Help Print this page 

Document 32016R0794

Title and reference
Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI
  • In force
OJ L 135, 24.5.2016, p. 53–114 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/reg/2016/794/oj
Languages, formats and link to OJ
BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV
HTML html BG html ES html CS html DA html DE html ET html EL html EN html FR html GA html HR html IT html LV html LT html HU html MT html NL html PL html PT html RO html SK html SL html FI html SV
PDF pdf BG pdf ES pdf CS pdf DA pdf DE pdf ET pdf EL pdf EN pdf FR pdf GA pdf HR pdf IT pdf LV pdf LT pdf HU pdf MT pdf NL pdf PL pdf PT pdf RO pdf SK pdf SL pdf FI pdf SV
Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal
 To see if this document has been published in an e-OJ with legal value, click on the icon above (For OJs published before 1st July 2013, only the paper version has legal value).
Multilingual display
Text

24.5.2016   

IT

Gazzetta ufficiale dell'Unione europea

L 135/53


REGOLAMENTO (UE) 2016/794 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

dell'11 maggio 2016

che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 88,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

deliberando secondo la procedura legislativa ordinaria (1),

considerando quanto segue:

(1)

Europol è stato istituito con decisione 2009/371/GAI del Consiglio (2) come entità dell'Unione, finanziata dal bilancio generale dell'Unione, diretta a sostenere e potenziare l'azione delle autorità competenti degli Stati membri e la loro cooperazione reciproca per prevenire e combattere la criminalità organizzata, il terrorismo e altre forme gravi di criminalità che interessano due o più Stati membri. La decisione 2009/371/GAI ha sostituito la convenzione basata sull'articolo K.3 del trattato sull'Unione europea, istitutiva dell'Ufficio europeo di polizia (convenzione Europol) (3).

(2)

L'articolo 88 del trattato sul funzionamento dell'Unione europea (TFUE) prevede che la disciplina applicabile a Europol sia stabilita mediante regolamento da adottarsi secondo la procedura legislativa ordinaria. Dispone altresì che siano fissate le modalità di controllo delle sue attività da parte del Parlamento europeo, controllo cui sono associati i parlamenti nazionali, alle condizioni di cui all'articolo 12, lettera c), del trattato sull'Unione europea (TUE) e all'articolo 9 del protocollo n. 1 sul ruolo dei parlamenti nazionali nell'Unione europea, allegato al TUE e al TFUE («protocollo n. 1»), al fine di rafforzare la legittimità democratica e la responsabilità di Europol di fronte ai cittadini dell'Unione. È pertanto opportuno sostituire la decisione 2009/371/GAI con un regolamento che fissi, tra l'altro, le modalità del controllo parlamentare.

(3)

Il «Programma di Stoccolma — Un'Europa aperta e sicura al servizio e a tutela dei cittadini» (4) ha invitato Europol a evolversi e diventare il punto nodale dello scambio di informazioni tra le autorità di contrasto degli Stati membri, un fornitore di servizi e una piattaforma per i servizi di applicazione della legge. A tal fine, come emerso da una valutazione del funzionamento di Europol, è necessario potenziare ulteriormente l'efficacia di Europol sul piano operativo.

(4)

Le reti criminali e terroristiche su larga scala rappresentano una grave minaccia per la sicurezza interna dell'Unione nonché per la sicurezza e i mezzi di sussistenza dei suoi cittadini. Le valutazioni della minaccia disponibili evidenziano che i gruppi criminali si dedicano sempre più a una pluralità di attività illecite e sempre più spesso a livello transfrontaliero. Le autorità di contrasto nazionali hanno pertanto bisogno di cooperare più strettamente con le loro omologhe degli altri Stati membri. In questo contesto è necessario provvedere affinché Europol possa sostenere meglio gli Stati membri nella prevenzione, analisi e indagine delle attività criminali a livello di Unione. Tale necessità è stata ribadita altresì nella valutazione della decisione 2009/371/GAI.

(5)

Il presente regolamento è volto a modificare e ampliare le disposizioni della decisione 2009/371/GAI e delle decisioni 2009/934/GAI (5), 2009/935/GAI (6), 2009/936/GAI (7) e 2009/968/GAI (8) del Consiglio, che danno attuazione alla decisione 2009/371/GAI. Poiché le modifiche da apportare sono sostanziali per numero e natura, è opportuno che, a fini di chiarezza, tali decisioni siano sostituite integralmente in relazione agli Stati membri vincolati dal presente regolamento. È opportuno che l'agenzia Europol istituita con il presente regolamento sostituisca e assuma le funzioni dell'ufficio Europol istituito con la decisione 2009/371/GAI, che pertanto dovrebbe essere abrogata.

(6)

Poiché la criminalità grave spesso opera attraverso le frontiere interne, è opportuno che Europol sostenga e potenzi le azioni degli Stati membri e la reciproca cooperazione nella prevenzione e nella lotta contro la criminalità grave che interessa due o più Stati membri. Considerato che il terrorismo è una delle minacce più gravi per la sicurezza dell'Unione, Europol dovrebbe aiutare gli Stati membri a far fronte alle sfide comuni poste da questo fenomeno. In quanto agenzia di contrasto dell'Unione, è inoltre opportuno che Europol sostenga e potenzi l'azione e la cooperazione per combattere le forme di criminalità che ledono gli interessi dell'Unione. Tra le forme di criminalità di competenza di Europol, la criminalità organizzata continuerà a rientrare nell'ambito degli obiettivi principali di Europol, dal momento che richiede altresì un approccio comune degli Stati membri per via della sua portata, del suo peso e delle sue conseguenze. È opportuno che Europol fornisca altresì sostegno nella prevenzione e nella lotta contro i reati connessi che sono commessi al fine di procurarsi i mezzi per perpetrare atti per i quali Europol è competente o di agevolare o perpetrare tali atti o di assicurare l'impunità ai loro autori.

(7)

Europol dovrebbe fornire analisi strategiche e valutazioni della minaccia per aiutare il Consiglio e la Commissione a stabilire le priorità strategiche e operative dell'Unione per la lotta alla criminalità e ad assicurare l'attuazione operativa di tali priorità. Su richiesta della Commissione ai sensi dell'articolo 8 del regolamento (UE) n. 1053/2013 del Consiglio (9), Europol dovrebbe altresì effettuare analisi dei rischi, anche riguardanti la criminalità organizzata, nella misura in cui tali fattori possano minare l'applicazione dell'acquis di Schengen da parte degli Stati membri. Inoltre, su richiesta, ove opportuno, del Consiglio o della Commissione, Europol dovrebbe fornire analisi strategiche e valutazioni della minaccia per contribuire alla valutazione degli Stati candidati all'adesione all'Unione.

(8)

Gli attacchi contro sistemi di informazione ai danni di organismi dell'Unione o di due o più Stati membri rappresentano una crescente minaccia nell'Unione, in particolare in considerazione della rapidità e dell'impatto degli stessi nonché della difficoltà ad individuarne la fonte. Nel quadro dell'esame di richieste di Europol di avviare un'indagine su un grave attacco di sospetta origine criminale contro sistemi di informazione perpetrato ai danni di organismi dell'Unione o di due o più Stati membri, gli Stati membri dovrebbero rispondere senza indugio a Europol, tenuto conto del fatto che la rapidità della risposta è un fattore chiave per contrastare efficacemente la criminalità informatica.

(9)

Vista l'importanza della cooperazione tra agenzie, è opportuno che Europol ed Eurojust provvedano a che siano stabilite le necessarie disposizioni per ottimizzare la loro cooperazione operativa, tenendo in debito conto la rispettiva missione e il rispettivo mandato e gli interessi degli Stati membri. In particolare, Europol ed Eurojust dovrebbero tenersi reciprocamente informate sulle attività che comportino il finanziamento di squadre investigative comuni.

(10)

In caso di costituzione di una squadra investigativa comune, il relativo accordo dovrebbe stabilire le condizioni di partecipazione alla stessa da parte di personale Europol. Europol dovrebbe tenere un registro relativo alla sua partecipazione alle squadre investigative comuni intese a combattere le attività criminali rientranti nell'ambito dei suoi obiettivi.

(11)

È opportuno che Europol possa chiedere agli Stati membri di avviare, svolgere o coordinare indagini in casi specifici in cui la cooperazione transfrontaliera apporti un valore aggiunto. Europol dovrebbe informare Eurojust di tali richieste.

(12)

Europol dovrebbe essere un punto nodale dello scambio di informazioni nell'Unione. Le informazioni raccolte, conservate, trattate, analizzate e scambiate da Europol comprendono l'intelligence criminale, che riguarda le informazioni sulle forme di criminalità o sulle attività criminali rientranti nell'ambito degli obiettivi di Europol, ottenute al fine di stabilire se siano stati commessi atti criminali concreti o se ne possano essere commessi in futuro.

(13)

Al fine di garantire l'efficacia di Europol quale punto nodale per lo scambio di informazioni, è opportuno fissare obblighi precisi per gli Stati membri di fornire a Europol i dati necessari per raggiungere i suoi obiettivi. Nell'adempiere a tali obblighi, gli Stati membri dovrebbero prestare particolare attenzione a fornire dati pertinenti alla lotta contro le forme di criminalità considerate priorità strategiche e operative nei pertinenti strumenti politici dell'Unione, in particolare le priorità stabilite dal Consiglio nel quadro del ciclo programmatico dell'UE per contrastare la criminalità organizzata e le forme gravi di criminalità internazionale. Gli Stati membri dovrebbero inoltre adoperarsi per trasmettere a Europol una copia delle informazioni scambiate con gli altri Stati membri a livello bilaterale e multilaterale in merito a forme di criminalità rientranti negli obiettivi di Europol. Nel fornire a Europol le informazioni necessarie, gli Stati membri dovrebbero includere anche informazioni su presunti attacchi informatici ai danni di organismi dell'Unione che si trovano nel loro territorio. Parallelamente, è opportuno che Europol aumenti il sostegno agli Stati membri, in modo da rafforzare la cooperazione reciproca e la condivisione delle informazioni. È opportuno che Europol presenti al Parlamento europeo, al Consiglio, alla Commissione e ai parlamenti nazionali una relazione annuale sulle informazioni fornite dai singoli Stati membri.

(14)

Al fine di garantire un'efficace cooperazione tra Europol e gli Stati membri, è opportuno che sia istituita un'unità nazionale in ogni Stato membro («unità nazionale»). L'unità nazionale dovrebbe costituire l'elemento di collegamento tra le autorità nazionali competenti ed Europol, svolgendo così un ruolo di coordinamento rispetto alla cooperazione degli Stati membri con Europol e aiutando quindi a garantire una risposta uniforme da parte di ciascuno Stato membro alle richieste di Europol. Per garantire uno scambio continuo ed efficace di informazioni tra Europol e le unità nazionali e facilitarne la cooperazione, ogni unità nazionale dovrebbe distaccare presso Europol almeno un ufficiale di collegamento.

(15)

Tenuto conto della struttura decentrata di alcuni Stati membri e della necessità di garantire uno scambio rapido di informazioni, Europol dovrebbe essere autorizzata a cooperare direttamente con le autorità competenti degli Stati membri, alle condizioni definite dagli Stati membri, tenendone informate, su richiesta, le unità nazionali.

(16)

L'istituzione di squadre investigative comuni dovrebbe essere incoraggiata e il personale Europol dovrebbe potervi partecipare. Per assicurare che tale partecipazione sia possibile in ogni Stato membro, il regolamento (Euratom, CECA, CEE) n. 549/69 del Consiglio (10) prevede che il personale Europol che partecipa a squadre investigative comuni non beneficia di immunità.

(17)

È inoltre necessario migliorare la governanza di Europol, cercando di aumentare l'efficienza e snellendo le procedure.

(18)

È opportuno che la Commissione e gli Stati membri siano rappresentati nel consiglio di amministrazione di Europol («consiglio di amministrazione»), in modo da controllarne efficacemente l'operato. I membri titolari e supplenti del consiglio di amministrazione dovrebbero essere nominati tenendo conto delle pertinenti competenze gestionali, amministrative e di bilancio e delle conoscenze in materia di cooperazione nell'attività di contrasto. In assenza del membro titolare, i membri supplenti dovrebbero agire in qualità di membri titolari.

(19)

Tutte le parti rappresentate nel consiglio di amministrazione dovrebbero sforzarsi di limitare l'avvicendamento dei rispettivi rappresentanti nell'ottica di assicurare la continuità dei lavori del consiglio di amministrazione. Tutte le parti dovrebbero adoperarsi per conseguire una rappresentanza equilibrata di uomini e donne nel consiglio di amministrazione.

(20)

Il consiglio di amministrazione dovrebbe poter invitare alle sue riunioni osservatori senza diritto di voto il cui parere può essere rilevante per le discussioni, compreso un rappresentante designato dal gruppo di controllo parlamentare congiunto.

(21)

Al consiglio di amministrazione dovrebbero essere conferiti i poteri necessari, in particolare per formare il bilancio, verificarne l'esecuzione e adottare le opportune regole finanziarie e i documenti di pianificazione, nonché adottare norme per la prevenzione e la gestione dei conflitti di interesse in relazione ai suoi membri, istituire procedure di lavoro trasparenti per l'assunzione delle deliberazioni del direttore esecutivo di Europol e adottare la relazione annuale di attività. È opportuno che il consiglio di amministrazione eserciti le competenze di autorità che ha il potere di nomina nei confronti del personale dell'agenzia, compreso il direttore esecutivo.

(22)

Al fine di garantire un funzionamento quotidiano efficiente di Europol, è opportuno che il direttore esecutivo ne sia il rappresentante legale e l'amministratore, eserciti le sue funzioni in modo indipendente e garantisca che Europol adempia i compiti previsti dal presente regolamento. In particolare, dovrebbero spettare al direttore esecutivo la preparazione dei documenti di bilancio e di pianificazione da presentare per decisione al consiglio di amministrazione e l'attuazione della programmazione pluriennale e dei programmi di lavoro annuali di Europol e di altri documenti di pianificazione.

(23)

Ai fini della prevenzione e della lotta contro le forme di criminalità rientranti nell'ambito dei suoi obiettivi, è necessario che Europol disponga delle informazioni più complete e aggiornate possibili. Europol dovrebbe pertanto poter trattare i dati fornitile da Stati membri, organismi dell'Unione, paesi terzi, organizzazioni internazionali e, a rigorose condizioni stabilite nel presente regolamento, parti private, nonché i dati provenienti da fonti accessibili al pubblico, al fine di comprendere i fenomeni e le tendenze criminali, raccogliere informazioni sulle reti criminali e individuare i collegamenti tra vari reati.

(24)

Per aumentare l'efficacia di Europol nel fornire alle autorità competenti degli Stati membri analisi precise della criminalità, è opportuno che Europol si avvalga delle nuove tecnologie per il trattamento dei dati. È opportuno che Europol sia in grado di individuare rapidamente i collegamenti tra le indagini e i modi operandi comuni dei diversi gruppi criminali, controllare i dati incrociati e ottenere un quadro chiaro delle tendenze, e che nel contempo sia garantito un livello elevato di protezione dei dati personali delle persone. Le banche dati di Europol dovrebbero pertanto essere strutturate in modo tale da consentire a Europol di scegliere la struttura informatica più efficace. È opportuno che Europol possa altresì agire in qualità di fornitore di servizi, in particolare mettendo a disposizione una rete protetta per lo scambio di dati, come l'applicazione di rete per lo scambio sicuro di informazioni (Secure Information Exchange Network Application — SIENA), con l'obiettivo di facilitare lo scambio d'informazioni tra Stati membri, Europol, altri organismi dell'Unione, paesi terzi e organizzazioni internazionali. Al fine di garantire un livello elevato di protezione dei dati, dovrebbero essere definiti lo scopo dei trattamenti, i diritti di accesso e ulteriori garanzie specifiche. In particolare, i dati personali dovrebbero essere trattati nel rispetto dei principi di necessità e di proporzionalità.

(25)

Europol dovrebbe assicurare che a tutti i trattamenti di dati personali a fini di analisi operativa sia assegnata una finalità specifica. Tuttavia, affinché possa svolgere la propria missione, Europol dovrebbe essere autorizzata a trattare tutti i dati personali ricevuti per individuare collegamenti tra svariati settori della criminalità e indagini e non soltanto all'interno di un unico settore della criminalità.

(26)

Per garantire la proprietà dei dati e la protezione dei dati personali, è opportuno che gli Stati membri, gli organismi dell'Unione, i paesi terzi e le organizzazioni internazionali possano determinare la finalità o le finalità per le quali Europol può trattare i dati che essi le forniscono, e limitare i diritti di accesso. La limitazione delle finalità è un principio fondamentale del trattamento di dati personali; in particolare, contribuisce alla trasparenza, alla certezza e alla prevedibilità giuridiche ed è particolarmente importante nel settore della cooperazione nell'attività di contrasto, in cui gli interessati non sanno di norma quando i loro dati personali sono raccolti e trattati e l'uso dei dati personali può avere un impatto molto significativo sulla vita e sulla libertà delle persone.

(27)

Onde assicurare che i dati siano accessibili solo a coloro che ne hanno bisogno per assolvere i loro compiti, è opportuno che il presente regolamento fissi norme precise sui vari gradi di accesso ai dati trattati da Europol. Tali norme dovrebbero fare salve le limitazioni all'accesso imposte dai fornitori di dati, nel rispetto del principio della proprietà dei dati. Al fine di prevenire e combattere più efficacemente le forme di criminalità rientranti nell'ambito degli obiettivi di Europol, Europol dovrebbe comunicare agli Stati membri le informazioni che li riguardano.

(28)

Per potenziare la cooperazione operativa tra le agenzie e, in particolare, individuare i collegamenti tra i dati già in possesso delle diverse agenzie, è opportuno che Europol consenta a Eurojust e all'Ufficio per la lotta antifrode (OLAF) di accedere ai dati a sua disposizione in base a un sistema di riscontro positivo o negativo (hit/no hit). Europol ed Eurojust dovrebbero poter concludere un accordo di lavoro che garantisca, in modo reciproco nell'ambito dei rispettivi mandati, l'accesso a tutte le informazioni che sono state fornite per i controlli incrociati e la possibilità di effettuare interrogazioni sui dati in conformità delle salvaguardie specifiche e delle garanzie di protezione dei dati previste dal presente regolamento. L'accesso ai dati disponibili presso Europol dovrebbe essere limitato, mediante dispositivi tecnici, alle informazioni rientranti nei rispettivi mandati di detti organismi dell'Unione.

(29)

Nella misura necessaria allo svolgimento dei suoi compiti, Europol dovrebbe mantenere relazioni di cooperazione con gli altri organismi dell'Unione, le autorità di paesi terzi, le organizzazioni internazionali e le parti private.

(30)

Per quanto necessario allo svolgimento dei suoi compiti e per garantire l'efficacia sul piano operativo, Europol dovrebbe poter scambiare tutte le informazioni pertinenti, esclusi i dati personali, con gli altri organismi dell'Unione, le autorità di paesi terzi e le organizzazioni internazionali. Poiché le società, imprese, associazioni di imprese, organizzazioni non governative e altre parti private hanno competenze e informazioni direttamente rilevanti per la prevenzione e la lotta contro le forme gravi di criminalità e il terrorismo, è opportuno che Europol possa scambiare tali informazioni anche con parti private. Per prevenire e combattere la criminalità informatica, in quanto connessa agli incidenti di sicurezza delle reti e dell'informazione, Europol dovrebbe cooperare e scambiare informazioni, esclusi i dati personali, con le autorità nazionali competenti per la sicurezza delle reti e dell'informazione, ai sensi del pertinente atto legislativo dell'Unione che stabilisce misure volte a garantire un livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione.

(31)

Europol dovrebbe poter scambiare dati personali pertinenti con gli altri organismi dell'Unione nella misura necessaria per lo svolgimento dei suoi o dei loro compiti.

(32)

Le forme gravi di criminalità e il terrorismo spesso presentano legami esterni al territorio dell'Unione. È pertanto opportuno che, nella misura necessaria per lo svolgimento dei suoi compiti, Europol possa scambiare dati personali con le autorità di paesi terzi e con organizzazioni internazionali quali l'Organizzazione internazionale della polizia criminale — Interpol.

(33)

Tutti gli Stati membri sono affiliati all'Interpol. Per svolgere la propria missione, l'Interpol riceve, archivia e diffonde dati nell'intento di aiutare le competenti autorità di contrasto a prevenire e combattere la criminalità internazionale. È pertanto opportuno rafforzare la cooperazione tra Europol e Interpol promuovendo un efficace scambio di dati personali, assicurando nel contempo il rispetto dei diritti e delle libertà fondamentali attinenti al trattamento automatizzato dei dati personali. In caso di trasferimento di dati personali da Europol a Interpol, si dovrebbe applicare il presente regolamento, in particolare le disposizioni sui trasferimenti internazionali.

(34)

Per garantire la limitazione delle finalità, è importante assicurare che i dati personali possano essere trasferiti da Europol a organismi dell'Unione, paesi terzi e organizzazioni internazionali soltanto se necessario ai fini della prevenzione e della lotta contro le forme di criminalità rientranti negli obiettivi di Europol. A tal fine occorre assicurare, in caso di trasferimento di dati personali, che il destinatario garantisca che userà i dati o procederà al loro trasferimento successivo ad un'autorità competente di un paese terzo unicamente per la finalità per la quale sono stati inizialmente trasferiti. Il trasferimento successivo dei dati dovrebbe aver luogo in conformità del presente regolamento.

(35)

Europol dovrebbe poter trasferire dati personali ad autorità di paesi terzi o a organizzazioni internazionali sulla base di una decisione della Commissione che sancisca l'adeguatezza del livello di protezione dei dati nel paese terzo o nell'organizzazione internazionale in questione («decisione di adeguatezza») oppure, in mancanza di una decisione di adeguatezza, sulla base di un accordo internazionale concluso dall'Unione ai sensi dell'articolo 218 TFUE o di un accordo di cooperazione che consenta lo scambio di dati personali concluso tra Europol e il paese terzo prima dell'entrata in vigore del presente regolamento. Alla luce dell'articolo 9 del protocollo n. 36 sulle disposizioni transitorie, allegato al TUE e al TFUE, gli effetti giuridici di tali accordi sono mantenuti finché questi non siano stati abrogati, annullati o modificati in applicazione del TFUE. Se del caso e conformemente al regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (11), la Commissione dovrebbe poter consultare il garante europeo della protezione dei dati (GEPD) prima e durante la negoziazione di un accordo internazionale. Laddove ravvisi l'esigenza operativa di cooperare con un paese terzo o un'organizzazione internazionale, il consiglio di amministrazione dovrebbe poter proporre al Consiglio che quest'ultimo attiri l'attenzione della Commissione sulla necessità di una decisione di adeguatezza o di una raccomandazione per l'avvio di negoziati per un tale accordo internazionale.

(36)

Qualora il trasferimento di dati personali non possa basarsi su una decisione di adeguatezza, un accordo internazionale concluso dall'Unione o un accordo di cooperazione in vigore, il consiglio di amministrazione, d'intesa con il GEPD, dovrebbe poter autorizzare un complesso di trasferimenti, se richiesto da particolari condizioni e purché siano assicurate garanzie adeguate. Il direttore esecutivo dovrebbe poter autorizzare il trasferimento dei dati in via eccezionale, caso per caso, ove tale trasferimento sia richiesto, nel rispetto di particolari condizioni rigorose.

(37)

È opportuno che Europol possa trattare i dati personali provenienti da parti private e persone private solo se le sono stati trasferiti da uno dei soggetti seguenti: un'unità nazionale conformemente al diritto nazionale, un punto di contatto di un paese terzo o un'organizzazione internazionale con i quali esiste una cooperazione istituita sulla base di un accordo di cooperazione che consente lo scambio di dati personali concluso ai sensi dell'articolo 23 della decisione 2009/371/GAI prima dell'entrata in vigore del presente regolamento, un'autorità di un paese terzo o un'organizzazione internazionale che forma oggetto di una decisione di adeguatezza o con cui l'Unione ha concluso un accordo internazionale ai sensi dell'articolo 218 TFUE. Tuttavia, nei casi in cui riceva dati personali direttamente da parti private e non sia possibile identificare l'unità nazionale, il punto di contatto o l'autorità interessati, Europol dovrebbe poter trattare tali dati personali al solo scopo di identificare dette entità e i dati in questione dovrebbero essere cancellati, a meno che le precitate entità non li trasmettano nuovamente entro quattro mesi dall'avvenuto trasferimento. Europol dovrebbe assicurare mediante dispositivi tecnici che in tale periodo i dati in questione non siano accessibili per essere trattati per altri fini.

(38)

Tenuto conto dell'eccezionale e specifica minaccia per la sicurezza interna dell'Unione rappresentata dal terrorismo e da altre forme gravi di criminalità, specie se agevolate, promosse o commesse tramite Internet, è opportuno che entro il 1o maggio 2019 la Commissione valuti le attività che Europol dovrebbe svolgere sulla base del presente regolamento e derivanti dall'attuazione delle conclusioni del Consiglio del 12 marzo 2015 nonché dalla richiesta formulata dal Consiglio europeo del 23 aprile 2015 con particolare riferimento a detti settori prioritari, segnatamente la corrispondente prassi di scambio diretto di dati personali con parti private.

(39)

Le informazioni che sono state manifestamente ottenute in palese violazione dei diritti umani non dovrebbero formare oggetto di trattamento.

(40)

Onde garantire un livello elevato di tutela delle persone fisiche in relazione al trattamento dei dati personali, è opportuno che le norme di protezione dei dati applicabili presso Europol siano rafforzate e informate ai principi su cui si basa il regolamento (CE) n. 45/2001. Poiché la dichiarazione n. 21 relativa alla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata al TUE e al TFUE, riconosce la specificità del trattamento dei dati personali nel contesto dell'attività di contrasto, le norme di protezione dei dati applicabili presso Europol dovrebbero essere autonome e nel contempo coerenti con quelle di altri strumenti pertinenti di protezione dei dati applicabili nel settore della cooperazione di polizia nell'Unione. Tali strumenti comprendono, in particolare, la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (12), nonché la Convenzione del Consiglio d'Europa per la protezione delle persone riguardo al trattamento automatizzato di dati a carattere personale e la sua raccomandazione n. R(87)15 (13).

(41)

Qualsiasi trattamento di dati personali da parte di Europol dovrebbe essere lecito e corretto nei confronti degli interessati. Il principio di trattamento corretto richiede una trasparenza del trattamento che consenta agli interessati di esercitare i loro diritti ai sensi del presente regolamento. Dovrebbe essere possibile, tuttavia, negare o limitare l'accesso ai loro dati personali se, tenuto debito conto degli interessi degli interessati, tale diniego o limitazione costituisce una misura necessaria per consentire il corretto svolgimento dei compiti di Europol, tutelare la sicurezza e l'ordine pubblico o prevenire la criminalità, garantire che nessuna indagine nazionale sia compromessa o proteggere i diritti e le libertà di terzi. Al fine di accrescere la trasparenza, è opportuno che Europol renda accessibile al pubblico un documento che delinei in modo comprensibile le disposizioni applicabili in relazione al trattamento dei dati personali e ai mezzi a disposizione degli interessati per l'esercizio dei loro diritti. Europol dovrebbe inoltre pubblicare sul suo sito web un elenco delle decisioni di adeguatezza, degli accordi e delle intese amministrative riguardanti il trasferimento di dati personali a paesi terzi e organizzazioni internazionali. Inoltre, al fine di aumentare la trasparenza e la responsabilità di Europol di fronte ai cittadini dell'Unione, è opportuno che essa pubblichi sul suo sito web l'elenco dei membri del consiglio di amministrazione e, se del caso, le sintesi dei risultati delle riunioni di quest'ultimo, nel rispetto degli obblighi in materia di protezione dei dati.

(42)

Per quanto possibile, i dati personali dovrebbero essere distinti in base al grado di affidabilità ed esattezza. È opportuno che i fatti rimangano scissi dalle valutazioni personali, al fine di garantire la protezione delle persone così come la qualità e l'affidabilità delle informazioni trattate da Europol. Nel caso di informazioni ottenute da fonti accessibili al pubblico, in particolare da fonti Internet, Europol dovrebbe, per quanto possibile, valutare l'esattezza di tali informazioni e l'affidabilità della relativa fonte con particolare diligenza al fine di far fronte ai rischi associati ad Internet per quanto riguarda la protezione dei dati personali e della vita privata.

(43)

I dati personali relativi a diverse categorie di interessati sono trattati nel settore della cooperazione nell'attività di contrasto. È opportuno che Europol effettui una distinzione quanto più chiara possibile tra i dati personali relativi a diverse categorie di interessati. È opportuno, in particolare, proteggere i dati personali relativi a persone come le vittime, i testimoni e le persone informate e dati personali relativi ai minori. Europol dovrebbe trattare dati sensibili solo se tali dati integrano altri dati personali già trattati da Europol.

(44)

In considerazione del diritto fondamentale alla protezione dei dati di carattere personale, è opportuno che Europol possa conservare i dati personali solo per il tempo necessario allo svolgimento dei suoi compiti. La necessità di un'ulteriore conservazione di tali dati dovrebbe essere esaminata entro tre anni dall'avvio del trattamento iniziale degli stessi.

(45)

Per garantire la sicurezza dei dati personali, Europol e gli Stati membri dovrebbero mettere in atto le necessarie misure tecniche e organizzative.

(46)

È opportuno che ogni interessato abbia il diritto di accedere ai dati personali che lo riguardano, il diritto alla rettifica qualora tali dati siano inesatti e il diritto alla cancellazione o alla limitazione dell'accesso qualora tali dati non siano più necessari. I costi legati all'esercizio del diritto di accesso ai dati personali non dovrebbero costituire un ostacolo all'effettivo esercizio di tale diritto. I diritti dell'interessato e il relativo esercizio dovrebbero far salvi gli obblighi incombenti a Europol ed essere soggetti alle limitazioni stabilite dal presente regolamento.

(47)

La protezione dei diritti e delle libertà degli interessati esige una chiara attribuzione delle responsabilità ai sensi del presente regolamento. In particolare, è opportuno che spetti agli Stati membri garantire l'esattezza e l'aggiornamento dei dati trasferiti a Europol e la liceità di tali trasferimenti di dati e a Europol garantire l'esattezza e l'aggiornamento dei dati ricevuti da altri fornitori o risultanti da analisi di Europol stessa. Europol dovrebbe assicurare che i dati siano trattati in modo lecito e corretto e siano raccolti e trattati per finalità determinate. Europol dovrebbe altresì assicurare che i dati siano adeguati, pertinenti e non eccessivi rispetto alla finalità per le quali sono trattati, siano conservati per un arco di tempo non superiore a quello necessario al conseguimento di tale finalità e siano trattati in modo da garantire un'adeguata sicurezza dei dati personali e la riservatezza del trattamento di dati.

(48)

Ai fini della verifica della liceità del trattamento dei dati e del controllo interno e per garantire adeguatamente l'integrità e la sicurezza dei dati, Europol dovrebbe assicurare che siano registrati la raccolta, la modifica, l'accesso, la comunicazione, la combinazione o la cancellazione di dati personali. È opportuno che Europol sia tenuta a cooperare con il GEPD e, su richiesta, a mettere i registri e la documentazione a sua disposizione affinché possano servire per controllare i trattamenti.

(49)

Europol dovrebbe designare un responsabile della protezione dei dati che la aiuti a controllare il rispetto del presente regolamento. Il responsabile della protezione dei dati dovrebbe poter adempiere le funzioni e i compiti che gli spettano in modo indipendente ed efficace e dovrebbe essere dotato delle necessarie risorse a tal fine.

(50)

Strutture di controllo indipendenti, trasparenti, responsabili ed efficaci sono essenziali per la tutela delle persone relativamente al trattamento dei dati personali, come disposto dall'articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell'Unione europea. Le autorità nazionali competenti per il controllo del trattamento dei dati personali dovrebbero vigilare sulla liceità dei dati personali forniti dagli Stati membri a Europol. Il GEPD dovrebbe vigilare sulla liceità del trattamento dei dati effettuato da Europol, nell'esercizio delle sue funzioni in piena indipendenza. In tale contesto, il meccanismo di consultazione preventiva è un'importante salvaguardia per nuovi tipi di trattamento. Ciò non dovrebbe valere per singole e specifiche attività operative, come i progetti di analisi operativa, ma per l'uso di nuovi sistemi informatici ai fini del trattamento di dati personali ed eventuali modifiche sostanziali degli stessi.

(51)

È importante garantire un controllo rafforzato ed efficace di Europol e assicurare che il GEPD possa ricorrere ad idonee competenze nel settore della protezione dei dati in materia di contrasto allorché assume la responsabilità del controllo della protezione dei dati di Europol. Il GEPD e le autorità di controllo nazionali dovrebbero cooperare strettamente tra loro su temi specifici che richiedono un contributo nazionale e dovrebbero garantire l'applicazione coerente del presente regolamento in tutta l'Unione.

(52)

Per agevolare la cooperazione tra il GEPD e le autorità di controllo nazionali, facendo però salve l'indipendenza del GEPD e la sua responsabilità per il controllo della protezione dei dati nel quadro di Europol, essi dovrebbero riunirsi periodicamente in sede di consiglio di cooperazione, il quale, in qualità di organo consultivo, dovrebbe emettere pareri, orientamenti, raccomandazioni e individuare migliori prassi su questioni varie che richiedono la partecipazione nazionale.

(53)

Poiché Europol tratta anche dati personali «non operativi» che non sono collegati ad indagini penali, come i dati personali relativi ai membri del personale Europol, fornitori di servizi o visitatori, il trattamento di tali dati dovrebbe essere disciplinato dal regolamento (CE) n. 45/2001.

(54)

È opportuno che il GEPD tratti i reclami proposti da qualsiasi interessato e compia i relativi accertamenti. L'indagine successiva al reclamo dovrebbe essere svolta, fatto salvo il controllo giurisdizionale, nella misura appropriata al caso di specie. L'autorità nazionale di controllo dovrebbe informare gli interessati dei progressi e dei risultati del reclamo entro un termine ragionevole.

(55)

Ciascuna persona fisica dovrebbe avere diritto a un mezzo di ricorso giurisdizionale contro le decisioni del GEPD che la riguardano.

(56)

È opportuno che Europol sia soggetta alle norme generali sulla responsabilità contrattuale ed extracontrattuale applicabili alle istituzioni, alle agenzie e agli organismi dell'Unione, ad eccezione delle norme sulla responsabilità per trattamento illecito dei dati.

(57)

Poiché per la persona interessata può non essere chiaro se il danno subito a seguito di un trattamento illecito dipenda dall'azione di Europol o di uno Stato membro, è opportuno che Europol e lo Stato membro in cui si è verificato il fatto generatore del danno rispondano in solido.

(58)

Nel rispetto del ruolo svolto dal Parlamento europeo, in associazione con i parlamenti nazionali, nel controllo delle attività di Europol, è necessario che Europol sia un'organizzazione interna trasparente che rende pienamente conto del suo operato. A tal fine, alla luce dell'articolo 88 TFUE, è opportuno fissare le modalità di controllo delle attività di Europol da parte del Parlamento europeo, controllo cui sono associati i parlamenti nazionali. Tali modalità dovrebbero essere soggette all'articolo 12, lettera c), TUE e all'articolo 9 del protocollo n. 1, ai cui sensi il Parlamento europeo e i parlamenti nazionali devono definire insieme l'organizzazione e la promozione di una cooperazione interparlamentare efficace e regolare in seno all'Unione. Le modalità fissate per il controllo delle attività di Europol dovrebbero tenere in debita considerazione l'esigenza di assicurare che il Parlamento europeo e i parlamenti nazionali siano posti su un piano di parità nonché la necessità di tutelare la riservatezza delle informazioni operative. Tuttavia, il modo in cui i parlamenti nazionali effettuano il controllo sui rispettivi governi relativamente alle attività dell'Unione è una questione disciplinata dall'ordinamento e dalla prassi costituzionali propri di ciascuno Stato membro.

(59)

È opportuno che al personale Europol si applichino lo statuto dei funzionari dell'Unione europea («statuto dei funzionari») e il regime applicabile agli altri agenti dell'Unione europea («regime applicabile agli altri agenti») definiti dal regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio (14). Europol dovrebbe poter coprire posti di agente temporaneo con personale delle autorità nazionali competenti, limitando la durata del servizio al fine di mantenere il principio di rotazione, considerato che la successiva reintegrazione in servizio dei membri del personale presso la rispettiva autorità competente facilita la stretta cooperazione tra Europol e le autorità nazionali competenti degli Stati membri. Gli Stati membri dovrebbero adottare le misure necessarie affinché gli agenti temporanei assunti da Europol possano, alla fine del mandato presso Europol, ritornare presso le amministrazioni nazionali di appartenenza.

(60)

Tenuto conto della natura delle funzioni di Europol e del ruolo del direttore esecutivo, la commissione competente del Parlamento europeo dovrebbe poter invitare a comparire dinanzi a sé il direttore esecutivo prima della sua nomina o di un'eventuale proroga del suo mandato. Il direttore esecutivo dovrebbe altresì presentare la relazione annuale al Parlamento europeo e al Consiglio. Inoltre, il Parlamento europeo e il Consiglio dovrebbero avere la possibilità di invitare il direttore esecutivo a riferire in merito allo svolgimento delle sue funzioni.

(61)

Per garantirne la piena autonomia e indipendenza, è opportuno che Europol disponga di un bilancio autonomo alimentato essenzialmente da un contributo del bilancio dell'Unione. È opportuno che la procedura di bilancio dell'Unione si applichi ai contributi e alle altre eventuali sovvenzioni a carico del bilancio generale dell'Unione. La revisione contabile dovrebbe essere effettuata dalla Corte dei conti.

(62)

A Europol dovrebbe applicarsi il regolamento delegato (UE) n. 1271/2013 della Commissione (15).

(63)

Tenuto conto dei loro specifici poteri giuridici e amministrativi e delle loro competenze tecniche nello svolgimento di attività di scambio di informazioni, operazioni e indagini transfrontaliere, anche nell'ambito di squadre investigative comuni, nonché nel fornire strutture di formazione, le autorità competenti degli Stati membri dovrebbero poter beneficiare di sovvenzioni da parte di Europol senza invito a presentare proposte a norma dell'articolo 190, paragrafo 1, lettera d), del regolamento delegato (UE) n. 1268/2012 della Commissione (16).

(64)

A Europol dovrebbe applicarsi il regolamento (UE, Euratom) n. 883/2013 del Parlamento europeo e del Consiglio (17).

(65)

Poiché tratta dati che, includendo informazioni sensibili non classificate e informazioni classificate UE, richiedono una protezione particolare, Europol dovrebbe stabilire norme per la riservatezza e il trattamento di tali informazioni. Le disposizioni sulla protezione delle informazioni classificate UE dovrebbero essere coerenti con la decisione 2013/488/UE del Consiglio (18).

(66)

È opportuno valutare periodicamente l'applicazione del presente regolamento.

(67)

È opportuno che le necessarie disposizioni riguardanti l'insediamento di Europol all'Aia, dove si trova la sua sede, e le specifiche norme applicabili all'insieme del personale Europol e ai loro familiari siano stabilite in un accordo di sede. È inoltre opportuno che lo Stato membro ospitante garantisca le condizioni necessarie per il regolare funzionamento di Europol, anche in termini di scolarizzazione multilingue a orientamento europeo e di adeguati collegamenti di trasporto, in modo da attirare risorse umane di elevata qualità su una base geografica più ampia possibile.

(68)

L'agenzia Europol istituita con il presente regolamento sostituisce e succede all'ufficio Europol istituito con decisione 2009/371/GAI. È pertanto opportuno che essa subentri in tutti i suoi contratti, compresi i contratti di lavoro, le passività a carico e le proprietà acquisite. Gli accordi internazionali conclusi da Europol istituito con decisione 2009/371/GAI e gli accordi conclusi da Europol istituito con la convenzione Europol anteriormente al 1o gennaio 2010 dovrebbero rimanere in vigore.

(69)

Affinché Europol possa continuare a svolgere al meglio i compiti dell'ufficio Europol istituito con decisione 2009/371/GAI, è opportuno prevedere misure transitorie, in particolare per quanto riguarda il consiglio di amministrazione, il direttore esecutivo e il personale impiegato in qualità di agente locale con contratto a tempo indeterminato concluso da Europol istituito dalla convenzione Europol, al quale dovrebbe essere offerta una possibilità di impiego in qualità di agente temporaneo o contrattuale a norma del regime applicabile agli altri agenti.

(70)

L'atto del Consiglio del 3 dicembre 1998 (19) sullo statuto del personale dell'Europol è stato abrogato dall'articolo 63 della decisione 2009/371/GAI. Esso dovrebbe tuttavia continuare ad applicarsi al personale assunto da Europol prima dell'entrata in vigore della decisione 2009/371/GAI. Pertanto, le disposizioni transitorie dovrebbero prevedere che i contratti conclusi secondo detto statuto rimangano disciplinati da tale statuto.

(71)

Poiché l'obiettivo del presente regolamento, vale a dire l'istituzione di un'entità responsabile della cooperazione nell'attività di contrasto a livello di Unione, non può essere conseguito in misura sufficiente dagli Stati membri ma, a motivo della portata e degli effetti dell'azione, può essere conseguito meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 TUE. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(72)

A norma dell'articolo 3 e dell'articolo 4 bis, paragrafo 1, del protocollo n. 21 sulla posizione del Regno Unito e dell'Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al TUE e al TFUE, l'Irlanda ha notificato che desidera partecipare all'adozione e all'applicazione del presente regolamento.

(73)

A norma degli articoli 1 e 2, nonché dell'articolo 4 bis, paragrafo 1, del protocollo n. 21 sulla posizione del Regno Unito e dell'Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al TUE e al TFUE, e fatto salvo l'articolo 4 di tale protocollo, il Regno Unito non partecipa all'adozione del presente regolamento, non è da esso vincolato, né è soggetto alla sua applicazione.

(74)

A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca, allegato al TUE e al TFUE, la Danimarca non partecipa all'adozione del presente regolamento, non è da esso vincolata, né è soggetta alla sua applicazione.

(75)

Il GEPD è stato consultato e ha espresso un parere in data 31 maggio 2013.

(76)

Il presente regolamento rispetta i diritti fondamentali e osserva i principi sanciti in particolare dalla Carta dei diritti fondamentali dell'Unione europea, segnatamente il diritto alla protezione dei dati di carattere personale e il diritto al rispetto della vita privata, tutelati dagli articoli 8 e 7 della Carta e dall'articolo 16 TFUE,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO I

DISPOSIZIONI GENERALI, OBIETTIVI E COMPITI DI EUROPOL

Articolo 1

Istituzione dell'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto

1.   È istituita l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) al fine di sostenere la cooperazione tra autorità di contrasto nell'Unione.

2.   L'agenzia Europol istituita con il presente regolamento sostituisce e succede all'ufficio Europol istituito con decisione 2009/371/GAI.

Articolo 2

Definizioni

Ai fini del presente regolamento si intende per:

a)   «autorità competenti degli Stati membri»: tutte le autorità di polizia e gli altri servizi degli Stati membri incaricati dell'applicazione della legge e preposti alla prevenzione e alla lotta contro la criminalità in forza del diritto nazionale. Si annoverano tra le autorità competenti anche le altre autorità pubbliche degli Stati membri che, in forza del diritto nazionale, sono preposte alla prevenzione e alla lotta contro le forme di criminalità di competenza di Europol;

b)   «analisi strategica»: tutti i metodi e le tecniche con cui sono raccolte, conservate, trattate e valutate informazioni allo scopo di sostenere e sviluppare una politica in materia penale che contribuisca alla prevenzione della criminalità e al contrasto effettivo ed efficace contro la stessa;

c)   «analisi operativa»: tutti i metodi e le tecniche con cui sono raccolte, conservate, trattate e valutate informazioni allo scopo di sostenere le indagini penali;

d)   «organismi dell'Unione»: le istituzioni, gli organismi, le missioni, gli uffici e le agenzie istituiti dal TEU e dal TFUE o sulla base dei medesimi;

e)   «organizzazione internazionale»: un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più paesi;

f)   «parti private»: entità e organismi costituiti secondo il diritto di uno Stato membro o di un paese terzo, in particolare società e imprese, associazioni di imprese, organizzazioni senza scopo di lucro e altre persone giuridiche non rientranti nella lettera e);

g)   «persone private»: tutte le persone fisiche;

h)   «dati personali»: qualsiasi informazione riguardante un interessato;

i)   «interessato»: una persona fisica identificata o identificabile, laddove per persona identificabile si intende una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo on-line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

j)   «dati genetici»: tutti i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di un individuo che forniscono informazioni univoche sulla sua fisiologia o salute, ottenuti in particolare dall'analisi di un suo campione biologico;

k)   «trattamento»: qualsiasi operazione o insieme di operazioni compiute su dati personali o serie di dati personali, con o senza l'ausilio di processi automatizzati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o la combinazione, la limitazione dell'accesso, la cancellazione o la distruzione;

l)   «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si tratti o meno di terzi;

m)   «trasferimento di dati personali»: la comunicazione di dati personali, messi attivamente a disposizione di un numero limitato di parti identificate, con la consapevolezza o l'intenzione del mittente di consentire al destinatario di accedere ai dati personali;

n)   «violazione dei dati personali»: violazione di sicurezza che comporta in modo accidentale o illecito la distruzione, la perdita, la modifica, la comunicazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque trattati;

o)   «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale l'interessato accetta, mediante dichiarazione o chiara azione positiva, che i dati personali che lo riguardano siano oggetto di trattamento;

p)   «dati personali amministrativi»: tutti i dati personali trattati da Europol diversi da quelli trattati per conseguire gli obiettivi di cui all'articolo 3.

Articolo 3

Obiettivi

1.   Europol sostiene e potenzia l'azione delle autorità competenti degli Stati membri e la loro reciproca cooperazione nella prevenzione e nella lotta contro la criminalità grave che interessa due o più Stati membri, il terrorismo e le forme di criminalità che ledono un interesse comune oggetto di una politica dell'Unione indicate nell'allegato I.

2.   In aggiunta al paragrafo 1, gli obiettivi di Europol coprono anche i reati connessi. Sono considerati reati connessi:

a)

i reati commessi per procurarsi i mezzi per perpetrare gli atti per i quali è competente Europol;

b)

i reati commessi per agevolare o perpetrare gli atti per i quali è competente Europol;

c)

i reati commessi per assicurare l'impunità di coloro che perpetrano atti per i quali è competente Europol.

Articolo 4

Compiti

1.   Europol svolge i seguenti compiti al fine di conseguire gli obiettivi di cui all'articolo 3:

a)

raccogliere, conservare, trattare, analizzare e scambiare informazioni, intelligence criminale compresa;

b)

comunicare senza indugio agli Stati membri, attraverso le unità nazionali istituite o designate ai sensi dell'articolo 7, paragrafo 2, qualsiasi informazione e i collegamenti tra reati che li riguardano;

c)

al fine di sostenere e rafforzare le azioni delle autorità competenti degli Stati membri, coordinare, organizzare e svolgere indagini e azioni operative che sono condotte:

i)

congiuntamente con le autorità competenti degli Stati membri; o

ii)

nel quadro di squadre investigative comuni, conformemente all'articolo 5 e, ove opportuno, in collegamento con Eurojust;

d)

partecipare a squadre investigative comuni e proporne la costituzione conformemente all'articolo 5;

e)

fornire informazioni e supporto analitico agli Stati membri in relazione a grandi eventi internazionali;

f)

preparare valutazioni della minaccia, analisi strategiche e operative e rapporti generali sulla situazione;

g)

approfondire, condividere e promuovere le conoscenze specialistiche sui metodi di prevenzione della criminalità, sulle procedure investigative e sui metodi di polizia tecnica e scientifica, e offrire consulenza agli Stati membri;

h)

fornire sostegno alle attività di scambio di informazioni, operazioni e indagini transfrontaliere degli Stati membri, nonché alle squadre investigative comuni, anche mediante supporto operativo, tecnico e finanziario;

i)

fornire formazione specializzata e assistenza agli Stati membri nell'organizzazione di formazioni, anche garantendo un sostegno finanziario, nell'ambito dei suoi obiettivi e in funzione del personale e delle risorse di bilancio di cui dispone, in coordinamento con l'Agenzia dell'Unione europea per la formazione delle autorità di contrasto (CEPOL);

j)

cooperare con gli organismi dell'Unione istituiti in base al titolo V del TFUE e con l'OLAF, in particolare attraverso scambi di informazioni e fornendo loro supporto analitico nei settori di loro competenza;

k)

fornire informazioni e sostegno alle strutture e alle missioni dell'UE di gestione delle crisi istituite in base al TUE, nell'ambito degli obiettivi di Europol di cui all'articolo 3;

l)

sviluppare i centri specializzati dell'Unione per la lotta a forme specifiche di criminalità rientranti nell'ambito degli obiettivi di Europol, in particolare il Centro europeo per la lotta alla criminalità informatica;

m)

sostenere le azioni degli Stati membri volte a prevenire e combattere le forme di criminalità di cui all'allegato I che sono agevolate, promosse o commesse tramite Internet, compresa, in cooperazione con gli Stati membri, la segnalazione ai fornitori di servizi on-line interessati dei contenuti Internet con cui tali forme di criminalità sono agevolate, promosse o commesse, ai fini dell'esame volontario della compatibilità di tali contenuti Internet con i loro termini e condizioni.

2.   Europol fornisce analisi strategiche e valutazioni della minaccia per aiutare il Consiglio e la Commissione a stabilire le priorità strategiche e operative dell'Unione per la lotta alla criminalità. Europol fornisce inoltre assistenza nell'attuazione operativa di tali priorità.

3.   Europol fornisce analisi strategiche e valutazioni della minaccia per facilitare e promuovere un impiego efficace e razionale delle risorse disponibili, a livello nazionale e dell'Unione, per le attività operative, e prestare sostegno a tali attività.

4.   Europol agisce quale ufficio centrale per la lotta contro la falsificazione dell'euro conformemente alla decisione 2005/511/GAI del Consiglio (20). Europol promuove inoltre il coordinamento di misure applicate dalle autorità competenti degli Stati membri per lottare contro la falsificazione dell'euro o nel quadro di squadre investigative comuni, se del caso in collegamento con gli organismi dell'Unione e le autorità di paesi terzi.

5.   Europol non applica misure coercitive nello svolgimento dei suoi compiti.

CAPO II

COOPERAZIONE TRA GLI STATI MEMBRI ED EUROPOL

Articolo 5

Partecipazione alle squadre investigative comuni

1.   Il personale Europol può partecipare alle attività delle squadre investigative comuni che si occupano di forme di criminalità rientranti negli obiettivi di Europol. L'accordo relativo alla costituzione di una squadra investigativa comune stabilisce le condizioni di partecipazione alla stessa da parte di personale Europol e comprende le informazioni sulle norme in materia di responsabilità.

2.   Entro i limiti del diritto degli Stati membri in cui opera una squadra investigativa comune, il personale Europol può prestare assistenza in tutte le attività e tutti gli scambi d'informazioni con tutti i membri della squadra investigativa comune.

3.   Il personale Europol che partecipa a una squadra investigativa comune può fornire a tutti i membri della squadra, in conformità del presente regolamento, le necessarie informazioni trattate da Europol per le finalità di cui all'articolo 18, paragrafo 2. Europol ne informa contemporaneamente le unità nazionali degli Stati membri rappresentati nella squadra e quelle degli Stati membri che hanno fornito le informazioni.

4.   Le informazioni ottenute dal personale Europol mentre partecipa alla squadra investigativa comune possono essere trattate da Europol, con il consenso e sotto la responsabilità dello Stato membro che le ha fornite, per le finalità di cui all'articolo 18, paragrafo 2, alle condizioni previste dal presente regolamento.

5.   Qualora Europol abbia motivo di ritenere che la costituzione di una squadra investigativa comune apporti valore aggiunto a un'indagine, può proporla agli Stati membri interessati e adottare le misure per aiutarli a costituirla.

Articolo 6

Richiesta di Europol di avviare un'indagine penale

1.   Nei casi specifici in cui ritiene che debba essere avviata un'indagine penale su un reato rientrante nell'ambito dei suoi obiettivi, Europol chiede alle autorità competenti degli Stati membri interessati, tramite le unità nazionali, di avviare, svolgere o coordinare tale indagine penale.

2.   Le unità nazionali informano senza indugio Europol in merito alla decisione delle autorità competenti degli Stati membri riguardante la richiesta formulata ai sensi del paragrafo 1.

3.   Qualora le autorità competenti di uno Stato membro decidano di non dar seguito a una richiesta di Europol ai sensi del paragrafo 1, ne comunicano i motivi a Europol, senza ingiustificato ritardo e preferibilmente entro un mese dal ricevimento della richiesta. Tuttavia, i motivi possono non essere rivelati qualora la loro divulgazione:

a)

sarebbe contraria agli interessi essenziali della sicurezza dello Stato membro interessato; oppure

b)

comprometterebbe il successo di indagini in corso o la sicurezza di una persona.

4.   Europol informa immediatamente Eurojust delle richieste formulate ai sensi del paragrafo 1 e delle decisioni prese da un'autorità competente di uno Stato membro ai sensi del paragrafo 2.

Articolo 7

Unità nazionali Europol

1.   Gli Stati membri ed Europol cooperano tra loro nello svolgimento dei loro rispettivi compiti previsti dal presente regolamento.

2.   Ciascuno Stato membro istituisce o designa un'unità nazionale che funge da organo di collegamento tra Europol e le autorità competenti di tale Stato membro. Ogni Stato membro nomina un funzionario a capo della propria unità nazionale.

3.   Ciascuno Stato membro assicura che la propria unità nazionale sia competente ai sensi del diritto nazionale a svolgere i compiti assegnati alle unità nazionali dal presente regolamento e, in particolare, che abbia accesso ai dati nazionali sull'attività di contrasto e ad altri dati pertinenti necessari per la cooperazione con Europol.

4.   Ciascuno Stato membro determina l'organizzazione e il personale della propria unità nazionale conformemente al proprio diritto nazionale.

5.   In conformità del paragrafo 2, l'unità nazionale funge da organo di collegamento tra Europol e le autorità competenti dello Stato membro. Tuttavia, fatte salve le condizioni stabilite dagli Stati membri, compreso il coinvolgimento preliminare dell'unità nazionale, gli Stati membri possono autorizzare contatti diretti tra le loro autorità competenti ed Europol. L'unità nazionale riceve nel contempo da Europol qualsiasi informazione scambiata nei contatti diretti tra Europol e le autorità competenti, a meno che non indichi di non averne necessità.

6.   Ogni Stato membro, tramite la propria unità nazionale o, fatto salvo il paragrafo 5, un'autorità competente, provvede in particolare a:

a)

fornire a Europol le informazioni necessarie per il conseguimento dei suoi obiettivi, comprese informazioni relative alle forme di criminalità la cui prevenzione o lotta sono considerate prioritarie dall'Unione;

b)

garantire l'effettiva comunicazione e cooperazione con Europol di tutte le autorità nazionali competenti interessate;

c)

promuovere la conoscenza delle attività di Europol;

d)

garantire, in conformità dell'articolo 38, paragrafo 5, lettera a), che la fornitura di informazioni a Europol abbia luogo nel rispetto del diritto nazionale.

7.   Fatta salva l'assunzione delle proprie responsabilità per il mantenimento dell'ordine pubblico e la tutela della sicurezza interna, gli Stati membri non sono tenuti, in singoli casi concreti, a fornire informazioni ai sensi del paragrafo 6, lettera a), qualora ciò:

a)

sia contrario agli interessi essenziali della sicurezza dello Stato membro in questione;

b)

comprometta il successo di indagini in corso o la sicurezza di una persona; oppure

c)

implichi la divulgazione di informazioni riguardanti servizi o specifiche attività di intelligence nel settore della sicurezza nazionale.

Tuttavia, gli Stati membri hanno l'obbligo di fornire le informazioni non appena queste non rientrino più nell'ambito del primo comma, lettere a), b) o c).

8.   Gli Stati membri provvedono affinché le loro unità di informazione finanziaria istituite ai sensi della direttiva 2005/60/CE del Parlamento europeo e del Consiglio (21) siano autorizzate a cooperare con Europol, tramite le loro unità nazionali, alla conduzione di analisi, nei limiti dei loro mandati e competenze.

9.   I capi delle unità nazionali si riuniscono regolarmente, in particolare per discutere e risolvere i problemi che si pongono nel quadro della cooperazione operativa con Europol.

10.   Le spese sostenute dalle unità nazionali per comunicare con Europol sono a carico degli Stati membri e non sono imputate a Europol, ad eccezione delle spese di collegamento.

11.   Europol redige una relazione annuale sulle informazioni fornite da ciascuno Stato membro ai sensi del paragrafo 6, lettera a), sulla base di criteri di valutazione quantitativi e qualitativi definiti dal consiglio di amministrazione. La relazione annuale è trasmessa al Parlamento europeo, al Consiglio, alla Commissione e ai parlamenti nazionali.

Articolo 8

Ufficiali di collegamento

1.   Ogni unità nazionale distacca presso Europol almeno un ufficiale di collegamento. Salva diversa disposizione del presente regolamento, gli ufficiali di collegamento sono soggetti al diritto nazionale dello Stato membro che li ha distaccati.

2.   Gli ufficiali di collegamento costituiscono gli uffici nazionali di collegamento presso Europol e sono incaricati dalle rispettive unità nazionali di rappresentare gli interessi di queste ultime nell'ambito di Europol conformemente al diritto nazionale dello Stato membro che li ha distaccati e nel rispetto delle disposizioni applicabili al funzionamento di Europol.

3.   Gli ufficiali di collegamento collaborano allo scambio di informazioni tra Europol e il loro Stato membro.

4.   Gli ufficiali di collegamento collaborano, conformemente al proprio diritto nazionale, allo scambio di informazioni tra il loro Stato membro e gli ufficiali di collegamento di altri Stati membri, paesi terzi e organizzazioni internazionali. Per tali scambi bilaterali può essere usata l'infrastruttura di Europol, conformemente al diritto nazionale, anche per forme di criminalità che esulano dall'ambito degli obiettivi di Europol. Tutti gli scambi di informazioni avvengono in conformità del diritto nazionale e dell'Unione.

5.   Il consiglio d'amministrazione stabilisce i diritti e gli obblighi degli ufficiali di collegamento nei confronti di Europol. Gli ufficiali di collegamento godono dei privilegi e delle immunità necessari per lo svolgimento dei loro compiti conformemente all'articolo 63, paragrafo 2.

6.   Europol provvede affinché gli ufficiali di collegamento siano pienamente informati e associati a tutte le sue attività, nella misura necessaria per lo svolgimento dei loro compiti.

7.   Europol si fa carico dei costi necessari per mettere a disposizione degli Stati membri, nel suo edificio, i locali necessari e il supporto adeguato per l'espletamento delle funzioni degli ufficiali di collegamento. Tutte le altre spese connesse al distacco degli ufficiali di collegamento sono a carico dello Stato membro che li distacca, incluse quelle per la loro attrezzatura, salva diversa decisione del Parlamento europeo e del Consiglio su raccomandazione del consiglio di amministrazione.

CAPO III

ORGANIZZAZIONE DI EUROPOL

Articolo 9

Struttura amministrativa e di gestione di Europol

La struttura amministrativa e di gestione di Europol comprende:

a)

un consiglio di amministrazione;

b)

un direttore esecutivo;

c)

se del caso, altri organi consultivi istituiti dal consiglio di amministrazione conformemente all'articolo 11, paragrafo 1, lettera s).

SEZIONE 1

Consiglio di amministrazione

Articolo 10

Composizione del consiglio di amministrazione

1.   Il consiglio di amministrazione è composto da un rappresentante di ciascuno Stato membro e da un rappresentante della Commissione. Ciascun rappresentante ha diritto di voto.

2.   I membri del consiglio di amministrazione sono nominati tenendo conto delle loro conoscenze in materia di cooperazione nell'attività di contrasto.

3.   Ciascun membro del consiglio di amministrazione ha un supplente nominato tenendo conto del criterio di cui al paragrafo 2. Il supplente assume la rappresentanza del membro eventualmente assente.

Si tiene conto altresì del principio di una rappresentanza di genere equilibrata nel consiglio di amministrazione.

4.   Fatto salvo il diritto degli Stati membri e della Commissione di porre fine al mandato dei membri e dei loro supplenti, l'appartenenza al consiglio di amministrazione ha una durata di quattro anni. Tale mandato è prorogabile.

Articolo 11

Funzioni del consiglio di amministrazione

1.   Il consiglio di amministrazione:

a)

adotta ogni anno, a maggioranza dei due terzi dei suoi membri e conformemente all'articolo 12, un documento contenente la programmazione pluriennale di Europol e il programma di lavoro annuale di Europol per l'anno successivo;

b)

adotta, a maggioranza dei due terzi dei suoi membri, il bilancio annuale di Europol ed esercita le altre funzioni riguardanti il bilancio di Europol a norma del capo X;

c)

adotta una relazione annuale di attività consolidata sulle attività di Europol e, entro il 1o luglio dell'anno successivo, la trasmette al Parlamento europeo, al Consiglio, alla Commissione, alla Corte dei conti e ai parlamenti nazionali. La relazione annuale di attività consolidata è pubblica;

d)

adotta le regole finanziarie applicabili a Europol conformemente all'articolo 61;

e)

adotta una strategia antifrode interna, proporzionata ai rischi di frode, tenendo conto dei costi e dei benefici delle misure da attuare;

f)

adotta norme per la prevenzione e la gestione dei conflitti di interesse in relazione ai suoi membri, anche con riferimento alla loro dichiarazione di interessi;

g)

ai sensi del paragrafo 2, esercita, in relazione al personale Europol, i poteri conferiti dallo statuto dei funzionari all'autorità che ha il potere di nomina e dal regime applicabile agli altri agenti all'autorità abilitata a concludere i contratti di assunzione («poteri dell'autorità che ha il potere di nomina»);

h)

adotta adeguate modalità per garantire l'attuazione dello statuto dei funzionari e del regime applicabile agli altri agenti a norma dell'articolo 110 dello statuto dei funzionari;

i)

adotta norme interne concernenti la procedura di selezione del direttore esecutivo, incluse le norme sulla composizione del comitato di selezione che ne garantiscono l'indipendenza e l'imparzialità;

j)

propone al Consiglio una rosa di candidati alle cariche di direttore esecutivo e vicedirettori esecutivi e, se del caso, propone al Consiglio di prorogarne il mandato o che siano rimossi dall'incarico, a norma degli articoli 54 e 55;

k)

stabilisce indicatori di risultato e controlla l'operato del direttore esecutivo, compresa l'esecuzione delle decisioni del consiglio di amministrazione;

l)

nomina un responsabile della protezione dei dati, che è funzionalmente indipendente nell'esercizio delle sue funzioni;

m)

nomina un contabile, che è soggetto allo statuto dei funzionari e al regime applicabile agli altri agenti ed è funzionalmente indipendente nell'esercizio delle sue funzioni;

n)

crea, se del caso, una struttura di revisione contabile interna;

o)

assicura un seguito adeguato alle osservazioni e alle raccomandazioni risultanti dalle relazioni di revisione contabile e valutazioni interne ed esterne e dalle indagini dell'OLAF e del GEPD;

p)

definisce i criteri di valutazione per la relazione annuale ai sensi dell'articolo 7, paragrafo 11;

q)

adotta orientamenti volti a specificare ulteriormente le procedure per il trattamento di informazioni da parte di Europol a norma dell'articolo 18 e previa consultazione del GEPD;

r)

decide in merito alla conclusione di accordi di lavoro e intese amministrative ai sensi dell'articolo 23, paragrafo 4, e dell'articolo 25, paragrafo 1;

s)

decide, tenuto conto delle esigenze sia operative che finanziarie, in merito alla creazione delle strutture interne di Europol, compresi i centri specializzati dell'Unione di cui all'articolo 4, paragrafo 1, lettera l), su proposta del direttore esecutivo;

t)

adotta il proprio regolamento interno, comprese disposizioni relative ai compiti e al funzionamento del proprio segretariato;

u)

adotta, se del caso, altre regolamentazioni interne.

2.   Qualora lo ritenga necessario per lo svolgimento dei compiti di Europol, il consiglio di amministrazione può proporre al Consiglio di attirare l'attenzione della Commissione sulla necessità di una decisione di adeguatezza ai sensi dell'articolo 25, paragrafo 1, lettera a), o di una raccomandazione per una decisione che autorizzi l'avvio di negoziati in vista della conclusione di un accordo internazionale ai sensi dell'articolo 25, paragrafo 1, lettera b).

3.   Il consiglio di amministrazione adotta, in conformità dell'articolo 110 dello statuto dei funzionari, una decisione basata sull'articolo 2, paragrafo 1, dello statuto dei funzionari e sull'articolo 6 del regime applicabile agli altri agenti, con cui delega al direttore esecutivo i poteri pertinenti dell'autorità che ha il potere di nomina e stabilisce le condizioni alle quali tale delega di poteri può essere sospesa. Il direttore esecutivo è autorizzato a subdelegare tali poteri.

Qualora circostanze eccezionali lo richiedano, il consiglio di amministrazione può sospendere temporaneamente, mediante decisione, la delega dei poteri dell'autorità che ha il potere di nomina al direttore esecutivo e ogni eventuale subdelega degli stessi, ed esercitarli esso stesso o delegarli a uno dei suoi membri o a un membro del personale diverso dal direttore esecutivo.

Articolo 12

Programmazione pluriennale e programmi di lavoro annuali

1.   Entro il 30 novembre di ogni anno il consiglio di amministrazione adotta un documento contenente la programmazione pluriennale e il programma di lavoro annuale di Europol, in base a un progetto presentato dal direttore esecutivo, tenuto conto del parere della Commissione e, per quanto riguarda la programmazione pluriennale, previa consultazione del gruppo di controllo parlamentare congiunto. Il consiglio di amministrazione trasmette tale documento al Consiglio, alla Commissione e al gruppo di controllo parlamentare congiunto.

2.   La programmazione pluriennale definisce la programmazione strategica generale, compresi gli obiettivi, i risultati attesi e gli indicatori di risultato. Riporta inoltre la pianificazione delle risorse, compresi il bilancio pluriennale e il personale. Include la strategia per le relazioni con i paesi terzi e le organizzazioni internazionali.

La programmazione pluriennale è attuata mediante programmi di lavoro annuali e, se del caso, è aggiornata in base all'esito delle valutazioni esterne e interne. Se del caso, le conclusioni di tali valutazioni sono tenute in considerazione anche nel programma di lavoro annuale per l'anno successivo.

3.   Il programma di lavoro annuale comprende gli obiettivi dettagliati, i risultati attesi e gli indicatori di risultato. Contiene inoltre una descrizione delle azioni da finanziare e l'indicazione delle risorse finanziarie e umane assegnate per ogni azione, conformemente ai principi di formazione del bilancio per attività e gestione per attività. Il programma di lavoro annuale è coerente con la programmazione pluriennale. Indica chiaramente i compiti aggiunti, modificati o soppressi rispetto all'esercizio finanziario precedente.

4.   Qualora, successivamente all'adozione di un programma di lavoro annuale, a Europol sia affidato un nuovo compito, il consiglio di amministrazione modifica il programma di lavoro annuale.

5.   Le modifiche sostanziali del programma di lavoro annuale sono adottate con la stessa procedura applicabile all'adozione del programma di lavoro annuale iniziale. Il consiglio di amministrazione può delegare al direttore esecutivo il potere di apportare modifiche non sostanziali al programma di lavoro annuale.

Articolo 13

Presidente e vicepresidente del consiglio di amministrazione

1.   Il consiglio di amministrazione elegge un presidente e un vicepresidente scegliendoli nell'ambito del gruppo di tre Stati membri che hanno congiuntamente preparato il programma di 18 mesi del Consiglio. Essi assumono tali funzioni per il periodo di 18 mesi corrispondente a detto programma del Consiglio. Tuttavia, se il presidente o il vicepresidente cessano di far parte del consiglio di amministrazione in un qualsiasi momento durante il mandato da presidente o vicepresidente, tale mandato termina automaticamente alla stessa data.

2.   Il presidente e il vicepresidente sono eletti a maggioranza di due terzi dei membri del consiglio di amministrazione.

3.   Ogniqualvolta il presidente è impossibilitato a svolgere le proprie funzioni, è sostituito d'ufficio dal vicepresidente.

Articolo 14

Riunioni del consiglio di amministrazione

1.   Le riunioni del consiglio di amministrazione sono indette dal presidente.

2.   Il direttore esecutivo partecipa alle deliberazioni del consiglio di amministrazione.

3.   Il consiglio di amministrazione tiene almeno due riunioni ordinarie all'anno. Si riunisce inoltre su iniziativa del presidente o su richiesta della Commissione o di almeno un terzo dei suoi membri.

4.   Il consiglio di amministrazione può invitare a partecipare alle sue riunioni, in veste di osservatore senza diritto di voto, ogni persona il cui parere possa essere rilevante per le discussioni, compreso, se del caso, un rappresentante del gruppo di controllo parlamentare congiunto.

5.   Fatto salvo il regolamento interno, alle riunioni i membri e i membri supplenti del consiglio di amministrazione possono farsi assistere da consulenti o esperti.

6.   Europol provvede alle funzioni di segreteria del consiglio di amministrazione.

Articolo 15

Modalità di votazione del consiglio di amministrazione

1.   Fatti salvi l'articolo 11, paragrafo 1, lettere a) e b), l'articolo 13, paragrafo 2, l'articolo 50, paragrafo 2, l'articolo 54, paragrafo 8, e l'articolo 64, il consiglio di amministrazione decide a maggioranza dei suoi membri.

2.   Ogni membro dispone di un voto. In assenza di un membro con diritto di voto, il supplente è abilitato a esercitare il suo diritto di voto.

3.   Il direttore esecutivo non partecipa alla votazione.

4.   Il regolamento interno del consiglio di amministrazione stabilisce le regole dettagliate concernenti la votazione, in particolare le circostanze in cui un membro può agire per conto di un altro, e i requisiti di quorum, ove necessario.

SEZIONE 2

Direttore esecutivo

Articolo 16

Compiti del direttore esecutivo

1.   Il direttore esecutivo assicura la gestione di Europol. Risponde al consiglio di amministrazione.

2.   Fatte salve le competenze della Commissione o del consiglio di amministrazione, il direttore esecutivo esercita le sue funzioni in piena indipendenza e non sollecita né accetta istruzioni da alcun governo o alcun altro organismo.

3.   Il Consiglio può invitare il direttore esecutivo a presentare una relazione sull'esercizio delle sue funzioni.

4.   Il direttore esecutivo è il rappresentante legale di Europol.

5.   Il direttore esecutivo è responsabile dell'esecuzione dei compiti conferiti a Europol dal presente regolamento, in particolare:

a)

assicurare la gestione corrente di Europol;

b)

presentare proposte al consiglio di amministrazione in relazione alla creazione delle strutture interne di Europol;

c)

attuare le decisioni adottate dal consiglio di amministrazione;

d)

elaborare i progetti di programmazione pluriennale e di programmi di lavoro annuali e presentarli al consiglio di amministrazione, previa consultazione della Commissione;

e)

attuare la programmazione pluriennale e i programmi di lavoro annuali e informare il consiglio di amministrazione in merito alla loro attuazione;

f)

elaborare un progetto di adeguate modalità per garantire l'attuazione dello statuto dei funzionari e del regime applicabile agli altri agenti a norma dell'articolo 110 dello statuto dei funzionari;

g)

redigere il progetto di relazione annuale di attività consolidata di Europol e presentarlo al consiglio di amministrazione per adozione;

h)

elaborare un piano d'azione volto a dare seguito alle conclusioni delle relazioni di revisione contabile e alle valutazioni interne ed esterne e alle relazioni d'indagine e raccomandazioni risultanti dalle indagini dell'OLAF e del GEPD, e informare sui progressi compiuti la Commissione, due volte l'anno, e il consiglio di amministrazione, periodicamente;

i)

tutelare gli interessi finanziari dell'Unione mediante l'applicazione di misure di prevenzione contro le frodi, la corruzione e qualsiasi altra attività illecita, e, fatti salvi i poteri investigativi dell'OLAF, mediante controlli efficaci e, nel caso in cui siano riscontrate irregolarità, il recupero delle somme indebitamente corrisposte nonché, se del caso, mediante l'applicazione di sanzioni amministrative e pecuniarie efficaci, proporzionate e dissuasive;

j)

elaborare un progetto di strategia antifrode interna di Europol e presentarlo al consiglio di amministrazione per adozione;

k)

elaborare progetti di regolamentazioni interne per la prevenzione e la gestione dei conflitti di interesse in relazione ai membri del consiglio di amministrazione e presentarli al consiglio di amministrazione per adozione;

l)

predisporre il progetto delle regole finanziarie applicabili a Europol;

m)

predisporre il progetto di stato di previsione delle entrate e delle spese di Europol ed eseguire il bilancio;

n)

assistere il presidente del consiglio di amministrazione nella preparazione delle riunioni dello stesso consiglio;

o)

informare periodicamente il consiglio di amministrazione in merito all'attuazione delle priorità strategiche e operative dell'Unione per la lotta alla criminalità;

p)

svolgere altri compiti a norma del presente regolamento.

CAPO IV

TRATTAMENTO DELLE INFORMAZIONI

Articolo 17

Fonti di informazione

1.   Europol tratta solo informazioni fornite da:

a)

Stati membri conformemente al loro diritto nazionale e all'articolo 7;

b)

organismi dell'Unione, paesi terzi e organizzazioni internazionali conformemente al capo V;

c)

parti private e persone private conformemente al capo V.

2.   Europol può direttamente reperire e trattare informazioni, inclusi dati personali, da fonti accessibili al pubblico, compresi Internet e i dati pubblici.

3.   Nella misura in cui strumenti giuridici dell'Unione, internazionali o nazionali consentono a Europol l'accesso informatizzato a dati contenuti in sistemi di informazione dell'Unione, internazionali o nazionali, esso può reperire e trattare informazioni, inclusi dati personali, in tal modo quando sia necessario per lo svolgimento dei suoi compiti. Se le norme in materia di accesso e uso delle informazioni previste dalle disposizioni applicabili dei suddetti strumenti giuridici sono più severe di quelle contenute nel presente regolamento, l'accesso e l'uso di tali informazioni da parte di Europol è disciplinato da quelle disposizioni. Un accesso a tali sistemi di informazione è concesso solo al personale Europol debitamente autorizzato e solo nella misura necessaria e proporzionata allo svolgimento delle sue funzioni.

Articolo 18

Finalità delle attività di trattamento delle informazioni

1.   Nella misura in cui è necessario al raggiungimento degli obiettivi di cui all'articolo 3, Europol può trattare informazioni, inclusi dati personali.

2.   I dati personali possono essere trattati solo a fini di:

a)

controlli incrociati diretti a identificare collegamenti o altri nessi pertinenti tra informazioni concernenti:

i)

persone sospettate di aver commesso un reato di competenza di Europol o di avervi partecipato, o che sono state condannate per un siffatto reato;

ii)

persone riguardo alle quali vi siano indicazioni concrete o ragionevoli motivi per ritenere che possano commettere reati di competenza di Europol;

b)

analisi strategiche o tematiche;

c)

analisi operative;

d)

facilitazione dello scambio d'informazioni tra Stati membri, Europol, altri organismi dell'Unione, paesi terzi e organizzazioni internazionali.

3.   Il trattamento a fini di analisi operative di cui al paragrafo 2, lettera c), è effettuato per mezzo di progetti di analisi operativa ai quali si applicano le seguenti salvaguardie specifiche:

a)

per ogni nuovo progetto di analisi operativa, il direttore esecutivo definisce la finalità specifica, le categorie di dati personali e le categorie di interessati, i partecipanti, la durata della conservazione e le condizioni di accesso, di trasferimento e di uso dei dati interessati e ne informa il consiglio di amministrazione e il GEPD;

b)

i dati personali possono essere raccolti e trattati solo per la finalità del progetto di analisi operativa specificato. Qualora si constati che i dati personali possono essere utili per un altro progetto di analisi operativa, l'ulteriore trattamento dei dati personali in questione è consentito solo nella misura in cui un tale ulteriore trattamento sia necessario e proporzionato e i dati personali siano compatibili con le disposizioni di cui al punto a) che si applicano all'altro progetto di analisi;

c)

solo il personale autorizzato può accedere ai dati relativi al progetto interessato e trattarli.

4.   I trattamenti di cui ai paragrafi 2 e 3 sono effettuati nel rispetto delle garanzie in materia di protezione dei dati previste dal presente regolamento. Europol documenta opportunamente tali trattamenti. La documentazione è messa a disposizione, su richiesta, del responsabile della protezione dei dati e del GEPD a scopo di verifica della liceità dei trattamenti.

5.   Le categorie di dati personali e le categorie di interessati i cui dati personali possono essere raccolti e trattati per ciascuna finalità di cui al paragrafo 2 sono elencate nell'allegato II.

6.   Europol può trattare temporaneamente i dati al fine di stabilire se essi siano pertinenti ai suoi compiti e, in caso affermativo, per quale delle finalità di cui al paragrafo 2. Il consiglio di amministrazione, su proposta del direttore esecutivo e previa consultazione del GEPD, specifica ulteriormente le condizioni relative al trattamento di tali dati, in particolare riguardo all'accesso ai dati, al loro uso e ai termini per la loro conservazione e cancellazione, che non può superare i sei mesi, tenuto debito conto dei principi di cui all'articolo 28.

7.   Il consiglio di amministrazione, previa consultazione del GEPD, adotta, se del caso, orientamenti volti a specificare ulteriormente le procedure per il trattamento di informazioni per le finalità di cui al paragrafo 2 in conformità dell'articolo 11, paragrafo 1, lettera q).

Articolo 19

Determinazione della finalità del trattamento di informazioni da parte di Europol e delle relative limitazioni

1.   Lo Stato membro, l'organismo dell'Unione, il paese terzo o l'organizzazione internazionale che fornisce informazioni a Europol determina la o le finalità di cui all'articolo 18 per le quali tali informazioni sono trattate. In caso contrario, Europol, d'intesa con il fornitore di informazioni interessato, tratta le informazioni al fine di determinare la loro pertinenza e la o le finalità del loro ulteriore trattamento. Europol può trattare informazioni per una finalità diversa da quella per la quale sono state fornite solo se autorizzata al riguardo dal fornitore delle informazioni.

2.   Al momento della fornitura delle informazioni a Europol, gli Stati membri, gli organismi dell'Unione, i paesi terzi e le organizzazioni internazionali possono indicare eventuali limitazioni di accesso o uso, in termini generali o specifici, anche per quanto concerne il loro trasferimento, la cancellazione o la distruzione. Qualora la necessità di tali limitazioni emerga dopo che le informazioni siano state fornite, ne informano Europol. Europol rispetta tali limitazioni.

3.   In casi debitamente giustificati, Europol può limitare l'accesso o l'uso da parte di Stati membri, organismi dell'Unione, paesi terzi e organizzazioni internazionali di informazioni reperite da fonti accessibili al pubblico.

Articolo 20

Accesso degli Stati membri e del personale Europol alle informazioni conservate da Europol

1.   Gli Stati membri hanno accesso, in conformità del proprio diritto nazionale e dell'articolo 7, paragrafo 5, a tutte le informazioni che sono state fornite per le finalità di cui all'articolo 18, paragrafo 2, lettere a) e b), e possono effettuare interrogazioni sui dati. Ciò avviene fatto salvo il diritto degli Stati membri, degli organismi dell'Unione, dei paesi terzi e delle organizzazioni internazionali di indicare eventuali limitazioni conformemente all'articolo 19, paragrafo 2.

2.   Gli Stati membri hanno accesso indiretto, in conformità del proprio diritto nazionale e dell'articolo 7, paragrafo 5, e in base a un sistema di riscontro positivo o negativo, alle informazioni che sono state fornite per le finalità di cui all'articolo 18, paragrafo 2, lettera c). Ciò avviene fatte salve le eventuali limitazioni indicate dagli Stati membri, dagli organismi dell'Unione, dai paesi terzi o dalle organizzazioni internazionali che hanno fornito le informazioni, conformemente all'articolo 19, paragrafo 2.

In caso di riscontro positivo, Europol avvia la procedura tramite cui l'informazione che lo ha generato può essere condivisa, conformemente alla decisione del fornitore dell'informazione a Europol.

3.   Gli Stati membri accedono alle informazioni di cui ai paragrafi 1 e 2 e procedono al loro ulteriore trattamento in conformità del diritto nazionale esclusivamente al fine di prevenire e combattere:

a)

forme di criminalità di competenza di Europol; e

b)

altre forme gravi di criminalità di cui alla decisione quadro 2002/584/GAI del Consiglio (22).

4.   Il personale Europol debitamente autorizzato dal direttore esecutivo ha accesso alle informazioni trattate da Europol nella misura necessaria per lo svolgimento delle sue funzioni e fatto salvo l'articolo 67.

Articolo 21

Accesso di Eurojust e dell'OLAF alle informazioni conservate da Europol

1.   Europol adotta tutte le misure opportune affinché Eurojust e l'OLAF, nell'ambito dei rispettivi mandati, abbiano accesso indiretto, in base a un sistema di riscontro positivo o negativo, alle informazioni che sono state fornite per le finalità di cui all'articolo 18, paragrafo 2, lettere a), b) e c), fatte salve le eventuali limitazioni indicate dallo Stato membro, dall'organismo dell'Unione, dal paese terzo o dall'organizzazione internazionale che hanno fornito le informazioni, conformemente all'articolo 19, paragrafo 2.

In caso di riscontro positivo, Europol avvia la procedura tramite cui l'informazione che lo ha generato può essere condivisa, conformemente alla decisione del fornitore dell'informazione a Europol e solo nella misura in cui i dati che lo hanno generato siano necessari per lo svolgimento dei compiti di Eurojust o dell'OLAF.

2.   Europol ed Eurojust possono concludere un accordo di lavoro che garantisca, in modo reciproco e nell'ambito dei rispettivi mandati, l'accesso a tutte le informazioni che sono state fornite per il fine specificato all'articolo 18, paragrafo 2, lettera a), e la possibilità di effettuare interrogazioni sui dati. Ciò avviene fatto salvo il diritto degli Stati membri, degli organismi dell'Unione, dei paesi terzi e delle organizzazioni internazionali di indicare limitazioni di accesso o di uso di tali dati e nel rispetto delle garanzie di protezione dei dati previste dal presente regolamento.

3.   Le interrogazioni sui dati ai sensi dei paragrafi 1 e 2 sono effettuate solo per verificare se le informazioni a disposizione di Eurojust o dell'OLAF corrispondono con quelle trattate presso Europol.

4.   Europol permette di effettuare interrogazioni ai sensi dei paragrafi 1 e 2 solo previa comunicazione da parte di Eurojust dei membri nazionali, supplenti e assistenti e dei membri del suo personale, e da parte dell'OLAF dei membri del suo personale, autorizzati ad effettuare tali interrogazioni.

5.   Se, durante il trattamento delle informazioni da parte di Europol in relazione a una singola indagine, Europol o uno Stato membro ravvisa il bisogno di coordinamento, cooperazione o sostegno ai sensi del mandato di Eurojust o dell'OLAF, Europol informa questi ultimi in proposito e avvia la procedura di condivisione delle informazioni, conformemente alla decisione dello Stato membro che le ha fornite. In tal caso Eurojust o l'OLAF si consultano con Europol.

6.   Eurojust, compresi il collegio, i membri nazionali, i supplenti, gli assistenti e i membri del suo personale, e l'OLAF rispettano le limitazioni di accesso o uso, in termini generali o specifici, indicate da Stati membri, organismi dell'Unione, paesi terzi e organizzazioni internazionali ai sensi dell'articolo 19, paragrafo 2.

7.   Europol, Eurojust e l'OLAF si informano reciprocamente laddove, dopo la consultazione dei rispettivi dati ai sensi del paragrafo 2 o in seguito ad un riscontro positivo ai sensi del paragrafo 1, vi siano indicazioni secondo cui i dati possono essere errati o in contrasto con altri dati.

Articolo 22

Obbligo di comunicazione agli Stati membri

1.   Europol, in conformità dell'articolo 4, paragrafo 1, lettera b), comunica prontamente a uno Stato membro tutte le informazioni che lo riguardano. Se tali informazioni sono soggette a limitazioni di accesso ai sensi dell'articolo 19, paragrafo 2, che ne vietano la condivisione, Europol consulta il fornitore delle informazioni che ha limitato l'accesso e cerca di ottenerne l'autorizzazione alla condivisione.

In tal caso, le informazioni non sono condivise senza l'autorizzazione esplicita del fornitore.

2.   Indipendentemente da qualsiasi limitazione, Europol comunica a uno Stato membro tutte le informazioni che lo riguardano se ciò è assolutamente necessario al fine di evitare un'imminente minaccia per la vita.

In tal caso, Europol informa nel contempo il fornitore delle informazioni della condivisione delle informazioni e motiva la sua analisi della situazione.

CAPO V

RELAZIONI CON I PARTNER

SEZIONE 1

Disposizioni comuni

Articolo 23

Disposizioni comuni

1.   Nella misura in cui ciò sia necessario allo svolgimento dei suoi compiti, Europol può instaurare e mantenere relazioni di cooperazione con gli organismi dell'Unione, conformemente ai loro obiettivi, le autorità di paesi terzi, le organizzazioni internazionali e le parti private.

2.   Fatte salve le limitazioni ai sensi dell'articolo 19, paragrafo 2, e dell'articolo 67, Europol può scambiare direttamente con le entità di cui al presente articolo, paragrafo 1, tutte le informazioni, esclusi i dati personali, nella misura in cui tale scambio sia utile allo svolgimento dei suoi compiti.

3.   Il direttore esecutivo informa il consiglio di amministrazione di eventuali relazioni regolari di cooperazione che Europol intenda instaurare e mantenere in conformità dei paragrafi 1 e 2 e sull'evoluzione di tali relazioni dopo la loro instaurazione.

4.   Ai fini di cui ai paragrafi 1 e 2, Europol può concludere accordi di lavoro con le entità di cui al paragrafo 1. Tali accordi di lavoro non consentono lo scambio di dati personali e non vincolano l'Unione o i suoi Stati membri.

5.   Se necessario e proporzionato al legittimo svolgimento dei suoi compiti e fatte salve le disposizioni del presente capo, Europol può ricevere dati personali dalle entità di cui al paragrafo 1 e trattarli.

6.   Fatto salvo l'articolo 30, paragrafo 5, Europol trasferisce i dati personali agli organismi dell'Unione, ai paesi terzi e alle organizzazioni internazionali solo se necessario per prevenire e combattere le forme di criminalità rientranti nell'ambito dei suoi obiettivi e conformemente al presente regolamento e se il destinatario garantisce che i dati saranno trattati unicamente per la finalità per la quale sono stati trasferiti. Se i dati da trasferire sono stati forniti da uno Stato membro, Europol ne chiede il consenso, a meno che lo Stato membro abbia previamente autorizzato il trasferimento successivo, in termini generali o a condizioni particolari. Tale consenso può essere revocato in qualsiasi momento.

7.   Sono vietati i trasferimenti successivi di dati personali detenuti da Europol da parte degli Stati membri, degli organismi dell'Unione, dei paesi terzi e delle organizzazioni internazionali, salvo previa esplicita autorizzazione di Europol.

8.   Europol assicura che la registrazione dettagliata di tutti i trasferimenti di dati personali e delle relative motivazioni di tali trasferimenti sia conservata a norma del presente regolamento.

9.   Le informazioni che sono state manifestamente ottenute in palese violazione dei diritti umani non devono formare oggetto di trattamento.

SEZIONE 2

Trasferimento e scambio di dati personali

Articolo 24

Trasferimento dei dati personali agli organismi dell'Unione

Fatta salva qualsiasi eventuale limitazione ai sensi dell'articolo 19, paragrafo 2 o 3, e dell'articolo 67, Europol può trasferire direttamente i dati personali a un organismo dell'Unione, nella misura in cui tale trasferimento sia necessario allo svolgimento dei suoi compiti o dei compiti dell'organismo dell'Unione destinatario.

Articolo 25

Trasferimento dei dati personali a paesi terzi e ad organizzazioni internazionali

1.   Fatta salva qualsiasi eventuale limitazione ai sensi dell'articolo 19, paragrafo 2 o 3, e fatto salvo l'articolo 67, nella misura in cui tale trasferimento sia utile allo svolgimento dei propri compiti, Europol può trasferire i dati personali a un'autorità di un paese terzo o a un'organizzazione internazionale, sulla base di uno dei seguenti atti:

a)

una decisione della Commissione adottata ai sensi dell'Articolo 36 della direttiva (UE) 2016/680, che sancisca che il paese terzo o un territorio o un settore di trattamento all'interno di tale paese terzo o l'organizzazione internazionale in questione garantisce un livello di protezione adeguato («decisione di adeguatezza»);

b)

un accordo internazionale concluso tra l'Unione e tale paese terzo o organizzazione internazionale ai sensi dell'articolo 218 TFUE, che presti garanzie sufficienti con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone;

c)

un accordo di cooperazione che consenta lo scambio di dati personali concluso anteriormente al 1o maggio 2017 tra Europol e tale paese terzo o organizzazione internazionale ai sensi dell'articolo 23 della decisione 2009/371/GAI.

Europol può concludere intese amministrative per attuare tali accordi o decisioni di adeguatezza.

2.   Il direttore esecutivo informa il consiglio di amministrazione in merito a scambi di dati personali sulla base di decisioni di adeguatezza ai sensi del paragrafo 1, lettera a).

3.   Europol pubblica sul suo sito web e tiene aggiornato un elenco delle decisioni di adeguatezza, degli accordi, delle intese amministrative e degli altri strumenti riguardanti il trasferimento di dati personali ai sensi del paragrafo 1.

4.   Entro il 14 giugno 2021, la Commissione valuta le disposizioni contenute negli accordi di cooperazione di cui al paragrafo 1, lettera c), in particolare quelle riguardanti la protezione dei dati. La Commissione informa il Parlamento europeo e il Consiglio sull'esito di tale valutazione e, se del caso, può presentare al Consiglio una raccomandazione di decisione che autorizzi l'avvio di negoziati per la conclusione accordi internazionali ai sensi del paragrafo 1, lettera b).

5.   In deroga al paragrafo 1, il direttore esecutivo può autorizzare, caso per caso, il trasferimento dei dati personali ai paesi terzi o alle organizzazioni internazionali se il trasferimento:

a)

è necessario per salvaguardare gli interessi vitali dell'interessato o di un terzo;

b)

è necessario per salvaguardare i legittimi interessi dell'interessato qualora lo preveda il diritto dello Stato membro che trasferisce i dati personali;

c)

è essenziale per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo;

d)

è necessario, in singoli casi, per prevenire, indagare, accertare o perseguire reati o eseguire sanzioni penali; oppure

e)

è necessario, in singoli casi, per accertare, esercitare o difendere un diritto in sede giudiziaria in relazione alla prevenzione, all'indagine, all'accertamento o al perseguimento di uno specifico reato o all'esecuzione di una specifica sanzione penale.

I dati personali non sono trasferiti se il direttore esecutivo determina che i diritti e le libertà fondamentali dell'interessato in questione prevalgono sull'interesse pubblico al trasferimento di cui alle lettere d) ed e).

Le deroghe non si applicano ai trasferimenti sistematici, ingenti o strutturali.

6.   In deroga al paragrafo 1, il consiglio di amministrazione, di concerto con il GEPD, può autorizzare, per un periodo non superiore a un anno, rinnovabile, un complesso di trasferimenti in conformità del paragrafo 5, lettere da a) a e), tenuto conto dell'esistenza di garanzie adeguate con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone. Tale autorizzazione è debitamente giustificata e documentata.

7.   Il direttore esecutivo informa al più presto il consiglio di amministrazione e il GEPD dei casi di applicazione del paragrafo 5.

8.   Europol provvede affinché siano registrati dettagliatamente tutti i trasferimenti effettuati a norma del presente articolo.

Articolo 26

Scambio di dati personali con parti private

1.   Nella misura in cui sia necessario allo svolgimento dei suoi compiti, Europol può trattare i dati personali ottenuti da parti private purché siano pervenuti attraverso:

a)

un'unità nazionale conformemente al diritto nazionale;

b)

il punto di contatto di un paese terzo o un'organizzazione internazionale con cui Europol ha concluso, anteriormente al 1o maggio 2017, un accordo di cooperazione che consenta lo scambio di dati personali ai sensi dell'articolo 23 della decisione 2009/371/GAI; oppure

c)

un'autorità di un paese terzo o un'organizzazione internazionale che forma oggetto di una decisione di adeguatezza ai sensi dell'articolo 25, paragrafo 1, lettera a), del presente regolamento o con cui l'Unione ha concluso un accordo internazionale ai sensi dell'articolo 218 TFUE.

2.   Nei casi in cui riceva nondimeno dati personali direttamente da parti private e non sia possibile identificare l'unità nazionale, il punto di contatto o l'autorità in questione di cui al paragrafo 1, Europol può trattare tali dati personali ai soli fini dell'identificazione. Successivamente, i dati personali sono trasmessi immediatamente all'unità nazionale, al punto di contatto o all'autorità in questione e sono cancellati, a meno che l'unità nazionale, il punto di contatto o l'autorità in questione non li trasmetta nuovamente a norma dell'articolo 19, paragrafo 1, entro quattro mesi dall'avvenuto trasferimento. Europol assicura mediante dispositivi tecnici che in tale periodo i dati in questione non siano accessibili per essere trattati per altri fini.

3.   Al fine del trattamento dei dati personali trasferiti a norma del presente articolo, paragrafo 5, lettera c), per assolvere il compito di cui all'articolo 4, paragrafo 1, lettera m), Europol può ricevere tali dati direttamente da una parte privata che dichiari di essere giuridicamente autorizzata a trasmettere tali dati in conformità del diritto applicabile.

4.   I dati personali provenienti da una parte privata di un paese terzo con cui non è stato concluso un accordo sulla base dell'articolo 23 della decisione 2009/371/GAI o dell'articolo 218 TFUE o che non forma oggetto di una decisione di adeguatezza ai sensi dell'articolo 25, paragrafo 1, lettera a), del presente regolamento possono essere trasmessi da Europol solo a uno Stato membro o ad un paese terzo interessato con cui sia stato concluso un tale accordo.

5.   Europol non può trasferire dati personali a parti private se non in singoli casi, ove sia strettamente necessario e fatta salva qualsiasi eventuale limitazione ai sensi dell'articolo 19, paragrafo 2 o 3, e fatto salvo l'articolo 67:

a)

il trasferimento è senza dubbio nell'interesse dell'interessato e il consenso dell'interessato è stato dato o le circostanze permettono una chiara presunzione del consenso; o

b)

il trasferimento è assolutamente necessario per evitare l'imminente commissione di un reato, anche terroristico, di competenza di Europol; o

c)

il trasferimento di dati personali accessibili al pubblico è strettamente necessario per l'assolvimento del compito di cui all'articolo 4, paragrafo 1, lettera m), e sono soddisfatte le seguenti condizioni:

i)

il trasferimento riguarda un caso singolo e specifico; e

ii)

i diritti e le libertà fondamentali dell'interessato non prevalgono sull'interesse pubblico che rende necessario il trasferimento nel caso in questione.

6.   Con riferimento al presente articolo, paragrafo 5, lettere a) e b), qualora la parte privata interessata non sia stabilita nell'Unione o in un paese con cui Europol abbia un accordo di cooperazione che consente lo scambio di dati personali, con cui l'Unione abbia concluso un accordo internazionale ai sensi dell'articolo 218 TFUE o che sia soggetto ad una decisione di adeguatezza ai sensi dell'articolo 25, paragrafo 1, lettera a), del presente regolamento, il trasferimento è autorizzato soltanto se:

a)

è necessario per salvaguardare gli interessi vitali dell'interessato o di un terzo; o

b)

è necessario per salvaguardare legittimi interessi dell'interessato; o

c)

è essenziale per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo; o

d)

è necessario, in singoli casi, per prevenire, indagare, accertare o perseguire reati di competenza di Europol; o

e)

è necessario, in singoli casi, per accertare, esercitare o difendere un diritto in sede giudiziaria in relazione alla prevenzione, all'indagine, all'accertamento o al perseguimento di uno specifico reato di competenza di Europol.

7.   Europol assicura che la registrazione dettagliata di tutti i trasferimenti di dati personali e delle relative motivazioni sia conservata a norma del presente regolamento e comunicata, su richiesta, al GEPD in conformità dell'articolo 40.

8.   Se i dati personali ricevuti o da trasferire influiscono sugli interessi di uno Stato membro, Europol informa immediatamente l'unità nazionale dello Stato membro in questione.

9.   Europol non contatta parti private per reperire dati personali.

10.   Entro il 1o maggio 2019, la Commissione valuta la prassi dello scambio diretto dei dati personali con le parti private.

Articolo 27

Informazioni provenienti da persone private

1.   Nella misura in cui ciò sia necessario ai fini dello svolgimento dei suoi compiti, Europol può ricevere e trattare le informazioni provenienti da persone private. Europol può trattare i dati personali provenienti da persone private solo a condizione che siano pervenuti attraverso:

a)

un'unità nazionale conformemente al diritto nazionale;

b)

il punto di contatto di un paese terzo o di un'organizzazione internazionale con cui Europol ha concluso, anteriormente al 1o maggio 2017, un accordo di cooperazione che consente lo scambio di dati personali ai sensi dell'articolo 23 della decisione 2009/371/GAI; oppure

c)

un'autorità di un paese terzo o un'organizzazione internazionale che forma oggetto di una decisione di adeguatezza ai sensi dell'articolo 25, paragrafo 1, lettera a), o con cui l'Unione ha concluso un accordo internazionale ai sensi dell'articolo 218 TFUE.

2.   Le informazioni ricevute, compresi i dati personali, provenienti da persone private residenti in un paese terzo con cui non è stato concluso un accordo internazionale sulla base dell'articolo 23 della decisione 2009/371/GAI o dell'articolo 218 TFUE, o che non forma oggetto di una decisione di adeguatezza ai sensi dell'articolo 25, paragrafo 1, lettera a), del presente regolamento possono essere trasmesse da Europol solo ad uno Stato membro o ad un paese terzo interessato con cui sia stato concluso un tale accordo internazionale.

3.   Se i dati personali ricevuti influiscono sugli interessi di uno Stato membro, Europol informa immediatamente l'unità nazionale dello Stato membro in questione.

4.   Europol non contatta persone private per reperire informazioni.

5.   Fatti salvi gli articoli 36 e 37, Europol non può trasferire dati personali a persone private.

CAPO VI

GARANZIE IN MATERIA DI PROTEZIONE DEI DATI

Articolo 28

Principi generali di protezione dei dati

1.   I dati personali devono essere:

a)

trattati in modo corretto e lecito;

b)

raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità; il trattamento successivo dei dati personali per scopi storici, statistici o di ricerca scientifica non è ritenuto incompatibile, purché Europol fornisca garanzie adeguate, in particolare per assicurare che i dati non siano trattati per altri fini;

c)

adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;

d)

esatti e aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare senza indugio i dati inesatti, tenendo conto delle finalità per le quali sono trattati;

e)

conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati; e

f)

trattati in modo tale da garantire un'adeguata sicurezza dei dati personali.

2.   Europol rende accessibile al pubblico un documento che delinea in modo comprensibile le disposizioni relative al trattamento dei dati personali e ai mezzi a disposizione degli interessati per l'esercizio dei loro diritti.

Articolo 29

Valutazione dell'affidabilità della fonte e dell'esattezza delle informazioni

1.   L'affidabilità della fonte delle informazioni che provengono da uno Stato membro è valutata per quanto possibile dallo Stato membro che le ha fornite sulla base dei seguenti codici di valutazione della fonte:

 

A) non sussistono dubbi circa l'autenticità, l'affidabilità o la competenza della fonte, oppure l'informazione è fornita da una fonte che in passato ha dimostrato di essere affidabile in tutti i casi;

 

B) l'informazione è pervenuta da una fonte che si è dimostrata affidabile nella maggior parte dei casi;

 

C) l'informazione è pervenuta da una fonte che non si è dimostrata affidabile nella maggior parte dei casi;

 

X) l'affidabilità della fonte non può essere valutata.

2.   L'esattezza delle informazioni che provengono da uno Stato membro è valutata per quanto possibile dallo Stato membro che le ha fornite sulla base dei seguenti codici di valutazione dell'informazione:

 

1) l'informazione è ritenuta sicura senza alcuna riserva;

 

2) l'informazione è conosciuta personalmente dalla fonte, ma non conosciuta personalmente dall'agente che l'ha fornita;

 

3) l'informazione non è conosciuta personalmente dalla fonte, ma è avvalorata da altre informazioni già registrate;

 

4) l'informazione non è conosciuta personalmente dalla fonte e non può essere avvalorata.

3.   Se, sulla base delle informazioni già in suo possesso, Europol giunge alla conclusione che la valutazione di cui al paragrafo 1 o 2 deve essere rettificata, ne informa lo Stato membro interessato e cerca di concordare una modifica da apportare alla valutazione. Senza tale accordo Europol non può modificare la valutazione.

4.   Se riceve da uno Stato membro informazioni non corredate di una valutazione di cui al paragrafo 1 o 2, Europol cerca di stabilire l'affidabilità della fonte o l'esattezza dell'informazione sulla base delle informazioni già in suo possesso. La valutazione di dati e informazioni specifici ha luogo di concerto con lo Stato membro che li ha forniti. Uno Stato membro e Europol possono anche convenire, in termini generali, le modalità di valutazione di tipi specifici di dati e di fonti specifiche. Qualora non sia possibile raggiungere un accordo in un caso specifico o qualora non sussista un accordo in termini generali, Europol valuta l'informazione o i dati e assegna a tali informazioni o dati il codice di valutazione X) di cui al paragrafo 1 e il codice di valutazione 4) di cui al paragrafo 2.

5.   Il presente articolo si applica per analogia quando Europol riceve dati o informazioni da un organismo dell'Unione, un paese terzo, un'organizzazione internazionale o una parte privata.

6.   L'informazione che proviene da una fonte accessibile al pubblico è valutata da Europol secondo i codici di valutazione di cui ai paragrafi 1 e 2.

7.   Quando l'informazione risulta da un'analisi effettuata da Europol nello svolgimento dei suoi compiti, Europol valuta tale informazione conformemente al presente articolo e di concerto con gli Stati membri partecipanti all'analisi.

Articolo 30

Trattamento di categorie particolari di dati personali e di diverse categorie di interessati

1.   È consentito il trattamento di dati personali relativi a vittime di reato, testimoni o altre persone che possono fornire informazioni riguardanti reati e a persone di età inferiore agli anni diciotto se strettamente necessario e proporzionato per prevenire o combattere forme di criminalità rientranti negli obiettivi di Europol.

2.   È vietato il trattamento, mediante procedimenti automatizzati o meno, di dati personali che rivelino la razza, l'origine etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale e il trattamento di dati genetici o di dati relativi alla salute e alla vita sessuale di un individuo, salvo se strettamente necessario e proporzionato per prevenire o combattere forme di criminalità rientranti negli obiettivi di Europol e se tali dati integrano altri dati personali trattati da Europol. È vietata la selezione di un particolare gruppo di persone basata unicamente su tali dati personali.

3.   Solo Europol ha accesso diretto ai dati personali del tipo di cui ai paragrafi 1 e 2. Il direttore esecutivo autorizza debitamente l'accesso di un numero limitato di funzionari di Europol, ove ciò sia necessario per lo svolgimento dei loro compiti.

4.   Una decisione di un'autorità competente che comporti conseguenze giuridiche negative per l'interessato e che sia basata unicamente su un trattamento automatizzato di dati del tipo di cui al paragrafo 2 è ammessa soltanto se esplicitamente autorizzata dal diritto nazionale o dell'Unione.

5.   I dati personali del tipo di cui ai paragrafi 1 e 2 non possono essere trasmessi a Stati membri, organismi dell'Unione, paesi terzi o organizzazioni internazionali, salvo che tale trasmissione sia strettamente necessaria e proporzionata in casi specifici relativi a forme di criminalità rientranti negli obiettivi di Europol e avvenga in conformità del capo V.

6.   Ogni anno Europol presenta al GEPD un quadro statistico di tutti i dati personali del tipo di cui al paragrafo 2 oggetto di trattamento.

Articolo 31

Termini per la conservazione e la cancellazione dei dati personali

1.   I dati personali trattati da Europol sono da essa conservati solo per il tempo necessario e proporzionato ai fini per i quali i dati sono trattati.

2.   In ogni caso, entro tre anni dall'avvio del trattamento iniziale dei dati personali, Europol esamina la necessità di un'ulteriore conservazione. Europol può decidere di continuare a conservare i dati fino all'esame successivo, che ha luogo dopo un ulteriore periodo di tre anni, qualora l'ulteriore conservazione sia ancora necessaria per lo svolgimento dei suoi compiti. I motivi dell'ulteriore conservazione devono essere giustificati e registrati. Se non è deciso nulla in merito all'ulteriore conservazione dei dati personali, questi sono automaticamente cancellati dopo tre anni.

3.   Se i dati personali del tipo di cui all'articolo 30, paragrafi 1 e 2, sono conservati per più di cinque anni, ne è informato il GEPD.

4.   Qualora uno Stato membro, un organismo dell'Unione, un paese terzo o un'organizzazione internazionale abbia indicato, al momento del trasferimento, limitazioni sui dati personali per quanto concerne la loro cancellazione o distruzione anticipata conformemente all'articolo 19, paragrafo 2, Europol cancella i dati personali in osservanza di tali limitazioni. Ove, sulla base di informazioni più ampie di quelle possedute dal fornitore dei dati, si ritenga necessario continuare a conservare i dati affinché Europol svolga i suoi compiti, quest'ultima chiede al fornitore dei dati l'autorizzazione all'ulteriore conservazione e giustifica la propria richiesta.

5.   Qualora uno Stato membro, un organismo dell'Unione, un paese terzo o un'organizzazione internazionale cancelli dai propri archivi dati personali forniti a Europol, informa quest'ultima al riguardo. Europol cancella i dati a meno che, sulla base di informazioni più ampie di quelle possedute dal fornitore dei dati, si ritenga necessario continuare a conservare i dati affinché Europol svolga i suoi compiti. Europol informa il fornitore dei dati dell'ulteriore conservazione di tali dati e fornisce una giustificazione.

6.   I dati personali non sono cancellati:

a)

se ciò rischia di ledere gli interessi di un interessato da tutelare. In tal caso i dati sono usati solo con il consenso esplicito e scritto dell'interessato;

b)

quando l'interessato ne contesta l'esattezza, per il periodo necessario agli Stati membri o a Europol, se del caso, ad effettuare le opportune verifiche;

c)

quando devono essere conservati a fini probatori ovvero per accertare, esercitare o difendere un diritto in sede giudiziaria; oppure

d)

quando l'interessato si oppone alla loro cancellazione e chiede invece che ne sia limitato l'utilizzo.

Articolo 32

Sicurezza del trattamento

1.   Europol mette in atto misure tecniche e organizzative adeguate per proteggere i dati personali dalla distruzione accidentale o illegale, dalla perdita accidentale, da comunicazione, modifica e accesso non autorizzati e da qualsiasi altra forma di trattamento non autorizzato.

2.   Per quanto riguarda il trattamento automatizzato dei dati, Europol e ciascuno Stato membro mettono in atto misure dirette a:

a)

negare l'accesso alle attrezzature usate per il trattamento di dati personali alle persone non autorizzate (controllo dell'accesso alle attrezzature);

b)

impedire che i supporti di dati siano letti, copiati, modificati o rimossi senza autorizzazione (controllo dei supporti di dati);

c)

impedire che siano introdotti, consultati, modificati o cancellati dati personali senza autorizzazione (controllo della conservazione);

d)

impedire che persone non autorizzate usino sistemi di trattamento automatizzato di dati servendosi di attrezzature per la comunicazione di dati (controllo degli utilizzatori);

e)

garantire che le persone autorizzate a usare un sistema di trattamento automatizzato di dati possano accedere esclusivamente ai dati cui si riferisce la loro autorizzazione d'accesso (controllo dell'accesso ai dati);

f)

garantire che sia possibile verificare e accertare a quali organismi possono essere trasmessi o sono stati trasmessi i dati personali servendosi di attrezzature di trasmissione di dati (controllo della comunicazione);

g)

garantire che sia possibile verificare e accertare quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato di dati, in quale momento e la persona che li ha introdotti (controllo dell'introduzione);

h)

garantire che sia possibile verificare e accertare quali dati sono stati consultati, da quale membro del personale e in quale momento (registro di accesso);

i)

impedire che dati personali possano essere letti, copiati, modificati o cancellati senza autorizzazione durante il trasferimento dei dati o il trasporto di supporti di dati (controllo del trasporto);

j)

garantire che in caso di guasto i sistemi installati possano essere ripristinati immediatamente (ripristino); e

k)

garantire che le funzioni del sistema non siano difettose, che eventuali errori di funzionamento siano segnalati immediatamente (affidabilità) e che i dati conservati non possano essere corrotti dal cattivo funzionamento del sistema (integrità).

3.   Europol e gli Stati membri stabiliscono meccanismi per garantire che le esigenze della sicurezza siano prese in considerazione oltre i limiti dei sistemi d'informazione.

Articolo 33

Protezione dei dati fin dalla progettazione

Europol attua le adeguate misure e procedure tecniche e organizzative in modo tale che il trattamento dei dati soddisfi il presente regolamento e protegga i diritti degli interessati.

Articolo 34

Notificazione di una violazione dei dati personali alle autorità interessate

1.   In caso di violazione dei dati personali, Europol notifica senza ingiustificato ritardo la violazione al GEPD e alle autorità competenti degli Stati membri interessati, in conformità delle condizioni stabilite all'articolo 7, paragrafo 5, nonché al fornitore dei dati interessato.

2.   La notificazione di cui al paragrafo 1 deve come minimo:

a)

descrivere la natura della violazione dei dati personali, compresi, ove possibile e appropriato, le categorie e il numero di interessati in questione e le categorie e il numero di registrazioni dei dati in questione;

b)

descrivere le probabili conseguenze della violazione dei dati personali;

c)

descrivere le misure proposte o adottate da Europol per porre rimedio alla violazione dei dati personali; e

d)

ove opportuno, elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione dei dati personali.

3.   Europol documenta le violazioni dei dati personali, inclusi i fatti relativi alla violazione, i suoi effetti e le misure correttive adottate, consentendo in tal modo al GEPD di verificare la conformità con il presente articolo.

Articolo 35

Comunicazione di una violazione dei dati personali all'interessato

1.   Fatto salvo il paragrafo 4 del presente articolo, qualora la violazione dei dati personali di cui all'articolo 34 sia suscettibile di ledere gravemente i diritti e le libertà dell'interessato, Europol comunica la violazione all'interessato senza ingiustificato ritardo.

2.   La comunicazione all'interessato di cui al paragrafo 1 descrive, ove possibile, la natura della violazione dei dati personali, elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione e riporta l'identità e i recapiti del responsabile della protezione dei dati.

3.   Nel caso in cui Europol non disponga dei recapiti dell'interessato in questione, al fornitore dei dati è chiesto di comunicare all'interessato la violazione dei dati personali e di informare Europol della decisione presa. Gli Stati membri che forniscono i dati comunicano la violazione all'interessato secondo le procedure previste dal diritto nazionale.

4.   Non è richiesta la comunicazione di una violazione dei dati personali all'interessato se:

a)

Europol ha applicato ai dati personali oggetto della violazione misure tecnologiche di protezione appropriate che rendano i dati incomprensibili a chiunque non sia autorizzato ad accedervi;

b)

Europol ha successivamente adottato misure atte a far sì che i diritti e le libertà dell'interessato non rischino più di essere gravemente pregiudicati; oppure

c)

tale comunicazione richiederebbe sforzi sproporzionati, in particolare a motivo del numero di casi in questione. In una simile circostanza, si procede invece a una comunicazione pubblica o a una misura simile che informi gli interessati in questione con analoga efficacia.

5.   La comunicazione all'interessato può essere rinviata, limitata o omessa nel caso in cui ciò costituisca una misura necessaria, tenuto debito conto dei legittimi interessi dell'interessato:

a)

per non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

b)

per non compromettere la prevenzione, l'indagine, l'accertamento o il perseguimento di reati o l'esecuzione di sanzioni penali;

c)

per proteggere la sicurezza pubblica e nazionale;

d)

per proteggere i diritti e le libertà di terzi.

Articolo 36

Diritto di accesso dell'interessato

1.   L'interessato ha diritto, a intervalli ragionevoli, di ottenere informazioni per sapere se i dati personali che lo riguardano sono trattati da Europol.

2.   Fatto salvo il paragrafo 5, Europol fornisce all'interessato le seguenti informazioni:

a)

la conferma che sia o meno in corso un trattamento di dati che lo riguardano;

b)

informazioni relative almeno alle finalità del trattamento, alle categorie di dati trattati, ai destinatari o alle categorie di destinatari a cui sono comunicati i dati;

c)

la comunicazione in forma intelligibile dei dati oggetto del trattamento nonché di tutte le informazioni disponibili sulla loro origine;

d)

l'indicazione della base giuridica per il trattamento dei dati;

e)

il previsto periodo per il quale saranno conservati i dati personali;

f)

l'esistenza del diritto di richiedere a Europol la rettifica, la cancellazione o la limitazione del trattamento dei dati personali riguardanti l'interessato.

3.   L'interessato che desideri esercitare il diritto di accesso ai dati personali che lo riguardano può presentare, senza incorrere in costi eccessivi, un'apposita domanda all'autorità designata a tal fine nello Stato membro di sua scelta. Tale autorità sottopone la domanda a Europol senza indugio e in ogni caso entro un mese dal ricevimento.

4.   Europol accusa ricezione della domanda di cui al paragrafo 3. Europol risponde alla domanda senza ingiustificato ritardo e in ogni caso entro tre mesi dalla ricezione della domanda dell'autorità nazionale.

5.   Europol consulta le autorità competenti degli Stati membri, in conformità delle condizioni di cui all'articolo 7, paragrafo 5, e il fornitore dei dati interessato sulla decisione da prendere. La decisione di accesso ai dati personali è subordinata alla stretta cooperazione tra Europol e gli Stati membri e il fornitore dei dati direttamente interessato dall'accesso dell'interessato ai dati. Se uno Stato membro o il fornitore dei dati si oppone alla risposta proposta da Europol, comunica la motivazione a Europol in conformità del presente articolo, paragrafo 6. Europol tiene nella massima considerazione tali opposizioni. Europol comunica successivamente la sua decisione alle autorità competenti interessate, in conformità delle condizioni di cui all'articolo 7, paragrafo 5, e al fornitore dei dati.

6.   La comunicazione di informazioni in risposta alle domande di cui al paragrafo 1 può essere rifiutata o limitata ove tale rifiuto o limitazione costituisca una misura necessaria per:

a)

consentire il corretto svolgimento dei compiti di Europol;

b)

tutelare la sicurezza e l'ordine pubblico o prevenire attività criminali;

c)

garantire che nessuna indagine nazionale sia compromessa; oppure

d)

proteggere i diritti e le libertà di terzi.

Nel valutare l'applicabilità di un'esenzione alla norma che richiede la comunicazione di informazioni, si tiene conto dei diritti fondamentali e degli interessi dell'interessato.

7.   Europol informa per iscritto l'interessato dell'eventuale rifiuto o limitazione dell'accesso, dei relativi motivi e del diritto di proporre reclamo al GEPD. Qualora la comunicazione di tali informazioni privi d'effetto il paragrafo 6, Europol si limita a comunicare all'interessato di aver effettuato le verifiche, senza fornire indicazioni che possano rivelare se Europol abbia trattato dati personali che lo riguardano.

Articolo 37

Diritto di rettifica, cancellazione e limitazione dell'accesso

1.   L'interessato che abbia avuto accesso ai dati personali che lo riguardano trattati da Europol a norma dell'articolo 36 ha il diritto di chiedere a Europol, tramite l'autorità designata a tal fine nello Stato membro di sua scelta, che i dati personali che lo riguardano detenuti da Europol siano rettificati se inesatti e siano completati o aggiornati. Tale autorità sottopone la domanda a Europol senza indugio e in ogni caso entro un mese dal ricevimento.

2.   L'interessato che abbia avuto accesso ai dati personali che lo riguardano trattati da Europol a norma dell'articolo 36 ha il diritto di chiedere a Europol, tramite l'autorità designata a tal fine nello Stato membro di sua scelta, che i dati personali che lo riguardano detenuti da Europol siano cancellati se non sono più necessari per le finalità per le quali sono stati raccolti o successivamente trattati. Tale autorità sottopone la domanda a Europol senza indugio e in ogni caso entro un mese dal ricevimento.

3.   Anziché cancellarli, Europol limita l'accesso ai dati personali di cui al paragrafo 2 se sussistono fondati motivi di ritenere che la cancellazione possa compromettere i legittimi interessi dell'interessato. I dati ai quali l'accesso è limitato sono trattati per la sola finalità che ne ha impedito la cancellazione.

4.   Se i dati personali di cui ai paragrafi 1, 2 e 3 detenuti da Europol sono stati forniti da paesi terzi, organizzazioni internazionali o organismi dell'Unione, o sono stati forniti direttamente da parti private o reperiti da Europol da fonti accessibili al pubblico oppure sono il risultato di analisi di Europol, quest'ultima provvede alla loro rettifica, alla loro cancellazione o alla limitazione dell'accesso agli stessi e ne informa, se del caso, i fornitori dei dati.

5.   Se i dati personali di cui ai paragrafi 1, 2 e 3 detenuti da Europol sono stati forniti a Europol da Stati membri, gli Stati membri interessati provvedono alla loro rettifica, alla loro cancellazione o alla limitazione dell'accesso agli stessi in collaborazione con Europol nei limiti delle rispettive competenze.

6.   Se i dati personali errati sono stati trasferiti con altro mezzo appropriato o se gli errori nei dati forniti da Stati membri sono dovuti a mancato trasferimento o sono trasferiti in violazione del presente regolamento, oppure al fatto che Europol ha immesso, ripreso o conservato i dati in modo errato o in violazione del presente regolamento, Europol li rettifica o li cancella in collaborazione con il fornitore dei dati interessato.

7.   Nei casi di cui ai paragrafi 4, 5 e 6, tutti i destinatari dei dati interessati sono informati senza indugio. I destinatari provvedono quindi alla rettifica, alla cancellazione dei dati o alla limitazione dell'accesso agli stessi nei rispettivi sistemi conformemente alle norme loro applicabili.

8.   Senza ingiustificato ritardo e in ogni caso entro tre mesi dal ricevimento di una domanda in conformità del paragrafo 1 o 2, Europol informa per iscritto l'interessato che i dati che lo riguardano sono stati rettificati, cancellati o che l'accesso agli stessi è stato limitato.

9.   Entro tre mesi dal ricevimento di una domanda in conformità del paragrafo 1 o 2, Europol informa per iscritto l'interessato dell'eventuale rifiuto di rettifica, cancellazione o della limitazione dell'accesso, dei motivi del rifiuto e delle possibilità di proporre reclamo al GEPD e di proporre ricorso giurisdizionale.

Articolo 38

Responsabilità in materia di protezione dei dati

1.   Europol conserva i dati in modo che sia possibile individuarne la fonte conformemente all'articolo 17.

2.   La responsabilità della qualità dei dati personali ai sensi dell'articolo 28, paragrafo 1, lettera d), spetta:

a)

allo Stato membro o all'organismo dell'Unione che ha fornito i dati personali a Europol;

b)

a Europol per quanto riguarda i dati personali forniti da paesi terzi o organizzazioni internazionali o forniti direttamente da parti private, i dati personali reperiti da Europol da fonti accessibili al pubblico o risultanti da analisi di Europol e i dati personali conservati da Europol a norma dell'articolo 31, paragrafo 5.

3.   Se Europol viene a conoscenza della circostanza che i dati forniti a norma dell'articolo 17, paragrafo 1, lettere a) e b), contengono errori di fatto o sono stati conservati illecitamente, ne informa il fornitore dei dati.

4.   Europol è responsabile del rispetto dei principi di cui all'articolo 28, paragrafo 1, lettere a), b), c), e) ed f).

5.   La responsabilità della liceità del trasferimento dei dati spetta:

a)

allo Stato membro che ha fornito i dati personali a Europol;

b)

a Europol, in caso di dati personali forniti dall'Agenzia a Stati membri, paesi terzi o organizzazioni internazionali.

6.   La responsabilità della liceità del trasferimento di dati tra Europol e un organismo dell'Unione spetta a Europol.

Fatto salvo il primo comma, se i dati sono trasferiti da Europol su richiesta del destinatario, Europol e il destinatario sono entrambi responsabili della liceità del trasferimento.

7.   Europol è responsabile di tutti i trattamenti di dati che effettua, ad eccezione dello scambio bilaterale di dati effettuato tramite l'infrastruttura di Europol tra Stati membri, organismi dell'Unione, paesi terzi e organizzazioni internazionali a cui Europol non ha accesso. Tali scambi bilaterali hanno luogo sotto la responsabilità delle entità interessate e conformemente al loro diritto. La sicurezza di tali scambi è assicurata a norma dell'articolo 32.

Articolo 39

Consultazione preventiva

1.   Qualsiasi nuovo tipo di trattamento da effettuare è soggetto a consultazione preventiva qualora:

a)

si tratti delle categorie particolari di dati di cui all'articolo 30, paragrafo 2;

b)

il tipo di trattamento, in particolare il ricorso a tecnologie, procedure o meccanismi nuovi, presenti rischi specifici per i diritti e le libertà fondamentali dell'interessato, segnatamente per quanto attiene alla protezione dei dati personali.

2.   La consultazione preventiva è effettuata dal GEPD previo ricevimento di una notificazione del responsabile della protezione dei dati che contenga almeno una descrizione generale dei trattamenti previsti, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare tali rischi, le garanzie, le misure e i meccanismi di sicurezza volti a garantire la protezione dei dati personali e a dimostrare la conformità al presente regolamento, tenendo conto dei diritti e degli interessi legittimi degli interessati e delle altre persone coinvolte.

3.   Il GEPD fornisce un parere al consiglio di amministrazione entro due mesi dal ricevimento della notificazione. Tale periodo può essere sospeso fino a quando il GEPD non abbia ricevuto le eventuali ulteriori informazioni richieste.

La mancata adozione di un parere dopo quattro mesi equivale a un parere favorevole.

Se ritiene che il trattamento notificato rischi di comportare una violazione di disposizioni del presente regolamento, il GEPD formula ove necessario proposte per evitare tale violazione. Se Europol non modifica il trattamento stesso di conseguenza, il GEPD può esercitare i poteri che gli conferisce l'articolo 43, paragrafo 3.

4.   Il GEPD tiene un registro di tutti i trattamenti che gli sono stati notificati a norma del paragrafo 1. Il registro non è pubblicato.

Articolo 40

Registrazione e documentazione

1.   Ai fini della verifica della liceità del trattamento dei dati, del controllo interno e di garantire correttamente l'integrità e la sicurezza dei dati, Europol provvede affinché siano registrati la raccolta, la modifica, l'accesso, la divulgazione, la combinazione o la cancellazione di dati personali. I registri o la documentazione sono cancellati dopo tre anni, salvo che i dati che contengono siano necessari per un controllo in corso. Non è possibile modificare i registri.

2.   I registri o la documentazione preparati ai sensi del paragrafo 1 sono trasmessi, su richiesta, al GEPD, al responsabile della protezione dei dati e, ove necessario per un'indagine specifica, all'unità nazionale interessata. Le informazioni così trasmesse sono utilizzate solo per il controllo della protezione dei dati e per garantire un trattamento corretto dei dati, nonché la loro integrità e sicurezza.

Articolo 41

Responsabile della protezione dei dati

1.   Il consiglio di amministrazione nomina, tra i membri del personale, un responsabile della protezione dei dati. Nello svolgimento delle sue funzioni, il responsabile della protezione dei dati deve agire in modo indipendente.

2.   Il responsabile della protezione dei dati è scelto in funzione delle sue qualità personali e professionali e, in particolare, delle sue conoscenze specifiche in materia di protezione dei dati.

Nella selezione del responsabile della protezione dei dati ci si assicura che non possa sorgere alcun conflitto di interesse derivante dallo svolgimento delle relative funzioni in tale veste e da altre eventuali funzioni di ufficio, in particolare quelle inerenti all'applicazione del presente regolamento.

3.   Il responsabile della protezione dei dati è nominato per un periodo di quattro anni. Il suo mandato è rinnovabile, ma la durata complessiva del mandato non può superare gli otto anni. Può essere rimosso dall'incarico di responsabile della protezione dei dati dal consiglio di amministrazione solo con il consenso del GEPD, se non soddisfa più le condizioni richieste per l'esercizio delle sue funzioni.

4.   La nomina del responsabile della protezione dei dati è comunicata al GEPD dal consiglio di amministrazione.

5.   Il responsabile della protezione dei dati non riceve alcuna istruzione per quanto riguarda l'esercizio delle sue funzioni.

6.   Per quanto riguarda i dati personali, ad eccezione dei dati personali amministrativi, i compiti del responsabile della protezione dei dati sono:

a)

garantire, in maniera indipendente, l'applicazione interna del presente regolamento relative al trattamento dei dati personali;

b)

garantire che sia mantenuta traccia del trasferimento e del ricevimento di dati personali a norma del presente regolamento;

c)

garantire che gli interessati siano informati, su richiesta, dei diritti spettanti loro ai sensi del presente regolamento;

d)

cooperare con il personale Europol preposto alle procedure, alla formazione e alla consulenza in materia di trattamento dati;

e)

cooperare con il GEPD;

f)

redigere una relazione annuale e trasmetterla al consiglio di amministrazione e al GEPD;

g)

tenere un registro delle violazioni di dati personali.

7.   Il responsabile della protezione dei dati svolge inoltre le funzioni previste dal regolamento (CE) n. 45/2001 per quanto riguarda i dati personali amministrativi.

8.   Nello svolgimento dei suoi compiti, il responsabile della protezione dei dati ha accesso a tutti i dati trattati da Europol e a tutti i locali di Europol.

9.   Qualora il responsabile della protezione dei dati ritenga che le disposizioni del presente regolamento relative al trattamento dei dati personali non siano state rispettate, ne informa il direttore esecutivo e chiede allo stesso di porre rimedio all'inadempienza entro un termine determinato.

Se il direttore esecutivo non pone rimedio al trattamento non conforme entro il termine determinato, il responsabile della protezione dei dati ne informa il consiglio di amministrazione. Il responsabile della protezione dei dati e il consiglio di amministrazione concordano un termine determinato per la risposta da parte di quest'ultimo. Se il consiglio di amministrazione non pone rimedio all'inadempienza entro il termine determinato, il responsabile della protezione dei dati si rivolge al GEPD.

10.   Il consiglio di amministrazione adotta le norme attuative relative al responsabile della protezione dei dati. Tali norme attuative riguardano, in particolare, la procedura di selezione, la revoca, i compiti, le funzioni, i poteri e le garanzie di indipendenza del responsabile della protezione dei dati.

11.   Europol mette a disposizione del responsabile della protezione dei dati il personale e le risorse necessarie all'esercizio delle sue funzioni. Tali membri del personale hanno accesso a tutti i dati trattati presso Europol e ai locali di Europol solo nella misura necessaria allo svolgimento dei loro compiti.

12.   Il responsabile della protezione dei dati e il suo personale sono soggetti all'obbligo di riservatezza ai sensi dell'articolo 67, paragrafo 1.

Articolo 42

Vigilanza da parte delle autorità di controllo nazionali

1.   Ciascuno Stato membro designa un'autorità di controllo nazionale. L'autorità di controllo nazionale è incaricata di vigilare, in modo indipendente e nel rispetto del diritto nazionale, affinché il trasferimento, il reperimento e la comunicazione a Europol di dati personali da parte dello Stato membro interessato avvengano in modo lecito e di esaminare se tale trasferimento, reperimento o comunicazione non leda i diritti degli interessati. A tal fine l'autorità di controllo nazionale ha accesso, presso i locali delle unità nazionali o degli ufficiali di collegamento, ai dati forniti dal suo Stato membro a Europol, secondo le procedure nazionali applicabili, nonché ai registri e alla documentazione di cui all'articolo 40.

2.   Ai fini dell'esercizio della funzione di vigilanza, le autorità di controllo nazionali hanno accesso agli uffici e ai documenti dei rispettivi ufficiali di collegamento presso Europol.

3.   Conformemente alle procedure nazionali applicabili, le autorità di controllo nazionali vigilano sulle attività svolte dalle unità nazionali e dagli ufficiali di collegamento, in quanto rilevanti per la protezione dei dati personali. Esse informano, inoltre, il GEPD delle azioni che intraprendono in relazione a Europol.

4.   Chiunque ha diritto di chiedere all'autorità di controllo nazionale di verificare la liceità del trasferimento o della comunicazione a Europol, in qualsiasi forma, di dati che lo riguardano, e dell'accesso a tali dati da parte dello Stato membro interessato. Tale diritto è esercitato conformemente al diritto nazionale dello Stato membro in cui la domanda è presentata.

Articolo 43

Vigilanza da parte del GEPD

1.   Il GEPD ha il compito di sorvegliare e assicurare l'applicazione delle disposizioni del presente regolamento relative alla tutela dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento di dati personali da parte di Europol, e di fornire a Europol e agli interessati pareri su tutte le questioni relative al trattamento dei dati personali. A tal fine esso assolve le funzioni previste al paragrafo 2 ed esercita i poteri stabiliti al paragrafo 3 agendo nel contempo in stretta cooperazione con le autorità di controllo nazionali ai sensi dell'articolo 44.

2.   In applicazione del presente regolamento, il GEPD:

a)

tratta i reclami e compie i relativi accertamenti, e ne comunica l'esito agli interessati entro un termine ragionevole;

b)

svolge indagini di propria iniziativa o in seguito a un reclamo e ne comunica l'esito agli interessati entro un termine ragionevole;

c)

sorveglia e garantisce l'applicazione da parte di Europol del presente regolamento e di qualsiasi altro atto dell'Unione relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali;

d)

consiglia Europol, di propria iniziativa o su richiesta, in ordine a qualsiasi argomento relativo al trattamento di dati personali, in particolare prima che adotti regolamentazioni interne relative alla tutela dei diritti e delle libertà fondamentali riguardo al trattamento di dati personali;

e)

tiene un registro dei nuovi tipi di trattamento notificatigli ai sensi dell'articolo 39, paragrafo 1, e registrati a norma dell'articolo 39, paragrafo 4;

f)

procede ad una consultazione preventiva sui trattamenti notificatigli.

3.   Conformemente al presente regolamento, il GEPD può:

a)

offrire consulenza agli interessati sull'esercizio dei loro diritti;

b)

rivolgersi a Europol in caso di presunta violazione delle disposizioni sul trattamento dei dati personali e, all'occorrenza, presentare proposte volte a porre rimedio a tale violazione e a migliorare la protezione degli interessati;

c)

ordinare che siano soddisfatte le richieste di esercizio di determinati diritti in relazione ai dati allorché dette richieste siano state respinte in violazione degli articoli 36 e 37;

d)

rivolgere avvertimenti o moniti a Europol;

e)

ordinare a Europol di effettuare la rettifica, la limitazione dell'accesso, la cancellazione o la distruzione dei dati personali che sono stati trattati in violazione delle disposizioni sul trattamento dei dati personali e la notificazione di misure ai terzi ai quali tali dati sono stati comunicati;

f)

vietare a titolo provvisorio o definitivo i trattamenti da parte di Europol che violano le disposizioni sul trattamento dei dati personali;

g)

rivolgersi a Europol e, se necessario, al Parlamento europeo, al Consiglio e alla Commissione;

h)

adire la Corte di giustizia dell'Unione europea alle condizioni previste dal TFUE;

i)

intervenire nelle cause dinanzi alla Corte di giustizia dell'Unione europea.

4.   Il GEPD ha il potere di:

a)

ottenere da Europol l'accesso a tutti i dati personali e a tutte le informazioni necessarie alle sue indagini;

b)

accedere a tutti i locali in cui Europol svolge le sue attività se si può ragionevolmente supporre che in essi sia svolta un'attività in applicazione del presente regolamento.

5.   Il GEPD elabora un rapporto annuale sulle attività di vigilanza di Europol previa consultazione delle autorità di controllo nazionali. Tale rapporto è parte integrante del rapporto annuale del GEPD di cui all'articolo 48 del regolamento (CE) n. 45/2001.

Tale rapporto include informazioni statistiche riguardanti i reclami, le indagini e gli accertamenti effettuati in conformità del paragrafo 2, nonché i trasferimenti di dati personali a paesi terzi e organizzazioni internazionali, i casi di consultazione preventiva e l'esercizio dei poteri stabiliti al paragrafo 3.

6.   Il GEPD, i funzionari e gli altri agenti addetti al segretariato del GEPD sono soggetti all'obbligo di riservatezza stabilito all'articolo 67, paragrafo 1.

Articolo 44

Cooperazione tra il GEPD e le autorità di controllo nazionali

1.   Il GEPD agisce in stretta cooperazione con le autorità di controllo nazionali riguardo a temi che richiedono un contributo nazionale, in particolare se il GEPD o un'autorità di controllo nazionale constata notevoli differenze tra le prassi degli Stati membri o trasferimenti potenzialmente illeciti nell'uso dei canali Europol per lo scambio di informazioni, o in relazione a questioni sollevate da una o più autorità di controllo nazionali sull'attuazione e sull'interpretazione del presente regolamento.

2.   Il GEPD si avvale delle competenze e dell'esperienza delle autorità di controllo nazionali nell'espletamento delle sue funzioni di cui all'articolo 43, paragrafo 2. Tenuto debito conto dei principi di sussidiarietà e proporzionalità, nello svolgimento di ispezioni congiunte con il GEPD, i membri e il personale delle autorità di controllo nazionali hanno poteri equivalenti a quelli indicati all'articolo 43, paragrafo 4, e sono vincolati da un obbligo equivalente a quello di cui all'articolo 43, paragrafo 6. Il GEPD e le autorità di controllo nazionali, ciascuno nei limiti delle proprie competenze, si scambiano informazioni pertinenti e si assistono vicendevolmente nello svolgimento di revisioni e ispezioni.

3.   Il GEPD tiene pienamente informate le autorità di controllo nazionali relativamente a tutte le questioni che le riguardano direttamente o sono per loro altrimenti pertinenti. Su richiesta di una o più autorità di controllo nazionali, il GEPD le informa riguardo a questioni specifiche.

4.   In casi riguardanti i dati provenienti da uno o più Stati membri, compresi i casi di cui all'articolo 47, paragrafo 2, il GEPD consulta le autorità di controllo nazionali interessate. Il GEPD non decide in merito agli ulteriori provvedimenti da adottare prima che tali autorità di controllo nazionali non gli abbiano comunicato la propria posizione, entro un termine specificato dal garante, non inferiore a un mese e non superiore a tre mesi. Il GEPD tiene nella massima considerazione le rispettive posizioni delle autorità di controllo nazionali interessate. Qualora non intenda seguire la posizione di un'autorità di controllo nazionale, il GEPD la informa in merito, giustifica la propria decisione e sottopone la questione all'esame del consiglio di cooperazione istituito dall'articolo 45, paragrafo 1.

Qualora reputi che si tratti di casi di estrema urgenza, il GEPD può decidere di prendere provvedimenti immediati. In tali casi il GEPD informa immediatamente le competenti autorità di controllo nazionali interessate e giustifica la natura urgente della situazione e il provvedimento adottato.

Articolo 45

Consiglio di cooperazione

1.   È istituito un consiglio di cooperazione con funzione consultiva. Il consiglio di cooperazione è composto da un rappresentante di un'autorità di controllo nazionale di ciascuno Stato membro e dal GEPD.

2.   Il consiglio di cooperazione agisce in piena indipendenza nello svolgimento dei compiti di cui al paragrafo 3 e non sollecita né accetta istruzioni da alcun organismo.

3.   Il consiglio di cooperazione svolge i seguenti compiti:

a)

discutere la politica e la strategia generali riguardo al controllo della protezione dei dati nel quadro di Europol, all'ammissibilità del trasferimento, al reperimento e alla comunicazione a Europol di dati personali da parte degli Stati membri;

b)

esaminare le difficoltà di interpretazione o applicazione del presente regolamento;

c)

studiare i problemi generali inerenti all'esercizio di un controllo indipendente o all'esercizio dei diritti degli interessati;

d)

discutere ed elaborare proposte armonizzate per soluzioni comuni delle questioni di cui all'articolo 44, paragrafo 1;

e)

discutere i casi sottoposti dal GEPD in conformità dell'articolo 44, paragrafo 4;

f)

discutere i casi sottoposti da autorità di controllo nazionali; e

g)

promuovere la sensibilizzazione del pubblico in materia di diritti di protezione dei dati.

4.   Il consiglio di cooperazione può formulare pareri, orientamenti, raccomandazioni e indicare migliori prassi che il GEPD e le autorità di controllo nazionali, fatta salva la loro indipendenza e ciascuno nei limiti delle rispettive competenze, tengono nella massima considerazione.

5.   Il consiglio di cooperazione si riunisce a seconda delle necessità e almeno due volte all'anno. I costi e la gestione delle sue riunioni sono a carico del GEPD.

6.   Nella prima riunione del consiglio di cooperazione è adottato un regolamento interno a maggioranza semplice dei membri. Ulteriori metodi di lavoro sono elaborati congiuntamente, se necessario.

Articolo 46

Dati personali amministrativi

Il regolamento (CE) n. 45/2001 si applica a tutti i dati personali amministrativi detenuti da Europol.

CAPO VII

MEZZI DI RICORSO E RESPONSABILITÀ

Articolo 47

Diritto di proporre reclamo al GEPD

1.   L'interessato che ritenga che il trattamento dei dati personali che lo riguardano da parte di Europol non sia conforme al presente regolamento ha il diritto di proporre reclamo al GEPD.

2.   Se il reclamo riguarda una decisione di cui all'articolo 36 o 37, il GEPD consulta le autorità di controllo nazionali dello Stato membro che ha fornito i dati o dello Stato membro direttamente interessato. Nell'adottare la sua decisione, che può estendere il rifiuto alla comunicazione di qualsiasi informazione, il GEPD tiene conto del parere dell'autorità di controllo nazionale.

3.   Se il reclamo riguarda il trattamento di dati forniti a Europol da uno Stato membro, il GEPD e l'autorità di controllo nazionale dello Stato membro che ha fornito i dati si accertano, ciascuno nei limiti delle rispettive competenze, che le opportune verifiche sulla liceità del trattamento dei dati siano state effettuate correttamente.

4.   Se il reclamo riguarda il trattamento di dati forniti a Europol da organismi dell'Unione, paesi terzi o organizzazioni internazionali oppure di dati reperiti da Europol da fonti accessibili al pubblico o derivanti da analisi di Europol, il GEPD si accerta che Europol abbia effettuato correttamente le opportune verifiche sulla liceità del trattamento dei dati.

Articolo 48

Diritto a un mezzo di ricorso giurisdizionale contro il GEPD

Le azioni avverso le decisioni del GEPD devono essere proposte dinanzi alla Corte di giustizia dell'Unione europea.

Articolo 49

Disposizioni generali in materia di responsabilità e diritto al risarcimento

1.   La responsabilità contrattuale di Europol è regolata dal diritto applicabile al contratto in questione.

2.   La Corte di giustizia dell'Unione europea è competente a giudicare in virtù di una clausola compromissoria contenuta in un contratto concluso da Europol.

3.   Fatto salvo l'articolo 49, in materia di responsabilità extracontrattuale Europol risarcisce, secondo i principi generali comuni agli ordinamenti degli Stati membri, i danni causati dai suoi servizi o dal suo personale nell'esercizio delle loro funzioni.

4.   La Corte di giustizia dell'Unione europea è competente a pronunciarsi in merito alle controversie relative al risarcimento dei danni di cui al paragrafo 3.

5.   La responsabilità individuale del personale Europol nei confronti di Europol è regolata dalle pertinenti disposizioni dello statuto dei funzionari o del regime applicabile agli altri agenti.

Articolo 50

Responsabilità per trattamento non corretto dei dati personali e diritto al risarcimento

1.   La persona fisica che subisca un danno cagionato da un trattamento illecito dei dati ha il diritto di ottenere il risarcimento del danno da Europol, conformemente all'articolo 340 TFEU, o dallo Stato membro in cui si è verificato il fatto generatore del danno, conformemente al diritto nazionale. L'azione contro Europol è proposta dalle persone fisiche dinanzi alla Corte di giustizia dell'Unione europea, mentre quella contro lo Stato membro è da esse proposta dinanzi all'autorità giurisdizionale competente di tale Stato membro.

2.   Qualsiasi controversia tra Europol e uno Stato membro in merito alla responsabilità finale del risarcimento corrisposto a una persona fisica ai sensi del paragrafo 1 è sottoposta al consiglio di amministrazione, che decide deliberando a maggioranza dei due terzi dei suoi membri, fatto salvo il diritto di impugnare tale decisione ai sensi dell'articolo 263 TFUE.

CAPO VIII

CONTROLLO PARLAMENTARE CONGIUNTO

Articolo 51

Controllo parlamentare congiunto

1.   A norma dell'articolo 88 TFUE, il Parlamento europeo effettua, in associazione con i parlamenti nazionali, il controllo delle attività di Europol. Insieme, essi costituiscono un gruppo specializzato di controllo parlamentare congiunto istituito insieme dai parlamenti nazionali e dalla commissione competente del Parlamento europeo. Il Parlamento europeo e i parlamenti nazionali definiscono insieme l'organizzazione e il regolamento interno del gruppo di controllo parlamentare congiunto conformemente all'articolo 9 del protocollo n. 1.

2.   Il gruppo di controllo parlamentare congiunto esercita un monitoraggio politico delle attività di Europol nell'adempimento della sua missione, anche per quanto riguarda l'impatto di tali attività sui diritti e sulle libertà fondamentali delle persone fisiche.

Ai fini del primo comma:

a)

il presidente del consiglio di amministrazione, il direttore esecutivo o i loro supplenti compaiono dinanzi al gruppo di controllo parlamentare congiunto, su richiesta di quest'ultimo, per discutere questioni riguardanti le attività di cui al primo comma, compresi gli aspetti di bilancio di tali attività, l'organizzazione strutturale di Europol e l'eventuale istituzione di nuove unità e centri specializzati, tenendo conto degli obblighi di segreto e riservatezza. Il gruppo può decidere di invitare alle sue riunioni altre persone interessate, ove del caso;

b)

il GEPD compare dinanzi al gruppo di controllo parlamentare congiunto, su richiesta di quest'ultimo, a cadenza almeno annuale per discutere le questioni generali relative alla protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare la protezione dei dati personali, nelle attività di Europol, tenendo conto degli obblighi di segreto e riservatezza;

c)

il gruppo di controllo parlamentare congiunto è consultato per quanto riguarda la programmazione pluriennale di Europol a norma dell'articolo 12, paragrafo 1.

3.   Europol trasmette al gruppo di controllo parlamentare congiunto, a titolo informativo, i seguenti documenti, tenendo conto degli obblighi di segreto e riservatezza:

a)

le valutazioni delle minacce, le analisi strategiche e i rapporti di situazione in relazione all'obiettivo di Europol, nonché i risultati degli studi e delle valutazioni commissionate da Europol;

b)

le intese amministrative concluse ai sensi dell'articolo 25, paragrafo 1;

c)

il documento contenente la programmazione pluriennale e il programma di lavoro annuale di Europol di cui all'articolo 12, paragrafo 1;

d)

la relazione annuale di attività consolidata sulle attività di Europol di cui all'articolo 11, paragrafo 1, lettera c);

e)

la relazione di valutazione redatta dalla Commissione di cui all'articolo 68, paragrafo 1.

4.   Il gruppo di controllo parlamentare congiunto può chiedere altri documenti pertinenti necessari allo svolgimento dei suoi compiti riguardanti il monitoraggio politico delle attività di Europol, fatti salvi il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (23) e gli articoli 52 e 67 del presente regolamento.

5.   Il gruppo di controllo parlamentare congiunto può redigere conclusioni sintetiche sul monitoraggio politico delle attività di Europol e presentarle al Parlamento europeo e ai parlamenti nazionali. Il Parlamento europeo le trasmette, a titolo informativo, al Consiglio, alla Commissione e a Europol.

Articolo 52

Accesso del Parlamento europeo alle informazioni trattate da o mediante Europol

1.   Al fine di consentire l'esercizio del controllo parlamentare delle attività di Europol ai sensi dell'articolo 51, l'accesso del Parlamento europeo, su sua richiesta, alle informazioni sensibili non classificate trattate da o mediante Europol deve essere conforme alle norme di cui all'articolo 67, paragrafo 1.

2.   L'accesso del Parlamento europeo alle informazioni classificate UE trattate da o mediante Europol deve essere conforme all'accordo interistituzionale del 12 marzo 2014 tra il Parlamento europeo e il Consiglio relativo alla trasmissione al Parlamento europeo e al trattamento da parte di quest'ultimo delle informazioni classificate detenute dal Consiglio su materie che non rientrano nel settore della politica estera e di sicurezza comune (24) e alle norme di cui all'articolo 67, paragrafo 2, del presente regolamento.

3.   Le necessarie modalità di accesso del Parlamento europeo alle informazioni di cui ai paragrafi 1 e 2 sono disciplinate da un accordo di lavoro concluso tra Europol e il Parlamento europeo.

CAPO IX

PERSONALE

Articolo 53

Disposizioni generali

1.   Al personale dell'agenzia Europol, escluso quello che al 1o maggio 2017 è assunto con un contratto concluso dall'ufficio Europol istituito dalla convenzione Europol, si applicano lo statuto dei funzionari, il regime applicabile agli altri agenti e le regole adottate di comune accordo dalle istituzioni dell'Unione per l'applicazione di detto statuto e di detto regime fatto salvo l'articolo 73, paragrafo 4, del presente regolamento. I suddetti contratti continuano ad essere disciplinati dall'atto del Consiglio del 3 dicembre 1998.

2.   Il personale Europol è costituito da personale temporaneo e/o contrattuale. Il consiglio di amministrazione è informato annualmente dei contratti a tempo indeterminato stipulati dal direttore esecutivo. Il consiglio di amministrazione decide quali posti temporanei previsti nella tabella dell'organico possono essere coperti solo da personale delle autorità competenti degli Stati membri. Il personale assunto per occupare tali posti è costituito da agenti temporanei ai quali possono essere accordati solo contratti a tempo determinato, rinnovabili una volta sola per un periodo determinato.

Articolo 54

Direttore esecutivo

1.   Il direttore esecutivo è assunto come agente temporaneo di Europol ai sensi dell'articolo 2, lettera a), del regime applicabile agli altri agenti.

2.   Il direttore esecutivo è nominato dal Consiglio sulla base di un elenco ristretto di candidati proposto dal consiglio di amministrazione, seguendo una procedura di selezione aperta e trasparente.

Tale rosa è stabilita da un comitato di selezione istituito dal consiglio di amministrazione e composto da membri designati dagli Stati membri e da un rappresentante della Commissione.

Ai fini della conclusione di un contratto con il direttore esecutivo, Europol è rappresentata dal presidente del consiglio di amministrazione.

Prima di essere nominato, il candidato selezionato dal Consiglio può essere invitato a comparire dinanzi alla commissione competente del Parlamento europeo, che in seguito emette un parere non vincolante.

3.   La durata del mandato del direttore esecutivo è di quattro anni. Entro la fine di tale periodo, la Commissione effettua, in associazione con il consiglio di amministrazione, una valutazione che tiene conto:

a)

dell'esame dei risultati ottenuti dal direttore esecutivo; e

b)

delle sfide e dei compiti futuri di Europol.

4.   Il Consiglio, agendo su proposta del consiglio di amministrazione, che tiene conto della valutazione di cui al paragrafo 3, può prorogare il mandato del direttore esecutivo una volta sola e per non più di quattro anni.

5.   Il consiglio di amministrazione informa il Parlamento europeo dell'intenzione di proporre al Consiglio di prorogare il mandato del direttore esecutivo. Entro il mese precedente a tale proroga, il direttore esecutivo può essere invitato a comparire dinanzi alla commissione competente del Parlamento europeo.

6.   Il direttore esecutivo il cui mandato sia stato prorogato non partecipa ad altre procedure di selezione per lo stesso posto alla fine del periodo complessivo.

7.   Il direttore esecutivo può essere rimosso dal suo incarico solo ai sensi di una decisione del Consiglio che agisce su proposta del consiglio di amministrazione. Il Parlamento europeo è informato di tale decisione.

8.   Il consiglio di amministrazione adotta le decisioni riguardanti le proposte da formulare al Consiglio relative alla nomina del direttore esecutivo, alla proroga del suo mandato o alla sua rimozione dall'incarico a maggioranza di due terzi dei suoi membri con diritto di voto.

Articolo 55

Vicedirettori esecutivi

1.   Il direttore esecutivo è assistito da tre vicedirettori esecutivi. Il direttore esecutivo definisce i loro compiti.

2.   Ai vicedirettori esecutivi si applica l'articolo 54. Il direttore esecutivo è consultato prima della loro nomina, della proroga del loro mandato o della loro rimozione dall'incarico.

Articolo 56

Esperti nazionali distaccati

1.   Europol può avvalersi di esperti nazionali distaccati.

2.   Il consiglio di amministrazione adotta una decisione in cui stabilisce le norme relative al distacco di esperti nazionali presso Europol.

CAPO X

DISPOSIZIONI FINANZIARIE

Articolo 57

Bilancio

1.   Tutte le entrate e le spese di Europol sono oggetto di previsioni per ciascun esercizio finanziario, che coincide con l'anno civile, e sono iscritte nel bilancio di Europol.

2.   Le entrate e le spese iscritte nel bilancio di Europol devono essere in pareggio.

3.   Fatte salve altre risorse, le entrate di Europol comprendono un contributo dell'Unione iscritto al bilancio generale dell'Unione.

4.   Europol può godere del finanziamento dell'Unione, sotto forma di accordi di delega o di sovvenzioni ad hoc ai sensi delle sue regole finanziarie di cui all'articolo 61 e delle disposizioni dei pertinenti strumenti di sostegno delle politiche dell'Unione.

5.   Le spese di Europol comprendono le retribuzioni del personale, le spese amministrative e di infrastruttura e le spese di esercizio.

6.   Gli impegni di bilancio per azioni riguardanti grandi progetti la cui realizzazione si estende su più esercizi possono essere ripartiti in più frazioni annue.

Articolo 58

Stesura del bilancio

1.   Ogni anno il direttore esecutivo predispone un progetto di stato di previsione delle entrate e delle spese di Europol per l'esercizio finanziario successivo, che comprende una tabella dell'organico, e lo trasmette al consiglio di amministrazione.

2.   Sulla base del progetto di stato di previsione, il consiglio di amministrazione adotta un progetto di stato di previsione provvisorio delle entrate e delle spese di Europol per l'esercizio finanziario successivo e lo trasmette alla Commissione entro il 31 gennaio di ogni anno.

3.   Entro il 31 marzo di ogni anno il consiglio di amministrazione invia al Parlamento europeo, al Consiglio e alla Commissione lo stato di previsione definitivo delle entrate e delle spese di Europol, che include un progetto di tabella dell'organico.

4.   La Commissione trasmette al Parlamento europeo e al Consiglio lo stato di previsione unitamente al progetto di bilancio generale dell'Unione.

5.   Sulla base di tale stato di previsione, la Commissione inserisce nel progetto di bilancio generale dell'Unione le previsioni ritenute necessarie per la tabella dell'organico nonché l'importo del contributo da iscrivere al bilancio generale, che sottopone al Parlamento europeo e al Consiglio a norma degli articoli 313 e 314 TFUE.

6.   Il Parlamento europeo e il Consiglio autorizzano gli stanziamenti a titolo del contributo dell'Unione destinato a Europol.

7.   Il Parlamento europeo e il Consiglio adottano la tabella dell'organico di Europol.

8.   Il consiglio di amministrazione adotta il bilancio di Europol. Esso diventa definitivo dopo l'adozione definitiva del bilancio generale dell'Unione. Se del caso, si procede agli opportuni adeguamenti.

9.   Ai progetti riguardanti gli immobili che possono avere implicazioni significative per il bilancio di Europol si applica il regolamento delegato (UE) n. 1271/2013.

Articolo 59

Esecuzione del bilancio

1.   Il direttore esecutivo è responsabile dell'esecuzione del bilancio di Europol.

2.   Il direttore esecutivo trasmette ogni anno al Parlamento europeo e al Consiglio qualsiasi informazione pertinente in relazione ai risultati di qualsiasi procedura di valutazione.

Articolo 60

Rendicontazione e discarico

1.   Il contabile di Europol comunica i conti provvisori dell'esercizio finanziario (anno N) al contabile della Commissione e alla Corte dei conti entro il 1o marzo dell'esercizio finanziario successivo (anno N + 1).

2.   Entro il 31 marzo dell'anno N + 1, Europol trasmette al Parlamento europeo, al Consiglio e alla Corte dei conti una relazione sulla gestione finanziaria e di bilancio per l'anno N.

3.   Il contabile della Commissione trasmette alla Corte dei conti i conti provvisori di Europol per l'anno N, consolidati con i conti della Commissione, entro il 31 marzo dell'anno N + 1.

4.   Al ricevimento delle osservazioni formulate dalla Corte dei conti sui conti provvisori di Europol per l'anno N ai sensi dell'articolo 148 del regolamento (UE, Euratom) n. 966/2012 del Parlamento europeo e del Consiglio (25), il contabile di Europol stabilisce i conti definitivi di Europol per tale anno. Il direttore esecutivo li presenta al consiglio di amministrazione per parere.

5.   Il consiglio di amministrazione formula un parere sui conti definitivi di Europol per l'anno N.

6.   Entro il 1o luglio dell'anno N + 1, il contabile di Europol trasmette i conti definitivi per l'anno N, corredati del parere del consiglio d'amministrazione di cui al paragrafo 5, al Parlamento europeo, al Consiglio, alla Commissione, alla Corte dei conti e ai parlamenti nazionali.

7.   I conti definitivi per l'anno N sono pubblicati nella Gazzetta ufficiale dell'Unione europea entro il 15 novembre dell'anno N + 1.

8.   Entro il 30 settembre dell'anno N + 1, il direttore esecutivo invia alla Corte dei conti una risposta alle osservazioni da essa formulate nella relazione annuale. Egli invia inoltre tale risposta al consiglio di amministrazione.

9.   Il direttore esecutivo presenta al Parlamento europeo, su richiesta dello stesso e a norma dall'articolo 109, paragrafo 3, del regolamento delegato (UE) n. 1271/2013, tutte le informazioni necessarie per il corretto svolgimento della procedura di discarico per l'anno N.

10.   Il Parlamento europeo, su raccomandazione del Consiglio che delibera a maggioranza qualificata, concede il discarico al direttore esecutivo, entro il 15 maggio dell'anno N + 2, per l'esecuzione del bilancio per l'anno N.

Articolo 61

Regole finanziarie

1.   Le regole finanziarie applicabili a Europol sono adottate dal consiglio di amministrazione, previa consultazione della Commissione. Si discostano dal regolamento delegato (UE) n. 1271/2013 solo per esigenze specifiche di funzionamento di Europol e previo accordo della Commissione.

2.   Europol può assegnare sovvenzioni connesse allo svolgimento dei compiti di cui all'articolo 4.

3.   Europol può assegnare sovvenzioni senza invito a presentare proposte agli Stati membri ai fini dello svolgimento delle loro operazioni e indagini transfrontaliere e dell'attività di formazione in relazione ai compiti di cui all'articolo 4, paragrafo 1, lettere h) e i).

4.   Per quanto concerne il sostegno finanziario alle attività delle squadre investigative comuni, Europol ed Eurojust stabiliscono insieme le norme e le condizioni in base alle quali le domande sono trattate.

CAPO XI

DISPOSIZIONI VARIE

Articolo 62

Status giuridico

1.   Europol è un'agenzia dell'Unione. Essa ha personalità giuridica.

2.   In ciascuno Stato membro, Europol ha la più ampia capacità giuridica riconosciuta alle persone giuridiche dal diritto nazionale. Europol può, in particolare, acquistare e alienare beni mobili e immobili e stare in giudizio.

3.   Conformemente al protocollo n. 6 sulle sedi delle istituzioni e di determinati organi, organismi e servizi dell'Unione europea, allegato al TUE e al TFUE («protocollo n. 6»), Europol ha sede all'Aia.

Articolo 63

Privilegi e immunità

1.   A Europol e al suo personale si applica il protocollo n. 7 sui privilegi e sulle immunità dell'Unione europea, allegato al TUE e al TFUE.

2.   I privilegi e le immunità degli ufficiali di collegamento e dei loro familiari sono regolati da un accordo tra il Regno dei Paesi Bassi e gli altri Stati membri. Tale accordo fissa i privilegi e le immunità necessari al corretto svolgimento dei compiti degli ufficiali di collegamento.

Articolo 64

Regime linguistico

1.   A Europol si applicano le disposizioni del regolamento n. 1 del Consiglio (26).

2.   Il consiglio di amministrazione decide a maggioranza dei due terzi dei suoi membri il regime linguistico interno di Europol.

3.   I servizi di traduzione necessari per il funzionamento di Europol sono forniti dal Centro di traduzione degli organismi dell'Unione europea.

Articolo 65

Trasparenza

1.   Ai documenti in possesso di Europol si applica il regolamento (CE) n. 1049/2001.

2.   Entro il 14 dicembre 2016, il consiglio di amministrazione adotta le modalità di applicazione del regolamento (CE) n. 1049/2001 per quanto riguarda i documenti di Europol.

3.   Le decisioni adottate da Europol ai sensi dell'articolo 8 del regolamento (CE) n. 1049/2001 possono costituire oggetto di reclamo presso il Mediatore europeo o di ricorso dinanzi alla Corte di giustizia dell'Unione europea, rispettivamente in conformità degli articoli 228 e 263 TFUE.

4.   Europol pubblica sul suo sito web l'elenco dei membri del consiglio di amministrazione e le sintesi dei risultati delle riunioni di quest'ultimo. La pubblicazione di dette sintesi è limitata o omessa su base temporanea o permanente qualora essa rischi di compromettere lo svolgimento dei compiti di Europol, tenendo conto degli obblighi del segreto e della riservatezza nonché del carattere operativo di Europol.

Articolo 66

Lotta antifrode

1.   Per facilitare la lotta contro la frode, la corruzione e ogni altra attività illecita ai sensi del regolamento (UE, Euratom) n. 883/2013, Europol aderisce entro il 30 ottobre 2017 all'accordo interistituzionale, del 25 maggio 1999, tra il Parlamento Europeo, il Consiglio dell'Unione europea e la Commissione delle Comunità europee relativo alle indagini interne svolte dall'Ufficio europeo per la lotta antifrode (OLAF) (27), e adotta le opportune disposizioni applicabili a tutto il personale di Europol utilizzando il modello riportato nell'allegato di tale accordo.

2.   La Corte dei conti ha la facoltà di sottoporre a revisione contabile, sulla base di documenti e con verifiche sul posto, tutti i beneficiari di sovvenzioni, i contraenti e i subcontraenti che hanno ottenuto fondi dell'Unione da Europol.

3.   L'OLAF può svolgere indagini, compresi controlli e verifiche sul posto per accertare eventuali frodi, casi di corruzione o altre attività illecite lesive degli interessi finanziari dell'Unione in relazione a sovvenzioni o a contratti concessi da Europol. Tali indagini sono svolte conformemente alle disposizioni e procedure stabilite dal regolamento (UE, Euratom) n. 883/2013 e dal regolamento (Euratom, CE) n. 2185/96 del Consiglio (28).

4.   Fatti salvi i paragrafi 1, 2 e 3, gli accordi di lavoro con gli organismi dell'Unione, le autorità di paesi terzi, le organizzazioni internazionali e le parti private, i contratti, le convenzioni di sovvenzione e le decisioni di sovvenzione di Europol contengono disposizioni che abilitano espressamente la Corte dei conti e l'OLAF a svolgere le revisioni contabili e le indagini di cui ai paragrafi 2 e 3, in base alle rispettive competenze.

Articolo 67

Norme in materia di protezione delle informazioni sensibili non classificate e classificate

1.   Europol stabilisce le norme relative agli obblighi di segreto e riservatezza e alla protezione delle informazioni sensibili non classificate.

2.   Europol stabilisce norme in materia di protezione delle informazioni classificate dell'UE che sono conformi alla decisione 2013/488/UE al fine di assicurare un livello di protezione equivalente per tali informazioni.

Articolo 68

Valutazione e riesame

1.   Entro il 1o maggio 2022, e successivamente ogni cinque anni, la Commissione garantisce che sia eseguita una valutazione per stabilire, in particolare, l'impatto, l'efficacia e l'efficienza di Europol e delle sue prassi di lavoro. La valutazione può riguardare, in particolare, l'eventuale necessità di modificare la struttura, il funzionamento, la sfera d'azione e i compiti di Europol e le implicazioni finanziarie di tale modifica.

2.   La Commissione sottopone la relazione di valutazione al consiglio di amministrazione. Il consiglio di amministrazione formula le proprie osservazioni sulla relazione di valutazione entro tre mesi dalla data in cui l'ha ricevuta. La Commissione sottopone poi al Parlamento europeo, al Consiglio, ai parlamenti nazionali e al consiglio di amministrazione la relazione di valutazione finale, corredata delle sue conclusioni e allegandovi le osservazioni del consiglio di amministrazione. Se del caso, i principali risultati della valutazione sono pubblicati.

Articolo 69

Indagini amministrative

Le attività di Europol sono sottoposte alle indagini del Mediatore europeo, in conformità dell'articolo 228 TFUE.

Articolo 70

Sede

Le necessarie disposizioni relative all'insediamento di Europol nel Regno dei Paesi Bassi e alle strutture che il Regno dei Paesi Bassi deve mettere a disposizione nonché le norme specifiche ivi applicabili al direttore esecutivo, ai membri del consiglio d'amministrazione, al personale Europol e ai relativi familiari sono fissate in un accordo di sede concluso tra Europol e il Regno dei Paesi Bassi conformemente al protocollo n. 6.

CAPO XII

DISPOSIZIONI TRANSITORIE

Articolo 71

Successione legale

1.   L'agenzia Europol istituita con il presente regolamento subentra in tutti i contratti conclusi, nelle passività a carico e nelle proprietà acquisite dall'ufficio Europol istituito con decisione 2009/371/GAI.

2.   Il presente regolamento non pregiudica l'efficacia giuridica degli accordi conclusi dall'ufficio Europol istituito con decisione 2009/371/GAI prima del 13 giugno 2016 o degli accordi conclusi dall'ufficio Europol istituito con la convenzione Europol anteriormente al 1o gennaio 2010.

Articolo 72

Disposizioni transitorie relative al consiglio di amministrazione

1.   Il mandato dei membri del consiglio di amministrazione istituito in base all'articolo 37 della decisione 2009/371/GAI scade il 1o maggio 2017.

2.   Nel periodo dal 13 giugno 2016 al 1o maggio 2017, il consiglio di amministrazione istituito in base all'articolo 37 della decisione 2009/371/GAI:

a)

esercita le funzioni del consiglio di amministrazione in conformità dell'articolo 11 del presente regolamento;

b)

prepara l'adozione delle norme di applicazione del regolamento (CE) n. 1049/2001 per quanto riguarda i documenti Europol di cui all'articolo 65, paragrafo 2, del presente regolamento e delle norme di cui all'articolo 67 del presente regolamento;

c)

appronta qualsiasi altro strumento necessario per l'applicazione del presente regolamento, in particolare qualsiasi misura relativa al capo IV; e

d)

esamina le norme interne e le misure che ha adottato ai sensi della decisione 2009/371/GAI per consentire al consiglio di amministrazione istituito in base all'articolo 10 del presente regolamento di prendere una decisione ai sensi dell'articolo 76 del presente regolamento.

3.   La Commissione, immediatamente dopo il 13 giugno 2016, adotta le misure necessarie ad assicurare che il consiglio di amministrazione istituito a norma dell'articolo 10 inizi i lavori il 1o maggio 2017.

4.   Entro il 14 dicembre 2016 gli Stati membri comunicano alla Commissione i nomi delle persone nominate membri e supplenti del consiglio di amministrazione a norma dell'articolo 10.

5.   Il consiglio di amministrazione istituito a norma dell'articolo 10 si riunisce la prima volta il 1o maggio 2017. In quell'occasione, se necessario, prende decisioni ai sensi dell'articolo 76.

Articolo 73

Disposizioni transitorie relative al direttore esecutivo, ai vicedirettori e al personale

1.   Il direttore di Europol nominato a norma dell'articolo 38 della decisione 2009/371/GAI assume, per il periodo rimanente del suo mandato, le funzioni di direttore esecutivo ai sensi dell'articolo 16 del presente regolamento. Le altre condizioni contrattuali rimangono invariate. Se il mandato scade tra il 13 giugno 2016 e il 1o maggio 2017, è automaticamente prorogato fino al 1o maggio 2018.

2.   Qualora il direttore nominato a norma dell'articolo 38 della decisione 2009/371/GAI non intenda o non possa agire conformemente al paragrafo 1 del presente articolo, il consiglio di amministrazione, in attesa della nomina di cui all'articolo 54, paragrafo 2, del presente regolamento, nomina un direttore esecutivo ad interim che eserciti le funzioni assegnate al direttore esecutivo per un periodo massimo di diciotto mesi.

3.   Ai vicedirettori nominati a norma dell'articolo 38 della decisione 2009/371/GAI si applicano i paragrafi 1 e 2 del presente articolo.

4.   Conformemente al regime applicabile agli altri agenti, l'autorità di cui all'articolo 6, primo comma, di detto regime propone un contratto a tempo indeterminato di agente contrattuale o temporaneo ad ogni agente che al 1o maggio 2017 è impiegato con un contratto a tempo indeterminato in qualità di agente locale concluso dall'ufficio Europol istituito con la convenzione Europol. L'offerta di impiego si basa sulle funzioni che dovrà svolgere l'agente contrattuale o temporaneo. Gli effetti del contratto decorrono al più tardi il 1o maggio 2018. L'agente che non accetti l'offerta di cui al presente paragrafo può mantenere il rapporto contrattuale preesistente con Europol a norma dell'articolo 53, paragrafo 1.

Articolo 74

Disposizioni transitorie di bilancio

La procedura di discarico relativa ai bilanci, approvata in base all'articolo 42 della decisione 2009/371/GAI, è espletata conformemente alle norme stabilite dall'articolo 43 della medesima decisione.

CAPO XIII

DISPOSIZIONI FINALI

Articolo 75

Sostituzione e abrogazione

1.   Le decisioni 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI sono sostituite per gli Stati membri vincolati dal presente regolamento con effetto a decorrere dal 1o maggio 2017.

Le decisioni 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI sono pertanto abrogate con effetto a decorrere dal 1o maggio 2017.

2.   Per quanto riguarda gli Stati membri vincolati dal presente regolamento, i riferimenti alle decisioni di cui al paragrafo 1 si intendono fatti al presente regolamento.

Articolo 76

Mantenimento in vigore delle regolamentazioni interne adottate dal consiglio di amministrazione

Le norme interne e le misure adottate dal consiglio di amministrazione ai sensi della decisione 2009/371/GAI rimangono in vigore dopo il 1o maggio 2017, salvo diversa decisione del consiglio di amministrazione in applicazione del presente regolamento.

Articolo 77

Entrata in vigore e applicazione

1.   Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

2.   Esso si applica a decorrere dal 1o maggio 2017.

Tuttavia, gli articoli 71, 72 e 73 si applicano a decorrere dal 13 giugno 2016.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile negli Stati membri conformemente ai trattati.

Fatto a Strasburgo, l'11 maggio 2016

Per il Parlamento europeo

Il presidente

M. SCHULZ

Per il Consiglio

Il presidente

J.A. HENNIS-PLASSCHAERT


(1)  Posizione del Parlamento europeo del 25 febbraio 2014 (non ancora pubblicata nella Gazzetta ufficiale) e posizione del Consiglio in prima lettura del 10 marzo 2016 (non ancora pubblicata nella Gazzetta ufficiale). Posizione del Parlamento europeo dell'11 maggio 2016 (non ancora pubblicata nella Gazzetta ufficiale).

(2)  Decisione 2009/371/GAI del Consiglio, del 6 aprile 2009, che istituisce l'Ufficio europeo di polizia (Europol) (GU L 121 del 15.5.2009, pag. 37).

(3)  GU C 316 del 27.11.1995, pag. 1.

(4)  GU C 115 del 4.5.2010, pag. 1.

(5)  Decisione 2009/934/GAI del Consiglio, del 30 novembre 2009, che adotta le norme di attuazione relative alle relazioni di Europol con i partner, incluso lo scambio di dati personali e informazioni classificate (GU L 325 dell'11.12.2009, pag. 6).

(6)  Decisione 2009/935/GAI del Consiglio, del 30 novembre 2009, che stabilisce l'elenco dei paesi e delle organizzazioni terzi con cui Europol stipula accordi (GU L 325 dell'11.12.2009, pag. 12).

(7)  Decisione 2009/936/GAI del Consiglio, del 30 novembre 2009, che adotta le norme di attuazione degli archivi di lavoro per fini di analisi di Europol (GU L 325 dell'11.12.2009, pag. 14).

(8)  Decisione 2009/968/GAI del Consiglio, del 30 novembre 2009, che adotta le norme sulla protezione del segreto delle informazioni di Europol (GU L 332 del 17.12.2009, pag. 17).

(9)  Regolamento (UE) n. 1053/2013 del Consiglio, del 7 ottobre 2013, che istituisce un meccanismo di valutazione e di controllo per verificare l'applicazione dell'acquis di Schengen e che abroga la decisione del comitato esecutivo del 16 settembre 1998 che istituisce una Commissione permanente di valutazione e di applicazione di Schengen (GU L 295 del 6.11.2013, pag. 27).

(10)  Regolamento (Euratom, CECA, CEE) n. 549/69 del Consiglio, del 25 marzo 1969, che stabilisce le categorie di funzionari ed agenti delle Comunità europee ai quali si applicano le disposizioni degli articoli 12, 13, secondo comma, e 14 del protocollo sui privilegi e sulle immunità delle Comunità (GU L 74 del 27.3.1969, pag. 1).

(11)  Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

(12)  Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

(13)  Raccomandazione n. R(87)15 del Comitato dei Ministri del Consiglio d'Europa agli Stati membri tesa a regolamentare l'utilizzo dei dati a carattere personale nel settore della polizia, 17.9.1987.

(14)  GU L 56 del 4.3.1968, pag. 1.

(15)  Regolamento delegato (UE) n. 1271/2013 della Commissione, del 30 settembre 2013, che stabilisce il regolamento finanziario quadro degli organismi di cui all'articolo 208 del regolamento (UE, Euratom) n. 966/2012 del Parlamento europeo e del Consiglio (GU L 328 del 7.12.2013, pag. 42).

(16)  Regolamento delegato (UE) n. 1268/2012 della Commissione, del 29 ottobre 2012, recante le modalità di applicazione del regolamento (UE, Euratom) n. 966/2012 del Parlamento europeo e del Consiglio che stabilisce le regole finanziarie applicabili al bilancio generale dell'Unione (GU L 362 del 31.12.2012, pag. 1).

(17)  Regolamento (UE, Euratom) n. 883/2013 del Parlamento europeo e del Consiglio, dell'11 settembre 2013, relativo alle indagini svolte dall'Ufficio europeo per la lotta antifrode (OLAF) e che abroga il regolamento (CE) n. 1073/1999 del Parlamento europeo e del Consiglio e il regolamento (Euratom) n. 1074/1999 del Consiglio (GU L 248 del 18.9.2013, pag. 1).

(18)  Decisione 2013/488/UE del Consiglio, del 23 settembre 2013, sulle norme di sicurezza per la protezione delle informazioni classificate UE (GU L 274 del 15.10.2013, pag. 1).

(19)  Atto del Consiglio del 3 dicembre 1998 che stabilisce lo statuto del personale applicabile ai dipendenti dell'Europol (GU C 26 del 30.1.1999, pag. 23).

(20)  Decisione 2005/511/GAI del Consiglio, del 12 luglio 2005, relativa alla protezione dell'euro contro la falsificazione attraverso la designazione dell'Europol quale ufficio centrale competente per la lotta contro la falsificazione dell'euro (GU L 185 del 16.7.2005, pag. 35).

(21)  Direttiva 2005/60/CE del Parlamento europeo e del Consiglio, del 26 ottobre 2005, relativa alla prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo (GU L 309 del 25.11.2005, pag. 15).

(22)  Decisione quadro 2002/584/GAI del Consiglio, del 13 giugno 2002, relativa al mandato d'arresto europeo e alle procedure di consegna tra Stati membri (GU L 190 del 18.7.2002, pag. 1).

(23)  Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).

(24)  GU C 95 dell'1.4.2014, pag. 1.

(25)  Regolamento (UE, Euratom) n. 966/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, che stabilisce le regole finanziarie applicabili al bilancio generale dell'Unione e che abroga il regolamento (CE, Euratom) n. 1605/2002 (GU L 298 del 26.10.2012, pag. 1).

(26)  Regolamento n. 1 che stabilisce il regime linguistico della Comunità economica europea (GU 17 del 6.10.1958, pag. 385/58).

(27)  GU L 136 del 31.5.1999, pag. 15.

(28)  Regolamento (Euratom, CE) n. 2185/96 del Consiglio, dell'11 novembre 1996, relativo ai controlli e alle verifiche sul posto effettuati dalla Commissione ai fini della tutela degli interessi finanziari delle Comunità europee contro le frodi e altre irregolarità (GU L 292 del 15.11.1996, pag. 2).


ALLEGATO I

Elenco delle forme di criminalità di cui all'articolo 3, paragrafo 1

terrorismo,

criminalità organizzata,

traffico di stupefacenti,

attività di riciclaggio del denaro,

criminalità nel settore delle materie nucleari e radioattive,

organizzazione del traffico di migranti,

tratta di esseri umani,

criminalità connessa al traffico di veicoli rubati,

omicidio volontario e lesioni personali gravi,

traffico illecito di organi e tessuti umani,

rapimento, sequestro e presa di ostaggi,

razzismo e xenofobia,

rapina e furto aggravato,

traffico illecito di beni culturali, compresi gli oggetti d'antiquariato e le opere d'arte,

truffe e frodi,

reati contro gli interessi finanziari dell'Unione,

abuso di informazioni privilegiate e manipolazione del mercato finanziario,

racket e estorsioni,

contraffazione e pirateria in materia di prodotti,

falsificazione di atti amministrativi e traffico di documenti falsi,

falsificazione di monete e di altri mezzi di pagamento,

criminalità informatica,

corruzione,

traffico illecito di armi, munizioni ed esplosivi,

traffico illecito di specie animali protette,

traffico illecito di specie e di essenze vegetali protette,

criminalità ambientale, compreso l'inquinamento provocato dalle navi,

traffico illecito di sostanze ormonali ed altri fattori di crescita,

abuso e sfruttamento sessuale, compresi materiale pedopornografico e adescamento di minori per scopi sessuali,

genocidio, crimini contro l'umanità e crimini di guerra.


ALLEGATO II

A.   Categorie di dati personali e categorie di interessati i cui dati possono essere raccolti e trattati ai fini dei controlli incrociati di cui all'articolo 18, paragrafo 2, lettera a)

1.

I dati personali raccolti e trattati ai fini dei controlli incrociati riguardano:

a)

persone che, in base al diritto nazionale dello Stato membro interessato, sono sospettate di aver commesso un reato di competenza di Europol o di avervi partecipato, o che sono state condannate per un siffatto reato;

b)

persone riguardo alle quali vi siano indicazioni concrete o ragionevoli motivi, secondo il diritto nazionale dello Stato membro interessato, per ritenere che possano commettere reati di competenza di Europol.

2.

I dati concernenti le persone di cui al punto 1 possono contenere solo le seguenti categorie di dati personali:

a)

cognome, cognome da nubile, nomi ed eventuali alias o appellativi correnti;

b)

data e luogo di nascita;

c)

cittadinanza;

d)

sesso;

e)

luogo di residenza, professione e luogo di soggiorno della persona interessata;

f)

codici di previdenza sociale, patenti di guida, documenti d'identità e dati del passaporto; e

g)

all'occorrenza, altri elementi utili all'identificazione, in particolare caratteristiche fisiche particolari, obiettive e inalterabili, quali i dati dattiloscopici ed il profilo DNA (ottenuto a partire dalla parte non codificante del DNA).

3.

Oltre ai dati di cui al punto 2, possono essere raccolte e trattate le seguenti categorie di dati personali relative alle persone di cui al punto 1:

a)

reati, presunti reati e data, luogo e modo in cui sono (sarebbero) stati commessi;

b)

strumenti di reato effettivi o potenziali, comprese informazioni relative alle persone giuridiche;

c)

servizi responsabili e riferimenti delle pratiche;

d)

sospetto di appartenenza a un'organizzazione criminale;

e)

condanne, nella misura in cui riguardino reati di competenza di Europol;

f)

parte che ha introdotto i dati.

Tali dati possono essere forniti a Europol anche quando non contengono ancora riferimenti a persone.

4.

Le informazioni complementari sulle persone di cui al punto 1 detenute da Europol o dalle unità nazionali possono essere comunicate, su richiesta, a qualsiasi unità nazionale o a Europol. In tale contesto, le unità nazionali operano in osservanza del rispettivo diritto nazionale.

5.

Se il procedimento contro l'interessato è definitivamente archiviato o quest'ultimo è assolto in via definitiva, i dati relativi al caso per il quale è stata decisa l'archiviazione o l'assoluzione sono cancellati.

B.   Categorie di dati personali e categorie di interessati i cui dati possono essere raccolti e trattati ai fini delle analisi strategiche o tematiche, delle analisi operative o della facilitazione dello scambio di informazioni, di cui all'articolo 18, paragrafo 2, lettere b), c) e d).

1.

I dati personali raccolti e trattati ai fini delle analisi strategiche o tematiche, delle analisi operative o della facilitazione dello scambio di informazioni tra Stati membri, Europol, altri organismi dell'Unione, paesi terzi e organizzazioni internazionali riguardano:

a)

persone che, a norma del diritto nazionale dello Stato membro interessato, sono sospettate di aver commesso un reato di competenza di Europol o di avervi partecipato, o che sono state condannate per un siffatto reato;

b)

persone riguardo alle quali vi siano indicazioni concrete o ragionevoli motivi, secondo il diritto nazionale dello Stato membro interessato, per ritenere che possano commettere reati di competenza di Europol;

c)

persone che potrebbero essere chiamate a testimoniare nel corso di indagini sui reati in causa o di procedimenti penali conseguenti;

d)

persone che sono state vittime di uno dei reati in esame o per le quali taluni fatti autorizzano a ritenere che potrebbero essere vittime di un siffatto reato;

e)

persone di contatto e di accompagnamento; e

f)

persone che possono fornire informazioni sui reati in esame.

2.

Per le categorie di persone di cui al punto 1, lettere a) e b), si può effettuare il trattamento delle seguenti categorie di dati personali, ivi inclusi i dati correlati di carattere amministrativo:

a)

dati anagrafici:

i)

cognome attuale e precedente;

ii)

nome attuale e precedente;

iii)

cognome da nubile;

iv)

paternità (ove necessario per l'identificazione);

v)

maternità (ove necessario per l'identificazione);

vi)

sesso;

vii)

data di nascita;

viii)

luogo di nascita;

ix)

cittadinanza;

x)

stato civile;

xi)

alias;

xii)

soprannome;

xiii)

appellativo corrente o nome falso;

xiv)

residenza e/o domicilio attuale e precedente;

b)

descrizione fisica:

i)

descrizione fisica;

ii)

caratteristiche distintive (segni particolari/cicatrici/tatuaggi, ecc.);

c)

mezzi d'identificazione:

i)

documenti d'identità/patente di guida;

ii)

numeri della carta d'identità nazionale/del passaporto;

iii)

numero d'identificazione nazionale/codice di previdenza sociale, se del caso;

iv)

immagini visive e altre informazioni in merito all'aspetto fisico;

v)

informazioni di polizia scientifica, quali impronte digitali, profilo DNA (ottenuto a partire dalla parte non codificante del DNA), profilo vocale, gruppo sanguigno, dentatura;

d)

professione e competenze:

i)

attività lavorativa e professionale attuale;

ii)

attività lavorativa e professionale precedente;

iii)

titoli di studio (scuola/università/formazione professionale);

iv)

abilitazioni;

v)

capacità ed altre conoscenze (lingue/altro);

e)

informazioni economiche e finanziarie:

i)

dati finanziari (conti e codici bancari, carte di credito, ecc.);

ii)

liquidità,

iii)

titoli azionari/altri;

iv)

dati patrimoniali;

v)

legami con società e imprese;

vi)

contatti con banche e istituti di credito;

vii)

posizione tributaria;

viii)

altre informazioni utili in merito alla gestione degli affari finanziari della persona;

f)

dati comportamentali:

i)

stile di vita (ad esempio, vivere al di sopra delle proprie possibilità) ed abitudini;

ii)

spostamenti;

iii)

luoghi frequentati;

iv)

armi e altri strumenti pericolosi;

v)

pericolosità;

vi)

altri rischi specifici quali probabilità di fuga, impiego di doppi agenti, collegamenti con il personale preposto all'azione di contrasto;

vii)

tratti e profili legati alla criminalità;

viii)

abuso di droga;

g)

persone di contatto e accompagnamento, inclusi tipo e natura del contatto o dell'associazione;

h)

mezzi di comunicazione usati, quali telefono (fisso/mobile), fax, pager, posta elettronica, recapiti postali, collegamenti a Internet;

i)

mezzi di trasporto usati, quali autoveicoli, natanti, aerei, incluse le informazioni di identificazione di tali mezzi (numeri di immatricolazione);

j)

informazioni relative alla condotta criminosa:

i)

precedenti condanne;

ii)

presunta implicazione in attività criminose;

iii)

modi operandi;

iv)

strumenti effettivi o potenziali per preparare e/o commettere reati;

v)

appartenenza a gruppi/organizzazioni criminali e posizione nel gruppo/nell'organizzazione;

vi)

ruolo nell'organizzazione criminale;

vii)

area geografica delle attività criminose;

viii)

materiale raccolto nel corso di un'indagine, quale immagini video e fotografie;

k)

riferimenti ad altri sistemi di informazione in cui sono conservate informazioni sulla persona:

i)

Europol;

ii)

servizi di polizia/delle dogane;

iii)

altri servizi di contrasto;

iv)

organizzazioni internazionali;

v)

entità pubbliche;

vi)

entità private;

l)

informazioni sulle persone giuridiche correlate ai dati di cui alla lettera e) o alla lettera j):

i)

denominazione della persona giuridica;

ii)

recapito;

iii)

data e luogo di costituzione;

iv)

numero di registrazione amministrativo;

v)

forma giuridica;

vi)

capitale sociale;

vii)

settore di attività;

viii)

filiali nazionali e internazionali;

ix)

direttori;

x)

legami con le banche.

3.

Le «persone di contatto e di accompagnamento» ai sensi del punto 1, lettera e), sono persone attraverso le quali vi è motivo di ritenere che si possano ottenere le informazioni utili alle analisi riguardanti le persone di cui al punto 1, lettere a) e b), sempreché esse non rientrino in una delle categorie di persone di cui al punto 1, lettere a), b), c), d) e f). Sono «persone di contatto» le persone che hanno contatti sporadici con le persone di cui al punto 1, lettere a) e b). Sono «persone di accompagnamento» le persone che hanno contatti regolari con le persone di cui al punto 1, lettere a) e b).

Per quanto riguarda le persone di contatto e accompagnamento, i dati di cui al punto 2 possono essere conservati per quanto necessario, a condizione che vi sia motivo di supporre che tali dati sono necessari ai fini dell'analisi del rapporto di tali persone con persone di cui al punto 1, lettere a) e b). A questo proposito, deve essere osservato quanto segue:

a)

tale rapporto è chiarito il più presto possibile;

b)

i dati di cui al punto 2 sono cancellati senza indugio se la supposizione che esista tale rapporto si rivela infondata;

c)

tutti i dati di cui al punto 2 possono essere conservati se le persone di contatto o accompagnamento sono sospettate di aver commesso un reato rientrante negli obiettivi di Europol o se sono state condannate per aver commesso tale reato, ovvero se vi sono indicazioni concrete o ragionevoli motivi, secondo il diritto nazionale dello Stato membro interessato, per ritenere che possano commettere tale reato;

d)

i dati di cui al punto 2 relativi alle persone di contatto e di accompagnamento di persone di contatto nonché alle persone di contatto e di accompagnamento di persone di accompagnamento non possono essere conservati, ad eccezione dei dati relativi al tipo e alla natura del loro contatto o della loro associazione con le persone di cui al punto 1, lettere a) e b);

e)

se non risulta possibile chiarire i punti precedenti, se ne tiene conto al momento di adottare una decisione in merito alla necessità e alla portata della conservazione dei dati ai fini dell'ulteriore analisi.

4.

Per quanto riguarda le persone di cui al punto 1, lettera d), che sono state vittime di uno dei reati in esame o per le quali, sulla base di taluni fatti, vi è ragione di ritenere che possano essere vittime di un siffatto reato, possono essere conservati i dati di cui al punto 2, lettere da a) a c), punto iii), nonché le seguenti categorie di dati:

a)

informazioni in merito all'identificazione della vittima;

b)

motivo della vittimizzazione;

c)

danni (fisici/finanziari/psicologici/altri);

d)

necessità di garantire l'anonimato;

e)

possibilità di partecipare alle udienze in tribunale;

f)

informazioni fornite dalle persone di cui al punto 1, lettera d), o per loro tramite, in merito al reato, comprese ove necessario le informazioni sul loro rapporto con altre persone ai fini dell'identificazione delle persone di cui al punto 1, lettere a) e b).

Altri dati di cui al punto 2 possono essere conservati se necessario, sempreché vi sia motivo di supporre che essi siano necessari ai fini dell'analisi del loro ruolo in quanto vittime o vittime potenziali.

I dati non necessari ai fini di analisi successive devono essere cancellati.

5.

Con riguardo alle persone che, come previsto al punto 1, lettera c), potrebbero essere chiamate a testimoniare nel corso di indagini sui reati in causa o di procedimenti penali conseguenti, possono essere conservati i dati di cui al punto 2, lettere da a) a c), punto iii), nonché le categorie di dati che rispondono ai criteri seguenti:

a)

informazioni fornite dalle suddette persone in merito al reato, comprese le informazioni sul loro rapporto con altre persone incluse nell'archivio di lavoro per fini di analisi;

b)

necessità di garantire l'anonimato;

c)

necessità di garantire protezione e da chi debba essere garantita;

d)

nuova identità;

e)

possibilità di partecipare alle udienze in tribunale.

Altri dati di cui al punto 2 possono essere conservati se necessario, sempreché vi sia motivo di supporre che essi siano necessari ai fini dell'analisi del ruolo di tali persone quali testi.

I dati non necessari ai fini di analisi ulteriori devono essere cancellati.

6.

Con riguardo alle persone di cui al punto 1, lettera f), che possono fornire informazioni sui reati in causa, possono essere conservati i dati di cui al punto 2, lettere da a) a c), punto iii), nonché le categorie di dati che rispondono ai criteri seguenti:

a)

dati anagrafici in codice;

b)

tipo di informazioni fornite;

c)

necessità di garantire l'anonimato;

d)

necessità di garantire protezione e da chi debba essere garantita;

e)

nuova identità;

f)

possibilità di partecipare alle udienze in tribunale;

g)

esperienze negative;

h)

ricompense (finanziarie/favori).

Altri dati di cui al punto 2 possono essere conservati se necessario, sempreché vi sia motivo di supporre che siano necessari ai fini dell'analisi del ruolo di tali persone quali informatori.

I dati non necessari ai fini di analisi successive devono essere cancellati.

7.

Qualora, in qualsiasi momento nel corso di un'analisi, risulti chiaramente, sulla base di indicazioni serie e comprovate, che una persona debba essere inclusa in una categoria di persone, quale definita nel presente allegato, diversa da quella in cui detta persona è stata inserita inizialmente, Europol può trattare soltanto i dati relativi a tale persona che sono autorizzati nell'ambito di detta nuova categoria, mentre tutti gli altri dati devono essere cancellati.

Qualora, in base alle indicazioni summenzionate, risulti chiaramente che una persona debba essere inclusa in due o più categorie diverse, quale definita nel presente allegato, Europol può effettuare il trattamento di tutti i dati autorizzati nell'ambito di tali categorie.


Top