EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021D2243
Commission Decision (EU) 2021/2243 of 15 December 2021 laying down internal rules concerning the provision of information to data subjects and the restriction of certain of their rights in the context of the processing of personal data for the purposes of the security of information and communication systems of the Commission
Decisione (UE) 2021/2243 della Commissione del 15 dicembre 2021 che stabilisce le norme interne per la comunicazione di informazioni agli interessati e la limitazione di alcuni dei loro diritti nell’ambito del trattamento di dati personali ai fini della sicurezza dei sistemi di informazione e comunicazione della Commissione
Decisione (UE) 2021/2243 della Commissione del 15 dicembre 2021 che stabilisce le norme interne per la comunicazione di informazioni agli interessati e la limitazione di alcuni dei loro diritti nell’ambito del trattamento di dati personali ai fini della sicurezza dei sistemi di informazione e comunicazione della Commissione
C/2021/9176
GU L 450 del 16.12.2021, p. 149–155
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
16.12.2021 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 450/149 |
DECISIONE (UE) 2021/2243 DELLA COMMISSIONE
del 15 dicembre 2021
che stabilisce le norme interne per la comunicazione di informazioni agli interessati e la limitazione di alcuni dei loro diritti nell’ambito del trattamento di dati personali ai fini della sicurezza dei sistemi di informazione e comunicazione della Commissione
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 249, paragrafo 1,
considerando quanto segue:
|
(1) |
Nello svolgimento dei suoi compiti la Commissione è tenuta a rispettare i diritti delle persone fisiche in relazione al trattamento dei dati di carattere personale riconosciuti dall’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea e dall’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea. Deve inoltre rispettare i diritti previsti dal regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (1). Allo stesso tempo, la Commissione deve trattare gli incidenti di sicurezza informatica conformemente alle norme di cui all’articolo 15 della decisione (UE, Euratom) 2017/46 (2). |
|
(2) |
Al fine di garantire la sicurezza informatica, ossia il mantenimento della riservatezza, dell’integrità e della disponibilità dei sistemi di comunicazione e informazione e delle serie di dati che essi trattano, per quanto riguarda le persone, le risorse e le informazioni, la Commissione, in particolare attraverso la sua direzione generale dell’Informatica, ha adottato le misure previste dalla decisione (UE, Euratom) 2017/46 e dalla decisione C(2017) 8841 final (3). Tali misure comprendono il monitoraggio dei rischi in materia di sicurezza informatica e delle relative misure attuate, la richiesta ai proprietari del sistema di adottare specifiche misure in materia di sicurezza informatica al fine di attenuare i rischi per la sicurezza informatica dei sistemi di comunicazione e informazione della Commissione e la gestione degli incidenti di sicurezza informatica. |
|
(3) |
La direzione generale dell’Informatica fornisce alla Commissione operazioni e servizi di sicurezza informatica e ha bisogno di trattare diverse categorie di dati personali al fine di:
|
|
(4) |
Gli incidenti di sicurezza informatica che potrebbero compromettere la sicurezza dei sistemi di informazione e comunicazione della Commissione possono verificarsi in qualsiasi trattamento effettuato dalla Commissione. Possono riguardare qualsiasi categoria di dati personali trattati dalla Commissione. |
|
(5) |
In determinate circostanze può risultare necessario conciliare i diritti degli interessati a norma del regolamento (UE) 2018/1725 con la necessità della Commissione di esercitare efficacemente i suoi compiti volti a garantire la sicurezza informatica delle persone, delle risorse e delle informazioni alla Commissione a norma della decisione (UE, Euratom) 2017/46, e nel pieno rispetto dei diritti e delle libertà fondamentali degli altri interessati. A tal fine l’articolo 25, paragrafo 1, del regolamento (UE) 2018/1725 autorizza la Commissione a limitare l’applicazione degli articoli da 14 a 17 e degli articoli 19, 20 e 35 dello stesso regolamento, nonché del principio di trasparenza di cui all’articolo 4, paragrafo 1, lettera a), del medesimo regolamento, nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 17 e agli articoli 19 e 20 di tale regolamento. |
|
(6) |
La presente decisione dovrebbe applicarsi a tutti i trattamenti effettuati dalla Commissione in qualità di titolare del trattamento nell’esecuzione dei suoi compiti volti a garantire la sicurezza informatica delle persone, delle risorse e delle informazioni alla Commissione a norma della decisione (UE, Euratom) 2017/46. Pertanto dovrebbe riguardare gli interessati rispetto alle categorie di dati personali coperte da tutti questi trattamenti, ossia le persone che interagiscono con i sistemi di informazione e comunicazione della Commissione. |
|
(7) |
I dati personali sono conservati in un ambiente elettronico sicuro per prevenire l’accesso illecito da parte di persone esterne alla Commissione. A trattamenti diversi si applicano periodi di conservazione dei dati diversi, a seconda del tipo di dati personali in questione. La conservazione dei fascicoli presso la Commissione è disciplinata dall’elenco comune di conservazione a livello della Commissione (SEC(2019) 900), un documento di regolamentazione in forma di tabella in cui sono fissati i periodi di conservazione per i diversi tipi di fascicoli della Commissione al fine di limitare la conservazione dei dati a quanto necessario. |
|
(8) |
La Commissione potrebbe dover limitare l’applicazione dei diritti degli interessati al fine di salvaguardare la propria sicurezza interna a norma dell’articolo 25, paragrafo 1, lettera d), del regolamento (UE) 2018/1725 (ossia mantenere la riservatezza, l’integrità e la disponibilità dei suoi sistemi di comunicazione e informazione e delle serie di dati che essi trattano, delle sue risorse e delle sue informazioni). In particolare, la Commissione potrebbe dover agire in tal senso quando:
|
|
(9) |
Al fine di trattare gli incidenti di sicurezza informatica a norma dell’articolo 15 della decisione (UE, Euratom) 2017/46, la direzione generale dell’Informatica può scambiare informazioni con il gruppo di risposta agli attacchi informatici della direzione generale Risorse umane e sicurezza. |
|
(10) |
Per conformarsi agli articoli 14, 15 e 16 del regolamento (UE) 2018/1725, la Commissione dovrebbe informare tutte le persone in merito alle attività che comportano il trattamento dei loro dati personali e che incidono sui loro diritti. Dovrebbe farlo in modo trasparente e coerente pubblicando sul suo sito web un’informativa sulla protezione dei dati. Se del caso, dovrebbe applicare garanzie supplementari per informare individualmente gli interessati secondo modalità adeguate. |
|
(11) |
Il rispetto degli articoli 14, 15 e 16 del regolamento (UE) 2018/1725 potrebbe rivelare l’esistenza di misure, vulnerabilità o incidenti di sicurezza informatica di cui all’articolo 15 della decisione (UE, Euratom) 2017/46. La rivelazione di tali misure, vulnerabilità e incidenti di sicurezza informatica aumenta il rischio che la misura di sicurezza informatica esposta venga elusa, che la vulnerabilità esposta sia utilizzata in modo improprio e che un’analisi in corso degli incidenti di sicurezza informatica possa essere compromessa perché gli elementi potrebbero essere manipolati accidentalmente o intenzionalmente da un utente o da un soggetto malintenzionato. Ciò potrebbe pregiudicare gravemente la capacità della Commissione di garantire la sicurezza informatica e, in particolare, di trattare efficacemente gli incidenti di sicurezza informatica in futuro. |
|
(12) |
A norma dell’articolo 25, paragrafo 1, lettera h), del regolamento (UE) 2018/1725, la Commissione è inoltre autorizzata a limitare l’applicazione dei diritti degli interessati al fine di tutelare i diritti e le libertà di altre persone in relazione agli incidenti di sicurezza informatica che potrebbero compromettere le operazioni di sicurezza informatica. |
|
(13) |
La Commissione potrebbe dover limitare la comunicazione di informazioni agli interessati e l’applicazione di altri diritti degli interessati in relazione ai dati personali ricevuti da paesi terzi o organizzazioni internazionali, per adempiere al suo dovere di cooperazione con tali paesi o organizzazioni. Ciò rientra nel dovere della Commissione di salvaguardare un importante obiettivo di interesse pubblico generale dell’UE, conformemente all’articolo 25, paragrafo 1, lettera c), del regolamento (UE) 2018/1725. Tuttavia, in alcune circostanze, l’interesse dei diritti fondamentali dell’interessato può prevalere sull’interesse della cooperazione internazionale. |
|
(14) |
La Commissione ha pertanto ravvisato nei motivi di cui all’articolo 25, paragrafo 1, lettere c), d) e h), del regolamento (UE) 2018/1725 i motivi in base ai quali può essere necessario applicare limitazioni ai trattamenti dei dati effettuati dalla direzione generale dell’Informatica connessi alla fornitura alla Commissione di operazioni e servizi di sicurezza informatica. |
|
(15) |
È opportuno che qualsiasi limitazione applicata a norma della presente decisione sia necessaria e proporzionata tenuto conto dei rischi per i diritti e le libertà degli interessati. |
|
(16) |
La Commissione dovrebbe gestire tutte le limitazioni in modo trasparente e registrare ogni applicazione delle limitazioni nel corrispondente sistema di registrazione. |
|
(17) |
Ai sensi dell’articolo 25, paragrafo 8, del regolamento (UE) 2018/1725, i titolari del trattamento possono rinviare, omettere o negare la comunicazione all’interessato delle informazioni sui motivi dell’applicazione di una limitazione qualora ciò pregiudichi in qualsiasi modo l’effetto della limitazione. In particolare, ciò vale per le limitazioni degli obblighi di cui agli articoli 16 e 35 del regolamento (UE) 2018/1725. La Commissione dovrebbe riesaminare periodicamente le limitazioni imposte al fine di garantire che i diritti dell’interessato ad essere informato in conformità agli articoli 16 e 35 del regolamento (UE) 2018/1725 siano limitati solo fino a quando tali limitazioni siano necessarie per consentire alla Commissione di garantire la propria sicurezza informatica e in particolare di trattare gli incidenti di sicurezza informatica. |
|
(18) |
Qualora la Commissione limiti l’applicazione dei diritti degli interessati diversi da quelli di cui agli articoli 16 e 35 del regolamento (UE) 2018/1725, il titolare del trattamento dovrebbe valutare caso per caso se la comunicazione della limitazione ne comprometta la finalità. |
|
(19) |
È opportuno che il responsabile della protezione dei dati della Commissione effettui un riesame indipendente dell’applicazione delle limitazioni nell’intento di garantire la conformità alla presente decisione. |
|
(20) |
Al fine di consentire alla Commissione di limitare immediatamente l’applicazione di determinati diritti e obblighi conformemente all’articolo 25 del regolamento (UE) 2018/1725, la presente decisione dovrebbe entrare in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea. |
|
(21) |
Il Garante europeo della protezione dei dati ha espresso un parere il 16 settembre 2021, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Oggetto e ambito di applicazione
1. La presente decisione stabilisce le norme che la Commissione deve rispettare per informare gli interessati in merito al trattamento dei loro dati personali in conformità degli articoli 14, 15 e 16 del regolamento (UE) 2018/1725 nell’ambito dello svolgimento dei suoi compiti a norma della decisione (UE, Euratom) 2017/46.
Essa stabilisce inoltre le condizioni alle quali la Commissione può limitare l’applicazione dell’articolo 4, degli articoli da 14 a 17 e degli articoli 19, 20 e 35 del regolamento (UE) 2018/1725, conformemente all’articolo 25, paragrafo 1, lettere c), d) e h), di tale regolamento, nell’ambito dello svolgimento dei suoi compiti a norma della decisione (UE, Euratom) 2017/46.
2. La presente decisione si applica al trattamento dei dati personali da parte o per conto della Commissione ai fini delle attività o in relazione alle attività da essa svolte per garantire la sicurezza informatica delle persone, delle risorse e delle informazioni alla Commissione a norma della decisione (UE, Euratom) 2017/46.
Articolo 2
Eccezioni e limitazioni applicabili
1. Qualora eserciti le proprie funzioni in relazione ai diritti degli interessati a norma del regolamento (UE) 2018/1725, la Commissione valuta se si applichi una delle eccezioni stabilite in detto regolamento.
2. Fatti salvi gli articoli da 3 a 7 della presente decisione, qualora l’esercizio dei diritti e degli obblighi di cui agli articoli da 14 a 17 e agli articoli 19, 20 e 35 del regolamento (UE) 2018/1725 in relazione ai dati personali trattati dalla Commissione comprometta la finalità di fornire operazioni e servizi di sicurezza informatica, ad esempio rivelando gli strumenti di indagine, le vulnerabilità e i metodi della Commissione, o leda i diritti, le libertà e la sicurezza di altri interessati, in particolare per quanto riguarda il trattamento dei dati personali al fine di:
|
— |
comunicare avvisi e allarmi relativi a eventi e incidenti di sicurezza informatica; |
|
— |
rispondere agli eventi e agli incidenti di sicurezza informatica e contenerli; |
|
— |
facilitare gli strumenti e le operazioni attraverso audit sulla sicurezza, valutazioni della sicurezza e gestione delle vulnerabilità; |
|
— |
sensibilizzare maggiormente il personale della Commissione alla cibersicurezza; |
|
— |
monitorare, individuare e prevenire il verificarsi di eventi e incidenti di sicurezza informatica; |
|
— |
riesaminare gli account degli utenti privilegiati, |
la Commissione può limitare l’applicazione:
|
a) |
degli articoli da 14 a 17 e degli articoli 19, 20 e 35 del regolamento (UE) 2018/1725; |
|
b) |
del principio di trasparenza di cui all’articolo 4, paragrafo 1, lettera a), del regolamento (UE) 2018/1725 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 17 e agli articoli 19 e 20 di tale regolamento. |
La Commissione può agire in tal senso in linea con l’articolo 25, paragrafo 1, lettere c), d) e h), del regolamento (UE) 2018/1725.
3. Fatti salvi gli articoli da 3 a 7, la Commissione può limitare i diritti e gli obblighi di cui al paragrafo 2 del presente articolo:
|
a) |
quando l’esercizio di tali diritti e obblighi in relazione ai dati personali ottenuti da un altro organo, organismo o istituzione dell’Unione potrebbe essere limitato da tale altro organo, organismo o istituzione dell’Unione sulla base degli atti giuridici di cui all’articolo 25 del regolamento (UE) 2018/1725 o conformemente al capo IX di tale regolamento, al regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio (4) o al regolamento (UE) 2017/1939 del Consiglio (5); |
|
b) |
quando l’esercizio di tali diritti e obblighi in relazione ai dati personali ottenuti da un’autorità competente di uno Stato membro potrebbe essere limitato dalle autorità competenti di detto Stato membro sulla base delle misure legislative di cui all’articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (6) o a norma delle misure nazionali di recepimento dell’articolo 13, paragrafo 3, dell’articolo 15, paragrafo 3, o dell’articolo 16, paragrafo 3, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (7); |
|
c) |
quando l’esercizio di tali diritti e obblighi comprometterebbe la cooperazione tra la Commissione e i paesi terzi o le organizzazioni internazionali in materia di minacce comuni alla cibersicurezza. |
Prima di applicare limitazioni nelle circostanze di cui al primo comma, lettere a) e b), la Commissione consulta le istituzioni, gli organi e gli organismi dell’Unione o le autorità degli Stati membri in merito ai potenziali motivi per imporre limitazioni e alla necessità e proporzionalità delle limitazioni in questione, a meno che ciò non pregiudichi le attività della Commissione e non sia chiaro alla Commissione che l’applicazione di una limitazione è prevista da uno degli atti di cui alle richiamate lettere o che la consultazione comprometterebbe le finalità delle sue attività ai sensi della decisione (UE, Euratom) 2017/46.
Il primo comma, lettera c), non si applica qualora gli interessi o i diritti e le libertà fondamentali dell’interessato prevalgano sull’interesse della Commissione a cooperare con paesi terzi o organizzazioni internazionali.
4. I paragrafi 1, 2 e 3 non pregiudicano l’applicazione di altre decisioni della Commissione che stabiliscono norme interne disciplinanti la comunicazione di informazioni agli interessati e la limitazione dell’applicazione di determinati diritti a norma dell’articolo 25 del regolamento (UE) 2018/1725.
5. Qualsiasi limitazione dei diritti e degli obblighi di cui al paragrafo 2 è necessaria e proporzionata ai rischi per i diritti e le libertà degli interessati.
6. Prima di applicare eventuali limitazioni è effettuata, caso per caso, una verifica della loro necessità e proporzionalità, e le limitazioni sono limitate allo stretto necessario per conseguire la finalità prevista.
Articolo 3
Comunicazione di informazioni agli interessati
1. La Commissione pubblica sul suo sito web un’informativa sulla protezione dei dati con la quale rende note a tutti gli interessati le sue attività che comportano il trattamento dei loro dati personali ai fini dell’adempimento dei suoi compiti a norma della decisione (UE, Euratom) 2017/46, compresa una descrizione delle categorie di dati personali in questione. La Commissione provvede affinché gli interessati siano informati individualmente secondo modalità adeguate, laddove ciò sia possibile senza compromettere la sicurezza informatica.
2. Allorché limita, in tutto o in parte, la comunicazione di informazioni agli interessati i cui dati sono trattati ai fini dell’adempimento dei suoi compiti a norma della decisione (UE, Euratom) 2017/46, la Commissione registra i motivi della limitazione e conserva la registrazione in un registro conformemente all’articolo 6 della presente decisione.
Articolo 4
Diritto di accesso dell’interessato, diritto alla cancellazione e diritto di limitazione del trattamento dei dati
1. Allorché limita, in tutto o in parte, il diritto di accesso ai dati personali da parte dell’interessato, il diritto alla cancellazione o il diritto di limitazione del trattamento dei dati, di cui agli articoli 17, 19 e 20 del regolamento (UE) 2018/1725, la Commissione, nel rispondere alla richiesta di accesso, cancellazione o limitazione del trattamento dei dati, informa l’interessato:
|
a) |
della limitazione applicata e dei principali motivi della stessa; |
|
b) |
delle modalità per proporre reclamo al Garante europeo della protezione dei dati o ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea. |
2. La Commissione può rinviare, omettere o negare la comunicazione delle informazioni sui motivi di una limitazione di cui al paragrafo 1 per il tempo in cui tale comunicazione pregiudichi la finalità della limitazione stessa.
3. La Commissione registra i motivi della limitazione e conserva la registrazione in un registro conformemente all’articolo 6.
4. Qualora il diritto di accesso sia limitato, in tutto o in parte, l’interessato può esercitare il diritto di accesso contattando il Garante europeo della protezione dei dati, conformemente all’articolo 25, paragrafi 6, 7 e 8, del regolamento (UE) 2018/1725.
Articolo 5
Comunicazione di una violazione dei dati personali all’interessato
Allorché limita la comunicazione di una violazione dei dati personali all’interessato ai sensi dell’articolo 35 del regolamento (UE) 2018/1725, la Commissione registra i motivi della limitazione e conserva la registrazione in un registro conformemente all’articolo 6 della presente decisione. La Commissione comunica la registrazione al Garante europeo della protezione dei dati al momento della notifica della violazione dei dati personali.
Articolo 6
Registrazione delle limitazioni
1. La Commissione registra i motivi di qualsiasi limitazione applicata ai sensi della presente decisione, compresi un riferimento ai motivi giuridici della limitazione e una valutazione della sua necessità e proporzionalità, tenendo conto degli elementi pertinenti di cui all’articolo 25, paragrafo 2, del regolamento (UE) 2018/1725.
2. La registrazione indica in che modo l’esercizio di un diritto da parte dell’interessato comprometterebbe la finalità della fornitura di operazioni e servizi di sicurezza informatica alla Commissione in linea con la decisione (UE, Euratom) 2017/46, o delle limitazioni applicate ai sensi dell’articolo 2, paragrafi 2 o 3, della presente decisione, o lederebbe i diritti e le libertà di altri interessati.
3. La Commissione conserva in un registro tali registrazioni e tutti i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base. Essi sono messi a disposizione del Garante europeo della protezione dei dati, su richiesta.
Articolo 7
Durata delle limitazioni
1. Le limitazioni di cui agli articoli 3, 4 e 5 continuano ad applicarsi finché i motivi che le giustificano restano validi.
2. Quando i motivi di una limitazione di cui agli articoli 3, 4 e 5 non sono più validi, la Commissione:
|
a) |
revoca la restrizione; |
|
b) |
informa l’interessato dei principali motivi della limitazione; |
|
c) |
informa l’interessato della modalità per proporre in qualsiasi momento reclamo al Garante europeo della protezione dei dati o per proporre ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea. |
Articolo 8
Garanzie e periodi di conservazione
1. La Commissione riesamina l’applicazione delle limitazioni di cui agli articoli 3, 4 e 5 sei mesi dopo la loro adozione e all’atto della chiusura della singola operazione di sicurezza informatica. Successivamente la Commissione riesaminerà e valuterà su base annuale la necessità di mantenere eventuali limitazioni.
Il riesame comprende una valutazione della necessità e proporzionalità della limitazione tenendo conto degli elementi pertinenti di cui all’articolo 25, paragrafo 2, del regolamento (UE) 2018/1725.
2. La Commissione ha adottato misure tecniche e organizzative per evitare qualsiasi distruzione, perdita, modifica, comunicazione non autorizzata dei dati personali trasmessi, conservati o comunque trattati o l’accesso agli stessi, di origine accidentale o illegale, quali la gestione dei diritti di accesso, la politica di backup e qualsiasi altra misura in linea con la decisione (UE/Euratom) 2017/46.
3. La Commissione registra i periodi di conservazione applicabili in linea con l’elenco comune di conservazione a livello di Commissione e mette a disposizione degli interessati, nell’informativa sulla protezione dei dati, i pertinenti periodi di conservazione per tali attività di trattamento.
Articolo 9
Riesame da parte del responsabile della protezione dei dati della Commissione
1. Il responsabile della protezione dei dati della Commissione è informato senza indebito ritardo ogniqualvolta i diritti degli interessati sono limitati a norma della presente decisione. Su richiesta, al responsabile della protezione dei dati è garantito l’accesso alla registrazione e a tutti i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base.
2. Il responsabile della protezione dei dati può chiedere un riesame della limitazione ed è informato dell’esito del riesame richiesto.
3. La Commissione documenta il coinvolgimento del responsabile della protezione dei dati ogniqualvolta i diritti degli interessati sono limitati a norma della presente decisione.
Articolo 10
Entrata in vigore
La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Fatto a Bruxelles, il 15 dicembre 2021
Per la Commissione
La presidente
Ursula VON DER LEYEN
(1) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).
(2) Decisione (UE, Euratom) 2017/46 della Commissione, del 10 gennaio 2017, sulla sicurezza dei sistemi di comunicazione e informazione della Commissione europea (GU L 6 dell’11.1.2017, pag. 40).
(3) Decisione C(2017) 8841 della Commissione, del 13 dicembre 2017, che stabilisce le modalità di applicazione degli articoli 3, 5, 7, 8, 9, 10, 11, 12, 14 e 15 della decisione (UE, Euratom) 2017/46 sulla sicurezza dei sistemi di comunicazione e informazione della Commissione europea.
(4) Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell’11 maggio 2016, che istituisce l’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI (GU L 135 del 24.5.2016, pag. 53).
(5) Regolamento (UE) 2017/1939 del Consiglio, del 12 ottobre 2017, relativo all’attuazione di una cooperazione rafforzata sull’istituzione della Procura europea («EPPO») (GU L 283 del 31.10.2017, pag. 1).
(6) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
(7) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).