1.   La presente decisione stabilisce le norme relative alle condizioni alle quali la FRA, nel quadro delle sue procedure stabilite al paragrafo 2, può limitare l’applicazione dei diritti sanciti negli articoli da 14 a 21 e degli articoli 35 e 36, nonché nell’articolo 4, in base all’articolo 25 del regolamento (UE) 2018/1725.

2.   Nel quadro del funzionamento amministrativo della FRA, la presente decisione si applica ai trattamenti dei dati personali svolti dall’Agenzia ai fini di: condurre indagini amministrative, procedimenti predisciplinari, procedimenti disciplinari, sospensioni ai sensi dell’allegato IX dello statuto dei funzionari, attività riguardanti casi di potenziali irregolarità segnalate all’OLAF, trattare denunce di irregolarità, procedure (formali e informali) per molestia e reclami interni ed esterni, effettuare audit interni ed esterni, indagini svolte dal responsabile della protezione dei dati conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725 e indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE).

3.   La presente decisione si applica anche alle operazioni di trattamento dei dati personali nei casi in cui la FRA fosse coinvolta nelle cause dinanzi alla Corte di giustizia dell’Unione europea qualora adisca la stessa Corte, difenda una propria decisione che sia stata impugnata dinanzi alla Corte o intervenga nei casi pertinenti ai propri compiti. In tale contesto l’Agenzia potrebbe avere la necessità di salvaguardare la riservatezza dei dati personali che figurano nei documenti ottenuti dalle parti o dagli intervenienti.

4.   Le categorie di dati interessate sono i dati controllati (dati «oggettivi» quali dati d’identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico) e/o dati non controllati (dati «soggettivi» riguardanti il caso, quali motivazione, dati comportamentali, valutazioni, dati su condotta e prestazioni e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività).

5.   Laddove eserciti le sue funzioni rispetto ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, la FRA esamina se le deroghe stabilite in tale regolamento trovano applicazione.

6.   Fatte salve le condizioni stabilite nella presente decisione, le limitazioni si possono applicare ai seguenti diritti: comunicazione di informazioni agli interessati, diritto di accesso, rettifica, cancellazione, limitazione del trattamento, comunicazione di una violazione dei dati personali all’interessato o riservatezza delle comunicazioni.

1.   Le garanzie predisposte per prevenire violazioni, sottrazioni di dati o divulgazioni non autorizzate sono le seguenti:

2.   Il titolare del trattamento è la FRA, rappresentata dal suo direttore, il quale può delegare la funzione di titolare del trattamento. Gli interessati sono informati riguardo al titolare del trattamento delegato attraverso comunicazioni sulla protezione dei dati o registri pubblicati nel sito Internet e/o sull’intranet della FRA.

3.   Il periodo di conservazione dei dati personali di cui all’articolo 1, paragrafo 3, non deve essere più lungo di quanto necessario e opportuno per le finalità del trattamento. In ogni caso, non deve superare il periodo di conservazione specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy o nei registri di cui all’articolo 5, paragrafo 1.

4.   Qualora l’Agenzia consideri di applicare una limitazione, viene valutato il rischio per i diritti e le libertà dell’interessato, in particolare rispetto al rischio per i diritti e le libertà degli altri interessati e al rischio di annullare gli effetti delle indagini o delle procedure dell’Agenzia stessa, ad esempio distruggendo gli elementi di prova. I rischi per i diritti e le libertà dell’interessato riguardano principalmente, a ma non esclusivamente, i rischi legati alla reputazione e i rischi per il diritto di difesa e il diritto di essere ascoltato.

1.   Eventuali limitazioni sono applicate dalla FRA esclusivamente:

2.   Come applicazione specifica delle finalità descritte nel precedente paragrafo 1, la FRA può applicare limitazioni riguardanti i dati personali scambiati con i servizi della Commissione o altre istituzioni, organi e organismi dell’Unione, autorità competenti degli Stati membri o paesi terzi o organizzazioni internazionali nei seguenti casi:

Prima di applicare limitazioni nei casi di cui al primo comma, lettere a) e b), la FRA consulta i servizi della Commissione, le istituzioni, gli organi e gli organismi pertinenti dell’Unione o le autorità competenti degli Stati membri, a meno che non le risulti evidente che l’applicazione di una limitazione è prevista in virtù di uno dei motivi di cui alle summenzionate lettere.

3.   Le eventuali limitazioni sono necessarie e proporzionate tenuto conto dei rischi per i diritti e le libertà degli interessati e rispettano l’essenza dei diritti e delle libertà fondamentali in una società democratica.

4.   Se considera l’applicazione di limitazioni, la FRA effettua una verifica della necessità e della proporzionalità sulla base delle presenti norme. Tale procedura è documentata mediante una nota di valutazione interna ed è effettuata caso per caso.

5.   Le limitazioni sono revocate non appena le condizioni che le giustificano cessino di sussistere, in particolare laddove si ritenga che l’esercizio del diritto ristretto non annullerebbe più l’effetto della limitazione imposta o lederebbe i diritti e le libertà degli altri interessati.

1.   La FRA coinvolge senza indebito ritardo il responsabile della protezione dei dati in tutte le pertinenti procedure stabilite dalla presente decisione e garantisce che il coinvolgimento del suddetto responsabile sia documentato. Quanto sopra comprende la documentazione scritta di qualsiasi valutazione e parere pertinente del responsabile della protezione dei dati in merito all’applicabilità di una limitazione a un determinato caso.

2.   In particolare, l’Agenzia informa senza indebito ritardo il responsabile della protezione dei dati ogniqualvolta il titolare del trattamento limiti l’applicazione dei diritti degli interessati o estenda la limitazione a norma della presente decisione. Il titolare del trattamento fornisce al responsabile della protezione dei dati l’accesso al registro che contiene la valutazione della necessità e della proporzionalità della limitazione e documenta nel registro la data in cui ha informato lo stesso responsabile.

3.   Il responsabile della protezione dei dati può chiedere per iscritto al titolare del trattamento di riesaminare l’applicazione della limitazione. Il titolare del trattamento informa per iscritto il responsabile della protezione dei dati circa l’esito del riesame richiesto.

4.   Il titolare del trattamento informa il responsabile della protezione dei dati quando la limitazione è revocata.

1.   In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto all’informazione può essere limitato dal titolare del trattamento nell’ambito dei seguenti trattamenti:

Nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy e nei registri, ai sensi dell’articolo 31 del regolamento (UE) 2018/1725, pubblicati sul proprio sito Internet e/o su intranet che informano gli interessati sui loro diritti nel quadro di una determinata procedura, la FRA include informazioni riguardanti le potenziali limitazioni di questi diritti. Tali informazioni riguardano i diritti che possono essere limitati, le ragioni e la durata potenziale della limitazione.

2.   Fatte salve le disposizioni di cui al paragrafo 3, se proporzionato, la FRA informa anche singolarmente tutti gli interessati, considerati persone interessate nella specifica operazione di trattamento, dei loro diritti riguardanti le limitazioni attuali o future senza indebito ritardo e in forma scritta.

3.   Qualora limiti, in tutto o in parte, la comunicazione di informazioni agli interessati di cui al paragrafo 2, la FRA registra le ragioni della limitazione e il motivo giuridico conformemente all’articolo 3 della presente decisione, inclusa la valutazione della necessità e della proporzionalità della limitazione

La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati.

4.   La limitazione di cui al paragrafo 3 continua ad applicarsi finché permangono i motivi che la giustificano.

Qualora i motivi della limitazione non siano più applicabili, la FRA fornisce all’interessato le informazioni sulle ragioni principali alla base dell’applicazione di una limitazione. Nel contempo la FRA informa l’interessato in merito al diritto di presentare in qualsiasi momento reclamo al Garante europeo della protezione dei dati o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.

La FRA riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’inchiesta, della procedura o dell’indagine pertinente. Successivamente il titolare del trattamento valuta la necessità di mantenere eventuali limitazioni su base annua.

1.   In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto di accesso può essere limitato dal titolare del trattamento, laddove necessario e proporzionato, nel contesto dei seguenti trattamenti:

Qualora, a norma dell’articolo 17 del regolamento (UE) 2018/1725, gli interessati chiedano l’accesso ai propri dati personali trattati nell’ambito di uno o più casi specifici o di particolari trattamenti, la FRA limita la propria valutazione della richiesta esclusivamente a tali dati personali.

2.   Allorché limita, integralmente o in parte, il diritto di accesso di cui all’articolo 17 del regolamento (UE) 2018/1725, la FRA procede nel modo seguente:

La comunicazione di informazioni di cui alla lettera a) può essere rinviata, omessa o negata qualora annulli l’effetto della limitazione imposta in forza dell’articolo 25, paragrafo 8, del regolamento (UE) 2018/1725.

La FRA riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’indagine pertinente. Successivamente il titolare del trattamento valuta la necessità di mantenere eventuali limitazioni su base annua.

3.   La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati.

1.   In casi debitamente giustificati e alle condizioni stabilite in questa decisione, il diritto di rettifica, cancellazione e limitazione può essere limitato dal titolare del trattamento, laddove necessario e proporzionato, nel contesto dei seguenti trattamenti:

2.   Qualora limiti, integralmente o in parte, l’applicazione del diritto di rettifica, cancellazione o limitazione di trattamento di cui all’articolo 18, all’articolo 19, paragrafo 1, e all’articolo 20, paragrafo 1, del regolamento (UE) 2018/1725, la FRA adotta le misure di cui all’articolo 6, paragrafo 2, della presente decisione e conserva la registrazione in un registro in conformità dell’articolo 6, paragrafo 3, della stessa.

1.   In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, la comunicazione di una violazione dei dati personali può essere limitata dal titolare del trattamento, laddove necessario e proporzionato, nel contesto dei seguenti trattamenti:

2.   In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto alla riservatezza delle comunicazioni elettroniche può essere limitato dal titolare del trattamento, laddove necessario e appropriato, nel contesto dei seguenti trattamenti:

3.   Laddove limiti la comunicazione delle violazioni dei dati personali agli interessati o la riservatezza delle comunicazioni elettroniche di cui agli articoli 35 e 36 del regolamento (UE) 2018/1725, la FRA annota e registra i motivi della limitazione conformemente all’articolo 5, paragrafo 3, della presente decisione. Si applica l’articolo 5, paragrafo 4, della presente decisione.