominare un membro in seno al gruppo consultivo di un sistema IT su larga scala qualora decida, ai sensi dell’articolo 4 del protocollo n. 22, di recepire l’atto giuridico dell’Unione che disciplina lo sviluppo, l’istituzione, l’esercizio e l’uso di quello specifico sistema IT su larga scala nel proprio diritto interno. I gruppi consultivi dovrebbero cooperare tra di loro ove necessario.

(36)

Per garantire la piena autonomia e indipendenza dell’Agenzia e consentirle di realizzare correttamente gli obiettivi e svolgere i compiti ad essa assegnati dal presente regolamento, è opportuno dotarla di un bilancio adeguato e autonomo alimentato dal bilancio generale dell’Unione. Il finanziamento dell’Agenzia dovrebbe essere subordinato a un accordo tra il Parlamento europeo e il Consiglio, secondo quanto indicato al punto 31 dell’accordo interistituzionale del 2 dicembre 2013 fra il Parlamento europeo, il Consiglio e la Commissione sulla disciplina di bilancio, sulla cooperazione in materia di bilancio e sulla sana gestione finanziaria (20). Dovrebbero applicarsi le procedure di bilancio e di discarico dell’Unione. La revisione contabile e l’esame della legalità e regolarità delle operazioni sottostanti dovrebbero essere effettuate dalla Corte dei conti.

(37)

Per assolvere la propria funzione e nella misura necessaria per l’espletamento dei suoi compiti, l’Agenzia dovrebbe poter cooperare, in base ad accordi di collaborazione conclusi, conformemente alla normativa e alle politiche dell’Unione e nel quadro delle rispettive competenze, con le istituzioni, gli organi e gli organismi dell’Unione, in particolare quelli istituiti nello spazio di libertà, sicurezza e giustizia, sulle questioni contemplate dal presente regolamento e dagli atti giuridici dell’Unione che disciplinano lo sviluppo, l’istituzione, l’esercizio e l’uso dei sistemi nel quadro degli accordi di collaborazione conclusi in conformità del diritto e delle politiche dell’Unione e nell’ambito delle loro rispettive competenze. Ove previsto da un atto giuridico dell’Unione, l’Agenzia dovrebbe anche poter cooperare con organizzazioni internazionali e altri organismi competenti e dovrebbe essere in grado di concludere accordi di collaborazione a tal fine. Tali accordi di collaborazione dovrebbero ricevere l’approvazione preliminare della Commissione ed essere autorizzati dal consiglio di amministrazione. Ove opportuno, l’Agenzia dovrebbe altresì consultare e dare seguito alle raccomandazioni dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (European Union Agency for Network and Information Security — ENISA), istituita dal regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio (21), per quanto concerne la sicurezza delle reti e delle informazioni.

(38)

Quando assicura lo sviluppo e la gestione operativa dei sistemi, l’Agenzia dovrebbe osservare le norme europee e internazionali tenendo conto dei più elevati requisiti professionali, in particolare la strategia di gestione delle informazioni dell’Unione europea.

(39)

Al trattamento dei dati personali da parte dell’Agenzia dovrebbe applicarsi il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (22) fatte salve le disposizioni sulla protezione dei dati stabilite dagli atti giuridici dell’Unione che disciplinano lo sviluppo, l’istituzione, l’esercizio e l’uso dei sistemi, che dovrebbero essere coerenti con il regolamento (UE) 2018/1725. Per mantenere la sicurezza e prevenire trattamenti in violazione del regolamento (UE) 2018/1725 e degli atti giuridici dell’Unione che disciplinano i sistemi, l’Agenzia dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un livello adeguato di sicurezza, ivi inclusa la riservatezza, tenendo conto dello stato dell’arte e dei costi di attuazione in rapporto ai rischi e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la divulgazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque trattati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale. Il Garante europeo della protezione dei dati dovrebbe poter ottenere dall’Agenzia l’accesso a tutte le informazioni necessarie per le sue indagini. Conformemente al regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (23), la Commissione ha consultato il Garante europeo della protezione dei dati, che ha espresso un parere il 10 ottobre 2017.

(40)

Per assicurare trasparenza all’attività dell’Agenzia, a questa dovrebbe applicarsi il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (24). L’Agenzia dovrebbe garantire la massima trasparenza possibile in merito alle proprie attività, senza pregiudicare il conseguimento dell’obiettivo delle proprie operazioni. Dovrebbe rendere pubbliche le informazioni relative a tutte le proprie attività. Dovrebbe ugualmente garantire che i cittadini e qualsiasi portatore di interessi possano disporre rapidamente di informazioni riguardo al suo lavoro.

(41)

Le attività dell’Agenzia dovrebbero essere soggette al controllo del Mediatore europeo in conformità dell’articolo 228 TFUE.

(42)

È opportuno che il regolamento (UE, Euratom) n. 883/2013 del Parlamento europeo e del Consiglio (25) si applichi all’Agenzia e che questa aderisca all’accordo interistituzionale del 25 maggio 1999 tra il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione delle Comunità europee relativo alle indagini interne svolte dall’Ufficio europeo per la lotta antifrode (OLAF) (26).

(43)

All’Agenzia dovrebbe applicarsi il regolamento (UE) 2017/1939 del Consiglio (27) sull’istituzione della Procura europea.

(44)

Per assicurare condizioni di lavoro chiare e trasparenti e parità di trattamento, è opportuno che al personale (ivi compresi il direttore esecutivo e il vicedirettore esecutivo dell’Agenzia) si applichino lo statuto dei funzionari dell’Unione europea («statuto dei funzionari») e il regime applicabile agli altri agenti dell’Unione europea («regime applicabile agli altri agenti»), definiti nel regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio (28) (congiuntamente lo «statuto»), comprese le norme in materia di segreto professionale o altri obblighi di riservatezza equivalenti.

(45)

Poiché l’Agenzia è un organismo istituito dall’Unione in conformità del regolamento (UE, Euratom) 2018/1046, essa dovrebbe adottare di conseguenza la propria regolamentazione finanziaria.

(46)

All’Agenzia dovrebbe applicarsi il regolamento delegato (UE) n. 1271/2013 della Commissione (29).

(47)

L’Agenzia istituita con il presente regolamento sostituisce e succede all’Agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia, istituita con il regolamento (UE) n. 1077/2011. Sul piano giuridico dovrebbe pertanto subentrare in tutti i contratti conclusi, nelle passività a carico e nelle proprietà acquisite dall’Agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia, istituita con il regolamento (UE) n. 1077/2011. Il presente regolamento non dovrebbe pregiudicare l’efficacia giuridica degli accordi, degli accordi di collaborazione e dei memorandum d’intesa conclusi dall’Agenzia istituita dal regolamento (UE) 1077/2011, fatte salve eventuali modifiche resesi necessarie in virtù del presente regolamento.

(48)

Per consentire all’Agenzia di continuare a svolgere al meglio i compiti dell’Agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia istituita con il regolamento (UE) n. 1077/2011, è opportuno predisporre misure transitorie, in particolare per quanto riguarda il consiglio di amministrazione, i gruppi consultivi, il direttore esecutivo e le norme interne adottate dal consiglio di amministrazione.

(49)

Il presente regolamento mira a modificare e ampliare le disposizioni del regolamento (UE) n. 1077/2011. Poiché le modifiche da apportare mediante il presente regolamento sono sostanziali per numero e natura, è opportuno che, per ragioni di chiarezza, il regolamento (UE) n. 1077/2011 sia sostituito nella sua interezza, in relazione agli Stati membri vincolati dal presente regolamento. È opportuno che l’Agenzia istituita con il presente regolamento sostituisca e assuma le funzioni dell’Agenzia istituita con il regolamento (UE) n. 1077/2011; di conseguenza tale regolamento dovrebbe essere abrogato.

(50)

Poiché gli obiettivi del presente regolamento, ossia l’istituzione di un’agenzia a livello di Unione responsabile della gestione operativa e, se del caso, dello sviluppo di sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia, non possono essere conseguiti in misura sufficiente dagli Stati membri, ma, a motivo della portata o degli effetti dell’azione in questione, possono essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 TUE. Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(51)

A norma degli articoli 1 e 2 del protocollo n. 22, la Danimarca non partecipa all’adozione del presente regolamento, non è da esso vincolata né è soggetta alla sua applicazione. Dato che il presente regolamento, per quanto riguarda il SIS II e il VIS, l’EES e l’ETIAS, si basa sull’acquis di Schengen, la Danimarca decide, ai sensi dell’articolo 4 di tale protocollo, entro sei mesi dalla decisione del Consiglio sul presente regolamento, se intende recepirlo nel proprio diritto interno. In conformità dell’articolo 3 dell’accordo tra la Comunità europea e il Regno di Danimarca in merito ai criteri e ai meccanismi di determinazione dello Stato competente per l’esame di una domanda d’asilo presentata in Danimarca oppure in uno degli altri Stati membri dell’Unione europea e in merito all’Eurodac per il confronto delle impronte digitali per l’efficace applicazione della convenzione di Dublino (30), la Danimarca deve notificare alla Commissione se intende o meno attuare il contenuto del presente regolamento per quanto concerne l’Eurodac e DubliNet.

(52)

Nella misura in cui le disposizioni riguardano il SIS II quale disciplinato dalla decisione 2007/533/GAI, il Regno Unito partecipa al presente regolamento ai sensi dell’articolo 5, paragrafo 1, del protocollo n. 19 sull’acquis di Schengen integrato nell’ambito dell’Unione europea, allegato al TUE e al TFUE, e dell’articolo 8, paragrafo 2, della decisione 2000/365/CE del Consiglio (31). Nella misura in cui le sue disposizioni riguardano il SIS II quale disciplinato dal regolamento (CE) n. 1987/2006 e il VIS, l’EES e l’ETIAS, il presente regolamento costituisce uno sviluppo delle disposizioni dell’acquis di Schengen al quale il Regno Unito non partecipa ai sensi della decisione 2000/365/CE. Il Regno Unito ha chiesto, con lettera del 19 luglio 2018 al presidente del Consiglio, di essere autorizzato a partecipare al presente regolamento in conformità dell’articolo 4 del protocollo n. 19. In virtù dell’articolo 1 della decisione (UE) 2018/1600 (32) del Consiglio, il Regno Unito è stato autorizzato a partecipare al presente regolamento. Inoltre, nella misura in cui le disposizioni riguardano l’Eurodac e DubliNet, il Regno Unito ha notificato che desidera partecipare all’adozione e all’applicazione del presente regolamento con lettera del 23 ottobre 2017 al presidente del Consiglio, a norma dell’articolo 3 del protocollo n. 21 sulla posizione del Regno Unito e dell’Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al TUE e al TFUE. Il Regno Unito partecipa pertanto all’adozione del presente regolamento, è da esso vincolato ed è soggetto alla sua applicazione.

(53)

Nella misura in cui le disposizioni riguardano il SIS II quale disciplinato dalla decisione 2007/533/GAI, in via di principio l’Irlanda potrebbe partecipare al presente regolamento ai sensi dell’articolo 5, paragrafo 1, del protocollo n. 19 e dell’articolo 6, paragrafo 2, della decisione 2002/192/CE del Consiglio (33). Nella misura in cui le disposizioni riguardano il SIS II quale disciplinato dal regolamento (CE) n. 1987/2006 e il VIS, l’EES e l’ETIAS, il presente regolamento costituisce uno sviluppo delle disposizioni dell’acquis di Schengen a cui l’Irlanda non partecipa, a norma della decisione 2002/192/CE. L’Irlanda non ha chiesto di partecipare all’adozione del presente regolamento in conformità dell’articolo 4 del protocollo n. 19. L’Irlanda non partecipa pertanto alla sua adozione, non è da esso vincolata né è soggetta alla sua applicazione nella misura in cui le sue misure sviluppano le disposizioni dell’acquis di Schengen ove riguardino il SIS II quale disciplinato dal regolamento (CE) n. 1987/2006, il VIS, l’EES e l’ETIAS. Inoltre, nella misura in cui le disposizioni riguardano l’Eurodac e DubliNet, a norma degli articoli 1 e 2 e dell’articolo 4 bis, paragrafo 1, del protocollo n. 21 l’Irlanda non partecipa all’adozione del presente regolamento, non è da esso vincolata né è soggetta alla sua applicazione. Poiché, in tali circostanze, non è possibile garantire che il presente regolamento si applichi interamente all’Irlanda, come richiesto dall’articolo 288 TFUE, l’Irlanda non partecipa all’adozione del presente regolamento, non è da esso vincolata né è soggetta alla sua applicazione, fatti salvi i suoi diritti ai sensi dei protocolli n. 19 e n. 21.

(54)

Per quanto riguarda l’Islanda e la Norvegia, il presente regolamento costituisce, relativamente al SIS II e al VIS, all’EES e all’ETIAS, uno sviluppo delle disposizioni dell’acquis di Schengen ai sensi dell’accordo concluso dal Consiglio dell’Unione europea con la Repubblica d’Islanda e il Regno di Norvegia sulla loro associazione all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen (34) che rientrano nel settore di cui all’articolo 1, lettere A, B e G, della decisione 1999/437/CE del Consiglio (35). Per quanto concerne l’Eurodac e DubliNet, il presente regolamento costituisce una nuova misura ai sensi dell’accordo tra la Comunità europea e la Repubblica d’Islanda e il Regno di Norvegia relativo ai criteri e ai meccanismi per determinare lo Stato competente per l’esame di una domanda d’asilo presentata in uno Stato membro oppure in Islanda o in Norvegia (36). Di conseguenza, fatta salva la loro decisione di attuarlo nel proprio diritto interno, le delegazioni della Repubblica d’Islanda e del Regno di Norvegia dovrebbero partecipare al consiglio di amministrazione dell’Agenzia. Per stabilire le modalità supplementari che consentono la partecipazione della Repubblica d’Islanda e del Regno di Norvegia alle attività dell’Agenzia, è opportuno concludere un nuovo accordo tra l’Unione e detti Stati.

(55)

Per quanto riguarda la Svizzera, il presente regolamento costituisce, relativamente al SIS II e al VIS, all’EES e all’ETIAS, uno sviluppo delle disposizioni dell’acquis di Schengen ai sensi dell’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione di quest’ultima all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen (37) che rientrano nel settore di cui all’articolo 1, lettere A, B e G, della decisione 1999/437/CE, in combinato disposto con l’articolo 3 della decisione 2008/146/CE del Consiglio (38). Per quanto concerne l’Eurodac e DubliNet, il presente regolamento costituisce una nuova misura riguardante l’Eurodac ai sensi dell’accordo tra la Comunità europea e la Confederazione svizzera relativo ai criteri e ai meccanismi che permettono di determinare lo Stato competente per l’esame di una domanda di asilo introdotta in uno degli Stati membri o in Svizzera (39). Di conseguenza, fatta salva la sua decisione di attuarlo nel proprio diritto interno, la delegazione della Confederazione svizzera dovrebbe partecipare al consiglio di amministrazione dell’Agenzia. Per stabilire le modalità supplementari che consentono la partecipazione della Confederazione svizzera alle attività dell’Agenzia, è opportuno concludere un nuovo accordo tra l’Unione e la Confederazione svizzera.

(56)

Per quanto riguarda il Liechtenstein, il presente regolamento costituisce, relativamente al SIS II e al VIS, all’EES e all’ETIAS, uno sviluppo delle disposizioni dell’acquis di Schengen ai sensi del protocollo sottoscritto tra l’Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull’adesione del Principato del Liechtenstein all’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione della Confederazione svizzera all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen (40) che rientrano nel settore di cui all’articolo 1, lettere A, B e G, della decisione 1999/437/CE, in combinato disposto con l’articolo 3 della decisione 2011/350/UE del Consiglio (41).

Per quanto concerne l’Eurodac e DubliNet, il presente regolamento costituisce una nuova misura ai sensi del protocollo tra la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull’adesione del Principato del Liechtenstein all’accordo tra la Comunità europea e la Confederazione svizzera relativo ai criteri e ai meccanismi che permettono di determinare lo Stato competente per l’esame di una domanda d’asilo introdotta in uno degli Stati membri o in Svizzera (42). Di conseguenza, fatta salva la sua decisione di attuarlo nel proprio diritto interno, la delegazione del Principato del Liechtenstein dovrebbe partecipare al consiglio di amministrazione dell’Agenzia. Per stabilire le modalità supplementari che consentono la partecipazione del Principato del Liechtenstein alle attività dell’Agenzia, è opportuno concludere un nuovo accordo tra l’Unione e il Principato del Liechtenstein,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO I

OGGETTO E OBIETTIVI

Articolo 1

Oggetto

1.   È istituita un’Agenzia dell’Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia («Agenzia»).

2.   L’Agenzia istituita con il presente regolamento sostituisce e succede all’Agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia, istituita con il regolamento (UE) n. 1077/2011.

3.   L’Agenzia è responsabile della gestione operativa del sistema d’informazione Schengen (SIS II), del sistema d’informazione visti (VIS) e del sistema per il confronto delle impronte digitali Eurodac.

4.   L’Agenzia è responsabile della preparazione, dello sviluppo o della gestione operativa del sistema di ingressi/uscite (EES), di DubliNet e del sistema europeo di informazione e autorizzazione ai viaggi (ETIAS).

5.   L’Agenzia può essere incaricata della preparazione, dello sviluppo o della gestione operativa di sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia diversi da quelli di cui ai paragrafi 4 e 4 del presente articolo, ivi compresi i sistemi esistenti, solo se così previsto dai pertinenti atti giuridici dell’Unione che disciplinano tali sistemi, sulla base degli articoli da 67 a 89 TFUE, tenendo conto, ove opportuno, degli sviluppi della ricerca di cui all’articolo 14 del presente regolamento e dei risultati dei progetti pilota e dei prototipi di cui all’articolo 15 del presente regolamento.

6.   La gestione operativa comprende tutti i compiti necessari per mantenere operativi i sistemi IT su larga scala conformemente alle disposizioni specifiche applicabili a ciascuno di essi, inclusa la responsabilità dell’infrastruttura di comunicazione da essi utilizzata. Tali sistemi IT su larga scala non si scambiano dati né consentono la condivisione di informazioni o di conoscenze, salvo se così previsto da uno specifico atto giuridico.

7.   L’Agenzia è inoltre incaricata dei compiti seguenti:

a)

garantire la qualità dei dati in conformità dell’articolo 12;

b)

sviluppare le azioni necessarie per consentire l’interoperabilità in conformità dell’articolo 13;

c)

effettuare attività di ricerca in conformità dell’articolo 14;

d)

realizzare progetti pilota, prototipi e attività di collaudo in conformità dell’articolo 15;

e)

prestare sostegno agli Stati membri e alla Commissione in conformità dell’articolo 16.

Articolo 2

Obiettivi

Fatte salve le rispettive responsabilità della Commissione e degli Stati membri ai sensi degli atti giuridici dell’Unione che disciplinano i sistemi IT su larga scala, l’Agenzia garantisce:

a)

lo sviluppo di sistemi IT su larga scala utilizzando un’adeguata struttura di gestione di progetto per sviluppare efficacemente tali sistemi;

b)

un esercizio efficace, sicuro e continuo dei sistemi IT su larga scala;

c)

la gestione efficiente e finanziariamente responsabile dei sistemi IT su larga scala;

d)

un servizio di qualità adeguatamente elevata per gli utenti dei sistemi IT su larga scala;

e)

la continuità e un servizio ininterrotto;

f)

un livello elevato di protezione dei dati conformemente alla legislazione dell’Unione in materia di protezione dei dati, comprese le disposizioni specifiche relative a ciascun sistema IT su larga scala;

g)

un livello adeguato di sicurezza dei dati e materiale in conformità delle norme applicabili, comprese le disposizioni specifiche relative a ciascun sistema IT su larga scala.

CAPO II

COMPITI DELL’AGENZIA

Articolo 3

Compiti relativi al SIS II

Con riguardo al SIS II, l’Agenzia svolge:

a)

i compiti attribuiti all’organo di gestione dal regolamento (CE) n. 1987/2006 e dalla decisione 2007/533/GAI; e

b)

i compiti relativi alla formazione sull’uso tecnico del SIS II, destinata in particolare al personale SIRENE (SIRENE — informazioni supplementari richieste all’ingresso nazionale), e relativi alla formazione di esperti sugli aspetti tecnici del SIS II nel quadro della valutazione di Schengen.

Articolo 4

Compiti relativi al VIS

Con riguardo al VIS, l’Agenzia svolge:

a)

i compiti attribuiti all’organo di gestione dal regolamento (CE) n. 767/2008 e dalla decisione 2008/633/GAI; e

b)

i compiti relativi alla formazione sull’uso tecnico del VIS e alla formazione di esperti sugli aspetti tecnici del VIS nel quadro della valutazione di Schengen.

Articolo 5

Compiti relativi all’Eurodac

Con riguardo all’Eurodac, l’Agenzia svolge:

a)

i compiti attribuitile dal regolamento (UE) n. 603/2013; e

b)

i compiti relativi alla formazione sull’uso tecnico dell’Eurodac.

Articolo 6

Compiti relativi all’EES

Con riguardo all’EES, l’Agenzia svolge:

a)

i compiti attribuitile dal regolamento (UE) 2017/2226; e

b)

i compiti relativi alla formazione sull’uso tecnico dell’EES e alla formazione di esperti sugli aspetti tecnici dell’EES nel quadro della valutazione di Schengen.

Articolo 7

Compiti relativi all’ETIAS

Con riguardo all’ETIAS, l’Agenzia svolge:

a)

i compiti attribuitile dal regolamento (UE) 2018/1240; e

b)

i compiti relativi alla formazione sull’uso tecnico dell’ETIAS e alla formazione di esperti sugli aspetti tecnici dell’ETIAS nel quadro della valutazione di Schengen.

Articolo 8

Compiti relativi a DubliNet

Con riguardo a DubliNet, l’Agenzia svolge:

a)

la gestione operativa di DubliNet, un canale sicuro di trasmissione elettronica separato tra le autorità degli Stati membri, istituito in applicazione dell’articolo 18 del regolamento (CE) n. 1560/2003, ai fini degli articoli 31, 32 e 34 del regolamento (UE) n. 604/2013 del Parlamento europeo e del Consiglio (43); e

b)

i compiti relativi alla formazione sull’uso tecnico di DubliNet.

Articolo 9

Compiti relativi allo sviluppo e alla gestione operativa di altri sistemi IT su larga scala

Ove sia incaricata della preparazione, dello sviluppo o della gestione operativa di altri sistemi IT su larga scala di cui all’articolo 1, paragrafo 5, l’Agenzia svolge, secondo il caso, i compiti conferitile dall’atto giuridico dell’Unione che disciplina il pertinente sistema e i compiti relativi alla formazione sull’uso tecnico di tale sistema.

Articolo 10

Soluzioni tecniche che richiedono condizioni specifiche prima dell’attuazione

Qualora gli atti giuridici dell’Unione che disciplinano i sistemi sotto la responsabilità dell’Agenzia impongano a quest’ultima di mantenere tali sistemi in funzione 24 ore su 24 e 7 giorni su 7 e senza compromettere tali atti giuridici dell’Unione, l’Agenzia implementa soluzioni tecniche al fine di soddisfare tali requisiti. Qualora tali soluzioni tecniche richiedano una duplicazione di un sistema o una duplicazione dei componenti di un sistema, esse sono attuate soltanto a seguito di una valutazione d’impatto e di un’analisi costi-benefici indipendenti commissionate dall’Agenzia e previa consultazione della Commissione e decisione favorevole del consiglio di amministrazione. La valutazione d’impatto esamina altresì le esigenze presenti e future in termini di capacità di accoglienza dei siti tecnici esistenti in relazione allo sviluppo di siffatte soluzioni tecniche, nonché gli eventuali rischi relativi all’attuale configurazione operativa.

Articolo 11

Compiti relativi all’infrastruttura di comunicazione

1.   L’Agenzia svolge tutti i compiti relativi all’infrastruttura di comunicazione dei sistemi conferitile dagli atti giuridici dell’Unione che disciplinano i sistemi, ad eccezione del caso dei sistemi che per l’infrastruttura di comunicazione utilizzano EuroDomain. Nel caso dei sistemi che utilizzano in tal modo EuroDomain, la Commissione è responsabile dei compiti di esecuzione del bilancio, di acquisizione e di rinnovo e degli aspetti contrattuali. Conformemente agli atti giuridici dell’Unione che disciplinano i sistemi che utilizzano EuroDomain, i compiti relativi all’infrastruttura di comunicazione, compresi la gestione operativa e la sicurezza, devono essere suddivisi tra l’Agenzia e la Commissione. Per assicurare la coerenza tra l’esercizio delle loro rispettive responsabilità, tra l’agenzia e la Commissione sono conclusi accordi di lavoro operativi, rispecchiati in un memorandum d’intesa.

2.   L’infrastruttura di comunicazione è gestita e controllata adeguatamente in modo da proteggerla da minacce e da garantire la sua sicurezza e quella dei sistemi, compresa la sicurezza dei dati scambiati attraverso l’infrastruttura di comunicazione.

3.   L’Agenzia adotta misure adeguate, compresi piani di sicurezza, volte tra l’altro ad impedire, in particolare mediante tecniche appropriate di cifratura, che durante la trasmissione di dati personali o il trasporto dei supporti di dati, i dati personali possano essere letti, copiati, modificati o cancellati senza autorizzazione. Tutte le informazioni operative connesse al sistema circolano criptate nell’infrastruttura di comunicazione.

4.   Compiti relativi alla realizzazione, all’installazione, alla manutenzione e al monitoraggio dell’infrastruttura di comunicazione possono essere affidati a soggetti o ad organismi esterni di diritto privato conformemente al regolamento (UE, Euratom) 2018/1046. Tali compiti sono svolti sotto la responsabilità e la stretta supervisione dell’Agenzia.

Nello svolgimento dei compiti di cui al primo comma, tutti i soggetti o gli organismi esterni di diritto privato, tra cui i gestori della rete, sono vincolati dalle misure di sicurezza di cui al paragrafo 3 e non hanno accesso in alcun modo ai dati operativi memorizzati nei sistemi o trasferiti mediante l’infrastruttura di comunicazione né allo scambio SIRENE relativo al SIS II.

5.   La gestione delle chiavi criptate rimane di competenza dell’Agenzia e non è esternalizzata ad alcun soggetto esterno di diritto privato. Sono fatti salvi i contratti esistenti sulle infrastrutture di comunicazione del SIS II, del VIS e dell’Eurodac.

Articolo 12

Qualità dei dati

Fatte salve le responsabilità degli Stati membri per quanto riguarda i dati inseriti nei sistemi, l’Agenzia, in stretta collaborazione con i suoi gruppi consultivi e insieme alla Commissione, lavora all’istituzione, per tutti i suddetti sistemi, di meccanismi automatizzati di controllo della qualità dei dati e di indicatori comuni sulla qualità dei dati, e allo sviluppo di un archivio centrale di relazioni e statistiche contenente unicamente dati anonimizzati, nel rispetto delle disposizioni specifiche degli atti giuridici dell’Unione che disciplinano lo sviluppo, l’istituzione, l’esercizio e l’uso dei sistemi.

Articolo 13

Interoperabilità

Laddove l’interoperabilità dei sistemi IT su larga scala sia prevista da un pertinente atto giuridico dell’Unione, l’Agenzia sviluppa le azioni necessarie per consentire tale interoperabilità.

Articolo 14

Monitoraggio della ricerca

1.   L’agenzia segue gli sviluppi della ricerca d’interesse per la gestione operativa del SIS II, del VIS, di Eurodac, dell’EES, dell’ETIAS, di DubliNet e di altri sistemi IT su larga scala di cui all’articolo 1, paragrafo 5.

2.   L’Agenzia può contribuire all’attuazione delle parti del programma quadro di ricerca e innovazione dell’Unione europea che riguardano i sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia. A tal fine, qualora la Commissione le abbia delegato i pertinenti poteri l’Agenzia svolge i seguenti compiti:

a)

gestione di alcune fasi di esecuzione del programma e di alcune fasi della vita di progetti specifici sulla base dei pertinenti programmi di lavoro adottati dalla Commissione;

b)

adozione degli atti di esecuzione del bilancio e delle entrate e delle spese, ed esecuzione di tutte le operazioni necessarie alla gestione del programma; e

c)

prestazione di sostegno nell’attuazione dei programmi.

3.   L’Agenzia riferisce periodicamente e almeno una volta l’anno al Parlamento europeo, al Consiglio, alla Commissione e, per quanto riguarda il trattamento dei dati personali, al Garante europeo della protezione dei dati circa gli sviluppi di cui al presente articolo, fatti salvi gli obblighi di relazione concernenti l’attuazione delle parti del programma quadro di ricerca e innovazione dell’Unione europea di cui al paragrafo 2.

Articolo 15

Progetti pilota, prototipi e attività di collaudo

1.   Su richiesta esplicita e circostanziata della Commissione, che ne ha informato il Parlamento europeo e il Consiglio con almeno tre mesi di anticipo, previa decisione positiva del consiglio di amministrazione, può essere affidata all’Agenzia, in conformità dell’articolo 19, paragrafo 1, lettera u), del presente regolamento, e tramite un accordo di delega, la realizzazione di progetti pilota di cui all’articolo 58, paragrafo 2, lettera a), del regolamento (UE, Euratom) 2018/1046 per lo sviluppo o la gestione operativa di sistemi IT su larga scala a norma degli articoli da 67 a 89 TFUE, in conformità dell’articolo 62, paragrafo 1, lettera c), del regolamento (UE, Euratom) 2018/1046.

L’Agenzia riferisce regolarmente al Parlamento europeo, al Consiglio e, per quanto riguarda il trattamento di dati personali, al Garante europeo della protezione dei dati circa l’evoluzione dei progetti pilota realizzati dall’Agenzia ai sensi del primo comma.

2.   Gli stanziamenti per i progetti pilota di cui all’articolo 58, paragrafo 2, lettera a), del regolamento (UE, Euratom) 2018/1046 che sono stati richiesti dalla Commissione ai sensi del paragrafo 1 sono iscritti in bilancio per non più di due esercizi consecutivi.

3.   Su richiesta della Commissione o del Consiglio, dopo aver informato il Parlamento europeo e previa decisione positiva del consiglio di amministrazione possono essere affidati all’Agenzia, tramite un accordo di delega, compiti di esecuzione del bilancio per i prototipi finanziati nell’ambito dello strumento di sostegno finanziario per le frontiere esterne e i visti istituito dal regolamento (UE) n. 515/2014, in conformità dell’articolo 62, paragrafo 1, lettera c), del regolamento (UE, Euratom) 2018/1046.

4.   A seguito di una decisione positiva del consiglio di amministrazione, l’Agenzia può programmare e condurre attività di collaudo sugli aspetti contemplati dal presente regolamento e da uno degli atti giuridici dell’Unione che disciplinano lo sviluppo, l’istituzione, l’esercizio e l’uso dei sistemi.

Articolo 16

Sostegno agli Stati membri e alla Commissione

1.   Ogni Stato membro può chiedere all’Agenzia di prestargli consulenza per quanto riguarda il collegamento tra il suo sistema nazionale e i sistemi centrali dei sistemi IT su larga scala gestiti dall’Agenzia.

2.   Ogni Stato membro può presentare una richiesta di sostegno ad hoc alla Commissione, che, dopo aver stabilito che tale sostegno è necessario in virtù di esigenze eccezionali nel settore della sicurezza o della migrazione, la trasmette senza ritardo all’Agenzia. L’Agenzia comunica tali richieste al consiglio di amministrazione. Qualora la valutazione della Commissione sia negativa, lo Stato membro ne è informato.

La Commissione verifica se l’Agenzia ha risposto tempestivamente alla richiesta dello Stato membro. La relazione annuale di attività dell’Agenzia riporta informazioni dettagliate sulle azioni che l’Agenzia ha intrapreso per fornire sostegno ad hoc agli Stati membri e sui relativi costi.

3.   All’Agenzia può essere altresì chiesto di prestare consulenza o sostegno alla Commissione su questioni di carattere tecnico relative a sistemi esistenti o nuovi, anche tramite studi o collaudi. L’Agenzia informa il consiglio di amministrazione di tali richieste.

4.   Un gruppo composto da almeno cinque Stati membri può assegnare all’Agenzia il compito di sviluppare, gestire o ospitare una componente IT comune che li assista nell’attuazione degli aspetti tecnici degli obblighi derivanti dal diritto dell’Unione sui sistemi decentrati nello spazio di libertà, sicurezza e giustizia. Tali soluzioni IT comuni lasciano impregiudicati gli obblighi che il diritto applicabile dell’Unione impone agli Stati membri richiedenti, in particolare per quanto riguarda l’architettura di tali sistemi.

In particolare, gli Stati membri richiedenti possono incaricare l’Agenzia di istituire una componente o un router comune per le informazioni anticipate sui passeggeri e per i dati del codice di prenotazione dei passeggeri quale strumento di assistenza tecnica per agevolare la connettività con i vettori aerei, al fine di assistere gli Stati membri nell’attuazione della direttiva 2004/82/CE del Consiglio (44) e della direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio (45). In tal caso l’Agenzia raccoglie a livello centrale i dati dei vettori aerei e li trasmette agli Stati membri attraverso la componente o il router comune. Gli Stati membri richiedenti adottano le misure necessarie a garantire che i vettori aerei trasferiscano i dati tramite l’Agenzia.

L’Agenzia è incaricata di sviluppare, gestire o ospitare una componente IT comune unicamente previa approvazione della Commissione e in caso di decisione favorevole da parte del consiglio di amministrazione.

Gli Stati membri richiedenti affidano all’Agenzia i compiti di cui al primo e al secondo comma tramite un accordo di delega che definisce le condizioni per la delega dei compiti nonché il calcolo di tutti i costi pertinenti e il metodo di fatturazione. Tutti i costi pertinenti sono coperti dagli Stati membri partecipanti. L’accordo di delega è conforme agli atti giuridici dell’Unione che disciplinano i sistemi in questione. L’Agenzia informa il Parlamento europeo e il Consiglio dell’accordo di delega approvato e delle eventuali modifiche apportate allo stesso.

Altri Stati membri possono chiedere di partecipare a una soluzione IT comune se tale possibilità è prevista dall’accordo di delega, precisando in particolare le conseguenze finanziarie di tale partecipazione. L’accordo di delega è modificato di conseguenza, previe approvazione preliminare della Commissione e decisione favorevole del consiglio di amministrazione.

CAPO III

STRUTTURA E ORGANIZZAZIONE

Articolo 17

Status giuridico e ubicazione

1.   L’Agenzia è un organismo dell’Unione ed è dotata di personalità giuridica.

2.   L’Agenzia gode della più ampia capacità giuridica riconosciuta alle persone giuridiche dal diritto nazionale in ciascuno Stato membro. In particolare, può acquistare o alienare beni mobili e immobili e può stare in giudizio.

3.   L’Agenzia ha sede a Tallinn (Estonia).

I compiti relativi allo sviluppo e alla gestione operativa di cui all’articolo 1, paragrafi 4 e 5, agli articoli 3, 4, 5, 6, 7, 8, 9 e 11 sono svolti nel sito tecnico di Strasburgo (Francia).

Un sito di riserva in grado di assicurare il funzionamento di un sistema IT su larga scala in caso di guasto di tale sistema è installato a Sankt Johann im Pongau (Austria).

4.   Entrambi i siti tecnici possono essere utilizzati per far funzionare simultaneamente i sistemi, purché in caso di guasto di uno o più sistemi il sito di riserva resti in grado di garantirne il funzionamento.

5.   In ragione della natura specifica dei sistemi, qualora dovesse rendersi necessario per l’Agenzia istituire un secondo sito tecnico distinto a Strasburgo o a Sankt Johann im Pongau, o in entrambi i luoghi, secondo la necessità, al fine di ospitare i sistemi, tale necessità è motivata sulla base di una valutazione d’impatto e di un’analisi costi-benefici indipendenti. Il consiglio di amministrazione consulta la Commissione e tiene conto del suo punto di vista prima di notificare all’autorità di bilancio l’intenzione di realizzare un progetto di natura immobiliare conformemente all’articolo 45, paragrafo 9.

Articolo 18

Struttura

1.   La struttura amministrativa e gestionale dell’Agenzia è composta da:

a)

un consiglio di amministrazione;

b)

un direttore esecutivo;

c)

gruppi consultivi.

2.   La struttura dell’Agenzia comprende:

a)

un responsabile della protezione dei dati;

b)

un responsabile della sicurezza;

c)

un contabile.

Articolo 19

Funzioni del consiglio di amministrazione

1.   Il consiglio di amministrazione:

a)

fornisce orientamenti generali per le attività dell’Agenzia;

b)

adotta, a maggioranza dei due terzi dei membri con diritto di voto, il bilancio annuale dell’Agenzia ed esercita altre funzioni in relazione al bilancio dell’Agenzia a norma del capo V;

c)

nomina il direttore esecutivo e il vicedirettore esecutivo e, se del caso, ne proroga i rispettivi mandati o li rimuove dall’incarico a norma, rispettivamente, degli articoli 25 e 26;

d)

esercita l’autorità disciplinare nei confronti del direttore esecutivo e ne controlla l’operato, compresa l’esecuzione delle decisioni del consiglio di amministrazione, ed esercita l’autorità disciplinare nei confronti del vicedirettore esecutivo, d’accordo con il direttore esecutivo;

e)

prende tutte le decisioni sull’istituzione della struttura organizzativa dell’Agenzia e, se necessario, sulla relativa modifica, in considerazione delle necessità per l’attività dell’Agenzia e secondo una sana gestione di bilancio;

f)

adotta la politica dell’Agenzia in materia di personale;

g)

stabilisce il regolamento interno dell’Agenzia;

h)

adotta una strategia antifrode, proporzionata al rischio di frode, tenendo conto dei costi e dei benefici delle misure da attuare;

i)

adotta norme di prevenzione e gestione dei conflitti di interesse in relazione ai suoi membri e le pubblica sul sito web dell’Agenzia;

j)

adotta norme e procedure interne dettagliate per la protezione degli informatori, compresi canali adeguati di comunicazione per la segnalazione di irregolarità;

k)

autorizza la conclusione di accordi operativi conformemente agli articoli 41 e 43;

l)

approva, su proposta del direttore esecutivo, l’accordo sulla sede dell’Agenzia e gli accordi sui siti tecnici e di riserva, stabiliti in conformità dell’articolo 17, paragrafo 3, che il direttore esecutivo e gli Stati membri ospitanti devono firmare;

m)

esercita, ai sensi del paragrafo 2, nei confronti del personale dell’Agenzia, i poteri conferiti dallo statuto dei funzionari all’autorità che ha il potere di nomina e dal regime applicabile agli altri agenti all’autorità abilitata a concludere i contratti di assunzione («poteri dell’autorità che ha il potere di nomina»);

n)

adotta, in accordo con la Commissione, le disposizioni di attuazione necessarie per dare effetto allo statuto dei funzionari conformemente all’articolo 110 dello statuto dei funzionari;

o)

adotta le necessarie disposizioni relative al distacco di esperti nazionali presso l’Agenzia;

p)

adotta un progetto di stato di previsione delle entrate e delle spese dell’Agenzia, comprensivo di un progetto di tabella dell’organico, e lo presenta alla Commissione entro il 31 gennaio di ogni anno;

q)

adotta il progetto di documento unico di programmazione, che contiene la programmazione pluriennale dell’Agenzia, il suo programma di lavoro per l’anno successivo e un progetto provvisorio di stato di previsione delle entrate e delle spese dell’Agenzia comprensivo di un progetto di tabella dell’organico, e lo presenta, unitamente a qualsiasi versione aggiornata di tale documento, al Parlamento europeo, al Consiglio e alla Commissione entro il 31 gennaio di ogni anno;

r)

adotta, entro il 30 novembre di ogni anno, a maggioranza dei due terzi dei membri aventi diritto di voto, conformemente alla procedura annuale di bilancio, il documento unico di programmazione tenendo conto del parere della Commissione e provvede a che il testo definitivo di tale documento unico di programmazione sia trasmesso al Parlamento europeo, al Consiglio e alla Commissione e pubblicato;

s)

adotta, entro la fine di agosto di ogni anno, una relazione intermedia sui progressi compiuti nell’attuazione delle attività programmate per l’anno in corso e la presenta al Parlamento europeo, al Consiglio e alla Commissione;

t)

valuta e adotta la relazione annuale di attività consolidata delle attività dell’Agenzia per l’anno precedente, in cui confronta, in particolare, i risultati ottenuti con gli obiettivi del programma di lavoro annuale e, entro il 1o luglio di ogni anno, trasmette sia la relazione che la relativa valutazione al Parlamento europeo, al Consiglio, alla Commissione e alla Corte dei conti e assicura che la relazione annuale di attività sia pubblicata;

u)

svolge le funzioni attribuitegli in relazione al bilancio dell’Agenzia, compresa la realizzazione dei progetti pilota e dei prototipi di cui all’articolo 15;

v)

adotta la regolamentazione finanziaria applicabile all’Agenzia in conformità dell’articolo 49;

w)

nomina un contabile, che può essere il contabile della Commissione, che è soggetto allo statuto dei funzionari e opera in piena indipendenza nell’esercizio delle sue funzioni;

x)

assicura un seguito adeguato alle osservazioni e alle raccomandazioni risultanti dalle varie relazioni di audit e valutazioni interne e esterne, e dalle indagini dell’Ufficio europeo per la lotta antifrode (OLAF) e della procura europea (EPPO);

y)

adotta i piani di comunicazione e divulgazione di cui all’articolo 34, paragrafo 4, e li aggiorna periodicamente;

z)

adotta le misure di sicurezza necessarie, compresi un piano di sicurezza e un piano di continuità operativa e di ripristino in caso di disastro, tenendo conto delle eventuali raccomandazioni degli esperti di sicurezza che fanno parte dei gruppi consultivi;

aa)

previa approvazione della Commissione, adotta le norme di sicurezza per la protezione delle informazioni classificate e delle informazioni sensibili non classificate;

bb)

nomina un responsabile della sicurezza;

cc)

nomina un responsabile della protezione dei dati conformemente al regolamento (UE) 2018/1725;

dd)

adotta le modalità pratiche di attuazione del regolamento (CE) n. 1049/2001;

ee)

adotta le relazioni sullo sviluppo dell’EES conformemente all’articolo 72, paragrafo 2, del regolamento (UE) 2017/2226 e le relazioni sullo sviluppo dell’ETIAS conformemente all’articolo 92, paragrafo 2, del regolamento (UE) 2018/1240;

ff)

adotta le relazioni sul funzionamento tecnico del SIS II in conformità, rispettivamente, dell’articolo 50, paragrafo 4, del regolamento (CE) n. 1987/2006 e dell’articolo 66, paragrafo 4, della decisione 2007/533/GAI e del VIS in conformità dell’articolo 50, paragrafo 3, del regolamento (CE) n. 767/2008 e dell’articolo 17, paragrafo 3, della decisione 2008/633/GAI, dell’EES in conformità dell’articolo 72, paragrafo 4, del regolamento (UE) 2017/2226 e dell’ETIAS in conformità dell’articolo 92, paragrafo 4, del regolamento (UE) 2018/1240;

gg)

adotta la relazione annuale sulle attività del sistema centrale di Eurodac conformemente all’articolo 40, paragrafo 1, del regolamento (UE) n. 603/2013;

hh)

adotta osservazioni formali sulle relazioni del Garante europeo della protezione dei dati relative ai controlli e agli audit effettuati in conformità dell’articolo 45, paragrafo 2, del regolamento (CE) n. 1987/2006, dell’articolo 42, paragrafo 2, del regolamento (CE) n. 767/2008, dell’articolo 31, paragrafo 2, del regolamento (UE) n. 603/2013, dell’articolo 56, paragrafo 2, del regolamento (UE) 2017/2226 e dell’articolo 67 del regolamento (UE) 2018/1240 e assicura adeguato seguito a tali controlli e audit;

ii)

pubblica le statistiche relative al SIS II in conformità, rispettivamente, dell’articolo 50, paragrafo 3, del regolamento (CE) n. 1987/2006 e dell’articolo 66, paragrafo 3, della decisione 2007/533/GAI;

jj)

elabora e pubblica statistiche sulle attività del sistema centrale dell’Eurodac in conformità dell’articolo 8, paragrafo 2, del regolamento (UE) n. 603/2013;

kk)

pubblica le statistiche relative all’EES in conformità dell’articolo 63 del regolamento (UE) 2017/2226;

ll)

pubblica le statistiche relative all’ETIAS in conformità dell’articolo 84 del regolamento (UE) 2018/1240;

mm)

provvede alla pubblicazione annuale dell’elenco delle autorità competenti autorizzate a consultare direttamente i dati inseriti nel SIS II in conformità dell’articolo 31, paragrafo 8, del regolamento (CE) n. 1987/2006 e dell’articolo 46, paragrafo 8, della decisione 2007/533/GAI, e dell’elenco degli uffici dei sistemi nazionali del SIS II (uffici N.SIS II) e degli uffici SIRENE in conformità, rispettivamente, dell’articolo 7, paragrafo 3, del regolamento (CE) n. 1987/2006 e dell’articolo 7, paragrafo 3, della decisione 2007/533/GAI, nonché dell’elenco delle autorità competenti in conformità dell’articolo 65, paragrafo 2, del regolamento (UE) 2017/2226 e dell’elenco delle autorità competenti in conformità dell’articolo 87, paragrafo 2, del regolamento (UE) 2018/1240.

nn)

provvede alla pubblicazione annuale dell’elenco delle unità conformemente all’articolo 27, paragrafo 2, del regolamento (UE) n. 603/2013;

oo)

assicura che tutte le decisioni e azioni dell’Agenzia che interessano i sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia rispettino il principio di indipendenza della magistratura;

pp)

svolge ogni altro compito conferitogli conformemente al presente regolamento.

Fatte salve le disposizioni relative alla pubblicazione degli elenchi delle autorità competenti previste dagli atti giuridici dell’Unione di cui al primo comma, lettera mm), e ove tali atti giuridici non prevedano l’obbligo di pubblicare e aggiornare costantemente tali elenchi sul sito web dell’Agenzia, il consiglio di amministrazione ne garantisce la pubblicazione e gli aggiornamenti continui.

2.   Il consiglio di amministrazione adotta, in conformità dell’articolo 110 dello statuto dei funzionari, una decisione basata sull’articolo 2, paragrafo 1, dello statuto dei funzionari e sull’articolo 6 del regime applicabile agli altri agenti con cui delega al direttore esecutivo i poteri di autorità che ha il potere di nomina e stabilisce le condizioni di sospensione della delega di tali poteri. Il direttore esecutivo è autorizzato a subdelegare tali poteri.

Qualora circostanze eccezionali lo richiedano, il consiglio di amministrazione può, mediante decisione, sospendere temporaneamente la delega dei poteri di autorità che ha il potere di nomina delegati al direttore esecutivo e quelli subdelegati da quest’ultimo, ed esercitarli esso stesso o delegarli a uno dei suoi membri o a un membro del personale diverso dal direttore esecutivo.

3.   Il consiglio di amministrazione può consigliare il direttore esecutivo su qualsiasi questione strettamente legata allo sviluppo o alla gestione operativa dei sistemi IT su larga scala e alle attività collegate alla ricerca, ai progetti pilota, ai prototipi e ai collaudi.

Articolo 20

Composizione del consiglio di amministrazione

1.   Il consiglio di amministrazione è composto di un rappresentante di ciascuno Stato membro e di due rappresentanti della Commissione. Ogni rappresentante ha diritto di voto a norma dell’articolo 23.

2.   Ciascun membro del consiglio di amministrazione ha un supplente. Il supplente assume la rappresentanza del membro in sua assenza o nel caso in cui il membro sia eletto presidente o vicepresidente del consiglio di amministrazione e presieda la riunione del consiglio di amministrazione. I membri del consiglio di amministrazione e i loro supplenti sono nominati in base all’alto livello della loro esperienza e competenza in materia di sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia e alle loro conoscenze in materia di protezione di dati, tenuto conto delle loro competenze di tipo gestionale, amministrativo e di bilancio. Tutte le parti rappresentate nel consiglio di amministrazione si sforzano di limitare l’avvicendamento dei rispettivi rappresentanti per assicurare la continuità dei lavori del consiglio di amministrazione. Tutte le parti si adoperano per conseguire una rappresentanza di genere equilibrata nel consiglio di amministrazione.

3.   La durata del mandato dei membri e dei loro supplenti è di quattro anni ed è rinnovabile. Alla scadenza del mandato o in caso di dimissioni i membri restano in carica fino al rinnovo del mandato o fino alla loro sostituzione.

4.   I paesi associati all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen e alle misure relative al regolamento Dublino e all’Eurodac partecipano alle attività dell’Agenzia. Ciascuno di essi nomina un rappresentante e un supplente nel consiglio di amministrazione.

Articolo 21

Presidente del consiglio di amministrazione

1.   Il consiglio di amministrazione elegge un presidente e un vicepresidente fra i propri membri nominati dagli Stati membri che, in base al diritto dell’Unione, sono pienamente vincolati da tutti gli atti giuridici dell’Unione che disciplinano lo sviluppo, l’istituzione, l’esercizio e l’uso di tutti i sistemi IT su larga scala gestiti dall’Agenzia. Il presidente e il vicepresidente sono eletti a maggioranza di due terzi dei membri del consiglio di amministrazione con diritto di voto.

Il vicepresidente sostituisce d’ufficio il presidente in caso di suo impedimento.

2.   Il mandato del presidente e del vicepresidente è di quattro anni. Il mandato è rinnovabile una volta. Qualora l’appartenenza del presidente e del vicepresidente al consiglio di amministrazione termini in un qualsiasi momento in corso di mandato, questo scade automaticamente alla stessa data.

Articolo 22

Riunioni del consiglio di amministrazione

1.   Le riunioni del consiglio di amministrazione sono indette dal presidente.

2.   Il direttore esecutivo partecipa alle deliberazioni del consiglio di amministrazione, senza diritto di voto.

3.   Il consiglio di amministrazione tiene almeno due riunioni ordinarie all’anno. Si riunisce inoltre su iniziativa del presidente, su richiesta della Commissione, su richiesta del direttore esecutivo o su richiesta di almeno un terzo dei membri del consiglio di amministrazione con diritto di voto.

4.   Europol e Eurojust possono assistere alle riunioni del consiglio di amministrazione in qualità di osservatori quando sono all’ordine del giorno questioni concernenti il SIS II in relazione all’applicazione della decisione 2007/533/GAI. L’Agenzia europea della guardia di frontiera e costiera può assistere alle riunioni del consiglio di amministrazione in qualità di osservatore quando sono all’ordine del giorno questioni concernenti il SIS II, in relazione all’applicazione del regolamento (UE) 2016/1624.

Europol può assistere alle riunioni del consiglio di amministrazione in qualità di osservatore quando sono all’ordine del giorno questioni concernenti il VIS in relazione all’applicazione della decisione 2008/633/GAI o questioni concernenti l’Eurodac in relazione all’applicazione del regolamento (UE) n. 603/2013.

Europol può assistere alle riunioni del consiglio di amministrazione in qualità di osservatore quando sono all’ordine del giorno questioni concernenti l’EES in relazione all’applicazione del regolamento (UE) 2017/2226 o questioni concernenti l’ETIAS in relazione al regolamento (UE) 2018/1240. L’Agenzia europea della guardia di frontiera e costiera può assistere alle riunioni del consiglio di amministrazione in qualità di osservatore anche quando sono all’ordine del giorno questioni concernenti l’ETIAS in relazione all’applicazione del regolamento 2018/1240.

Il consiglio di amministrazione può invitare a presenziare alle riunioni in veste di osservatore qualsiasi altra persona il cui parere possa essere rilevante.

5.   I membri del consiglio di amministrazione e i loro supplenti possono farsi assistere da consulenti o esperti, in particolare membri dei gruppi consultivi, fatte salve le disposizioni del regolamento interno del consiglio di amministrazione.

6.   L’Agenzia provvede alle funzioni di segreteria del consiglio di amministrazione.

Articolo 23

Modalità di voto del consiglio di amministrazione

1.   Fatti salvi il paragrafo 5 del presente articolo, l’articolo 19, paragrafo 1, lettere b) e r), l’articolo 21, paragrafo 1, e l’articolo 25, paragrafo 8, le decisioni del consiglio di amministrazione sono adottate a maggioranza dei membri aventi diritto di voto.

2.   Fatti salvi i paragrafi 3 e 4, ogni membro del consiglio di amministrazione dispone di un voto. In assenza di un membro con diritto di voto, il supplente è abilitato a esercitare il suo diritto di voto.

3.   Ogni membro nominato da uno Stato membro che, in base al diritto dell’Unione, è vincolato da qualsiasi atto giuridico dell’Unione che disciplini lo sviluppo, l’istituzione, l’esercizio e l’uso di un sistema IT su larga scala gestito dall’Agenzia può votare sulle questioni riguardanti quel sistema.

La Danimarca può votare sulle questioni riguardanti un sistema IT su larga scala qualora decida, ai sensi dell’articolo 4 del protocollo n. 22, di recepire nel proprio diritto interno l’atto giuridico dell’Unione che disciplina lo sviluppo, l’istituzione, l’esercizio e l’uso di tale particolare sistema IT su larga scala.

4.   L’articolo 42 si applica al diritto di voto dei rappresentanti dei paesi che hanno concluso con l’Unione accordi riguardanti la loro associazione all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen e alle misure relative al regolamento Dublino e a Eurodac.

5.   In caso di disaccordo tra i membri sulla questione se una votazione riguardi o meno uno specifico sistema IT su larga scala, qualsiasi decisione che stabilisca che la votazione non riguarda tale specifico sistema IT su larga scala è adottata a maggioranza dei due terzi dei membri del consiglio di amministrazione aventi diritto di voto.

6.   Il presidente, o il vicepresidente quando sostituisce il presidente, non vota. Il diritto di voto del presidente, o del vicepresidente quando sostituisce il presidente, è esercitato dal suo supplente.

7.   Il direttore esecutivo non vota.

8.   Il regolamento interno del consiglio di amministrazione stabilisce in modo più dettagliato le regole di voto, in particolare le condizioni alle quali un membro può agire a nome di un altro e, se del caso, i requisiti relativi al quorum.

Articolo 24

Compiti del direttore esecutivo

1.   Il direttore esecutivo assicura la gestione dell’Agenzia. Il direttore esecutivo assiste e risponde al consiglio di amministrazione. Su richiesta, il direttore esecutivo riferisce al Parlamento europeo sull’esercizio delle sue funzioni. Il Consiglio può invitare il direttore esecutivo a riferire sull’esercizio delle sue funzioni.

2.   Il direttore esecutivo è il rappresentante legale dell’Agenzia.

3.   Il direttore esecutivo è responsabile dell’esecuzione dei compiti conferiti all’Agenzia dal presente regolamento. In particolare, il direttore esecutivo è responsabile di quanto segue:

a)

amministrazione corrente dell’Agenzia;

b)

funzionamento dell’Agenzia conformemente al presente regolamento;

c)

preparare e applicare le procedure, le decisioni e le strategie, i programmi e le attività adottate dal consiglio di amministrazione, nei limiti previsti dal presente regolamento, dalle relative modalità di attuazione e dal diritto dell’Unione applicabile;

d)

preparare il documento unico di programmazione e presentarlo al consiglio di amministrazione previa consultazione della Commissione e dei gruppi consultivi;

e)

attuare il documento unico di programmazione e riferire in merito al consiglio di amministrazione;

f)

preparare una relazione intermedia sui progressi compiuti nell’attuazione delle attività programmate per l’anno in corso e, previa consultazione dei gruppi consultivi, presentarla al consiglio di amministrazione per adozione entro la fine di agosto di ogni anno;

g)

redigere la relazione annuale di attività consolidata dell’Agenzia e, previa consultazione dei gruppi consultivi, presentarla al consiglio di amministrazione per valutazione e adozione;

h)

elaborare un piano d’azione volto a dare seguito alle conclusioni delle relazioni di audit e valutazioni interne o esterne e alle indagini dell’OLAF e dell’EPPO, e informare due volte l’anno la Commissione sui progressi compiuti e periodicamente il consiglio di amministrazione;

i)

tutelare gli interessi finanziari dell’Unione mediante l’applicazione di misure di prevenzione contro le frodi, la corruzione e qualsiasi altra attività illecita, fatti salvi i poteri investigativi dell’EPPO e dell’OLAF, attraverso controlli effettivi e, nel caso in cui siano riscontrate irregolarità, il recupero delle somme indebitamente corrisposte e, se del caso, mediante l’applicazione di sanzioni amministrative effettive, proporzionate e dissuasive, anche di carattere pecuniario;

j)

preparare una strategia antifrode dell’Agenzia e presentarla al consiglio di amministrazione per approvazione, come pure monitorarne la corretta e tempestiva attuazione;

k)

redigere un progetto di regolamentazione finanziaria applicabile all’Agenzia e presentarlo al consiglio di amministrazione per adozione, previa consultazione della Commissione;

l)

preparare il progetto di bilancio per l’esercizio successivo, elaborato in base al sistema della formazione del bilancio per attività;

m)

redigere il progetto di stato di previsione delle spese e delle entrate dell’Agenzia;

n)

attuare il bilancio dell’Agenzia;

o)

definire e attuare un sistema efficace di valutazione e controllo periodici:

i)

dei sistemi IT su larga scala, comprese le statistiche; e

ii)

dell’Agenzia, ivi inclusa la realizzazione efficiente ed efficace dei suoi obiettivi;

p)

fatto salvo l’articolo 17 dello statuto dei funzionari, stabilire le clausole di riservatezza per conformarsi all’articolo 17 del regolamento (CE) n. 1987/2006, all’articolo 17 della decisione 2007/533/GAI, all’articolo 26, paragrafo 9, del regolamento (CE) n. 767/2008, all’articolo 4, paragrafo 4, del regolamento (UE) n. 603/2013, all’articolo 37, paragrafo 4, del regolamento (UE) 2017/2226 e all’articolo 74, paragrafo 2, del regolamento (UE) 2018/1240;

q)

negoziare e, previa approvazione del consiglio di amministrazione, firmare con gli Stati membri ospitanti l’accordo sulla sede dell’Agenzia e gli accordi relativi ai siti tecnici e di riserva;

r)

preparare le modalità pratiche per l’attuazione del regolamento (CE) n. 1049/2001 e presentarle al consiglio di amministrazione per adozione;

s)

elaborare le misure di sicurezza necessarie, compresi un piano di sicurezza e un piano di continuità operativa e di ripristino in caso di disastro e, previa consultazione del pertinente gruppo consultivo, presentarli al consiglio di amministrazione per adozione;

t)

sulla base dei risultati del controllo e della valutazione, predisporre le relazioni sul funzionamento tecnico di ogni sistema IT su larga scala di cui all’articolo 19, paragrafo 1, lettera ff), e la relazione annuale sulle attività del sistema centrale dell’Eurodac di cui all’articolo 19, paragrafo 1, lettera gg), e, previa consultazione del pertinente gruppo consultivo, presentarle al consiglio di amministrazione per adozione;

u)

preparare le relazioni sullo sviluppo dell’EES di cui all’articolo 72, paragrafo 2, del regolamento (UE) 2017/2226 e sullo sviluppo dell’ETIAS di cui all’articolo 92, paragrafo 2, del regolamento (UE) 2018/1240 e presentarle al consiglio di amministrazione per adozione;

v)

preparare, a fini di pubblicazione, l’elenco annuale delle autorità competenti autorizzate a consultare direttamente i dati inseriti nel SIS II, compreso l’elenco degli uffici N.SIS II e degli uffici SIRENE, e l’elenco delle autorità competenti autorizzate a consultare direttamente i dati inseriti nell’EES e nell’ETIAS di cui all’articolo 19, paragrafo 1, lettera mm), e gli elenchi delle unità di cui all’articolo 19, paragrafo 1, lettera nn), e presentarli al consiglio di amministrazione per adozione.

4.   Il direttore esecutivo svolge ogni altro compito conformemente al presente regolamento.

5.   Il direttore esecutivo decide se sia necessario collocare uno o più membri del personale in uno o più Stati membri per svolgere i compiti dell’Agenzia in maniera efficiente ed efficace ed istituire un ufficio locale a tal fine. Prima di adottare tale decisione, il direttore esecutivo deve ottenere il consenso della Commissione, del consiglio di amministrazione e dello Stato membro o degli Stati membri interessati. La decisione del direttore esecutivo precisa l’ambito delle attività che devono essere espletate presso l’ufficio locale al fine di evitare costi inutili e duplicazioni di funzioni amministrative dell’Agenzia. Le attività svolte nei siti tecnici non sono eseguite in un ufficio locale.

Articolo 25

Nomina del direttore esecutivo

1.   Il consiglio di amministrazione nomina il direttore esecutivo sulla base di un elenco di almeno tre candidati proposto dalla Commissione, secondo una procedura di selezione aperta e trasparente. La procedura di selezione prevede la pubblicazione di un invito a manifestare interesse nella Gazzetta ufficiale dell’Unione europea e in altri strumenti d’informazione adeguati. Il consiglio di amministrazione nomina il direttore esecutivo sulla base dei meriti, dell’esperienza comprovata in materia di sistemi IT su larga scala, delle capacità amministrative, finanziarie e gestionali e delle conoscenze in materia di protezione di dati.

2.   Prima della nomina, i candidati proposti dalla Commissione sono invitati a rendere una dichiarazione dinanzi alla commissione o alle commissioni competenti del Parlamento europeo e a rispondere alle domande dei membri delle commissioni. Dopo aver sentito la dichiarazione e le risposte, il Parlamento europeo adotta un parere e può esprimere una preferenza per un candidato.

3.   Il consiglio di amministrazione nomina il direttore esecutivo tenendo conto di tale opinione.

4.   Se il consiglio di amministrazione decide di nominare un candidato diverso da quello per il quale il Parlamento europeo aveva espresso una preferenza, informa per iscritto il Parlamento europeo e il Consiglio del modo in cui è stato tenuto conto del parere del Parlamento europeo.

5.   Il mandato del direttore esecutivo è di cinque anni. Entro la fine di tale periodo la Commissione effettua una valutazione che tiene conto dei risultati ottenuti dal direttore esecutivo e dei compiti e delle sfide futuri dell’Agenzia.

6.   Agendo su proposta della Commissione, la quale tiene conto della valutazione di cui al paragrafo 5, il consiglio di amministrazione può prorogare il mandato del direttore esecutivo una sola volta, per non più di cinque anni.

7.   Il consiglio di amministrazione informa il Parlamento europeo dell’intenzione di prorogare il mandato del direttore esecutivo. Entro il mese precedente tale proroga, il direttore esecutivo è invitato a rendere una dichiarazione dinanzi alla commissione o alle commissioni competenti del Parlamento europeo e a rispondere alle domande dei membri delle commissioni.

8.   Il direttore esecutivo il cui mandato sia stato prorogato non può partecipare a un’altra procedura di selezione per lo stesso posto alla fine del periodo complessivo.

9.   Il direttore esecutivo può essere rimosso dall’incarico solo su decisione del consiglio di amministrazione, che agisce su proposta della maggioranza dei membri aventi diritto di voto o della Commissione.

10.   Il consiglio di amministrazione adotta le decisioni riguardanti la nomina del direttore esecutivo, la proroga del suo mandato e la sua rimozione dall’incarico a maggioranza di due terzi dei membri aventi diritto di voto.

11.   Ai fini della conclusione del contratto di lavoro con il direttore esecutivo l’Agenzia è rappresentata dal presidente del consiglio di amministrazione. Il direttore esecutivo è assunto come agente temporaneo dell’Agenzia ai sensi dell’articolo 2, lettera a), del regime applicabile agli altri agenti.

Articolo 26

Vicedirettore esecutivo

1.   Il direttore esecutivo è assistito da un vicedirettore esecutivo. Il vicedirettore esecutivo fa altresì le veci del direttore esecutivo in sua assenza. Il direttore esecutivo definisce le funzioni del vicedirettore esecutivo.

2.   Il vicedirettore esecutivo è nominato dal consiglio d’amministrazione su proposta del direttore esecutivo. Il vicedirettore esecutivo è nominato sulla base del merito e di adeguate competenze in materia amministrativa e gestionale, compresa una pertinente esperienza professionale. Il direttore esecutivo propone almeno tre candidati per il posto di vicedirettore esecutivo. Il consiglio d’amministrazione delibera a maggioranza dei due terzi dei membri aventi diritto di voto. Il consiglio di amministrazione ha la facoltà di revocare il vicedirettore esecutivo mediante decisione adottata a maggioranza di due terzi dei membri aventi diritto di voto.

3.   Il mandato del vicedirettore esecutivo ha una durata di cinque anni. Il consiglio d’amministrazione può prorogare tale mandato una sola volta, per un periodo della durata massima di cinque anni. Il consiglio d’amministrazione adotta tale decisione a maggioranza dei due terzi dei membri aventi diritto di voto.

Articolo 27

Gruppi consultivi

1.   I seguenti gruppi consultivi forniscono al consiglio di amministrazione le competenze tecniche relative ai sistemi IT su larga scala, in particolare nel contesto della preparazione del programma di lavoro annuale e della relazione annuale di attività:

a)

gruppo consultivo SIS II;

b)

gruppo consultivo VIS;

c)

gruppo consultivo Eurodac;

d)

gruppo consultivo EES-ETIAS;

e)

ogni altro gruppo consultivo relativo a un sistema IT su larga scala, se così previsto dal pertinente atto giuridico dell’Unione che ne disciplina lo sviluppo, l’istituzione, l’esercizio e l’uso.

2.   Ogni Stato membro che, in base al diritto dell’Unione, sia vincolato da un atto giuridico dell’Unione che disciplini lo sviluppo, l’istituzione, l’esercizio e l’uso di un dato sistema IT su larga scala e la Commissione nominano un membro in seno al gruppo consultivo relativo a quel sistema IT su larga scala, con un mandato di quattro anni rinnovabile.

La Danimarca nomina un membro in seno al gruppo consultivo relativo a un dato sistema IT su larga scala qualora decida, ai sensi dell’articolo 4 del protocollo n. 22, di recepire nel proprio diritto interno l’atto giuridico dell’Unione che disciplina lo sviluppo, l’istituzione, l’esercizio e l’uso di quel sistema IT su larga scala.

Ciascun paese associato all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen e alle misure relative al regolamento Dublino e a Eurodac che partecipi a un determinato sistema IT su larga scala nomina un membro in seno al gruppo consultivo relativo a quel sistema IT su larga scala.

3.   Europol, Eurojust e l’Agenzia europea della guardia di frontiera e costiera possono nominare un rappresentante ciascuno in seno al gruppo consultivo SIS II. Europol può nominare anche un rappresentante in seno ai gruppi consultivi VIS, Eurodac ed EES/ETIAS. L’Agenzia europea della guardia di frontiera e costiera può nominare anche un rappresentante in seno al gruppo consultivo EES-ETIAS.

4.   I membri del consiglio di amministrazione e i loro supplenti non sono membri di nessun gruppo consultivo. Il direttore esecutivo o un suo rappresentante può presenziare a tutte le riunioni dei gruppi consultivi in qualità di osservatore.

5.   I gruppi consultivi cooperano tra di loro ove necessario. Le procedure per il funzionamento e la cooperazione dei gruppi consultivi sono stabilite nel regolamento interno dell’Agenzia.

6.   Quando preparano un parere, i membri di ogni gruppo consultivo si adoperano per giungere a un consenso. Se tale consenso non è raggiunto, si considera che il parere del gruppo consultivo rispecchi la posizione motivata della maggioranza dei membri. Sono messe a verbale anche la posizione o le posizioni di minoranza motivate. L’articolo 23, paragrafi 3 e 5, si applica di conseguenza. I membri che rappresentano i paesi associati all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen e alle misure relative al regolamento Dublino e a Eurodac possono esprimere pareri in merito alle questioni sulle quali non hanno diritto di voto.

7.   Ciascuno Stato membro e ciascun paese associato all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen e alle misure relative al regolamento Dublino e a Eurodac facilitano le attività dei gruppi consultivi.

8.   L’articolo 21 si applica alla presidenza dei gruppi consultivi, mutatis mutandis.

CAPO IV

DISPOSIZIONI GENERALI

Articolo 28

Personale

1.   Al personale dell’Agenzia, compreso il direttore esecutivo, si applicano lo statuto dei funzionari e le regole adottate di comune accordo dalle istituzioni dell’Unione per l’applicazione di detto statuto.

2.   Ai fini dell’applicazione dello statuto l’Agenzia è considerata un’agenzia ai sensi dell’articolo 1 bis, paragrafo 2, dello statuto dei funzionari.

3.   Il personale dell’Agenzia è composto di funzionari e agenti temporanei e contrattuali. Il consiglio di amministrazione dà il proprio assenso su base annuale nel caso di contratti che il direttore esecutivo intende rinnovare qualora, a seguito del rinnovo, diventino contratti a tempo indeterminato in base al regime applicabile agli altri agenti.

4.   L’Agenzia non assume personale interinale per svolgere mansioni finanziarie considerate sensibili.

5.   La Commissione e gli Stati membri possono distaccare temporaneamente funzionari o esperti nazionali presso l’Agenzia. Il consiglio di amministrazione adotta una decisione che stabilisce le norme relative al distacco di esperti nazionali presso l’Agenzia.

6.   Fatto salvo l’articolo 17 dello statuto dei funzionari, l’Agenzia applica norme adeguate in materia di segreto professionale o altri obblighi di riservatezza equivalenti.

7.   Il consiglio di amministrazione, di concerto con la Commissione, adotta le necessarie disposizioni di esecuzione di cui all’articolo 110 dello statuto dei funzionari.

Articolo 29

Interesse pubblico

I membri del consiglio di amministrazione, il direttore esecutivo, il vicedirettore esecutivo e i membri dei gruppi consultivi si impegnano ad agire nell’interesse pubblico. A tal fine, emettono pubblicamente ogni anno una dichiarazione scritta d’impegno, che è pubblicata nel sito web dell’Agenzia.

L’elenco dei membri del consiglio di amministrazione e dei membri dei gruppi consultivi è pubblicato nel sito web dell’Agenzia.

Articolo 30

Accordo relativo alla sede e accordi relativi ai siti tecnici

1.   Le necessarie disposizioni relative all’insediamento dell’Agenzia negli Stati membri ospitanti e alle strutture che tali Stati membri devono mettere a disposizione, così come le norme specifiche applicabili negli Stati membri ospitanti ai membri del consiglio d’amministrazione, al direttore esecutivo, agli altri membri del personale dell’Agenzia e ai loro familiari, sono fissate nell’accordo sulla sede dell’Agenzia e negli accordi sui siti tecnici. Tali accordi sono conclusi fra l’Agenzia e gli Stati membri ospitanti, previa approvazione del consiglio di amministrazione.

2.   Gli Stati membri che ospitano l’Agenzia garantiscono le condizioni necessarie per il buon funzionamento dell’Agenzia, offrendo anche, fra l’altro, una scolarizzazione multilingue e a orientamento europeo e collegamenti di trasporto adeguati.

Articolo 31

Privilegi e immunità

All’Agenzia si applica il protocollo sui privilegi e sulle immunità dell’Unione europea.

Articolo 32

Responsabilità civile

1.   La responsabilità contrattuale dell’Agenzia è disciplinata dal diritto applicabile al contratto.

2.   La Corte di giustizia dell’Unione europea è competente a giudicare in virtù di clausole compromissorie contenute nel contratto concluso dall’Agenzia.

3.   In materia di responsabilità extracontrattuale l’Agenzia risarcisce, secondo i principi generali comuni agli ordinamenti degli Stati membri, i danni causati dai suoi servizi o dal suo personale nell’esercizio delle loro funzioni.

4.   La Corte di giustizia dell’Unione europea è competente a pronunciarsi sulle controversie relative al risarcimento dei danni di cui al paragrafo 3.

5.   La responsabilità personale dei membri del personale dell’Agenzia nei confronti dell’Agenzia è disciplinata dalle disposizioni loro applicabili dello statuto dei funzionari o del regime relativo agli altri agenti.

Articolo 33

Regime linguistico

1.   Il regolamento n. 1 del Consiglio (46) si applica all’Agenzia.

2.   Fatte salve le decisioni adottate in base all’articolo 342 TFUE, il documento unico di programmazione di cui all’articolo 19, paragrafo 1, lettera r), e la relazione annuale di attività di cui all’articolo 19, paragrafo 1, lettera t), sono redatti in tutte le lingue ufficiali delle istituzioni dell’Unione.

3.   Fatti salvi gli obblighi di cui ai paragrafi 1 e 2, il consiglio di amministrazione può adottare una decisione sulle lingue di lavoro.

4.   I servizi di traduzione necessari per il funzionamento dell’Agenzia sono forniti dal Centro di traduzione degli organismi dell’Unione europea.

Articolo 34

Trasparenza e comunicazione

1.   Ai documenti detenuti dall’Agenzia si applica il regolamento (CE) n. 1049/2001.

2.   Il consiglio di amministrazione adotta senza ritardo le modalità di applicazione del regolamento (CE) n. 1049/2001 in base a una proposta del direttore esecutivo.

3.   Le decisioni adottate dall’Agenzia ai sensi dell’articolo 8 del regolamento (CE) n. 1049/2001 possono costituire oggetto di denuncia presso il Mediatore europeo o di ricorso dinanzi alla Corte di giustizia dell’Unione europea alle condizioni, rispettivamente, di cui agli articoli 228 e 263 TFUE.

4.   L’Agenzia comunica secondo quanto previsto dagli atti giuridici dell’Unione che disciplinano lo sviluppo, l’istituzione, l’esercizio e l’uso dei sistemi IT su larga scala e può svolgere attività di comunicazione di propria iniziativa nelle materie di sua competenza. L’Agenzia assicura in particolare che, oltre alle pubblicazioni specificate all’articolo 19, paragrafo 1, lettere r), t), ii), jj), kk) e ll), e all’articolo 47, paragrafo 9, il pubblico e qualsiasi parte interessata ricevano prontamente informazioni obiettive, accurate, affidabili, complete e di facile comprensione sull’attività da essa svolta. L’assegnazione di risorse alle attività di comunicazione non reca pregiudizio all’assolvimento effettivo dei compiti dell’Agenzia di cui agli articoli da 3 a 16. Le attività di comunicazione sono svolte in conformità dei pertinenti piani di comunicazione e divulgazione adottati dal consiglio di amministrazione.

5.   Qualsiasi persona fisica o giuridica ha il diritto di rivolgersi per iscritto all’Agenzia in una delle lingue ufficiali dell’Unione. La persona interessata ha diritto di ricevere una risposta nella medesima lingua.

Articolo 35

Protezione dei dati

1.   Il trattamento dei dati personali da parte dell’Agenzia è soggetto al regolamento (UE) 2018/1725.

2.   Il consiglio di amministrazione adotta le misure di applicazione del regolamento (UE) 2018/1725 da parte dell’Agenzia, comprese le misure relative al responsabile della protezione dei dati. Tali modalità sono adottate previa consultazione del Garante europeo della protezione dei dati.

Articolo 36

Finalità del trattamento dei dati personali

1.   L’Agenzia può trattare i dati personali solo per i seguenti scopi:

a)

ove necessario per lo svolgimento dei compiti di gestione operativa dei sistemi IT su larga scala ad essa affidati ai sensi del diritto dell’Unione;

b)

ove necessario per i suoi compiti amministrativi.

2.   In caso di trattamento di dati personali da parte dell’Agenzia per il fine previsto al paragrafo 1, lettera a), del presente articolo, si applica il regolamento (UE) 2018/1725, fatte salve le disposizioni specifiche in materia di protezione e sicurezza dei dati degli atti giuridici dell’Unione che disciplinano lo sviluppo, l’istituzione, l’esercizio e l’uso dei sistemi.

Articolo 37

Norme di sicurezza per la protezione delle informazioni classificate e delle informazioni sensibili non classificate

1.   L’Agenzia adotta le norme di sicurezza sulla base dei principi e delle regole stabiliti nelle norme di sicurezza della Commissione per la protezione delle informazioni classificate dell’Unione europea (ICUE) e delle informazioni sensibili non classificate, tra cui le disposizioni relative allo scambio con paesi terzi, al trattamento e alla conservazione di tali informazioni stabilite nelle decisioni (UE, Euratom) 2015/443 (47) e 2015/444 della Commissione (48). Qualsiasi accordo amministrativo sullo scambio di informazioni classificate con le autorità competenti di un paese terzo o, in assenza di tale accordo, qualsiasi comunicazione eccezionale ad hoc di ICUE a tali autorità devono essere approvati dalla Commissione in via preliminare.

2.   Il consiglio di amministrazione adotta le norme di sicurezza di cui al paragrafo 1 del presente articolo previa approvazione della Commissione. L’Agenzia può adottare tutte le misure necessarie per agevolare lo scambio, con la Commissione e gli Stati membri e, se del caso, con le pertinenti agenzie dell’Unione, di informazioni utili all’assolvimento dei suoi compiti. L’Agenzia sviluppa e gestisce un sistema informativo che permette di scambiare informazioni classificate con la Commissione, gli Stati membri e le pertinenti agenzie dell’Unione conformemente alla decisione (UE, Euratom) 2015/444. Il consiglio di amministrazione decide, conformemente all’articolo 2 e all’articolo 19, paragrafo 1, lettera z), la struttura interna dell’Agenzia necessaria ai fini del rispetto degli appropriati principi di sicurezza.

Articolo 38

Sicurezza dell’Agenzia

1.   L’Agenzia è responsabile della sicurezza e del mantenimento dell’ordine negli edifici, nei locali e sui terreni da essa utilizzati. L’Agenzia applica i principi di sicurezza e le pertinenti disposizioni degli atti giuridici dell’Unione che disciplinano lo sviluppo, l’istituzione, l’esercizio e l’uso dei sistemi IT su larga scala.

2.   Gli Stati membri ospitanti prendono tutte le misure efficaci e adeguate per mantenere l’ordine e la sicurezza nelle immediate vicinanze degli edifici, dei locali e dei terreni utilizzati dall’Agenzia e forniscono a quest’ultima una protezione adeguata conformemente all’accordo sulla sede dell’Agenzia e agli accordi relativi ai siti tecnici e di riserva, garantendo nel contempo il libero accesso delle persone autorizzate dall’Agenzia a tali edifici, locali e terreni.

Articolo 39

Valutazione

1.   Entro il 12 dicembre 2023 e in seguito ogni cinque anni, la Commissione, dopo aver consultato il consiglio di amministrazione, valuta, in base ai propri orientamenti, le prestazioni dell’Agenzia in relazione agli obiettivi, al mandato, all’ubicazione e ai compiti stabiliti per essa. Oltre all’applicazione del presente regolamento, tale valutazione esamina come e in che misura l’Agenzia contribuisca effettivamente alla gestione operativa dei sistemi IT su larga scala e all’instaurazione a livello di Unione di un ambiente IT coordinato, efficiente in termini di costi e coerente nello spazio di libertà, sicurezza e giustizia. Tale valutazione esamina in particolare l’eventuale necessità di modificare il mandato dell’Agenzia e le conseguenze finanziarie di tale eventuale modifica. Il consiglio di amministrazione può formulare raccomandazioni alla Commissione in merito a modifiche del presente regolamento.

2.   La Commissione, se ritiene che il mantenimento dell’Agenzia non sia più giustificato rispetto agli obiettivi, al mandato e ai compiti che le sono stati assegnati, può proporre di modificare opportunamente o di abrogare il presente regolamento.

3.   La Commissione riferisce le conclusioni della valutazione di cui al paragrafo 1 al Parlamento europeo, al Consiglio e al consiglio di amministrazione. I risultati della valutazione sono resi pubblici.

Articolo 40

Indagini amministrative

Le attività dell’Agenzia sono soggette alle indagini del Mediatore europeo in conformità dell’articolo 228 TFUE.

Articolo 41

Cooperazione con le istituzioni, gli organi e gli organismi dell’Unione

1.   Nelle materie contemplate dal presente regolamento l’Agenzia collabora con la Commissione, le altre istituzioni dell’Unione e gli altri organi e organismi dell’Unione, specialmente quelli istituiti nello spazio di libertà, sicurezza e giustizia, in particolare l’Agenzia dell’Unione europea per i diritti fondamentali per assicurare, tra l’altro, il coordinamento, realizzare risparmi sul piano finanziario, evitare duplicazioni e promuovere sinergie e complementarità nelle loro rispettive attività.

2.   L’Agenzia coopera con la Commissione nell’ambito di un accordo di collaborazione che stabilisce le modalità operative.

3.   Ove opportuno, l’Agenzia consulta e dà seguito alle raccomandazioni dell’Agenzia europea per la sicurezza delle reti e dell’informazione concernenti la sicurezza delle reti e dell’informazione.

4.   La cooperazione con gli organi e gli organismi dell’Unione rientra nel quadro degli accordi di collaborazione. Il consiglio di amministrazione autorizza tali accordi di collaborazione, tenendo conto del parere della Commissione. Se l’Agenzia non si conforma al parere della Commissione, presenta le motivazioni di tale decisione. Gli accordi di collaborazione possono prevedere la condivisione dei servizi tra le agenzie, se del caso, sulla base della prossimità geografica o degli ambiti politici, nei limiti dei rispettivi mandati e fatti salvi i rispettivi compiti principali. Tali accordi di collaborazione possono stabilire un meccanismo di recupero dei costi.

5.   Le istituzioni, gli organi e gli organismi dell’Unione usano le informazioni ricevute dall’Agenzia esclusivamente entro i limiti delle loro competenze e fintanto che rispettino i diritti fondamentali, compresi gli obblighi di protezione dei dati. La trasmissione ulteriore o ogni altra comunicazione di dati personali trattati dall’Agenzia a istituzioni, organi e organismi dell’Unione sono soggette ad accordi di collaborazione specifici riguardanti lo scambio di dati personali e alla previa approvazione del Garante europeo della protezione dei dati. Qualsiasi trasferimento di dati personali da parte dell’Agenzia deve rispettare gli articoli 35 e 36. Per quanto riguarda il trattamento delle informazioni classificate, tali accordi di collaborazione prevedono che l’istituzione, l’organo o l’organismo dell’Unione rispetti regole e norme di sicurezza equivalenti a quelle applicate dall’Agenzia.

Articolo 42

Partecipazione dei paesi associati all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen e alle misure relative al regolamento di Dublino e a Eurodac

1.   L’Agenzia è aperta alla partecipazione dei paesi che hanno concluso con l’Unione accordi riguardanti la loro associazione all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen e alle misure relative al regolamento Dublino e a Eurodac.

2.   Conformemente alle pertinenti disposizioni degli accordi di cui al paragrafo 1, sono concluse intese per specificare, in particolare, la natura, la portata e le regole dettagliate di partecipazione ai lavori dell’Agenzia dei paesi terzi di cui al paragrafo 1, comprese le disposizioni sui contributi finanziari, sul personale e sui diritti di voto.

Articolo 43

Cooperazione con organizzazioni internazionali e altri organismi competenti

1.   Ove previsto da un atto giuridico dell’Unione, nella misura in cui ciò sia necessario per lo svolgimento dei suoi compiti, l’Agenzia può, mediante la conclusione di accordi di collaborazione, instaurare e mantenere relazioni con organizzazioni internazionali e con i relativi organi subordinati, disciplinati dal diritto pubblico internazionale, o con altri soggetti o organismi competenti istituiti da, o sulla base di, un accordo tra due o più Stati.

2.   Conformemente al paragrafo 1, possono essere conclusi accordi di collaborazione che specifichino, in particolare, l’ambito, la natura, la finalità e la portata di tale cooperazione. Tali accordi di collaborazione possono essere conclusi solo con l’autorizzazione del consiglio di amministrazione e previa approvazione dalla Commissione.

CAPO V

FORMAZIONE E STRUTTURA DEL BILANCIO

SEZIONE 1

Documento unico di programmazione

Articolo 44

Documento unico di programmazione

1.   Ogni anno il direttore esecutivo predispone, tenuto conto degli orientamenti stabiliti della Commissione, un progetto di documento unico di programmazione per l’esercizio successivo, secondo quanto previsto all’articolo 32 del regolamento delegato (UE) n. 1271/2013 e nella pertinente disposizione della regolamentazione finanziaria dell’Agenzia adottata ai sensi dell’articolo 49 del presente regolamento.

Il documento unico di programmazione contiene un programma pluriennale, un programma di lavoro annuale, nonché il bilancio e le informazioni sulle risorse proprie dell’Agenzia, come precisato nella regolamentazione finanziaria dell’Agenzia adottata ai sensi dell’articolo 49.

2.   Il consiglio di amministrazione adotta il progetto di documento unico di programmazione previa consultazione dei gruppi consultivi e lo trasmette al Parlamento europeo, al Consiglio e alla Commissione entro il 31 gennaio di ogni anno, corredato dell’eventuale versione aggiornata.

3.   Entro il 30 novembre di ogni anno, il consiglio di amministrazione adotta, tenuto conto del parere della Commissione, il documento unico di programmazione a maggioranza dei due terzi dei membri aventi diritto di voto e secondo la procedura annuale di bilancio. Il consiglio di amministrazione provvede a che la versione definitiva del documento unico di programmazione sia trasmessa al Parlamento europeo, al Consiglio e alla Commissione e sia pubblicata.

4.   Il documento unico di programmazione diventa definitivo dopo l’approvazione definitiva del bilancio generale dell’Unione e, se necessario, è adeguato di conseguenza. Il documento unico di programmazione adottato è quindi trasmesso al Parlamento europeo, al Consiglio e alla Commissione e pubblicato.

5.   Il programma di lavoro annuale per l’esercizio successivo comprende gli obiettivi dettagliati e i risultati attesi, compresi gli indicatori di prestazione. Contiene inoltre una descrizione delle azioni da finanziare e l’indicazione delle risorse finanziarie e umane assegnate a ogni azione, conformemente ai principi di formazione del bilancio per attività e gestione per attività. Il programma di lavoro annuale è coerente con il programma di lavoro pluriennale di cui al paragrafo 6. Indica chiaramente i compiti aggiunti, modificati o soppressi rispetto all’esercizio finanziario precedente. Quando all’Agenzia è assegnato un nuovo compito, il consiglio di amministrazione modifica il programma di lavoro annuale adottato. Le modifiche sostanziali del programma di lavoro annuale sono adottate con la stessa procedura di quella applicabile al programma di lavoro annuale iniziale. Il consiglio di amministrazione può delegare al direttore esecutivo il potere di apportare modifiche non sostanziali al programma di lavoro annuale.

6.   Il programma pluriennale definisce la programmazione strategica generale, compresi gli obiettivi, i risultati attesi e gli indicatori di risultato. Riporta inoltre la programmazione delle risorse, compresi il bilancio pluriennale e il personale. La programmazione delle risorse è aggiornata ogni anno. La programmazione strategica è aggiornata secondo necessità, in particolare per adattarla all’esito della valutazione di cui all’articolo 39.

Articolo 45

Formazione del bilancio

1.   Ogni anno il direttore esecutivo prepara, tenendo conto delle attività svolte dall’Agenzia, un progetto di dichiarazione dello stato di previsione delle entrate e delle spese dell’Agenzia per l’esercizio successivo, incluso un progetto di tabella dell’organico, e lo trasmette al consiglio di amministrazione.

2.   Sulla base del progetto di stato di previsione delle entrate e delle spese dell’Agenzia predisposto dal direttore esecutivo, il consiglio di amministrazione adotta un progetto di stato di previsione delle entrate e delle spese dell’Agenzia per l’esercizio successivo, comprensivo di un progetto di tabella dell’organico. Entro il 31 gennaio di ogni anno il consiglio di amministrazione trasmette il progetto alla Commissione e ai paesi associati all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen e alle misure relative al regolamento Dublino e a Eurodac come parte integrante del documento unico di programmazione.

3.   La Commissione trasmette all’autorità di bilancio il progetto di stato di previsione unitamente al progetto preliminare di bilancio generale dell’Unione.

4.   Sulla base del progetto di stato di previsione, la Commissione iscrive nel progetto di bilancio generale dell’Unione le stime che ritiene necessarie per quanto concerne la tabella dell’organico e l’importo del contributo a carico del bilancio generale e le trasmette all’autorità di bilancio ai sensi degli articoli 313 e 314 TFUE.

5.   L’autorità di bilancio autorizza gli stanziamenti a titolo di contributo per l’Agenzia.

6.   L’autorità di bilancio adotta la tabella dell’organico per l’Agenzia.

7.   Il consiglio di amministrazione adotta il bilancio dell’Agenzia. Il bilancio diventa definitivo dopo l’approvazione definitiva del bilancio generale dell’Unione. Se del caso, il bilancio dell’Agenzia è sottoposto agli opportuni adeguamenti.

8.   Qualsiasi modifica del bilancio dell’Agenzia, inclusa la tabella dell’organico, segue la medesima procedura applicabile alla determinazione del bilancio iniziale.

9.   Fatto salvo l’articolo 17, paragrafo 5, il consiglio d’amministrazione comunica al più presto all’autorità di bilancio l’intenzione di realizzare qualsiasi progetto che possa avere incidenze finanziarie significative per il finanziamento del bilancio, in particolare i progetti di natura immobiliare, quali la locazione o l’acquisto di edifici. Il consiglio d’amministrazione ne informa la Commissione. Qualora uno dei due rami dell’autorità di bilancio intenda formulare un parere, notifica al consiglio di amministrazione, entro due settimane dal ricevimento dell’informazione relativa al progetto, l’intenzione di formulare tale parere. In mancanza di risposta, l’Agenzia può procedere con l’operazione prevista. Il regolamento delegato (UE) n. 1271/2013 si applica ai progetti riguardanti gli immobili che possono avere implicazioni significative per il bilancio dell’Agenzia.

SEZIONE 2

Presentazione, esecuzione e controllo del bilancio

Articolo 46

Struttura del bilancio

1.   Tutte le entrate e le spese dell’Agenzia formano oggetto di previsioni per ciascun esercizio finanziario, che coincide con l’anno civile, e sono iscritte nel bilancio dell’Agenzia.

2.   Le entrate e le spese iscritte nel bilancio dell’Agenzia risultano in pareggio.

3.   Fatti salvi altri tipi di risorse, le entrate dell’Agenzia comprendono:

a)

un contributo dell’Unione iscritto nel bilancio generale dell’Unione (sezione «Commissione»);

b)

un contributo dei paesi associati all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen e alle misure relative al regolamento Dublino e a Eurodac che partecipano ai lavori dell’Agenzia, secondo quanto previsto nei rispettivi accordi di associazione e nelle intese di cui all’articolo 42 che ne specificano il contributo finanziario;

c)

un finanziamento dell’Unione, sotto forma di accordi di delega a norma della regolamentazione finanziaria dell’Agenzia adottata ai sensi dell’articolo 49 e delle disposizioni dei pertinenti strumenti di sostegno delle politiche dell’Unione;

d)

contributi erogati dagli Stati membri per i servizi loro offerti conformemente all’accordo di delega di cui all’articolo 16;

e)

il recupero dei costi pagati dagli organi e dagli organismi dell’Unione per servizi loro forniti conformemente agli accordi di collaborazione di cui all’articolo 41; e

f)

gli eventuali contributi finanziari volontari degli Stati membri.

4.   Le spese dell’Agenzia comprendono le retribuzioni del personale, le spese amministrative e di infrastruttura e le spese di esercizio.

Articolo 47

Esecuzione e controllo del bilancio

1.   Il direttore esecutivo esegue il bilancio dell’Agenzia.

2.   Il direttore esecutivo trasmette ogni anno all’autorità di bilancio qualsiasi informazione rilevante in relazione ai risultati delle procedure di valutazione.

3.   Entro il 1o marzo dell’esercizio finanziario N+1, il contabile dell’Agenzia comunica i conti provvisori dell’esercizio N al contabile della Commissione e alla Corte dei conti. Il contabile della Commissione procede al consolidamento dei conti provvisori delle istituzioni e degli organismi decentrati a norma dell’articolo 245 del regolamento (UE, Euratom) 2018/1046.

4.   Entro il 31 marzo dell’anno N+1 il direttore esecutivo trasmette al Parlamento europeo, al Consiglio, alla Commissione e alla Corte dei conti una relazione sulla gestione finanziaria e di bilancio per l’anno N.

5.   Entro il 31 marzo dell’anno N+1 il contabile della Commissione trasmette alla Corte dei conti i conti provvisori dell’Agenzia per l’anno N, consolidati con i conti della Commissione.

6.   Al ricevimento delle osservazioni della Corte dei conti sui conti provvisori dell’Agenzia, ai sensi dell’articolo 246 del regolamento (UE, Euratom) 2018/1046, il direttore esecutivo stabilisce i conti definitivi dell’agenzia sotto la propria responsabilità e li trasmette al consiglio di amministrazione per parere.

7.   Il consiglio di amministrazione formula un parere sui conti definitivi dell’Agenzia per l’anno N.

8.   Entro il 1o luglio dell’anno N+1 il direttore esecutivo trasmette i conti definitivi, corredati del parere del consiglio di amministrazione, al Parlamento europeo, al Consiglio, alla Commissione, alla Corte dei conti e ai paesi associati all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen e alle misure relative al regolamento Dublino e a Eurodac.

9.   Entro il 15 novembre dell’anno N+1 i conti definitivi per l’anno N sono pubblicati nella Gazzetta ufficiale dell’Unione europea.

10.   Entro il 30 settembre dell’anno N+1il direttore esecutivo invia alla Corte dei conti una risposta alle osservazioni. Il direttore esecutivo trasmette tale risposta anche al consiglio di amministrazione.

11.   Il direttore esecutivo presenta al Parlamento europeo, su richiesta di quest’ultimo e a norma dell’articolo 261, paragrafo 3, del regolamento (UE, Euratom) 2018/1046, tutte le informazioni necessarie per il corretto svolgimento della procedura di discarico per l’esercizio N.

12.   Entro il 15 maggio dell’anno N+2 il Parlamento europeo, su raccomandazione del Consiglio che delibera a maggioranza qualificata, concede il discarico al direttore esecutivo per l’esecuzione del bilancio dell’esercizio N.

Articolo 48

Prevenzione dei conflitti di interesse

L’Agenzia adotta norme interne che impongono ai membri del suo consiglio di amministrazione, dei suoi gruppi consultivi e del suo personale di evitare, durante il rapporto di impiego o il mandato, qualsiasi situazione che possa causare un conflitto di interesse e di segnalare tali situazioni. Tali norme interne sono pubblicate sul sito Internet dell’Agenzia.

Articolo 49

Regolamentazione finanziaria

La regolamentazione finanziaria applicabile all’Agenzia è adottata dal consiglio di amministrazione previa consultazione della Commissione. Si discosta dal regolamento delegato (UE) n. 1271/2013 solo per esigenze specifiche di funzionamento dell’Agenzia e previo accordo della Commissione.

Articolo 50

Lotta antifrode

1.   Ai fini della lotta contro la frode, la corruzione e altri atti illeciti si applicano il regolamento (UE, Euratom) n. 883/2013 e il regolamento (UE) 2017/1939.

2.   L’Agenzia aderisce all’accordo interistituzionale del 25 maggio 1999 relativo alle indagini interne svolte dall’OLAF e adotta, senza ritardo, le opportune disposizioni applicabili a tutti i dipendenti dell’Agenzia utilizzando i modelli riportati nell’allegato di tale accordo.

3.   La Corte dei conti ha il potere di verifica, esercitabile su documenti e mediante ispezioni sul posto, su tutti i beneficiari di sovvenzioni, i contraenti e i subcontraenti che hanno beneficiato di fondi dell’Unione tramite l’Agenzia.

4.   L’OLAF può effettuare indagini, inclusi controlli e ispezioni in loco secondo le disposizioni e le procedure stabilite dal regolamento (UE, Euratom) n. 883/2013 e dal regolamento (Euratom, CE) n. 2185/96 del Consiglio (49), per accertare eventuali frodi, casi di corruzione o altre attività illecite lesive degli interessi finanziari dell’Unione in relazione a una sovvenzione o a un contratto finanziati dall’Agenzia.

5.   Fatti salvi i paragrafi 1, 2, 3 e 4, i contratti, le convenzioni di sovvenzione e le decisioni di sovvenzione dell’Agenzia contengono disposizioni che autorizzano esplicitamente la Corte dei conti, l’OLAF e l’EPPO a procedere a tali controlli e indagini secondo le loro rispettive competenze.

CAPO VI

MODIFICHE DI ALTRI ATTI GIURIDICI DELL’UNIONE

Articolo 51

Modifica del regolamento (CE) n. 1987/2006

All’articolo 15 del regolamento (CE) n. 1987/2006, i paragrafi 2 e 3 sono sostituiti dal seguente:

«2.   L’organo di gestione è responsabile di tutti i compiti connessi con l’infrastruttura di comunicazione, in particolare:

a)

controllo;

b)

sicurezza;

c)

coordinamento dei rapporti tra gli Stati membri e il gestore;

d)

compiti relativi all’esecuzione del bilancio;

e)

acquisizione e rinnovo; e

f)

aspetti contrattuali.».

Articolo 52

Modifica della decisione 2007/533/GAI

All’articolo 15 della decisione 2007/533/GAI, i paragrafi 2 e 3 sono sostituiti dai seguenti:

«2.   L’organo di gestione è responsabile altresì di tutti i compiti connessi con l’infrastruttura di comunicazione, in particolare:

a)

controllo;

b)

sicurezza;

c)

coordinamento dei rapporti tra gli Stati membri e il gestore;

d)

compiti relativi all’esecuzione del bilancio;

e)

acquisizione e rinnovo; e

f)

aspetti contrattuali.».

CAPO VII

DISPOSIZIONI TRANSITORIE

Articolo 53

Successione legale

1.   L’Agenzia istituita con il presente regolamento subentra in tutti i contratti conclusi, nelle passività a carico e nelle proprietà acquisite dall’Agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia istituita dal regolamento (UE) n. 1077/2011.

2.   Il presente regolamento non pregiudica l’efficacia giuridica degli accordi, degli accordi di collaborazione e dei memorandum d’intesa conclusi dall’Agenzia istituita dal regolamento (UE) 1077/2011, fatte salve eventuali modifiche resesi necessarie in virtù del presente regolamento.

Articolo 54

Disposizioni transitorie relative al consiglio di amministrazione e ai gruppi consultivi

1.   I membri, il presidente e il vicepresidente del consiglio di amministrazione, nominati rispettivamente sulla base degli articoli 13 e 14 del regolamento (UE) n. 1077/2011, continuano a esercitare le loro funzioni per la durata restante del loro mandato.

2.   I membri, i presidenti e i vicepresidenti dei gruppi consultivi nominati sulla base dell’articolo 19 del regolamento (UE) n. 1077/2011 continuano a esercitare le loro funzioni per la durata restante del loro mandato.

Articolo 55

Mantenimento in vigore delle norme interne adottate dal consiglio di amministrazione

Le norme interne e le misure adottate dal consiglio di amministrazione sulla base del regolamento (UE) n. 1077/2011 rimangono in vigore dopo l’11 dicembre 2018, fatte salve eventuali modifiche che si rendono necessarie in virtù del presente regolamento.

Articolo 56

Disposizioni transitorie relative al direttore esecutivo

Il direttore esecutivo dell’agenzia europea per la gestione operativa di sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia, nominato sulla base dell’articolo 18 del regolamento (UE) n. 1077/2011 assume, per la restante durata del suo mandato, le funzioni di direttore esecutivo dell’Agenzia ai sensi dell’articolo 24 del presente regolamento. Le altre condizioni contrattuali rimangono invariate. Se la decisione di proroga del mandato del direttore esecutivo a norma dell’articolo 18, paragrafo 4, del regolamento (UE) n. 1077/2011 è adottata prima dell’11 dicembre 2018, la durata del mandato è prorogata automaticamente fino al 31 ottobre 2022.

CAPO VIII

DISPOSIZIONI FINALI

Articolo 57

Sostituzione e abrogazione

Il regolamento (UE) n. 1077/2011 è sostituito per gli Stati membri vincolati dal presente regolamento.

Pertanto, il regolamento (UE) n. 1077/2011 è abrogato.

Con riguardo agli Stati membri vincolati dal presente regolamento, i riferimenti al regolamento abrogato si intendono fatti al presente regolamento e si leggono secondo la tavola di concordanza di cui all’allegato del presente regolamento.

Articolo 58

Entrata in vigore e applicabilità

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Il presente regolamento si applica a decorrere dall’11 dicembre 2018. Tuttavia, l’articolo 19, paragrafo 1, lettera x), l’articolo 24, paragrafo 3, lettere h) e i), e l’articolo 50, paragrafo 5, del presente regolamento, nella misura in cui si riferiscono all’EPPO, e l’articolo 50, paragrafo 1, del presente regolamento, nella misura in cui si riferisce al regolamento (UE) 2017/1939, si applicano a decorrere dalla data stabilita dalla decisione della Commissione di cui all’articolo 120, paragrafo 2, secondo comma, del regolamento (UE) 2017/1939.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile negli Stati membri conformemente ai trattati.

Fatto a Strasburgo, il 14 novembre 2018

Per il Parlamento europeo

Il presidente

A. TAJANI

Per il Consiglio

Il presidente

K. EDTSTADLER


(1)  Posizione del Parlamento europeo del 5 luglio 2018 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 9 novembre 2018.

(2)  Regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen di seconda generazione (SIS II) (GU L 381 del 28.12.2006, pag. 4).

(3)  Decisione 2007/533/GAI del Consiglio, del 12 giugno 2007, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen di seconda generazione (SIS II) (GU L 205 del 7.8.2007, pag. 63).

(4)  Decisione 2004/512/CE del Consiglio, dell’8 giugno 2004, che istituisce il sistema di informazione visti (VIS) (GU L 213 del 15.6.2004, pag. 5).

(5)  Regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, concernente il sistema di informazione visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata (regolamento VIS) (GU L 218 del 13.8.2008, pag. 60).

(6)  Regolamento (CE) n. 2725/2000 del Consiglio, dell’11 dicembre 2000, che istituisce l’«Eurodac» per il confronto delle impronte digitali per l’efficace applicazione della convenzione di Dublino (GU L 316 del 15.12.2000, pag. 1).

(7)  Regolamento (CE) n. 407/2002 del Consiglio, del 28 febbraio 2002, che definisce talune modalità di applicazione del regolamento (CE) n. 2725/2000 che istituisce l’«Eurodac» per il confronto delle impronte digitali per l’efficace applicazione della convenzione di Dublino (GU L 62 del 5.3.2002, pag. 1).

(8)  Regolamento (UE) n. 603/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, che istituisce l’«Eurodac» per il confronto delle impronte digitali per l’efficace applicazione del regolamento (UE) n. 604/2013 che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide e per le richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto, e che modifica il regolamento (UE) n. 1077/2011 che istituisce un’agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (GU L 180 del 29.6.2013, pag. 1).

(9)  Regolamento (UE) n. 1077/2011 del Parlamento europeo e del Consiglio, del 25 ottobre 2011, che istituisce un’agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (GU L 286 dell’1.11.2011, pag. 1).

(10)  Decisione 2008/633/GAI del Consiglio, del 23 giugno 2008, relativa all’accesso per la consultazione al sistema di informazione visti (VIS) da parte delle autorità designate degli Stati membri e di Europol ai fini della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri reati gravi (GU L 218 del 13.8.2008, pag. 129).

(11)  Regolamento (UE) 2017/2226 del Parlamento europeo e del Consiglio, del 30 novembre 2017, che istituisce un sistema di ingressi/uscite (EES) per la registrazione dei dati di ingresso e di uscita e dei dati relativi al respingimento dei cittadini di paesi terzi che attraversano le frontiere esterne degli Stati membri e che determina le condizioni di accesso al sistema di ingressi/uscite a fini di contrasto e che modifica la Convenzione d’applicazione dell’accordo di Schengen e i regolamenti (CE) n. 767/2008 e (UE) n. 1077/2011 (GU L 327 del 9.12.2017, pag. 20).

(12)  Regolamento (CE) n. 1560/2003 della Commissione, del 2 settembre 2003, recante modalità di applicazione del regolamento (CE) n. 343/2003 del Consiglio che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda d’asilo presentata in uno degli Stati membri da un cittadino di un paese terzo (GU L 222 del 5.9.2003, pag. 3).

(13)  Regolamento (UE) 2018/1240 del Parlamento europeo e del Consiglio, del 12 settembre 2018, che istituisce un sistema europeo di informazione e autorizzazione ai viaggi (ETIAS) e che modifica i regolamenti (UE) n. 1077/2011, (UE) n. 515/2014, (UE) 2016/399, (UE) 2016/1624 e (UE) 2017/2226 (GU L 236 del 19.9.2018, pag. 1).

(14)  Decisione n. 922/2009/CE del Parlamento europeo e del Consiglio, del 16 settembre 2009, sulle soluzioni di interoperabilità per le pubbliche amministrazioni europee (ISA) (GU L 280 del 3.10.2009, pag. 20).

(15)  Decisione (UE) 2015/2240 del Parlamento europeo e del Consiglio, del 25 novembre 2015, che istituisce un programma sulle soluzioni di interoperabilità e quadri comuni per le pubbliche amministrazioni, le imprese e i cittadini europei (programma ISA2) come mezzo per modernizzare il settore pubblico (GU L 318 del 4.12.2015, pag. 1).

(16)  Regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio, del 18 luglio 2018, che stabilisce le regole finanziarie applicabili al bilancio generale dell’Unione, che modifica i regolamenti (UE) n. 1296/2013, (UE) n. 1301/2013, (UE) n. 1303/2013, (UE) n. 1304/2013, (UE) n. 1309/2013, (UE) n. 1316/2013, (UE) n. 223/2014, (UE) n. 283/2014 e la decisione n. 541/2014/UE e abroga il regolamento (UE, Euratom) n. 966/2012 (GU L 193 del 30.7.2018, pag. 1).

(17)  Regolamento (UE) n. 1053/2013 del Consiglio, del 7 ottobre 2013, che istituisce un meccanismo di valutazione e di controllo per verificare l’applicazione dell’acquis di Schengen e che abroga la decisione del comitato esecutivo del 16 settembre 1998 che istituisce una Commissione permanente di valutazione e di applicazione di Schengen (GU L 295 del 6.11.2013, pag. 27).

(18)  Regolamento (UE) 2016/1624 del Parlamento europeo e del Consiglio, del 14 settembre 2016, relativo alla guardia di frontiera e costiera europea e che modifica il regolamento (UE) n. 2016/399 del Parlamento europeo e del Consiglio e abroga il regolamento (CE) n. 863/2007 del Parlamento europeo e del Consiglio, il regolamento (CE) n. 2007/2004 del Consiglio e la decisione 2005/267/CE del Consiglio (GU L 251 del 16.9.2016, pag. 1).

(19)  Regolamento (UE) n. 515/2014 del Parlamento europeo e del Consiglio, del 16 aprile 2014, che istituisce, nell’ambito del Fondo sicurezza interna, lo strumento di sostegno finanziario per le frontiere esterne e i visti e che abroga la decisione n. 574/2007/CE (GU L 150 del 20.5.2014, pag. 143).

(20)  GU C 373 del 20.12.2013, pag. 1.

(21)  Regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio, del 21 maggio 2013, relativo all’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) e che abroga il regolamento (CE) n. 460/2004 (GU L 165 del 18.6.2013, pag. 41).

(22)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell’Unione, nonché la libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (cfr. pag. 39 della presente Gazzetta ufficiale).

(23)  Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

(24)  Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all’accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).

(25)  Regolamento (UE, Euratom) n. 883/2013 del Parlamento europeo e del Consiglio, dell’11 settembre 2013, relativo alle indagini svolte dall’Ufficio europeo per la lotta antifrode (OLAF) e che abroga il regolamento (CE) n. 1073/1999 del Parlamento europeo e del Consiglio e il regolamento (Euratom) n. 1074/1999 del Consiglio (GU L 248 del 18.9.2013, pag. 1).

(26)  GU L 136 del 31.5.1999, pag. 15.

(27)  Regolamento (UE) 2017/1939 del Consiglio, del 12 ottobre 2017, relativo all’attuazione di una cooperazione rafforzata sull’istituzione della Procura europea («EPPO») (GU L 283 del 31.10.2017, pag. 1).

(28)  Regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio, del 29 febbraio 1968, che definisce lo statuto dei funzionari delle Comunità europee nonché il regime applicabile agli altri agenti di tali Comunità, ed istituisce speciali misure applicabili temporaneamente ai funzionari della Commissione (GU L 56 del 4.3.1968, pag. 1).

(29)  Regolamento delegato (UE) n. 1271/2013 della Commissione, del 30 settembre 2013, che stabilisce il regolamento finanziario quadro degli organismi di cui all’articolo 208 del regolamento (UE, Euratom) n. 966/2012 del Parlamento europeo e del Consiglio (GU L 328 del 7.12.2013, pag. 42).

(30)  GU L 66 dell’8.3.2006, pag. 38.

(31)  Decisione 2000/365/CE del Consiglio, del 29 maggio 2000, riguardante la richiesta del Regno Unito di Gran Bretagna e Irlanda del Nord di partecipare ad alcune disposizioni dell’acquis di Schengen (GU L 131 dell’1.6.2000, pag. 43).

(32)  Decisione (UE) 2018/1600 del Consiglio, del 28 settembre 2018, relativa alla richiesta del Regno Unito di Gran Bretagna e Irlanda del Nord di partecipare ad alcune disposizioni dell'acquis di Schengen riguardanti l'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA) (GU L 267 del 25.10.2018 pag. 3).

(33)  Decisione 2002/192/CE del Consiglio, del 28 febbraio 2002, riguardante la richiesta dell’Irlanda di partecipare ad alcune disposizioni dell’acquis di Schengen (GU L 64 del 7.3.2002, pag. 20).

(34)  GU L 176 del 10.7.1999, pag. 36.

(35)  Decisione 1999/437/CE del Consiglio, del 17 maggio 1999, relativa a talune modalità di applicazione dell’accordo concluso dal Consiglio dell’Unione europea con la Repubblica d’Islanda e il Regno di Norvegia sull’associazione di questi due Stati all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen (GU L 176 del 10.7.1999, pag. 31).

(36)  GU L 93 del 3.4.2001, pag. 40.

(37)  GU L 53 del 27.2.2008, pag. 52.

(38)  Decisione 2008/146/CE del Consiglio, del 28 gennaio 2008, relativa alla conclusione, a nome della Comunità europea, dell’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera, riguardante l’associazione della Confederazione svizzera all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen (GU L 53 del 27.2.2008, pag. 1).

(39)  GU L 53 del 27.2.2008, pag. 5.

(40)  GU L 160 del 18.6.2011, pag. 21.

(41)  Decisione 2011/350/UE del Consiglio, del 7 marzo 2011, sulla conclusione, a nome dell’Unione europea, del protocollo tra l’Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull’adesione del Principato del Liechtenstein all’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione della Confederazione svizzera all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen, con particolare riguardo alla soppressione dei controlli alle frontiere interne e alla circolazione delle persone (GU L 160 del 18.6.2011, pag. 19).

(42)  GU L 160 del 18.6.2011, pag. 39.

(43)  Regolamento (UE) n. 604/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide (GU L 180 del 29.6.2013, pag. 31).

(44)  Direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l’obbligo dei vettori di comunicare i dati relativi alle persone trasportate (GU L 261 del 6.8.2004, pag. 24).

(45)  Direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (GU L 119 del 4.5.2016, pag. 132).

(46)  Regolamento n. 1 del Consiglio, del 15 aprile 1958, che stabilisce il regime linguistico della Comunità economica europea (GU 17 del 6.10.1958, pag. 385).

(47)  Decisione (UE, Euratom) 2015/443 della Commissione, del 13 marzo 2015, sulla sicurezza nella Commissione (GU L 72 del 17.3.2015, pag. 41).

(48)  Decisione (UE, Euratom) 2015/444 della Commissione, del 13 marzo 2015, sulle norme di sicurezza per proteggere le informazioni classificate UE (GU L 72 del 17.3.2015, pag. 53).

(49)  Regolamento (Euratom, CE) n 2185/96 del Consiglio, dell’11 novembre 1996, relativo ai controlli e alle verifiche sul posto effettuati dalla Commissione ai fini della tutela degli interessi finanziari delle Comunità europee contro le frodi e altre irregolarità (GU L 292 del 15.11.1996, pag. 2).


ALLEGATO

TAVOLA DI CONCORDANZA

Regolamento (UE) n. 1077/2011

Presente regolamento

 

 

Articolo 1, paragrafo 1

Articolo 1, paragrafo 1

Articolo 1, paragrafo 2

Articolo 1, paragrafo 2

Articolo 1, paragrafi 3 e 4

Articolo 1, paragrafo 3

Articolo 1, paragrafo 5

Articolo 1, paragrafo 4

Articolo 1, paragrafo 6

Articolo 2

Articolo 2

Articolo 3

Articolo 3

Articolo 4

Articolo 4

Articolo 5

Articolo 5

Articolo 5 bis

Articolo 6

Articolo 7

Articolo 8

Articolo 6

Articolo 9

Articolo 10

Articolo 7, paragrafi 1 e 2

Articolo 11, paragrafo 1

Articolo 7, paragrafo 3

Articolo 11, paragrafo 2

Articolo 7, paragrafo 4

Articolo 11, paragrafo 3

Articolo 7, paragrafo 5

Articolo 11, paragrafo 4

Articolo 7, paragrafo 6

Articolo 11, paragrafo 5

Articolo 12

Articolo 13

Articolo 8, paragrafo 1

Articolo 14, paragrafo 1

Articolo 14, paragrafo 2

Articolo 8, paragrafo 2

Articolo 14, paragrafo 3

Articolo 9, paragrafi 1 e 2

Articolo 15, paragrafi 1 e 2

Articolo 15, paragrafo 3

Articolo 15, paragrafo 4

Articolo 16

Articolo 10, paragrafi 1 e 2

Articolo 17, paragrafi 1 e 2

Articolo 10, paragrafo 3

Articolo 24, paragrafo 2

Articolo 10, paragrafo 4

Articolo 17, paragrafo 3

Articolo 17, paragrafo 4

Articolo 17, paragrafo 5

Articolo 11

Articolo 18

Articolo 12, paragrafo 1

Articolo 19, paragrafo 1

Articolo 19, paragrafo 1, lettera a)

Articolo 19, paragrafo 1, lettera b)

Articolo 12, paragrafo 1, lettera a)

Articolo 19, paragrafo 1, lettera c)

Articolo 12, paragrafo 1, lettera b)

Articolo 19, paragrafo 1, lettera d)

Articolo 12, paragrafo 1, lettera c)

Articolo 19, paragrafo 1, lettera e)

Articolo 19, paragrafo 1, lettera f)

Articolo 12, paragrafo 1, lettera d)

Articolo 19, paragrafo 1, lettera g)

Articolo 19, paragrafo 1, lettera h)

Articolo 19, paragrafo 1, lettera i)

Articolo 19, paragrafo 1, lettera j)

Articolo 19, paragrafo 1, lettera k)

Articolo 12, paragrafo 1, lettera e)

Articolo 19, paragrafo 1, lettera l)

Articolo 19, paragrafo 1, lettera m)

Articolo 12, paragrafo 1, lettera f)

Articolo 19, paragrafo 1, lettera n)

Articolo 12, paragrafo 1, lettera g)

Articolo 19, paragrafo 1, lettera o)

Articolo 19, paragrafo 1, lettera p)

Articolo 12, paragrafo 1, lettera h)

Articolo 19, paragrafo 1, lettera q)

Articolo 12, paragrafo 1, lettera i)

Articolo 19, paragrafo 1, lettera q)

Articolo 12, paragrafo 1, lettera j)

Articolo 19, paragrafo 1, lettera r)

Articolo 19, paragrafo 1, lettera s)

Articolo 12, paragrafo 1, lettera k)

Articolo 19, paragrafo 1, lettera t)

Articolo 12, paragrafo 1, lettera l)

Articolo 19, paragrafo 1, lettera u)

Articolo 12, paragrafo 1, lettera m)

Articolo 19, paragrafo 1, lettera v)

Articolo 12, paragrafo 1, lettera n)

Articolo 19, paragrafo 1, lettera w)

Articolo 12, paragrafo 1, lettera o)

Articolo 19, paragrafo 1, lettera x)

Articolo 19, paragrafo 1, lettera y)

Articolo 12, paragrafo 1, lettera p)

Articolo 19, paragrafo 1, lettera z)

Articolo 12, paragrafo 1, lettera q)

Articolo 19, paragrafo 1, lettera bb)

Articolo 12, paragrafo 1, lettera r)

Articolo 19, paragrafo 1, lettera lettera cc)

Articolo 12, paragrafo 1, lettera s)

Articolo 19, paragrafo 1, lettera lettera dd)

Articolo 12, paragrafo 1, lettera t)

Articolo 19, paragrafo 1, lettera ff)

Articolo 12, paragrafo 1, lettera u)]

Articolo 19, paragrafo 1, lettera gg)

Articolo 12, paragrafo 1, lettera v)

Articolo 19, paragrafo 1, lettera hh)

Articolo 12, paragrafo 1, lettera w)

Articolo 19, paragrafo 1, lettera ii)

Articolo 12, paragrafo 1, lettera x)

Articolo 19, paragrafo 1, lettera jj)

Articolo 19, paragrafo 1, lettera ll)

Articolo 12, paragrafo 1, lettera y)

Articolo 19, paragrafo 1, lettera mm)

Articolo 12, paragrafo 1, lettera z)

Articolo 19, paragrafo 1, lettera nn)

Articolo 19, paragrafo 1, lettera oo)

Articolo 12, paragrafo 1, lettera aa)

Articolo 19, paragrafo 1, lettera pp)

Articolo 12, paragrafo 1, lettera sa)

Articolo 19, paragrafo 1, lettera ee)

Articolo 12, paragrafo 1, lettera xa)

Articolo 19, paragrafo 1, lettera kk)

Articolo 12, paragrafo 1, lettera za)

Articolo 19, paragrafo 1, lettera mm)

Articolo 19, paragrafo 1, secondo comma

Articolo 19, paragrafo 2

Articolo 12, paragrafo 2

Articolo 19, paragrafo 3

Articolo 13, paragrafo 1

Articolo 20, paragrafo 1

Articolo 13, paragrafi 2 e 3

Articolo 20, paragrafo 2

Articolo 13, paragrafo 4

Articolo 20, paragrafo 3

Articolo 13, paragrafo 5

Articolo 20, paragrafo 4

Articolo 14, paragrafi 1 e 3

Articolo 21, paragrafo 1

Articolo 14, paragrafo 2

Articolo 21, paragrafo 2

Articolo 15, paragrafo 1

Articolo 22, paragrafi 1 e 3

Articolo 15, paragrafo 2

Articolo 22, paragrafo 2

Articolo 15, paragrafo 3

Articolo 22, paragrafo 5

Articolo 15, paragrafi 4 e 5

Articolo 22, paragrafo 4

Articolo 15, paragrafo 6

Articolo 22, paragrafo 6

Articolo 16, paragrafi da 1 a 5

Articolo 23, paragrafi da 1 a 5

Articolo 23, paragrafo 6

Articolo 16, paragrafo 6

Articolo 23, paragrafo 7

Articolo 16, paragrafo 7

Articolo 23, paragrafo 8

Articolo 17, paragrafi 1 e 4

Articolo 24, paragrafo 1

Articolo 17, paragrafo 2

Articolo 17, paragrafo 3

Articolo 17, paragrafi 5 e 6

Articolo 24, paragrafo 3

Articolo 17, paragrafo 5, lettera a)

Articolo 24, paragrafo 3, lettera a)

Articolo 17, paragrafo 5, lettera b)

Articolo 24, paragrafo 3, lettera b)

Articolo 17, paragrafo 5, lettera c)

Articolo 24, paragrafo 3, lettera c)

Articolo 17, paragrafo 5, lettera d)

Articolo 24, paragrafo 3, lettera o)

Articolo 17, paragrafo 5, lettera e)

Articolo 22, paragrafo 2

Articolo 17, paragrafo 5, lettera f)

Articolo 19, paragrafo 2

Articolo 17, paragrafo 5, lettera g)

Articolo 24, paragrafo 3, lettera p)

Articolo 17, paragrafo 5, lettera h)

Articolo 24, paragrafo 3, lettera q)

Articolo 17, paragrafo 6, lettera a)

Articolo 24, paragrafo 3, lettere d) e (g)

Articolo 17, paragrafo 6, lettera b)

Articolo 24, paragrafo 3, lettera k)

Articolo 17, paragrafo 6, lettera c)

Articolo 24, paragrafo 3, lettera d)

Articolo 17, paragrafo 6, lettera d)

Articolo 24, paragrafo 3, lettera l)

Articolo 17, paragrafo 6, lettera e)

Articolo 17, paragrafo 6, lettera f)

Articolo 17, paragrafo 6, lettera g)

Articolo 24, paragrafo 3, lettera r)

Articolo 17, paragrafo 6, lettera h)

Articolo 24, paragrafo 3, lettera s)

Articolo 17, paragrafo 6, lettera i)

Articolo 24, paragrafo 3, lettera t)

Articolo 17, paragrafo 6, lettera j)

Articolo 24, paragrafo 3, lettera v)

Articolo 17, paragrafo 6, lettera k)

Articolo 24, paragrafo 3, lettera u)

Articolo 17, paragrafo 7

Articolo 24, paragrafo 4

Articolo 24, paragrafo 5

Articolo 18

Articolo 25

Articolo 18, paragrafo 1

Articolo 25, paragrafi 1 e 10

Articolo 18, paragrafo 2

Articolo 25, paragrafi 2, 3 e 4

Articolo 18, paragrafo 3

Articolo 25, paragrafo 5

Articolo 18, paragrafo 4

Articolo 25, paragrafo 6

Articolo 18, paragrafo 5

Articolo 25, paragrafo 7

Articolo 18, paragrafo 6

Articolo 24, paragrafo 1

Articolo 25, paragrafo 8

Articolo 18, paragrafo 7

Articolo 25, paragrafi 9 e 10

Articolo 25, paragrafo 11

Articolo 26

Articolo 19

Articolo 27

Articolo 20

Articolo 28

Articolo 20, paragrafi 1 e 2

Articolo 28, paragrafi 1 e 2

Articolo 20, paragrafo 3

Articolo 20, paragrafo 4

Articolo 28, paragrafo 3

Articolo 20, paragrafo 5

Articolo 28, paragrafo 4

Articolo 20, paragrafo 6

Articolo 28, paragrafo 5

Articolo 20, paragrafo 7

Articolo 28, paragrafo 6

Articolo 20, paragrafo 8

Articolo 28, paragrafo 7

Articolo 21

Articolo 29

Articolo 22

Articolo 30

Articolo 23

Articolo 31

Articolo 24

Articolo 32

Articolo 25, paragrafi 1 e 2

Articolo 33, paragrafi 1 e 2

Articolo 33, paragrafo 3

Articolo 25, paragrafo 3

Articolo 33, paragrafo 4

Articoli 26 e 27

Articolo 34

Articolo 28, paragrafo 1

Articolo 35, paragrafo 1, e articolo 36, paragrafo 2

Articolo 28, paragrafo 2

Articolo 35, paragrafo 2

Articolo 36, paragrafo 1

Articolo 29, paragrafi 1 e 2

Articolo 37, paragrafo 1

Articolo 29, paragrafo 3

Articolo 37, paragrafo 2

Articolo 30

Articolo 38

Articolo 31, paragrafo 1

Articolo 39, paragrafo 1

Articolo 31, paragrafo 2

Articolo 39, paragrafi 1 e 3

Articolo 39, paragrafo 2

Articolo 40

Articolo 41

Articolo 43

Articolo 44

Articolo 32, paragrafo 1

Articolo 46, paragrafo 3

Articolo 32, paragrafo 2

Articolo 46, paragrafo 4

Articolo 32, paragrafo 3

Articolo 46, paragrafo 2

Articolo 32, paragrafo 4

Articolo 45, paragrafo 2

Articolo 32, paragrafo 5

Articolo 45, paragrafo 2

Articolo 32, paragrafo 6

Articolo 44, paragrafo 2

Articolo 32, paragrafo 7

Articolo 45, paragrafo 3

Articolo 32, paragrafo 8

Articolo 45, paragrafo 4

Articolo 32, paragrafo 9

Articolo 45, paragrafi 5 e 6

Articolo 32, paragrafo 10

Articolo 45, paragrafo 7

Articolo 32, paragrafo 11

Articolo 45, paragrafo 8

Articolo 32, paragrafo 12

Articolo 45, paragrafo 9

Articolo 33, paragrafi da 1 a 4

Articolo 47, paragrafi da 1 a 4

Articolo 47, paragrafo 5

Articolo 33, paragrafo 5

Articolo 47, paragrafo 6

Articolo 33, paragrafo 6

Articolo 47, paragrafo 7

Articolo 33, paragrafo 7

Articolo 47, paragrafo 8

Articolo 33, paragrafo 8

Articolo 47, paragrafo 9

Articolo 33, paragrafo 9

Articolo 47, paragrafo 10

Articolo 33, paragrafo 10

Articolo 47, paragrafo 11

Articolo 33, paragrafo 11

Articolo 47, paragrafo 12

Articolo 48

Articolo 34

Articolo 49

Articolo 35, paragrafi 1 e 2

Articolo 50, paragrafi 1 e 2

Articolo 50, paragrafo 3

Articolo 35, paragrafo 3

Articolo 50, paragrafi 4 e 5

Articolo 36

Articolo 37

Articolo 42

Articolo 51

Articolo 52

Articolo 53

Articolo 54

Articolo 55

Articolo 56

Articolo 57

Articolo 38

Articolo 58

Allegato


21.11.2018   

IT

Gazzetta ufficiale dell’Unione europea

L 295/138


REGOLAMENTO (UE) 2018/1727 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 14 novembre 2018

che istituisce l’Agenzia dell’Unione europea per la cooperazione giudiziaria penale (Eurojust) e che sostituisce e abroga la decisione 2002/187/GAI del Consiglio

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 85,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

deliberando secondo la procedura legislativa ordinaria (1),

considerando quanto segue:

(1)

Eurojust è stato istituito con decisione 2002/187/GAI del Consiglio (2) quale organo dell’Unione dotato di personalità giuridica, con l’obiettivo di stimolare e migliorare il coordinamento e la cooperazione tra le autorità giudiziarie competenti degli Stati membri, in particolare in relazione alle forme gravi di criminalità organizzata. Il quadro giuridico di Eurojust è stato modificato dalle decisioni 2003/659/GAI (3) e 2009/426/GAI (4) del Consiglio.

(2)

L’articolo 85 del trattato sul funzionamento dell’Unione europea (TFUE) prevede che Eurojust sia disciplinato mediante regolamento da adottarsi secondo la procedura legislativa ordinaria. Dispone inoltre che siano fissate le modalità per associare il Parlamento europeo e i parlamenti nazionali alla valutazione delle attività di Eurojust.

(3)

L’articolo 85 TFUE stabilisce altresì che Eurojust ha il compito di sostenere e potenziare il coordinamento e la cooperazione tra le autorità nazionali responsabili delle indagini e dell’azione penale contro la criminalità grave che interessa due o più Stati membri o che richiede un’azione penale su basi comuni, sulla scorta delle operazioni effettuate e delle informazioni fornite dalle autorità degli Stati membri e dall’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol).

(4)

Il presente regolamento mira a modificare e ampliare le disposizioni della decisione 2002/187/GAI. Poiché le modifiche da apportare sono sostanziali per numero e natura, è opportuno che, ai fini della chiarezza, la decisione 2002/187/GAI sia sostituita integralmente in relazione agli Stati membri vincolati dal presente regolamento.

(5)

Poiché la Procura europea (EPPO) è stata istituita mediante una cooperazione rafforzata, il regolamento (UE) 2017/1939 del Consiglio (5) è vincolante nella sua interezza ed è direttamente applicabile solo agli Stati membri che partecipano alla cooperazione rafforzata. Pertanto, per gli Stati membri che non partecipano a EPPO, Eurojust rimane pienamente competente per le forme gravi di criminalità elencate nell’allegato 1 del presente regolamento.

(6)

L’articolo 4, paragrafo 3, del trattato sull’Unione europea (TUE) richiama il principio di leale cooperazione, in virtù del quale l’Unione e gli Stati membri devono rispettarsi e assistersi reciprocamente nell’adempimento dei compiti derivanti dal TUE e dal TFUE.

(7)

Al fine di facilitare la cooperazione tra Eurojust e EPPO, Eurojust dovrebbe affrontare ove necessario le questioni di rilevanza per la Procura europea.

(8)

Alla luce dell’istituzione di EPPO mediante una cooperazione rafforzata, dovrebbe essere stabilita chiaramente la ripartizione delle competenze tra EPPO ed Eurojust in relazione ai reati che ledono gli interessi finanziari dell’Unione. Dalla data in cui EPPO assume i suoi compiti Eurojust dovrebbe essere in grado di esercitare la sua competenza nei casi riguardanti reati per i quali EPPO è competente qualora tali reati riguardano sia gli Stati membri che partecipano alla cooperazione rafforzata sull’istituzione di EPPO sia gli Stati membri che non vi prendono parte. In tali casi, Eurojust dovrebbe agire su richiesta di tali Stati membri non partecipanti o di EPPO. In ogni caso, Eurojust dovrebbe rimanere competente per i reati che ledono gli interessi finanziari dell’Unione ogni qualvolta EPPO non è competente o qualora, pur essendolo, non esercita la propria competenza in tale ambito. Gli Stati membri che non partecipano alla cooperazione rafforzata sull’istituzione di EPPO possono continuare a chiedere il sostegno di Eurojust in tutti i casi riguardanti i reati che ledono gli interessi finanziari dell’Unione. EPPO ed Eurojust dovrebbero sviluppare una stretta collaborazione operativa conformemente ai loro rispettivi mandati.

(9)

Affinché Eurojust possa assolvere il suo compito e sviluppare tutto il suo potenziale nella lotta contro le forme gravi di criminalità transfrontaliera, è opportuno rafforzarne le funzioni operative riducendo il carico di lavoro amministrativo dei membri nazionali, e potenziarne la dimensione europea facendo partecipare la Commissione al comitato esecutivo dell’Agenzia e associando maggiormente il Parlamento europeo e i parlamenti nazionali alla valutazione delle sue attività.

(10)

Il presente regolamento dovrebbe pertanto determinare le modalità dell’associazione parlamentare, modernizzare la struttura di Eurojust e semplificarne l’attuale quadro giuridico, mantenendo quegli elementi che sono risultati efficaci per il funzionamento di Eurojust.

(11)

È opportuno definire chiaramente le forme gravi di criminalità che interessano due o più Stati membri per le quali Eurojust è competente. Dovrebbero essere altresì precisati i casi che non interessano due o più Stati membri ma che richiedono un’azione penale su basi comuni. Siffatti casi possono includere le indagini e le azioni penali che interessano un solo Stato membro e un paese terzo qualora sia stato concluso un accordo con tale paese terzo o qualora vi sia una necessità specifica di coinvolgere Eurojust. Tale azione penale può altresì riferirsi a casi che interessano uno Stato membro e hanno ripercussioni a livello di Unione.

(12)

Quando esercita funzioni operative in relazione a casi penali specifici su richiesta delle autorità competenti degli Stati membri o di propria iniziativa, Eurojust dovrebbe agire per il tramite di uno o più membri nazionali o del collegio. Nell’agire di propria iniziativa, Eurojust può assumere un ruolo più proattivo nel coordinamento di casi, ad esempio prestando sostegno alle autorità nazionali nelle loro indagini e azioni penali. Ciò può comprendere il coinvolgimento di Stati membri che potrebbero inizialmente non essere stati ricompresi nel caso e l’individuazione di collegamenti tra casi sulla base delle informazioni che gli sono state trasmesse da Europol, dall’Ufficio europeo per la lotta antifrode (OLAF), da EPPO e dalle autorità nazionali. In tale contesto, Eurojust ha inoltre la possibilità di elaborare linee guida, documenti orientativi e analisi dell’attività operativa nell’ambito del suo lavoro strategico.

(13)

Su richiesta dell’autorità competente di uno Stato membro o della Commissione, Eurojust dovrebbe anche poter prestare sostegno qualora le indagini, pur interessando unicamente lo Stato membro in questione, abbiano ripercussioni a livello di Unione. Esempi di tali indagini includono i casi in cui è coinvolto un membro di un’istituzione o di un organismo dell’Unione. Tali indagini includono anche i casi che coinvolgono un numero significativo di Stati membri e che potrebbero richiedere una risposta europea coordinata.

(14)

I pareri scritti di Eurojust non sono vincolanti per gli Stati membri, ma è opportuno darvi un seguito in conformità del presente regolamento.

(15)

Per garantire che Eurojust possa prestare sostegno e coordinare le indagini transfrontaliere, è necessario che tutti i membri nazionali dispongano dei necessari poteri operativi in relazione al rispettivo Stato membro e in conformità del diritto di tale Stato membro per cooperare tra loro e con le autorità nazionali in modo più coerente ed efficace. Ai membri nazionali dovrebbero essere conferiti quei poteri che permettono a Eurojust di adempiere adeguatamente al suo compito: accedere alle informazioni pertinenti nei registri pubblici nazionali, contattare direttamente le autorità competenti e scambiare informazioni con loro e partecipare alle squadre investigative congiunte. I membri nazionali possono, conformemente al rispettivo diritto nazionale, mantenere i poteri derivanti dalla loro funzione di autorità nazionali. D’intesa con l’autorità nazionale competente o in casi urgenti, i membri nazionali possono altresì disporre misure investigative e consegne controllate, nonché emettere ed eseguire richieste di assistenza giuridica reciproca o riconoscimento reciproco. Poiché tali poteri devono essere esercitati in conformità del diritto nazionale, gli organi giurisdizionali degli Stati membri dovrebbero essere competenti per il controllo di tali misure, conformemente alle procedure e ai requisiti stabiliti dal diritto nazionale.

(16)

È necessario dotare Eurojust di una struttura amministrativa e di gestione che gli consenta di svolgere i suoi compiti in modo più efficace, sia conforme ai principi applicabili alle agenzie dell’Unione e rispetti appieno i diritti e le libertà fondamentali, preservandone nel contempo le specificità e salvaguardandone l’indipendenza quando esercita le funzioni operative. A tal fine, occorre chiarire le funzioni dei membri nazionali, del collegio e del direttore amministrativo e istituire un comitato esecutivo.

(17)

È opportuno prevedere disposizioni che distinguano chiaramente tra le funzioni operative e le funzioni di gestione del collegio, riducendo quindi al minimo gli oneri amministrativi dei membri nazionali in modo che si concentrino sulle attività operative di Eurojust. I compiti di gestione del collegio dovrebbero comprendere, in particolare, l’adozione dei programmi di lavoro di Eurojust, del bilancio, della relazione annuale di attività e degli accordi di lavoro con i partner. È opportuno che il collegio funga da autorità che ha il potere di nomina riguardo al direttore amministrativo. Il collegio dovrebbe inoltre adottare il regolamento interno di Eurojust. Dato che tale regolamento potrebbe influenzare le attività giudiziarie degli Stati membri, è opportuno conferire al Consiglio competenze di esecuzione per l’approvazione dello stesso.

(18)

Al fine di migliorare la governance di Eurojust e semplificare le procedure, occorre istituire un comitato esecutivo che assista il collegio nelle funzioni di gestione e consenta un processo decisionale snello per le questioni non operative e strategiche.

(19)

La Commissione dovrebbe essere rappresentata in sede di collegio quando questo esercita funzioni di gestione. Il rappresentante della Commissione in sede di collegio dovrebbe anche essere il suo rappresentante in sede di comitato esecutivo, per garantire la sorveglianza non operativa e l’orientamento strategico di Eurojust.

(20)

Al fine di assicurare l’efficiente gestione corrente di Eurojust, è opportuno che il direttore esecutivo ne sia il rappresentante legale e amministratore e risponda al collegio. Il direttore amministrativo dovrebbe predisporre e attuare le decisioni del collegio e del comitato esecutivo. Il direttore amministrativo dovrebbe essere nominato in base al merito e a comprovate capacità amministrative e gestionali, nonché alla competenza e all’esperienza in materia.

(21)

Il collegio dovrebbe eleggere un presidente e due vicepresidenti di Eurojust, scegliendoli tra i suoi membri nazionali, con un mandato di quattro anni. Quando un membro nazionale è eletto presidente, lo Stato membro interessato dovrebbe poter distaccare un’altra persona adeguatamente qualificata all’ufficio nazionale e chiedere una compensazione dal bilancio di Eurojust.

(22)

Per «persone adeguatamente qualificate» si intendono persone che dispongono delle qualifiche e dell’esperienza necessarie allo svolgimento dei compiti richiesti per garantire l’efficace funzionamento degli uffici nazionali. Esse possono avere lo status di aggiunto o assistente del membro nazionale che è stato eletto presidente o possono esercitare una funzione più amministrativa o tecnica. Ciascuno Stato membro dovrebbe poter decidere in merito ai propri requisiti al riguardo.

(23)

Il quorum e le procedure di voto dovrebbero essere disciplinati nel regolamento interno di Eurojust. In casi eccezionali, qualora un membro nazionale e il suo aggiunto siano assenti, l’assistente del membro nazionale interessato dovrebbe avere il diritto di votare in sede di collegio purché l’assistente abbia lo status di magistrato, vale a dire di pubblico ministero, giudice o rappresentante di un’autorità giudiziaria.

(24)

Poiché il meccanismo di compensazione incide sul bilancio, il presente regolamento dovrebbe conferire al Consiglio competenze di esecuzione per determinare tale meccanismo.

(25)

Occorre istituire un meccanismo di coordinamento permanente all’interno di Eurojust che ne assicuri una maggiore efficienza e la capacità di essere disponibile su base permanente e di intervenire in casi urgenti. Ciascuno Stato membro dovrebbe fare in modo che i propri rappresentanti siano presenti nel meccanismo di coordinamento permanente e disponibili per un intervento 24 ore su 24 e sette giorni su sette.

(26)

È opportuno istituire sistemi di coordinamento nazionale Eurojust negli Stati membri per coordinare il lavoro svolto dai corrispondenti nazionali di Eurojust, dal corrispondente nazionale in materia di terrorismo, dall’eventuale corrispondente nazionale di Eurojust per le questioni di competenza di EPPO, dal corrispondente nazionale della rete giudiziaria europea e da un massimo di tre altri punti di contatto della rete giudiziaria europea, nonché dai rappresentanti della rete delle squadre investigative comuni e dai rappresentanti nelle reti istituite con decisioni 2002/494/GAI (6), 2007/845/GAI (7) e 2008/852/GAI del Consiglio (8). Gli Stati membri possono decidere che uno o più di tali compiti debbano essere svolti dallo stesso corrispondente nazionale.

(27)

Per stimolare e potenziare il coordinamento e la cooperazione tra le autorità nazionali responsabili delle indagini e dell’azione penale è fondamentale che Eurojust riceva dalle autorità nazionali le pertinenti informazioni necessarie per lo svolgimento dei suoi compiti. A tal fine, occorre che le autorità nazionali competenti informino senza indebito ritardo i rispettivi membri nazionali della costituzione e dei risultati delle squadre investigative comuni. Le autorità nazionali competenti dovrebbero altresì informare senza indebito ritardo i membri nazionali sui casi di competenza di Eurojust riguardanti direttamente almeno tre Stati membri per cui sono state trasmesse richieste o decisioni di cooperazione giudiziaria ad almeno due Stati membri. In determinate circostanze, dovrebbero altresì informare i membri nazionali sui conflitti di giurisdizione, le consegne controllate e le ripetute difficoltà di cooperazione giudiziaria.

(28)

La direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (9) stabilisce norme armonizzate per la protezione e la libera circolazione dei dati personali trattati a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia dalle minacce alla sicurezza pubblica e la prevenzione delle stesse. Al fine di garantire lo stesso livello di protezione per le persone fisiche mediante diritti giuridicamente tutelati in tutta l’Unione e di prevenire disparità che possano ostacolare lo scambio di dati personali tra Eurojust e le autorità competenti degli Stati membri, è opportuno che le norme per la protezione e la libera circolazione dei dati personali operativi trattati da Eurojust siano coerenti con la direttiva (UE) 2016/680.

(29)

Le norme generali contenute nel capo specifico del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (10) sul trattamento dei dati personali operativi dovrebbero applicarsi fatte salve le norme specifiche sulla protezione dei dati contenute nel presente regolamento. Tali norme specifiche dovrebbero essere considerate come lex specialis rispetto alle disposizioni contenute in tale capo del regolamento (UE) 2018/1725 (lex specialis derogat legi generali). Al fine di ridurre la frammentazione giuridica, le norme specifiche sulla protezione dei dati contenute nel presente regolamento dovrebbero essere coerenti con i principi alla base di tale capo del regolamento (UE) 2018/1725, nonché con le disposizioni di tale regolamento relative al controllo indipendente, ai ricorsi giurisdizionali, alla responsabilità e alle sanzioni.

(30)

La protezione dei diritti e delle libertà degli interessati esige una chiara attribuzione delle responsabilità per la protezione dei dati in conformità del presente regolamento. È opportuno gli Stati membri siano responsabili dell’esattezza dei dati da essi trasferiti a Eurojust e trattati senza modifiche da parte di Eurojust, dell’aggiornamento di tali dati e della liceità del trasferimento di tali dati a Eurojust. Eurojust dovrebbe avere la responsabilità di garantire l’esattezza dei dati ricevuti da altri fornitori o risultanti da analisi o dalla raccolta di dati dello stesso Eurojust e dell’aggiornamento di tali dati. Eurojust dovrebbe assicurare che i dati siano trattati in modo lecito e corretto e siano raccolti e trattati per finalità determinate. Eurojust dovrebbe altresì assicurare che i dati siano adeguati, pertinenti e non eccessivi rispetto alla finalità per le quali sono trattati, siano conservati per un arco di tempo non superiore a quello necessario al conseguimento di tale finalità e siano trattati in modo da garantire un’adeguata sicurezza dei dati personali e la riservatezza del trattamento di dati.

(31)

Nel regolamento interno di Eurojust dovrebbero essere incluse garanzie adeguate per la conservazione dei dati personali operativi a fini di archiviazione nel pubblico interesse o a fini statistici.

(32)

È opportuno che l’interessato possa esercitare il diritto di accesso di cui al regolamento (UE) 2018/1725 ai dati personali operativi che lo riguardano trattati da Eurojust. L’interessato può presentare, a intervalli ragionevoli e gratuitamente, un’apposita domanda a Eurojust o all’autorità di controllo nazionale nello Stato membro di sua scelta.

(33)

Le disposizioni del presente regolamento in materia di protezione dei dati non pregiudicano le norme applicabili relativamente all’ammissibilità dei dati personali come prova nei procedimenti istruttori e giudiziari.

(34)

Tutti i trattamenti di dati personali da parte di Eurojust, nell’ambito delle sue competenze, per lo svolgimento diretto dei propri compiti dovrebbero essere considerati come trattamento di dati personali operativi.

(35)

Poiché Eurojust tratta anche dati personali amministrativi, non connessi a indagini penali, il trattamento di tali dati dovrebbe essere soggetto alle norme generali del regolamento (UE) 2018/1725 .

(36)

Se i dati personali operativi sono trasmessi o forniti a Eurojust dallo Stato membro, l’autorità competente, il membro nazionale o il corrispondente nazionale per Eurojust dovrebbero avere il diritto di chiedere la rettifica o la cancellazione di tali dati personali operativi.

(37)

Per dimostrare che si conforma al presente regolamento, Eurojust o la persona autorizzata al trattamento dei dati dovrebbe tenere un registro di tutte le categorie di attività di trattamento effettuate sotto la sua responsabilità. Eurojust e ciascuna persona autorizzata al trattamento dei dati dovrebbero essere tenuti a cooperare con il Garante europeo della protezione dei dati e a mettere, su richiesta, detto registro a sua disposizione, affinché possa essere utilizzato per monitorare i trattamenti. Eurojust o la persona autorizzata al trattamento dei dati che tratta dati personali in sistemi di trattamento non automatizzati dovrebbe aver posto in essere metodi efficaci per dimostrare la liceità del trattamento, rendere possibile l’autocontrollo e assicurare l’integrità e la sicurezza dei dati, quali registrazioni o altre forme di documentazione.

(38)

Il comitato esecutivo di Eurojust dovrebbe nominare, tra i membri del personale in organico, un funzionario che dovrebbe essere responsabile della protezione dei dati. La persona nominata come responsabile della protezione dei dati di Eurojust dovrebbe aver ricevuto una formazione specifica sulla normativa e la prassi in materia di protezione dei dati al fine di acquisire una conoscenza specialistica in tale settore. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in relazione al trattamento di dati effettuato e alla protezione richiesta per i dati personali trattati da Eurojust.

(39)

Il Garante europeo della protezione dei dati dovrebbe avere la responsabilità di controllare e assicurare la completa applicazione delle disposizioni del presente regolamento relative alla protezione dei dati con riferimento al trattamento dei dati personali operativi da parte di Eurojust. Al Garante europeo della protezione dei dati dovrebbero essere conferiti poteri necessari ai fini di un effettivo svolgimento delle sue funzioni. Il Garante europeo della protezione dei dati dovrebbe avere il diritto di consultare Eurojust per quanto concerne le richieste presentate, di deferire questioni a Eurojust per risolvere questioni emerse nel trattamento dei dati personali operativi, di presentare proposte per migliorare la protezione degli interessati e di ordinare a Eurojust di svolgere operazioni specifiche per quanto riguarda il trattamento dei dati personali operativi. Di conseguenza il Garante necessita dei mezzi per assicurare che gli ordini siano rispettati ed eseguiti. Esso dispone quindi inoltre del potere di emettere un avvertimento a Eurojust. L’avvertimento è emesso sotto forma di richiamo orale o scritto all’obbligo di eseguire gli ordini del Garante europeo della protezione dei dati o di conformarsi alle proposte del medesimo, accompagnato da un richiamo alle misure specifiche che saranno applicate in caso di mancato rispetto o rifiuto da parte di Eurojust.

(40)

Le funzioni e i poteri del Garante europeo della protezione dei dati, come il potere di ordinare a Eurojust di effettuare la rettifica, la limitazione del trattamento o la cancellazione dei dati personali operativi che sono stati trattati in violazione delle disposizioni in materia di protezione dei dati del presente regolamento, non dovrebbero estendersi ai dati personali contenuti nei fascicoli nazionali.

(41)

Per agevolare la cooperazione tra il Garante europeo della protezione dei dati e le autorità di controllo nazionali, facendo però salve l’indipendenza del Garante europeo della protezione dei dati o la sua responsabilità per il controllo di Eurojust con riguardo alla protezione dei dati, il Garante e le autorità nazionali dovrebbero riunirsi periodicamente in sede di comitato europeo per la protezione dei dati, in conformità delle norme sul controllo coordinato di cui al regolamento (UE) 2018/1725 .

(42)

In quanto primo destinatario sul territorio dell’Unione dei dati forniti o estratti da paesi terzi o da organizzazioni internazionali, Eurojust dovrebbe essere responsabile della relativa esattezza. Eurojust dovrebbe adottare misure per verificare nella misura del possibile l’esattezza dei dati al momento del loro ricevimento o della loro trasmissione ad altre autorità.

(43)

Eurojust dovrebbe essere soggetto alle norme generali sulla responsabilità contrattuale ed extracontrattuale applicabile alle istituzioni, agli organi e organismi dell’Unione.

(44)

Eurojust dovrebbe poter scambiare dati personali pertinenti e mantenere relazioni di collaborazione con le altre istituzioni, organi e organismi dell’Unione nella misura necessaria per l’assolvimento dei suoi compiti o dei loro compiti.

(45)

Per garantire la limitazione delle finalità, è importante assicurare che i dati personali possano essere trasferiti da Eurojust a organismi dell’Unione, paesi terzi e organizzazioni internazionali soltanto se necessario ai fini della prevenzione e della lotta contro le forme di criminalità rientranti negli obiettivi di Eurojust. A tal fine, occorre assicurare, in caso di trasferimento di dati personali, che il destinatario garantisca che utilizzerà i dati o procederà al loro trasferimento successivo a un’autorità competente di un paese terzo unicamente per la finalità per la quale sono stati inizialmente trasferiti. Il trasferimento successivo dei dati dovrebbe aver luogo in conformità del presente regolamento.

(46)

Tutti gli Stati membri sono affiliati all’Organizzazione internazionale della polizia criminale (Interpol). Per svolgere la propria missione, l’Interpol riceve, conserva e diffonde dati personali ai fini di aiutare le autorità competenti a prevenire e combattere la criminalità internazionale. È pertanto opportuno rafforzare la cooperazione tra l’Unione e l’Interpol promuovendo un efficace scambio di dati personali assicurando nel contempo il rispetto dei diritti e delle libertà fondamentali attinenti al trattamento automatizzato dei dati personali. Qualora dati personali operativi siano trasferiti da Eurojust all’Interpol e a paesi che hanno distaccato membri presso l’Interpol, si dovrebbe applicare il presente regolamento, in particolare le disposizioni relative ai trasferimenti internazionali. Il presente regolamento dovrebbe lasciare impregiudicate le norme specifiche definite nella posizione comune 2005/69/GAI del Consiglio (11) e nella decisione 2007/533/GAI del Consiglio (12).

(47)

Quando Eurojust trasferisce dati personali operativi a un’autorità di un paese terzo o a un’organizzazione internazionale in virtù di un accordo internazionale concluso a norma dell’articolo 218 TFUE, dovrebbero essere previste adeguate garanzie per la protezione della vita privata e dei diritti e delle libertà fondamentali delle persone fisiche onde assicurare il rispetto delle norme applicabili in materia di protezione dei dati.

(48)

Eurojust dovrebbe garantire che un trasferimento verso un paese terzo o un’organizzazione internazionale avvenga unicamente se necessario ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia dalle minacce alla sicurezza pubblica e la prevenzione delle stesse, e che il titolare del trattamento nel paese terzo o presso l’organizzazione internazionale sia un’autorità competente ai sensi del presente regolamento. Un trasferimento dovrebbe essere effettuato solo da Eurojust in qualità di titolare del trattamento. Tale trasferimento è ammesso se la Commissione ha deciso che il paese terzo o l’organizzazione internazionale in questione garantisce un livello di protezione adeguato, se sono state fornite adeguate garanzie o se si applicano deroghe in specifiche situazioni.

(49)

Eurojust dovrebbe poter trasferire dati personali ad autorità di paesi terzi o a organizzazioni internazionali sulla base di una decisione della Commissione che sancisca l’adeguatezza del livello di protezione dei dati nel paese terzo o nell’organizzazione internazionale in questione («decisione di adeguatezza») oppure, in mancanza di una decisione di adeguatezza, sulla base di un accordo internazionale concluso dall’Unione a norma dell’articolo 218 TFUE o di un accordo di cooperazione che consenta lo scambio di dati personali concluso tra Eurojust e il paese terzo prima di applicazione del presente regolamento.

(50)

Laddove ravvisi l’esigenza operativa di cooperare con un paese terzo o un’organizzazione internazionale, il collegio dovrebbe poter proporre al Consiglio di attirare l’attenzione della Commissione sulla necessità di una decisione di adeguatezza o di una raccomandazione per l’avvio di negoziati per un tale accordo internazionale a norma dell’articolo 218 TFUE.

(51)

I trasferimenti non effettuati sulla base di una decisione di adeguatezza dovrebbero essere autorizzati unicamente qualora siano offerte adeguate garanzie in uno strumento giuridicamente vincolante, atto ad assicurare la protezione dei dati personali, o qualora Eurojust abbia valutato tutte le circostanze relative al trasferimento dei dati e, sulla base di tale valutazione, ritenga che esistano adeguate garanzie con riguardo alla protezione dei dati personali. Tali strumenti giuridicamente vincolanti potrebbero ad esempio consistere in accordi bilaterali giuridicamente vincolanti che sono stati conclusi dagli Stati membri e recepiti nel loro ordinamento giuridico e che potrebbero essere fatti valere dai loro interessati, così da garantire il rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati, compreso il diritto a un ricorso effettivo in sede amministrativa o giudiziaria. All’atto della valutazione di tutte le circostanze relative al trasferimento dei dati, Eurojust dovrebbe poter tener conto degli accordi di cooperazione conclusi tra Eurojust e i paesi terzi che consentono lo scambio di dati personali. Eurojust dovrebbe poter inoltre tenere conto del fatto che il trasferimento di dati personali sarà soggetto a obblighi di riservatezza e al principio di specificità, così da garantire che i dati non siano trattati per finalità diverse da quella del trasferimento. Inoltre, Eurojust dovrebbe tener conto del fatto che i dati personali non saranno utilizzati per richiedere, emettere o eseguire la pena di morte o qualsiasi forma di trattamento crudele e disumano. Benché tali condizioni possano ritenersi garanzie adeguate che consentono il trasferimento dei dati, Eurojust dovrebbe poter richiedere garanzie supplementari.

(52)

In mancanza di una decisione di adeguatezza o di garanzie adeguate, si può procedere a un trasferimento o a una categoria di trasferimenti soltanto in situazioni specifiche, se necessario per salvaguardare un interesse vitale dell’interessato o di un’altra persona, o per salvaguardare i legittimi interessi dell’interessato, qualora lo preveda il diritto dello Stato membro che trasferisce i dati personali; per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo; in un singolo caso per prevenire, indagare, accertare o perseguire reati o eseguire sanzioni penali, incluse la salvaguardia dalle minacce alla sicurezza pubblica e la prevenzione delle stesse; o in un singolo caso per accertare, esercitare o difendere un diritto in sede giudiziaria. Tali deroghe dovrebbero essere interpretate in modo restrittivo e non dovrebbero consentire trasferimenti frequenti, ingenti e strutturali di dati personali o trasferimenti su larga scala di dati, ma andrebbero invece limitate ai dati strettamente necessari. Tali trasferimenti dovrebbero essere documentati e, su richiesta, messi a disposizione del Garante europeo della protezione dei dati per consentire il monitoraggio della loro liceità.

(53)

In casi eccezionali, Eurojust dovrebbe poter prolungare i termini per la conservazione dei dati personali operativi per il conseguimento dei suoi obiettivi, nel rispetto del principio di limitazione delle finalità applicabile al trattamento dei dati personali nel contesto di tutte le sue attività. Le decisioni in tal senso dovrebbero essere adottate avendo considerato attentamente tutti gli interessi in gioco, anche degli interessati. La decisione di prorogare un termine per il trattamento dei dati personali, nei casi in cui il termine di prescrizione dell’azione penale sia scaduto in tutti gli Stati membri interessati, andrebbe adottata soltanto quando sussiste un’esigenza specifica di assistenza ai sensi del presente regolamento.

(54)

Eurojust dovrebbe intrattenere rapporti privilegiati con la rete giudiziaria europea, basati sulla concertazione e sulla complementarità. Il presente regolamento dovrebbe contribuire a chiarirne i ruoli rispettivi e le relazioni reciproche, preservando nel contempo la specificità della rete giudiziaria europea.

(55)

Nella misura necessaria per l’assolvimento dei suoi compiti, occorre che Eurojust mantenga relazioni di cooperazione con gli altri istituzioni, organi e organismi dell’Unione, con EPPO, con le autorità competenti dei paesi terzi e con le organizzazioni internazionali.

(56)

Per potenziare la cooperazione operativa tra Eurojust e Europol e, in particolare, individuare i collegamenti tra i dati già in possesso delle due agenzie, è opportuno che Eurojust consenta a Europol di accedere ai dati a sua disposizione in base a un sistema di riscontro positivo o negativo («hit/no hit»). È opportuno che Eurojust ed Europol provvedano a che siano stabilite le necessarie disposizioni per ottimizzare la loro cooperazione operativa, tenendo in debito conto i rispettivi mandati e le eventuali restrizioni stabilite dagli Stati membri. Tali accordi di lavoro dovrebbero garantire l’accesso a tutte le informazioni che sono state fornite a Europol per i controlli incrociati e la possibilità di eseguire interrogazioni sui dati in conformità delle salvaguardie specifiche e delle garanzie di protezione dei dati previste dal presente regolamento. L’accesso da parte di Europol ai dati disponibili presso Eurojust dovrebbe essere limitato, mediante dispositivi tecnici, alle informazioni rientranti nei rispettivi mandati di dette agenzie dell’Unione.

(57)

Eurojust ed Europol dovrebbero tenersi reciprocamente informati sulle attività che comportino il finanziamento di squadre investigative comuni.

(58)

Nella misura necessaria per l’assolvimento dei suoi compiti, Eurojust dovrebbe poter scambiare dati personali con le istituzioni, gli organi e organismi dell’Unione nel pieno rispetto della tutela della vita privata nonché dei diritti e delle libertà fondamentali.

(59)

Eurojust dovrebbe rafforzare la cooperazione con le autorità competenti dei paesi terzi e con le organizzazioni internazionali, secondo una strategia definita in consultazione con la Commissione. A tale scopo, è opportuno prevedere che Eurojust distacchi magistrati di collegamento in paesi terzi per raggiungere obiettivi simili a quelli assegnati ai magistrati di collegamento distaccati dagli Stati membri sulla base dell’azione comune 96/277/GAI del Consiglio (13).

(60)

Si dovrebbe disporre che Eurojust coordini l’esecuzione delle richieste di cooperazione giudiziaria di un paese terzo qualora queste debbano essere eseguite in almeno due Stati membri nell’ambito di una stessa indagine. Eurojust dovrebbe effettuare tale coordinamento con l’accordo degli Stati membri interessati,

(61)

Per garantirne la piena autonomia e indipendenza, è opportuno che Eurojust disponga di un bilancio autonomo sufficiente a svolgere correttamente i suoi compiti, alimentato essenzialmente da un contributo del bilancio dell’Unione, ad eccezione degli stipendi ed emolumenti dei membri nazionali, dei loro aggiunti e assistenti che sono a carico dello Stato membro. Occorre che la procedura di bilancio dell’Unione si applichi ai contributi e alle sovvenzioni a carico del bilancio generale dell’Unione. La revisione contabile dovrebbe essere effettuata dalla Corte dei conti e dovrebbe essere approvata dalla commissione per il controllo dei bilanci del Parlamento europeo.

(62)

Al fine di aumentare la trasparenza e il controllo democratico di Eurojust è necessario stabilire un meccanismo a norma dell’articolo 85, paragrafo 1, TFUE per la valutazione congiunta da parte del Parlamento europeo e dei parlamenti nazionali delle attività di Eurojust. La valutazione dovrebbe avvenire nell’ambito di una riunione interparlamentare di commissione, presso i locali del Parlamento europeo a Bruxelles, con la partecipazione dei membri delle commissioni competenti del Parlamento europeo e dei parlamenti nazionali. La riunione interparlamentare di commissione si dovrebbe tenere nel pieno rispetto del principio di indipendenza di Eurojust per quanto riguarda i provvedimenti adottati in determinati casi operativi o l’obbligo del segreto e della riservatezza.

(63)

È opportuno valutare periodicamente l’applicazione del presente regolamento.

(64)

È opportuno che i procedimenti di Eurojust siano trasparenti in conformità dell’articolo 15, paragrafo 3, TFUE e che il collegio adotti disposizioni specifiche sul modo in cui è garantito il diritto di accesso del pubblico ai documenti. Nessuna disposizione del presente regolamento è intesa a limitare il diritto di accesso del pubblico ai documenti nella misura in cui esso è garantito nell’Unione e negli Stati membri, in particolare a norma dell’articolo 42 della Carta dei diritti fondamentali dell’Unione europea («Carta»). Le norme generali in materia di trasparenza applicabili alle agenzie dell’Unione dovrebbero valere anche per Eurojust, al fine di non pregiudicare in alcun modo l’obbligo di riservatezza nella sua attività operativa. Le indagini amministrative condotte dal Mediatore europeo dovrebbero rispettare l’obbligo di riservatezza di Eurojust.

(65)

Al fine di aumentare la trasparenza e la responsabilità di Eurojust di fronte ai cittadini dell’Unione, è opportuno che Eurojust pubblichi sul suo sito web l’elenco dei membri del comitato esecutivo e, se del caso, le sintesi dei risultati delle riunioni di quest’ultimo, nel rispetto degli obblighi in materia di protezione dei dati.

(66)

A Eurojust dovrebbe applicarsi il regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio (14).

(67)

A Eurojust dovrebbe applicarsi il regolamento (UE, Euratom) n. 883/2013 del Parlamento europeo e del Consiglio (15).

(68)

È opportuno che le necessarie disposizioni riguardanti l’insediamento di Eurojust nello Stato membro in cui avrà la sede (Paesi Bassi) e le specifiche norme applicabili all’insieme del personale Eurojust e ai familiari siano stabilite in un accordo di sede. È opportuno che lo Stato membro ospitante garantisca le migliori condizioni possibili per il funzionamento di Eurojust, anche in termini di scolarizzazione multilingue a orientamento europeo e di adeguati collegamenti di trasporto, in modo da attirare risorse umane di elevata qualità su una base geografica più ampia possibile.

(69)

Poiché l’Agenzia Eurojust istituita con il presente regolamento sostituisce e succede all’unità Europol istituita con decisione 2002/187/GAI, è opportuno che essa subentri in tutti i suoi contratti, compresi i contratti di lavoro, le passività a carico e le proprietà acquisite. Occorre che gli accordi internazionali conclusi dall’unità Eurojust istituita con la suddetta decisione rimangano in vigore.

(70)

Poiché l’obiettivo del presente regolamento, vale a dire l’istituzione di un’entità responsabile di sostenere e potenziare il coordinamento e la cooperazione tra le autorità giudiziarie degli Stati membri contro le forme gravi di criminalità che interessano due o più Stati membri o che richiedono un’azione penale su basi comuni, non può essere conseguito in misura sufficiente dagli Stati membri e può dunque, a motivo della portata e degli effetti dell’azione in questione, essere conseguito meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 TUE. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(71)

A norma degli articoli 1 e 2 e dell’articolo 4 bis, paragrafo 1, del protocollo n. 21 sulla posizione del Regno Unito e dell’Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al TUE e al TFUE, e fatto salvo l’articolo 4 di tale protocollo, detti Stati membri non partecipano all’adozione del presente regolamento, non sono da esso vincolati, né sono soggetti alla sua applicazione.

(72)

A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca, allegato al TUE e al TFUE, la Danimarca non partecipa all’adozione del presente regolamento, non è da esso vincolata, né è soggetta alla sua applicazione.

(73)

Conformemente all’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (16), il Garante europeo della protezione dei dati è stato consultato e ha espresso un parere il 5 marzo 2014.

(74)

Il presente regolamento rispetta pienamente i diritti fondamentali e le garanzie e osserva i principi riconosciuti in particolare dalla Carta,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO I

ISTITUZIONE, OBIETTIVI E COMPITI DI EUROJUST

Articolo 1

Istituzione dell’agenzia dell’Unione europea per la cooperazione giudiziaria penale

1.   È istituita l’agenzia dell’Unione europea per la cooperazione giudiziaria penale (Eurojust).

2.   Eurojust istituito con il presente regolamento sostituisce e succede all’unità Eurojust istituita con decisione 2002/187/GAI.

3.   Eurojust ha personalità giuridica.

Articolo 2

Compiti

1.   Eurojust sostiene e potenzia il coordinamento e la cooperazione tra le autorità nazionali responsabili delle indagini e dell’azione penale contro le forme gravi di criminalità di competenza di Eurojust a norma dell’articolo 3, paragrafi 1 e 3, qualora tali forme di criminalità interessino due o più Stati membri o richiedano un’azione penale su basi comuni, sulla scorta delle operazioni effettuate e delle informazioni fornite dalle autorità degli Stati membri, da Europol, da EPPO e dall’OLAF.

2.   Nello svolgimento dei propri compiti Eurojust:

a)

tiene conto di qualsiasi richiesta formulata dall’autorità competente di uno Stato membro e di qualsiasi informazione fornita da autorità, istituzioni, organi e organismi dell’Unione competenti in virtù di disposizioni adottate nell’ambito dei trattati o di ogni informazione raccolta da Eurojust;

b)

agevola l’esecuzione delle richieste e decisioni di cooperazione giudiziaria, anche con riferimento a richieste e decisioni basate sugli strumenti che danno effetto il principio del riconoscimento reciproco.

3.   Eurojust assolve i suoi compiti su richiesta delle autorità competenti degli Stati membri o di propria iniziativa o su richiesta di EPPO nei limiti delle sue competenze.

Articolo 3

Competenza di Eurojust

1.   Eurojust è competente per le forme gravi di criminalità di cui all’allegato I. Tuttavia, dalla data in cui EPPO ha assunto i suoi compiti di indagine e azione penale a norma dell’articolo 120, paragrafo 2, del regolamento (UE) 2017/1939, Eurojust non esercita le proprie competenze per quanto riguarda le forme di criminalità per le quali EPPO esercita le sue competenze, tranne nei casi in cui sono coinvolti anche Stati membri che non partecipano alla cooperazione rafforzata sull’istituzione di EPPO e su richiesta di quegli stessi Stati membri o su richiesta di EPPO.

2.   Eurojust esercita le sue competenze per i reati che ledono gli interessi finanziari dell’Unione nei casi che vedono coinvolti gli Stati membri che partecipano alla cooperazione rafforzata sull’Istituzione di EPPO ma per i quali EPPO non è competente o decide di non esercitare la sua competenza.

Eurojust, EPPO e gli Stati membri interessati si consultano e cooperano tra lor al fine di facilitare l’esercizio delle competenze di Eurojust a norma del presente paragrafo. Le modalità pratiche relative a tale esercizio a norma del presente paragrafo sono disciplinate dall’accordo di lavoro di cui all’articolo 47, paragrafo 3.

3.   Per quanto riguarda altri tipi di reati diversi da quelli di cui all’allegato I, Eurojust può altresì, nell’ambito dei suoi compiti, prestare assistenza nelle indagini e nelle azioni penali su richiesta di un’autorità competente di uno Stato membro.

4.   Eurojust è competente anche per i reati connessi ai reati elencati all’allegato I. Le categorie seguenti di reati sono considerati reati connessi:

a)

i reati commessi per procurarsi i mezzi per compiere i reati gravi elencati all’allegato I;

b)

i reati commessi per agevolare o compiere i reati gravi elencati all’allegato I;

c)

i reati commessi per assicurare l’impunità degli autori dei reati gravi elencati all’allegato I.

5.   Su richiesta dell’autorità competente di uno Stato membro, Eurojust può prestare sostegno anche qualora le indagini e le azioni penali interessino unicamente lo Stato membro in questione e un paese terzo, se con tale paese è stato concluso un accordo di cooperazione o altra modalità di cooperazione ai sensi dell’articolo 52, o qualora in un caso particolare sussista un interesse essenziale a prestare tale sostegno.

6.   Su richiesta dell’autorità competente di uno Stato membro o della Commissione, Eurojust può prestare sostegno qualora le indagini e le azioni penali interessino unicamente lo Stato membro in questione, ma abbiano ripercussioni a livello dell’Unione. Prima di agire su richiesta della Commissione, Eurojust consulta l’autorità competente dello Stato membro interessato. Tale autorità competente può, entro un termine fissato da Eurojust, opporsi all’esecuzione della richiesta da parte di Eurojust, motivando in ogni caso la sua posizione.

Articolo 4

Funzioni operative di Eurojust

1.   Eurojust ha le seguenti funzioni operative:

a)

informare le autorità competenti degli Stati membri in ordine alle indagini e azioni penali di cui ha conoscenza che abbiano un’incidenza su scala dell’Unione, o che possano riguardare Stati membri diversi da quelli direttamente interessati;

b)

assistere le autorità competenti degli Stati membri per assicurare un coordinamento ottimale delle indagini e delle azioni penali;

c)

prestare assistenza per migliorare la cooperazione fra le autorità competenti degli Stati membri, segnatamente in base alle analisi svolte da Europol;

d)

collaborare e consultarsi con la rete giudiziaria europea in materia penale, anche utilizzando e contribuendo ad arricchire la base di dati documentali della rete giudiziaria europea;

e)

cooperare strettamente con EPPO sulle materie di sua competenza;

f)

prestare sostegno operativo, tecnico e finanziario alle operazioni e indagini transfrontaliere degli Stati membri, anche delle squadre investigative comuni;

g)

sostenere i centri di competenze specializzate dell’Unione sviluppati da Europol e da altre istituzioni, organi e organismi dell’Unione e, ove opportuno, parteciparvi;

h)

collaborare con le istituzioni, gli organi e gli organismi dell’Unione, nonché con le reti istituite nello spazio di libertà, sicurezza e giustizia disciplinato dal titolo V TFUE;

i)

sostenere le azioni degli Stati membri volte a lottare contro le forme gravi di criminalità di cui all’allegato 1.

2.   Nell’assolvimento dei suoi compiti, Eurojust può chiedere, specificandone i motivi, che le autorità competenti degli Stati membri interessati:

a)

avviino un’indagine o un’azione penale per fatti precisi;

b)

accettino che una di esse è più indicata ad avviare un’indagine o un’azione penale per fatti precisi;

c)

si coordinino con le autorità competenti di altri Stati membri;

d)

istituiscano una squadra investigativa comune conformemente ai pertinenti strumenti di cooperazione;

e)

gli comunichino le informazioni necessarie per l’assolvimento dei suoi compiti;

f)

dispongano misure investigative speciali;

g)

prendano ogni altra misura giustificata ai fini dell’indagine o dell’azione penale.

3.   Eurojust può inoltre:

a)

fornire pareri a Europol sulla base delle analisi da questo sviluppate;

b)

fornire un sostegno logistico, compresa l’assistenza per la traduzione, l’interpretazione e l’organizzazione di riunioni di coordinamento.

4.   Qualora due o più Stati membri non concordino su chi debba avviare un’indagine o un’azione penale a seguito di una richiesta formulata a norma del paragrafo 2, lettere a) o b), Eurojust formula un parere scritto sul caso. Eurojust invia immediatamente il parere agli Stati membri interessati.

5.   Su richiesta di un’autorità competente, o di propria iniziativa, Eurojust formula un parere scritto sul ripetersi del rifiuto o delle difficoltà a eseguire richieste e decisioni di cooperazione giudiziaria, anche con riferimento alle richieste e alle decisioni che si basano sugli strumenti che applicano il principio del riconoscimento reciproco, purché non sia stato possibile risolvere la questione con il comune accordo delle autorità nazionali competenti o con l’intervento dei membri nazionali interessati. Eurojust invia immediatamente il parere agli Stati membri interessati.

6.   Le autorità competenti degli Stati membri interessati rispondono senza indebito ritardo alle richieste di Eurojust di cui al paragrafo 2, e ai pareri scritti di cui al paragrafo 4 o 5. Le autorità competenti degli Stati membri possono rifiutarsi di ottemperare alle richieste o di seguire i pareri scritti ove ciò leda interessi essenziali di sicurezza nazionale o comprometta il successo di un’indagine in corso o la sicurezza di una persona.

Articolo 5

Esercizio delle funzioni operative e di altro tipo

1.   Eurojust, quando agisce ai sensi dell’articolo 4, paragrafo 1 o 2, lo fa per il tramite di uno o più membri nazionali interessati. Fatto salvo il paragrafo 2 del presente articolo, il collegio si concentra su questioni operative e su questioni di altro tipo direttamente connesse con aspetti operativi. Esso interviene nelle questioni amministrative solo nella misura necessaria ad assicurare l’espletamento delle sue funzioni operative.

2.   Eurojust agisce tramite il collegio:

a)

quando agisce ai sensi dell’articolo 4, paragrafo 1 o 2:

i)

se richiesto da uno o più membri nazionali interessati da un caso trattato da Eurojust;

ii)

se il caso comporta indagini o azioni penali che abbiano un’incidenza su scala dell’Unione o possano interessare Stati membri diversi da quelli direttamente interessati;

b)

quando agisce ai sensi dell’articolo 4, paragrafo 3, 4 o 5;

c)

quando si pone un problema generale riguardante la realizzazione dei suoi obiettivi operativi;

d)

quando adotta il bilancio annuale di Eurojust, nel qual caso la decisione è adottata a maggioranza dei due terzi dei suoi membri;

e)

quando adotta il documento di programmazione di cui all’articolo 15 o la relazione annuale di attività di Eurojust, nel qual caso la decisione è adottata a maggioranza dei due terzi dei suoi membri;

f)

quando elegge o revoca il presidente e i vicepresidenti a norma dell’articolo 11;

g)

quando nomina il direttore amministrativo o, se del caso, ne proroga il mandato o lo rimuove dall’incarico a norma dell’articolo 17;

h)

quando adotta gli accordi di lavoro conclusi a norma degli articoli 47, paragrafo 3, e dell’articolo 52;

i)

quando adotta norme per la prevenzione e la gestione dei conflitti di interesse in relazione ai suoi membri, anche con riferimento alla loro dichiarazione di interessi;

j)

quando adotta relazioni, documenti programmatici, orientamenti destinati alle autorità nazionali e pareri riguardanti l’attività operativa di Eurojust, ogniqualvolta tali documenti siano di natura strategica;

k)

quando nomina magistrati di collegamento a norma dell’articolo 53;

l)

quando adotta qualsiasi altra decisione non espressamente attribuita al comitato esecutivo dal presente regolamento o che esula dalla responsabilità del direttore amministrativo a norma dell’articolo 18;

m)

se altrimenti previsto dal presente regolamento.

3.   Quando svolge i suoi compiti, Eurojust comunica se agisce per il tramite di uno o più membri nazionali oppure del collegio.

4.   Il collegio può assegnare compiti amministrativi supplementari al direttore amministrativo e al comitato esecutivo oltre a quelli previsti dagli articoli 16 e 18 conformemente alle sue necessità operative.

Qualora circostanze eccezionali lo richiedano, il collegio può, mediante decisione, sospendere temporaneamente i poteri di autorità che ha il potere di nomina delegati al direttore amministrativo e quelli subdelegati da quest’ultimo, ed esercitarli esso stesso o delegarli a uno dei suoi membri o a un membro del personale diverso dal direttore amministrativo.

5.   Il collegio adotta, a maggioranza dei due terzi dei suoi componenti, il regolamento interno di Eurojust. Qualora non sia possibile raggiungere un accordo a maggioranza di due terzi, la decisione è adottata a maggioranza semplice. Il regolamento interno di Eurojust è approvato dal Consiglio mediante atti di esecuzione.

CAPO II

STRUTTURA E ORGANIZZAZIONE DI EUROJUST

SEZIONE I

Struttura

Articolo 6

Struttura di Eurojust

La struttura di Eurojust comprende:

a)

i membri nazionali;

b)

il collegio;

c)

il comitato esecutivo;

d)

il direttore amministrativo.

SEZIONE II

Membri nazionali

Articolo 7

Status dei membri nazionali

1.   Ciascuno Stato membro distacca presso Eurojust un membro nazionale in conformità del proprio ordinamento giuridico. Il luogo normale di lavoro di tale membro nazionale è la sede di Eurojust.

2.   Ciascun membro nazionale è assistito da un aggiunto e un assistente. In linea di principio, il luogo normale di lavoro dell’aggiunto e dell’assistente è, in linea di principio, la sede di Eurojust. Ciascuno Stato membro può decidere che l’aggiunto o l’assistente o entrambi abbiano il loro luogo normale di lavoro nello Stato membro di origine. Ove lo Stato membro adotti una siffatta decisione, ne informa il collegio. Se necessario per esigenze operative di Eurojust, il collegio può chiedere allo Stato membro di stabilire il luogo di lavoro dell’aggiunto e dell’assistente o di entrambi, per un periodo di tempo specificato, nella sede di Eurojust. Lo Stato membro ottempera alla richiesta del collegio senza indebito ritardo.

3.   Il membro nazionale può essere assistito da più aggiunti o assistenti, il cui luogo normale di lavoro può essere, se necessario e previo accordo del collegio, presso Eurojust. Gli Stati membri informano Eurojust e la Commissione della nomina di membri nazionali, aggiunti e assistenti.

4.   I membri nazionali e gli aggiunti devono avere lo status di magistrato del pubblico ministero, giudice o rappresentante dell’autorità giudiziaria con prerogative equivalenti a quelle di un pubblico ministero o giudice a norma del diritto nazionale. Gli Stati membri conferiscono loro almeno i poteri previsti dal presente regolamento affinché possano svolgere i loro compiti.

5.   Il mandato dei membri nazionali e dei loro aggiunti è di cinque anni ed è rinnovabile una volta. Nei casi in cui l’aggiunto non possa agire per conto o in sostituzione del membro nazionale, quest’ultimo, alla scadenza del suo mandato, rimane in carica, con il consenso dello Stato membro interessato, fino al rinnovo del suo mandato o fino alla sua sostituzione.

6.   Gli Stati membri nominano i membri nazionali e i loro aggiunti sulla base di una rilevante esperienza pratica di alto livello comprovata nel settore della giustizia penale.

7.   L’aggiunto è in grado di agire per conto o in sostituzione del membro nazionale. Anche l’assistente può agire per conto o in sostituzione del membro nazionale, purché abbia lo status di cui al paragrafo 4.

8.   Le informazioni operative scambiate tra Eurojust e gli Stati membri sono trasmesse per il tramite dei membri nazionali.

9.   Gli stipendi ed emolumenti dei membri nazionali, degli aggiunti e degli assistenti sono a carico dello Stato membro, fatto salvo l’articolo 12.

10.   Quando i membri nazionali, gli aggiunti e gli assistenti operano nell’ambito dei compiti di Eurojust, le spese pertinenti relative a tali attività sono considerate spese operative.

Articolo 8

Poteri dei membri nazionali

1.   I membri nazionali hanno il potere di:

a)

agevolare o altrimenti sostenere l’emissione o l’esecuzione delle richieste di assistenza giudiziaria o riconoscimento reciproco;

b)

contattare direttamente e scambiare informazioni con le autorità nazionali competenti del proprio Stato membro o con qualsiasi altro organo, ufficio o agenzia competente dell’Unione, inclusa EPPO;

c)

contattare direttamente e scambiare informazioni con le autorità internazionali competenti, in conformità degli impegni internazionali del proprio Stato membro;

d)

partecipare alle squadre investigative comuni, anche alla loro costituzione.

2.   Fatto salvo il paragrafo 1, gli Stati membri possono attribuire ulteriori poteri ai membri nazionali in conformità del loro diritto nazionale. Tali Stati membri comunicano formalmente alla Commissione e al collegio tali poteri.

3.   Di concerto con l’autorità nazionale competente i membri nazionali possono, in conformità del diritto nazionale:

a)

emettere o eseguire ogni richiesta di assistenza giuridica reciproca o di riconoscimento reciproco;

b)

disporre, chiedere o eseguire misure investigative a norma della direttiva 2014/41/UE del Parlamento europeo e del Consiglio (17).

4.   Nei casi urgenti e qualora non sia possibile individuare o contattare tempestivamente l’autorità nazionale competente, i membri nazionali possono adottare le misure di cui al paragrafo 3 in conformità del loro diritto nazionale, a condizione che ne informino quanto prima l’autorità nazionale competente.

5.   Il membro nazionale ha facoltà di presentare una proposta all’autorità competente nazionale l’attuazione delle misure di cui ai paragrafi 3 e 4 se l’esercizio dei poteri di cui ai paragrafi 3 e 4 da parte del membro nazionale confligge con

a)

le norme costituzionali di uno Stato membro;

oppure

b)

gli aspetti fondamentali del sistema giudiziario penale di uno Stato membro riguardanti:

i)

la suddivisione dei poteri tra polizia, magistrati del pubblico ministero e giudici;

ii)

la divisione funzionale dei compiti tra procure;

oppure

iii)

la struttura federale dello Stato membro interessato.

6.   Gli Stati membri provvedono affinché, nei casi di cui al paragrafo 5, la proposta presentata dal membro nazionale sia trattata senza indebito ritardo dall’autorità nazionale competente.

Articolo 9

Accesso ai registri nazionali

I membri nazionali hanno accesso alle informazioni contenute nei seguenti tipi di registri del proprio Stato membro, o sono quanto meno in grado di ottenerle, in conformità del loro diritto nazionale:

a)

casellario giudiziario;

b)

registri delle persone arrestate;

c)

registri relativi alle indagini;

d)

registri del DNA;

e)

altri registri di autorità pubbliche del proprio Stato membro contenenti informazioni necessarie all’assolvimento dei propri compiti.

SEZIONE III

Collegio

Articolo 10

Composizione del collegio

1.   Il collegio è composto da:

a)

tutti i membri nazionali; e

b)

un rappresentante della Commissione quando il collegio esercita le funzioni di gestione.

Il rappresentante della Commissione nominato a norma della lettera b) del primo comma è anche il rappresentante della Commissione in seno al comitato esecutivo a norma dell’articolo 16, paragrafo 4.

2.   Il direttore amministrativo partecipa alle riunioni di gestione del collegio senza diritto di voto.

3.   Il collegio può invitare a partecipare alle sue riunioni, in veste di osservatore, ogni persona il cui parere possa essere rilevante.

4.   Fatte salve le disposizioni del regolamento interno di Eurojust, i membri del collegio possono farsi assistere da consulenti o esperti.

Articolo 11

Presidente e vicepresidenti di Eurojust

1.   Il collegio elegge un presidente e due vicepresidenti scegliendoli tra i suoi membri nazionali, a maggioranza dei due terzi dei membri che lo compongono. Qualora non sia possibile raggiungere la maggioranza dei due terzi dopo il secondo turno, i vicepresidenti sono eletti a maggioranza semplice dei membri del collegio, mentre continua a essere necessaria la maggioranza dei due terzi per l’elezione del presidente.

2.   Il presidente esercita le sue funzioni a nome del collegio. Il presidente:

a)

rappresenta Eurojust;

b)

convoca e presiede le riunioni del collegio e del comitato esecutivo e tiene informato il collegio delle questioni di suo interesse;

c)

dirige i lavori del collegio e controlla la gestione quotidiana di Eurojust assicurata dal direttore amministrativo;

d)

esercita ogni altra funzione prevista dal regolamento interno di Eurojust.

3.   I vicepresidenti esercitano le funzioni di cui al paragrafo 2, conferite loro dal presidente. Essi sostituiscono il presidente quando questi è impossibilitato a svolgere le proprie funzioni. Il presidente e i vicepresidenti, nell’esercizio delle loro funzioni specifiche, sono assistiti dal personale amministrativo di Eurojust.

4.   Il mandato del presidente e dei vicepresidenti è di quattro anni. Esso è rinnovabile una volta.

5.   Qualora un membro nazionale sia eletto presidente o vicepresidente di Eurojust, il suo mandato è prorogato affinché possa svolgere le funzioni di presidente o vicepresidente.

6.   Se il presidente o i vicepresidenti non sono più in possesso dei requisiti necessari per l’esercizio delle loro funzioni, possono essere destituiti dalle loro funzioni dal collegio su proposta di un terzo dei suoi componenti. La decisione è adottata a maggioranza dei due terzi dei componenti del collegio, esclusi il presidente o vicepresidente interessati.

7.   Qualora un membro nazionale sia eletto presidente di Eurojust, lo Stato membro interessato può distaccare un’altra persona adeguatamente qualificata al fine di rafforzare l’ufficio nazionale per la durata dell’incarico esercitato dall’altro membro nazionale quale presidente.

In tal caso, lo Stato membro interessato ha diritto a chiedere una compensazione ai sensi dell’articolo 12.

Articolo 12

Meccanismo di compensazione per l’elezione alla carica di presidente

1.   Entro il 12 dicembre 2019, il Consiglio, deliberando su proposta della Commissione, stabilisce mediante atti di esecuzione un meccanismo di compensazione ai fini dell’articolo 11, paragrafo 7, a beneficio degli Stati membri il cui membro nazionale è eletto presidente.

2.   Gli Stati membri possono ottenere una compensazione se:

a)

il loro membro nazionale è stato eletto presidente;

e

b)

chiedono una compensazione al collegio e giustificano la necessità di rafforzare l’ufficio nazionale a motivo dell’aumento del carico di lavoro.

3.   La compensazione corrisposta è pari al 50 % dello stipendio nazionale della persona distaccata. La copertura delle spese di vitto ed alloggio e altre spese associate è effettuata su base comparativa rispetto a quella prevista per i funzionari dell’Unione o altri dipendenti pubblici distaccati all’estero.

4.   Il costo del meccanismo di compensazione è a carico del bilancio di Eurojust.

Articolo 13

Riunioni del collegio

1.   Le riunioni del collegio sono indette dal presidente.

2.   Il collegio tiene almeno una riunione al mese. Si riunisce inoltre su iniziativa del presidente, su richiesta di almeno un terzo dei suoi membri o su richiesta della Commissione per discutere i compiti di gestione del collegio.

3.   Eurojust invia a EPPO gli ordini del giorno delle riunioni del collegio ogniqualvolta si discutano questioni che sono rilevanti per l’esercizio delle funzioni di ‘EPPO. Eurojust invita EPPO a partecipare a tali riunioni senza diritto di voto. Ogni qualvolta EPPO sia invitata a una riunione del collegio, Eurojust le fornisce i documenti pertinenti su cui è basato l’ordine del giorno.

Articolo 14

Modalità di votazione del collegio

1.   Salvo altrimenti disposto, e qualora non sia possibile raggiungere un consenso, il collegio decide a maggioranza dei suoi membri.

2.   Ogni membro dispone di un voto. In assenza di un membro con diritto di voto, l’aggiunto è abilitato a esercitare il diritto di voto secondo le condizioni di cui all’articolo 7, paragrafo 7. In assenza dell’aggiunto, anche l’assistente è abilitato a esercitare il diritto di voto secondo le condizioni di cui all’articolo 7, paragrafo 7.

Articolo 15

Programmazione annuale e pluriennale

1.   Entro il 30 novembre di ogni anno il collegio adotta un documento di programmazione contenente la programmazione annuale e pluriennale, in base a un progetto predisposto dal direttore amministrativo e tenuto conto del parere della Commissione. Il collegio trasmette il documento di programmazione al Parlamento europeo, al Consiglio, alla Commissione e a EPPO. Il documento di programmazione diventa definitivo dopo l’approvazione definitiva del bilancio generale dell’Unione e, se necessario, è adeguato di conseguenza.

2.   Il programma di lavoro annuale comprende gli obiettivi dettagliati e i risultati attesi, compresi gli indicatori di risultato. Contiene inoltre una descrizione delle azioni da finanziare e l’indicazione delle risorse finanziarie e umane stanziate per ogni azione, conformemente ai principi di formazione del bilancio per attività e gestione per attività. Il programma di lavoro annuale è coerente con il programma di lavoro pluriennale di cui al paragrafo 4. Indica chiaramente i compiti aggiunti, modificati o soppressi rispetto all’esercizio finanziario precedente.

3.   Quando a Eurojust è affidato un nuovo compito, il collegio modifica il programma di lavoro annuale adottato. Le modifiche sostanziali del programma di lavoro annuale sono adottate con la stessa procedura del programma di lavoro annuale iniziale. Il collegio può delegare al direttore amministrativo il potere di presentare modifiche non sostanziali del programma di lavoro annuale.

4.   Il programma di lavoro pluriennale definisce la programmazione strategica generale, compresi gli obiettivi, la strategia di cooperazione con le autorità di paesi terzi e le organizzazioni internazionali di cui all’articolo 52, i risultati attesi e gli indicatori di risultato. Definisce inoltre la programmazione delle risorse, compresi il bilancio pluriennale e il personale. La programmazione delle risorse è aggiornata ogni anno. La programmazione strategica è aggiornata ove opportuno, in particolare per adattarla all’esito della valutazione di cui all’articolo 69.

SEZIONE IV

Comitato esecutivo

Articolo 16

Funzionamento del comitato esecutivo

1.   Il collegio è assistito da un comitato esecutivo. Il comitato esecutivo è responsabile dell’adozione di decisioni amministrative fondamentali per assicurare il funzionamento di Eurojust. Esso sovrintende ai lavori preparatori necessari del direttore amministrativo su altre questioni amministrative da sottoporre al collegio per l’adozione. Non partecipa alle funzioni operative di Eurojust di cui agli articoli 4 e 5.

2.   Il comitato esecutivo può consultare il collegio nell’esercizio dei suoi compiti.

3.   Inoltre, il comitato esecutivo:

a)

rivede il documento di programmazione di Eurojust di cui all’articolo 15 sulla base di un progetto elaborato dal direttore amministrativo e trasmesso al collegio per l’adozione;

b)

adotta una strategia antifrode per Eurojust, proporzionata ai rischi di frode, tenendo conto dei costi e dei benefici delle misure da attuare e sulla base di un progetto elaborato dal direttore amministrativo;

c)

adotta adeguate norme di attuazione per garantire l’applicazione dello statuto dei funzionari dell’Unione europea («statuto dei funzionari») e del regime applicabile agli altri agenti dell’Unione europea («regime applicabile agli altri agenti») stabilito dal regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio (18), a norma dell’articolo 110 dello statuto dei funzionari;

d)

assicura un seguito adeguato alle osservazioni e alle raccomandazioni risultanti dalle relazioni di audit interne ed esterne, dalle valutazioni e dalle indagini, incluse quelle del Garante europeo della protezione dei dati e dell’OLAF;

e)

adotta tutte le decisioni relative all’istituzione e, se necessario, alla modifica delle strutture amministrative interne di Eurojust;

f)

fatte salve le responsabilità del direttore amministrativo di cui all’articolo 18, assiste e consiglia il direttore amministrativo in merito all’attuazione delle decisioni del collegio, al fine di rafforzare il controllo della gestione amministrativa e di bilancio;

g)

svolge ulteriori compiti amministrativi eventualmente conferitigli dal collegio a norma dell’articolo 5, paragrafo 4;

h)

adotta le regole finanziarie applicabili a Eurojust conformemente all’articolo 64;

i)

adotta, in conformità dell’articolo 110 dello statuto dei funzionari, una decisione basata sull’articolo 2, paragrafo 1, dello statuto dei funzionari e sull’articolo 6 del regime applicabile agli altri agenti, con cui delega al direttore amministrativo le pertinenti prerogative di autorità che ha il potere di nomina e stabilisce le condizioni di sospensione della delega di poteri; il direttore amministrativo è autorizzato a subdelegare tali poteri;

j)

rivede il progetto di bilancio annuale di Eurojust da sottoporre al collegio per l’adozione;

k)

rivede la relazione annuale di attività di Eurojust e la trasmette al collegio per l’adozione;

l)

nomina un contabile e un responsabile della protezione dei dati, che sono funzionalmente indipendenti nell’esercizio delle loro funzioni.

4.   Il comitato esecutivo è composto dal presidente e dai vicepresidenti di Eurojust, da un rappresentante della Commissione e da altri due membri del collegio designati secondo un sistema di rotazione di due anni conformemente al regolamento interno di Eurojust. Il direttore amministrativo partecipa alle riunioni del comitato esecutivo senza diritto di voto.

5.   Il presidente di Eurojust è anche presidente del comitato esecutivo. Il comitato esecutivo decide a maggioranza dei suoi membri. Ogni membro dispone di un voto. In caso di parità di voti, prevale il voto del presidente di Eurojust.

6.   La durata del mandato dei membri del comitato esecutivo coincide con la durata del loro mandato come membro nazionale, presidente o vicepresidente.

7.   Il comitato esecutivo si riunisce almeno una volta al mese. Si riunisce inoltre su iniziativa del presidente, su richiesta della Commissione o di almeno due degli altri suoi membri.

8.   Eurojust trasmette a EPPO gli ordini del giorno delle riunioni del comitato esecutivo e si consulta con EPPO sulla necessità di partecipare a dette riunioni. Eurojust invita EPPO a partecipare, senza diritto di voto, ogniqualvolta si discutano questioni che sono rilevanti per il funzionamento di EPPO.

Ogni qualvolta EPPO è invitata a una riunione del comitato esecutivo, Eurojust le fornisce i documenti pertinenti su cui è basato l’ordine del giorno.

SEZIONE V

Direttore amministrativo

Articolo 17

Status del direttore amministrativo

1.   Il direttore amministrativo è assunto come agente temporaneo di Eurojust ai sensi dell’articolo 2, lettera a), del regime applicabile agli altri agenti.

2.   Il direttore amministrativo è nominato dal collegio, sulla base di un elenco di candidati proposto dal comitato esecutivo, seguendo una procedura di selezione aperta e trasparente, in conformità del regolamento interno di Eurojust. Per la conclusione del contratto di lavoro con il direttore amministrativo, Eurojust è rappresentato dal presidente di Eurojust.

3.   La durata del mandato del direttore amministrativo è di quattro anni. Entro la fine di tale periodo, il comitato esecutivo effettua una valutazione che tiene conto dei risultati ottenuti dal direttore amministrativo.

4.   Agendo su proposta del comitato esecutivo, il quale tiene conto della valutazione di cui al paragrafo 3, il collegio può prorogare una volta il mandato del direttore amministrativo per non più di quattro anni.

5.   Il direttore amministrativo il cui mandato sia stato prorogato non può partecipare a un’altra procedura di selezione per lo stesso posto alla fine del periodo complessivo.

6.   Il direttore amministrativo risponde al collegio.

7.   Il direttore amministrativo può essere rimosso dal suo incarico solo in forza di una decisione del collegio adottata su proposta del comitato esecutivo.

Articolo 18

Compiti del direttore amministrativo

1.   A fini amministrativi, Eurojust è gestito dal suo direttore amministrativo.

2.   Fatte salve le competenze del collegio o del comitato esecutivo, il direttore amministrativo esercita le sue funzioni in piena indipendenza e non sollecita né accetta istruzioni da alcun governo o altro organismo.

3.   Il direttore amministrativo è il rappresentante legale di Eurojust.

4.   Il direttore amministrativo è responsabile dell’esecuzione dei compiti amministrativi conferiti a Eurojust e, in particolare, deve:

a)

assicurare la gestione corrente di Eurojust e la gestione del personale;

b)

attuare le decisioni adottate dal collegio e dal comitato esecutivo;

c)

predisporre il documento di programmazione di cui all’articolo 15 e presentarlo al comitato esecutivo per esame;

d)

attuare il documento di programmazione di cui all’articolo 15 e informare il comitato esecutivo e il collegio in merito alla sua attuazione;

e)

predisporre la relazione annuale di attività di Eurojust e presentarla al comitato esecutivo per esame e al collegio per adozione;

f)

predisporre un piano d’azione volto a dare seguito alle conclusioni delle relazioni di audit interne ed esterne, delle valutazioni e delle indagini, incluse quelle del Garante europeo della protezione dei dati e dell’OLAF, e informare due volte l’anno il collegio, il comitato esecutivo, la Commissione e il Garante europeo della protezione dei dati sui progressi compiuti;

g)

elaborare una strategia antifrode di Eurojust e presentarla al comitato esecutivo per adozione;

h)

predisporre il progetto delle regole finanziarie applicabili a Eurojust;

i)

predisporre il progetto di stato di previsione delle entrate e delle spese di Eurojust ed eseguire il bilancio;

j)

esercitare, nei confronti del personale di Eurojust, i poteri demandati dallo statuto dei funzionari all’autorità che ha il potere di nomina e dal regime applicabile agli altri agenti all’autorità abilitata a concludere i contratti di lavoro («poteri dell’autorità che ha il potere di nomina»);

k)

provvedere affinché sia fornito il necessario sostegno amministrativo per facilitare il lavoro operativo di Eurojust;

l)

provvedere affinché il presidente e i vicepresidenti siano sostenuti nello svolgimento delle loro funzioni;

m)

predisporre un progetto di proposta per il bilancio annuale di Eurojust, che deve essere esaminato dal comitato esecutivo prima dell’adozione da parte del collegio.

CAPO III

ASPETTI OPERATIVI

Articolo 19

Meccanismo di coordinamento permanente

1.   Per poter svolgere i suoi compiti in casi urgenti, Eurojust istituisce un meccanismo di coordinamento permanente («MCC») in grado di ricevere e trattare in qualsiasi momento le richieste che gli sono destinate. L’MCC deve essere contattabile 24 ore su 24 e 7 giorni su 7.

2.   L’MCC si avvale di un rappresentante dell’MCC per Stato membro, che può essere il membro nazionale, il suo aggiunto, un assistente autorizzato a sostituire il membro nazionale o un esperto nazionale distaccato. Il rappresentante MCC deve essere in grado di intervenire 24 ore su 24 e sette giorni su sette.

3.   I rappresentanti MCC intervengono efficacemente e senza ritardo, in relazione all’esecuzione della richiesta nel proprio Stato membro.

Articolo 20

Sistema di coordinamento nazionale Eurojust

1.   Ciascuno Stato membro nomina uno o più corrispondenti nazionali per Eurojust.

2.   Tutti i corrispondenti nazionali nominati dagli Stati membri a norma del paragrafo 1 dispongono delle competenze e dell’esperienza necessarie per l’esercizio delle loro funzioni.

3.   Ciascuno Stato membro istituisce un sistema di coordinamento nazionale Eurojust per assicurare il coordinamento del lavoro svolto:

a)

dai corrispondenti nazionali di Eurojust;

b)

dai corrispondenti nazionali per le questioni attinenti alla competenza di EPPO;

c)

dal corrispondente nazionale di Eurojust in materia di terrorismo;

d)

dal corrispondente nazionale della rete giudiziaria europea in materia penale e da un massimo di tre altri punti di contatto della rete;

e)

dai membri nazionali o dai punti di contatto della rete delle squadre investigative comuni e delle reti istituite con le decisioni 2002/494/GAI, 2007/845/GAI e 2008/852/GAI;

f)

se del caso, da altre autorità giudiziarie pertinenti.

4.   Le persone di cui ai paragrafi 1 e 3 mantengono la posizione e lo status conferiti loro dal diritto nazionale, senza che ciò abbia un impatto significativo sull’esercizio delle loro funzioni nell’ambito del presente regolamento.

5.   I corrispondenti nazionali di Eurojust sono responsabili del funzionamento del rispettivo sistema di coordinamento nazionale Eurojust. Qualora siano nominati più corrispondenti, uno di questi è responsabile del funzionamento del rispettivo sistema di coordinamento nazionale Eurojust.

6.   I membri nazionali sono informati di tutte le riunioni del loro sistema di coordinamento nazionale Eurojust in cui sono discusse questioni connesse all’attività operativa e possono parteciparvi se necessario.

7.   Ogni sistema di coordinamento nazionale Eurojust agevola, lo svolgimento dei compiti di Eurojust all’interno dello Stato membro, segnatamente:

a)

provvedendo affinché il sistema automatico di gestione dei fascicoli di cui all’articolo 23 riceva le informazioni relative allo Stato membro interessato in modo efficace e affidabile;

b)

aiutando a determinare se una richiesta debba essere trattata con l’assistenza di Eurojust o della rete giudiziaria europea;

c)

aiutando il membro nazionale a individuare le pertinenti autorità per l’esecuzione delle richieste e decisioni di cooperazione giudiziaria, comprese le richieste e le decisioni che applicano il principio del riconoscimento reciproco;

d)

mantenendo stretti rapporti con l’unità nazionale Europol, altri punti di contatto della rete giudiziaria europea e altre pertinenti autorità nazionali competenti.

8.   Per conseguire gli obiettivi di cui al paragrafo 7, le persone di cui al paragrafo 1 e al paragrafo 3, lettere a), b) e c), sono collegate al sistema automatico di gestione dei fascicoli in conformità del presente articolo e degli articoli 23, 24, 25 e 34, e le persone o autorità di cui alle lettere d) ed e), possono essere collegate. Il costo del collegamento al sistema automatico di gestione dei fascicoli è a carico del bilancio generale dell’Unione europea.

9.   La creazione del sistema di coordinamento nazionale Eurojust e la nomina dei corrispondenti nazionali non preclude contatti diretti tra il membro nazionale e le autorità competenti del suo Stato membro.

Articolo 21

Scambio di informazioni con gli Stati membri e tra membri nazionali

1.   Le autorità competenti degli Stati membri scambiano con Eurojust tutte le informazioni necessarie allo svolgimento dei suoi compiti, a norma degli articoli 2 e 4 e in conformità delle norme applicabili in materia di protezione dei dati. Tale disposizione include almeno le informazioni di cui ai paragrafi 4, 5 e 6 del presente articolo.

2.   La trasmissione di informazioni a Eurojust è interpretata come richiesta di assistenza di Eurojust nel caso in questione solo se un’autorità competente dispone in tal senso.

3.   I membri nazionali scambiano tra loro o con le autorità nazionali competenti, senza autorizzazione preliminare, tutte le informazioni necessarie allo svolgimento dei compiti di Eurojust. In particolare, le autorità nazionali competenti informano senza ritardo i rispettivi membri nazionali dei casi che li riguardano.

4.   Le autorità nazionali competenti informano i rispettivi membri nazionali dell’istituzione di squadre investigative comuni e dei risultati del lavoro di tali squadre.

5.   Le autorità nazionali competenti informano senza ritardo i rispettivi membri nazionali di qualsiasi caso che interessi almeno tre Stati membri per cui sono state trasmesse richieste o decisioni di cooperazione giudiziaria ad almeno due Stati membri, anche con riferimento a decisioni basate sugli strumenti che applicano il principio del riconoscimento reciproco, qualora si verifichi una o più delle circostanze seguenti:

a)

il reato in questione è punibile nello Stato membro richiedente o di emissione con una pena o una misura di sicurezza detentiva della durata massima di almeno cinque o sei anni, decisa dallo Stato membro interessato, e rientra nell’elenco seguente:

i)

tratta di esseri umani;

ii)

abuso o sfruttamento sessuale, compresi pornografia minorile e adescamento di minori per scopi sessuali;

iii)

traffico di stupefacenti;

iv)

traffico illecito di armi da fuoco, loro parti o componenti, nonché di munizioni o esplosivi;

v)

corruzione;

vi)

reati contro gli interessi finanziari dell’Unione;

vii)

falsificazione di monete o di altri mezzi di pagamento;

viii)

attività di riciclaggio;

ix)

criminalità informatica;

b)

vi sono indicazioni concrete del coinvolgimento di un’organizzazione criminale;

c)

vi sono indicazioni secondo le quali il caso può avere una grave dimensione transfrontaliera o un’incidenza sul piano dell’Unione o può riguardare Stati membri diversi da quelli direttamente interessati.

6.   Le autorità nazionali competenti informano i rispettivi membri nazionali in ordine:

a)

ai casi in cui sono sorti o possono sorgere conflitti di giurisdizione;

b)

alle consegne controllate che riguardino almeno tre paesi, di cui almeno due siano Stati membri;

c)

al ripetersi del rifiuto o di difficoltà a eseguire richieste o decisioni di cooperazione giudiziaria, comprese le richieste e le decisioni che applicano il principio del riconoscimento reciproco.

7.   Le autorità nazionali competenti non sono tenute a trasmettere informazioni in singoli casi concreti se così facendo arrecherebbero pregiudizio agli interessi nazionali o metterebbero a repentaglio la sicurezza delle persone.

8.   Il presente articolo fa salve le condizioni stabilite in accordi o intese bilaterali o multilaterali tra Stati membri e paesi terzi, comprese le condizioni stabilite da paesi terzi riguardo all’utilizzo delle informazioni già fornite.

9.   Il presente articolo fa salvi altri obblighi relativi alla trasmissione di informazioni a Eurojust, tra cui quelli derivanti dalla decisione 2005/671/GAI del Consiglio (19).

10.   Le informazioni di cui al presente articolo sono trasmesse nel modo strutturato stabilito da Eurojust. L’autorità nazionale competente non è tenuta a trasmettere tali informazioni se sono già state trasmesse a Eurojust in conformità di altre disposizioni del presente regolamento.

Articolo 22

Informazioni trasmesse da Eurojust alle autorità nazionali competenti

1.   Eurojust comunica senza indebito ritardo alle autorità nazionali competenti informazioni relative ai risultati del trattamento delle informazioni e all’esistenza di collegamenti con casi già registrati nel sistema automatico di gestione dei fascicoli. Tali informazioni possono includere dati personali.

2.   Quando un’autorità nazionale competente chiede informazioni a Eurojust entro un determinato termine, Eurojust trasmette tali informazioni entro tale termine.

Articolo 23

Sistema automatico di gestione dei fascicoli, indice e archivi di lavoro temporanei

1.   Eurojust istituisce un sistema automatico di gestione dei fascicoli composto di archivi di lavoro temporanei e di un indice contenenti i dati personali di cui all’allegato II e dati non personali.

2.   Il sistema automatico di gestione dei fascicoli è volto a:

a)

prestare sostegno alla gestione e al coordinamento delle indagini e delle azioni penali in cui Eurojust fornisce assistenza, segnatamente tramite il controllo incrociato delle informazioni;

b)

agevolare l’accesso alle informazioni sulle indagini e le azioni penali in corso;

c)

agevolare il controllo della liceità del trattamento dei dati personali da parte di Eurojust e il rispetto da parte di quest’ultima delle norme in materia di protezione dei dati applicabili.

3.   Il sistema automatico di gestione dei fascicoli può essere collegato alla rete di telecomunicazioni protetta di cui all’articolo 9 della decisione 2008/976/GAI del Consiglio (20).

4.   L’indice contiene rinvii agli archivi di lavoro temporanei trattati nel quadro di Eurojust e non può contenere dati personali diversi da quelli di cui all’allegato II, punto 1, lettere da a) a i), k) e m), e punto 2.

5.   Nello svolgimento delle loro funzioni, i membri nazionali possono trattare in un archivio di lavoro temporaneo dati relativi ai casi specifici dei quali si occupano. Ne consentono l’accesso al responsabile della protezione dei dati. Il membro nazionale interessato informa il responsabile della protezione dei dati della creazione di ogni nuovo archivio di lavoro temporaneo contenente dati personali.

6.   Per il trattamento di dati personali operativi, Eurojust non può istituire archivi automatizzati diversi dal sistema automatico di gestione dei fascicoli. Il membro nazionale può, tuttavia, conservare temporaneamente e analizzare dati personali per determinare se essi siano rilevanti ai fini dei compiti di Eurojust e possano essere inseriti nel sistema automatico di gestione dei fascicoli. Tali dati possono essere conservati per un periodo massimo di tre mesi.

Articolo 24

Funzionamento degli archivi di lavoro temporanei e dell’indice

1.   Il membro nazionale interessato crea un archivio di lavoro temporaneo per ogni caso in merito al quale gli sono trasmesse informazioni, purché la trasmissione sia conforme al presente regolamento o agli altri strumenti giuridici applicabili. Il membro nazionale è responsabile della gestione degli archivi di lavoro temporanei che ha creato.

2.   Il membro nazionale che ha creato un archivio di lavoro temporaneo decide, caso per caso, se mantenere riservato tale archivio ovvero se concedervi accesso totale o parziale ad altri membri nazionali o al personale autorizzato di Eurojust o a qualsiasi altra persona che lavori per conto di Eurojust e che abbia ricevuto la necessaria autorizzazione dal direttore amministrativo.

3.   Il membro nazionale che ha creato un archivio di lavoro temporaneo decide quali informazioni relative a tale archivio inserire nell’indice, in conformità dell’articolo 23, paragrafo 4.

Articolo 25

Accesso al sistema automatico di gestione dei fascicoli a livello nazionale

1.   Le persone di cui all’articolo 20, paragrafo 3, nella misura in cui sono collegate al sistema automatico di gestione dei fascicoli, possono accedere unicamente:

a)

all’indice, purché il membro nazionale che ha deciso di introdurre i dati nell’indice non abbia espressamente negato tale accesso;

b)

agli archivi di lavoro temporanei creati dal membro nazionale del loro Stato membro;

c)

agli archivi di lavoro temporanei creati da membri nazionali di altri Stati membri ai quali il membro nazionale del loro Stato membro è autorizzato ad accedere, purché il membro nazionale che ha creato l’archivio di lavoro temporaneo non abbia espressamente negato tale accesso.

2.   Il membro nazionale decide, entro i limiti di cui al paragrafo 1 del presente articolo, la portata dell’accesso agli archivi di lavoro temporanei concesso nel proprio Stato membro alle persone di cui all’articolo 20, paragrafo 3, nella misura in cui sono collegate al sistema automatico di gestione dei fascicoli.

3.   Previa consultazione del membro nazionale, ciascuno Stato membro decide la portata dell’accesso all’indice concesso sul suo territorio alle persone di cui all’articolo 20, paragrafo 3, nella misura in cui sono collegate al sistema automatico di gestione dei fascicoli. Gli Stati membri notificano la loro decisione a Eurojust e alla Commissione. La Commissione ne informa gli altri Stati membri.

4.   Le persone cui è concesso l’accesso ai sensi del paragrafo 2 accedono quanto meno all’indice nella misura necessaria per accedere agli archivi di lavoro temporaneo cui hanno diritto di accesso.

CAPO IV

TRATTAMENTO DELLE INFORMAZIONI

Articolo 26

Trattamento dei dati personali da parte di Eurojust

1.   Il presente regolamento e l’articolo 3 e il capo IX del regolamento (UE) 2018/1725 si applicano al trattamento dei dati personali operativi da parte di Eurojust. Il regolamento (UE) 2018/1725 si applica altresì al trattamento dei dati personali amministrativi da parte di Eurojust, fatta eccezione per il suo capo IX.

2.   I riferimenti alle «norme in materia di protezione dei dati applicabili» nel presente regolamento devono essere letti come riferimenti alle disposizioni in materia di protezione dei dati personali stabilite dal presente regolamento e dal regolamento (UE) 2018/1725.

3.   Le norme in materia di protezione dei dati sul trattamento dei dati personali operativi contenute nel presente regolamento sono considerate norme specifiche in materia di protezione dei dati in rapporto alle norme generali stabilite all’articolo 3 e al capo IX del regolamento (UE) 2018/1725.

4.   Eurojust stabilisce i termini per la conservazione dei dati personali amministrativi nelle disposizioni sulla protezione dei dati del proprio regolamento.

Articolo 27

Trattamento dei dati personali operativi

1.   Nella misura in cui sia necessario per l’assolvimento dei suoi compiti, Eurojust può, nell’ambito delle sue competenze e al fine di svolgere le sue funzioni operative, trattare con procedimenti automatizzati o casellari manuali strutturati a norma del presente regolamento soltanto i dati personali operativi di cui all’allegato II, punto 1, riguardanti persone nei cui confronti sussistono, in base al diritto nazionale degli Stati membri interessati, fondati motivi di ritenere che abbiano commesso o intendano commettere un reato di sua competenza, o che sono state condannate per siffatto reato.

2.   Eurojust può trattare soltanto i dati personali operativi di cui all’allegato II, punto 2, riguardanti persone che, in base al diritto nazionale degli Stati membri interessati, sono considerate vittime o altre parti rispetto a un reato, quali le persone che potrebbero essere chiamate a testimoniare in un’indagine o azione penale riguardante una o più forme di criminalità e uno o più reati di cui all’articolo 3, persone che sono in grado di fornire informazioni su reati, o persone in contatto con una delle persone di cui al paragrafo 1 o ad essa collegate. Il trattamento di tali dati personali operativi può aver luogo solo se necessario per l’assolvimento dei compiti di Eurojust, nell’ambito delle sue competenze e al fine di svolgere le sue funzioni operative.

3.   In casi eccezionali, per un periodo limitato che non può superare il tempo necessario per concludere il caso in relazione al quale sono trattati, Eurojust può anche trattare dati personali operativi diversi da quelli di cui all’allegato II riguardanti le circostanze di un reato, qualora tali dati siano di rilevanza immediata e rientrano nell’ambito di indagini in corso che Eurojust coordina o contribuisce a coordinare e se il loro trattamento è necessario per le finalità di cui al paragrafo 1. Il responsabile della protezione dei dati di cui all’articolo 36 è immediatamente informato non appena tali dati personali operativi sono trattati e delle circostanze specifiche che giustificano la necessità del trattamento di tali dati personali operativi. Qualora questi altri dati riguardino testimoni o vittime ai sensi del paragrafo 2 del presente articolo, la decisione di trattarli è adottata di comune accordo dai membri nazionali interessati.

4.   Eurojust può trattare categorie particolari di dati personali operativi in conformità dell’articolo 76 del regolamento (UE) 2018/1725. Tali dati non possono essere trattati nell’indice di cui all’articolo 23, paragrafo 4, del presente regolamento. Qualora questi altri dati riguardino testimoni o vittime ai sensi del paragrafo 2 del presente regolamento, la decisione di trattarli è adottata dai membri nazionali interessati.

Articolo 28

Trattamento sotto l’autorità di Eurojust o del responsabile del trattamento

Il responsabile del trattamento o chiunque agisca sotto l’autorità di Eurojust, che abbia accesso a dati personali operativi, non può trattare tali dati se non è istruito in tal senso da Eurojust, salvo che lo richieda il diritto dell’Unione o il diritto di uno Stato membro.

Articolo 29

Termini per la conservazione dei dati personali operativi

1.   I dati personali operativi trattati da Eurojust non sono conservati da Eurojust più del tempo necessario per l’assolvimento dei suoi compiti. In particolare, fatto salvo il paragrafo 3 del presente articolo, i dati personali operativi di cui all’articolo 27 non possono essere conservati oltre la prima data applicabile tra le seguenti:

a)

la scadenza del termine di prescrizione dell’azione penale in tutti gli Stati membri interessati dall’indagine e dall’azione penale;

b)

la data in cui si informa Eurojust del fatto che la persona è assolta e la decisione giudiziaria diventa definitiva, nel qual caso lo Stato membro interessato informa Eurojust senza ritardo;

c)

tre anni dopo la data in cui è divenuta definitiva la decisione giudiziaria dell’ultimo degli Stati membri interessati dall’indagine o dall’azione penale;

d)

la data in cui Eurojust e gli Stati membri interessati constatano o convengono di comune accordo che non è più necessario il coordinamento delle indagini o dell’azione penale di Eurojust, salvo che non sussista l’obbligo di fornire questa informazione a Eurojust in conformità dell’articolo 21, paragrafo 5 o 6;

e)

tre anni dopo la data in cui i dati personali operativi sono stati trasmessi in conformità dell’articolo 21, paragrafo 5 o 6.

2.   Il rispetto dei termini per la conservazione, previsti al paragrafo 1 del presente articolo, è costantemente verificato mediante un idoneo trattamento automatizzato condotto da Eurojust, in particolare sin dal momento in cui quest’ultimo chiude il caso. Una verifica della necessità di conservare i dati è altresì effettuata ogni tre anni dopo il loro inserimento e i le conclusioni di tale analisi si applicano poi al caso nel suo complesso. Se i dati personali operativi di cui all’articolo 27, paragrafo 4, sono conservati per più di cinque anni, ne è informato il Garante europeo della protezione dei dati.

3.   Prima che scada uno dei termini di cui al paragrafo 1, Eurojust verifica la necessità di continuare a conservare i dati personali operativi se e per il tempo necessario all’assolvimento dei suoi compiti, e può decidere di conservare tali dati a titolo di deroga fino alla verifica successiva. I motivi dell’ulteriore conservazione devono essere giustificati e registrati. Se non è deciso nulla in merito all’ulteriore conservazione dei dati personali operativi al momento della verifica, tali dati sono automaticamente cancellati.

4.   Quando, in conformità del paragrafo 3, i dati personali operativi sono conservati oltre le date di conservazione di cui al paragrafo 1, il Garante europeo della protezione dei dati verifica altresì, ogni tre anni, la necessità di conservarli.

5.   Una volta scaduto il termine per la conservazione dell’ultimo dato automatizzato proveniente da tale fascicolo, ogni elemento del fascicolo in questione è distrutto ad eccezione dei documenti originali che Eurojust ha ricevuto dalle autorità nazionali e che devono essere restituiti ai fornitori che li avevano trasmessi.

6.   Qualora Eurojust abbia coordinato indagini o azioni penali, i membri nazionali interessati si informano tra loro ogniqualvolta sono informati che il caso è stato archiviato o che tutte le decisioni giudiziarie relative ad esso sono diventate definitive.

7.   Il paragrafo 5 non si applica:

a)

se ciò rischia di ledere gli interessi di una persona da tutelare; in tal caso i dati personali operativi sono usati solo con il consenso esplicito e scritto dell’interessato;

b)

quando l’interessato contesta l’esattezza dei dati personali operativi; in tal caso il paragrafo 5 non si applica per il periodo necessario agli Stati membri o a Eurojust, se del caso, per verificare l’accuratezza di tali dati;

c)

quando i dati personali operativi devono essere conservati a fini probatori ovvero per accertare, esercitare o difendere un diritto in sede giudiziaria;

d)

quando l’interessato si oppone alla cancellazione dei dati personali operativi e chiede invece che ne sia limitato l’utilizzo; oppure

e)

quando i dati personali operativi sono ulteriormente necessari per finalità di archiviazione nel pubblico interesse o per finalità statistiche.

Articolo 30

Sicurezza dei dati personali operativi

Eurojust e gli Stati membri definiscono meccanismi per garantire che le misure di sicurezza di cui all’articolo 91 del regolamento (UE) 2018/1725 siano prese in considerazione oltre i limiti dei sistemi d’informazione.

Articolo 31

Diritto di accesso dell’interessato

1.   L’interessato che desideri esercitare il diritto di accesso di cui all’articolo 80 del regolamento (UE) 2018/1725 ai dati personali operativi che lo riguardano trattati da Eurojust può presentare domanda a Eurojust o all’autorità di vigilanza nazionale nello Stato membro di sua scelta. Tale autorità sottopone la domanda a Eurojust senza ritardo, in ogni caso entro un mese dal relativo ricevimento.

2.   Eurojust risponde alla domanda senza indebito ritardo e in ogni caso entro tre mesi dal ricevimento.

3.   Eurojust consulta le autorità competenti degli Stati membri interessati sulla decisione da prendere per rispondere a una domanda. La decisione di accesso ai dati è subordinata alla stretta cooperazione tra Eurojust e gli Stati membri direttamente interessati dalla comunicazione dei dati stessi. Se uno Stato membro si oppone alla decisione proposta da Eurojust, comunica a quest’ultimo i motivi della sua opposizione. Eurojust rispetta tali opposizioni. I membri nazionali interessati devono successivamente informare le autorità competenti circa il contenuto della decisione di Eurojust.

4.   I membri nazionali interessati la trattano e decidono per conto di Eurojust. Quando sono in disaccordo, i membri nazionali interessati ne investono il collegio, che decide in merito alla domanda alla maggioranza dei due terzi.

Articolo 32

Limitazioni del diritto di accesso

Nei casi di cui all’articolo 81 del regolamento (UE) 2018/1725 Eurojust informa l’interessato, previa consultazione delle autorità competenti degli Stati membri interessati in conformità dell’articolo 31, paragrafo 3, del presente regolamento.

Articolo 33

Diritto di limitazione di trattamento

Fatte salve le eccezioni di cui all’articolo 29, paragrafo 7, del presente regolamento, se il trattamento dei dati personali operativi è stato limitato a norma dell’articolo 82, paragrafo 3, del regolamento (UE) 2018/1725, tali dati personali operativi sono trattati soltanto per tutelare i diritti dell’interessato o di un’altra persona fisica o giuridica che è parte di un procedimento di cui è parte Eurojust o per le finalità di cui all’articolo 82, paragrafo 3, del regolamento (UE) 2018/1725.

Articolo 34

Accesso autorizzato ai dati personali operativi in seno a Eurojust

Possono avere accesso ai dati personali operativi trattati da Eurojust nei limiti previsti agli articoli 23, 24 e 25, nello svolgimento dei propri compiti, soltanto i membri nazionali, i loro aggiunti e assistenti, gli esperti nazionali distaccati autorizzati e le persone di cui all’articolo 20, paragrafo 3, nella misura in cui sono collegate al sistema automatico di gestione dei fascicoli, e il personale autorizzato di Eurojust.

Articolo 35

Registro delle categorie di attività di trattamento

1.   Eurojust tiene un registro di tutte le categorie di attività di trattamento sotto la propria responsabilità. Tale registro contiene tutte le informazioni che seguono:

a)

i dati di contatto di Eurojust e il nome e i dati di contatto del proprio responsabile della protezione dei dati;

b)

le finalità del trattamento;

c)

una descrizione delle categorie di interessati e delle categorie di dati personali operativi;

d)

le categorie di destinatari cui i dati personali operativi sono stati o saranno comunicati, compresi i destinatari di paesi terzi o di organizzazioni internazionali;

e)

se del caso, i trasferimenti di dati personali operativi verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;

f)

se possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g)

se possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 91del regolamento (UE) 2018/1725 .

2.   Il registro di cui al paragrafo 1 è tenuto in forma scritta, anche in formato elettronico.

3.   Eurojust mette le registrazioni a disposizione del Garante europeo della protezione dei dati, su richiesta.

Articolo 36

Designazione del responsabile della protezione dei dati

1.   Il comitato esecutivo designa un responsabile della protezione dei dati. Il responsabile della protezione dei dati è un membro del personale nominato appositamente a tale scopo. Nello svolgimento delle sue funzioni, il responsabile della protezione dei dati agisce in piena indipendenza e non può ricevere istruzioni.

2.   Il responsabile della protezione dei dati è selezionato in base alle qualità professionali e, in particolare, alla conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché alla capacità di assolvere i compiti a norma del presente regolamento, in particolare quelli di cui all’articolo 38.

3.   La scelta del responsabile della protezione dei dati non deve poter dar luogo a un conflitto di interessi tra la sua funzione di responsabile della protezione dei dati ed eventuali altre funzioni ufficiali, in particolare relativamente all’applicazione del presente regolamento.

4.   Il responsabile della protezione dei dati è nominato per un periodo di quattro anni; il mandato è rinnovabile, ma la sua durata complessiva non può superare gli otto anni. Il responsabile della protezione può essere rimosso dall’incarico dal comitato esecutivo solo con il consenso del Garante europeo della protezione dei dati, se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni.

5.   Eurojust pubblica i dati di contatto del responsabile della protezione dei dati e li comunica al Garante europeo della protezione dei dati.

Articolo 37

Posizione del responsabile della protezione dei dati

1.   Eurojust provvede affinché il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni che riguardano la protezione dei dati personali.

2.   Eurojust sostiene il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 38 fornendogli le risorse e il personale necessari per assolvere tali compiti e accedere ai dati personali e alle operazioni di trattamento, nonché per mantenere la propria conoscenza specialistica.

3.   Eurojust provvede affinché il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal comitato esecutivo per l’adempimento dei suoi compiti. Il responsabile della protezione dei dati riferisce direttamente al collegio in relazione ai dati personali operativi e al comitato esecutivo in relazione ai dati personali amministrativi.

4.   Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento e dal regolamento (UE) 2018/1725 .

5.   Il comitato esecutivo adotta le norme attuative relative al responsabile della protezione dei dati. Tali norme attuative riguardano, in particolare, la procedura di selezione, la revoca, i compiti, le funzioni, i poteri e le garanzie di indipendenza del responsabile della protezione dei dati.

6.   Il responsabile della protezione dei dati e il suo personale sono soggetti all’obbligo di riservatezza ai sensi dell’articolo 72.

7.   Il responsabile della protezione dei dati può essere consultato dal titolare del trattamento e dal responsabile del trattamento, dal comitato del personale e da qualsiasi persona, senza seguire la via gerarchica, su qualsiasi aspetto riguardante l’interpretazione o l’applicazione del presente regolamento e del regolamento (UE) 2018/1725 . Nessuno deve subire pregiudizio per una questione portata all’attenzione del responsabile della protezione dei dati competente e riguardante una asserita violazione del presente regolamento o del regolamento (UE) 2018/1725.

8.   La designazione del responsabile della protezione dei dati è comunicata al Garante europeo della protezione dei dati da Eurojust.

Articolo 38

Compiti del responsabile della protezione dei dati

1.   Il responsabile della protezione dei dati ha, in particolare, i compiti seguenti per quanto riguarda il trattamento dei dati personali:

a)

garantire, in modo indipendente, che Eurojust rispetti le disposizioni in materia di protezione dei dati del presente regolamento e del regolamento (UE) 2018/1725 nonché le pertinenti disposizioni sulla protezione dei dati del regolamento interno; ciò comprende il controllo dell’osservanza del presente regolamento, del regolamento (UE) 2018/1725, di altre disposizioni dell’Unione o nazionali relative alla protezione dei dati nonché delle politiche di Eurojust in materia di protezione dei dati personali, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

b)

informare e fornire consulenza a Eurojust nonché al personale che esegue il trattamento dei dati personali in merito agli obblighi derivanti dal presente regolamento, dal regolamento (UE) 2018/1725 nonché da altre disposizioni dell’Unione o nazionali relative alla protezione dei dati;

c)

fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 89del regolamento (UE) 2018/1725;

d)

garantire che sia mantenuta traccia del trasferimento e del ricevimento di dati personali in conformità delle disposizioni da stabilire nel regolamento interno di Eurojust;

e)

cooperare con il personale di Eurojust preposto alle procedure, alla formazione e alla consulenza in materia di trattamento di dati;

f)

cooperare con il Garante europeo della protezione dei dati;

g)

garantire che gli interessati siano informati dei propri diritti ai sensi del presente regolamento e del regolamento (UE) 2018/1725;

h)

fungere da punto di contatto per il Garante europeo della protezione dei dati per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 90 del regolamento (UE) 2018/1725 , ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;

i)

fornire, se richiesto, un parere in merito alla necessità di notificare o comunicare una violazione dei dati personali a norma degli articoli 92e 93del regolamento (UE) 2018/1725;

j)

redigere una relazione annuale e trasmetterla al comitato esecutivo, al collegio e al Garante europeo della protezione dei dati.

2.   Il responsabile della protezione dei dati svolge le funzioni di cui al regolamento (UE) 2018/1725 per quanto riguarda i dati personali amministrativi.

3.   Il responsabile della protezione dei dati e i membri del personale di Eurojust che assistono il responsabile della protezione dei dati nell’esercizio delle sue funzioni hanno accesso ai dati personali trattati presso Eurojust e ai locali di quest’ultima nella misura necessaria allo svolgimento dei loro compiti.

4.   Qualora ritenga che non siano state rispettate le disposizioni del regolamento (UE) 2018/1725 relative al trattamento dei dati personali amministrativi o le disposizioni del presente regolamento e/o dell’articolo 3 e del capo IX del regolamento (UE) 2018/1725 relative al trattamento dei dati personali operativi, il responsabile della protezione dei dati ne informa il comitato esecutivo chiedendogli di porre rimedio all’inadempienza entro un dato termine. Se il comitato esecutivo non pone rimedio all’inadempienza entro il termine indicato, il responsabile della protezione dei dati si rivolge al Garante europeo della protezione dei dati.

Articolo 39

Notifica di una violazione dei dati personali alle autorità interessate

1.   In caso di violazione dei dati personali, Eurojust notifica tale violazione alle autorità competenti degli Stati membri interessati senza ingiustificato ritardo.

2.   La notifica di cui al paragrafo 1 deve come minimo:

a)

descrivere la natura della violazione dei dati personali, compresi, ove possibile e appropriato, le categorie e il numero di interessati in questione e le categorie e il numero di registrazioni dei dati in questione;

b)

descrivere le probabili conseguenze della violazione dei dati personali;

c)

descrivere le misure proposte o adottate da Eurojust per porre rimedio alla violazione dei dati personali; nonché

d)

ove opportuno, elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione dei dati personali.

Articolo 40

Controllo da parte del Garante europeo della protezione dei dati

1.   Il Garante europeo della protezione dei dati ha il compito di controllare e assicurare l’applicazione delle disposizioni del presente regolamento e del regolamento (UE) 2018/1725 relative alla tutela dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento di dati personali operativi da parte di Eurojust, e di fornire a Eurojust e agli interessati pareri su tutte le questioni relative al trattamento dei dati personali operativi. A tal fine, il Garante assolve le funzioni previste al paragrafo 2 del presente articolo, esercita i poteri attribuitigli dal paragrafo 3 del presente articolo e coopera con le autorità di controllo nazionali ai sensi dell’articolo 42.

2.   In applicazione del presente regolamento e del regolamento 2018/1725, il Garante europeo della protezione dei dati svolge le funzioni seguenti:

a)

trattare i reclami e compiere i relativi accertamenti e comunicarne l’esito agli interessati entro un termine ragionevole;

b)

svolgere indagini di propria iniziativa o in seguito a un reclamo e comunicarne l’esito agli interessati entro un termine ragionevole;

c)

sorvegliare e garantire l’applicazione delle disposizioni del presente regolamento e del regolamento 2018/1725 relative alla tutela delle persone fisiche con riguardo al trattamento dei dati personali operativi da parte di Eurojust;

d)

consigliare Eurojust, di propria iniziativa o su richiesta, in ordine a qualsiasi argomento relativo al trattamento di dati personali operativi, in particolare prima che Eurojust adotti regolamentazioni interne relative alla tutela dei diritti e delle libertà fondamentali riguardo al trattamento di dati personali operativi.

3.   In applicazione del presente regolamento e del regolamento (UE) 2018/1725 e tenendo conto delle implicazioni per le indagini e le azioni penali degli Stati membri, il Garante europeo della protezione dei dati può:

a)

offrire consulenza agli interessati nell’esercizio dei loro diritti;

b)

rivolgersi a Eurojust in caso di asserita violazione delle disposizioni sul trattamento dei dati personali operativi e, ove opportuno, presentare proposte volte a porre rimedio a tale violazione e a migliorare la protezione degli interessati;

c)

consultare Eurojust qualora le richieste di esercizio di determinati diritti in relazione ai dati personali operativi siano state respinte in violazione degli articoli 31, 32 o 33 del presente regolamento e degli articoli da 77 a 82 o dell’articolo 84 del regolamento (UE) 2018/1725;

d)

rivolgere avvertimenti a Eurojust;

e)

ordinare a Eurojust di effettuare la rettifica, la limitazione o la cancellazione di dati personali operativi che sono stati trattati da Eurojust in violazione delle disposizioni che disciplinano il trattamento dei dati personali operativi e di notificare tali misure ai terzi ai quali i dati sono stati comunicati, a condizione che ciò non interferisca con i compiti di Eurojust stabiliti all’articolo 2;

f)

adire la Corte di giustizia dell’Unione europea («Corte») alle condizioni previste dal trattato;

g)

intervenire nelle cause dinanzi alla Corte.

4.   Il Garante europeo della protezione dei dati ha accesso ai dati personali operativi trattati da Eurojust e ai locali di quest’ultima nella misura necessaria allo svolgimento dei suoi compiti.

5.   Il Garante europeo della protezione dei dati elabora una relazione annuale sulle attività di controllo riguardanti Eurojust. La relazione costituisce parte integrante della relazione annuale del Garante europeo della protezione dei dati di cui all’articolo 60 del regolamento (UE) 2018/1725 . Le autorità di controllo nazionali sono invitate a formulare osservazioni su tale relazione prima che essa diventi parte integrante della relazione annuale del Garante europeo della protezione dei dati di cui all’articolo 60 del regolamento (UE) 2018/1725. Il Garante europeo della protezione dei dati tiene nella massima considerazione le osservazioni delle autorità di controllo nazionali e, in ogni caso, fa riferimento a queste nella relazione annuale.

6.   Eurojust, su richiesta del Garante europeo della protezione dei dati, coopera con esso nell’esecuzione dei compiti del medesimo.

Articolo 41

Segreto professionale del Garante europeo della protezione dei dati

1.   Il Garante europeo della protezione dei dati e il personale alle sue dipendenze sono tenuti al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso durante l’esercizio delle loro funzioni, sia durante che dopo il mandato.

2.   Il Garante europeo della protezione dei dati tiene nella massima considerazione, nell’esercizio dei suoi poteri di controllo, la segretezza delle indagini e dei procedimenti penali, in conformità del diritto dell’Unione o dello Stato membro.

Articolo 42

Cooperazione tra il Garante europeo della protezione dei dati e le autorità di controllo nazionali

1.   Il Garante europeo della protezione dei dati agisce in stretta cooperazione con le autorità di controllo nazionali riguardo a temi specifici che richiedono un contributo nazionale, in particolare se esso o un’autorità di controllo nazionale constata notevoli differenze tra le pratiche degli Stati membri o trasferimenti potenzialmente illeciti nell’uso dei canali Eurojust per lo scambio di informazioni, o in relazione a questioni sollevate da una o più autorità di controllo nazionali sull’attuazione e interpretazione del presente regolamento.

2.   Nei casi di cui al paragrafo 1, è assicurato il controllo coordinato a norma dell’articolo 62 del regolamento (UE) 2018/1725 .

3.   Il Garante europeo della protezione dei dati tiene pienamente informate le autorità di controllo nazionali relativamente a tutte le questioni che le riguardano direttamente o sono per loro altrimenti pertinenti. Su richiesta di una o più autorità di controllo nazionali il Garante europeo della protezione dei dati le informa riguardo a questioni specifiche.

4.   In casi riguardanti i dati provenienti da uno o più Stati membri, compresi i casi di cui all’articolo 43, paragrafo 3, il Garante europeo della protezione dei dati consulta le autorità di controllo nazionali interessate. Il Garante europeo della protezione dei dati non decide in merito agli ulteriori provvedimenti da adottare prima che tali autorità di controllo nazionali gli abbiano comunicato la propria posizione, entro un termine specificato dal Garante. Tale termine non può essere inferiore a un mese o superiore a tre mesi. Il Garante europeo della protezione dei dati tiene nella massima considerazione la posizione delle autorità di controllo nazionali interessate. Qualora non intenda seguire la loro posizione, il Garante europeo della protezione dei dati le informa in merito, giustifica la propria decisione e sottopone la questione al comitato europeo per la protezione dei dati.

Qualora reputi che si tratti di casi di estrema urgenza, il Garante europeo della protezione dei dati può decidere di prendere provvedimenti immediati. In tali casi informa immediatamente le autorità di controllo nazionali interessate e motiva la natura urgente della situazione e giustifica il provvedimento adottato.

5.   Le autorità di controllo nazionali informano il Garante europeo della protezione dei dati delle azioni che intraprendono in relazione al trasferimento, al reperimento e a qualsiasi altra comunicazione di dati personali operativi di cui al presente regolamento da parte degli Stati membri.

Articolo 43

Diritto di proporre reclamo al Garante europeo della protezione dei dati riguardo ai dati personali operativi

1.   L’interessato che ritenga che il trattamento dei dati personali operativi che lo riguardano da parte di Eurojust non sia conforme al presente regolamento o al regolamento (UE) 2018/1725 ha il diritto di proporre reclamo al Garante europeo della protezione dei dati.

2.   Se il reclamo riguarda una decisione di cui agli articoli 31, 32 o 33 del presente regolamento o agli articoli 80, 81 o 82 del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati consulta l’autorità di controllo nazionale o l’autorità giudiziaria competente dello Stato membro che ha fornito i dati o dello Stato membro direttamente interessato. Nell’adottare la sua decisione, che può estendere il rifiuto alla comunicazione di qualsiasi informazione, il Garante europeo della protezione dei dati tiene conto del parere dell’autorità di controllo nazionale o dell’autorità giudiziaria competente.

3.   Se il reclamo riguarda il trattamento di dati forniti a Eurojust da uno Stato membro, il Garante europeo della protezione dei dati e l’autorità di controllo nazionale dello Stato membro che ha fornito i dati si accertano, ciascuno nei limiti delle rispettive competenze, che le opportune verifiche sulla liceità del trattamento dei dati siano state effettuate correttamente.

4.   Se il reclamo riguarda il trattamento di dati forniti a Eurojust da organi e organismi dell’Unione, paesi terzi o organizzazioni internazionali oppure di dati reperiti da Eurojust da fonti accessibili al pubblico, il Garante europeo della protezione dei dati si accerta che Eurojust abbia effettuato correttamente le opportune verifiche sulla liceità del trattamento dei dati.

5.   Il Garante europeo della protezione dei dati informa l’interessato dello stato e dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 44.

Articolo 44

Diritto al controllo giurisdizionale nei confronti del Garante europeo della protezione dei dati

Avverso le decisioni del Garante europeo della protezione dei dati in materia di dati personali operativi può essere proposto ricorso dinanzi alla Corte.

Articolo 45

Responsabilità in materia di protezione dei dati

1.   Eurojust tratta i dati personali operativi in modo che sia possibile individuare l’autorità che li ha forniti o i sistemi da cui sono stati ottenuti.

2.   La responsabilità dell’esattezza dei dati personali operativi incombe a:

a)

Eurojust per i dati operativi forniti da uno Stato membro o da una istituzione, organo, ufficio o agenzia dell’Unione qualora i dati forniti siano stati modificati nel corso dell’elaborazione da parte di Eurojust;

b)

lo Stato membro o l’istituzione, ufficio, organo o agenzia dell’Unione che ha fornito i dati a Eurojust qualora i dati forniti non siano modificati nel corso dell’elaborazione da parte di Eurojust;

c)

Eurojust per i dati personali operativi forniti da paesi terzi o organizzazioni internazionali, nonché per i dati personali operativi ottenuti da Eurojust da fonti accessibili al pubblico.

3.   La responsabilità della conformità al regolamento (UE) 2018/1725 riguardo ai dati personali amministrativi e della conformità al presente regolamento e al capo IX, articolo 3, del regolamento (UE) 2018/1725 riguardo ai dati personali operativi incombe a Eurojust.

La responsabilità della liceità di un trasferimento di dati personali operativi incombe:

a)

ove uno Stato membro abbia fornito i dati personali operativi a Eurojust, a tale Stato membro;

b)

a Eurojust, ove quest’ultima abbia fornito i dati personali operativi interessati a Stati membri, istituzioni, organi e organismi dell’Unione, paesi terzi o organizzazioni internazionali.

4.   Fatte salve altre disposizioni del presente regolamento, Eurojust è responsabile di tutti i dati da esso trattati.

Articolo 46

Responsabilità in caso di trattamento di dati non autorizzato o scorretto

1.   Eurojust è responsabile dei danni cagionati da un proprio trattamento non autorizzato o scorretto dei dati conformemente all’articolo 340 TFUE.

2.   Le denunce nei confronti di Eurojust per motivi inerenti la responsabilità di cui al paragrafo 1 del presente articolo sono presentate dinanzi alla Corte di giustizia ai sensi dell’articolo 268 TFUE.

3.   Ogni Stato membro è responsabile dei danni cagionati da un proprio trattamento non autorizzato o scorretto dei dati comunicati a Eurojust, conformemente al diritto nazionale.

CAPO V

RELAZIONI CON I PARTNER

SEZIONE I

Disposizioni comuni

Articolo 47

Disposizioni comuni

1.   Se necessario allo svolgimento dei suoi compiti, Eurojust può instaurare e mantenere relazioni di cooperazione con le istituzioni, gli organi e organismi dell’Unione, conformemente ai loro rispettivi obiettivi, le autorità competenti di paesi terzi e le organizzazioni internazionali in conformità della strategia di cooperazione di cui all’articolo 52.

2.   Se utile allo svolgimento dei suoi compiti e fatte salve le limitazioni fissate ai sensi dell’articolo 21, paragrafo 8, e dell’articolo 76, Eurojust può scambiare direttamente con le entità di cui al paragrafo 1 del presente articolo tutte le informazioni, esclusi i dati personali.

3.   Ai fini di cui ai paragrafi 1 e 2, Eurojust può concludere accordi di lavoro con le entità di cui al paragrafo 1. Tali accordi di lavoro non costituiscono la base per consentire lo scambio di dati personali e non vincolano l’Unione o i suoi Stati membri.

4.   Se necessario allo svolgimento dei suoi compiti e fatte salve le norme applicabili in materia di protezione dei dati, Eurojust può ricevere dalle entità di cui al paragrafo 1 dati personali e trattarli.

5.   Eurojust trasferisce i dati personali a istituzioni, organi e organismi dell’Unione, a paesi terzi e a organizzazioni internazionali solo se necessario per lo svolgimento dei suoi compiti e conformemente agli articoli 55 e 56. Se i dati da trasmettere sono stati forniti da uno Stato membro, Eurojust ottiene il consenso della pertinente autorità competente di detto Stato membro, a meno che lo Stato membro abbia previamente autorizzato il trasferimento successivo, in termini generali o a condizioni particolari. Tale consenso può essere revocato in qualsiasi momento.

6.   Ove Stati membri, istituzioni, organi e organismi dell’Unione, paesi terzi o organizzazioni internazionali abbiano ricevuto dati personali da Eurojust, i trasferimenti successivi a terzi di tali dati sono vietati a meno che siano soddisfatte tutte le condizioni seguenti:

a)

Eurojust abbia ottenuto il previo consenso dello Stato membro che ha fornito i dati;

b)

Eurojust abbia dato il suo esplicito consenso alla luce delle circostanze del caso;

c)

il trasferimento successivo avvenga solo per una finalità specifica che non sia incompatibile con le finalità per le quali sono stati trasmessi i dati.

SEZIONE II

Relazioni con i partner all’interno dell’Unione

Articolo 48

Cooperazione con la rete giudiziaria europea e altre reti dell’Unione coinvolte nella cooperazione giudiziaria penale

1.   Eurojust e la rete giudiziaria europea in materia penale intrattengono rapporti privilegiati basati sulla concertazione e sulla complementarità, in particolare tra il membro nazionale, i punti di contatto della rete giudiziaria europea dello stesso Stato membro del membro nazionale e i corrispondenti nazionali di Eurojust e della rete giudiziaria europea. Al fine di garantire una cooperazione efficace, sono prese le seguenti misure:

a)

i membri nazionali informano i punti di contatto della rete giudiziaria europea, caso per caso, su tutti i fascicoli che ritengano possano essere trattati più opportunamente dalla rete;

b)

il segretariato della rete giudiziaria europea fa parte del personale di Eurojust. Ne costituisce un’unità distinta sul piano funzionale; può avvalersi dei mezzi amministrativi di Eurojust necessari ad assolvere i compiti della rete giudiziaria europea, anche per la copertura dei costi delle riunioni plenarie della rete;

c)

i punti di contatto della rete giudiziaria europea, quando lo si ritiene necessario, possono essere invitati alle riunioni di Eurojust;

d)

Eurojust e la rete giudiziaria europea possono avvalersi del sistema di coordinamento nazionale Eurojust nel determinare se una richiesta debba essere trattata con l’assistenza di Eurojust o della rete giudiziaria europea in conformità dell’articolo 20, paragrafo 7, lettera b).

2.   I segretariati della rete delle squadre investigative comuni e della rete istituita con decisione 2002/494/GAI fanno parte del personale di Eurojust. Tali segretariati costituiscono unità distinte sul piano funzionale. Possono avvalersi dei mezzi amministrativi di Eurojust necessari ad assolvere i rispettivi compiti. Eurojust provvede al coordinamento dei segretariati. Il presente paragrafo si applica al segretariato di qualsiasi rete pertinente coinvolta nella cooperazione giudiziaria in materia penale per la quale si prevede che il sostegno sotto forma di un segretariato sia fornito da Eurojust. Eurojust può prestare sostegno, anche, se del caso, attraverso un segretariato istituito presso Eurojust, alle pertinenti reti e ai pertinenti organismi europei coinvolti nella cooperazione giudiziaria in materia penale.

3.   La rete istituita con decisione 2008/852/GAI può chiedere che Eurojust le fornisca un segretariato. Se tale richiesta è effettuata, si applica il paragrafo 2.

Articolo 49

Relazioni con Europol

1.   Eurojust prende tutte le misure opportune affinché Europol, nell’ambito del suo mandato, abbia accesso indiretto, in base a un sistema di riscontro positivo o negativo (hit/no hit), alle informazioni fornite a Eurojust, fatte salve le eventuali limitazioni indicate dallo Stato membro, dall’organismo, ufficio o agenzia dell’Unione, dai paesi terzi o dalle organizzazioni internazionali che ha fornito le informazioni in questione. In caso di riscontro positivo (hit), Eurojust avvia la procedura tramite cui l’informazione che ha generato l’hit può essere condivisa, conformemente alla decisione dello Stato membro, dell’organo o organismo dell’Unione, del paese terzo o dell’organizzazione internazionale che l’ha fornita a Eurojust.

2.   Le ricerche sulle informazioni ai sensi del paragrafo 1 sono effettuate solo per verificare se le informazioni a disposizione di Europol corrispondono con quelle trattate presso Eurojust.

3.   Eurojust permette di effettuare ricerche ai sensi del paragrafo 1 solo previa comunicazione da parte di Europol dei membri del suo personale indicati come autorizzati ad effettuare tali ricerche.

4.   Se durante il trattamento delle informazioni da parte di Eurojust in relazione a una singola indagine, Eurojust o uno Stato membro rileva la necessità di coordinamento, cooperazione o sostegno ai sensi del mandato di Europol, Eurojust informa quest’ultimo e avvia la procedura di condivisione delle informazioni, conformemente alla decisione dello Stato membro che le ha fornite. In tal caso Eurojust si consulta con Europol.

5.   Eurojust stabilisce e mantiene una stretta cooperazione con Europol nella misura allo svolgimento delle funzioni delle due agenzie e al raggiungimento dei loro obiettivi e tenuto conto della necessità di evitare inutili sovrapposizioni.

A tal fine, il direttore esecutivo di Europol e il presidente di Eurojust si riuniscono periodicamente per discutere le questioni di interesse comune.

6.   Europol rispetta le limitazioni di accesso o uso, in termini generali o specifici, indicate da uno Stato membro, un organo o organismo, dell’Unione, un paese terzo o un’organizzazione internazionale in relazione alle informazioni da esso fornite.

Articolo 50

Relazioni con EPPO

1.   Eurojust instaura e mantiene relazioni strette con EPPO, basate sulla cooperazione reciproca nell’ambito dei rispettivi mandati e delle rispettive competenze nonché sullo sviluppo di reciproci legami operativi, amministrativi e di gestione come specificato al presente articolo. A tal fine, il presidente di Eurojust e il procuratore europeo si riuniscono periodicamente per discutere le questioni di interesse comune. Essi si riuniscono su richiesta del presidente di Eurojust o del procuratore europeo.

2.   Eurojust tratta senza ritardo le richieste di sostegno formulate da EPPO e, se del caso, le tratta come se le avesse ricevute da un’autorità nazionale competente in materia di cooperazione giudiziaria.

3.   Ogniqualvolta necessario per sostenere la cooperazione instaurata a norma del paragrafo 1 del presente articolo, Eurojust si avvale dei sistemi di coordinamento nazionale di Eurojust istituiti ai sensi dell’articolo 20 e delle relazioni che ha stabilito con i paesi terzi, compresi i magistrati di collegamento.

4.   Nelle questioni operative di competenza di EPPO, Eurojust informa e, se del caso, coinvolge EPPO nelle proprie attività relative ai casi transfrontalieri, fra l’altro:

a)

condividendo informazioni, compresi dati personali, riguardanti i suoi fascicoli, in conformità delle pertinenti disposizioni del presente regolamento;

b)

richiedendo il sostegno di EPPO.

5.   Eurojust accede indirettamente, in base a un sistema di riscontro positivo o negativo, alle informazioni del sistema automatico di gestione dei fascicoli di EPPO. Quando è riscontrata una corrispondenza tra i dati del sistema automatico di gestione dei fascicoli inseriti da EPPO e quelli in possesso di Eurojust, ne è data notizia a Eurojust, a EPPO, nonché allo Stato membro che ha fornito i dati a Eurojust. Eurojust adotta le misure necessarie per consentire a EPPO l’accesso indiretto alle informazioni contenute nel suo sistema automatico di gestione dei fascicoli in base a un sistema di riscontro positivo o negativo.

6.   EPPO può avvalersi del sostegno e delle risorse amministrative di Eurojust. A tal fine, Eurojust può fornire a EPPO servizi di interesse comune. Le modalità sono regolate da un accordo.

Articolo 51

Relazioni con altri organi e organismi dell’Unione

1.   Eurojust instaura e mantiene relazioni di cooperazione con la rete europea di formazione giudiziaria.

2.   L’OLAF contribuisce all’attività di coordinamento di Eurojust riguardante la tutela degli interessi finanziari dell’Unione, conformemente al suo mandato ai sensi del regolamento (UE, Euratom) n. 883/2013.

3.   L’Agenzia europea della guardia di frontiera e costiera contribuisce alle attività di Eurojust, anche trasmettendo le pertinenti informazioni trattate in conformità del suo mandato e dei suoi compiti ai sensi dell’articolo 8, paragrafo 1, lettera m), del regolamento (UE) 2016/1624 del Parlamento europeo e del Consiglio (21). Il trattamento dei dati personali da parte dell’Agenzia europea della guardia di frontiera e costiera è disciplinato dal regolamento (EU) 2018/1725 .

4.   Per le esigenze di ricezione e trasmissione delle informazioni tra Eurojust e l’OLAF, e fatto salvo l’articolo 8 del presente regolamento, gli Stati membri provvedono affinché i membri nazionali di Eurojust siano considerati autorità competenti degli Stati membri esclusivamente ai fini del regolamento (UE, Euratom) n. 883/2013. Lo scambio di informazioni tra l’OLAF e i membri nazionali non pregiudica l’obbligo di informare altre autorità competenti in virtù di detti regolamenti.

SEZIONE III

Cooperazione internazionale

Articolo 52

Relazioni con le autorità di paesi terzi e le organizzazioni internazionali

1.   Eurojust può instaurare e mantenere relazioni di cooperazione con le autorità di paesi terzi e le organizzazioni internazionali.

A tale scopo Eurojust predispone, ogni quattro anni, in consultazione con la Commissione, una strategia di cooperazione che specifica i paesi terzi e le organizzazioni internazionali riguardo ai quali sussiste un’esigenza operativa di cooperazione.

2.   Eurojust può concludere accordi di lavoro con le entità di cui all’articolo 47, paragrafo 1.

3.   Eurojust può designare, di concerto con le autorità competenti interessate, punti di contatto nei paesi terzi al fine di facilitare la cooperazione in linea con le esigenze operative di Eurojust.

Articolo 53

Magistrati di collegamento distaccati presso Stati terzi

1.   Allo scopo di agevolare la cooperazione giudiziaria con paesi terzi nei casi in cui Eurojust dà il suo sostegno in conformità del presente regolamento, il collegio di Eurojust può distaccare magistrati di collegamento presso un paese terzo, nel caso in cui esista un accordo di lavoro di cui all’articolo 47, paragrafo 3, con le autorità competenti di detto paese di.

2.   I compiti dei magistrati di collegamento includono attività volte a incoraggiare e accelerare tutte le forme di cooperazione giudiziaria in materia penale, in particolare stabilendo collegamenti diretti con le autorità competenti interessate. Nello svolgimento dei suoi compiti, il magistrato di collegamento può scambiare dati personali operativi con le autorità competenti del paese terzo interessato in conformità dell’articolo 56.

3.   Il magistrato di collegamento di cui al paragrafo 1 deve possedere un’esperienza di lavoro con Eurojust e una conoscenza adeguata della cooperazione giudiziaria nonché del funzionamento di Eurojust. Il distacco di un magistrato di collegamento per conto di Eurojust è subordinato al consenso preliminare del magistrato e del suo Stato membro.

4.   Qualora il magistrato di collegamento distaccato da Eurojust sia selezionato tra membri nazionali, aggiunti o assistenti:

a)

lo Stato membro lo sostituisce nella sua funzione di membro nazionale, aggiunto o assistente;

b)

non può più esercitare i poteri conferitigli ai sensi dell’articolo 8.

5.   Fatto salvo l’articolo 110 dello statuto dei funzionari, il collegio di Eurojust elabora i termini e le condizioni del distacco dei magistrati di collegamento, compreso il livello di retribuzione. Il Collegio adotta le necessarie disposizioni attuative in consultazione con la Commissione.

6.   Le attività dei magistrati di collegamento distaccati da Eurojust sono soggette al controllo del Garante europeo della protezione dei dati. I magistrati di collegamento riferiscono al collegio, che informa opportunamente delle loro attività il Parlamento europeo e il Consiglio nella relazione annuale. I magistrati di collegamento informano i membri nazionali e le autorità nazionali competenti di tutti i fascicoli riguardanti il rispettivo Stato membro.

7.   Le autorità competenti degli Stati membri e i magistrati di collegamento di cui al paragrafo 1 possono mettersi direttamente in contatto tra loro. In tal caso, il magistrato di collegamento ne informa il membro nazionale interessato.

8.   I magistrati di collegamento di cui al paragrafo 1 sono connessi al sistema automatico di gestione dei fascicoli.

Articolo 54

Richieste di cooperazione giudiziaria presentate a e da paesi terzi

1.   Eurojust può coordinare, con l’accordo degli Stati membri interessati, l’esecuzione di richieste di cooperazione giudiziaria di un paese terzo qualora tali richieste debbano essere eseguite in almeno due Stati membri nell’ambito di una stessa indagine. Tali richieste possono altresì essere trasmesse a Eurojust da un’autorità nazionale competente.

2.   In casi urgenti e conformemente all’articolo 19 il CCO può ricevere e trasmettere le richieste di cui al paragrafo 1 del presente articolo e presentate da un paese terzo che ha concluso un accordo di cooperazione o di lavoro con Eurojust.

3.   Fatto salvo l’articolo 3, paragrafo 5 laddove le richieste di cooperazione giudiziaria che si riferiscono alla stessa indagine e devono essere eseguite in un paese terzo siano presentate da uno Stato membro interessato, Eurojust agevola la cooperazione giudiziaria con il paese terzo in questione.

SEZIONE IV

Trasferimenti di dati personali

Articolo 55

Trasmissione di dati personali operativi a istituzioni, organi e organismi dell’Unione

1.   Fatte salve eventuali ulteriori limitazioni ai sensi del presente regolamento, in particolare ai sensi dell’articolo 21, paragrafo 8, dell’articolo 47, paragrafo 5, e dell’articolo 76, Eurojust trasmette dati personali operativi a un’altra istituzione, un altro organo o organismo dell’Unione solo se i dati sono necessari per il legittimo esercizio delle funzioni rientranti nelle competenze di tale istituzione, organo o organismo dell’Unione.

2.   Se i dati personali operativi sono trasmessi su richiesta dell’altra istituzione, dell’altro organo o dell’Unione, il titolare del trattamento e il destinatario sono entrambi responsabili della legittimità del trasferimento.

Eurojust è tenuta a verificare la competenza dell’altra istituzione, dell’altro organo o organismo dell’Unione e ad effettuare una valutazione provvisoria della necessità della trasmissione dei dati personali operativi. Qualora emergano dubbi su tale necessità, Eurojust chiede ulteriori informazioni al destinatario.

L’altra istituzione, l’altro organo o organismo dell’Unione provvede a che si possa successivamente verificare la necessità della trasmissione dei dati personali operativi.

3.   Nel procedere al trattamento dei dati personali l’altra istituzione, l’altro organo o organismo dell’Unione persegue unicamente le finalità per cui questi sono stati trasmessi.

Articolo 56

Principi generali per il trasferimento dei dati personali operativi ai paesi terzi e alle organizzazioni internazionali

1.   Eurojust può trasferire dati personali operativi a un paese terzo o un’organizzazione internazionale, fatto salvo il rispetto delle norme applicabili in materia di protezione dei dati delle altre disposizioni del presente regolamento, soltanto se sono rispettate le condizioni di cui al presente articolo:

a)

il trasferimento è necessario per lo svolgimento dei compiti di Eurojust;

b)

l’autorità nel paese terzo o l’organizzazione internazionale alla quale i dati personali operativi sono trasferiti è competente ai fini dell’applicazione della legge e competente in materia penale;

c)

nel caso in cui i dati personali operativi da trasferire in conformità del presente articolo siano stati trasmessi o resi disponibili da uno Stato membro a Eurojust, quest’ultima deve ottenere l’autorizzazione preliminare dall’autorità competente interessata di detto Stato membro in conformità del suo diritto nazionale, a meno che detto Stato membro non abbia autorizzato itale trasferimento in termini generali o a condizioni particolari;

d)

in caso di trasferimento successivo a un altro paese terzo o a un’altra organizzazione internazionale da parte di un paese terzo o di un’organizzazione internazionale, Eurojust impone al paese terzo o all’organizzazione internazionale di trasferimento di ottenere la sua autorizzazione preliminare per il trasferimento successivo.

Eurojust concede l’autorizzazione di cui alla lettera d) solo previa autorizzazione dello Stato membro da cui provengono i dati e dopo aver tenuto debitamente conto di tutti i fattori pertinenti, tra cui la gravità del reato, la finalità per la quale i dati personali operativi sono stati originariamente trasferiti e il livello di protezione dei dati personali nel paese terzo o nell’organizzazione internazionale verso i quali i dati personali operativi sono successivamente trasferiti.

2.   Fatte salve le condizioni di cui al paragrafo 1 del presente articolo, Eurojust può trasferire dati personali operativi a un paese terzo o un’organizzazione internazionale solo se ricorre una delle condizioni seguenti:

a)

la Commissione ha deciso, a norma dell’articolo 57, che il paese terzo o l’organizzazione internazionale in questione garantisce un livello di protezione adeguato, oppure, in mancanza di una tale decisione di adeguatezza, sono offerte o sussistono garanzie adeguate in conformità dell’articolo 58 paragrafo 1, oppure, in mancanza sia di una decisione di adeguatezza sia di tali garanzie adeguate, si applicano deroghe per situazioni specifiche a norma dell’articolo 59 paragrafo 1;

b)

un accordo di cooperazione che consenta lo scambio di dati personali operativi è stato concluso prima del 12 dicembre 2019 tra Eurojust e il paese terzo o l’organizzazione internazionale ai sensi dell’articolo 26 bis della decisione 2002/187/GAI; oppure

c)

sulla base di un accordo internazionale concluso tra l’Unione europea e il paese terzo o l’organizzazione internazionale ai sensi dell’articolo 218 TFUE, che presta garanzie sufficienti con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone.

3.   Gli accordi di lavoro di cui all’articolo 47, paragrafo 3, possono essere utilizzati per definire le modalità di attuazione degli accordi o delle decisioni di adeguatezza di cui al paragrafo 2 del presente articolo.

4.   In caso urgenti, Eurojust può trasferire dati personali operativi senza l’autorizzazione preliminare di uno Stato membro in conformità del paragrafo 1, lettera c). Eurojust può effettuare il trasferimento soltanto se il trasferimento dei dati personali operativi è necessario per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo o agli interessi vitali di uno Stato membro e l’autorizzazione preliminare non può essere ottenuta tempestivamente. L’autorità competente a rilasciare l’autorizzazione preliminare è informata senza ritardo.

5.   Gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione non trasferiscono successivamente i dati personali operativi ricevuti da Eurojust verso un paese terzo o un’organizzazione internazionale. In via di eccezione tale trasferimento può essere effettuato nei casi in cui Eurojust abbia autorizzato tale trasferimento dopo aver tenuto debitamente conto di tutti i fattori pertinenti, tra cui la gravità del reato, la finalità per la quale i dati personali operativi erano stati originariamente trasferiti e il livello di protezione dei dati personali nel paese terzo o nell’organizzazione internazionale verso i quali i dati personali operativi sono successivamente trasferiti.

6.   Gli articoli 57, 58 e 59 sono applicati al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento e dal diritto dell’Unione non sia pregiudicato.

Articolo 57

Trasferimento sulla base di una decisione di adeguatezza

Eurojust può trasferire dati personali operativi verso un paese terzo o un’organizzazione internazionale se la Commissione ha deciso in conformità dell’articolo 36 della direttiva (UE) 2016/680 che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o tale organizzazione internazionale in questione garantiscono un livello di protezione adeguato.

Articolo 58

Trasferimento soggetto a garanzie adeguate

1.   In mancanza di una decisione di adeguatezza, Eurojust può trasferire dati personali operativi a un paese terzo o un’organizzazione internazionale se:

a)

sono fornite garanzie adeguate per la protezione dei dati personali operativi in uno strumento giuridicamente vincolante; oppure

b)

Eurojust ha valutato tutte le circostanze relative al trasferimento dei dati personali operativi e ritiene che sussistano garanzie adeguate per la protezione dei dati personali.

2.   Eurojust informa il Garante europeo della protezione dei dati in merito alle categorie di trasferimenti di cui al paragrafo 1, lettera b).

3.   Qualora sia basato sul paragrafo 1, lettera b), il trasferimento è documentato e, su richiesta, la documentazione è messa a disposizione del Garante europeo della protezione dei dati. La documentazione contiene l’indicazione della data e dell’ora del trasferimento delle informazioni sull’autorità competente ricevente, della motivazione del trasferimento e dei dati personali operativi trasferiti.

Articolo 59

Deroghe in specifiche situazioni

1.   In mancanza di una decisione di adeguatezza, o di garanzie adeguate ai sensi dell’articolo 58, Eurojust può trasferire dati personali operativi a un paese terzo o un’organizzazione internazionale soltanto a condizione che il trasferimento sia necessario:

a)

per salvaguardare un interesse vitale dell’interessato o di un terzo;

b)

per salvaguardare i legittimi interessi dell’interessato;

c)

per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo; oppure

d)

in casi singoli, ai fini dello svolgimento dei compiti di Eurojust, a meno che Eurojust non determini che i diritti e le libertà fondamentali dell’interessato prevalgono sull’interesse pubblico al trasferimento.

2.   Qualora sia basato sul paragrafo 1, un tale trasferimento deve essere documentato e, su richiesta, la documentazione deve essere messa a disposizione del Garante europeo della protezione dei dati. La documentazione contiene l’indicazione della data e dell’ora del trasferimento delle informazioni sull’autorità competente ricevente, della motivazione del trasferimento e dei dati personali operativi trasferiti.

CAPO VI

DISPOSIZIONI FINANZIARIE

Articolo 60

Bilancio

1.   Tutte le entrate e le spese di Eurojust sono oggetto di previsioni per ciascun esercizio finanziario, che coincide con l’anno civile, e sono iscritte nel bilancio di Eurojust.

2.   Le entrate e le spese iscritte nel bilancio di Eurojust devono essere in pareggio.

3.   Fatte salve altre risorse, le entrate di Eurojust comprendono:

a)

un contributo dell’Unione iscritto al bilancio generale dell’Unione;

b)

eventuali contributi finanziari volontari degli Stati membri;

c)

i diritti percepiti per pubblicazioni o qualsiasi altro servizio fornito da Eurojust;

d)

sovvenzioni ad hoc.

4.   Le spese di Eurojust comprendono le retribuzioni del personale, le spese amministrative e di infrastruttura e le spese di esercizio compreso il finanziamento delle squadre investigative comuni.

Articolo 61

Stesura del bilancio

1.   Ogni anno il direttore amministrativo predispone un progetto di stato di previsione delle entrate e delle spese di Eurojust per l’esercizio finanziario successivo, che comprende la tabella dell’organico, e lo trasmette al comitato esecutivo. La rete giudiziaria europea e le altre reti dell’Unione che partecipano alla cooperazione giudiziaria in materia penale di cui all’articolo 48 sono tempestivamente informate sulle sezioni relative alle loro attività prima della trasmissione dello stato di previsione alla Commissione.

2.   Sulla base del progetto di stato di previsione delle entrate, il comitato esecutivo verifica un progetto di stato di previsione provvisorio delle entrate e delle spese di Eurojust per l’esercizio finanziario successivo che Eurojust trasmette al collegio per l’adozione.

3.   Il progetto di stato di previsione provvisorio delle entrate e delle spese di Eurojust è trasmesso alla Commissione entro il 31 gennaio di ogni anno. Entro il 31 marzo dello stesso anno Eurojust invia alla Commissione lo stato di previsione definitivo, che include un progetto di tabella dell’organico.

4.   La Commissione trasmette al Parlamento europeo e al Consiglio («autorità di bilancio») lo stato di previsione con il progetto di bilancio generale dell’Unione.

5.   Sulla base di tale stato di previsione, la Commissione inserisce nel progetto di bilancio generale dell’Unione le previsioni ritenute necessarie per la tabella dell’organico nonché l’importo del contributo da iscrivere al bilancio generale, che sottopone all’autorità di bilancio a norma degli articoli 313 e 314 TFUE.

6.   L’autorità di bilancio autorizza gli stanziamenti a titolo del contributo dell’Unione destinato a Eurojust.

7.   L’autorità di bilancio adotta la tabella dell’organico di Eurojust. Il collegio adotta il bilancio di Eurojust. Esso diventa definitivo dopo l’adozione definitiva del bilancio generale dell’Unione. Se del caso, il collegio procede agli opportuni adeguamenti del bilancio di Eurojust.

8.   A qualsiasi progetto di natura immobiliare che possa avere incidenze finanziarie significative sul bilancio di Eurojust si applica l’articolo 88 del regolamento delegato (UE) n. 1271/2013 della Commissione (22).

Articolo 62

Esecuzione del bilancio

Il direttore amministrativo agisce in qualità di ordinatore di Eurojust ed esegue il bilancio di Eurojust, sotto la propria responsabilità, entro i limiti autorizzati nel bilancio.

Articolo 63

Rendicontazione e discarico

1.   Entro il 1o marzo dell’esercizio successivo alla chiusura dell’esercizio (anno N + 1), il contabile di Eurojust comunica i conti provvisori dell’esercizio (anno N) al contabile della Commissione e alla Corte dei conti.

2.   Entro il 31 marzo dell’anno N + 1, Eurojust trasmette al Parlamento europeo, al Consiglio e alla Corte dei conti la relazione sulla gestione finanziaria e di bilancio per l’anno N.

3.   Entro il 31 marzo dell’anno N + 1, il contabile della Commissione trasmette alla Corte dei conti i conti provvisori di Eurojust per l’anno N consolidati con i conti della Commissione.

4.   Ai sensi dell’articolo 246, paragrafo 1, del regolamento (UE, Euratom) 2018/1046, la Corte dei conti formula, entro il 1o giugno dell’anno N + 1, le sue osservazioni sui conti provvisori di Eurojust.

5.   Al ricevimento delle osservazioni formulate dalla Corte dei conti sui conti provvisori di Eurojust ai sensi dell’articolo 246 del regolamento (UE, Euratom) 2018/1046, il direttore amministrativo stabilisce i conti definitivi di Eurojust sotto la sua responsabilità e li trasmette per parere al comitato esecutivo.

6.   Il comitato esecutivo formula un parere sui conti definitivi di Eurojust.

7.   Entro il 1o luglio dell’anno N + 1, il direttore esecutivo trasmette i conti definitivi per l’anno N, accompagnati dal parere del comitato esecutivo, al Parlamento europeo, al Consiglio, alla Commissione e alla Corte dei conti.

8.   I conti definitivi di Eurojust per l’anno N sono pubblicati nella Gazzetta ufficiale dell’Unione europea entro il 15 novembre dell’anno N + 1.

9.   Il direttore amministrativo invia alla Corte dei conti una risposta alle sue osservazioni entro il 30 settembre dell’anno N + 1. Il direttore amministrativo invia tale risposta anche al comitato esecutivo e alla Commissione.

10.   Il direttore amministrativo presenta al Parlamento europeo, su richiesta di quest’ultimo e a norma dell’articolo 261, paragrafo 3, del regolamento (CE, Euratom) 2018/1046, tutte le informazioni necessarie per il corretto svolgimento della procedura di discarico per l’esercizio in oggetto.

11.   Il Parlamento europeo, su raccomandazione del Consiglio che delibera a maggioranza qualificata, dà discarico al direttore amministrativo, entro il 15 maggio dell’anno N + 2, per l’esecuzione del bilancio dell’esercizio N.

12.   Il discarico per l’esecuzione del bilancio di Eurojust è dato dal Parlamento europeo, su raccomandazione del Consiglio, secondo una procedura paragonabile a quella prevista dall’articolo 319 TFUE e dagli articoli 260, 261 e 262 del regolamento (UE, Euratom) 2018/1046, e sulla base della relazione di revisione contabile della Corte dei conti europea.

Qualora il Parlamento rifiuti di concedere il discarico entro il 15 maggio dell’anno N + 2, il direttore amministrativo è invitato a spiegare la sua posizione al collegio, che adotta la sua decisione finale sulla posizione del direttore amministrativo alla luce delle circostanze.

Articolo 64

Regole finanziarie

1.   Le regole finanziarie applicabili a Eurojust sono adottate dal comitato esecutivo in conformità del regolamento delegato (UE) n. 1271/2013, previa consultazione della Commissione. Tali regole finanziarie si discostano dal regolamento delegato (UE) n. 1271/2013 solo per esigenze specifiche di funzionamento di Eurojust e previo accordo della Commissione.

Per quanto concerne il sostegno finanziario alle attività delle squadre investigative comuni, Eurojust ed Europol stabiliscono insieme le norme e le condizioni in base alle quali le domande sono trattate.

2.   Eurojust può assegnare sovvenzioni connesse allo svolgimento dei compiti di cui all’articolo 4, paragrafo 1. Le sovvenzioni per i compiti di cui all’articolo 4, paragrafo 1, lettera e,) possono essere assegnate agli Stati membri senza invito a presentare proposte.

CAPO VII

DISPOSIZIONI RELATIVE AL PERSONALE

Articolo 65

Disposizioni generali

1.   Al personale di Eurojust si applicano lo statuto dei funzionari, il regime applicabile agli altri agenti nonché le regole adottate di comune accordo dalle istituzioni dell’Unione per l’applicazione di detto statuto e di detto regime.

2.   Il personale di Eurojust è composto di persone assunte in base alle norme e regolamentazioni che si applicano ai funzionari e altri agenti dell’Unione, tenendo conto di tutti i criteri di cui all’articolo 27 dello statuto dei funzionari, compresa la ripartizione geografica.

Articolo 66

Esperti nazionali distaccati e altro personale

1.   Eurojust può avvalersi, oltre al proprio personale, di esperti nazionali distaccati o di altro personale non impiegato da Eurojust.

2.   Il collegio adotta una decisione in cui stabilisce le norme relative al distacco di esperti nazionali a Eurojust e all’impiego di altro personale, in particolare per evitare potenziali conflitti di interessi.

3.   Eurojust adotta opportune misure amministrative, anche attraverso azioni di formazione e strategie di prevenzione, per evitare conflitti d’interesse, segnatamente in relazione a problematiche riguardanti il periodo successivo alla cessazione dalle funzioni.

CAPO VIII

VALUTAZIONE E RELAZIONI

Articolo 67

Coinvolgimento delle istituzioni dell’Unione e dei parlamenti nazionali

1.   Eurojust trasmette la sua relazione annuale al Parlamento europeo, al Consiglio e ai Parlamenti nazionali, che possono formulare osservazioni e conclusioni.

2.   Al momento della sua elezione, il neoeletto presidente di Eurojust è invitato a rendere una dichiarazione dinanzi alla commissione o alle commissioni competenti del Parlamento europeo e a rispondere alle domande dei membri di tali commissioni. Durante le discussioni non è fatto riferimento alcuno, diretto o indiretto, ad azioni concrete riguardanti specifici casi operativi.

3.   Il presidente di Eurojust compare nell’ambito di una riunione interparlamentare di commissione, una volta all’anno per la valutazione congiunta delle attività di Eurojust da parte del Parlamento europeo e dei parlamenti nazionali, per illustrare le sue attività e presentare la sua relazione annuale o altri documenti chiave dell’Agenzia.

Durante le discussioni non è fatto riferimento alcuno, diretto o indiretto, ad azioni concrete adottate in relazione a specifici casi operativi.

4.   Oltre agli altri obblighi di informazione e di consultazione stabiliti nel presente regolamento, Eurojust trasmette al Parlamento europeo e ai parlamenti nazionali, nelle rispettive lingue ufficiali, a titolo informativo:

a)

i risultati di studi e progetti strategici elaborati o commissionati da Eurojust;

b)

il documento di programmazione di cui all’articolo 15;

c)

gli accordi di lavoro conclusi con terzi.

Articolo 68

Pareri sugli atti legislativi proposti

La Commissione e gli Stati membri che esercitano i loro diritti sulla base dell’articolo 76, lettera b), TFUE, possono chiedere il parere di Eurojust su tutti gli atti legislativi proposti di cui all’articolo 76 TFUE.

Articolo 69

Valutazione e riesame

1.   Entro il 13 dicembre 2024, e successivamente ogni cinque anni, la Commissione fa eseguire una valutazione dell’attuazione e dell’impatto del presente regolamento, dell’efficacia e dell’efficienza di Eurojust e delle sue pratiche di lavoro. Il collegio è ascoltato nella valutazione. La valutazione può riguardare, in particolare, l’eventuale necessità di modificare il mandato di Eurojust e le implicazioni finanziarie di tale modifica.

2.   La Commissione trasmette la relazione di valutazione, corredata delle proprie conclusioni, al Parlamento europeo, al Consiglio, ai parlamenti nazionali e al collegio. I risultati della valutazione sono pubblici.

CAPO IX

DISPOSIZIONI GENERALI E FINALI

Articolo 70

Privilegi e immunità

A Eurojust e al suo personale si applica il protocollo n. 7 sui privilegi e sulle immunità dell’Unione europea allegato al TUE e al TFUE.

Articolo 71

Regime linguistico

1.   A Eurojust si applicano le disposizioni del regolamento n. 1 del Consiglio (23).

2.   Il collegio decide a maggioranza dei due terzi dei suoi membri il regime linguistico interno di Eurojust.

3.   I servizi di traduzione necessari per il funzionamento di Eurojust sono forniti dal Centro di traduzione degli organismi dell’Unione europea istituito dal regolamento (CE) n. 2965/94 del Consiglio (24), a meno che l’indisponibilità del Centro di traduzione non imponga di trovare un’altra soluzione.

Articolo 72

Riservatezza

1.   I membri nazionali, gli aggiunti e i loro assistenti di cui all’articolo 7, il personale di Eurojust, i corrispondenti nazionali, gli esperti nazionali distaccati, i magistrati di collegamento, il responsabile della protezione dei dati e i membri e il personale del Garante europeo della protezione dei dati hanno l’obbligo della riservatezza rispetto a qualsiasi informazione di cui sono venuti a conoscenza nell’esercizio delle loro funzioni.

2.   L’obbligo della riservatezza si applica a qualsiasi persona e a qualsiasi organismo che collabori con Eurojust.

3.   L’obbligo della riservatezza permane anche dopo la cessazione delle funzioni, del contratto di lavoro e dell’attività delle persone di cui ai paragrafi 1 e 2.

4.   L’obbligo della riservatezza si applica a tutte le informazioni ricevute o scambiate da Eurojust, a meno che tali informazioni siano già state legalmente rese pubbliche o accessibili al pubblico.

Articolo 73

Condizioni di riservatezza dei procedimenti nazionali

1.   Fatto salvo l’articolo 21, paragrafo 3, nei casi in cui le informazioni siano ricevute o scambiate tramite Eurojust, l’autorità dello Stato membro che ha fornito le informazioni può, conformemente al suo diritto nazionale, stabilire condizioni sull’impiego di tali informazioni da parte dell’autorità ricevente nei procedimenti nazionali.

2.   L’autorità dello Stato membro che riceve le informazioni di cui al paragrafo 1 è vincolata da tali condizioni.

Articolo 74

Trasparenza

1.   Ai documenti in possesso di Eurojust si applica il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (25).

2.   Il comitato esecutivo predispone, entro sei mesi dalla data della sua prima riunione, le modalità di applicazione del regolamento (CE) n. 1049/2001 ai fini dell’adozione da parte del collegio.

3.   Le decisioni adottate da Eurojust ai sensi dell’articolo 8 del regolamento (CE) n. 1049/2001 possono costituire oggetto di denuncia presso il Mediatore europeo o di ricorso dinanzi alla Corte, alle condizioni di cui, rispettivamente, agli articoli 228 e 263 TFUE.

4.   Eurojust pubblica sul suo sito web l’elenco dei membri del comitato esecutivo e le sintesi dei risultati delle riunioni di quest’ultimo. La pubblicazione di dette sintesi è limitata o omessa su base temporanea o permanente qualora essa rischi di compromettere lo svolgimento dei compiti di Eurojust, tenendo conto degli obblighi del segreto e della riservatezza nonché del carattere operativo di Eurojust.

Articolo 75

OLAF e Corte dei conti europea

1.   Per facilitare la lotta contro la frode, la corruzione e ogni altra attività illecita ai sensi del regolamento (UE, Euratom) n. 883/2013, Eurojust, entro sei mesi dall’entrata in vigore del presente regolamento, aderisce all’accordo interistituzionale, del 25 maggio 1999, tra il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione delle Comunità europee relativo alle indagini svolte dall’Ufficio europeo per la lotta antifrode (OLAF) (26) e adotta le opportune disposizioni applicabili a tutti i membri nazionali, i loro aggiunti e assistenti, gli esperti nazionali distaccati e il personale di Eurojust utilizzando i modelli riportati nell’allegato di tale accordo.

2.   La Corte dei conti ha la facoltà di sottoporre ad audit, sulla base di documenti e con verifiche sul posto, tutti i beneficiari di sovvenzioni, i contraenti e i subcontraenti che hanno ottenuto fondi dell’Unione da Eurojust.

3.   L’OLAF può svolgere indagini, compresi controlli e verifiche sul posto, conformemente alle disposizioni e procedure stabilite dal regolamento (UE, Euratom) n. 883/2013 e dal regolamento (Euratom, CE) n. 2185/96 del Consiglio (27), per accertare eventuali irregolarità lesive degli interessi finanziari dell’Unione in relazione a spese finanziate da Eurojust.

4.   Fatti salvi i paragrafi 1, 2 e 3, gli accordi di lavoro con i paesi terzi, le organizzazioni internazionali o Interpol, i contratti, le convenzioni di sovvenzione e le decisioni di sovvenzione di Eurojust contengono disposizioni che abilitano espressamente la Corte dei conti e l’OLAF a svolgere tali audit e indagini in base alle rispettive competenze.

5.   Il personale di Eurojust, il direttore amministrativo e i membri del collegio e del comitato esecutivo segnalano tempestivamente all’OLAF e a EPPO i sospetti di attività irregolari o illegali nell’ambito del loro mandato, di cui possono essere venuti a conoscenza nell’esercizio delle loro funzioni, senza che con ciò sia chiamata in causa la loro responsabilità.

Articolo 76

Norme in materia di protezione delle informazioni sensibili non classificate e classificate

1.   Eurojust stabilisce norme interne in materia di trattamento e riservatezza delle informazioni e di protezione delle informazioni sensibili non classificate, tra cui la creazione e il trattamento di tali informazioni presso Eurojust.

2.   Eurojust stabilisce norme interne in materia di protezione delle informazioni classificate dell’Unione europea che sono conformi alla decisione 2013/488/UE del Consiglio (28) al fine di assicurare un livello di protezione equivalente per tali informazioni.

Articolo 77

Indagini amministrative

Le attività amministrative di Eurojust sono sottoposte al controllo del Mediatore europeo, ai sensi dell’articolo 228 TFUE.

Articolo 78

Responsabilità diversa dalla responsabilità per trattamento di dati non autorizzato o scorretto

1.   La responsabilità contrattuale di Eurojust è regolata dalla legge applicabile al contratto in causa.

2.   La Corte è competente a giudicare in virtù di una clausola compromissoria contenuta in un contratto concluso da Eurojust.

3.   In materia di responsabilità extracontrattuale, Eurojust risarcisce, secondo i principi generali comuni agli ordinamenti degli Stati membri e indipendentemente da una responsabilità ai sensi dell’articolo 46, i danni causati da Eurojust o dal suo personale nell’esercizio delle loro funzioni.

4.   Il paragrafo 3 si applica anche ai danni per colpa di un membro nazionale, di un aggiunto o di un assistente nell’esercizio delle loro funzioni. Tuttavia quando questi agiscono sulla base dei poteri loro conferiti a norma dell’articolo 8, il rispettivo Stato membro rimborsa a Eurojust gli importi pagati da quest’ultimo in risarcimento dei danni.

5.   La Corte è competente a pronunciarsi in merito alle controversie relative al risarcimento dei danni di cui al paragrafo 3.

6.   Gli organi giurisdizionali degli Stati membri competenti a conoscere delle controversie che coinvolgono la responsabilità di Eurojust di cui al presente articolo sono determinati con riferimento al regolamento (UE) n. 1215/2012 (29).

7.   La responsabilità individuale del personale di Eurojust nei confronti di Eurojust è regolata dalle disposizioni dello statuto dei funzionari e dal regime applicabile agli altri agenti.

Articolo 79

Accordo di sede e condizioni operative

1.   Eurojust ha sede all’Aia (Paesi Bassi).

2.   Le necessarie disposizioni relative all’insediamento di Eurojust nei Paesi Bassi e alle strutture che tale paese deve mettere a disposizione nonché le norme specifiche applicabili nei Paesi Bassi al direttore amministrativo, ai membri del collegio, al personale di Eurojust e ai relativi familiari sono fissate in un accordo di sede concluso, previa approvazione del collegio, tra Eurojust e i Paesi Bassi.

Articolo 80

Disposizioni transitorie

1.   Eurojust subentra in tutti i contratti conclusi, nelle passività a carico e nelle proprietà acquisite dall’unità Eurojust istituita con decisione 2002/187/GAI.

2.   I membri nazionali di Eurojust distaccati da ciascuno Stato membro a norma della decisione 2002/187/GAI assumono le funzioni di membri nazionali di Eurojust ai sensi della sezione II del capo II del presente regolamento. Il loro mandato può essere prorogato una volta in virtù dell’articolo 7, paragrafo 5, del presente regolamento, dopo che questo è entrato in vigore, a prescindere da una proroga precedente.

3.   Il presidente e i vicepresidenti di Eurojust al momento dell’entrata in vigore del presente regolamento assumono le funzioni di presidente e vicepresidenti di Eurojust ai sensi dell’articolo 11 del presente regolamento fino a scadenza del rispettivo mandato a norma della decisione 2002/187/GAI. Essi possono essere rieletti una volta ai sensi dell’articolo 11, paragrafo 4, del presente regolamento, dopo che questo è entrato in vigore, a prescindere da una precedente rielezione.

4.   L’ultimo direttore amministrativo nominato ai sensi dell’articolo 29 della decisione 2002/187/GAI assume le funzioni di direttore amministrativo ai sensi dell’articolo 17 del presente regolamento fino a scadenza del suo mandato a norma di detta decisione. Il mandato del direttore amministrativo può essere prorogato una volta dopo l’entrata in vigore del presente regolamento.

5.   Il presente regolamento non pregiudica la validità degli accordi conclusi da Eurojust istituito con decisione 2002/187/GAI. In particolare, tutti gli accordi internazionali conclusi da Eurojust prima del 12 dicembre 2019 rimangono validi.

6.   La procedura di discarico relativa ai bilanci, approvata in base all’articolo 35 della decisione 2002/187/GAI, è espletata conformemente alle norme stabilite dall’articolo 36della medesima.

7.   Il regolamento fa salvi i contratti di lavoro conclusi a norma della decisione 2002/187/GAI anteriormente all’entrata in vigore del presente regolamento. L’ultimo responsabile della protezione dei dati nominato ai sensi dell’articolo 17 di detta decisione assume le funzioni di responsabile della protezione dei dati ai sensi dell’articolo 36 del presente regolamento.

Articolo 81

Sostituzione e abrogazione

1.   La decisione 2002/187/GAI è sostituita per gli Stati membri vincolati dal presente regolamento con effetto dal 12 dicembre 2019.

Pertanto, la decisione 2002/187/GAI è sostituita con effetto dal 12 dicembre 2019.

2.   Per quanto riguarda gli Stati membri vincolati dal presente regolamento, i riferimenti alla decisione di cui al paragrafo 1 si intendono fatti al presente regolamento.

Articolo 82

Entrata in vigore e applicazione

1.   Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

2.   Esso si applica a decorrere dal 12 dicembre 2019.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile negli Stati membri conformemente ai trattati.

Fatto a Strasburgo, il 14 novembre 2018

Per il Parlamento europeo

Il presidente

A. TAJANI

Per il Consiglio

Il presidente

K. EDTSTADLER


(1)  Posizione del Parlamento europeo del 4 ottobre 2018 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 6 novembre 2018.

(2)  Decisione 2002/187/GAI del Consiglio, del 28 febbraio 2002, che istituisce l’Eurojust per rafforzare la lotta contro le forme gravi di criminalità (GU L 63 del 6.3.2002, pag. 1).

(3)  Decisione 2003/659/GAI del Consiglio, del 18 giugno 2003, che modifica la decisione 2002/187/GAI, che istituisce l'Eurojust per rafforzare la lotta contro le forme gravi di criminalità (GU L 245 del 29.9.2003, pag. 44).

(4)  Decisione 2009/426/GAI del Consiglio, del 16 dicembre 2008, relativa al rafforzamento dell’Eurojust e che modifica la decisione 2002/187/GAI che istituisce l’Eurojust per rafforzare la lotta contro le forme gravi di criminalità (GU L 138 del 4.6.2009, pag. 14).

(5)  Regolamento (UE) 2017/1939 del Consiglio, del 12 ottobre 2017, relativo all’attuazione di una cooperazione rafforzata sull’istituzione della Procura europea («EPPO») (GU L 283 del 31.10.2017, pag. 1).

(6)  Decisione 2002/494/GAI del Consiglio, del 13 giugno 2002, relativa all’istituzione di una rete europea di punti di contatto in materia di persone responsabili di genocidio, crimini contro l’umanità e crimini di guerra (GU L 167 del 26.2.2002, pag. 1).

(7)  Decisione 2007/845/GAI del Consiglio, del 6 dicembre 2007, concernente la cooperazione tra gli uffici degli Stati membri per il recupero dei beni nel settore del reperimento e dell’identificazione dei proventi di reato o altri beni connessi (GU L 332 del 18.12.2007, pag. 103).

(8)  Decisione 2008/852/GAI del Consiglio, del 24 ottobre 2008, relativa a una rete di punti di contatto contro la corruzione (GU L 301 del 12.11.2008, pag. 38).

(9)  Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

(10)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell’Unione, nonché la libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (cfr. pag. 39 della presente Gazzetta ufficiale).

(11)  Posizione comune 2005/69/GAI del Consiglio, del 24 gennaio 2005, sullo scambio con l'Interpol di alcuni dati (GU L 27 del 29.1.2005, pag. 61).

(12)  Decisione 2007/533/GAI del Consiglio, del 12 giugno 2007, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen di seconda generazione (SIS II) (GU L 205 del 7.8.2007, pag. 63).

(13)  Azione comune 96/277/GAI del Consiglio, del 22 aprile 1996, relativa ad un quadro di scambio di magistrati di collegamento diretto a migliorare la cooperazione giudiziaria fra gli Stati membri dell’Unione europea (GU L 105 del 27.4.1996, pag. 1).

(14)  Regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio, del 18 luglio 2018, che stabilisce le regole finanziarie applicabili al bilancio generale dell’Unione, che modifica i regolamenti (UE) n. 1296/2013, (UE) n. 1301/2013, (UE) n. 1303/2013, (UE) n. 1304/2013, (UE) n. 1309/2013, (UE) n. 1316/2013, (UE) n. 223/2014, (UE) n. 283/2014 e la decisione n. 541/2014/UE e abroga il regolamento (UE, Euratom) n. 966/2012 (GU L 193 del 30.7.2018, pag. 1).

(15)  Regolamento (UE, Euratom) n. 883/2013 del Parlamento europeo e del Consiglio, dell’11 settembre 2013, relativo alle indagini svolte dall’Ufficio europeo per la lotta antifrode (OLAF) e che abroga il regolamento (CE) n. 1073/1999 del Parlamento europeo e del Consiglio e il regolamento (Euratom) n. 1074/1999 del Consiglio (GU L 248 del 18.9.2013, pag. 1).

(16)  Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

(17)  Direttiva 2014/41/UE del Parlamento europeo e del Consiglio, del 3 aprile 2014, relativa all’ordine europeo di indagine penale (GU L 130 dell’1.5.2014, pag. 1).

(18)  GU L 56 del 4.3.1968, pag. 1.

(19)  Decisione 2005/671/GAI del Consiglio, del 20 settembre 2005, concernente lo scambio di informazioni e la cooperazione in materia di reati terroristici (GU L 253 del 29.9.2005, pag. 22).

(20)  Decisione 2008/976/GAI del Consiglio, del 16 dicembre 2008, relativa alla Rete giudiziaria europea (GU L 348 del 24.12.2008, pag. 130).

(21)  Regolamento (UE) 2016/1624 del Parlamento europeo e del Consiglio, del 14 settembre 2016, relativo alla guardia di frontiera e costiera europea che modifica il regolamento (UE) 2016/399 del Parlamento europeo e del Consiglio e che abroga il regolamento (CE) n. 863/2007 del Parlamento europeo e del Consiglio, il regolamento (CE) n. 2007/2004 del Consiglio e la decisione 2005/267/CE del Consiglio (GU L 251 del 16.9.2016, pag. 1).

(22)  Regolamento delegato (UE) n. 1271/2013 della Commissione, del 30 settembre 2013, che stabilisce il regolamento finanziario quadro degli organismi di cui all’articolo 208 del regolamento (UE, Euratom) n. 966/2012 del Parlamento europeo e del Consiglio (GU L 328 del 7.12.2013, pag. 42).

(23)  Regolamento No 1 che fissa le modalità di esecuzione delle comunicazioni prescritte dall’articolo 41 del trattato (GU 17 del 6.10.1958, pag. 385).

(24)  Regolamento (CE) n. 2965/94 del Consiglio, del 28 novembre 1994, relativo all’istituzione di un Centro di traduzione degli organismi dell’Unione europea (GU L 314 del 7.12.1994, pag. 1).

(25)  Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all’accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).

(26)  GU L 136 del 31.5.1999, pag. 15.

(27)  Regolamento (Euratom, CE) n. 2185/96 del Consiglio, dell’11 novembre 1996, relativo ai controlli e alle verifiche sul posto effettuati dalla Commissione ai fini della tutela degli interessi finanziari delle Comunità europee contro le frodi e altre irregolarità (GU L 292 del 15.11.1996, pag. 2).

(28)  Decisione 2013/488/UE del Consiglio, del 23 settembre 2013, sulle norme di sicurezza per proteggere le informazioni classificate UE (GU L 274 del 15.10.2013, pag. 1).

(29)  Regolamento (UE) n. 1215/2012 del Parlamento europeo e del Consiglio, del 12 dicembre 2012, concernente la competenza giurisdizionale, il riconoscimento e l’esecuzione delle decisioni in materia civile e commerciale (GU L 351 del 20.12.2012, pag. 1).


ALLEGATO I

Elenco delle forme gravi di criminalità di competenza di Eurojust ai sensi dell’articolo 3, paragrafo 1:

terrorismo;

criminalità organizzata;

traffico di stupefacenti;

attività di riciclaggio del denaro;

criminalità nel settore delle materie nucleari e radioattive;

organizzazione del traffico di migranti;

tratta di esseri umani;

criminalità connessa al traffico di veicoli rubati;

omicidio volontario e lesioni personali gravi;

traffico illecito di organi e tessuti umani;

rapimento, sequestro e presa di ostaggi;

razzismo e xenofobia;

rapina e furto aggravato,

traffico illecito di beni culturali, compresi gli oggetti d’antiquariato e le opere d’arte;

truffe e frodi;

reati contro gli interessi finanziari dell’Unione;

abuso di informazioni privilegiate e manipolazione del mercato finanziario;

racket e estorsioni;

contraffazione e pirateria in materia di prodotti;

falsificazione di atti amministrativi e traffico di documenti falsi;

falsificazione di monete e di altri mezzi di pagamento;

criminalità informatica;

corruzione;

traffico illecito di armi, munizioni ed esplosivi;

traffico illecito di specie animali protette;

traffico illecito di specie e di essenze vegetali protette;

criminalità ambientale, compreso l’inquinamento provocato dalle navi;

traffico illecito di sostanze ormonali ed altri fattori di crescita;

abuso e sfruttamento sessuale, compresi materiale pedopornografico e adescamento di minori per scopi sessuali;

genocidio, crimini contro l’umanità e crimini di guerra.


ALLEGATO II

CATEGORIE DI DATI PERSONALI DI CUI ALL’ARTICOLO 27

1.

a)

cognome, cognome da nubile, nome ed eventuale alias o pseudonimo;

b)

data e luogo di nascita;

c)

cittadinanza;

d)

sesso;

e)

luogo di residenza, professione e luogo di soggiorno della persona interessata;

f)

codici di previdenza sociale o altri codici ufficiali utilizzati negli Stati membri per identificare le persone fisiche, patenti di guida, documenti d’identità e dati del passaporto, numero di identificazione doganale e numero identificativo fiscale;

g)

informazioni riguardanti le persone giuridiche, se comprendono informazioni relative a persone fisiche identificate o identificabili oggetto di un’indagine o di un’azione penale;

h)

dettagli dei conti detenuti presso banche o altri istituti finanziari;

i)

descrizione e natura dei fatti contestati, data in cui sono stati commessi, loro qualifica penale e livello di sviluppo delle indagini;

j)

fatti che fanno presumere l’estensione internazionale del caso;

k)

informazioni relative alla presunta appartenenza ad un’organizzazione criminale;

l)

numeri di telefono, indirizzi di posta elettronica, dati relativi al traffico e dati relativi all’ubicazione, nonché qualsiasi dato connesso necessario per identificare l’abbonato o l’utente;

m)

dati relativi all’immatricolazione dei veicoli;

n)

profili DNA ottenuti a partire dalla parte non codificante del DNA, fotografie e impronte digitali;

2.

a)

cognome, cognome da nubile, nome ed eventuale alias o pseudonimo;

b)

data e luogo di nascita;

c)

cittadinanza;

d)

sesso;

e)

luogo di residenza, professione e luogo di soggiorno della persona interessata;

f)

descrizione e natura dei reati che riguardano la persona interessata, la data in cui sono stati commessi, loro qualifica penale e livello di sviluppo delle indagini;

g)

codice di previdenza sociale o altri codici ufficiali utilizzati dagli Stati membri per identificare le persone fisiche, patenti di guida, documenti d’identità e dati del passaporto, numero di identificazione doganale e numero identificativo fiscale;

h)

dettagli dei conti detenuti presso banche e altri istituti finanziari;

i)

numeri di telefono, indirizzi di posta elettronica, dati relativi al traffico e dati relativi all’ubicazione, nonché qualsiasi dato connesso necessario per identificare l’abbonato o l’utente;

j)

dati relativi all’immatricolazione dei veicoli.