02019R0816-20210803

English (current language)
Language
My EUR-Lex
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

Document 02019R0816-20210803

Consolidated text: Regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio, del 17 aprile 2019, che istituisce un sistema centralizzato per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi e apolidi (ECRIS-TCN) e integrare il sistema europeo di informazione sui casellari giudiziali, e che modifica il regolamento (UE) 2018/1726

Access initial legal act

(

In force

)

ELI: http://data.europa.eu/eli/reg/2019/816/2021-08-03

Languages and formats available

HTML

PDF

Multilingual display

Text

02019R0816 — IT — 03.08.2021 — 002.001

Il presente testo è un semplice strumento di documentazione e non produce alcun effetto giuridico. Le istituzioni dell’Unione non assumono alcuna responsabilità per i suoi contenuti. Le versioni facenti fede degli atti pertinenti, compresi i loro preamboli, sono quelle pubblicate nella Gazzetta ufficiale dell’Unione europea e disponibili in EUR-Lex. Tali testi ufficiali sono direttamente accessibili attraverso i link inseriti nel presente documento

►B

REGOLAMENTO (UE) 2019/816 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 17 aprile 2019

che istituisce un sistema centralizzato per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi e apolidi (ECRIS-TCN) e integrare il sistema europeo di informazione sui casellari giudiziali, e che modifica il regolamento (UE) 2018/1726

(GU L 135 del 22.5.2019, pag. 1)

Modificato da:

		Gazzetta ufficiale
		n.	pag.	data
►M1	REGOLAMENTO (UE) 2019/818 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 20 maggio 2019	L 135	85	22.5.2019
►M2	REGOLAMENTO (UE) 2021/1151 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 7 luglio 2021	L 249	7	14.7.2021

▼B

REGOLAMENTO (UE) 2019/816 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 17 aprile 2019

CAPITOLO I

Disposizioni generali

Articolo 1

Oggetto

Il presente regolamento stabilisce:

un sistema per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi («ECRIS-TCN»);

le condizioni alle quali ECRIS-TCN è usato dalle autorità centrali al fine di ottenere informazioni su tali condanne precedenti attraverso il sistema europeo di informazione sui casellari giudiziali (ECRIS) istituito con decisione 2009/316/GAI, nonché le condizioni alle quali l'Eurojust, l'Europol e l'EPPO usano ECRIS-TCN;

▼M1

le condizioni alle quali l'ECRIS-TCN concorre ad agevolare e contribuire alla corretta identificazione delle persone registrate nell'ECRIS-TCN conformemente alle condizioni e ai fini di cui all'articolo 20 del regolamento (UE) 2019/818 del Parlamento europeo e del Consiglio ( 1 ), conservando nel CIR i dati di identità, i dati del documento di viaggio e i dati biometrici;

▼M2

le condizioni alle quali i dati di ECRIS-TCN possono essere utilizzati dall’Unità centrale ETIAS, istituita nell’ambito dell’Agenzia europea della guardia di frontiera e costiera a norma dell’articolo 7 del regolamento (UE) 2018/1240 del Parlamento europeo e del Consiglio ( 2 ), al fine di sostenere l’obiettivo dell’ETIAS di contribuire a un elevato livello di sicurezza permettendo una valutazione approfondita del rischio per la sicurezza presentato dai richiedenti prima del loro arrivo ai valichi di frontiera esterni, onde determinare se vi siano indicazioni concrete o fondati motivi basati su indicazioni concrete per concludere che la presenza di una persona nel territorio degli Stati membri presenta un rischio per la sicurezza.

▼M2

Articolo 2

Ambito di applicazione

Il presente regolamento si applica al trattamento delle informazioni sull’identità dei cittadini di paesi terzi che sono stati oggetto di condanne negli Stati membri, allo scopo di individuare gli Stati membri in cui sono state pronunciate tali condanne. Ad eccezione dell’articolo 5, paragrafo 1, lettera b), punto ii), le disposizioni del presente regolamento che si applicano ai cittadini di paesi terzi si applicano anche ai cittadini dell’Unione che hanno anche la cittadinanza di un paese terzo e che sono stati oggetto di condanne negli Stati membri.

Il presente regolamento:

sostiene l’obiettivo del VIS di valutare se il richiedente un visto, un visto per soggiorno di lunga durata o un permesso di soggiorno costituisca una minaccia per l’ordine pubblico o la sicurezza pubblica, in conformità del regolamento (CE) n. 767/2008;

sostiene l’obiettivo dell’ETIAS di contribuire a un elevato livello di sicurezza, in conformità del regolamento (UE) 2018/1240;

agevola e coadiuva nella corretta identificazione delle persone, in conformità del presente regolamento e del regolamento (UE) 2019/818.

▼B

Articolo 3

Definizioni

Ai fini del presente regolamento si applicano le seguenti definizioni:

«condanna», la decisione definitiva di una giurisdizione penale nei confronti di una persona fisica in relazione a un reato, nella misura in cui tale decisione sia riportata nel casellario giudiziale dello Stato membro di condanna;

«procedimento penale», la fase precedente al processo penale, la fase del processo penale stesso e l'esecuzione della condanna;

«casellario giudiziale», il registro nazionale o i registri nazionali in cui le condanne sono registrate conformemente al diritto nazionale;

«Stato membro di condanna», lo Stato membro in cui è stata pronunciata una condanna;

«autorità centrale», un'autorità designata conformemente all'articolo 3, paragrafo 1, della decisione quadro 2009/315/GAI;

▼M2

«autorità competenti», le autorità centrali, Eurojust, Europol, EPPO, le autorità designate del VIS di cui all’articolo 9 quinquies e all’articolo 22 ter, paragrafo 13, del regolamento (CE) n. 767/2008 e l’unità centrale ETIAS, che sono competenti per accedere a ECRIS-TCN o per interrogarlo a norma del presente regolamento;

▼B

«cittadino di paese terzo», chiunque non sia cittadino dell'Unione ai sensi dell'articolo 20, paragrafo 1, TFUE, l'apolide o qualsiasi persona la cui cittadinanza è ignota;

▼M1 —————

▼B

«software di interfaccia», il software ospitato dalle autorità competenti che consente loro di accedere al sistema centrale tramite l'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d);

10)

«informazioni sull'identità», i dati alfanumerici, i dati relativi alle impronte digitali e le immagini del volto utilizzati per stabilire una connessione tra tali dati e una persona fisica;

11)

«dati alfanumerici», i dati rappresentati da lettere, cifre, caratteri speciali, spazi e segni di punteggiatura;

12)

«dati relativi alle impronte digitali», i dati relativi alle impressioni piatte e rollate delle impronte digitali di ciascun dito di una persona;

13)

«immagine del volto», le immagini digitalizzate del volto di una persona;

14)

«riscontro positivo», la o le corrispondenze constatate, sulla base di un confronto, tra le informazioni sull'identità registrate nel sistema centrale e le informazioni sull'identità usate per interrogare il sistema;

15)

«punto di accesso centrale nazionale», il punto nazionale di connessione all'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d);

16)

«implementazione di riferimento ECRIS», il software sviluppato dalla Commissione e messo a disposizione degli Stati membri per lo scambio delle informazioni sui casellari giudiziali tramite ECRIS;

17)

«autorità nazionale di controllo», un'autorità pubblica indipendente istituita da uno Stato membro in conformità delle norme dell'Unione in materia di protezione dei dati;

18)

«autorità di controllo», il Garante europeo della protezione dei dati e le autorità nazionali di controllo;

▼M1

19)

«CIR», l'archivio comune di dati di identità quale istituito dall'articolo 17, paragrafo 1, del regolamento (UE) 2019/818;

20)

«dati dell'ECRIS-TCN», tutti i dati conservati nel sistema centrale dell'ECRIS-TCN e nel CIR conformemente all'articolo 5;

21)

«ESP», il portale di ricerca europeo istituito dall'articolo 6, paragrafo 1, del regolamento (UE) 2019/818.

▼B

Articolo 4

Architettura tecnica di ECRIS-TCN

ECRIS-TCN consta di:

▼M1

un sistema centrale;

▼M1

a bis)

il CIR;

▼B

un punto di accesso centrale nazionale in ciascuno Stato membro;

un software di interfaccia che connette le autorità competenti al sistema centrale tramite il punto di accesso centrale nazionale e l'infrastruttura di comunicazione di cui alla lettera d);

un'infrastruttura di comunicazione tra il sistema centrale e il punto di accesso centrale nazionale;

▼M1

un'infrastruttura di comunicazione tra il sistema centrale e le infrastrutture centrali dell'ESP e del CIR.

▼B

Il sistema centrale è ospitato da eu-LISA presso i suoi siti tecnici.

Il software di interfaccia è integrato con l'attuazione di riferimento ECRIS. Gli Stati membri usano l'attuazione di riferimento ECRIS o, nella situazione e alle condizioni di cui ai paragrafi da 4 a 8, il software nazionale di attuazione ECRIS, per interrogare ECRIS-TCN e per trasmettere le successive richieste di informazioni sui casellari giudiziali.

Gli Stati membri che utilizzano il proprio software nazionale di attuazione ECRIS sono tenuti a garantire che esso consenta alle loro autorità nazionali incaricate dei casellari giudiziali di utilizzare ECRIS-TCN, a eccezione del software di interfaccia, conformemente al presente regolamento. A tale scopo, prima della data di entrata in funzione di ECRIS-TCN ai sensi dell'articolo 35, paragrafo 4, essi garantiscono che il loro software nazionale di attuazione ECRIS funzioni conformemente ai protocolli e alle specifiche tecniche definite negli atti di esecuzione di cui all'articolo 10 e a eventuali altri requisiti tecnici definiti da eu-LISA ai sensi del presente regolamento basati su detti atti di esecuzione.

Fintanto che non usano l'attuazione di riferimento ECRIS, gli Stati membri che usano il proprio software nazionale di attuazione ECRIS garantiscono inoltre l'introduzione nel loro software nazionale di attuazione ECRIS dei successivi adattamenti tecnici resi necessari da eventuali modifiche delle specifiche tecniche definite negli atti di esecuzione di cui all'articolo 10 o da modifiche di eventuali altri requisiti tecnici definiti da eu-LISA ai sensi del presente regolamento basati su detti atti di esecuzione, senza ingiustificato ritardo.

Gli Stati membri che usano il proprio software nazionale di attuazione ECRIS sostengono tutte le spese associate all'attuazione, alla manutenzione e all'ulteriore sviluppo del loro software nazionale di attuazione ECRIS e alla sua interconnessione con ECRIS-TCN, con l'eccezione del software di interfaccia.

Qualora uno Stato membro che usa il proprio software di attuazione ECRIS non sia in grado di conformarsi agli obblighi di cui al presente articolo, ha l'obbligo di usare l'attuazione di riferimento ECRIS, incluso il software di interfaccia integrato, per avvalersi di ECRIS-TCN.

Alla luce della valutazione che la Commissione è tenuta a effettuare ai sensi dell'articolo 36, paragrafo 10, lettera b), gli Stati membri interessati forniscono alla Commissione tutte le informazioni necessarie.

CAPITOLO II

Inserimento e uso dei dati da parte delle autorità centrali

Articolo 5

Inserimento dei dati in ECRIS-TCN

▼M1

Per ciascun cittadino condannato di un paese terzo, l'autorità centrale dello Stato membro di condanna crea un registro dei dati in ECRIS-TCN. La registrazione dei dati comprende:

▼B

per quanto riguarda i dati alfanumerici:

informazioni da includere a meno che, in singoli casi, tali informazioni non siano note all'autorità centrale (informazioni obbligatorie):

—

cognome;

—

nome o nomi;

—

data di nascita;

—

luogo di nascita (città e paese);

—

la o le cittadinanze;

—

sesso;

—

nomi precedenti, se del caso;

—

codice dello Stato membro di condanna;

ii)

informazioni da includere se sono state inserite nel casellario giudiziale (informazioni facoltative):

—

nome dei genitori;

iii)

informazioni da includere se sono a disposizione dell'autorità centrale (informazioni supplementari):

▼M2

—

numero di identità, o tipo e numero dei documenti di identificazione dell’interessato, compresi i titoli di viaggio, nonché denominazione dell’autorità di rilascio;

▼B

—

eventuali pseudonimi o alias;

per quanto riguarda i dati relativi alle impronte digitali:

dati relativi alle impronte digitali che sono stati rilevati conformemente al diritto nazionale nel corso di procedimenti penali;

ii)

come minimo, dati relativi alle impronte digitali rilevati in base a uno dei seguenti criteri:

—

se il cittadino di paese terzo è stato condannato a una pena detentiva di almeno sei mesi;

—

se il cittadino di paese terzo è stato condannato per un reato punibile, a norma del diritto dello Stato membro, con una pena detentiva della durata massima non inferiore a 12 mesi;

▼M2

un indicatore che segnali, ai fini dei regolamenti (CE) n. 767/2008 e (UE) 2018/1240, che il cittadino di paese terzo interessato è stato condannato nei 25 anni precedenti per un reato di terrorismo o nei 15 anni precedenti per qualunque altro dei reati elencati nell’allegato del regolamento (UE) 2018/1240, qualora tale reato sia punibile con una pena detentiva o una misura di sicurezza privativa della libertà personale per un periodo massimo di almeno tre anni a norma del diritto nazionale, tra cui il codice dello Stato membro di condanna.

▼M1

1 bis.

Il CIR contiene i dati di cui al paragrafo 1, lettera b), e i seguenti dati di cui al paragrafo 1, lettera a): cognome; nome o nomi; data di nascita; luogo di nascita (città e paese); la o le cittadinanze; sesso; se del caso, nomi precedenti e, ove disponibili, pseudonimi, come pure, ove disponibili, tipo e numero del documento o dei documenti di viaggio dell'interessato, nonché denominazione dell'autorità di rilascio. Il CIR può inoltre contenere i dati di cui al paragrafo 3. I rimanenti dati dell'ECRIS-TCN sono conservati nel sistema centrale.

▼B

I dati relativi alle impronte digitali di cui al paragrafo 1, lettera b), del presente articolo devono soddisfare le specifiche tecniche per la qualità, la risoluzione e il trattamento dei dati relativi alle impronte digitali previste negli atti di esecuzione di cui all'articolo 10, paragrafo 1, lettera b). Il numero di riferimento dei dati relativi alle impronte digitali della persona condannata include il codice dello Stato membro di condanna.

La registrazione di dati può contenere anche le immagini del volto del cittadino di paese terzo condannato, qualora il diritto dello Stato membro di condanna consenta di raccogliere e conservare le immagini del volto delle persone condannate.

Lo Stato membro di condanna crea la registrazione di dati automaticamente, ove possibile, e senza ingiustificato ritardo dopo l'iscrizione della condanna nel casellario giudiziale.

Gli Stati membri di condanna creano inoltre la registrazione di dati per le condanne pronunciate prima della data di entrata in funzione dei dati ai sensi dell'articolo 35, paragrafo 1, nella misura in cui i dati relativi alle persone condannate sono conservati nelle loro banche dati nazionali. In tali casi i dati relativi alle impronte digitali devono essere inclusi soltanto se sono state rilevate nel corso di procedimenti penali conformemente al diritto nazionale e se è possibile stabilire una chiara corrispondenza con altre informazioni sull'identità contenute nei casellari giudiziali.

Al fine di rispettare gli obblighi di cui al paragrafo 1, lettera b), punti i) e ii), e al paragrafo 5, gli Stati membri possono utilizzare i dati relativi alle impronte digitali rilevate a fini diversi da un procedimento penale, qualora tale uso sia autorizzato dal diritto nazionale.

▼M2

gli indicatori e i codici dello Stato membro di condanna di cui al paragrafo 1, lettera c), del presente articolo, sono accessibili e consultabili soltanto da:

il sistema centrale del VIS, istituito dall’articolo 2 bis, paragrafo 1, lettera b) del regolamento (CE) n. 767/2008, ai fini delle verifiche a norma dell’articolo 7 bis del presente regolamento, in combinato disposto con l’articolo 9 bis, paragrafo 4, lettera e), o con l’articolo 22 ter, paragrafo 3, lettera e), del regolamento (CE) n. 767/2008;

il sistema centrale ETIAS, quale definito all’articolo 3, paragrafo 1, punto 25) del regolamento (UE) 2018/1240 ai fini delle verifiche a norma dell’articolo 7 ter del presente regolamento, in combinato disposto con l’articolo 20, paragrafo 2, lettera n), del regolamento (UE) 2018/1240, qualora emergano riscontri positivi in seguito alla verifica automatizzata a norma dell’articolo 20, dell’articolo 24, paragrafo 6, lettera c), punto ii), e dell’articolo 54, paragrafo 1, lettera b), di detto regolamento.

Fatto salvo il primo comma del presente paragrafo, gli indicatori e il codice dello Stato membro di condanna di cui al paragrafo 1, lettera c), non sono visibili a nessun’altra autorità a eccezione dell’autorità centrale dello Stato membro di condanna che ha creato la registrazione dei dati provvista di indicatore.

▼B

Articolo 6

Immagini del volto

Fino all'entrata in vigore dell'atto delegato di cui al paragrafo 2, le immagini del volto possono essere utilizzate al solo scopo di confermare l'identità del cittadino di paese terzo identificato grazie all'interrogazione con dati alfanumerici o con dati relativi alle impronte digitali.

Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 37 al fine di integrare il presente regolamento per quanto riguarda l'uso delle immagini del volto ai fini dell'identificazione di cittadini di paesi terzi in modo da individuare, quando sarà possibile a livello tecnico, gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di tali persone. Prima di esercitare tale potere, la Commissione valuta, tenendo conto della necessità e della proporzionalità, nonché degli sviluppi tecnici nel settore del software di riconoscimento facciale, la disponibilità e lo stato di preparazione della tecnologia necessaria.

Articolo 7

Utilizzo di ECRIS-TCN per individuare gli Stati membri in possesso di informazioni sui casellari giudiziali

Le autorità centrali usano ECRIS-TCN per individuare gli Stati membri in possesso di informazioni sul casellario giudiziale di un cittadino di paese terzo, al fine di ottenere informazioni sulle precedenti condanne tramite ECRIS, quando dette informazioni su tale persona sono richieste nello Stato membro in questione ai fini di un procedimento penale nei confronti di quella persona o per uno qualsiasi dei seguenti fini, se previsto conformemente al diritto nazionale:

—

permettere a una persona, su sua richiesta, di verificare il proprio casellario giudiziale;

—

rilasciare nulla osta di sicurezza;

—

ottenere una licenza o un permesso;

—

effettuare indagini di sicurezza a fini occupazionali;

—

effettuare indagini di sicurezza in vista di attività di volontariato che prevedono contatti diretti e regolari con minori o persone vulnerabili;

—

espletare le procedure in materia di visti, acquisizione della cittadinanza e migrazione, comprese quelle di asilo; ed

—

effettuare controlli in relazione ad appalti pubblici e concorsi pubblici.

Ciononostante, in casi specifici diversi da quelli in cui un cittadino di paese terzo chiede all'autorità centrale informazioni sul proprio casellario, o quando la richiesta è presentata per ottenere informazioni dal casellario giudiziale a norma dell'articolo 10, paragrafo 2, della direttiva 2011/93/UE, l'autorità che chiede informazioni sui casellari giudiziali può decidere che tale uso di ECRIS-TCN non è adeguato.

Uno Stato membro che decida, se previsto conformemente al diritto nazionale, di usare ECRIS-TCN per fini diversi da quelli indicati al paragrafo 1, allo scopo di ottenere informazioni su precedenti condanne tramite ECRIS, entro la data di entrata in funzione di cui all'articolo 35, paragrafo 4, o successivamente, notifica alla Commissione tali fini e le eventuali modifiche. La Commissione pubblica altresì tali notifiche nella Gazzetta ufficiale dell'Unione europea entro 30 giorni dal ricevimento della notifica.

Eurojust, Europol ed EPPO sono legittimati a interrogare ECRIS-TCN per individuare gli Stati membri in possesso di informazioni sul casellario giudiziale di un cittadino di paese terzo in conformità degli articoli da 14 a 18. Ciononostante, non inseriscono, rettificano o cancellano dati in ECRIS-TCN.

Ai fini di cui ai paragrafi 1, 2 e 3, le autorità competenti possono inoltre interrogare ECRIS-TCN per verificare se, con riguardo a un cittadino dell'Unione, uno o più Stati membri siano in possesso di informazioni sul casellario giudiziale di tale persona in quanto cittadino di paese terzo.

Quando interrogano ECRIS-TCN, le autorità competenti possono usare tutti o soltanto alcuni dei dati di cui all'articolo 5, paragrafo 1. L'insieme minimo di dati necessari per interrogare il sistema è specificato in un atto di esecuzione adottato in conformità dell'articolo 10, paragrafo 1, lettera g).

Le autorità competenti possono interrogare ECRIS-TCN anche usando le immagini del volto, sempreché tale funzionalità sia stata attuata a norma dell'articolo 6, paragrafo 2.

▼M2

In caso di riscontro positivo il sistema centrale o il CIR trasmette automaticamente all’autorità competente informazioni sugli Stati membri in possesso di informazioni sui precedenti penali del cittadino di paese terzo, insieme con i numeri di riferimento associati di cui all’articolo 5, paragrafo 1, e alle corrispondenti informazioni sull’identità. Le informazioni sull’identità sono utilizzate solo per verificare l’identità del cittadino di paese terzo. Il risultato di un’interrogazione del sistema centrale è utilizzato al solo scopo di:

introdurre una richiesta ai sensi dell’articolo 6 della decisione quadro 2009/315/GAI;

introdurre una richiesta di cui all’articolo 17, paragrafo 3, del presente regolamento;

sostenere l’obiettivo del VIS di valutare se il richiedente un visto, un visto per soggiorno di lunga durata o un permesso di soggiorno possa costituire una minaccia per l’ordine pubblico o la sicurezza interna, in conformità del regolamento (CE) n. 767/2008; oppure

sostenere l’obiettivo dell’ETIAS di contribuire a un elevato livello di sicurezza, in conformità del regolamento (UE) 2018/1240.

▼B

In assenza di riscontro positivo, il sistema centrale ne informa automaticamente l'autorità competente.

▼M2

Articolo 7 ter

Utilizzo del sistema ECRIS-TCN per le verifiche ETIAS

Ai fini dell’esercizio dei compiti conferitile a norma del regolamento (UE) 2018/1240, l’unità centrale ETIAS ha il diritto di accedere e di consultare i dati ECRIS-TCN. Tuttavia l’unità centrale ETIAS ha accesso solo in conformità dell’articolo 11, paragrafo 8, di detto regolamento, unicamente ai registri di dati ai quali è stato aggiunto un indicatore ai sensi dell’articolo 5, paragrafo 1, lettera c), del presente regolamento.

I dati di cui al primo comma sono utilizzati solo a scopo di verifica da:

l’unità centrale ETIAS, a norma dell’articolo 22 del regolamento (UE) 2018/1240; oppure

le unità nazionali ETIAS, a norma dell’articolo 25 bis, paragrafo 2, del regolamento (UE) 2018/1240, ai fini della consultazione dei casellari giudiziali nazionali; il casellario giudiziale nazionale deve essere consultato prima delle valutazioni e delle decisioni di cui all’articolo 26 di tale regolamento e, se del caso, prima delle valutazioni e dei pareri ai sensi dell’articolo 28 di tale regolamento.

Il CIR è connesso all’ESP per consentire le verifiche automatizzate a norma dell’articolo 20, dell’articolo 24, paragrafo 6, lettera c), punto ii), e dell’articolo 54, paragrafo 1, lettera b) del regolamento (UE) 2018/1240.

Fatto salvo l’articolo 24 del regolamento (UE) 2018/1240, le verifiche automatizzate a norma dell’articolo 20, dell’articolo 24, paragrafo 6, lettera c), punto ii), e dell’articolo 54, paragrafo 1, lettera b) di detto regolamento consente le verifiche successive di cui agli articoli 22 e 26 del medesimo regolamento.

Ai fini delle verifiche di cui all’articolo 20, paragrafo 2, lettera n), del regolamento (UE) 2018/1240, il sistema centrale ETIAS si avvale dell’ESP per confrontare i dati contenuti nell’ETIAS con i dati ECRIS-TCN provvisti di un indicatore ai sensi dell’articolo 5, paragrafo 1, lettera c), del presente regolamento e dell’articolo 11, paragrafo 8, del regolamento (UE) 2018/1240, utilizzando i dati elencati nella tabella delle corrispondenze di cui all’allegato II del presente regolamento.

▼B

CAPITOLO III

Conservazione e modifica dei dati

Articolo 8

Periodo di conservazione dei dati

▼M1

Ciascuna registrazione di dati è conservata nel sistema centrale e nel CIR fintanto che i dati relativi alla condanna o alle condanne pronunciate a carico dell'interessato sono conservati nel casellario giudiziale.

Allo scadere del periodo di conservazione di cui al paragrafo 1, l'autorità centrale dello Stato membro di condanna cancella dal sistema centrale e dal CIR la registrazione di dati, inclusi i dati relativi alle impronte digitali o le immagini del volto. Tale cancellazione avviene automaticamente, se possibile, e in ogni caso non oltre un mese dalla scadenza del periodo di conservazione.

▼M2

Gli indicatori di cui all’articolo 5, paragrafo 1, lettera c), sono automaticamente rimossi allo scadere del periodo di conservazione di cui al paragrafo 1 del presente articolo o 25 anni dopo la loro creazione, per quanto riguarda le condanne relative a reati di terrorismo, o 15 anni dopo la loro creazione, per quanto riguarda le condanne relative ad altri reati, a seconda di quale evento si verifichi per primo.

▼B

Articolo 9

Modifica e cancellazione dei dati

Gli Stati membri possono modificare o cancellare i dati da essi inseriti in ►M1 sistema centrale e CIR ◄ .

Qualsiasi modifica delle informazioni nei casellari giudiziali che hanno generato una registrazione di dati ai sensi dell'articolo 5 include un'identica modifica, senza ingiustificato ritardo, da parte dello Stato membro di condanna, delle informazioni conservate in tale registrazione di dati nel ►M1 sistema centrale e CIR ◄ .

Qualora abbia ragione di credere che i dati registrati nel ►M1 sistema centrale e CIR ◄ sono inesatti o che sono stati trattati nel ►M1 sistema centrale e CIR ◄ in violazione del presente regolamento, lo Stato membro di condanna:

avvia immediatamente una procedura di verifica dell'esattezza dei dati in questione o, se del caso, della liceità del proprio trattamento;

ove necessario, rettifica o cancella, senza ingiustificato ritardo, i dati dal ►M1 sistema centrale e CIR ◄ .

Ove uno Stato membro diverso dallo Stato membro di condanna che ha introdotto i dati abbia ragione di credere che i dati registrati nel ►M1 sistema centrale e CIR ◄ sono inesatti o che sono stati trattati nel ►M1 sistema centrale e CIR ◄ in violazione del presente regolamento, esso contatta senza ingiustificato ritardo l'autorità centrale dello Stato membro di condanna.

Lo Stato membro di condanna:

avvia immediatamente una procedura di verifica dell'esattezza dei dati in questione o, se del caso, della liceità del loro trattamento;

se necessario, rettifica o cancella dal ►M1 sistema centrale e CIR ◄ senza ingiustificato ritardo i dati in questione;

informa senza ingiustificato ritardo l'altro Stato membro dell'avvenuta rettifica o cancellazione dei dati, o dei motivi per cui i dati non sono stati rettificati né cancellati.

CAPITOLO V

Sviluppo, funzionamento e responsabilità

Articolo 10

Adozione di atti di esecuzione da parte della Commissione

La Commissione adotta gli atti di esecuzione necessari allo sviluppo tecnico e all'attuazione di ECRIS-TCN quanto prima, in particolare atti riguardanti:

le specifiche tecniche per il trattamento dei dati alfanumerici;

le specifiche tecniche per la qualità, la risoluzione e il trattamento delle impronte digitali;

le specifiche tecniche del software di interfaccia;

le specifiche tecniche per la qualità, la risoluzione e il trattamento delle immagini del volto per gli scopi e alle condizioni di cui all'articolo 6;

la qualità dei dati, compreso un meccanismo e procedure per lo svolgimento dei controlli di qualità;

l'inserimento dei dati conformemente all'articolo 5;

l'accesso e l'interrogazione di ECRIS-TCN conformemente all'articolo 7;

la modifica e la cancellazione dei dati conformemente agli articoli 8 e 9;

la conservazione dei registri e l'accesso a essi conformemente all'articolo 31;

▼M1 —————

▼B

l'elaborazione di statistiche conformemente all'articolo 32;

i requisiti di funzionamento e di disponibilità di ECRIS-TCN, tra cui specifiche e requisiti minimi sulle prestazioni biometriche di ECRIS-TCN, in particolare per quanto riguarda il tasso di falsa identificazione positiva e il tasso di falsa identificazione negativa richiesti.

Gli atti di esecuzione di cui al paragrafo 1 sono adottati secondo la procedura di esame di cui all'articolo 38, paragrafo 2.

Articolo 11

Sviluppo e gestione operativa di ECRIS-TCN

eu-Lisa è responsabile dello sviluppo dia ECRIS-TCN conformemente al principio della protezione dei dati fin dalla progettazione e per impostazione predefinita. eu-Lisa è altresì responsabile della gestione operativa di ECRIS-TCN. Lo sviluppo comporta l'elaborazione e l'applicazione delle specifiche tecniche, il collaudo e il coordinamento generale del progetto.

eu-Lisa è inoltre responsabile dello sviluppo ulteriore e della manutenzione dell'attuazione di riferimento ECRIS.

eu-LISA definisce la progettazione dell'architettura fisica di ECRIS-TCN, comprese le specifiche tecniche e l'evoluzione per quanto riguarda il sistema centrale, il punto di accesso centrale nazionale e il software d'interfaccia. La progettazione è adottata dal suo consiglio di amministrazione, previo parere favorevole della Commissione.

eu-LISA sviluppa e realizza ECRIS-TCN quanto prima dopo l'entrata in vigore del presente regolamento e dopo l'adozione da parte della Commissione degli atti di esecuzione di cui all'articolo 10.

Prima della fase di progettazione e di sviluppo di ECRIS-TCN, il consiglio di amministrazione di eu-LISA istituisce un consiglio di gestione del programma composto di dieci membri.

Il consiglio di gestione del programma è costituito da otto membri nominati dal consiglio di amministrazione, dal presidente del gruppo consultivo di cui all'articolo 39 e da un membro nominato dalla Commissione. I membri nominati dal consiglio di amministrazione sono eletti soltanto tra gli Stati membri che sono pienamente vincolati in base al diritto dell'Unione dagli strumenti legislativi che disciplinano ECRIS e che parteciperanno a ECRIS-TCN. Il consiglio di amministrazione garantisce che i membri da esso nominati al consiglio di gestione del programma dispongano dell'esperienza e delle competenze necessarie in termini di sviluppo e gestione di sistemi IT a sostegno delle autorità giudiziarie e delle autorità incaricate dei casellari giudiziali.

eu-LISA partecipa ai lavori del consiglio di gestione del programma. A tal fine, rappresentanti di eu-LISA prendono parte alle riunioni del consiglio di gestione del programma allo scopo di riferire in merito ai lavori relativi alla progettazione e allo sviluppo di ECRIS-TCN e a eventuali altri lavori e attività correlati.

Il consiglio di gestione del programma si riunisce almeno una volta a trimestre e più spesso se necessario. Esso garantisce l'adeguata gestione della fase di progettazione e di sviluppo di ECRIS-TCN e la coerenza tra il progetto centrale e i progetti nazionali dell'ECRIS-TCN, e con il software nazionale di attuazione di ECRIS. Il consiglio di gestione del programma presenta regolarmente e se possibile mensilmente, relazioni scritte al consiglio di amministrazione di eu-LISA sui progressi del progetto. Il consiglio di gestione del programma non ha potere decisionale né mandato di rappresentare i membri del consiglio di amministrazione.

Il consiglio di gestione del programma stabilisce il suo regolamento interno, che comprende in particolare disposizioni concernenti:

la presidenza;

i luoghi di riunione;

la preparazione delle riunioni;

l'ammissione di esperti alle riunioni;

i piani di comunicazione atti a garantire che siano tenuti completamente informati i membri non partecipanti del consiglio di amministrazione.

La presidenza del consiglio di gestione del programma è esercitata da uno Stato membro che è pienamente vincolato, conformemente al diritto dell'Unione, dagli strumenti legislativi che disciplinano ECRIS e dagli strumenti legislativi che disciplinano lo sviluppo, l'istituzione, il funzionamento e l'uso di tutti i sistemi IT su larga scala gestiti da eu-LISA.

Tutte le spese di viaggio e di soggiorno sostenute dai membri del consiglio di gestione del programma sono a carico di eu-LISA. L'articolo 10 del regolamento interno di eu-LISA si applica mutatis mutandis. Il segretariato del consiglio di gestione del programma è assicurato da eu-LISA.

In fase di progettazione e di sviluppo, il gruppo consultivo di cui all'articolo 39 è composto dei responsabili di progetto nazionali di ECRIS-TCN ed è presieduto da eu-LISA. In fase di progettazione e di sviluppo esso si riunisce regolarmente, se possibile almeno una volta al mese, fino all'entrata in funzione di ECRIS-TCN. Dopo ciascuna riunione, riferisce al consiglio di gestione del programma. Fornisce la consulenza tecnica a sostegno delle attività del consiglio di gestione del programma e monitora lo stato di preparazione degli Stati membri.

10.

Al fine di garantire la riservatezza e l'integrità in qualsiasi momento dei dati conservati in ECRIS-TCN, eu-LISA, in cooperazione con gli Stati membri, prevede idonee misure tecniche e organizzative, tenendo conto dello stato dell'arte, del costo relativo all'attuazione e dei rischi associati al trattamento.

11.

eu-LISA è responsabile dei seguenti compiti relativi all'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d):

controllo;

sicurezza;

coordinamento delle relazioni tra gli Stati membri e il gestore dell'infrastruttura di comunicazione.

12.

La Commissione è responsabile di tutti gli altri compiti connessi con l'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d), in particolare:

compiti relativi all'esecuzione del bilancio;

acquisizione e rinnovo;

aspetti contrattuali.

13.

eu-LISA sviluppa e mantiene un meccanismo e procedure per lo svolgimento dei controlli di qualità sui dati conservati in ECRIS-TCN e riferisce periodicamente agli Stati membri. eu-LISA riferisce periodicamente alla Commissione in merito ai problemi incontrati e agli Stati membri interessati.

14.

La gestione operativa di ECRIS-TCN consiste nell'insieme dei compiti necessari per garantirne l'operatività in conformità del presente regolamento e comprende, in particolare, la manutenzione e gli adeguamenti tecnici necessari per garantire che ECRIS-TCN funzioni a un livello soddisfacente conformemente alle specifiche tecniche.

15.

eu-LISA svolge compiti relativi alla formazione sull'uso tecnico di ECRIS-TCN e dell'attuazione di riferimento ECRIS.

16.

Fatto salvo l'articolo 17 dello statuto dei funzionari dell'Unione europea di cui al regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio ( 3 ), eu-LISA applica a tutti i membri del proprio personale che devono lavorare con i dati registrati nel sistema centrale adeguate norme in materia di segreto professionale o altri doveri equivalenti di riservatezza. Questo obbligo vincola tale personale anche dopo che ha lasciato l'incarico o cessato di lavorare, ovvero portato a termine le sue attività.

Articolo 12

Responsabilità degli Stati membri

Ciascuno Stato membro è responsabile di quanto segue:

una connessione sicura tra le banche dati nazionali di casellari giudiziali e di impronte digitali e il punto di accesso centrale nazionale;

lo sviluppo, il funzionamento e la manutenzione della connessione di cui alla lettera a);

una connessione tra il sistema nazionale e l'attuazione di riferimento ECRIS;

la gestione e le modalità di accesso a ECRIS-TCN del personale debitamente autorizzato delle autorità centrali a norma del presente regolamento, nonché la compilazione e l'aggiornamento periodico di un elenco di tale personale con le qualifiche. di cui all'articolo 19, paragrafo 3, lettera g).

Ciascuno Stato membro provvede affinché il personale della sua autorità centrale con diritto di accesso a ECRIS-TCN riceva una formazione adeguata che riguardi, in particolare, le norme di sicurezza e di protezione dei dati e i diritti fondamentali applicabili, prima di autorizzarli a trattare dati conservati nel ►M1 sistema centrale dell'ECRIS-TCN e CIR ◄ .

Articolo 13

Responsabilità per l'uso dei dati

Conformemente alle norme applicabili dell'Unione in materia di protezione dei dati, ciascuno Stato membro garantisce che i dati registrati in ECRIS-TCN siano trattati lecitamente e, in particolare, che:

soltanto il personale debitamente autorizzato abbia accesso ai dati per assolvere i propri compiti;

i dati siano raccolti lecitamente e nel pieno rispetto della dignità umana e dei diritti fondamentali del cittadino di paese terzo;

i dati siano inseriti lecitamente in ECRIS-TCN;

i dati inseriti in ECRIS-TCN siano esatti e aggiornati.

eu-LISA garantisce che ECRIS-TCN sia gestito conformemente al presente regolamento, agli atti delegati di cui all'articolo 6, paragrafo 2, e agli atti di esecuzione di cui all'articolo 10, nonché conformemente al regolamento (UE) 2018/1725. In particolare eu-LISA adotta le misure necessarie per garantire la sicurezza del ►M1 sistema centrale, CIR ◄ e dell'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d), fatte salve le responsabilità di ciascuno Stato membro.

eu-LISA informa il Parlamento europeo, il Consiglio, la Commissione e il garante europeo della protezione dei dati il più presto possibile delle misure adottate in conformità del paragrafo 2 in vista dell'entrata in funzione dia ECRIS-TCN.

La Commissione mette a disposizione degli Stati membri e del pubblico, mantenendo regolarmente aggiornato il sito web, le informazioni di cui al paragrafo 3.

Articolo 14

Accesso di Eurojust, Europol ed EPPO

Eurojust ha accesso diretto a ECRIS-TCN ai fini dell'attuazione dell'articolo 17 e dello svolgimento dei suoi compiti di cui all'articolo 2 del regolamento (UE) 2018/1727, per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi.

Europol ha accesso diretto a ECRIS-TCN ai fini dello svolgimento dei suoi compiti di cui all'articolo 4, paragrafo 1, lettere e) e h), del regolamento (UE) 2016/794, per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi.

EPPO ha accesso diretto a ECRIS-TCN ai fini dello svolgimento dei suoi compiti di cui all'articolo 4 del regolamento (UE) 2017/1939, per individuare lo Stato membro o gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi.

A seguito di riscontro positivo che indichi gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di un cittadino di paese terzo, Eurojust, Europol ed EPPO possono contattare le autorità nazionali di tali Stati membri per chiedere le informazioni sui casellari giudiziali nel modo previsto nei rispettivi strumenti giuridici costitutivi.

Articolo 15

Accesso da parte di personale autorizzato di Eurojust, Europol ed EPPO

Eurojust, Europol ed EPPO sono responsabili della gestione e delle modalità di accesso a ECRIS-TCN da parte del personale debitamente autorizzato a norma del presente regolamento e della compilazione e dell'aggiornamento periodico di un elenco di tale personale con le relative qualifiche.

Articolo 16

Responsabilità di Eurojust, Europol ed EPPO

Eurojust, Europol ed EPPO:

stabiliscono i mezzi tecnici per connettersi a ECRIS-TCN e sono responsabili del mantenimento della connessione;

forniscono una formazione adeguata che riguardi, in particolare, le norme di sicurezza e di protezione dei dati e i diritti fondamentali applicabili, ai membri del loro personale con diritto di accesso a ECRIS-TCN prima di autorizzarli a trattare dati conservati nel sistema centrale;

garantiscono che i dati personali che trattano a norma del presente regolamento siano protetti conformemente alle norme applicabili in materia di protezione dei dati.

Articolo 17

Punto di contatto per i paesi terzi e le organizzazioni internazionali

I paesi terzi e le organizzazioni internazionali possono, ai fini di un procedimento penale, indirizzare a Eurojust richieste di informazioni su quali Stati membri, se del caso, siano in possesso di informazioni sul casellario giudiziale di un cittadino di paese terzo. A tale scopo utilizzano il formulario standard che figura nell'allegato del presente regolamento.

Quando riceve una richiesta a norma del paragrafo 1, Eurojust usa ECRIS-TCN per individuare gli eventuali Stati membri in possesso di informazioni sul casellario giudiziale del cittadino di paese terzo interessato.

In caso di riscontro positivo, Eurojust chiede agli Stati membri in possesso di informazioni sul casellario giudiziale del cittadino di paese terzo interessato se acconsentono a che Eurojust informi il paese terzo o l'organizzazione internazionale del nome dello Stato membro interessato. Se tale Stato membro fornisce il proprio consenso, Eurojust comunica al paese terzo o all'organizzazione internazionale il nome di detto Stato membro e le modalità di introduzione di una richiesta di estratti del casellario giudiziale presso gli Stati membri in questione, secondo le procedure applicabili.

In assenza di riscontro positivo o qualora non sia in grado di fornire una risposta, conformemente al paragrafo 3, alle richieste che le sono state presentate ai sensi del presente articolo, Eurojust informa il paese terzo o l'organizzazione internazionale in questione di aver completato la procedura, senza precisare se le informazioni sul casellario giudiziale della persona interessata siano in possesso di uno Stato membro.

Articolo 18

Comunicazione di informazioni a un paese terzo, a un'organizzazione internazionale o a un soggetto privato

Né Eurojust, né Europol, né EPPO, né alcuna delle autorità centrali trasmette a paesi terzi, organizzazioni internazionali o soggetti privati, o mette a loro disposizione, informazioni ottenute tramite ECRIS-TCN relative a un cittadino di paese terzo. Il presente articolo fa salvo l'articolo 17, paragrafo 3.

Articolo 19

Sicurezza dei dati

eu-LISA adotta le misure necessarie per garantire la sicurezza di ECRIS-TCN, fatte salve le responsabilità di ciascuno Stato membro, tenuto conto delle misure di sicurezza di cui al paragrafo 3.

Per quanto riguarda il funzionamento di ECRIS-TCN, eu-LISA adotta le misure necessarie per conseguire gli obiettivi enunciati al paragrafo 3, compresa l'adozione di un piano di sicurezza e di un piano di continuità operativa e di ripristino in caso di disastro, e garantire che i sistemi installati possano, in caso di interruzione, essere ripristinati.

Gli Stati membri garantiscono la sicurezza dei dati prima e durante la trasmissione al punto di accesso centrale nazionale e il ricevimento dallo stesso. In particolare ciascuno Stato membro:

protegge fisicamente i dati, tra l'altro mediante l'elaborazione di piani di emergenza per la protezione delle infrastrutture;

nega alle persone non autorizzate l'accesso alle strutture nazionali nelle quali lo Stato membro effettua operazioni connesse a ECRIS-TCN;

impedisce che supporti di dati possano essere letti, copiati, modificati o asportati senza autorizzazione;

impedisce l'inserimento di dati senza autorizzazione e l'ispezione, la modifica o la cancellazione senza autorizzazione di dati personali memorizzati;

impedisce il trattamento dei dati in ECRIS-TCN senza autorizzazione e la modifica o la cancellazione senza autorizzazione dei dati trattati nel sistema ECRIS-TCN;

garantisce che le persone autorizzate ad accedere a ECRIS-TCN abbiano accesso soltanto ai dati previsti dalla loro autorizzazione di accesso, ricorrendo all'identificativo utente individuale e utilizzando esclusivamente modalità di accesso riservato;

garantisce che tutte le autorità con diritto di accedere a ECRIS-TCN creino profili che descrivono le funzioni e le responsabilità delle persone autorizzate ad accedere ai dati e a inserire, rettificare, cancellare, consultare e interrogare i dati, e mettano senza ingiustificato ritardo tali profili a disposizione delle autorità nazionali di controllo, su richiesta di queste ultime;

garantisce la possibilità di verificare e stabilire a quali organi, organismi e agenzie dell'Unione possano essere trasmessi dati personali mediante apparecchiature di comunicazione dei dati;

garantisce che sia possibile verificare e stabilire quali dati sono stati trattati in ECRIS-TCN, quando, da chi e per quale finalità;

impedisce, in particolare mediante tecniche appropriate di cifratura, che all'atto della trasmissione di dati personali da ECRIS-TCN o verso di esso, oppure durante il trasporto dei supporti di dati, tali dati personali possano essere letti, copiati, modificati o cancellati senza autorizzazione;

controlla l'efficacia delle misure di sicurezza di cui al presente paragrafo e adotta le necessarie misure di carattere organizzativo relative alla verifica e alla verifica interna per garantire l'osservanza del presente regolamento.

eu-LISA e gli Stati membri cooperano al fine di garantire un approccio coerente alla sicurezza dei dati sulla base di una procedura di gestione del rischio di sicurezza che includa l'intero ECRIS-TCN.

Articolo 20

Responsabilità

Le persone o gli Stati membri che hanno subito un danno materiale o non materiale in conseguenza di un trattamento illecito di dati o di qualsiasi altro atto incompatibile con il presente regolamento hanno diritto di ottenere un risarcimento:

dallo Stato membro responsabile del danno; o

nel caso in cui eu-LISA non abbia soddisfatto i propri obblighi di cui al presente regolamento o al regolamento (UE) 2018/1725.

Lo Stato membro responsabile del danno o eu-LISA sono rispettivamente esonerati in tutto o in parte da tale responsabilità se provano che l'evento dannoso non è loro imputabile.

Ogni Stato membro, Eurojust, Europol o EPPO sono rispettivamente responsabili per i danni causati a ECRIS-TCN in caso di inosservanza da parte loro degli obblighi derivanti dal presente regolamento, tranne nel caso e nei limiti in cui eu-LISA o un altro Stato membro che partecipa a ECRIS-TCN abbia omesso di adottare misure ragionevolmente idonee a evitare i danni o a minimizzarne gli effetti.

Le azioni proposte nei confronti di uno Stato membro per il risarcimento dei danni di cui ai paragrafi 1 e 2 sono disciplinate dal diritto dello Stato membro convenuto. Le azioni proposte nei confronti di eu-LISA, Eurojust, Europol ed EPPO per il risarcimento dei danni di cui ai paragrafi 1 e 2 sono disciplinate dai loro rispettivi strumenti giuridici costitutivi.

Articolo 21

Verifica interna

Gli Stati membri provvedono affinché ogni autorità centrale adotti le misure necessarie per conformarsi al presente regolamento e cooperi, se necessario, con le autorità di controllo.

Articolo 22

Sanzioni

L'uso improprio dei dati inseriti in ECRIS-TCN è oggetto di sanzioni o di misure disciplinari effettive, proporzionate e dissuasive, secondo il diritto nazionale o dell'Unione.

CAPITOLO V

Diritti e controllo sulla protezione dei dati

Articolo 23

Titolare del trattamento e responsabile del trattamento

Per quanto riguarda il trattamento dei dati personali effettuato dall'autorità centrale di uno Stato membro a norma del presente regolamento, titolare del trattamento ai sensi delle norme applicabili dell'Unione in materia di protezione dei dati è l'autorità centrale di tale Stato membro.

Per quanto riguarda l'inserimento dei dati personali nel ►M1 sistema centrale e CIR ◄ da parte degli Stati membri, eu-LISA è responsabile del trattamento ai sensi del regolamento (UE) 2018/1725.

Articolo 24

Finalità del trattamento dei dati personali

▼M2

I dati inseriti nel sistema centrale e nel CIR sono trattati solo per i fini seguenti:

individuare lo Stato membro o gli Stati membri in possesso di informazioni sui precedenti penali di cittadini di paesi terzi;

sostenere l’obiettivo del VIS di valutare se il richiedente un visto, un visto per soggiorno di lunga durata o un permesso di soggiorno costituisca una minaccia per l’ordine pubblico o la sicurezza interna, in conformità del regolamento (CE) n. 767/2008; o

sostenere l’obiettivo dell’ETIAS di contribuire a un elevato livello di sicurezza, in conformità del regolamento (UE) 2018/1240.

I dati inseriti nel CIR sono inoltre trattati in conformità del regolamento (UE) 2019/818 al fine di agevolare e contribuire alla corretta identificazione delle persone registrate nel sistema ECRIS-TCN in conformità del presente regolamento.

▼B

Ad eccezione del personale debitamente autorizzato di Eurojust, Europol ed EPPO, che ha accesso a ECRIS-TCN ai fini del presente regolamento, l'accesso a ECRIS-TCN è riservato esclusivamente al personale debitamente autorizzato delle autorità centrali. L'accesso è limitato a quanto necessario all'assolvimento dei compiti, conformemente al fine di cui al paragrafo 1, e a quanto necessario e proporzionato agli obiettivi perseguiti.

▼M1

Fatto salvo il paragrafo 2, l'accesso ai fini della consultazione dei dati conservati nel CIR è riservato altresì al personale debitamente autorizzato delle autorità nazionali di ciascuno Stato membro e al personale debitamente autorizzato delle agenzie dell'Unione che sono competenti per gli scopi di cui agli articoli 20 e 21 del regolamento (UE) 2019/818. Tale accesso è limitato conformemente alla misura in cui i dati siano necessari all'assolvimento dei propri compiti per tali scopi, ed è proporzionato agli obiettivi perseguiti.

▼B

Articolo 25

Diritto di accesso, rettifica, cancellazione e limitazione del trattamento

Le richieste dei cittadini di paesi terzi relative ai diritti di accesso ai dati personali, di rettifica o cancellazione nonché di limitazione del trattamento, sanciti dalle norme applicabili dell'Unione in materia di protezione dei dati, possono essere presentate all'autorità centrale di ogni Stato membro.

Qualora la richiesta sia presentata a uno Stato membro diverso da quello di condanna, lo Stato membro al quale è stata presentata la richiesta la trasmette allo Stato membro di condanna senza ingiustificato ritardo e comunque entro di dieci giorni lavorativi dal suo ricevimento. Non appena riceve la richiesta, lo Stato membro di condanna:

avvia immediatamente una procedura di verifica dell'esattezza dei dati interessati o della liceità del loro trattamento in ECRIS-TCN; e

risponde allo Stato membro che ha presentato la domanda senza ingiustificato ritardo.

Qualora emerga che i dati registrati in ECRIS-TCN sono inesatti o sono stati trattati illecitamente, lo Stato membro di condanna provvede a rettificarli o a cancellarli conformemente all'articolo 9. Lo Stato membro di condanna o, ove applicabile, lo Stato membro al quale è stata presentata la richiesta, conferma per iscritto e senza ingiustificato ritardo all'interessato di aver provveduto a rettificare o cancellare i dati che lo riguardano. Lo Stato membro di condanna comunica inoltre senza ingiustificato ritardo quali misure sono state adottate a qualsiasi altro Stato membro che abbia ricevuto informazioni relative alla condanna ottenute da una interrogazione di ECRIS-TCN.

Qualora non ritenga che i dati registrati in ECRIS-TCN siano di fatto inesatti o siano stati registrati illecitamente, lo Stato membro di condanna adotta una decisione amministrativa o giudiziaria con la quale illustra per iscritto all'interessato la ragione per cui non intende rettificare o cancellare i dati che lo riguardano. Tali casi possono, se del caso, essere comunicati all'autorità nazionale di controllo.

Lo Stato membro che ha adottato la decisione ai sensi del paragrafo 4 fornisce inoltre all'interessato informazioni in merito alla procedura da seguire qualora egli non ritenga accettabile la motivazione fornita ai sensi del paragrafo 4. Tali informazioni comprendono le informazioni sulle modalità per avviare un'azione o un reclamo presso le autorità competenti o le autorità giurisdizionali competenti di tale Stato membro e su qualunque tipo di assistenza, compresa quella delle autorità nazionali di controllo, disponibile in conformità del diritto nazionale di tale Stato membro.

Qualsiasi richiesta presentata a norma del paragrafo 1 contiene le informazioni necessarie per identificare l'interessato. Tali informazioni sono utilizzate unicamente per consentire l'esercizio dei diritti di cui al paragrafo 1 e sono cancellate subito dopo.

Se si applica il paragrafo 2, l'autorità centrale a cui è stata presentata la richiesta conserva una registrazione scritta della presentazione di tale richiesta e di come e a quale autorità è stata trasmessa. Su richiesta dell'autorità di controllo nazionale, l'autorità centrale mette senza ritardo tale registrazione a disposizione di tale autorità nazionale di controllo. L'autorità centrale e l'autorità nazionale di controllo cancellano tali registrazioni tre anni dopo la loro creazione.

Articolo 26

Cooperazione volta a garantire il rispetto dei diritti relativi alla protezione dei dati

Le autorità centrali cooperano per garantire il rispetto dei diritti sanciti dall'articolo 25.

In ciascuno Stato membro l'autorità nazionale di controllo fornisce, su richiesta, informazioni agli interessati sull'esercizio del diritto di rettifica o cancellazione dei dati che li riguardano, ai sensi delle norme applicabili dell'Unione in materia di protezione dei dati.

Ai fini del presente articolo, l'autorità nazionale di controllo dello Stato membro che ha trasmesso i dati e l'autorità di controllo nazionali dello Stato membro alle quali è stata presentata la richiesta cooperano per raggiungere tali obiettivi.

Articolo 27

Mezzi di ricorso

Chiunque ha il diritto di presentare un reclamo e il diritto a un ricorso giuridico nello Stato membro di condanna che abbia negato il diritto di cui all'articolo 25, di ottenere l'accesso ovvero la rettifica o la cancellazione dei dati che lo riguardano, in conformità del diritto nazionale o dell'Unione.

Articolo 28

Vigilanza da parte delle autorità nazionali di controllo

Ciascuno Stato membro assicura che le autorità nazionali di controllo designate in conformità delle norme applicabili dell'Unione in materia di protezione dei dati verifichino la liceità del trattamento dei dati personali di cui agli articoli 5 e 6 effettuato dallo Stato membro in questione, nonché il loro trasferimento al e da ECRIS-TCN.

L'autorità nazionale di controllo provvede affinché, almeno ogni tre anni dalla data dell'entrata in funzione di ECRIS-TCN, sia svolto un audit dei trattamenti di dati nelle banche dati nazionali di casellari giudiziali e di impronte digitali relativamente allo scambio di dati tra tali sistemi e ECRIS-TCN, conformemente ai pertinenti principi internazionali di audit.

Gli Stati membri provvedono affinché le loro autorità nazionali di controllo dispongano delle risorse sufficienti per assolvere i compiti a esse affidati dal presente regolamento.

Ciascuno Stato membro comunica qualsiasi informazione richiesta dalle autorità nazionali di controllo e, in particolare, fornisce loro informazioni sulle attività svolte conformemente agli articoli 12, 13 e 19. Ciascuno Stato membro consente alle proprie autorità nazionali di controllo di consultare le registrazioni conformemente all'articoli 25, paragrafo 7, e l'accesso ai propri registri conformemente all'articolo 31, paragrafo 6, e consente loro l'accesso in qualsiasi momento a tutti i suoi locali utilizzati per ECRIS-TCN.

Articolo 29

Vigilanza da parte del garante europeo della protezione dei dati

Il garante europeo della protezione dei dati verifica che le attività di trattamento dei dati personali da parte di eu-LISA concernenti ECRIS-TCN siano effettuate in conformità del presente regolamento.

Il garante europeo della protezione dei dati provvede affinché, almeno ogni tre anni, sia svolto un audit delle attività di trattamento dei dati personali effettuate da eu-LISA, conformemente ai pertinenti principi internazionali di audit. Una relazione su tale audit è trasmessa al Parlamento europeo, al Consiglio, alla Commissione, a eu-LISA e alle autorità di controllo. A eu-LISA è data la possibilità di presentare osservazioni prima dell'adozione della relazione.

eu-LISA fornisce al garante europeo della protezione dei dati le informazioni da questo richieste, gli permette di consultare tutti i documenti e i registri di cui all'articolo 31 e di avere accesso, in qualsiasi momento, a tutti i suoi locali.

Articolo 30

Cooperazione tra le autorità nazionali di controllo e il garante europeo della protezione dei dati

È assicurato il controllo coordinato di ECRIS-TCN a norma dell'articolo 62 del regolamento (UE) 2018/1725.

Articolo 31

Registri

eu-LISA e le autorità competenti provvedono, nei limiti delle responsabilità rispettive, affinché tutti i trattamenti di dati in ECRIS-TCN siano registrati conformemente al paragrafo 2 al fine di verificare l'ammissibilità delle richieste e monitorare l'integrità e la sicurezza dei dati e la liceità del trattamento dei dati, nonché a fini di verifica interna.

Il registro indica:

lo scopo della richiesta di accesso ai dati di ECRIS-TCN;

i dati trasmessi di cui all'articolo 5;

il riferimento dell'archivio nazionale;

la data e l'ora esatta del trattamento;

i dati usati per l'interrogazione;

l'identificazione del funzionario che ha effettuato la consultazione.

Il registro delle consultazioni e delle comunicazioni consente di stabilire la motivazione di tali operazioni.

I registri sono usati solo ai fini della verifica della liceità del trattamento dei dati e per garantire l'integrità e la sicurezza dei dati. Soltanto i registri che non contengono dati personali possono essere usati ai fini della verifica e della valutazione di cui all'articolo 36. Tali registri sono protetti dall'accesso non autorizzato con misure adeguate e sono cancellati dopo tre anni, sempreché non siano stati richiesti per procedure di verifica già avviate.

Su richiesta, eu-LISA mette a disposizione delle autorità centrali, senza ingiustificato ritardo, i registri dei propri trattamenti.

Le autorità nazionali di controllo competenti a verificare l'ammissibilità della richiesta e la liceità del trattamento dei dati, l'integrità e la sicurezza dei dati, hanno accesso ai registri, su loro richiesta per l'adempimento delle loro funzioni. Su richiesta, le autorità centrali mettono a disposizione delle autorità nazionali di controllo competenti, senza ingiustificato ritardo, i registri dei propri trattamenti.

▼M2

Articolo 31 ter

Tenuta dei registri ai fini dell’interoperabilità con l’ETIAS

Per le consultazioni di cui all’articolo 7 ter del presente regolamento è conservata una registrazione di tutti i trattamenti di dati ECRIS-TCN eseguiti nel CIR e nell’ETIAS, in conformità dell’articolo 69 del regolamento (UE) 2018/1240.

▼B

CAPITOLO VI

Disposizioni finali

Articolo 32

Uso dei dati per l'elaborazione di relazioni e statistiche

Il personale debitamente autorizzato di eu-LISA, delle autorità competenti e della Commissione è abilitato a consultare i dati trattati in ECRIS-TCN unicamente per elaborare relazioni e statistiche e senza che sia possibile l'identificazione individuale.

▼M1

Ai fini del paragrafo 1, eu-LISA conserva i dati di cui a tale paragrafo nell'archivio centrale per le relazioni e le statistiche di cui all'articolo 39 del regolamento (UE) 2019/818.

▼B

Le procedure poste in essere da eu-LISA per monitorare il funzionamento di ECRIS-TCN di cui all'articolo 36 e l'attuazione di riferimento ECRIS comprendono la possibilità di produrre statistiche periodiche a fini di monitoraggio.

▼M2

Ogni mese eu-LISA trasmette alla Commissione statistiche relative alla registrazione, alla conservazione e allo scambio delle informazioni estratte dai casellari giudiziali tramite ECRIS-TCN e l’implementazione di riferimento ECRIS, comprese le statistiche relative ai record di dati contenenti un indicatore di cui all’articolo 5, paragrafo 1, lettera c). eu-LISA garantisce che non sia possibile identificare persone fisiche sulla base di tali statistiche. Su richiesta della Commissione, eu-LISA le fornisce statistiche su aspetti specifici connessi all’attuazione del presente regolamento.

▼B

Gli Stati membri forniscono a eu-LISA le statistiche necessarie per adempiere agli obblighi di cui al presente articolo. Essi forniscono alla Commissione statistiche relative al numero di cittadini di paesi terzi condannati e al numero di condanne di cittadini di paesi terzi sul loro territorio.

Articolo 33

Spese

Le spese sostenute per l'istituzione e il funzionamento del ►M1 sistema centrale, CIR e ◄ , dell'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d), del software di interfaccia e dell'attuazione di riferimento ECRIS sono a carico del bilancio generale dell'Unione.

Le spese di connessione di Eurojust, Europol ed EPPO a ECRIS-TCN sono a carico del loro rispettivo bilancio.

Altre spese sono a carico degli Stati membri, in particolare quelle sostenute per la connessione dei registri nazionali di casellari giudiziali, delle banche dati di impronte digitali e delle autorità centrali a ECRIS-TCN, e le spese di hosting dell'attuazione di riferimento ECRIS.

Articolo 34

Comunicazioni

Ciascuno Stato membro comunica a eu-LISA l'autorità centrale o le autorità centrali che dispongono dell'accesso per inserire, rettificare, cancellare, consultare e interrogare i dati e la informa di ogni eventuale cambiamento al riguardo.

eu-LISA provvede alla pubblicazione nella Gazzetta ufficiale dell'Unione europea e sul suo sito web dell'elenco delle autorità centrali comunicate dagli Stati membri. Non appena riceve la comunicazione di un cambiamento dell'autorità centrale di uno Stato membro, eu-LISA aggiorna l'elenco senza ingiustificato ritardo.

Articolo 35

Inserimento dei dati ed entrata in funzione

La Commissione determina la data a partire dalla quale gli Stati membri iniziano a inserire in ECRIS-TCN i dati di cui all'articolo 5 una volta che ha accertato che:

siano stati adottati gli atti di esecuzione pertinenti di cui all'articolo 10;

gli Stati membri abbiano convalidato le necessarie disposizioni tecniche e giuridiche per raccogliere e trasmettere a ECRIS-TCN i dati di cui all'articolo 5 e le abbiano comunicate alla Commissione;

eu-LISA abbia effettuato un collaudo generale di ECRIS-TCN, in cooperazione con gli Stati membri, utilizzando dati di prova anonimi.

Quando la Commissione ha determinato la data di inizio dell'inserimento dei dati conformemente al paragrafo 1, la comunica agli Stati membri. Entro un periodo di due mesi a decorrere da tale data gli Stati membri inseriscono in ECRIS-TCN i dati di cui all'articolo 5, tenendo conto dell'articolo 41, paragrafo 2.

Alla fine del periodo di cui al paragrafo 2, eu-LISA esegue un collaudo finale di ECRIS-TCN, in cooperazione con gli Stati membri.

Quando il collaudo di cui al paragrafo 3 è stato completato con successo ed eu-LISA ritiene che ECRIS-TCN sia pronto a entrare in funzione, essa lo comunica alla Commissione. La Commissione informa il Parlamento europeo e il Consiglio dell'esito del collaudo e decide la data a partire dalla quale ECRIS-TCN entra in funzione.

La decisione della Commissione sulla data di entrata in funzione di ECRIS-TCN, di cui al paragrafo 4, è pubblicata nella Gazzetta ufficiale dell'Unione europea.

Gli Stati membri iniziano a utilizzare ECRIS-TCN a decorrere dalla data stabilita dalla Commissione ai sensi del paragrafo 4.

Nell'adottare le decisioni di cui al presente articolo, la Commissione può fissare date diverse per l'inserimento in ECRIS-TCN dei dati alfanumerici e dei dati relativi alle impronte digitali di cui all'articolo 5, nonché per l'entrata in funzione relativamente a tali diverse categorie di dati.

Articolo 36

Monitoraggio e valutazione

eu-LISA provvede affinché siano istituite procedure per monitorare lo sviluppo di ECRIS-TCN rispetto agli obiettivi relativi alla programmazione e ai costi, nonché a monitorare il funzionamento di ECRIS-TCN e dell'attuazione di riferimento ECRIS rispetto agli obiettivi concernenti i risultati tecnici, il rapporto costi/benefici, la sicurezza e la qualità del servizio.

Ai fini del monitoraggio del funzionamento di ECRIS-TCN e della sua manutenzione tecnica, eu-LISA ha accesso alle informazioni necessarie riguardanti i trattamenti dei dati effettuati in ECRIS-TCN e nell'attuazione di riferimento ECRIS.

Entro il 10 dicembre 2019 e successivamente ogni sei mesi durante la fase di progettazione e sviluppo, eu-LISA presenta al Parlamento europeo e al Consiglio una relazione sullo sviluppo di ECRIS-TCN e dell'attuazione di riferimento ECRIS.

La relazione di cui al paragrafo 3 include una panoramica dei costi attuali e dell'evoluzione del progetto, una valutazione dell'impatto finanziario, nonché informazioni su eventuali problemi tecnici e rischi suscettibili di ripercuotersi sui costi complessivi di ECRIS-TCN a carico del bilancio generale dell'Unione in conformità dell'articolo 33.

In caso di importante ritardo nel processo di sviluppo, eu-LISA informa il Parlamento europeo e il Consiglio quanto prima dei motivi di tale ritardo, nonché del relativo impatto finanziario e sul calendario.

Una volta che lo sviluppo di ECRIS-TCN e dell'attuazione di riferimento ECRIS è completato, eu-LISA presenta una relazione al Parlamento europeo e al Consiglio che illustra in che modo gli obiettivi sono stati conseguiti, in particolare per quanto riguarda la programmazione e i costi, giustificando eventuali scostamenti.

Nel caso di un aggiornamento tecnico di ECRIS-TCN, che potrebbe comportare costi elevati, eu-LISA informa il Parlamento europeo e il Consiglio.

Due anni dopo l'entrata in funzione di ECRIS-TCN e successivamente ogni anno, eu-LISA presenta alla Commissione una relazione sul funzionamento tecnico di ECRIS-TCN e dell'attuazione di riferimento ECRIS, compresa la loro sicurezza, basata in particolare sulle statistiche relative al funzionamento e all'uso di ECRIS-TCN e allo scambio, tramite l'attuazione di riferimento ECRIS, delle informazioni estratte dai casellari giudiziali.

Quattro anni dopo l'entrata in funzione di ECRIS-TCN e successivamente ogni quattro anni, la Commissione effettua una valutazione globale di ECRIS-TCN e dell'attuazione di riferimento ECRIS. La relazione di valutazione globale elaborata su questa base comprende una valutazione dell'applicazione del presente regolamento e un'analisi concernente i risultati conseguiti in relazione agli obiettivi fissati e l'incidenza sui diritti fondamentali. Sono incluse inoltre una valutazione della perdurante validità dei principi di base del funzionamento di ECRIS-TCN, una valutazione dell'adeguatezza dell'uso dei dati biometrici ai fini del funzionamento di ECRIS-TCN, della sicurezza di ECRIS-TCN e delle eventuali implicazioni in termini di sicurezza per le future attività. La valutazione comprende le necessarie raccomandazioni. La Commissione trasmette la relazione al Parlamento europeo, al Consiglio, al garante europeo della protezione dei dati e all'Agenzia dell'Unione europea per i diritti fondamentali.

10.

Inoltre, la prima valutazione globale di cui al paragrafo 9 include una valutazione dei seguenti aspetti:

la misura in cui, sulla base dei pertinenti dati statistici e delle ulteriori informazioni fornite dagli Stati membri, l'inclusione in ECRIS-TCN di informazioni sull'identità di cittadini dell'Unione che possiedono anche la cittadinanza di un paese terzo ha contribuito al conseguimento degli obiettivi del presente regolamento;

la possibilità, per alcuni Stati membri, di continuare a usare il software nazionale di attuazione ECRIS, ai sensi dell'articolo 4;

l'inserimento dei dati relativi alle impronte digitali in ECRIS-TCN, in particolare l'applicazione dei criteri minimi di cui all'articolo 5, paragrafo 1, lettera b), punto ii);

l'incidenza di ECRIS e di ECRIS-TCN sulla protezione dei dati di carattere personale.

La valutazione può, se necessario, essere corredata di proposte legislative. Le valutazioni globali successive possono includere una valutazione di uno o di tutti questi aspetti.

11.

Gli Stati membri, Eurojust, Europol ed EPPO comunicano a eu-LISA e alla Commissione le informazioni necessarie per redigere le relazioni di cui ai paragrafi 3, 8 e 9 conformemente agli indicatori quantitativi predefiniti dalla Commissione o da eu-LISA, o da entrambe. Tali informazioni non mettono a repentaglio i metodi di lavoro, né comprendono indicazioni sulle fonti, sui membri del personale o sulle indagini.

12.

Ove opportuno, le autorità di controllo comunicano a eu-LISA e alla Commissione le informazioni necessarie per redigere le relazioni di cui al paragrafo 9 conformemente agli indicatori quantitativi predefiniti dalla Commissione o da eu-LISA, o da entrambe. Tali informazioni non mettono a repentaglio i metodi di lavoro, né comprendono indicazioni sulle fonti, sui membri del personale o sulle indagini.

13.

eu-LISA comunica alla Commissione le informazioni necessarie per elaborare le valutazioni globali di cui al paragrafo 9.

Articolo 37

Esercizio della delega

Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

Il potere di adottare atti delegati di cui all'articolo 6, paragrafo 2, è conferito alla Commissione per un periodo indeterminato a decorrere dal 9 giugno 2019.

La delega di potere di cui all'articolo 6, paragrafo 2, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

Prima dell'adozione dell'atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016.

Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

L'atto delegato adottato ai sensi dell'articolo 6, paragrafo 2, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.

Articolo 38

Procedura di comitato

La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.

Qualora il comitato non esprima alcun parere, la Commissione non adotta il progetto di atto di esecuzione e si applica l'articolo 5, paragrafo 4, terzo comma, del regolamento (UE) n. 182/2011.

Articolo 39

Gruppo consultivo

eu-LISA istituisce un gruppo consultivo allo scopo di ottenere consulenza tecnica relativa a ECRIS-TCN e all'attuazione di riferimento ECRIS, in particolare nell'ambito della preparazione del programma di lavoro annuale e della relazione annuale di attività. In fase di progettazione e di sviluppo si applica l'articolo 11, paragrafo 9.

Articolo 40

Modifiche del regolamento (UE) 2018/1726

Il regolamento (UE) 2018/1726 è cosi modificato:

all'articolo 1, il paragrafo 4 è sostituito dal seguente:

«4.

L'Agenzia è responsabile della preparazione, dello sviluppo o della gestione operativa del sistema di ingressi/uscite (EES), di DubliNet, del sistema europeo di informazione e autorizzazione ai viaggi (ETIAS), di ECRIS-TCN e dell'attuazione di riferimento ECRIS.»;

è inserito l'articolo seguente:

«Articolo 8 bis

Compiti relativi a ECRIS-TCN e all'attuazione di riferimento ECRIS

Con riguardo a ECRIS-TCN e all'attuazione di riferimento ECRIS, l'Agenzia svolge:

i compiti attribuiti all'Agenzia conformemente al regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio ( *1 );

i compiti relativi alla formazione sull'uso tecnico di ECRIS-TCN e dell'attuazione di riferimento ECRIS.

all'articolo 14, il paragrafo 1 è sostituito dal seguente:

«1.

L'Agenzia segue gli sviluppi della ricerca per la gestione operativa del SIS II, del VIS, di Eurodac, dell'EES, dell'ETIAS, di DubliNet, di ECRIS-TCN e di altri sistemi IT su larga scala di cui all'articolo 1, paragrafo 5.»;

all'articolo 19, il paragrafo 1 è così modificato:

la lettera ee) è sostituita dalla seguente:

«ee) adotta le relazioni sullo sviluppo dell'EES conformemente all'articolo 72, paragrafo 2, del regolamento (UE) 2017/2226, le relazioni sullo sviluppo dell'ETIAS conformemente all'articolo 92, paragrafo 2, del regolamento (UE) 2018/1240 e le relazioni sullo sviluppo di ECRIS-TCN e dell'attuazione di riferimento ECRIS conformemente all'articolo 36, paragrafo 3, del regolamento (UE) 2019/816;»;

la lettera ff) è sostituita dalla seguente:

«ff) adotta le relazioni sul funzionamento tecnico del SIS II in conformità, rispettivamente, dell'articolo 50, paragrafo 4, del regolamento (CE) n. 1987/2006 e dell'articolo 66, paragrafo 4, della decisione 2007/533/GAI, del VIS in conformità dell'articolo 50, paragrafo 3, del regolamento (CE) n. 767/2008 e dell'articolo 17, paragrafo 3, della decisione 2008/633/GAI, dell'EES in conformità dell'articolo 72, paragrafo 4, del regolamento (UE) 2017/2226, dell'ETIAS in conformità dell'articolo 92, paragrafo 4, del regolamento (UE) 2018/1240, e di ECRIS-TCN e dell'attuazione di riferimento ECRIS in conformità dell'articolo 36, paragrafo 8, del regolamento (UE) 2019/816;»;

la lettera hh) è sostituita dalla seguente:

«hh) adotta osservazioni formali sulle relazioni del Garante europeo della protezione dei dati relative ai controlli svolti conformemente all'articolo 45, paragrafo 2, del regolamento (CE) n. 1987/2006, all'articolo 42, paragrafo 2, del regolamento (CE) n. 767/2008 e all'articolo 31, paragrafo 2, del regolamento (UE) n. 603/2013, all'articolo 56, paragrafo 2, del regolamento (UE) 2017/2226 e all'articolo 67 del regolamento (UE) 2018/1240 e all'articolo 29, paragrafo 2, del regolamento (UE) 2019/816, e assicura adeguato seguito a tali controlli e audit;»;

è inserita la lettera seguente:

«ll bis) trasmette alla Commissione statistiche su ECRIS-TCN e sull'attuazione di riferimento ECRIS conformemente all'articolo 32, paragrafo 4, secondo comma, del regolamento (UE) 2019/816;»;

la lettera mm) è sostituita dalla seguente:

«mm) provvede alla pubblicazione annuale dell'elenco delle autorità competenti autorizzate a consultare direttamente i dati inseriti nel SIS II in conformità dell'articolo 31, paragrafo 8, del regolamento (CE) n. 1987/2006 e dell'articolo 46, paragrafo 8, della decisione 2007/533/GAI, e dell'elenco degli uffici dei sistemi nazionali del SIS II (uffici N.SIS II) e degli uffici SIRENE in conformità, rispettivamente, dell'articolo 7, paragrafo 3, del regolamento (CE) n. 1987/2006 e dell'articolo 7, paragrafo 3, della decisione 2007/533/GAI, nonché dell'elenco delle autorità competenti di cui all'articolo 65, paragrafo 2, del regolamento (UE) 2017/2226 e dell'elenco delle autorità competenti di cui all'articolo 87, paragrafo 2, del regolamento (UE) 2018/1240 e dell'elenco delle autorità centrali di cui all'articolo 34, paragrafo 2, del regolamento (UE) 2019/816;»;

all'articolo 22, paragrafo 4 è inserito il seguente comma dopo il terzo comma:

«Europol, Eurojust ed EPPO possono assistere alle riunioni del consiglio di amministrazione in qualità di osservatori quando sono all'ordine del giorno questioni concernenti ECRIS-TCN in relazione all'applicazione del regolamento (UE) 2019/816.»;

all'articolo 24, paragrafo 3, la lettera p) è sostituita dalla seguente:

«p) stabilire, fatto salvo l'articolo 17 dello statuto, le clausole di riservatezza per conformarsi all'articolo 17 del regolamento (CE) n. 1987/2006, all'articolo 17 della decisione 2007/533/GAI, all'articolo 26, paragrafo 9, del regolamento (CE) n. 767/2008, all'articolo 4, paragrafo 4, del regolamento (UE) n. 603/2013, all'articolo 37, paragrafo 4, del regolamento (UE) 2017/2226, all'articolo 74, paragrafo 2, del regolamento (UE) 2018/1240 e all'articolo 11, paragrafo 16, del regolamento (UE) 2019/816;»;

all'articolo 27, paragrafo 1, è inserito il seguente punto:

«d bis) gruppo consultivo di ECRIS-TCN;».

Articolo 41

Attuazione e disposizioni transitorie

Gli Stati membri adottano quanto prima le misure necessarie per conformarsi al presente regolamento in modo da garantire il corretto funzionamento di ECRIS-TCN.

▼M1

Per le condanne pronunciate prima della data dell'avvio dell'inserimento dei dati ai sensi dell'articolo 35, paragrafo 1, le autorità centrali creano la registrazione di dati individuale nel sistema centrale e nel CIR come segue:

i dati alfanumerici che devono essere inseriti nel sistema centrale e nel CIR entro la fine del periodo di cui all'articolo 35, paragrafo 2;

i dati relativi alle impronte digitali che devono essere inseriti nel CIR entro due anni dall'entrata in funzione ai sensi dell'articolo 35, paragrafo 4.

▼B

Articolo 42

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile negli Stati membri conformemente ai trattati.

ALLEGATO

FORMULARIO STANDARD PER LA RICHIESTA DI INFORMAZIONI AI SENSI DELL'ARTICOLO 17, PARAGRAFO 1, DEL REGOLAMENTO (UE) 2019/816 PER OTTENERE INFORMAZIONI SU QUALE STATO MEMBRO, SE ESISTE, È IN POSSESSO DI INFORMAZIONI SUL CASELLARIO GIUDIZIALE DI UN CITTADINO DI UN PAESE TERZO