This document is an excerpt from the EUR-Lex website
Document 52022PC0208
Proposal for a COUNCIL DECISION on the conclusion of the Agreement between the European Union, of the one part, and New Zealand, of the other part, on the exchange of personal data between the European Union Agency for Law Enforcement Cooperation (Europol) and the authorities of New Zealand competent for fighting serious crime and terrorism
Proposta di DECISIONE DEL CONSIGLIO relativa alla conclusione dell'accordo tra l'Unione europea, da una parte, e la Nuova Zelanda, dall'altra, sullo scambio di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità neozelandesi competenti per la lotta contro le forme gravi di criminalità e il terrorismo
Proposta di DECISIONE DEL CONSIGLIO relativa alla conclusione dell'accordo tra l'Unione europea, da una parte, e la Nuova Zelanda, dall'altra, sullo scambio di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità neozelandesi competenti per la lotta contro le forme gravi di criminalità e il terrorismo
COM/2022/208 final
COMMISSIONE EUROPEA
Bruxelles, 13.5.2022
COM(2022) 208 final
2022/0157(NLE)
Proposta di
DECISIONE DEL CONSIGLIO
relativa alla conclusione dell'accordo tra l'Unione europea, da una parte, e la Nuova Zelanda, dall'altra, sullo scambio di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità neozelandesi competenti per la lotta contro le forme gravi di criminalità e il terrorismo
RELAZIONE
La presente proposta riguarda la conclusione, nell'interesse dell'Unione europea, dell'accordo con la Nuova Zelanda sullo scambio di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità neozelandesi competenti per la lotta contro le forme gravi di criminalità e il terrorismo.
L'obiettivo dell'accordo è consentire il trasferimento di dati personali tra Europol e le autorità competenti neozelandesi, al fine di sostenere e rafforzare l'azione delle autorità degli Stati membri dell'Unione europea e della Nuova Zelanda, nonché la loro cooperazione reciproca, in materia di prevenzione e lotta contro i reati, tra cui le forme gravi di criminalità e il terrorismo, assicurando nel contempo garanzie adeguate per quanto riguarda i diritti umani e le libertà fondamentali delle persone, comprese la vita privata e la protezione dei dati. Al fine di prevenire e combattere il terrorismo, smantellare la criminalità organizzata e combattere la criminalità informatica dovrebbe essere data priorità allo scambio transfrontaliero di informazioni tra tutte le autorità di contrasto competenti, all'interno dell'Unione europea e con i partner globali. In tal senso, la cooperazione con la Nuova Zelanda nel settore dell'attività di contrasto è fondamentale per aiutare l'Unione europea a tutelare ulteriormente i propri interessi in materia di sicurezza.
1.CONTESTO DELLA PROPOSTA
•Motivi e obiettivi della proposta
In un mondo globalizzato in cui la criminalità grave e il terrorismo sono sempre più transnazionali e polivalenti, le autorità di contrasto dovrebbero essere pienamente attrezzate per cooperare con i partner esterni al fine di garantire la sicurezza dei loro cittadini. Europol dovrebbe quindi essere in grado di scambiare dati personali con autorità di contrasto di paesi terzi nella misura necessaria allo svolgimento dei suoi compiti, nel rispetto delle disposizioni di cui al regolamento 2016/794 dell'11 maggio 2016 1 .
Europol può scambiare dati personali con paesi terzi o organizzazioni internazionali sulla base di:
·accordi di cooperazione conclusi tra Europol e i paesi partner prima dell'entrata in applicazione dell'attuale regolamento Europol il 1º maggio 2017;
a decorrere dal 1º maggio 2017:
·una decisione della Commissione che constata che il paese o l'organizzazione internazionale in questione garantisce un livello adeguato di protezione dei dati ("decisione di adeguatezza");
·in mancanza di una decisione di adeguatezza, un accordo internazionale che presti garanzie sufficienti con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone. Ai sensi dell'attuale base giuridica spetta alla Commissione negoziare tali accordi internazionali a nome dell'Unione.
Nella misura in cui ciò sia necessario allo svolgimento dei suoi compiti, Europol può inoltre instaurare e mantenere relazioni di cooperazione con partner esterni tramite accordi di lavoro e intese amministrative, che non possono di per sé costituire una base giuridica per lo scambio di dati personali.
Nell'11ª relazione sui progressi compiuti verso la creazione di un'autentica ed efficace Unione della sicurezza 2 , la Commissione ha individuato otto paesi prioritari 3 nella regione Medio Oriente/Africa del Nord (MENA) sulla base della minaccia terroristica, dei problemi collegati alla migrazione e delle necessità operative di Europol di avviare negoziati. Tenendo conto della strategia politica delineata nell'agenda europea sulla sicurezza 4 , nelle conclusioni del Consiglio 5 e nella strategia globale 6 , delle esigenze operative delle autorità di contrasto in tutta l'Unione europea e dei potenziali vantaggi di una stretta cooperazione in questo settore tra Europol e le autorità competenti neozelandesi, come dimostrato anche dagli eventi successivi agli attentati di Christchurch del marzo 2019, la Commissione ritiene necessario che Europol possa scambiare dati personali con le autorità neozelandesi competenti per la lotta contro le forme gravi di criminalità e il terrorismo.
Europol e la polizia neozelandese hanno firmato un accordo di lavoro nell'aprile 2019 7 , che fornisce un quadro per una cooperazione strutturata, compresa una linea protetta che consente comunicazioni dirette tra le due parti e l'invio da parte della Nuova Zelanda di un ufficiale di collegamento presso Europol. L'accordo di lavoro non costituisce tuttavia una base giuridica per lo scambio di dati personali. Alla luce di quanto precede, il 30 ottobre 2019 la Commissione ha presentato una raccomandazione in cui propone che il Consiglio autorizzi l'avvio di negoziati per un accordo tra l'Unione europea e la Nuova Zelanda sullo scambio di dati personali tra Europol e le autorità neozelandesi competenti per la lotta contro le forme gravi di criminalità e il terrorismo 8 . Il 13 maggio 2020 il Consiglio ha autorizzato la Commissione ad avviare negoziati con la Nuova Zelanda e ha adottato direttive di negoziato 9 10 .
I negoziati sono iniziati nell'aprile 2021 in un'atmosfera amichevole e costruttiva. Dopo il quarto e ultimo ciclo di negoziati, tenutosi nel settembre 2021, entrambe le parti si sono accordate per quanto riguarda le disposizioni dell'accordo. I capi negoziatori hanno siglato il progetto di testo dell'accordo nel novembre 2021.
•Coerenza con le disposizioni vigenti nel settore normativo interessato
L'accordo è stato negoziato in linea con le direttive di negoziato globali adottate dal Consiglio il 13 maggio 2020. L'accordo è inoltre coerente con la politica dell'Unione vigente nel settore della cooperazione nell'attività di contrasto. Negli ultimi anni sono stati compiuti progressi per migliorare la cooperazione nell'ambito dello scambio di informazioni tra gli Stati membri e per restringere lo spazio in cui operano i terroristi e gli autori di reati gravi. Gli attuali documenti strategici della Commissione sostengono la necessità di migliorare l'efficienza e l'efficacia della cooperazione nell'attività di contrasto nell'UE, nonché di ampliare la cooperazione con i paesi terzi. Ciò include, tra l'altro, la strategia per l'Unione della sicurezza 11 , il programma di lotta al terrorismo dell'UE 12 e la strategia dell'UE per la lotta alla criminalità organizzata 13 .
Una particolare serie di garanzie, in particolare quelle di cui al capo II dell'accordo, riguarda la protezione dei dati personali, che è un diritto fondamentale sancito dai trattati dell'UE e dalla Carta dei diritti fondamentali dell'Unione europea. Conformemente all'articolo 25, paragrafo 1, lettera b), del regolamento Europol, Europol può trasferire i dati personali a un'autorità di un paese terzo o a un'organizzazione internazionale sulla base di un accordo internazionale concluso tra l'Unione e tale paese terzo o organizzazione internazionale ai sensi dell'articolo 218 TFUE, che presti garanzie sufficienti con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone. Il capo II dell'accordo prevede tali garanzie, tra cui, in particolare, disposizioni che assicurano una serie di principi e obblighi in materia di protezione dei dati che devono essere rispettati dalle parti (articoli 3, 4, 5, 7, 8, 11, 12, 13, 14 e 15), nonché disposizioni che garantiscono diritti individuali azionabili (articoli 6, 10 e 11), un controllo indipendente (articolo 16) e un ricorso effettivo in sede amministrativa e giudiziaria in caso di violazione dei diritti e delle garanzie riconosciuti nell'accordo derivante dal trattamento di dati personali (articolo 17).
È necessario trovare un equilibrio tra il rafforzamento della sicurezza e la salvaguardia dei diritti umani, compresi i dati e la vita privata. La Commissione ha provveduto affinché l'accordo prestasse garanzie sufficienti con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché una base giuridica per lo scambio di dati personali ai fini della lotta contro le forme gravi di criminalità e il terrorismo.
Inoltre, l'Unione europea e la Nuova Zelanda sono partner stretti. L'accordo di partenariato sulle relazioni e la cooperazione tra l'Unione europea e la Nuova Zelanda, firmato il 5 ottobre 2016, riflette un partenariato rafforzato tra le parti, che approfondisce e rafforza la cooperazione su questioni di interesse reciproco, rispecchiando valori condivisi e principi comuni. L'accordo non riguarda solo disposizioni per facilitare gli scambi, ma contiene anche una serie di disposizioni con cui le parti si impegnano a cooperare in settori quali l'attività di contrasto, la prevenzione e la lotta contro la criminalità organizzata e la corruzione, la droga, la criminalità informatica, il riciclaggio di denaro, il terrorismo e il finanziamento del terrorismo, la migrazione e l'asilo. L'Unione europea e la Nuova Zelanda sono inoltre parti del Forum globale antiterrorismo (GCTF), un forum internazionale comprendente 29 paesi e l'Unione europea e avente come missione di ridurre a livello mondiale la vulnerabilità delle persone al terrorismo mediante la prevenzione, la lotta e l'azione penale nei confronti degli atti di terrorismo e di lottare contro l'istigazione e il reclutamento nelle file del terrorismo. Inoltre, l'Unione europea e la Nuova Zelanda cooperano strettamente su questioni di politica estera e sicurezza e intrattengono un regolare dialogo politico e in materia di sicurezza, che prevede frequenti consultazioni a livello ministeriale e di alti funzionari. La Nuova Zelanda ha inoltre partecipato ad alcune operazioni dell'UE di gestione delle crisi, ad esempio all'operazione Atalanta (pirateria nel Corno d'Africa) nel 2014.
2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ
•Base giuridica
La presente proposta si basa sull'articolo 16, paragrafo 2, e sull'articolo 88, in combinato disposto con l'articolo 218, paragrafo 6, lettera a), e l'articolo 218, paragrafo 7, del trattato sul funzionamento dell'Unione europea (TFUE).
Il regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI 14 (di seguito "regolamento Europol) stabilisce norme specifiche per il trasferimento, da parte di Europol, di dati personali verso paesi terzi. L'articolo 25, paragrafo 1, elenca una serie di motivi giuridici che permettono a Europol di trasferire lecitamente dati personali ad autorità di paesi terzi. Una possibilità è una decisione di adeguatezza della Commissione ai sensi dell'articolo 36 della direttiva (UE) 2016/680, che sancisca che il paese terzo verso il quale Europol trasferisce i dati personali garantisce un livello di protezione adeguato. Poiché non è attualmente in vigore né una decisione di adeguatezza né un accordo di cooperazione operativa, l'altra alternativa per i trasferimenti strutturali di dati personali da parte di Europol alla Nuova Zelanda è la conclusione di un accordo internazionale vincolante tra l'UE e la Nuova Zelanda, che presti garanzie sufficienti con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone.
L'accordo rientra pertanto nella competenza esterna esclusiva dell'Unione. La conclusione dell'accordo può pertanto avvenire sulla base dell'articolo 218, paragrafo 6, lettera a), TFUE.
•Sussidiarietà (per la competenza non esclusiva)
Non pertinente.
•Proporzionalità
Gli obiettivi dell'Unione in relazione alla presente proposta, quali precedentemente delineati, possono essere conseguiti solo mediante la stipulazione di un accordo internazionale vincolante che preveda le necessarie misure di cooperazione e garantisca nel contempo un'adeguata tutela dei diritti fondamentali. Le disposizioni dell'accordo si limitano a quanto necessario per conseguire i suoi obiettivi principali. L'azione unilaterale non costituisce un'alternativa in quanto non fornirebbe una base sufficiente per la cooperazione di polizia con i paesi terzi e non potrebbe garantire la necessaria tutela dei diritti fondamentali.
•Scelta dell'atto giuridico
Non pertinente.
3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO
•Valutazioni ex post / Vaglio di adeguatezza della legislazione vigente
Non pertinente.
•Consultazioni dei portatori di interessi
Non pertinente.
•Assunzione e uso di perizie
Nel corso dei negoziati la Commissione non si è avvalsa di esperti esterni.
•Valutazione d'impatto
Non pertinente.
•Efficienza normativa e semplificazione
Non pertinente.
•Diritti fondamentali
Lo scambio di dati personali può avere un impatto sulla protezione dei dati; tuttavia, come previsto dall'accordo, esso sarà soggetto alle stesse norme e procedure solide già in vigore per il trattamento di tali dati, in linea con il diritto dell'UE.
Il capo II concerne la protezione dei dati personali. Su tale base, l'articolo 3 e gli articoli da 4 a 17 stabiliscono i principi fondamentali in materia di protezione dei dati, che includono la limitazione delle finalità, la qualità dei dati e le norme applicabili al trattamento di categorie particolari di dati, gli obblighi applicabili ai titolari del trattamento, anche in merito alla conservazione, la tenuta di registri, la sicurezza e i trasferimenti successivi, i diritti individuali azionabili, in particolare in materia di accesso, rettifica e processo decisionale automatizzato, il controllo indipendente ed efficace nonché il ricorso amministrativo e giudiziario. Le garanzie riguardano tutte le forme di trattamento di dati personali nell'ambito della cooperazione tra Europol e la Nuova Zelanda. L'esercizio di determinati diritti individuali può essere rinviato, limitato o rifiutato ove ciò risulti necessario, ragionevole e proporzionato, tenuto conto dei diritti e degli interessi fondamentali dell'interessato, in particolare al fine prevenire il rischio per un'indagine o azione penale in corso, il che è anche in linea con il diritto dell'Unione.
Inoltre, sia l'Unione europea sia la Nuova Zelanda provvederanno affinché un'autorità pubblica indipendente responsabile della protezione dei dati (autorità di controllo) vigili sugli aspetti che incidono sulla vita privata delle persone, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche in relazione al trattamento dei dati personali.
L'articolo 29 rafforza l'efficacia delle garanzie disposte dall'accordo prevedendo riesami congiunti della sua attuazione a intervalli regolari. I gruppi di valutazione comprendono esperti in materia di protezione dei dati e di attività di contrasto.
Come ulteriore garanzia, a norma dell'articolo 19, paragrafo 15, in caso di violazione sostanziale o di mancato adempimento degli obblighi derivanti dalle disposizioni dell'accordo, l'accordo può essere sospeso. I dati personali trasferiti prima della sospensione continuano ad essere trattati conformemente all'accordo. Inoltre, in caso di denuncia dell'accordo, i dati personali trasferiti prima della denuncia continuano ad essere trattati conformemente alle disposizioni dell'accordo.
In aggiunta, l'accordo garantisce che lo scambio di dati personali tra Europol e la Nuova Zelanda sia conforme tanto al principio di non discriminazione quanto all'articolo 52, paragrafo 1, della Carta, il quale garantisce che le ingerenze nei diritti fondamentali che possono derivarne siano limitate a quanto strettamente necessario per rispondere effettivamente alle finalità di interesse generale perseguite, nel rispetto del principio di proporzionalità.
4.INCIDENZA SUL BILANCIO
La presente proposta non ha alcuna incidenza sul bilancio dell'Unione.
5.ALTRI ELEMENTI
•Piani attuativi e modalità di monitoraggio, valutazione e informazione
Non è necessario un piano attuativo, in quanto l'accordo entrerà in vigore alla data di ricevimento dell'ultima notifica scritta con la quale l'Unione europea e la Nuova Zelanda si sono notificate reciprocamente, per via diplomatica, l'avvenuto espletamento delle rispettive procedure.
Per quanto concerne il monitoraggio, l'Unione europea e la Nuova Zelanda riesaminano congiuntamente l'attuazione dell'accordo un anno dopo la sua entrata in vigore e successivamente a intervalli regolari, nonché su richiesta di una delle parti e decisione congiunta.
•Illustrazione dettagliata delle singole disposizioni della proposta
L'articolo 1 fissa l'obiettivo dell'accordo.
L'articolo 2 contiene le definizioni dell'accordo.
L'articolo 3 stabilisce le finalità del trattamento dei dati personali.
L'articolo 4 fissa i principi generali di protezione dei dati che l'Unione europea e la Nuova Zelanda devono rispettare.
L'articolo 5 prevede categorie particolari di dati personali e diverse categorie di interessati, come i dati personali relativi a vittime di reato, testimoni o altre persone che possono fornire informazioni riguardanti reati o a persone di età inferiore a 18 anni.
L'articolo 6 disciplina il trattamento automatizzato dei dati personali.
L'articolo 7 fornisce una base per il trasferimento successivo dei dati personali ricevuti.
L'articolo 8 prevede la valutazione dell'affidabilità della fonte e dell'esattezza delle informazioni.
L'articolo 9 stabilisce il diritto di accesso, garantendo che l'interessato abbia il diritto, a intervalli ragionevoli, di ottenere informazioni per sapere se i dati personali che lo riguardano sono trattati ai sensi dell'accordo.
L'articolo 10 stabilisce il diritto di rettifica, cancellazione e limitazione, garantendo che l'interessato abbia il diritto di chiedere alle autorità competenti di rettificare i dati personali inesatti che lo riguardano trasferiti ai sensi dell'accordo.
L'articolo 11 prevede la notificazione di una violazione dei dati personali riguardante dati personali trasferiti ai sensi dell'accordo, garantendo che le rispettive autorità competenti si notifichino reciprocamente e notifichino alle rispettive autorità di controllo, senza ritardo, la violazione e adottino misure per attenuarne i possibili effetti pregiudizievoli.
L'articolo 12 prevede la comunicazione di una violazione dei dati personali all'interessato, garantendo che qualora una violazione dei dati personali sia suscettibile di produrre gravi effetti pregiudizievoli per i diritti e le libertà dell'interessato, le autorità competenti di entrambe le parti dell'accordo comunichino la violazione all'interessato senza ingiustificato ritardo.
L'articolo 13 concerne la conservazione, l'esame, la rettifica e la cancellazione dei dati personali.
L'articolo 14 dispone affinché siano registrati la raccolta, la modifica, l'accesso, la divulgazione, compresi i trasferimenti successivi, la combinazione o la cancellazione di dati personali.
L'articolo 15 tratta della sicurezza dei dati, garantendo che siano messe in atto misure tecniche e organizzative per proteggere i dati personali scambiati ai sensi dell'accordo.
L'articolo 16 istituisce l'autorità di controllo, garantendo che vi sia un'autorità pubblica indipendente responsabile della protezione dei dati (autorità di controllo) incaricata di vigilare sugli aspetti che incidono sulla vita privata delle persone, comprese le norme interne pertinenti ai sensi dell'accordo, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche in relazione al trattamento dei dati personali.
L'articolo 17 prevede il ricorso amministrativo e giudiziario, garantendo che gli interessati abbiano diritto a un ricorso effettivo in sede amministrativa e giudiziaria in caso di violazione dei diritti e delle garanzie riconosciuti dall'accordo derivante dal trattamento dei loro dati personali.
L'articolo 18 disciplina la risoluzione delle controversie, garantendo che in caso di controversia sull'interpretazione, applicazione o attuazione dell'accordo o su qualsiasi questione correlata i rappresentanti dell'UE e della Nuova Zelanda si consultino e avviino negoziati al fine di giungere a una soluzione reciprocamente accettabile.
L'articolo 19 prevede una clausola di sospensione.
L'articolo 20 prevede la denuncia dell'accordo.
L'articolo 21 disciplina la relazione con altri strumenti internazionali, garantendo che l'accordo non pregiudichi né incida sulle disposizioni giuridiche relative allo scambio di informazioni previste da trattati, accordi o intese tra la Nuova Zelanda e qualsiasi Stato membro dell'Unione europea.
L'articolo 22 prevede un'intesa amministrativa di attuazione.
L'articolo 23 disciplina le modalità amministrative sulla riservatezza, garantendo che un'intesa amministrativa sulla riservatezza, conclusa tra Europol e le autorità competenti neozelandesi, disciplini lo scambio di informazioni classificate UE, se necessario ai sensi dell'accordo.
L'articolo 24 concerne i punti di contatto nazionali e gli ufficiali di collegamento.
L'articolo 25 disciplina le spese dell'accordo.
L'articolo 26 prevede la notificazione dell'attuazione dell'accordo.
L'articolo 27 dispone sull'entrata in vigore e l'applicazione dell'accordo.
L'articolo 28 concerne le modifiche e le integrazioni dell'accordo.
L'articolo 29 prevede il riesame e la valutazione dell'accordo.
L'articolo 30 definisce l'applicabilità territoriale dell'accordo, garantendo che esso si applichi al territorio in cui e nella misura in cui si applicano il trattato sull’Unione europea e il trattato sul funzionamento dell’Unione europea e al territorio della Nuova Zelanda.
2022/0157 (NLE)
Proposta di
DECISIONE DEL CONSIGLIO
relativa alla conclusione dell'accordo tra l'Unione europea, da una parte, e la Nuova Zelanda, dall'altra, sullo scambio di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità neozelandesi competenti per la lotta contro le forme gravi di criminalità e il terrorismo
IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16, paragrafo 2, e l'articolo 88, in combinato disposto con l'articolo 218, paragrafo 6, lettera a), e l'articolo 218, paragrafo 7,
vista la proposta della Commissione europea,
vista l'approvazione del Parlamento europeo,
considerando quanto segue:
(1)Il regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio 15 stabilisce che Europol può trasferire i dati personali a un'autorità di un paese terzo sulla base, tra l'altro, di un accordo internazionale concluso tra l'Unione e tale paese terzo ai sensi dell'articolo 218 TFUE, che presti garanzie sufficienti con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone.
(2)Conformemente alla decisione [XXX] del Consiglio del [...] 16 , l'accordo tra l'Unione europea, da una parte, e la Nuova Zelanda, dall'altra, sullo scambio di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità neozelandesi competenti per la lotta contro le forme gravi di criminalità e il terrorismo ("accordo") è stato firmato il [...], fatta salva la sua conclusione in una data successiva.
(3)L'accordo è nell'interesse dell'Unione europea, in quanto mira a consentire il trasferimento dei dati personali tra Europol e le autorità competenti neozelandesi, al fine di combattere le forme gravi di criminalità e il terrorismo e proteggere la sicurezza dell'Unione europea e dei suoi abitanti.
(4)L'accordo garantisce il pieno rispetto dei diritti fondamentali dell'Unione europea, in particolare il diritto al rispetto della vita privata e della vita familiare, riconosciuto all'articolo 7 della Carta dei diritti fondamentali dell'Unione europea, il diritto alla protezione dei dati di carattere personale, riconosciuto all'articolo 8 della medesima, e il diritto a un ricorso effettivo e a un giudice imparziale riconosciuto dall'articolo 47 della stessa.
(5)L'accordo non interessa né pregiudica il trasferimento di dati personali o altre forme di cooperazione tra le autorità responsabili per la salvaguardia della sicurezza nazionale.
(6)A norma dell'articolo 218, paragrafo 7, del trattato, è opportuno che il Consiglio autorizzi la Commissione ad approvare a nome dell'Unione le modifiche o rettifiche degli allegati II, III e IV dell'accordo.
(7)["A norma degli articoli 1 e 2 del protocollo n. 21 sulla posizione del Regno Unito e dell'Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al trattato sull'Unione europea e al trattato sul funzionamento dell'Unione europea, e fatto salvo l'articolo 4 di tale protocollo, l'Irlanda non partecipa all'adozione della presente decisione, non è da essa vincolata né è soggetta alla sua applicazione."
OPPURE
"A norma dell'articolo 3 del protocollo n. 21 sulla posizione del Regno Unito e dell'Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al trattato sull'Unione europea e al trattato sul funzionamento dell'Unione europea, [con lettera del ...] l'Irlanda ha notificato che desidera partecipare all'adozione e all'applicazione della presente decisione." oppure "l'Irlanda è vincolata [dalla misura interna dell'Unione] e partecipa pertanto all'adozione della presente decisione."]
(8)[A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca, allegato al trattato sull'Unione europea e al trattato sul funzionamento dell'Unione europea, la Danimarca non partecipa all'adozione della presente decisione, non è da essa vincolata né è soggetta alla sua applicazione.]
(9)È opportuno approvare l'accordo a nome dell’Unione europea,
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
L'accordo tra l'Unione europea, da una parte, e la Nuova Zelanda, dall'altra, sullo scambio di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità neozelandesi competenti per la lotta contro le forme gravi di criminalità e il terrorismo ("accordo") è approvato a nome dell'Unione.
Il testo dell'accordo è accluso alla presente decisione.
Articolo 2
La Commissione designa la persona abilitata a procedere, a nome dell'Unione, alla notifica di cui all'articolo 27 dell'accordo per esprimere il consenso dell'Unione a essere vincolata dall'accordo.
Articolo 3
Ai fini dell'articolo 28, paragrafo 2, dell'accordo, la posizione dell'Unione sulle modifiche o rettifiche degli allegati II, III e IV dell'accordo è approvata dalla Commissione previa consultazione del Consiglio.
Articolo 4
La presente decisione entra in vigore il giorno dell'adozione.
Fatto a Bruxelles, il
Per il Consiglio
Il presidente
COMMISSIONE EUROPEA
Bruxelles, 13.5.2022
COM(2022) 208 final
Proposta di
ALLEGATO
della
DECISIONE DEL CONSIGLIO
relativa alla conclusione dell'accordo tra l'Unione europea, da una parte, e la Nuova Zelanda, dall'altra, sullo scambio di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità neozelandesi competenti per la lotta contro le forme gravi di criminalità e il terrorismo
ALLEGATO
L'UNIONE EUROPEA, di seguito denominata anche "Unione" o "UE"
e
la Nuova Zelanda,
di seguito denominate "parti contraenti",
considerando quanto segue:
1)Consentendo lo scambio di dati personali tra Europol e le autorità competenti neozelandesi, il presente accordo creerà il quadro per una cooperazione operativa rafforzata tra l'Unione europea e la Nuova Zelanda nel settore dell'attività di contrasto, salvaguardando nel contempo i diritti umani e le libertà fondamentali di tutte le persone interessate, comprese la vita privata e la protezione dei dati.
2)Il presente accordo lascia impregiudicati le intese di assistenza giudiziaria tra la Nuova Zelanda e gli Stati membri dell'UE che consentono lo scambio di dati personali.
3)Il presente accordo non impone alle autorità competenti alcun obbligo di trasferire dati personali. La condivisione dei dati personali richiesti ai sensi del presente accordo rimane volontaria.
4)L'accordo riconosce che le parti applicano principi comparabili di proporzionalità e ragionevolezza. L'essenza comune di tali principi è l'esigenza di garantire un giusto equilibrio tra tutti gli interessi in questione, pubblici o privati, alla luce di tutte le circostanze del caso di specie. Tale bilanciamento coinvolge, da un lato, i diritti alla vita privata delle persone e altri diritti umani e interessi e, dall'altro, gli obiettivi legittimi che possono essere perseguiti, quali le finalità del trattamento dei dati personali previste dal presente accordo,
hanno convenuto quanto segue:
CAPO I - Disposizioni generali
Articolo 1
Obiettivo
L'obiettivo del presente accordo è consentire il trasferimento di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità competenti neozelandesi, al fine di sostenere e rafforzare l'azione delle autorità degli Stati membri dell'Unione europea e della Nuova Zelanda, nonché la loro cooperazione reciproca, in materia di prevenzione e lotta contro i reati, tra cui le forme gravi di criminalità e il terrorismo, assicurando nel contempo garanzie adeguate per quanto riguarda i diritti umani e le libertà fondamentali delle persone, comprese la vita privata e la protezione dei dati.
Articolo 2
Definizioni
Ai fini del presente accordo si applicano le seguenti definizioni:
a)"parti contraenti": l'Unione europea, da un lato, e la Nuova Zelanda, dall'altro;
b) "Europol": l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto, istituita a norma del regolamento (UE) 2016/794 1 o di qualsiasi modifica dello stesso ("regolamento Europol");
c)"autorità competente": per la Nuova Zelanda, le autorità di contrasto interne responsabili, a norma del diritto nazionale neozelandese, della prevenzione e della lotta contro i reati elencati nell'allegato II del presente accordo ("autorità competenti neozelandesi") e, per l'Unione europea, Europol;
d)"organismi dell’Unione": le istituzioni, gli organi, le missioni, gli uffici e le agenzie istituite dal trattato sull’Unione europea e dal trattato sul funzionamento dell’Unione europea, o sulla base dei medesimi, elencati nell'allegato III;
e)"reati": le forme di criminalità elencate nell'allegato I e i reati connessi. I reati si considerano connessi alle forme di criminalità elencate nell'allegato I se sono commessi al fine di procurarsi i mezzi per perpetrare tali forme di criminalità o di agevolarle o perpetrarle, o al fine di assicurare l'impunità ai loro autori;
f)"dati personali": qualsiasi informazione riguardante un interessato;
g)"interessato": una persona fisica identificata o identificabile, laddove per persona identificabile si intende una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo on-line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
h)"dati genetici": tutti i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di un individuo che forniscono informazioni univoche sulla sua fisiologia o salute, ottenuti in particolare dall'analisi di un suo campione biologico;
i)"trattamento": qualsiasi operazione o insieme di operazioni compiute su dati personali o serie di dati personali, con o senza l'ausilio di processi automatizzati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o la combinazione, la limitazione dell'accesso, la cancellazione o la distruzione;
j)"informazioni": i dati personali;
k)"violazione dei dati personali": violazione di sicurezza che comporta in modo accidentale o illecito la distruzione, la perdita, la modifica, la comunicazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque trattati;
l)"autorità di controllo": una o più autorità indipendenti interne che sono, singolarmente o cumulativamente, responsabili della protezione dei dati ai sensi dell'articolo 16 del presente accordo e che sono state notificate a norma di tale articolo; può trattarsi di autorità la cui responsabilità riguarda anche altri diritti umani;
m)"organizzazione internazionale": un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.
Articolo 3
Finalità del trattamento dei dati personali
1.I dati personali richiesti e ricevuti ai sensi dell'accordo sono trattati unicamente a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, entro i limiti di cui all'articolo 4, paragrafo 5, e dei rispettivi mandati delle autorità competenti.
2.Al più tardi all'atto di trasferire i dati personali le autorità competenti indicano chiaramente la o le finalità specifiche per le quali i dati sono trasferiti. Per i trasferimenti a Europol, la o le finalità di tale trasferimento sono specificate in linea con le finalità specifiche del trattamento stabilite nel mandato di Europol.
Capo II - Scambio di informazioni e protezione dei dati
Articolo 4
Principi generali di protezione dei dati
1.Ogni parte contraente provvede affinché i dati personali scambiati ai sensi del presente accordo siano:
a)trattati in modo lecito e corretto e unicamente per la finalità per la quale sono stati trasferiti a norma dell'articolo 3;
b)adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
c)esatti e aggiornati; ogni parte contraente provvede affinché le proprie autorità competenti adottino tutte le misure ragionevoli per cancellare o rettificare senza ingiustificato ritardo i dati inesatti, tenendo conto delle finalità per le quali sono trattati;
d)conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
e)trattati in modo tale da garantire un'adeguata sicurezza dei dati personali.
2.All'atto di trasferire i dati personali l'autorità competente che opera il trasferimento può indicare limitazioni di accesso o uso, in termini generali o specifici, anche per quanto concerne il trasferimento successivo, la cancellazione o la distruzione trascorso un dato periodo di tempo, ovvero l'ulteriore trattamento. Qualora la necessità di tali limitazioni si manifesti dopo che le informazioni sono state fornite, l'autorità competente che ha operato il trasferimento ne informa l'autorità ricevente.
3.Ogni parte contraente provvede affinché l'autorità competente ricevente rispetti le eventuali limitazioni di accesso o ulteriore uso dei dati personali indicate dall'autorità competente che opera il trasferimento conformemente al paragrafo 2.
4.Ogni parte contraente provvede affinché le proprie autorità competenti mettano in atto misure tecniche e organizzative adeguate in modo da poter dimostrare che il trattamento dei dati è conforme al presente accordo e che i diritti degli interessati sono tutelati.
5.Ogni parte contraente provvede affinché le proprie autorità competenti non trasferiscano i dati personali ottenuti in palese violazione dei diritti umani riconosciuti dalle norme di diritto internazionale vincolanti per le parti contraenti. Ogni parte contraente provvede affinché i dati personali ricevuti non siano utilizzati per chiedere, emettere o eseguire una pena di morte o qualsiasi forma di trattamento crudele o disumano.
6.Ogni parte contraente provvede affinché sia conservata una registrazione di tutti i trasferimenti di dati personali effettuati ai sensi del presente accordo e della o delle finalità di tali trasferimenti.
Articolo 5
Categorie particolari di dati personali e diverse categorie di interessati
1.È vietato il trasferimento di dati personali relativi a vittime di reato, testimoni o altre persone che possono fornire informazioni riguardanti reati e a persone di età inferiore agli anni diciotto salvo se strettamente necessario nonché ragionevole e proporzionato in casi specifici per prevenire o combattere un reato.
2.Il trasferimento di dati personali che rivelino la razza, l'origine etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica, di dati relativi alla salute o alla vita sessuale o all'orientamento sessuale di una persona fisica è autorizzato solo se strettamente necessario nonché ragionevole e proporzionato in casi specifici per prevenire o combattere un reato e se tali dati, ad eccezione dei dati biometrici, integrano altri dati personali.
3.Le parti contraenti provvedono affinché il trattamento dei dati personali di cui ai paragrafi 1 e 2 sia soggetto a garanzie adeguate contro i rischi specifici connessi, tra cui limitazioni di accesso, misure di sicurezza supplementari ai sensi dell'articolo 15 e limitazioni ai trasferimenti successivi ai sensi dell'articolo 7.
Articolo 6
Trattamento automatizzato dei dati personali
Le decisioni basate unicamente su un trattamento automatizzato dei dati personali scambiati, compresa la profilazione, senza intervento umano, che possono comportare conseguenze giuridiche negative per l'interessato o incidere significativamente sulla sua persona, sono vietate, salvo che siano autorizzate da disposizioni di legge per prevenire o combattere un reato e con garanzie adeguate per i diritti e le libertà dell'interessato, compreso almeno il diritto di ottenere l'intervento umano.
Articolo 7
Trasferimento successivo dei dati personali ricevuti
1.La Nuova Zelanda provvede affinché le sue autorità competenti trasferiscano ad altre autorità neozelandesi i dati personali ricevuti ai sensi del presente accordo solo se:
a)Europol ha dato la propria autorizzazione esplicita preliminare;
b)la finalità del trasferimento successivo è la stessa della finalità originaria del trasferimento da parte di Europol o, nei limiti di cui all'articolo 3, paragrafo 1, è direttamente connessa a tale finalità originaria; e
c)il trasferimento successivo è soggetto alle stesse condizioni e garanzie che si applicano al trasferimento originario.
2.Fatto salvo l'articolo 4, paragrafo 2, l'autorizzazione preliminare non è necessaria se l'autorità ricevente è un'autorità competente neozelandese. Lo stesso vale per la capacità di Europol di condividere dati personali con le autorità degli Stati membri dell'Unione europea responsabili della prevenzione e della lotta contro i reati e con gli organismi dell'Unione elencati nell'allegato III.
3.La Nuova Zelanda provvede affinché siano vietati i trasferimenti successivi dei dati personali ricevuti dalle sue autorità competenti ai sensi del presente accordo alle autorità di un paese terzo o a un'organizzazione internazionale, salvo che sussistano le seguenti condizioni:
a)il trasferimento riguarda dati personali diversi da quelli di cui all'articolo 5 dell'accordo;
b)Europol ha dato la propria autorizzazione esplicita preliminare;
c)la finalità del trasferimento successivo è la stessa della finalità originaria del trasferimento da parte di Europol, e
d)il trasferimento successivo è soggetto alle stesse condizioni e garanzie che si applicano al trasferimento originario.
4.Europol può concedere l'autorizzazione di cui al paragrafo 3, lettera b), per il trasferimento successivo all'autorità di un paese terzo o a un'organizzazione internazionale solo se e nella misura in cui sia in vigore una decisione di adeguatezza, un accordo internazionale che preveda garanzie adeguate per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, un accordo di cooperazione o qualsiasi altra base giuridica futura per il trasferimento di dati personali ai sensi del regolamento Europol che disciplini il trasferimento successivo.
5.L'Unione europea provvede affinché siano vietati i trasferimenti successivi dei dati personali ricevuti da Europol ai sensi del presente accordo agli organismi dell'Unione europea non elencati nell'allegato III, alle autorità di paesi terzi o a un'organizzazione internazionale, salvo che sussistano le seguenti condizioni:
a)il trasferimento riguarda dati personali diversi da quelli di cui all'articolo 5 dell'accordo;
b)la Nuova Zelanda ha dato la propria autorizzazione esplicita preliminare;
c)la finalità del trasferimento successivo è la stessa della finalità originaria del trasferimento da parte della Nuova Zelanda, e
d)con tale paese terzo o organizzazione internazionale è in vigore una decisione di adeguatezza, un accordo internazionale che preveda garanzie adeguate per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone o un accordo di cooperazione ai sensi del regolamento Europol.
Articolo 8
Valutazione dell'affidabilità della fonte e dell'esattezza delle informazioni
1.Le autorità competenti indicano per quanto possibile, al più tardi al momento del trasferimento delle informazioni, l'affidabilità della fonte dell'informazione sulla base di uno o più dei seguenti criteri:
1)non sussistono dubbi circa l'autenticità, l'affidabilità o la competenza della fonte, oppure l'informazione è fornita da una fonte che, in passato, ha dimostrato di essere affidabile in tutti i casi;
2)l'informazione è pervenuta da una fonte che si è dimostrata affidabile nella maggior parte dei casi;
3)l'informazione è pervenuta da una fonte che non si è dimostrata affidabile nella maggior parte dei casi;
4)l'affidabilità della fonte non può essere valutata.
2.Le autorità competenti indicano per quanto possibile, al più tardi al momento del trasferimento delle informazioni, l'esattezza dell'informazione sulla base di uno o più dei seguenti criteri:
1)l'informazione è ritenuta sicura senza alcuna riserva al momento del trasferimento;
2)l'informazione è conosciuta personalmente dalla fonte, ma non conosciuta personalmente dall'agente che l'ha fornita;
3)l'informazione non è conosciuta personalmente dalla fonte, ma è avvalorata da altre informazioni già registrate;
4)l’informazione non è conosciuta personalmente dalla fonte e non può essere avallata.
3.Se, sulla base delle informazioni già in suo possesso, l'autorità competente ricevente giunge alla conclusione che la valutazione delle informazioni o della fonte fornita dall'autorità competente trasferente a norma dei paragrafi 1 e 2 deve essere rettificata, ne informa tale autorità e cerca di concordare una modifica da apportare alla valutazione. Senza tale accordo l'autorità ricevente competente non può modificare la valutazione delle informazioni ricevute o della loro fonte.
4.Se riceve informazioni non corredate di una valutazione, l'autorità competente cerca, per quanto possibile e se possibile di concerto con l'autorità competente che ha operato il trasferimento, di stabilire l'affidabilità della fonte o l'esattezza dell'informazione sulla base delle informazioni già in suo possesso.
5.Se non è possibile effettuare una valutazione affidabile, le informazioni sono valutate conformemente al paragrafo 1, punto 4, e al paragrafo 2, punto 4.
DIRITTI DELL'INTERESSATO
Articolo 9
Diritto di accesso
1.Le parti contraenti provvedono affinché l'interessato abbia il diritto, a intervalli ragionevoli, di ottenere informazioni per sapere se i dati personali che lo riguardano sono trattati ai sensi del presente accordo e, in tal caso, di accedere almeno alle seguenti informazioni:
a)la conferma che i dati che lo riguardano siano o meno stati trattati;
b)informazioni relative almeno alle finalità del trattamento, alle categorie di dati trattati e, se del caso, ai destinatari o alle categorie di destinatari a cui sono comunicati i dati;
c)l'esistenza del diritto di richiedere all'autorità competente la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali riguardanti l'interessato;
d)l'indicazione della base giuridica per il trattamento dei dati;
e)quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
f)la comunicazione in forma intelligibile dei dati personali oggetto del trattamento nonché di tutte le informazioni disponibili sulla loro origine.
2.Nei casi in cui è esercitato il diritto di accesso, la parte trasferente è consultata su base non vincolante prima che sia adottata una decisione definitiva sulla richiesta.
3.Le parti contraenti possono prevedere che la comunicazione di informazioni in risposta a qualsiasi richiesta di cui al paragrafo 1 sia rinviata, rifiutata o limitata se e per il tempo in cui tale rinvio, rifiuto o limitazione costituisce una misura necessaria nonché ragionevole e proporzionata tenuto conto dei diritti fondamentali e degli interessi dell'interessato, per:
a)garantire che nessuna indagine e azione penale siano compromesse, o
b)proteggere i diritti e le libertà di terzi, o
c)tutelare la sicurezza nazionale e l'ordine pubblico o prevenire attività criminali.
4.Le parti contraenti provvedono affinché l'autorità competente informi per iscritto l'interessato dell'eventuale rinvio, rifiuto o limitazione dell'accesso e dei relativi motivi. Tali motivi possono essere omessi se e per il tempo in cui la loro comunicazione comprometterebbe la finalità del rinvio, del rifiuto o della limitazione di cui al paragrafo 3. L'autorità competente informa l'interessato della possibilità di proporre reclamo alle rispettive autorità di controllo e degli altri mezzi di ricorso disponibili previsti nei rispettivi quadri giuridici.
Articolo 10
Diritto di rettifica, cancellazione e limitazione
1.Le parti contraenti provvedono affinché l'interessato abbia il diritto di chiedere alle autorità competenti di rettificare i dati personali inesatti che lo riguardano trasferiti ai sensi del presente accordo. Tenuto conto delle finalità del trattamento, ciò include il diritto di ottenere l’integrazione dei dati personali incompleti trasferiti ai sensi dell'accordo.
2.La rettifica comprende la cancellazione dei dati personali che non sono più necessari per le finalità per le quali sono trattati.
3.Le parti contraenti possono prevedere che, anziché la cancellazione dei dati personali di cui al paragrafo 2, sia limitato il trattamento di tali dati se sussistono fondati motivi di ritenere che la cancellazione possa compromettere i legittimi interessi dell'interessato.
4.Le autorità competenti si informano reciprocamente delle misure adottate a norma dei paragrafi 1, 2 e 3. L'autorità competente ricevente rettifica, cancella o limita il trattamento di tali dati conformemente all'azione intrapresa dall'autorità competente che opera il trasferimento.
5.Le parti contraenti provvedono affinché l'autorità competente che ha ricevuto una richiesta in conformità del paragrafo 1 o 2, senza ingiustificato ritardo e in ogni caso entro tre mesi dal ricevimento della richiesta, informi per iscritto l'interessato che i dati che lo riguardano sono stati rettificati, cancellati o che il trattamento degli stessi è stato limitato.
6.Le parti contraenti provvedono affinché l'autorità competente che ha ricevuto una richiesta, senza ingiustificato ritardo e in ogni caso entro tre mesi dal ricevimento della richiesta, informi per iscritto l'interessato dell'eventuale rifiuto di rettifica, cancellazione o limitazione del trattamento, dei motivi del rifiuto e della possibilità di proporre reclamo alle rispettive autorità di controllo e degli altri mezzi di ricorso disponibili previsti dai rispettivi quadri giuridici.
Articolo 11
Notificazione di una violazione dei dati personali alle autorità interessate
1.Le parti contraenti provvedono affinché, in caso di violazione dei dati personali riguardante dati personali trasferiti ai sensi del presente accordo, le rispettive autorità competenti si notifichino reciprocamente e notifichino alle rispettive autorità di controllo, senza ritardo, la violazione e adottino misure per attenuarne i possibili effetti pregiudizievoli.
2.La notifica deve almeno:
a)descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero di interessati in questione nonché le categorie e il numero di registrazioni dei dati personali in questione;
b)descrivere le probabili conseguenze della violazione dei dati personali;
c)descrivere le misure adottate o di cui si propone l'adozione da parte dell'autorità competente per porre rimedio alla violazione dei dati personali, comprese le misure adottate per attenuarne i possibili effetti pregiudizievoli.
3.Nella misura in cui non sia possibile fornire contestualmente tutte le informazioni richieste, queste possono essere fornite in fasi successive. Le informazioni mancanti sono fornite senza ulteriore ingiustificato ritardo.
4.Le parti contraenti provvedono affinché le rispettive autorità competenti documentino le violazioni dei dati personali riguardanti i dati personali trasferiti ai sensi del presente accordo, inclusi i fatti relativi alla violazione, i suoi effetti e le misure correttive adottate, consentendo in tal modo alle rispettive autorità di controllo di verificare la conformità con i requisiti di legge applicabili.
Articolo 12
Comunicazione di una violazione dei dati personali all’interessato
1.Le parti contraenti provvedono affinché, qualora la violazione dei dati personali di cui all'articolo 11 sia suscettibile di produrre gravi effetti pregiudizievoli per i diritti e le libertà dell'interessato, le rispettive autorità competenti comunichino la violazione all'interessato senza ingiustificato ritardo.
2.La comunicazione all'interessato a norma del paragrafo 1 descrive, ove possibile, la natura della violazione dei dati personali, elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione e riporta l'identità e i recapiti del punto di contatto presso cui ottenere più informazioni.
3.Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se:
a)ai dati personali oggetto della violazione sono state applicate misure tecnologiche di protezione appropriate che rendano i dati incomprensibili a chiunque non sia autorizzato ad accedervi;
b)sono state successivamente adottate misure atte a far sì che i diritti e le libertà dell'interessato non rischino più di essere gravemente pregiudicati, oppure
c)tale comunicazione richiederebbe sforzi sproporzionati, in particolare a motivo del numero di casi in questione. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
4.La comunicazione all'interessato può essere rinviata, limitata o omessa se è probabile che tale comunicazione:
a)comprometta indagini, inchieste o procedimenti ufficiali o giudiziari;
b)comprometta la prevenzione, l'accertamento, l'indagine o il perseguimento di reati o l'esecuzione di sanzioni penali, l'ordine pubblico o la sicurezza nazionale;
c)comprometta i diritti e le libertà di terzi;
se ciò costituisce una misura necessaria, ragionevole e proporzionata tenuto debito conto dei legittimi interessi dell'interessato.
Articolo 13
Conservazione, esame, rettifica e cancellazione dei dati personali
1.Le parti contraenti provvedono affinché siano stabiliti termini adeguati per la conservazione dei dati personali ricevuti ai sensi del presente accordo o per un riesame periodico della necessità di conservarli, in modo che i dati siano conservati solo per il tempo necessario al conseguimento della finalità per la quale sono trasferiti.
2.In ogni caso, la necessità di un'ulteriore conservazione è esaminata entro tre anni dal trasferimento dei dati personali e, in assenza di una decisione motivata e documentata in merito all'ulteriore conservazione dei dati personali, questi sono automaticamente cancellati dopo tre anni.
3.Se un'autorità competente ha motivo di ritenere che i dati personali da essa precedentemente trasferiti siano errati, inesatti o non aggiornati o che tali dati non avrebbero dovuto essere trasferiti, ne informa l'autorità competente ricevente, la quale rettifica o cancella i dati personali e ne dà notifica all'autorità trasferente.
4.Se un'autorità competente ha motivo di ritenere che i dati personali da essa precedentemente ricevuti siano errati, inesatti o non aggiornati o che tali dati non avrebbero dovuto essere trasferiti, ne informa l'autorità competente trasferente, la quale esprime la sua posizione al riguardo. Se l'autorità competente trasferente ritiene che i dati personali siano errati, inesatti o non aggiornati o che tali dati non avrebbero dovuto essere trasferiti, ne informa l'autorità competente ricevente, la quale rettifica o cancella i dati personali e ne dà notifica all'autorità trasferente.
Articolo 14
Registrazione e documentazione
Le parti contraenti provvedono affinché siano registrati la raccolta, la modifica, l'accesso, la divulgazione, compresi i trasferimenti successivi, la combinazione o la cancellazione di dati personali.
Tali registrazioni o documentazione sono messe a disposizione della rispettiva autorità di controllo, su richiesta, ai fini della verifica della liceità del trattamento dei dati e del controllo interno e per garantire adeguatamente l'integrità e la sicurezza dei dati.
Articolo 15
Sicurezza dei dati
Le parti contraenti garantiscono che siano messe in atto misure tecniche e organizzative per proteggere i dati personali scambiati ai sensi del presente accordo.
Per quanto riguarda il trattamento automatizzato dei dati, le parti contraenti garantiscono che siano messe in atto misure dirette a:
a)negare l'accesso alle attrezzature usate per il trattamento di dati personali alle persone non autorizzate (controllo dell'accesso alle attrezzature);
b)impedire che i supporti di dati siano letti, copiati, modificati o rimossi senza autorizzazione (controllo dei supporti di dati);
c)impedire che siano introdotti, consultati, modificati o cancellati dati personali senza autorizzazione (controllo della conservazione);
d)impedire che persone non autorizzate usino sistemi di trattamento automatizzato di dati servendosi di attrezzature per la comunicazione di dati (controllo degli utilizzatori);
e)garantire che le persone autorizzate a usare un sistema di trattamento automatizzato di dati possano accedere esclusivamente ai dati personali cui si riferisce la loro autorizzazione d'accesso (controllo dell'accesso ai dati);
f)garantire che sia possibile verificare e accertare a quali organismi possono essere trasmessi o sono stati trasmessi i dati personali servendosi di attrezzature di trasmissione di dati (controllo della comunicazione);
g)garantire che sia possibile verificare e accertare quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato di dati, in quale momento e la persona che li ha introdotti (controllo dell'introduzione);
h)garantire che sia possibile verificare e accertare quali dati sono stati consultati, da quale membro del personale e in quale momento (registro di accesso);
i)impedire che dati personali possano essere letti, copiati, modificati o cancellati senza autorizzazione durante il trasferimento dei dati o il trasporto di supporti di dati (controllo del trasporto);
j)garantire che in caso di guasto i sistemi installati possano essere ripristinati immediatamente (ripristino);
k)garantire che le funzioni del sistema non siano difettose, che eventuali errori di funzionamento siano segnalati immediatamente (affidabilità) e che i dati personali conservati non possano essere corrotti dal cattivo funzionamento del sistema (integrità).
Articolo 16
Autorità di controllo
1.Ogni parte contraente provvede affinché vi sia un'autorità pubblica indipendente responsabile della protezione dei dati (autorità di controllo) incaricata di vigilare sugli aspetti che incidono sulla vita privata delle persone, comprese le norme interne pertinenti ai sensi del presente accordo, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche in relazione al trattamento dei dati personali. Le parti contraenti si notificano reciprocamente l'autorità che ciascuna di esse considera autorità di controllo ai sensi del presente articolo.
2.Le parti contraenti provvedono affinché l'autorità di controllo assolva i suoi compiti ed eserciti i suoi poteri in piena indipendenza. Detta autorità agisce senza pressioni esterne e non sollecita né accetta istruzioni. I suoi membri hanno un mandato garantito, comprese garanzie contro la rimozione arbitraria.
3.Le parti contraenti provvedono affinché ogni autorità di controllo disponga delle risorse umane, tecniche e finanziarie, dei locali e dell'infrastruttura necessari per l'efficace svolgimento dei suoi compiti ed esercizio dei suoi poteri.
4.Le parti contraenti provvedono affinché ogni autorità di controllo disponga di effettivi poteri di indagine e intervento che le consentano di esercitare una vigilanza sugli organismi che controlla e di agire in sede giudiziaria.
5.Le parti contraenti provvedono affinché ogni autorità di controllo sia competente a trattare i reclami di singoli individui in relazione all'uso dei loro dati personali da parte delle autorità competenti sotto il suo controllo.
Articolo 17
Ricorso amministrativo e giudiziario
Gli interessati hanno diritto a un ricorso effettivo in sede amministrativa e giudiziaria in caso di violazione dei diritti e delle garanzie riconosciuti dal presente accordo derivante dal trattamento dei loro dati personali. Le parti contraenti si notificano reciprocamente la legislazione interna che ciascuna di esse considera legislazione che conferisce i diritti garantiti dal presente articolo.
CAPO III - Controversie
Articolo 18
Risoluzione delle controversie
In caso di controversia sull'interpretazione, applicazione o attuazione del presente accordo o su qualsiasi questione correlata i rappresentanti delle parti contraenti si consultano e avviano negoziati al fine di giungere a una soluzione reciprocamente accettabile.
Articolo 19
Clausola di sospensione
1.In caso di violazione sostanziale o di mancato adempimento degli obblighi derivanti dalle disposizioni del presente accordo, ciascuna parte contraente può sospenderlo temporaneamente, in tutto o in parte, mediante notificazione scritta per via diplomatica all'altra parte contraente. Tale notificazione scritta può essere effettuata solo dopo che le parti contraenti si sono impegnate in un ragionevole periodo di consultazione senza giungere a una soluzione, e la sospensione ha effetto decorsi venti giorni dalla data di ricezione della notifica. La sospensione può essere revocata dalla parte contraente che l'ha notificata, mediante notificazione scritta all’altra parte contraente. La sospensione è revocata non appena ricevuta tale notifica.
2.Nonostante la sospensione del presente accordo, i dati personali che rientrano nel suo ambito di applicazione e che sono stati trasferiti prima della sua sospensione continuano ad essere trattati conformemente alle disposizioni del presente accordo.
Articolo 20
Denuncia dell'accordo
1.Il presente accordo può essere denunciato in qualsiasi momento da una delle parti contraenti mediante notificazione scritta per via diplomatica con preavviso di tre mesi.
2.I dati personali che rientrano nell'ambito di applicazione del presente accordo e che sono stati trasferiti prima della sua denuncia continuano ad essere trattati conformemente alle disposizioni del presente accordo al momento della sua denuncia.
3.In caso di denuncia le parti contraenti raggiungono un accordo sull'ulteriore uso e conservazione delle informazioni che sono già state scambiate tra loro.
CAPO IV - Disposizioni finali
Articolo 21
Relazione con altri strumenti internazionali
1.Il presente accordo non pregiudica né incide o influisce in altro modo sulle disposizioni giuridiche relative allo scambio di informazioni previste da trattati di assistenza giudiziaria, altri accordi o intese di cooperazione o da rapporti di lavoro in materia di contrasto per lo scambio di informazioni tra la Nuova Zelanda e qualsiasi Stato membro dell'Unione europea.
2.Il presente accordo integra l'accordo di lavoro che istituisce relazioni di cooperazione tra la polizia neozelandese e l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto.
Articolo 22
Intesa amministrativa di attuazione
Le modalità della cooperazione tra le parti contraenti ai fini dell'attuazione del presente accordo sono oggetto di un'intesa amministrativa di attuazione conclusa tra Europol e le autorità competenti neozelandesi, conformemente al regolamento Europol.
Articolo 23
Intesa amministrativa sulla riservatezza
Lo scambio di informazioni classificate UE, se necessario ai sensi del presente accordo, è disciplinato da un'intesa amministrativa sulla riservatezza conclusa tra Europol e le autorità competenti neozelandesi.
Articolo 24
Punto di contatto nazionale e ufficiali di collegamento
1.La Nuova Zelanda designa un punto di contatto nazionale che funge da punto di contatto centrale tra Europol e le autorità competenti neozelandesi. I compiti specifici del punto di contatto nazionale sono elencati nell'intesa amministrativa di attuazione di cui all'articolo 22, paragrafo 1. Il punto di contatto nazionale designato per la Nuova Zelanda è indicato nell'allegato IV.
2.Europol e la Nuova Zelanda rafforzano la cooperazione prevista dal presente accordo mediante l'invio di uno o più ufficiali di collegamento da parte della Nuova Zelanda. Europol può inviare uno o più ufficiali di collegamento in Nuova Zelanda.
Articolo 25
Spese
Le parti contraenti provvedono affinché le autorità competenti sopportino le proprie spese derivanti dall'attuazione del presente accordo, salvo diversa disposizione del presente accordo o dell'intesa amministrativa.
Articolo 26
Notificazione dell'attuazione
1.Ogni parte contraente provvede affinché le proprie autorità competenti rendano accessibile al pubblico un documento che delinea in modo comprensibile le disposizioni relative al trattamento dei dati personali trasferiti ai sensi del presente accordo, compresi i mezzi a disposizione degli interessati per l'esercizio dei loro diritti. Ciascuna parte contraente provvede affinché una copia di tale documento sia notificata all'altra parte contraente.
2.Qualora non esistano già, le autorità competenti adottano norme che specificano il modo in cui sarà garantito nella pratica il rispetto delle disposizioni relative al trattamento dei dati personali. Una copia di tali norme è notificata all'altra parte contraente e alle rispettive autorità di controllo.
Articolo 27
Entrata in vigore e applicazione
1.Il presente accordo è approvato dalle parti contraenti secondo le rispettive procedure.
2.Il presente accordo entra in vigore alla data di ricevimento dell'ultima notifica scritta con cui le parti contraenti si sono notificate reciprocamente, per via diplomatica, l'avvenuto espletamento delle procedure di cui al paragrafo 1.
3.Il presente accordo entra in applicazione il primo giorno successivo alla data in cui sono soddisfatte tutte le seguenti condizioni:
a)l'intesa amministrativa di attuazione di cui all'articolo 22 è divenuta applicabile, e
b)le parti contraenti si sono notificate reciprocamente che gli obblighi previsti dal presente accordo sono stati attuati, inclusi quelli di cui all'articolo 26, e che la notifica è stata accettata.
4.Le parti contraenti si scambiano notifiche scritte per via diplomatica che confermano il soddisfacimento delle condizioni di cui sopra.
Articolo 28
Modifiche e integrazioni
1.Il presente accordo può essere modificato per iscritto in qualsiasi momento, di comune accordo tra le parti contraenti, mediante notifica scritta scambiata per via diplomatica. Le modifiche entrano in vigore secondo la stessa procedura giuridica di cui all'articolo 27, paragrafi 1 e 2.
2.Gli allegati del presente accordo possono essere aggiornati, se necessario, mediante scambio di note diplomatiche. Gli aggiornamenti entrano in vigore conformemente all'articolo 27, paragrafi 1 e 2.
3.Le parti contraenti avviano consultazioni in merito alla modifica del presente accordo o dei suoi allegati su richiesta di una di esse.
Articolo 29
Riesame e valutazione
1.Le parti contraenti riesaminano congiuntamente l'attuazione del presente accordo un anno dopo la sua entrata in vigore e successivamente a intervalli regolari, nonché su richiesta di una delle parti e decisione congiunta.
2.Le parti contraenti valutano congiuntamente il presente accordo quattro anni dopo la sua entrata in applicazione.
3.Le parti contraenti decidono in anticipo le modalità del riesame dell'attuazione dell'accordo e si comunicano reciprocamente la composizione dei rispettivi gruppi. I gruppi comprendono esperti in materia di protezione dei dati e attività di contrasto. Fatta salva la normativa applicabile, tutti i partecipanti al riesame rispettano la riservatezza delle discussioni e hanno le idonee autorizzazioni di sicurezza. Ai fini di qualsiasi riesame, la Nuova Zelanda e l'Unione europea garantiscono l'accesso alla documentazione, ai sistemi e al personale pertinenti.
Articolo 30
Applicabilità territoriale
1.Il presente accordo si applica al territorio in cui e nella misura in cui si applicano il trattato sull’Unione europea e il trattato sul funzionamento dell’Unione europea e al territorio della Nuova Zelanda.
2.Il presente accordo si applica al territorio della Danimarca o dell'Irlanda solo se l'Unione europea notifica per iscritto alla Nuova Zelanda che la Danimarca o l'Irlanda ha scelto di essere vincolata dal presente accordo.
3.Se, prima dell'entrata in applicazione del presente accordo, l'Unione europea notifica alla Nuova Zelanda che il presente accordo si applicherà al territorio della Danimarca o dell'Irlanda, il presente accordo si applica al territorio di tale Stato membro lo stesso giorno in cui si applica agli altri Stati membri dell'Unione europea.
4.Se, dopo l'entrata in vigore del presente accordo, l'Unione europea notifica alla Nuova Zelanda che il presente accordo si applica al territorio della Danimarca o dell'Irlanda, il presente accordo si applica al territorio di tale Stato membro 30 giorni dopo la data della notifica.
Fatto a ..., il … in duplice esemplare nelle lingue bulgara, ceca, croata, danese, estone, finlandese, francese, greca, inglese, italiana, lettone, lituana, maltese, olandese, polacca, portoghese, rumena, slovacca, slovena, spagnola, svedese, tedesca e ungherese, ciascun testo facente ugualmente fede.
Per la Nuova Zelanda Per l’UE
Allegato I — Sfere di criminalità
I reati di cui all'articolo 2, lettera e), sono i seguenti:
–terrorismo,
–criminalità organizzata,
–traffico di stupefacenti,
–attività di riciclaggio del denaro,
–criminalità nel settore delle materie nucleari e radioattive,
–organizzazione del traffico di migranti,
–tratta di esseri umani,
–criminalità connessa al traffico di veicoli rubati,
–omicidio volontario, lesioni personali gravi,
–traffico illecito di organi e tessuti umani,
–rapimento, sequestro e presa di ostaggi,
–razzismo e xenofobia,
–rapina e furto aggravato,
–traffico illecito di beni culturali, compresi gli oggetti d'antiquariato e le opere d'arte,
–truffe e frodi,
–reati contro gli interessi finanziari dell'Unione,
–abuso di informazioni privilegiate e manipolazione del mercato finanziario,
–racket ed estorsione,
–contraffazione e pirateria in materia di prodotti,
–falsificazione di atti amministrativi e traffico di documenti falsi,
–falsificazione di monete e di altri mezzi di pagamento,
–criminalità informatica,
–corruzione,
–traffico illecito di armi, munizioni ed esplosivi,
–traffico illecito di specie animali protette,
–traffico illecito di specie e di essenze vegetali protette,
–criminalità ambientale, compreso l'inquinamento provocato dalle navi,
–traffico illecito di sostanze ormonali ed altri fattori di crescita,
–abuso e sfruttamento sessuale, compresi materiale pedopornografico e adescamento di minori per scopi sessuali,
–genocidio, crimini contro l'umanità e crimini di guerra.
Le forme di criminalità di cui al presente allegato sono valutate dalle autorità competenti neozelandesi conformemente alla legislazione neozelandese.
Allegato II — Autorità competenti neozelandesi e loro competenze
Le autorità competenti neozelandesi alle quali Europol può trasferire i dati sono le seguenti:
|
Autorità |
|
|
New Zealand Police (polizia neozelandese) (in qualità di autorità competente principale) |
|
|
New Zealand Customs Service (servizio doganale neozelandese) |
|
|
New Zealand Immigration Service (servizio immigrazione neozelandese) |
|
Allegato III — Elenco degli organismi dell'Unione
Missioni/operazioni di sicurezza e di difesa comune, limitatamente alle attività di contrasto
Ufficio europeo per la lotta antifrode (OLAF)
Agenzia europea della guardia di frontiera e costiera (Frontex)
Banca centrale europea (BCE)
Procura europea (EPPO)
Agenzia dell'Unione europea per la cooperazione giudiziaria penale (Eurojust)
Ufficio dell’Unione europea per la proprietà intellettuale (EUIPO)
Allegato IV — Punto di contatto nazionale
Il punto di contatto nazionale per la Nuova Zelanda che funge da punto di contatto centrale tra Europol e le autorità competenti neozelandesi è designato come segue:
New Zealand Police (polizia neozelandese)
La Nuova Zelanda dovrà informare Europol in caso di modifica del punto di contatto.