Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32015D0443

    Decisione (UE, Euratom) 2015/443 della Commissione, del 13 marzo 2015 , sulla sicurezza nella Commissione

    GU L 72 del 17.3.2015, p. 41–52 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force

    ELI: http://data.europa.eu/eli/dec/2015/443/oj

    Date of document:
    13/03/2015
    Date of effect:
    18/03/2015; entrata in vigore data della pubblicazione +1 vedi art. 25
    Date of end of validity:
    No end date
    Author:
    Commissione europea
    Form:
    Decisione
    Treaty:
    Trattato sul funzionamento dell’Unione europea , Trattato che istituisce la Comunità europea dell’energia atomica
    Legal basis:
    Link
    Select all documents based on this document
    Link
    Link
    Select all documents mentioning this document
    Instruments cited:
    Link

    17.3.2015   

    IT

    Gazzetta ufficiale dell'Unione europea

    L 72/41

    DECISIONE (UE, Euratom) 2015/443 DELLA COMMISSIONE

    del 13 marzo 2015

    sulla sicurezza nella Commissione

    LA COMMISSIONE EUROPEA,

    visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 249,

    visto il trattato che istituisce la Comunità europea dell'energia atomica,

    visto il protocollo n. 7 sui privilegi e le immunità dell'Unione europea allegato ai trattati, in particolare l'articolo 18,

    considerando quanto segue:

    (1)

    Obiettivo della sicurezza nella Commissione è consentire all'istituzione di agire in un ambiente sicuro grazie a un approccio coerente, integrato per quanto riguarda la sicurezza, che offra adeguati livelli di protezione a persone, risorse e informazioni in funzione dei rischi identificati, e garantisca una sicurezza efficiente e tempestiva.

    (2)

    La Commissione, come altre istituzione internazionali, è sottoposta a minacce e sfide gravi per la sicurezza, in particolare per quanto riguarda il terrorismo, gli attacchi informatici, lo spionaggio politico e commerciale.

    (3)

    La Commissione europea ha concluso accordi relativi alla sicurezza per le proprie sedi principali con i governi di Belgio, Lussemburgo e Italia (1), che confermano che la Commissione è responsabile della propria sicurezza.

    (4)

    Per assicurare la sicurezza delle persone, delle risorse e delle informazioni, la Commissione può essere tenuta ad adottare misure in settori tutelati dai diritti fondamentali iscritti nella Carta dei diritti fondamentali e nella convenzione europea dei diritti dell'uomo e riconosciuti dalla Corte di giustizia europea.

    (5)

    Tali misure devono essere giustificate dall'importanza degli interessi da tutelare, proporzionate e tali da assicurare il pieno rispetto dei diritti fondamentali, soprattutto quelli relativi alla vita privata e alla protezione dei dati.

    (6)

    Nell'ambito di un sistema ispirato allo Stato di diritto e al rispetto dei diritti fondamentali, la Commissione deve adoperarsi per ottenere un livello di sicurezza del personale, delle risorse e delle informazioni tale da permettere lo svolgimento delle proprie attività operative senza limitare i diritti fondamentali oltre lo stretto necessario.

    (7)

    La sicurezza nella Commissione si basa sui principi di legalità, trasparenza, proporzionalità e responsabilità.

    (8)

    I membri del personale incaricato di prendere misure di sicurezza non devono essere penalizzati a causa delle loro attività se non agiscono al di fuori del loro mandato o in violazione della legge; sotto questo aspetto la presente decisione deve pertanto essere considerata come un'istruzione di servizio ai sensi dello statuto dei funzionari.

    (9)

    La Commissione, con iniziative adeguate, deve stimolare e rafforzare la propria cultura della sicurezza, assicurando una sicurezza più efficiente, migliorandone la gestione e intensificando ulteriormente le reti di connessione e la cooperazione con le autorità competenti a livello internazionale, europeo e nazionale, e migliorando il monitoraggio e il controllo dell'attuazione delle misure di sicurezza.

    (10)

    L'istituzione del Servizio europeo per l'azione esterna (SEAE), organo funzionalmente autonomo dell'Unione, ha avuto un impatto sensibile sugli interessi della Commissione in materia di sicurezza, e richiede pertanto l'elaborazione di norme e procedure di collaborazione nel settore della sicurezza e dell'incolumità tra il SEAE e la Commissione, in particolare per quanto riguarda l'assolvimento dell'obbligo di diligenza nei confronti del personale della Commissione nelle delegazioni dell'Unione.

    (11)

    L'attuazione della politica di sicurezza della Commissione dovrebbe essere coerente con altre procedure e processi interni che possono comportare una componente di sicurezza; tra questi, in particolare, la gestione della continuità operativa volta a tutelare le funzioni essenziali della Commissione in caso di perturbazione delle attività operative, e il processo ARGUS di coordinamento delle crisi multisettoriali.

    (12)

    Fatte salve le misure già in vigore al momento dell'adozione della presente decisione, notificate al garante europeo della protezione dei dati (2), le disposizioni nell'ambito della presente decisione che comportano il trattamento di dati personali sono oggetto di norme di attuazione conformemente all'articolo 21, che stabilisce adeguate garanzie a tutela delle persone interessate.

    (13)

    Occorre pertanto che la Commissione riesamini, aggiorni e consolidi la base normativa vigente in materia di sicurezza alla Commissione.

    (14)

    È quindi necessario abrogare la decisione (94) 2129 (3) della Commissione,

    HA ADOTTATO LA PRESENTE DECISIONE:

    CAPO 1

    DISPOSIZIONI GENERALI

    Articolo 1

    Definizioni

    Ai fini della presente decisione si intende per:

    1)

    «risorse», tutti i beni mobili e immobili di proprietà o in possesso della Commissione;

    2)

    «servizio della Commissione», le direzioni generali, i servizi della Commissione o il gabinetto di un membro della Commissione;

    3)

    «sistema di comunicazione e informazione» o «CIS», ogni sistema che consente il trattamento delle informazioni in forma elettronica, compreso l'insieme delle risorse necessarie al suo funzionamento, nonché l'infrastruttura, l'organizzazione, il personale e le risorse d'informazione;

    4)

    «controllo dei rischi», le misure di sicurezza presumibilmente in grado di tenere efficacemente sotto controllo un rischio per la sicurezza prevenendolo, attenuandolo, evitandolo o trasferendolo;

    5)

    «situazione di crisi», la circostanza, l'evento, l'incidente, l'emergenza (o una combinazione simultanea o successiva di questi) tale da mettere in pericolo grave o immediato la sicurezza nella Commissione, a prescindere dall'origine;

    6)

    «dati», l'informazione in una forma che ne consente la comunicazione, la registrazione o il trattamento;

    7)

    «membro della Commissione responsabile della sicurezza», il membro della Commissione sotto l'autorità del quale rientra la direzione generale Risorse umane e sicurezza;

    8)

    «dati personali», i dati personali definiti nell'articolo 2, lettera a) del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (4);

    9)

    «locali», beni immobili o assimilabili di proprietà o in possesso della Commissione;

    10)

    «prevenzione del rischio», le misure di sicurezza che presumibilmente impediscono, ritardano o pongono termine a un rischio per la sicurezza.

    11)

    «rischio per la sicurezza», la combinazione del livello di pericolo, del livello di vulnerabilità e del potenziale impatto di un evento;

    12)

    «sicurezza nella Commissione», la sicurezza delle persone, delle risorse e delle informazioni nella Commissione, in particolare l'incolumità delle persone e l'integrità delle risorse, l'integrità, la riservatezza e la disponibilità delle informazioni e dei sistemi di comunicazione e informazione, nonché il funzionamento senza ostacoli delle attività operative della Commissione;

    13)

    «misura di sicurezza», ogni misura di sicurezza adottata conformemente alla presente decisione per tenere sotto controllo i rischi per la sicurezza;

    14)

    «statuto», lo statuto dei funzionari dell'Unione europea e il regime applicabile agli altri agenti dell'Unione europea definiti dal regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio (5);

    15)

    «minaccia per la sicurezza», un evento o agente che presumibilmente, in mancanza di una reazione che lo ponga sotto controllo, compromette la sicurezza;

    16)

    «minaccia immediata per la sicurezza» una minaccia per la sicurezza che si verifica senza preavviso o con preavviso estremamente breve;

    17)

    «grave minaccia per la sicurezza», una minaccia per la sicurezza che presumibilmente può comportare perdite di vite umane, gravi lesioni o danni personali, ingenti danni materiali, compromissione di informazioni altamente sensibili, perturbazione dei sistemi informatici o delle capacità operative essenziali della Commissione;

    18)

    «vulnerabilità», una debolezza di qualsiasi tipo che presumibilmente, se fruttata per una o più minacce, compromette la sicurezza nella Commissione.

    Articolo 2

    Oggetto

    1.   La presente decisione stabilisce gli obiettivi, i principi fondamentali, l'organizzazione e le responsabilità in relazione alla sicurezza presso la Commissione.

    2.   La presente decisione si applica a tutti i servizi e in tutti i locali della Commissione. Il personale della Commissione che lavora nelle delegazioni dell'Unione è soggetto alle norme di sicurezza del Servizio europeo per l'azione esterna (6).

    3.   Fatte salve indicazioni specifiche relative a particolari categorie del personale, la presente decisione si applica ai membri della Commissione, al personale della Commissione che rientra nel campo di applicazione dello statuto dei funzionari dell'Unione europea e regime applicabile agli altri agenti dell'Unione, agli esperti nazionali distaccati presso la Commissione (END), ai prestatori di servizi e al loro personale, ai tirocinanti e ai singoli che hanno accesso a fabbricati o altre risorse della Commissione, o alle informazioni trattate dalla Commissione.

    4.   Le disposizioni della presente decisione lasciano impregiudicate la decisione 2002/47/CE, ECSC, Euratom della Commissione (7), la decisione 2004/563/EC, Euratom della Commissione (8), la decisione C(2006) 1623 della Commissione (9) e la decisione C(2006) 3602 della Commissione (10).

    CAPO 2

    PRINCIPI

    Articolo 3

    Principi di sicurezza nella Commissione

    1.   La Commissione applica la presente decisione nel rispetto dei trattati, in particolare della Carta dei diritti fondamentali e del protocollo n. 7 sui privilegi e sulle immunità dell'Unione europea, degli accordi di cui al considerando 2, delle disposizioni normative nazionali applicabili e dei termini della presente decisione. Se necessario, sarà redatta una comunicazione di sicurezza ai sensi dell'articolo 21, paragrafo 2 per fornire orientamenti in merito.

    2.   La sicurezza nella Commissione si basa sui principi di legalità, trasparenza, proporzionalità e responsabilità.

    3.   Per principio di legalità s'intende la stretta adesione al quadro giuridico nell'applicare la presente decisione e la rigorosa ottemperanza alle prescrizioni legali.

    4.   Le misure di sicurezza sono adottate apertamente, salvo se tale approccio rischi di comprometterne gli effetti. I destinatari di una misura di sicurezza sono informati preliminarmente delle ragioni e dell'impatto della misura, salvo se ciò rischi di compromettere l'effetto della misura. In tal caso, il destinatario è informato quando il rischio di compromettere l'effetto della misura di sicurezza è cessato.

    5.   I servizi della Commissione assicurano che si tenga conto degli aspetti relativi alla sicurezza sin dall'inizio dell'elaborazione e attuazione di politiche, decisioni, programmi, progetti e attività della Commissione di cui i suddetti servizi sono responsabili. A tal fine, essi coinvolgono la direzione generale Risorse umane e sicurezza in generale e il responsabile capo della sicurezza dell'informazione della Commissione sin dalle prime fasi della preparazione.

    6.   Se opportuno, la Commissione chiede la cooperazione delle autorità competenti dello Stato ospitante, di altri Stati membri e delle istituzioni, agenzie o organi dell'UE, se possibile, tenendo conto delle misure adottate o pianificate da tali autorità per far fronte al rischio per la sicurezza in questione.

    Articolo 4

    Obbligo di osservanza

    1.   L'osservanza della presente decisione, delle relative norme di attuazione e delle misure e istruzioni di sicurezza impartite dal personale incaricato è obbligatoria.

    2.   L'inosservanza delle disposizioni di sicurezza è passiva di azione disciplinare conformemente ai trattati e allo statuto dei funzionari, di sanzioni contrattuali e/o di azione legale nell'ambito delle disposizioni normative e regolamentari nazionali.

    CAPO 3

    GARANTIRE LA SICUREZZA

    Articolo 5

    Personale incaricato

    1.   Solo al personale autorizzato con incarico nominativo conferito dal direttore generale delle risorse umane e della sicurezza, in base alle rispettive funzioni, può essere attribuito il potere di adottare una o più delle seguenti misure:

    1)

    portare armi individuali;

    2)

    condurre le indagini di sicurezza di cui all'articolo 13;

    3)

    adottare le misure di cui all'articolo 12 secondo quanto specificato nell'incarico.

    2.   Gli incarichi di cui al paragrafo 1 sono conferiti per una durata che non supera il periodo durante il quale la persona interessata detiene il posto o la funzione per cui l'incarico è conferito. Tali incarichi sono conferiti conformemente alle disposizioni applicabili di cui all'articolo 3, paragrafo 1.

    3.   Per quanto riguarda il personale incaricato, la presente decisione costituisce un'istruzione di servizio ai sensi dell'articolo 21 dello statuto dei funzionari.

    Articolo 6

    Disposizioni generali relative alle misure di sicurezza

    1.   Nell'adottare le misure di sicurezza la Commissione, per quanto ragionevolmente possibile, garantisce quanto segue:

    a)

    chiede sostegno o assistenza solo presso il paese interessato, purché tale paese sia uno Stato membro dell'Unione europea o, in caso contrario, uno Stato parte della convenzione europea dei diritti dell'uomo, o garantisca diritti almeno equivalenti a quelli della suddetta convenzione;

    b)

    trasferisce informazioni su una persona a destinatari diversi dalle istituzioni e organismi comunitari, non soggetti alla normativa nazionale adottata in attuazione della direttiva 95/46/CE del Parlamento europeo e del Consiglio (11), solo conformemente all'articolo 9 del regolamento (CE) n. 45/2001;

    c)

    nei confronti della persona che costituisce una minaccia per la sicurezza sono adottate misure di sicurezza di cui la persona può essere tenuta a sostenere i costi. Tali misure di sicurezza possono essere dirette contro altre persone solo se occorre controllare una minaccia immediata o grave per la sicurezza e se sono soddisfatte le seguenti condizioni:

    a)

    le misure previste contro la persona che costituisce una minaccia per la sicurezza non possono essere adottate o presumibilmente non avranno efficacia;

    b)

    la Commissione non può controllare la minaccia per la sicurezza con azioni proprie o non può farlo in modo tempestivo;

    c)

    la misura non costituisce un pericolo sproporzionato per l'altra persona o per i suoi diritti.

    2.   La direzione Sicurezza della direzione generale Risorse umane e sicurezza stabilisce un quadro d'insieme delle misure di sicurezza che, in base alle disposizioni legislative e regolamentari dello Stato membro che ospita i locali della Commissione, possono richiedere un'ordinanza del tribunale.

    3.   La direzione Sicurezza della direzione generale Risorse umane e sicurezza può rivolgersi a un appaltatore per lo svolgimento dei compiti relativi alla sicurezza, sotto la direzione e supervisione della direzione Sicurezza.

    Articolo 7

    Misure di sicurezza relative alle persone

    1.   Nei locali della Commissione è accordato alle persone un livello di protezione adeguato tenendo conto degli obblighi di sicurezza.

    2.   In caso di gravi rischi per la sicurezza, la direzione generale Risorse umane e sicurezza offre una protezione ravvicinata ai membri della Commissione o ad altro personale laddove una valutazione del rischio ne abbia indicato la necessità per garantirne sicurezza e incolumità.

    3.   In caso di gravi rischi per la sicurezza, la Commissione può ordinare l'evacuazione dei locali.

    4.   Le vittime di incidenti o attentati nei locali della Commissione ricevono assistenza.

    5.   Per prevenire e controllare i rischi per la sicurezza, il personale incaricato può procedere a controlli dei precedenti delle persone che rientrano nell'ambito di applicazione della presente decisione, al fine di stabilire se il loro accesso ai locali o alle informazioni della Commissione presenti una minaccia per la sicurezza. A tal fine, e conformemente al regolamento (CE) n. 45/2001 e alle disposizioni di cui all'articolo 3, paragrafo 1, il personale incaricato può:

    a)

    avvalersi di tutte le fonti d'informazione disponibili alla Commissione, tenendo conto dell'affidabilità della fonte;

    b)

    accedere al fascicolo personale o ai dati che la Commissione detiene sulle persone che assume o intende assumere, o a quelli del personale dell'appaltatore, se debitamente giustificato.

    Articolo 8

    Misure di sicurezza concernenti la sicurezza fisica e le risorse

    1.   La sicurezza delle risorse è garantita dall'applicazione di opportune misure di protezione fisica e tecnica e delle procedure corrispondenti, di seguito «misure di sicurezza fisica» che costituiscono un sistema multistrato.

    2.   A norma del presente articolo si possono adottare misure intese alla protezione delle persone e delle informazioni nella Commissione, nonché delle risorse.

    3.   La sicurezza fisica ha i seguenti obiettivi:

    prevenire atti di violenza diretti a membri della Commissione o a persone che rientrano nel campo d'applicazione della presente decisione;

    prevenire lo spionaggio e l'ascolto indiscreto di informazioni sensibili o classificate;

    prevenire il furto, gli atti di vandalismo, sabotaggio o altre azioni violente intese a danneggiare o distruggere edifici e risorse della Commissione;

    rendere possibile l'indagine sugli incidenti in materia di sicurezza anche tramite controlli dei registri di entrata e di uscita, videosorveglianza, registrazioni telefoniche e dati analoghi di cui all'articolo 22, paragrafo 2 di seguito e altre fonti d'informazione.

    4.   La sicurezza fisica comprende:

    una politica d'accesso applicabile alle persone e ai veicoli che devono accedere ai locali della Commissione, comprese le aree di parcheggio;

    un sistema di controllo dell'accesso che comprende guardie, attrezzature e misure tecniche, sistemi d'informazione o una combinazione dei suddetti elementi.

    5.   Per garantire la sicurezza fisica, si può procedere come segue:

    registrare l'entrata e l'uscita dai locali della Commissione di persone, veicoli, beni e attrezzature;

    controllare l'identità nei locali;

    ispezionare veicoli, beni e attrezzature con mezzi visivi o tecnici;

    impedire a persone, veicoli e beni non autorizzati di accedere ai locali della Commissione.

    Articolo 9

    Misure di sicurezza relative alle informazioni

    1.   La sicurezza dell'informazione copre tutte le informazioni trattate dalla Commissione.

    2.   A prescindere dalla forma, la sicurezza dell'informazione deve poter conciliare trasparenza, proporzionalità, responsabilità ed efficienza con l'esigenza di proteggere l'informazione contro l'accesso, l'uso, la diffusione, la modifica o la distruzione senza autorizzazione.

    3.   Obiettivo della sicurezza dell'informazione è la protezione della riservatezza, dell'integrità e della disponibilità.

    4.   Per classificare le informazioni e per elaborare misure, procedure e norme di sicurezza proporzionate, misure di mitigazione comprese, si ricorre alle procedure di gestione del rischio.

    5.   I suddetti principi generali alla base della sicurezza dell'informazione si applicano in particolare per quanto riguarda:

    a)

    le «informazioni classificate UE» (di seguito «ICUE»), ossia qualsiasi informazione o qualsiasi materiale designati da una classifica di sicurezza UE, la cui divulgazione non autorizzata potrebbe recare in varia misura pregiudizio agli interessi dell'Unione europea o di uno o più Stati membri;

    b)

    le «informazioni sensibili non classificate», ossia le informazioni o il materiale che la Commissione deve tutelare in forza degli obblighi giuridici iscritti nei trattati o nei relativi atti di esecuzione, e/o in ragione della loro sensibilità. Le informazioni sensibili non classificate comprendono, ma non solo, le informazioni e il materiale coperti dal segreto professionale di cui all'articolo 339 del TFUE, le informazioni concernenti gli interessi tutelati nell'articolo 4 del regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (12) in combinato disposto con la giurisprudenza della Corte di giustizia dell'Unione europea, e i dati personali che rientrano nell'ambito di applicazione del regolamento (CE) n. 45/2001.

    6.   Il trattamento e la conservazione delle informazioni sensibili non classificate sono regolamentati. Tali informazioni sono comunicate solo alle persone che hanno una «necessità di conoscere». Se ritenuto necessario per proteggerne la riservatezza, sono identificate da un contrassegno di sicurezza con istruzioni di trattamento corrispondenti approvate dal direttore generale delle risorse umane e della sicurezza. Se trattate o conservate nei sistemi di comunicazione e informazione, tali informazioni sono protette anche conformemente alla decisione (2006) 3602 e relative norme di attuazione e standard corrispondenti.

    7.   La persona responsabile della compromissione o della perdita di ICUE o di informazioni sensibili non classificate, riconosciute tali nelle disposizioni che ne disciplinano il trattamento e la conservazione, è passibile di azione disciplinare conformemente allo statuto dei funzionari. L'azione disciplinare non pregiudica eventuali azioni legali o penali delle autorità nazionali competenti degli Stati membri secondo le rispettive disposizioni legislative e regolamentari, né i rimedi contrattuali.

    Articolo 10

    Misure di sicurezza relative ai sistemi di comunicazione e informazione

    1.   Tutti i sistemi di comunicazione e informazione («CIS») in uso alla Commissione si conformano alla politica della Commissione in materia di sicurezza dei sistemi d'informazione stabilita dalla decisione (2006) 3602 e relative norme di attuazione e standard corrispondenti.

    2.   I servizi della Commissione che detengono, gestiscono o elaborano CIS permettono solo ad altre istituzioni, agenzie, organi o organizzazioni dell'UE di avere accesso a tali sistemi purché dette istituzioni, agenzie, organi o organizzazioni dell'Unione offrano ragionevoli garanzie di protezione dei rispettivi sistemi IT, a livello equivalente a quello della politica della Commissione in materia di sicurezza dei sistemi d'informazione stabilita dalla decisione (2006) 3602 e relative norme di attuazione e standard corrispondenti. La Commissione controlla tale conformità e, in caso di grave o ripetuta inosservanza, ha facoltà di negare l'accesso.

    Articolo 11

    Analisi forense relativa alla sicurezza informatica

    La direzione generale Risorse umane e sicurezza è in particolare responsabile dello svolgimento dell'analisi tecnica forense in collaborazione con i servizi della Commissione competenti a sostegno delle indagini di sicurezza di cui all'articolo 13, in relazione a controspionaggio, perdita di dati, attacchi informatici, sicurezza dei sistemi d'informazione.

    Articolo 12

    Misure di sicurezza relative alle persone e alle cose

    1.   Per garantire la sicurezza nella Commissione e al fine di evitare e tenere sotto controllo i rischi, il personale incaricato a norma dell'articolo 5 può, secondo i principi definiti nell'articolo 3, prendere tra l'altro una o più delle misure seguenti:

    a)

    la messa in sicurezza dei luoghi e delle prove, compresi i registri di controllo delle entrate e delle uscite e le immagini di videosorveglianza in caso d'incidenti o di comportamenti che possono comportare procedimenti amministrativi, disciplinari, civili o penali;

    b)

    misure limitate nei confronti di persone che costituiscono una minaccia per la sicurezza, tra le quali l'ordine di uscire dai locali della Commissione, l'accompagnamento di persone fuori dai locali della Commissione, il divieto di accesso ai locali della Commissione per un periodo di tempo fissato in base a criteri da definire nelle norme di attuazione;

    c)

    misure limitate nei confronti degli oggetti che costituiscono una minaccia per la sicurezza, tra le quali la rimozione, il sequestro e l'eliminazione;

    d)

    la perquisizione dei locali della Commissione, uffici compresi;

    e)

    la perquisizione dei CIS e delle attrezzature, dei dati del traffico telefonico e delle telecomunicazioni, dei registri, dei conti utenti ecc;

    f)

    altre misure di sicurezza specifiche con effetto analogo per evitare o tenere sotto controllo i rischi per la sicurezza, in particolare nel contesto dei diritti della Commissione in quanto proprietario o datore di lavoro secondo le disposizioni legislative nazionali applicabili.

    2.   In circostanze eccezionali, i membri del personale della direzione Sicurezza della direzione generale Risorse umane e sicurezza, incaricati a norma dell'articolo 5, possono prendere le misure d'emergenza necessarie nel rigoroso rispetto dei principi definiti nell'articolo 3. Non appena possibile dopo aver preso le suddette misure, essi informano il direttore della direzione Sicurezza, che richiede presso il direttore generale delle risorse umane e della sicurezza il mandato di conferma delle misure prese e di autorizzazione di eventuali ulteriori azioni necessarie, e si mette in contatto, se opportuno, con le autorità nazionali competenti.

    3.   Le misure di sicurezza di cui al presente articolo sono documentate nel momento in cui sono prese o, in presenza di rischio immediato o in una situazione di crisi, in un tempo successivo ragionevole. In quest'ultimo caso la documentazione deve includere anche gli elementi su cui si basa la valutazione della presenza di un rischio immediato o di una situazione di crisi. La documentazione può essere concisa, ma deve essere costituita in modo da permettere alla persona oggetto della misura di esercitare i propri diritti di difesa e di protezione dei dati personali conformemente al regolamento (CE) n. 45/2001, e da consentire un esame della legittimità della misura. Nessuna informazione su misure di sicurezza specifiche dirette a un membro del personale è riportata nel fascicolo personale.

    4.   Nel prendere le misure di sicurezza di cui al punto b), la Commissione garantisce inoltre che la persona in questione abbia la possibilità di contattare un avvocato o una persona di fiducia e che sia informata del diritto di ricorrere al garante europeo della protezione dei dati.

    Articolo 13

    Indagini

    1.   Fatti salvi l'articolo 86 e l'allegato IX dello statuto, ed eventuali regimi speciali tra la Commissione e il SEAE, come quello firmato il 28 maggio 2014 tra la direzione generale Risorse umane e sicurezza della Commissione europea e il Servizio europeo per l'azione esterna relativo all'obbligo di diligenza nei confronti del personale della Commissione assegnato alle delegazioni dell'Unione, le indagini di sicurezza si possono svolgere:

    a)

    in caso di incidenti concernenti la sicurezza nella Commissione, anche per sospetti reati penali;

    b)

    in caso di potenziale perdita, manomissione o compromissione di informazioni sensibili non classificate, ICUE o informazioni Euratom classificate;

    c)

    in un contesto di controspionaggio o antiterrorismo;

    d)

    in caso di gravi incidenti informatici.

    2.   La decisione di svolgere un'indagine di sicurezza è presa dal direttore generale delle risorse umane e della sicurezza, che è anche il destinatario del rapporto d'indagine.

    3.   Le indagini di sicurezza sono svolte solo da membri abilitati del personale della direzione generale Risorse umane e sicurezza, debitamente incaricate in conformità all'articolo 5.

    4.   Il personale incaricato esercita i propri poteri in materia di sicurezza in modo indipendente, come specificato nell'incarico, e dispone dei poteri di cui all'articolo 12.

    5.   Il personale incaricato e competente nello svolgimento delle indagini di sicurezza può raccogliere informazioni da tutte le fonti disponibili in relazione a reati amministrativi o penali commessi nei locali della Commissione o che implichino le persone di cui all'articolo 2, paragrafo 3, siano esse vittime o autori di tali reati.

    6.   La direzione generale Risorse umane e sicurezza informa le autorità competenti dello Stato membro ospitante o di altri Stati membri interessati, se opportuno, in particolare laddove l'esito dell'indagine presenti indicazioni di un reato penale. In tale contesto, la direzione generale Risorse umane e sicurezza, se opportuno o necessario, può fornire assistenza alle autorità competenti dello Stato membro ospitante o di altri Stati membri interessati.

    7.   In caso di gravi incidenti informatici, la direzione generale dell'Informatica collabora strettamente con la direzione generale Risorse umane e sicurezza per offrire assistenza in tutte le questioni tecniche. La direzione generale Risorse umane e sicurezza decide, in consultazione con la direzione generale dell'Informatica, dell'opportunità di informare le autorità competenti dello Stato ospitante o di altri Stati membri interessati. Per quanto riguarda il sostegno ad altre istituzioni e agenzie dell'UE potenzialmente interessate, si ricorre ai servizi di coordinamento degli incidenti della squadra di pronto intervento informatico delle istituzioni, organi e agenzie europei (Computer Emergency Response Team, CERT-UE).

    8.   Le indagini di sicurezza sono documentate.

    Articolo 14

    Definizione delle competenze nelle indagini di sicurezza e di altro tipo

    1.   La direzione Sicurezza della direzione generale Risorse umane e sicurezza, se svolge indagini di sicurezza di cui all'articolo 13 e se dette indagini rientrano nelle competenze dell'Ufficio europeo per la lotta antifrode (OLAF) o dell'ufficio di indagine e disciplina della Commissione (IDOC), si mette immediatamente in contatto con tali organi al fine, in particolare, di non compromettere le fasi successive dell'OLAF o dell'IDOC. Se opportuno, la direzione Sicurezza della direzione generale Risorse umane e sicurezza invita l'OLAF e l'IDOC a partecipare all'indagine.

    2.   Le indagini di sicurezza di cui all'articolo 13 non pregiudicano i poteri dell'OLAF e dell'IDOC definiti nelle disposizioni che disciplinano tali organi. Alla direzione Sicurezza della direzione generale Risorse umane e sicurezza può esser chiesto di fornire assistenza tecnica a indagini avviate dall'OLAF o dall'IDOC.

    3.   Alla direzione Sicurezza della direzione generale Risorse umane e sicurezza può esser chiesto di assistere agenti dell'OLAF che accedono ai locali della Commissione in conformità all'articolo 3, paragrafo 5 e all'articolo 4, paragrafo 4 del regolamento (UE, Euratom) n. 883/2013 del Parlamento europeo e del Consiglio (13), per agevolarne i compiti. La direzione Sicurezza informa di tali richieste di assistenza il segretario generale e il direttore generale della direzione generale Risorse umane e sicurezza o, se l'indagine si svolge nei locali della Commissione occupati dai suoi membri o dal segretario generale, il presidente della Commissione e il commissario responsabile delle risorse umane.

    4.   Fatto salvo l'articolo 22, lettera a), dello statuto, se un caso rientra nella competenza sia della direzione Sicurezza della direzione generale Risorse umane e sicurezza sia dell'IDOC, la direzione Sicurezza, nel riferire al direttore generale delle risorse umane e della sicurezza conformemente all'articolo 13, valuta nella fase più precoce possibile se vi siano motivi che giustifichino l'affidamento della questione a IDOC. Questa fase si considera raggiunta in particolare quando la situazione di minaccia immediata è cessata. Il direttore generale delle risorse umane e della sicurezza decide in merito.

    5.   Se un caso rientra nella competenza sia della direzione sicurezza della direzione generale Risorse umane e sicurezza sia dell'OLAF, la direzione Sicurezza riferisce al direttore generale delle Risorse umane e della sicurezza e ne informa il direttore generale dell'OLAF nella fase più precoce possibile. Questa fase si considera raggiunta in particolare quando la situazione di minaccia immediata è cessata. Il direttore generale delle risorse umane e della sicurezza decide in merito.

    Articolo 15

    Ispezioni di sicurezza

    1.   La direzione generale Risorse umane e sicurezza avvia ispezioni di sicurezza per verificare che i servizi della Commissione e le persone interessate si conformino alla presente decisione e alle relative norme di attuazione e, se necessario, formulare raccomandazioni.

    2.   Laddove opportuno, la direzione generale Risorse umane e sicurezza avvia ispezioni di sicurezza o controlli di sicurezza o visite di valutazione, per verificare se il personale, le risorse e le informazioni della Commissione posti sotto la responsabilità di altre istituzioni, agenzie o organi dell'Unione, o degli Stati membri, di Stati terzi o di organizzazioni internazionali, siano adeguatamente protetti secondo disposizioni normative e regolamentari almeno equivalenti a quelle della Commissione. Se opportuno e in uno spirito di collaborazione tra amministrazioni, le suddette ispezioni di sicurezza comprendono anche quelle svolte nel contesto dello scambio di informazioni classificate con altre istituzioni, agenzie o organi dell'Unione, o degli Stati membri, di Stati terzi o di organizzazioni internazionali.

    3.   Il presente articolo è applicato, mutatis mutandis, al personale della Commissione assegnato alle delegazioni dell'Unione, fatti salvi eventuali regimi speciali tra la Commissione e il SEAE, come quello firmato il 28 maggio 2014 tra la direzione generale Risorse umane e sicurezza della Commissione europea e il Servizio europeo per l'azione esterna relativo all'obbligo di diligenza nei confronti del personale della Commissione assegnato alle delegazioni dell'Unione.

    Articolo 16

    Stati di allerta e gestione delle situazioni di crisi

    1.   La direzione generale Risorse umane e sicurezza è responsabile della disposizione di opportune misure relative allo stato di allerta, preliminarmente o in risposta a minacce e incidenti che interessano la sicurezza della Commissione, e delle misure necessarie alla gestione delle situazioni di crisi.

    2.   Le misure relative allo stato di allerta di cui al paragrafo 1 sono commisurate al livello di minaccia per la sicurezza. I livelli dello stato di allerta sono definiti in stretta collaborazione con i servizi competenti di altre istituzioni, agenzie o organi dell'Unione, o dello Stato membro o degli Stati membri che ospitano i locali della Commissione.

    3.   La direzione generale Risorse umane e sicurezza è il punto di contatto per gli stati di allerta e di gestione delle situazioni di crisi.

    CAPO 4

    ORGANIZZAZIONE

    Articolo 17

    Competenze generali dei servizi della Commissione

    1.   Le responsabilità della Commissione di cui alla presente decisione sono esercitate dalla direzione generale Risorse umane e sicurezza sotto l'autorità e responsabilità del membro della Commissione responsabile della sicurezza.

    2.   Le modalità specifiche riguardanti la sicurezza informatica sono definite nella decisione (2006) 3602.

    3.   Le responsabilità di attuazione della presente decisione con le relative norme di attuazione, e dell'osservanza quotidiana possono essere delegate ad altri servizi della Commissione, laddove il decentramento della sicurezza offra garanzie di efficienza, risparmio di tempo o di risorse, ad esempio grazie all'ubicazione geografica dei servizi interessati.

    4.   Quando si applica il paragrafo 3, la direzione generale Risorse umane e sicurezza e se opportuno il direttore generale dell'informatica, concludono accordi con i singoli servizi della Commissione volti a definire chiaramente ruoli e responsabilità per l'attuazione e il controllo delle politiche di sicurezza.

    Articolo 18

    Direzione generale Risorse umane e Sicurezza

    1.   La direzione generale Risorse umane e sicurezza è in particolare responsabile di quanto segue:

    1)

    elaborare la politica di sicurezza della Commissione, le norme di attuazione e le comunicazioni di sicurezza;

    2)

    raccogliere informazioni al fine di valutare le minacce e i rischi per la sicurezza su tutte le questioni che potrebbero compromettere la sicurezza nella Commissione;

    3)

    fornire controsorveglianza elettronica e protezione a tutti i siti della Commissione, tenendo debitamente conto delle valutazioni della minaccia e delle prove di attività non autorizzate contro gli interessi della Commissione;

    4)

    offrire ai servizi e al personale della Commissione prestazioni di emergenza 24 ore su 24, 7 giorni su 7 sulle questioni connesse alla sicurezza;

    5)

    attuare le misure di sicurezza volte a mitigare i rischi per la sicurezza e a sviluppare e provvedere alla manutenzione dei CIS a copertura di tutte le esigenze operative, in particolare nel settore del controllo dell'accesso fisico, dell'amministrazione delle autorizzazioni di sicurezza e del trattamento delle informazioni sensibili e classificate UE;

    6)

    sensibilizzare, organizzare esercizi ed esercitazioni, formazione e consulenza su tutte le questioni relative alla sicurezza nella Commissione, al fine di promuovere una cultura della sicurezza e creare una squadra di membri del personale adeguatamente formata nelle questioni relative alla sicurezza.

    2.   La direzione generale Risorse umane e sicurezza, fatte salve le competenze e responsabilità degli altri servizi della Commissione, assicura un collegamento esterno:

    1)

    con i servizi di sicurezza delle altre istituzioni, agenzie o organi dell'Unione sulle questioni relative alla sicurezza delle persone, delle risorse e delle informazioni nella Commissione;

    2)

    con i servizi di sicurezza, di intelligence e di valutazione della minaccia, comprese le autorità nazionali competenti in materia, degli Stati membri, dei paesi terzi e di organizzazioni e organi internazionali su questioni relative alla sicurezza delle persone, delle risorse e delle informazioni nella Commissione;

    3)

    con la polizia e altri servizi di emergenza su tutte le questioni relative alla sicurezza della Commissione in situazioni sia normali che di emergenza;

    4)

    con le autorità di sicurezza delle altre istituzioni, agenzie od organi dell'Unione, degli Stati membri e dei paesi terzi nel settore della reazione agli attacchi informatici con potenziale impatto sulla sicurezza nella Commissione;

    5)

    per quanto riguarda il ricevimento, la valutazione e l'inoltro di intelligence relativa a minacce dovute ad attività terroristiche o di spionaggio che hanno un impatto sulla sicurezza nella Commissione;

    6)

    per quanto riguarda le questioni relative alle informazioni classificate come ulteriormente precisato nella decisione (EU, Euratom) 2015/444 della Commissione (14).

    3.   La direzione generale Risorse umane e sicurezza è responsabile della trasmissione sicura delle informazioni effettuata ai sensi del presente articolo, compresa la trasmissione di dati personali.

    Articolo 19

    Gruppo di esperti di sicurezza della Commissione (ComSEG)

    È istituito un gruppo di esperti di sicurezza della Commissione, incaricato di assistere la Commissione, se opportuno, sulle questioni relative alla politica di sicurezza interna e più specificamente sulla protezione delle informazioni classificate UE.

    Articolo 20

    Responsabili locali della sicurezza (LSOs)

    1.   Ciascun servizio e gabinetto della Commissione nomina un responsabile locale della sicurezza (LSO), che agisce come principale punto di contatto tra il proprio servizio e la direzione generale Risorse umane e sicurezza per tutte le questioni inerenti alla sicurezza nella Commissione. Se opportuno, è possibile nominare uno o più LSO. L'LSO è un funzionario o un agente temporaneo.

    2.   In quanto principale punto di contatto sulla sicurezza all'interno del proprio servizio o gabinetto della Commissione, l'LSO, riferisce a intervalli regolari alla direzione generale Risorse umane e sicurezza e alla propria gerarchia in merito alle questioni di sicurezza che riguardano il proprio servizio e, immediatamente in merito agli incidenti della sicurezza, compresi quelli in cui possono essere state compromesse ICUE o informazioni sensibili non classificate.

    3.   Per le questioni relative alla sicurezza dei sistemi di comunicazione e informazione, l'LSO prende contatto con il responsabile della sicurezza informatica a livello locale (LISO) del proprio servizio della Commissione, il cui ruolo e responsabilità sono definiti nella decisione C(2006) 3602.

    4.   Egli contribuisce alle attività di formazione e sensibilizzazione in materia di sicurezza che rispondono alle esigenze specifiche del personale, degli appaltatori e di altre persone che lavorano sotto l'autorità del suddetto servizio della Commissione.

    5.   Su richiesta della direzione generale Risorse umane e sicurezza possono essere affidati all'LSO compiti specifici in caso di rischi gravi o immediati per la sicurezza o in caso di emergenza. Il direttore generale o il direttore delle risorse umane della direzione generale dell'LSO è informato di tali compiti specifici dalla direzione generale Risorse umane e sicurezza.

    6.   Le responsabilità dell'LSO non pregiudicano il ruolo e le responsabilità assegnati ai responsabili della sicurezza informatica a livello locale (LISO), ai quadri direzionali della salute e sicurezza, ai funzionari di controllo del registro (RCO) o ad altri funzionari con responsabilità connesse alla sicurezza. L'LSO prende contatto con essi per assicurare un approccio coerente e omogeneo alla sicurezza e un flusso efficiente di informazioni su questioni relative alla sicurezza nella Commissione.

    7.   L'LSO ha accesso diretto al proprio direttore generale o al capo servizio, e tiene informata la gerarchia diretta. Egli dispone di un'autorizzazione di accesso alle ICUE almeno fino al livello SECRET UE/EU SECRET.

    8.   Per promuovere lo scambio di informazioni e migliori pratiche, la direzione generale Risorse umane e sicurezza organizza una conferenza LSO almeno due volte all'anno; la partecipazione degli LSO è obbligatoria.

    CAPO 5

    ATTUAZIONE

    Articolo 21

    Norme di attuazione e comunicazioni di sicurezza

    1.   Se necessario, l'adozione delle norme di attuazione della presente decisione sarà oggetto di una decisione separata della Commissione volta ad abilitare il membro della Commissione responsabile della sicurezza, nel pieno rispetto del regolamento interno.

    2.   Una volta abilitato in forza della suddetta decisione della Commissione, il membro della Commissione responsabile della sicurezza può elaborare comunicazioni di sicurezza che definiscano orientamenti e migliori pratiche in materia nel quadro della presente decisione e delle relative norme di attuazione.

    3.   La Commissione può delegare i compiti di cui ai paragrafi 1 e 2 al direttore generale delle risorse umane e della sicurezza con decisione di delega separata, nel pieno rispetto del regolamento interno.

    CAPO 6

    DISPOSIZIONI VARIE E FINALI

    Articolo 22

    Trattamento dei dati personali

    1.   La Commissione tratta i dati personali necessari per attuare la presente decisione conformemente al regolamento (CE) n. 45/2001.

    2.   Fatte salve le misure già in vigore al momento dell'adozione della presente decisione e notificate al garante europeo della protezione dei dati (15), le disposizioni nell'ambito della presente decisione che implichino il trattamento di dati personali, quali i dati relativi ai registri di entrata e di uscita, alla videosorveglianza, alle registrazioni di chiamate telefoniche a uffici o centrali di permanenza o dati affini, necessari per motivi di sicurezza o di reazione a situazioni di crisi, sono oggetto di norme di attuazione conformemente all'articolo 21, che stabilisce adeguate garanzie a tutela delle persone interessate.

    3.   Il direttore generale della direzione generale Risorse umane e sicurezza è responsabile della sicurezza del trattamento dei dati personali nell'ambito della presente decisione.

    4.   Le norme e procedure di attuazione sono adottate previa consultazione del responsabile della protezione dei dati e del garante europeo della protezione dei dati conformemente al regolamento (CE) n. 45/2001.

    Articolo 23

    Trasparenza

    La presente decisione e le relative norme di attuazione sono rese note al personale della Commissione e a tutte le persone cui si applicano.

    Articolo 24

    Abrogazione delle precedenti decisioni

    La decisione (94) 2129 è abrogata.

    Articolo 25

    Entrata in vigore

    La presente decisione entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

    Fatto a Bruxelles, il 13 marzo 2015

    Per la Commissione

    Il presidente

    Jean-Claude JUNCKER

    (1)  Cfr. l'«Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité» del 31 dicembre 2004, l'«Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois» del 20 gennaio 2007, e l'«Accordo tra il governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale» del 22 luglio 1959.

    (2)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.

    (3)  Decisione (94) 2129 della Commissione, dell'8 settembre 1994, relativa ai compiti del servizio di sicurezza.

    (4)  Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

    (5)  Regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio, del 29 febbraio 1968, che definisce lo statuto dei funzionari delle Comunità europee nonché il regime applicabile agli altri agenti di tali Comunità, ed istituisce speciali misure applicabili temporaneamente ai funzionari della Commissione (regime applicabile agli altri agenti) (GU L 56 del 4.3.1968, pag. 1).

    (6)  Decisione 2013/C 190/01 dell'Alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza, del 19 aprile 2013, relativa alle norme di sicurezza del Servizio europeo per l'azione esterna (GU C 190 del 29.6.2013, pag. 1).

    (7)  Decisione 2002/47/CE, CECA, Euratom della Commissione, del 23 gennaio 2002, recante modificazione del suo regolamento interno (GU L 21 del 24.1.2002, pag. 23) che allega le disposizioni relative alla gestione dei documenti.

    (8)  Decisione 2004/563/CE, CECA, Euratom della Commissione, del 7 luglio 2004, recante modificazione del suo regolamento interno (GU L 251 del 27.7.2004, pag. 9), che allega le disposizioni relative ai documenti elettronici e digitalizzati.

    (9)  C(2006) 1623, del 21 aprile 2006, che istituisce una politica armonizzata in materia sanitaria e di sicurezza sul lavoro per il personale della Commissione europea.

    (10)  C(2006) 3602, del 16 agosto 2006, relativa alla sicurezza dei sistemi d'informazione utilizzati dalla Commissione europea.

    (11)  Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).

    (12)  Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).

    (13)  Regolamento (UE, Euratom) n. 883/2013 del Parlamento europeo e del Consiglio, dell'11 settembre 2013, relativo alle indagini svolte dall'Ufficio europeo per la lotta antifrode (OLAF) e che abroga il regolamento (CE) n. 1073/1999 del Parlamento europeo e del Consiglio e il regolamento (Euratom) n. 1074/1999 del Consiglio (GU L 248 del 18.9.2013, pag. 1).

    (14)  Decisione (UE, Euratom) 2015/444 della Commissione, del 13 marzo 2015, sulle norme di sicurezza per la protezione delle informazioni classificate UE (cfr. pagina 53 della presente Gazzetta ufficiale).

    (15)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.

    Top