1.   ECRIS-TCN consta di:

2.   Il sistema centrale è ospitato da eu-LISA presso i suoi siti tecnici.

3.   Il software di interfaccia è integrato con l'attuazione di riferimento ECRIS. Gli Stati membri usano l'attuazione di riferimento ECRIS o, nella situazione e alle condizioni di cui ai paragrafi da 4 a 8, il software nazionale di attuazione ECRIS, per interrogare ECRIS-TCN e per trasmettere le successive richieste di informazioni sui casellari giudiziali.

4.   Gli Stati membri che utilizzano il proprio software nazionale di attuazione ECRIS sono tenuti a garantire che esso consenta alle loro autorità nazionali incaricate dei casellari giudiziali di utilizzare ECRIS-TCN, a eccezione del software di interfaccia, conformemente al presente regolamento. A tale scopo, prima della data di entrata in funzione di ECRIS-TCN ai sensi dell'articolo 35, paragrafo 4, essi garantiscono che il loro software nazionale di attuazione ECRIS funzioni conformemente ai protocolli e alle specifiche tecniche definite negli atti di esecuzione di cui all'articolo 10 e a eventuali altri requisiti tecnici definiti da eu-LISA ai sensi del presente regolamento basati su detti atti di esecuzione.

5.   Fintanto che non usano l'attuazione di riferimento ECRIS, gli Stati membri che usano il proprio software nazionale di attuazione ECRIS garantiscono inoltre l'introduzione nel loro software nazionale di attuazione ECRIS dei successivi adattamenti tecnici resi necessari da eventuali modifiche delle specifiche tecniche definite negli atti di esecuzione di cui all'articolo 10 o da modifiche di eventuali altri requisiti tecnici definiti da eu-LISA ai sensi del presente regolamento basati su detti atti di esecuzione, senza ingiustificato ritardo.

6.   Gli Stati membri che usano il proprio software nazionale di attuazione ECRIS sostengono tutte le spese associate all'attuazione, alla manutenzione e all'ulteriore sviluppo del loro software nazionale di attuazione ECRIS e alla sua interconnessione con ECRIS-TCN, con l'eccezione del software di interfaccia.

7.   Qualora uno Stato membro che usa il proprio software di attuazione ECRIS non sia in grado di conformarsi agli obblighi di cui al presente articolo, ha l'obbligo di usare l'attuazione di riferimento ECRIS, incluso il software di interfaccia integrato, per avvalersi di ECRIS-TCN.

8.   Alla luce della valutazione che la Commissione è tenuta a effettuare ai sensi dell'articolo 36, paragrafo 10, lettera b), gli Stati membri interessati forniscono alla Commissione tutte le informazioni necessarie.

1.   Per ciascun cittadino di paese terzo condannato l'autorità centrale dello Stato membro di condanna crea una registrazione di dati nel sistema centrale. Tale registrazione di dati comprende:

2.   I dati relativi alle impronte digitali di cui al paragrafo 1, lettera b), del presente articolo devono soddisfare le specifiche tecniche per la qualità, la risoluzione e il trattamento dei dati relativi alle impronte digitali previste negli atti di esecuzione di cui all'articolo 10, paragrafo 1, lettera b). Il numero di riferimento dei dati relativi alle impronte digitali della persona condannata include il codice dello Stato membro di condanna.

3.   La registrazione di dati può contenere anche le immagini del volto del cittadino di paese terzo condannato, qualora il diritto dello Stato membro di condanna consenta di raccogliere e conservare le immagini del volto delle persone condannate.

4.   Lo Stato membro di condanna crea la registrazione di dati automaticamente, ove possibile, e senza ingiustificato ritardo dopo l'iscrizione della condanna nel casellario giudiziale.

5.   Gli Stati membri di condanna creano inoltre la registrazione di dati per le condanne pronunciate prima della data di entrata in funzione dei dati ai sensi dell'articolo 35, paragrafo 1, nella misura in cui i dati relativi alle persone condannate sono conservati nelle loro banche dati nazionali. In tali casi i dati relativi alle impronte digitali devono essere inclusi soltanto se sono state rilevate nel corso di procedimenti penali conformemente al diritto nazionale e se è possibile stabilire una chiara corrispondenza con altre informazioni sull'identità contenute nei casellari giudiziali.

6.   Al fine di rispettare gli obblighi di cui al paragrafo 1, lettera b), punti i) e ii), e al paragrafo 5, gli Stati membri possono utilizzare i dati relativi alle impronte digitali rilevate a fini diversi da un procedimento penale, qualora tale uso sia autorizzato dal diritto nazionale.

1.   Fino all'entrata in vigore dell'atto delegato di cui al paragrafo 2, le immagini del volto possono essere utilizzate al solo scopo di confermare l'identità del cittadino di paese terzo identificato grazie all'interrogazione con dati alfanumerici o con dati relativi alle impronte digitali.

2.   Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 37 al fine di integrare il presente regolamento per quanto riguarda l'uso delle immagini del volto ai fini dell'identificazione di cittadini di paesi terzi in modo da individuare, quando sarà possibile a livello tecnico, gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di tali persone. Prima di esercitare tale potere, la Commissione valuta, tenendo conto della necessità e della proporzionalità, nonché degli sviluppi tecnici nel settore del software di riconoscimento facciale, la disponibilità e lo stato di preparazione della tecnologia necessaria.

1.   Le autorità centrali usano ECRIS-TCN per individuare gli Stati membri in possesso di informazioni sul casellario giudiziale di un cittadino di paese terzo, al fine di ottenere informazioni sulle precedenti condanne tramite ECRIS, quando dette informazioni su tale persona sono richieste nello Stato membro in questione ai fini di un procedimento penale nei confronti di quella persona o per uno qualsiasi dei seguenti fini, se previsto conformemente al diritto nazionale:

Ciononostante, in casi specifici diversi da quelli in cui un cittadino di paese terzo chiede all'autorità centrale informazioni sul proprio casellario, o quando la richiesta è presentata per ottenere informazioni dal casellario giudiziale a norma dell'articolo 10, paragrafo 2, della direttiva 2011/93/UE, l'autorità che chiede informazioni sui casellari giudiziali può decidere che tale uso di ECRIS-TCN non è adeguato.

2.   Uno Stato membro che decida, se previsto conformemente al diritto nazionale, di usare ECRIS-TCN per fini diversi da quelli indicati al paragrafo 1, allo scopo di ottenere informazioni su precedenti condanne tramite ECRIS, entro la data di entrata in funzione di cui all'articolo 35, paragrafo 4, o successivamente, notifica alla Commissione tali fini e le eventuali modifiche. La Commissione pubblica altresì tali notifiche nella Gazzetta ufficiale dell'Unione europea entro 30 giorni dal ricevimento della notifica.

3.   Eurojust, Europol ed EPPO sono legittimati a interrogare ECRIS-TCN per individuare gli Stati membri in possesso di informazioni sul casellario giudiziale di un cittadino di paese terzo in conformità degli articoli da 14 a 18. Ciononostante, non inseriscono, rettificano o cancellano dati in ECRIS-TCN.

4.   Ai fini di cui ai paragrafi 1, 2 e 3, le autorità competenti possono inoltre interrogare ECRIS-TCN per verificare se, con riguardo a un cittadino dell'Unione, uno o più Stati membri siano in possesso di informazioni sul casellario giudiziale di tale persona in quanto cittadino di paese terzo.

5.   Quando interrogano ECRIS-TCN, le autorità competenti possono usare tutti o soltanto alcuni dei dati di cui all'articolo 5, paragrafo 1. L'insieme minimo di dati necessari per interrogare il sistema è specificato in un atto di esecuzione adottato in conformità dell'articolo 10, paragrafo 1, lettera g).

6.   Le autorità competenti possono interrogare ECRIS-TCN anche usando le immagini del volto, sempreché tale funzionalità sia stata attuata a norma dell'articolo 6, paragrafo 2.

7.   In caso di riscontro positivo, il sistema centrale trasmette automaticamente all'autorità competente le informazioni sugli Stati membri in possesso di informazioni sul casellario giudiziale del cittadino di paese terzo, insieme con i numeri di riferimento associati ed eventuali corrispondenti informazioni sull'identità. Tali informazioni sull'identità sono utilizzate al solo scopo di verificare l'identità del cittadino di paese terzo interessato. Il risultato di un'interrogazione del sistema centrale può essere utilizzato al solo scopo di introdurre una richiesta ai sensi dell'articolo 6 della decisione quadro 2009/315/GAI o una richiesta di cui all'articolo 17, paragrafo 3, del presente regolamento.

8.   In assenza di riscontro positivo, il sistema centrale ne informa automaticamente l'autorità competente.

1.   Ciascuna registrazione record di dati è conservata nel sistema centrale fintanto che i dati relativi alla condanna o alle condanne pronunciate a carico dell'interessato sono conservati nel casellario giudiziale.

2.   Allo scadere del periodo di conservazione di cui al paragrafo 1, l'autorità centrale dello Stato membro di condanna cancella dal sistema centrale la registrazione di dati, incluse le impronte digitali e le immagini del volto. La cancellazione avviene automaticamente, se possibile, e in ogni caso non oltre un mese dalla scadenza del periodo di conservazione.

1.   Gli Stati membri possono modificare o cancellare i dati da essi inseriti in ECRIS-TCN.

2.   Qualsiasi modifica delle informazioni nei casellari giudiziali che hanno generato una registrazione di dati ai sensi dell'articolo 5 include un'identica modifica, senza ingiustificato ritardo, da parte dello Stato membro di condanna, delle informazioni conservate in tale registrazione di dati nel sistema centrale.

3.   Qualora abbia ragione di credere che i dati registrati nel sistema centrale sono inesatti o che sono stati trattati nel sistema centrale in violazione del presente regolamento, lo Stato membro di condanna:

4.   Ove uno Stato membro diverso dallo Stato membro di condanna che ha introdotto i dati abbia ragione di credere che i dati registrati nel sistema centrale sono inesatti o che sono stati trattati nel sistema centrale in violazione del presente regolamento, esso contatta senza ingiustificato ritardo l'autorità centrale dello Stato membro di condanna.

Lo Stato membro di condanna:

1.   La Commissione adotta gli atti di esecuzione necessari allo sviluppo tecnico e all'attuazione di ECRIS-TCN quanto prima, in particolare atti riguardanti:

2.   Gli atti di esecuzione di cui al paragrafo 1 sono adottati secondo la procedura di esame di cui all'articolo 38, paragrafo 2.

1.   eu-Lisa è responsabile dello sviluppo dia ECRIS-TCN conformemente al principio della protezione dei dati fin dalla progettazione e per impostazione predefinita. eu-Lisa è altresì responsabile della gestione operativa di ECRIS-TCN. Lo sviluppo comporta l'elaborazione e l'applicazione delle specifiche tecniche, il collaudo e il coordinamento generale del progetto.

2.   eu-Lisa è inoltre responsabile dello sviluppo ulteriore e della manutenzione dell'attuazione di riferimento ECRIS.

3.   eu-LISA definisce la progettazione dell'architettura fisica di ECRIS-TCN, comprese le specifiche tecniche e l'evoluzione per quanto riguarda il sistema centrale, il punto di accesso centrale nazionale e il software d'interfaccia. La progettazione è adottata dal suo consiglio di amministrazione, previo parere favorevole della Commissione.

4.   eu-LISA sviluppa e realizza ECRIS-TCN quanto prima dopo l'entrata in vigore del presente regolamento e dopo l'adozione da parte della Commissione degli atti di esecuzione di cui all'articolo 10.

5.   Prima della fase di progettazione e di sviluppo di ECRIS-TCN, il consiglio di amministrazione di eu-LISA istituisce un consiglio di gestione del programma composto di dieci membri.

Il consiglio di gestione del programma è costituito da otto membri nominati dal consiglio di amministrazione, dal presidente del gruppo consultivo di cui all'articolo 39 e da un membro nominato dalla Commissione. I membri nominati dal consiglio di amministrazione sono eletti soltanto tra gli Stati membri che sono pienamente vincolati in base al diritto dell'Unione dagli strumenti legislativi che disciplinano ECRIS e che parteciperanno a ECRIS-TCN. Il consiglio di amministrazione garantisce che i membri da esso nominati al consiglio di gestione del programma dispongano dell'esperienza e delle competenze necessarie in termini di sviluppo e gestione di sistemi IT a sostegno delle autorità giudiziarie e delle autorità incaricate dei casellari giudiziali.

eu-LISA partecipa ai lavori del consiglio di gestione del programma. A tal fine, rappresentanti di eu-LISA prendono parte alle riunioni del consiglio di gestione del programma allo scopo di riferire in merito ai lavori relativi alla progettazione e allo sviluppo di ECRIS-TCN e a eventuali altri lavori e attività correlati.

Il consiglio di gestione del programma si riunisce almeno una volta a trimestre e più spesso se necessario. Esso garantisce l'adeguata gestione della fase di progettazione e di sviluppo di ECRIS-TCN e la coerenza tra il progetto centrale e i progetti nazionali dell'ECRIS-TCN, e con il software nazionale di attuazione di ECRIS. Il consiglio di gestione del programma presenta regolarmente e se possibile mensilmente, relazioni scritte al consiglio di amministrazione di eu-LISA sui progressi del progetto. Il consiglio di gestione del programma non ha potere decisionale né mandato di rappresentare i membri del consiglio di amministrazione.

6.   Il consiglio di gestione del programma stabilisce il suo regolamento interno, che comprende in particolare disposizioni concernenti:

7.   La presidenza del consiglio di gestione del programma è esercitata da uno Stato membro che è pienamente vincolato, conformemente al diritto dell'Unione, dagli strumenti legislativi che disciplinano ECRIS e dagli strumenti legislativi che disciplinano lo sviluppo, l'istituzione, il funzionamento e l'uso di tutti i sistemi IT su larga scala gestiti da eu-LISA.

8.   Tutte le spese di viaggio e di soggiorno sostenute dai membri del consiglio di gestione del programma sono a carico di eu-LISA. L'articolo 10 del regolamento interno di eu-LISA si applica mutatis mutandis. Il segretariato del consiglio di gestione del programma è assicurato da eu-LISA.

9.   In fase di progettazione e di sviluppo, il gruppo consultivo di cui all'articolo 39 è composto dei responsabili di progetto nazionali di ECRIS-TCN ed è presieduto da eu-LISA. In fase di progettazione e di sviluppo esso si riunisce regolarmente, se possibile almeno una volta al mese, fino all'entrata in funzione di ECRIS-TCN. Dopo ciascuna riunione, riferisce al consiglio di gestione del programma. Fornisce la consulenza tecnica a sostegno delle attività del consiglio di gestione del programma e monitora lo stato di preparazione degli Stati membri.

10.   Al fine di garantire la riservatezza e l'integrità in qualsiasi momento dei dati conservati in ECRIS-TCN, eu-LISA, in cooperazione con gli Stati membri, prevede idonee misure tecniche e organizzative, tenendo conto dello stato dell'arte, del costo relativo all'attuazione e dei rischi associati al trattamento.

11.   eu-LISA è responsabile dei seguenti compiti relativi all'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d):

12.   La Commissione è responsabile di tutti gli altri compiti connessi con l'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d), in particolare:

13.   eu-LISA sviluppa e mantiene un meccanismo e procedure per lo svolgimento dei controlli di qualità sui dati conservati in ECRIS-TCN e riferisce periodicamente agli Stati membri. eu-LISA riferisce periodicamente alla Commissione in merito ai problemi incontrati e agli Stati membri interessati.

14.   La gestione operativa di ECRIS-TCN consiste nell'insieme dei compiti necessari per garantirne l'operatività in conformità del presente regolamento e comprende, in particolare, la manutenzione e gli adeguamenti tecnici necessari per garantire che ECRIS-TCN funzioni a un livello soddisfacente conformemente alle specifiche tecniche.

15.   eu-LISA svolge compiti relativi alla formazione sull'uso tecnico di ECRIS-TCN e dell'attuazione di riferimento ECRIS.

16.   Fatto salvo l'articolo 17 dello statuto dei funzionari dell'Unione europea di cui al regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio (17), eu-LISA applica a tutti i membri del proprio personale che devono lavorare con i dati registrati nel sistema centrale adeguate norme in materia di segreto professionale o altri doveri equivalenti di riservatezza. Questo obbligo vincola tale personale anche dopo che ha lasciato l'incarico o cessato di lavorare, ovvero portato a termine le sue attività.

1.   Ciascuno Stato membro è responsabile di quanto segue:

2.   Ciascuno Stato membro provvede affinché il personale della sua autorità centrale con diritto di accesso a ECRIS-TCN riceva una formazione adeguata che riguardi, in particolare, le norme di sicurezza e di protezione dei dati e i diritti fondamentali applicabili, prima di autorizzarli a trattare dati conservati nel sistema centrale.

1.   Conformemente alle norme applicabili dell'Unione in materia di protezione dei dati, ciascuno Stato membro garantisce che i dati registrati in ECRIS-TCN siano trattati lecitamente e, in particolare, che:

2.   eu-LISA garantisce che ECRIS-TCN sia gestito conformemente al presente regolamento, agli atti delegati di cui all'articolo 6, paragrafo 2, e agli atti di esecuzione di cui all'articolo 10, nonché conformemente al regolamento (UE) 2018/1725. In particolare eu-LISA adotta le misure necessarie per garantire la sicurezza del sistema centrale e dell'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d), fatte salve le responsabilità di ciascuno Stato membro.

3.   eu-LISA informa il Parlamento europeo, il Consiglio, la Commissione e il garante europeo della protezione dei dati il più presto possibile delle misure adottate in conformità del paragrafo 2 in vista dell'entrata in funzione dia ECRIS-TCN.

4.   La Commissione mette a disposizione degli Stati membri e del pubblico, mantenendo regolarmente aggiornato il sito web, le informazioni di cui al paragrafo 3.

1.   Eurojust ha accesso diretto a ECRIS-TCN ai fini dell'attuazione dell'articolo 17 e dello svolgimento dei suoi compiti di cui all'articolo 2 del regolamento (UE) 2018/1727, per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi.

2.   Europol ha accesso diretto a ECRIS-TCN ai fini dello svolgimento dei suoi compiti di cui all'articolo 4, paragrafo 1, lettere e) e h), del regolamento (UE) 2016/794, per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi.

3.   EPPO ha accesso diretto a ECRIS-TCN ai fini dello svolgimento dei suoi compiti di cui all'articolo 4 del regolamento (UE) 2017/1939, per individuare lo Stato membro o gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi.

4.   A seguito di riscontro positivo che indichi gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di un cittadino di paese terzo, Eurojust, Europol ed EPPO possono contattare le autorità nazionali di tali Stati membri per chiedere le informazioni sui casellari giudiziali nel modo previsto nei rispettivi strumenti giuridici costitutivi.

1.   I paesi terzi e le organizzazioni internazionali possono, ai fini di un procedimento penale, indirizzare a Eurojust richieste di informazioni su quali Stati membri, se del caso, siano in possesso di informazioni sul casellario giudiziale di un cittadino di paese terzo. A tale scopo utilizzano il formulario standard che figura nell'allegato del presente regolamento.

2.   Quando riceve una richiesta a norma del paragrafo 1, Eurojust usa ECRIS-TCN per individuare gli eventuali Stati membri in possesso di informazioni sul casellario giudiziale del cittadino di paese terzo interessato.

3.   In caso di riscontro positivo, Eurojust chiede agli Stati membri in possesso di informazioni sul casellario giudiziale del cittadino di paese terzo interessato se acconsentono a che Eurojust informi il paese terzo o l'organizzazione internazionale del nome dello Stato membro interessato. Se tale Stato membro fornisce il proprio consenso, Eurojust comunica al paese terzo o all'organizzazione internazionale il nome di detto Stato membro e le modalità di introduzione di una richiesta di estratti del casellario giudiziale presso gli Stati membri in questione, secondo le procedure applicabili.

4.   In assenza di riscontro positivo o qualora non sia in grado di fornire una risposta, conformemente al paragrafo 3, alle richieste che le sono state presentate ai sensi del presente articolo, Eurojust informa il paese terzo o l'organizzazione internazionale in questione di aver completato la procedura, senza precisare se le informazioni sul casellario giudiziale della persona interessata siano in possesso di uno Stato membro.

1.   eu-LISA adotta le misure necessarie per garantire la sicurezza di ECRIS-TCN, fatte salve le responsabilità di ciascuno Stato membro, tenuto conto delle misure di sicurezza di cui al paragrafo 3.

2.   Per quanto riguarda il funzionamento di ECRIS-TCN, eu-LISA adotta le misure necessarie per conseguire gli obiettivi enunciati al paragrafo 3, compresa l'adozione di un piano di sicurezza e di un piano di continuità operativa e di ripristino in caso di disastro, e garantire che i sistemi installati possano, in caso di interruzione, essere ripristinati.

3.   Gli Stati membri garantiscono la sicurezza dei dati prima e durante la trasmissione al punto di accesso centrale nazionale e il ricevimento dallo stesso. In particolare ciascuno Stato membro:

4.   eu-LISA e gli Stati membri cooperano al fine di garantire un approccio coerente alla sicurezza dei dati sulla base di una procedura di gestione del rischio di sicurezza che includa l'intero ECRIS-TCN.

1.   Le persone o gli Stati membri che hanno subito un danno materiale o non materiale in conseguenza di un trattamento illecito di dati o di qualsiasi altro atto incompatibile con il presente regolamento hanno diritto di ottenere un risarcimento:

Lo Stato membro responsabile del danno o eu-LISA sono rispettivamente esonerati in tutto o in parte da tale responsabilità se provano che l'evento dannoso non è loro imputabile.

2.   Ogni Stato membro, Eurojust, Europol o EPPO sono rispettivamente responsabili per i danni causati a ECRIS-TCN in caso di inosservanza da parte loro degli obblighi derivanti dal presente regolamento, tranne nel caso e nei limiti in cui eu-LISA o un altro Stato membro che partecipa a ECRIS-TCN abbia omesso di adottare misure ragionevolmente idonee a evitare i danni o a minimizzarne gli effetti.

3.   Le azioni proposte nei confronti di uno Stato membro per il risarcimento dei danni di cui ai paragrafi 1 e 2 sono disciplinate dal diritto dello Stato membro convenuto. Le azioni proposte nei confronti di eu-LISA, Eurojust, Europol ed EPPO per il risarcimento dei danni di cui ai paragrafi 1 e 2 sono disciplinate dai loro rispettivi strumenti giuridici costitutivi.

1.   Per quanto riguarda il trattamento dei dati personali effettuato dall'autorità centrale di uno Stato membro a norma del presente regolamento, titolare del trattamento ai sensi delle norme applicabili dell'Unione in materia di protezione dei dati è l'autorità centrale di tale Stato membro.

2.   Per quanto riguarda l'inserimento dei dati personali nel sistema centrale da parte degli Stati membri, eu-LISA è responsabile del trattamento ai sensi del regolamento (UE) 2018/1725.

1.   I dati inseriti nel sistema centrale sono trattati al solo fine di individuare gli Stati membri in possesso di informazioni sui casellari giudiziali su cittadini di paesi terzi.

2.   Ad eccezione del personale debitamente autorizzato di Eurojust, Europol ed EPPO, che ha accesso a ECRIS-TCN ai fini del presente regolamento, l'accesso a ECRIS-TCN è riservato esclusivamente al personale debitamente autorizzato delle autorità centrali. L'accesso è limitato a quanto necessario all'assolvimento dei compiti, conformemente al fine di cui al paragrafo 1, e a quanto necessario e proporzionato agli obiettivi perseguiti.

1.   Le richieste dei cittadini di paesi terzi relative ai diritti di accesso ai dati personali, di rettifica o cancellazione nonché di limitazione del trattamento, sanciti dalle norme applicabili dell'Unione in materia di protezione dei dati, possono essere presentate all'autorità centrale di ogni Stato membro.

2.   Qualora la richiesta sia presentata a uno Stato membro diverso da quello di condanna, lo Stato membro al quale è stata presentata la richiesta la trasmette allo Stato membro di condanna senza ingiustificato ritardo e comunque entro di dieci giorni lavorativi dal suo ricevimento. Non appena riceve la richiesta, lo Stato membro di condanna:

3.   Qualora emerga che i dati registrati in ECRIS-TCN sono inesatti o sono stati trattati illecitamente, lo Stato membro di condanna provvede a rettificarli o a cancellarli conformemente all'articolo 9. Lo Stato membro di condanna o, ove applicabile, lo Stato membro al quale è stata presentata la richiesta, conferma per iscritto e senza ingiustificato ritardo all'interessato di aver provveduto a rettificare o cancellare i dati che lo riguardano. Lo Stato membro di condanna comunica inoltre senza ingiustificato ritardo quali misure sono state adottate a qualsiasi altro Stato membro che abbia ricevuto informazioni relative alla condanna ottenute da una interrogazione di ECRIS-TCN.

4.   Qualora non ritenga che i dati registrati in ECRIS-TCN siano di fatto inesatti o siano stati registrati illecitamente, lo Stato membro di condanna adotta una decisione amministrativa o giudiziaria con la quale illustra per iscritto all'interessato la ragione per cui non intende rettificare o cancellare i dati che lo riguardano. Tali casi possono, se del caso, essere comunicati all'autorità nazionale di controllo.

5.   Lo Stato membro che ha adottato la decisione ai sensi del paragrafo 4 fornisce inoltre all'interessato informazioni in merito alla procedura da seguire qualora egli non ritenga accettabile la motivazione fornita ai sensi del paragrafo 4. Tali informazioni comprendono le informazioni sulle modalità per avviare un'azione o un reclamo presso le autorità competenti o le autorità giurisdizionali competenti di tale Stato membro e su qualunque tipo di assistenza, compresa quella delle autorità nazionali di controllo, disponibile in conformità del diritto nazionale di tale Stato membro.

6.   Qualsiasi richiesta presentata a norma del paragrafo 1 contiene le informazioni necessarie per identificare l'interessato. Tali informazioni sono utilizzate unicamente per consentire l'esercizio dei diritti di cui al paragrafo 1 e sono cancellate subito dopo.

7.   Se si applica il paragrafo 2, l'autorità centrale a cui è stata presentata la richiesta conserva una registrazione scritta della presentazione di tale richiesta e di come e a quale autorità è stata trasmessa. Su richiesta dell'autorità di controllo nazionale, l'autorità centrale mette senza ritardo tale registrazione a disposizione di tale autorità nazionale di controllo. L'autorità centrale e l'autorità nazionale di controllo cancellano tali registrazioni tre anni dopo la loro creazione.

1.   Le autorità centrali cooperano per garantire il rispetto dei diritti sanciti dall'articolo 25.

2.   In ciascuno Stato membro l'autorità nazionale di controllo fornisce, su richiesta, informazioni agli interessati sull'esercizio del diritto di rettifica o cancellazione dei dati che li riguardano, ai sensi delle norme applicabili dell'Unione in materia di protezione dei dati.

3.   Ai fini del presente articolo, l'autorità nazionale di controllo dello Stato membro che ha trasmesso i dati e l'autorità di controllo nazionali dello Stato membro alle quali è stata presentata la richiesta cooperano per raggiungere tali obiettivi.

1.   Ciascuno Stato membro assicura che le autorità nazionali di controllo designate in conformità delle norme applicabili dell'Unione in materia di protezione dei dati verifichino la liceità del trattamento dei dati personali di cui agli articoli 5 e 6 effettuato dallo Stato membro in questione, nonché il loro trasferimento al e da ECRIS-TCN.

2.   L'autorità nazionale di controllo provvede affinché, almeno ogni tre anni dalla data dell'entrata in funzione di ECRIS-TCN, sia svolto un audit dei trattamenti di dati nelle banche dati nazionali di casellari giudiziali e di impronte digitali relativamente allo scambio di dati tra tali sistemi e ECRIS-TCN, conformemente ai pertinenti principi internazionali di audit.

3.   Gli Stati membri provvedono affinché le loro autorità nazionali di controllo dispongano delle risorse sufficienti per assolvere i compiti a esse affidati dal presente regolamento.

4.   Ciascuno Stato membro comunica qualsiasi informazione richiesta dalle autorità nazionali di controllo e, in particolare, fornisce loro informazioni sulle attività svolte conformemente agli articoli 12, 13 e 19. Ciascuno Stato membro consente alle proprie autorità nazionali di controllo di consultare le registrazioni conformemente all'articoli 25, paragrafo 7, e l'accesso ai propri registri conformemente all'articolo 31, paragrafo 6, e consente loro l'accesso in qualsiasi momento a tutti i suoi locali utilizzati per ECRIS-TCN.

1.   Il garante europeo della protezione dei dati verifica che le attività di trattamento dei dati personali da parte di eu-LISA concernenti ECRIS-TCN siano effettuate in conformità del presente regolamento.

2.   Il garante europeo della protezione dei dati provvede affinché, almeno ogni tre anni, sia svolto un audit delle attività di trattamento dei dati personali effettuate da eu-LISA, conformemente ai pertinenti principi internazionali di audit. Una relazione su tale audit è trasmessa al Parlamento europeo, al Consiglio, alla Commissione, a eu-LISA e alle autorità di controllo. A eu-LISA è data la possibilità di presentare osservazioni prima dell'adozione della relazione.

3.   eu-LISA fornisce al garante europeo della protezione dei dati le informazioni da questo richieste, gli permette di consultare tutti i documenti e i registri di cui all'articolo 31 e di avere accesso, in qualsiasi momento, a tutti i suoi locali.

1.   eu-LISA e le autorità competenti provvedono, nei limiti delle responsabilità rispettive, affinché tutti i trattamenti di dati in ECRIS-TCN siano registrati conformemente al paragrafo 2 al fine di verificare l'ammissibilità delle richieste e monitorare l'integrità e la sicurezza dei dati e la liceità del trattamento dei dati, nonché a fini di verifica interna.

2.   Il registro indica:

3.   Il registro delle consultazioni e delle comunicazioni consente di stabilire la motivazione di tali operazioni.

4.   I registri sono usati solo ai fini della verifica della liceità del trattamento dei dati e per garantire l'integrità e la sicurezza dei dati. Soltanto i registri che non contengono dati personali possono essere usati ai fini della verifica e della valutazione di cui all'articolo 36. Tali registri sono protetti dall'accesso non autorizzato con misure adeguate e sono cancellati dopo tre anni, sempreché non siano stati richiesti per procedure di verifica già avviate.

5.   Su richiesta, eu-LISA mette a disposizione delle autorità centrali, senza ingiustificato ritardo, i registri dei propri trattamenti.

6.   Le autorità nazionali di controllo competenti a verificare l'ammissibilità della richiesta e la liceità del trattamento dei dati, l'integrità e la sicurezza dei dati, hanno accesso ai registri, su loro richiesta per l'adempimento delle loro funzioni. Su richiesta, le autorità centrali mettono a disposizione delle autorità nazionali di controllo competenti, senza ingiustificato ritardo, i registri dei propri trattamenti.

1.   Il personale debitamente autorizzato di eu-LISA, delle autorità competenti e della Commissione è abilitato a consultare i dati trattati in ECRIS-TCN unicamente per elaborare relazioni e statistiche e senza che sia possibile l'identificazione individuale.

2.   Ai fini del paragrafo 1, eu-LISA crea, attua e ospita nei suoi siti tecnici un archivio centrale contenente i dati di cui al paragrafo 1 che, senza rendere possibile l'identificazione individuale, consentono di ottenere relazioni e dati statistici personalizzabili. L'accesso all'archivio centrale è garantito mediante un accesso sicuro con controllo dell'accesso e specifici profili di utente unicamente ai fini dell'elaborazione di relazioni e statistiche.

3.   Le procedure poste in essere da eu-LISA per monitorare il funzionamento di ECRIS-TCN di cui all'articolo 36 e l'attuazione di riferimento ECRIS comprendono la possibilità di produrre statistiche periodiche a fini di monitoraggio.

Ogni mese eu-LISA trasmette alla Commissione statistiche relative alla registrazione, alla conservazione e allo scambio delle informazioni estratte dai casellari giudiziali tramite ECRIS-TCN e l'attuazione di riferimento ECRIS. eu-LISA garantisce che non è possibile identificare i dati individuali sulla base di tali statistiche. Su richiesta della Commissione, eu-LISA le fornisce statistiche su aspetti specifici connessi all'attuazione del presente regolamento.

4.   Gli Stati membri forniscono a eu-LISA le statistiche necessarie per adempiere agli obblighi di cui al presente articolo. Essi forniscono alla Commissione statistiche relative al numero di cittadini di paesi terzi condannati e al numero di condanne di cittadini di paesi terzi sul loro territorio.

1.   Le spese sostenute per l'istituzione e il funzionamento del sistema centrale, dell'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d), del software di interfaccia e dell'attuazione di riferimento ECRIS sono a carico del bilancio generale dell'Unione.

2.   Le spese di connessione di Eurojust, Europol ed EPPO a ECRIS-TCN sono a carico del loro rispettivo bilancio.

3.   Altre spese sono a carico degli Stati membri, in particolare quelle sostenute per la connessione dei registri nazionali di casellari giudiziali, delle banche dati di impronte digitali e delle autorità centrali a ECRIS-TCN, e le spese di hosting dell'attuazione di riferimento ECRIS.

1.   Ciascuno Stato membro comunica a eu-LISA l'autorità centrale o le autorità centrali che dispongono dell'accesso per inserire, rettificare, cancellare, consultare e interrogare i dati e la informa di ogni eventuale cambiamento al riguardo.

2.   eu-LISA provvede alla pubblicazione nella Gazzetta ufficiale dell'Unione europea e sul suo sito web dell'elenco delle autorità centrali comunicate dagli Stati membri. Non appena riceve la comunicazione di un cambiamento dell'autorità centrale di uno Stato membro, eu-LISA aggiorna l'elenco senza ingiustificato ritardo.

1.   La Commissione determina la data a partire dalla quale gli Stati membri iniziano a inserire in ECRIS-TCN i dati di cui all'articolo 5 una volta che ha accertato che:

2.   Quando la Commissione ha determinato la data di inizio dell'inserimento dei dati conformemente al paragrafo 1, la comunica agli Stati membri. Entro un periodo di due mesi a decorrere da tale data gli Stati membri inseriscono in ECRIS-TCN i dati di cui all'articolo 5, tenendo conto dell'articolo 41, paragrafo 2.

3.   Alla fine del periodo di cui al paragrafo 2, eu-LISA esegue un collaudo finale di ECRIS-TCN, in cooperazione con gli Stati membri.

4.   Quando il collaudo di cui al paragrafo 3 è stato completato con successo ed eu-LISA ritiene che ECRIS-TCN sia pronto a entrare in funzione, essa lo comunica alla Commissione. La Commissione informa il Parlamento europeo e il Consiglio dell'esito del collaudo e decide la data a partire dalla quale ECRIS-TCN entra in funzione.

5.   La decisione della Commissione sulla data di entrata in funzione di ECRIS-TCN, di cui al paragrafo 4, è pubblicata nella Gazzetta ufficiale dell'Unione europea.

6.   Gli Stati membri iniziano a utilizzare ECRIS-TCN a decorrere dalla data stabilita dalla Commissione ai sensi del paragrafo 4.

7.   Nell'adottare le decisioni di cui al presente articolo, la Commissione può fissare date diverse per l'inserimento in ECRIS-TCN dei dati alfanumerici e dei dati relativi alle impronte digitali di cui all'articolo 5, nonché per l'entrata in funzione relativamente a tali diverse categorie di dati.

1.   eu-LISA provvede affinché siano istituite procedure per monitorare lo sviluppo di ECRIS-TCN rispetto agli obiettivi relativi alla programmazione e ai costi, nonché a monitorare il funzionamento di ECRIS-TCN e dell'attuazione di riferimento ECRIS rispetto agli obiettivi concernenti i risultati tecnici, il rapporto costi/benefici, la sicurezza e la qualità del servizio.

2.   Ai fini del monitoraggio del funzionamento di ECRIS-TCN e della sua manutenzione tecnica, eu-LISA ha accesso alle informazioni necessarie riguardanti i trattamenti dei dati effettuati in ECRIS-TCN e nell'attuazione di riferimento ECRIS.

3.   Entro il 10 dicembre 2019 e successivamente ogni sei mesi durante la fase di progettazione e sviluppo, eu-LISA presenta al Parlamento europeo e al Consiglio una relazione sullo sviluppo di ECRIS-TCN e dell'attuazione di riferimento ECRIS.

4.   La relazione di cui al paragrafo 3 include una panoramica dei costi attuali e dell'evoluzione del progetto, una valutazione dell'impatto finanziario, nonché informazioni su eventuali problemi tecnici e rischi suscettibili di ripercuotersi sui costi complessivi di ECRIS-TCN a carico del bilancio generale dell'Unione in conformità dell'articolo 33.

5.   In caso di importante ritardo nel processo di sviluppo, eu-LISA informa il Parlamento europeo e il Consiglio quanto prima dei motivi di tale ritardo, nonché del relativo impatto finanziario e sul calendario.

6.   Una volta che lo sviluppo di ECRIS-TCN e dell'attuazione di riferimento ECRIS è completato, eu-LISA presenta una relazione al Parlamento europeo e al Consiglio che illustra in che modo gli obiettivi sono stati conseguiti, in particolare per quanto riguarda la programmazione e i costi, giustificando eventuali scostamenti.

7.   Nel caso di un aggiornamento tecnico di ECRIS-TCN, che potrebbe comportare costi elevati, eu-LISA informa il Parlamento europeo e il Consiglio.

8.   Due anni dopo l'entrata in funzione di ECRIS-TCN e successivamente ogni anno, eu-LISA presenta alla Commissione una relazione sul funzionamento tecnico di ECRIS-TCN e dell'attuazione di riferimento ECRIS, compresa la loro sicurezza, basata in particolare sulle statistiche relative al funzionamento e all'uso di ECRIS-TCN e allo scambio, tramite l'attuazione di riferimento ECRIS, delle informazioni estratte dai casellari giudiziali.

9.   Quattro anni dopo l'entrata in funzione di ECRIS-TCN e successivamente ogni quattro anni, la Commissione effettua una valutazione globale di ECRIS-TCN e dell'attuazione di riferimento ECRIS. La relazione di valutazione globale elaborata su questa base comprende una valutazione dell'applicazione del presente regolamento e un'analisi concernente i risultati conseguiti in relazione agli obiettivi fissati e l'incidenza sui diritti fondamentali. Sono incluse inoltre una valutazione della perdurante validità dei principi di base del funzionamento di ECRIS-TCN, una valutazione dell'adeguatezza dell'uso dei dati biometrici ai fini del funzionamento di ECRIS-TCN, della sicurezza di ECRIS-TCN e delle eventuali implicazioni in termini di sicurezza per le future attività. La valutazione comprende le necessarie raccomandazioni. La Commissione trasmette la relazione al Parlamento europeo, al Consiglio, al garante europeo della protezione dei dati e all'Agenzia dell'Unione europea per i diritti fondamentali.

10.   Inoltre, la prima valutazione globale di cui al paragrafo 9 include una valutazione dei seguenti aspetti:

La valutazione può, se necessario, essere corredata di proposte legislative. Le valutazioni globali successive possono includere una valutazione di uno o di tutti questi aspetti.

11.   Gli Stati membri, Eurojust, Europol ed EPPO comunicano a eu-LISA e alla Commissione le informazioni necessarie per redigere le relazioni di cui ai paragrafi 3, 8 e 9 conformemente agli indicatori quantitativi predefiniti dalla Commissione o da eu-LISA, o da entrambe. Tali informazioni non mettono a repentaglio i metodi di lavoro, né comprendono indicazioni sulle fonti, sui membri del personale o sulle indagini.

12.   Ove opportuno, le autorità di controllo comunicano a eu-LISA e alla Commissione le informazioni necessarie per redigere le relazioni di cui al paragrafo 9 conformemente agli indicatori quantitativi predefiniti dalla Commissione o da eu-LISA, o da entrambe. Tali informazioni non mettono a repentaglio i metodi di lavoro, né comprendono indicazioni sulle fonti, sui membri del personale o sulle indagini.

13.   eu-LISA comunica alla Commissione le informazioni necessarie per elaborare le valutazioni globali di cui al paragrafo 9.

1.   Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2.   Il potere di adottare atti delegati di cui all'articolo 6, paragrafo 2, è conferito alla Commissione per un periodo indeterminato a decorrere dal 9 giugno 2019.

3.   La delega di potere di cui all'articolo 6, paragrafo 2, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4.   Prima dell'adozione dell'atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016.

5.   Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

6.   L'atto delegato adottato ai sensi dell'articolo 6, paragrafo 2, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.

1.   La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.   Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.

Qualora il comitato non esprima alcun parere, la Commissione non adotta il progetto di atto di esecuzione e si applica l'articolo 5, paragrafo 4, terzo comma, del regolamento (UE) n. 182/2011.

1.   Gli Stati membri adottano quanto prima le misure necessarie per conformarsi al presente regolamento in modo da garantire il corretto funzionamento di ECRIS-TCN.

2.   Per le condanne pronunciate prima della data dell'avvio dell'inserimento dei dati ai sensi dell'articolo 35, paragrafo 1, le autorità centrali creano la registrazione di dati individuale nel sistema centrale come segue:

Questo formulario, disponibile nelle 24 lingue ufficiali delle istituzioni dell’Unione sul sito www.eurojust.europa.eu, deve essere compilato in una delle lingue ufficiali e inviato all’indirizzo ECRIS-TCN@eurojust.europa.eu.di un cittadino di un paese terzo

Stato od organizzazione internazionale richiedente:

Nome dello Stato o dell’organizzazione internazionale:

Autorità che presenta la richiesta:

Rappresentata da (nome della persona):

Titolo:

Indirizzo:

Numero di telefono:

Indirizzo di posta elettronica:

Procedimenti penali oggetto della richiesta di informazioni:

Numero di riferimento nazionale:

Autorità competente:

Tipo di reati oggetto dell’indagine (indicare i pertinenti articoli del codice penale):

Altre informazioni pertinenti (ad esempio urgenza della richiesta):

Informazioni sull’identità della persona che ha la cittadinanza di un paese terzo e rispetto alla quale si ricercano informazioni sullo Stato membro di condanna:

Si prega di fornire il maggior numero di informazioni disponibili.

Cognome:

Nome o nomi:

Data di nascita:

Luogo di nascita (città e paese);

Cittadinanza (o cittadinanze):

Sesso:

Nomi precedenti, se del caso;

Nome dei genitori;

Numero d’identificazione:

Tipo e numero del documento (dei documenti) di identità della persona:

Autorità che ha rilasciato il o i documenti:

Eventuali pseudonimi o alias:

Fornire i dati relativi alle impronte digitali, se disponibili.

In caso di più persone, indicarle separatamente.

È possibile inserire altri soggetti utilizzando la finestra a discesa.

Luogo:

Data:

Firma e timbro (elettronici):