EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32023Q1585
Decision No 253 of the Management Board of the European Union Agency for Railways on internal rules concerning restrictions of certain data- subject rights in relation to the processing of personal data in the framework of activities carried out by the European Union Agency for Railways [2023/1585]
Decisione n. 253 del consiglio di amministrazione dell’Agenzia dell’Unione europea per le ferrovie sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle attività svolte dall’Agenzia dell’Unione europea per le ferrovie [2023/1585]
Decisione n. 253 del consiglio di amministrazione dell’Agenzia dell’Unione europea per le ferrovie sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle attività svolte dall’Agenzia dell’Unione europea per le ferrovie [2023/1585]
PUB/2023/1040
GU L 194 del 2.8.2023, p. 39–44
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
2.8.2023 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 194/39 |
DECISIONE n. 253
del consiglio di amministrazione dell’Agenzia dell’Unione europea per le ferrovie sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle attività svolte dall’Agenzia dell’Unione europea per le ferrovie [2023/1585]
IL CONSIGLIO DI AMMINISTRAZIONE DELL’AGENZIA EUROPEA PER LE FERROVIE,
visto il trattato sul funzionamento dell’Unione europea,
visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (1), in particolare l’articolo 25,
visto il regolamento (UE) 2016/796 del Parlamento europeo e del Consiglio, dell’11 maggio 2016, che istituisce un’Agenzia dell’Unione europea per le ferrovie e che abroga il regolamento (CE) n. 881/2004 (2),
visto il parere del Garante europeo della protezione dei dati,
considerando quanto segue:
|
(1) |
l’Agenzia ha il potere di effettuare indagini amministrative, procedimenti predisciplinari e disciplinari e procedimenti di sospensione conformemente allo statuto dei funzionari dell’Unione europea e al regime applicabile agli altri agenti dell’Unione europea, previsti nel regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio («statuto dei funzionari») (3), e alla decisione, dell’8 luglio 2022, dell’Agenzia recante disposizioni generali di attuazione relative allo svolgimento di indagini amministrative e procedimenti disciplinari. Se necessario, l’Agenzia notifica anche i casi all’OLAF. |
|
(2) |
I membri del personale dell’Agenzia hanno l’obbligo di comunicare le possibili attività illecite, comprese la frode e la corruzione, che sono lesive degli interessi dell’Unione. I membri del personale sono tenuti inoltre a segnalare una condotta in rapporto con l’esercizio di incarichi professionali che possa costituire una grave mancanza agli obblighi dei funzionari dell’Unione. Tale aspetto è disciplinato dalla decisione dell’Agenzia sulle norme interne in materia di denunce di irregolarità (whistleblowing) del 15 novembre 2018. |
|
(3) |
L’Agenzia ha definito una politica per prevenire e gestire in modo efficace i casi reali o potenziali di molestie psicologiche o sessuali sul luogo di lavoro, come previsto nella decisione ERA-ED-690/2013 che stabilisce disposizioni di attuazione in conformità dello statuto. La decisione definisce una procedura informale in base alla quale la presunta vittima di molestie può contattare consulenti «di fiducia» in seno all’Agenzia. |
|
(4) |
L’Agenzia può anche svolgere indagini in merito a potenziali violazioni delle norme di sicurezza relative alle informazioni classificate UE («ICUE»), sulla base della propria politica di informazione e IT che adotta norme di sicurezza per la protezione di tali informazioni. |
|
(5) |
L’Agenzia è soggetta ad audit sia interni sia esterni relativi alle sue attività. |
|
(6) |
Nell’ambito di tali indagini amministrative, audit e indagini, l’Agenzia collabora con le altre istituzioni e gli altri organi e organismi dell’Unione. |
|
(7) |
L’Agenzia può collaborare con le autorità nazionali dei paesi terzi e con organizzazioni internazionali, su loro richiesta o di propria iniziativa. |
|
(8) |
L’Agenzia può collaborare anche con le autorità pubbliche degli Stati membri dell’UE, su loro richiesta o di propria iniziativa. |
|
(9) |
L’Agenzia è coinvolta nelle cause dinanzi alla Corte di giustizia dell’Unione europea per adire la stessa Corte o per difendere le proprie decisioni impugnate dinanzi alla Corte o, ancora, intervenire nei casi pertinenti ai propri compiti. In tale contesto l’Agenzia potrebbe avere la necessità di salvaguardare la riservatezza dei dati personali contenuti nei documenti ottenuti dalle parti o dagli intervenienti. |
|
(10) |
Per espletare le proprie mansioni, l’Agenzia raccoglie ed elabora informazioni e varie categorie di dati personali, tra cui i dati identificativi di persone fisiche, i recapiti, i ruoli e i compiti professionali, informazioni relative a comportamenti e prestazioni nell’ambito privato e professionale, nonché dati finanziari. L’Agenzia funge da titolare del trattamento. |
|
(11) |
A norma del regolamento (UE) 2018/1725 («il regolamento»), l’Agenzia è pertanto tenuta ad adempiere all’obbligo di fornire informazioni agli interessati in relazione alle suddette attività di trattamento e a rispettare i diritti degli stessi interessati. |
|
(12) |
L’Agenzia potrebbe essere tenuta a conciliare tali diritti con gli obiettivi delle indagini amministrative, degli audit, delle indagini e dei procedimenti giudiziari. Può essere necessario conciliare i diritti di un interessato con i diritti e le libertà fondamentali di altri interessati. A tal fine, l’articolo 25 del regolamento prevede che l’Agenzia possa limitare, a condizioni rigorose, l’applicazione degli articoli da 14 a 22 e degli articoli 35 e 36 nonché dell’articolo 4 del regolamento nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 20. Fatta eccezione per i casi in cui le limitazioni siano previste da un atto giuridico adottato sulla base dei trattati, è necessaria l’adozione di norme interne che autorizzino l’Agenzia a limitare tali diritti. |
|
(13) |
L’Agenzia potrebbe, ad esempio, avere la necessità di limitare le informazioni che fornisce a un interessato sul trattamento dei suoi dati personali nella fase di valutazione preliminare di un’indagine amministrativa o durante l’indagine stessa, prima di un’eventuale archiviazione del caso, o nella fase predisciplinare. In determinate circostanze, fornire tali informazioni potrebbe seriamente compromettere la facoltà dell’Agenzia di condurre un’indagine efficace, ad esempio ogniqualvolta sussista il rischio che la persona in questione possa distruggere prove o interferire con potenziali testimoni prima che essi siano ascoltati. L’Agenzia potrebbe inoltre avere la necessità di tutelare i diritti e le libertà dei testimoni nonché quelli di altre persone coinvolte. |
|
(14) |
Potrebbe essere necessario tutelare l’anonimato di un testimone o di un informatore che abbia chiesto di non essere identificato. In tal caso, l’Agenzia potrebbe decidere di limitare l’accesso all’identità, alle dichiarazioni e agli altri dati personali di dette persone al fine di tutelarne i diritti e le libertà. |
|
(15) |
Potrebbe essere necessario tutelare le informazioni riservate riguardanti un membro del personale che ha contattato i consulenti di fiducia dell’Agenzia nell’ambito di una procedura per molestie. In tali casi, l’Agenzia potrebbe avere la necessità di limitare l’accesso all’identità, alle dichiarazioni e ad altri dati personali della presunta vittima, del presunto autore delle molestie e di altre persone coinvolte, al fine di tutelare i diritti e le libertà di tutte le persone interessate. |
|
(16) |
L’Agenzia dovrebbe applicare le limitazioni solo se rispettano l’essenza dei diritti e delle libertà fondamentali, sono strettamente necessarie e costituiscono una misura proporzionata in una società democratica. L’Agenzia dovrebbe motivare tali limitazioni. |
|
(17) |
Conformemente al principio di responsabilità, l’Agenzia dovrebbe tenere un registro dell’applicazione delle limitazioni. |
|
(18) |
In sede di trattamento dei dati personali scambiati con altre organizzazioni nell’ambito dei propri compiti, l’Agenzia e tali organizzazioni dovrebbero consultarsi in merito ai potenziali motivi per l’imposizione di limitazioni e alla necessità e proporzionalità delle stesse, salvo che ciò pregiudichi le attività dell’Agenzia. |
|
(19) |
L’articolo 25, paragrafo 6, del regolamento impone al titolare del trattamento l’obbligo di informare gli interessati dei principali motivi della limitazione e del loro diritto di proporre reclamo al Garante europeo della protezione dei dati (GEPD). |
|
(20) |
A norma dell’articolo 25, paragrafo 8, del regolamento, l’Agenzia ha il diritto di rinviare, omettere o negare la comunicazione delle informazioni sui motivi dell’applicazione di una limitazione all’interessato qualora, in qualsiasi modo, essa annulli l’effetto della limitazione stessa. L’Agenzia dovrebbe valutare caso per caso se la comunicazione della limitazione ne annullerebbe l’effetto. |
|
(21) |
L’Agenzia dovrebbe revocare la limitazione non appena le condizioni che la giustificano non siano più in essere e valutare periodicamente tali condizioni. |
|
(22) |
Per garantire la massima tutela dei diritti e delle libertà degli interessati e in conformità dell’articolo 44, paragrafo 1, del regolamento, il responsabile della protezione dei dati (RPD) dovrebbe essere consultato a tempo debito in merito alle eventuali limitazioni applicabili e dovrebbe verificarne la conformità alla presente decisione. |
|
(23) |
L’articolo 16, paragrafo 5, e l’articolo 17, paragrafo 4, del regolamento prevedono deroghe al diritto di informazione e al diritto di accesso degli interessati. In caso di applicazione di tali deroghe, l’Agenzia non è tenuta ad applicare una limitazione ai sensi della presente decisione, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Oggetto e campo di applicazione
1. La presente decisione definisce le norme relative alle condizioni alle quali l’Agenzia può limitare l’applicazione dell’articolo 4, degli articoli da 14 a 22, nonché 35 e 36, ai sensi dell’articolo 25 del regolamento.
2. L’Agenzia, in qualità di titolare del trattamento, è rappresentata dal direttore esecutivo.
Articolo 2
Limitazioni
1. L’Agenzia può limitare l’applicazione degli articoli da 14 a 22, degli articoli 35 e 36 nonché dell’articolo 4 del regolamento nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 20:
|
a) |
a norma dell’articolo 25, paragrafo 1, lettere b), c), f), g) e h), del regolamento, quando svolge indagini amministrative, procedimenti predisciplinari, disciplinari o di sospensione ai sensi dell’articolo 86 e dell’allegato IX dello statuto dei funzionari nonché della decisione n.°297 del proprio consiglio di amministrazione (4), e quando notifica casi all’OLAF; |
|
b) |
a norma dell’articolo 25, paragrafo 1, lettera h), del regolamento, quando garantisce che i membri del proprio personale possano segnalare in via riservata fatti laddove ritengano che vi siano gravi irregolarità, come disciplinato dalla decisione n. 183 del consiglio di amministrazione dell’Agenzia in materia di denunce di irregolarità (5) e dalla decisione n. 8 sulle indagini interne (6); |
|
c) |
a norma dell’articolo 25, paragrafo 1, lettera h), del regolamento, quando garantisce che i membri del proprio personale possano effettuare segnalazioni ai consulenti di fiducia nell’ambito di una procedura in materia di molestie, come previsto dalla decisione ERA-ED-690-2013 dell’Agenzia (7); |
|
d) |
a norma dell’articolo 25, paragrafo 1, lettere c), g) e h), del regolamento, quando svolge audit interni relativi alle proprie attività o ai propri dipartimenti; |
|
e) |
a norma dell’articolo 25, paragrafo 1, lettere c), d), g) e h), del regolamento, quando fornisce o riceve assistenza o cooperazione a o da altre istituzioni e altri organi e organismi dell’Unione nel contesto delle attività di cui alle lettere da a) a d) del presente paragrafo e ai sensi dei pertinenti accordi sul livello dei servizi, memorandum d’intesa e accordi di cooperazione; |
|
f) |
a norma dell’articolo 25, paragrafo 1, lettere c), g) e h), del regolamento, quando fornisce o riceve assistenza e cooperazione a e da autorità nazionali di paesi terzi e organizzazioni internazionali, su loro richiesta o di propria iniziativa; |
|
g) |
a norma dell’articolo 25, paragrafo 1, lettere c), g) e h), del regolamento, quando fornisce o riceve assistenza e cooperazione a e da autorità pubbliche degli Stati membri dell’UE, su loro richiesta o di propria iniziativa; |
|
h) |
a norma dell’articolo 25, paragrafo 1, lettera e), del regolamento, quando tratta i dati personali in documenti ottenuti dalle parti o dagli intervenienti nel contesto di procedimenti dinanzi alla Corte di giustizia dell’Unione europea. |
2. Eventuali limitazioni rispettano l’essenza dei diritti e delle libertà fondamentali e rappresentano una misura necessaria e proporzionata in una società democratica.
3. Prima dell’applicazione di eventuali limitazioni è effettuata, caso per caso, una verifica della necessità e della proporzionalità della misura. Le limitazioni sono circoscritte a quanto strettamente necessario per conseguire i loro obiettivi.
4. L’Agenzia redige, a fini di rendicontazione, un resoconto contenente le motivazioni alla base delle limitazioni applicate, i motivi compresi tra quelli elencati al paragrafo 1 che trovano applicazione nonché l’esito della verifica della necessità e della proporzionalità. Tali resoconti fanno parte di un registro, che deve essere messo a disposizione del GEPD su richiesta. L’Agenzia elabora relazioni periodiche sull’applicazione dell’articolo 25 del regolamento.
5. In sede di trattamento dei dati personali ricevuti da altre organizzazioni nell’ambito dei propri compiti, l’Agenzia consulta tali organizzazioni su potenziali motivi per l’imposizione di limitazioni e sulla necessità e proporzionalità delle stesse, salvo che ciò pregiudichi le proprie attività.
Articolo 3
Rischi per i diritti e le libertà degli interessati
1. Le valutazioni dei rischi per i diritti e le libertà degli interessati derivanti dall’imposizione di limitazioni e i dettagli del periodo di applicazione di tali limitazioni sono riportati nel registro delle attività di trattamento tenuto dall’Agenzia a norma dell’articolo 31 del regolamento. Tali elementi sono inoltre riportati nelle valutazioni d’impatto sulla protezione dei dati relative a tali limitazioni effettuate ai sensi dell’articolo 39 del regolamento.
2. Ogniqualvolta valuta la necessità e la proporzionalità di una limitazione, l’Agenzia considera i potenziali rischi per i diritti e le libertà dell’interessato.
Articolo 4
Periodi di conservazione e garanzie
1. L’Agenzia mette in atto garanzie per prevenire abusi e l’accesso o il trasferimento illeciti dei dati personali che sono o possono essere soggetti a limitazioni. Tali garanzie, che includono misure tecniche e organizzative, sono specificate, ove necessario, nelle decisioni, procedure e norme di attuazione interne dell’Agenzia. Tra le garanzie figurano:
|
a) |
una definizione chiara dei ruoli, delle responsabilità e delle fasi procedurali; |
|
b) |
se del caso, un ambiente elettronico sicuro che impedisca l’accesso o il trasferimento illecito e accidentale di dati elettronici a persone non autorizzate; |
|
c) |
se del caso, la conservazione e il trattamento dei documenti cartacei in condizioni di sicurezza; |
|
d) |
il debito monitoraggio delle limitazioni e un riesame periodico della loro applicazione. |
2. Il riesame di cui alla lettera d) è effettuato almeno ogni sei mesi.
3. Le limitazioni sono revocate non appena cessino di sussistere le condizioni che le giustificano.
4. I dati personali sono conservati conformemente alle norme dell’Agenzia applicabili in materia di conservazione, da definire nei registri relativi alla protezione dei dati tenuti a norma dell’articolo 31 del regolamento. Al termine del periodo di conservazione i dati personali sono cancellati, resi anonimi o trasferiti agli archivi ai sensi dell’articolo 13 del regolamento.
Articolo 5
Coinvolgimento del responsabile della protezione dei dati
1. L’RPD dell’Agenzia è informato senza indebito ritardo ogniqualvolta i diritti dell’interessato siano sottoposti a limitazioni in conformità della presente decisione. All’RPD è accordato l’accesso ai relativi registri e a tutti i documenti riguardanti la situazione di fatto o di diritto.
2. L’RPD dell’Agenzia può chiedere il riesame dell’applicazione di una limitazione. L’Agenzia informa per iscritto il proprio RPD circa l’esito del riesame.
3. L’Agenzia documenta la partecipazione dell’RPD all’applicazione delle limitazioni, comprese le informazioni che sono state condivise con l’RPD.
Articolo 6
Informazione degli interessati in merito alle limitazioni dei loro diritti
1. Nelle comunicazioni sulla protezione dei dati pubblicate sul proprio sito e/o nella propria intranet, l’Agenzia include una sezione relativa alle informazioni generali a uso degli interessati sulle potenziali limitazioni dei loro diritti a norma dell’articolo 2, paragrafo 1. Tali informazioni riguardano i diritti che possono essere oggetto di limitazioni, i motivi per cui possono essere applicate tali limitazioni e la durata potenziale delle stesse.
2. L’Agenzia comunica ai singoli interessati, senza indebito ritardo e per iscritto, le limitazioni presenti o future dei loro diritti. L’Agenzia comunica agli interessati i principali motivi alla base dell’applicazione della limitazione, il loro diritto di consultare l’RPD per impugnare la limitazione e il loro diritto di proporre reclamo al GEPD.
3. L’Agenzia può rinviare, omettere o negare la comunicazione di informazioni sui motivi di una limitazione e del diritto di proporre reclamo al GEPD soltanto fino a quando tale comunicazione annullerebbe l’effetto della limitazione stessa. La valutazione se ciò sia giustificato è effettuata caso per caso. L’Agenzia provvede a fornire le informazioni all’interessato non appena l’effetto della limitazione non possa più essere annullato.
Articolo 7
Comunicazione di una violazione dei dati personali all’interessato
1. Qualora sia tenuta a comunicare una violazione dei dati personali a norma dell’articolo 35, paragrafo 1, del regolamento, l’Agenzia può, in circostanze eccezionali, limitare tale comunicazione in tutto o in parte. L’Agenzia documenta in una nota i motivi della limitazione, la sua base giuridica ai sensi dell’articolo 2 e una valutazione della sua necessità e proporzionalità. La nota è trasmessa al GEPD al momento della notifica della violazione dei dati personali.
2. Qualora cessino di sussistere i motivi della limitazione, l’Agenzia comunica la violazione dei dati personali all’interessato e lo informa in merito ai principali motivi della limitazione e al suo diritto di proporre reclamo al GEPD.
Articolo 8
Riservatezza delle comunicazioni elettroniche
1. In circostanze eccezionali l’Agenzia può limitare il diritto alla riservatezza delle comunicazioni elettroniche di cui all’articolo 36 del regolamento. Tali limitazioni sono conformi alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio (8).
2. Ferme restando le disposizioni di cui all’articolo 6, paragrafo 3, laddove limiti il diritto alla riservatezza delle comunicazioni elettroniche, l’Agenzia informa l’interessato, nella risposta a una sua richiesta, dei principali motivi sui quali si basa l’applicazione della limitazione e del suo diritto di proporre reclamo al GEPD.
Articolo 9
Entrata in vigore
La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Per il consiglio di amministrazione, il 17 febbraio 2021
Il presidente
Clio LIÉGEOIS
(1) GU L 295 del 21.11.2018, pag. 39.
(2) GU L 138 del 26.5.2016, pag. 1, di seguito denominato «regolamento dell’Agenzia».
(3) Regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio, del 29 febbraio 1968, che definisce lo statuto dei funzionari delle Comunità europee nonché il regime applicabile agli altri agenti di tali Comunità, ed istituisce speciali misure applicabili temporaneamente ai funzionari della Commissione (GU L 56 del 4.3.1968, pag. 1).
(4) Decisione n. 297, dell’8 luglio 2022, del consiglio di amministrazione dell’Agenzia dell’Unione europea recante disposizioni generali di attuazione relative allo svolgimento di indagini amministrative e procedimenti disciplinari.
(5) Decisione n. 183, del 15 novembre 2018, del consiglio di amministrazione dell’Agenzia dell’Unione europea per le ferrovie relativa alle linee guida in materia di denunce di irregolarità (whistleblowing).
(6) Decisione n. 8, del 17 ottobre 2006, del consiglio di amministrazione dell’Agenzia ferroviaria europea riguardante le condizioni e le modalità delle indagini interne in materia di lotta contro le frodi, la corruzione e ogni altra attività illecita lesiva degli interessi delle Comunità.
(7) Decisione n. 690/2013 dell’Agenzia ferroviaria europea sulla politica in materia di protezione della dignità della persona e prevenzione di molestie psicologiche e sessuali.
(8) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).