EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32019R1799

Regolamento di esecuzione 2019/1799 della Commissione del 22 ottobre 2019 che fissa le specifiche tecniche per i sistemi individuali di raccolta elettronica a norma del regolamento (UE) 2019/788 del Parlamento europeo e del Consiglio riguardante l’iniziativa dei cittadini europei

C/2019/7454

OJ L 274, 28.10.2019, p. 3–8 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_impl/2019/1799/oj

28.10.2019   

IT

Gazzetta ufficiale dell’Unione europea

L 274/3


REGOLAMENTO DI ESECUZIONE 2019/1799 DELLA COMMISSIONE

del 22 ottobre 2019

che fissa le specifiche tecniche per i sistemi individuali di raccolta elettronica a norma del regolamento (UE) 2019/788 del Parlamento europeo e del Consiglio riguardante l’iniziativa dei cittadini europei

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2019/788 del Parlamento europeo e del Consiglio, del 17 aprile 2019, riguardante l’iniziativa dei cittadini europei (1), in particolare l’articolo 11, paragrafo 5,

considerando quanto segue:

(1)

Il regolamento (UE) 2019/788 stabilisce norme rivedute riguardanti l’iniziativa dei cittadini europei e abroga il regolamento (UE) n. 211/2011 del Parlamento europeo e del Consiglio (2).

(2)

Il regolamento (UE) 2019/788 prevede che per la raccolta elettronica delle dichiarazioni di sostegno per le iniziative dei cittadini registrate, gli organizzatori debbano utilizzare il sistema centrale di raccolta elettronica istituito e gestito dalla Commissione. Tuttavia, per agevolare la transizione, per le iniziative registrate ai sensi del regolamento (UE) 2019/788 prima della fine del 2022 gli organizzatori possono scegliere di utilizzare il proprio sistema individuale di raccolta online.

(3)

A norma del regolamento (UE) 2019/788 un sistema individuale utilizzato per la raccolta elettronica delle dichiarazioni di sostegno dovrebbe disporre di adeguate caratteristiche tecniche e di sicurezza per garantire che i dati siano raccolti, conservati e trasferiti in modo sicuro durante l’intera procedura di raccolta. La Commissione dovrebbe definire, insieme agli Stati membri, le specifiche tecniche per l’applicazione dei requisiti relativi ai sistemi individuali di raccolta elettronica.

(4)

Le norme stabilite nel presente regolamento sostituiscono quelle del regolamento di esecuzione (UE) n. 1179/2011 della Commissione (3), che diventeranno pertanto obsolete.

(5)

Le misure tecniche e organizzative da attuare dovrebbero mirare a prevenire, sia al momento della progettazione del sistema che durante l’intero periodo di raccolta, qualsiasi trattamento non autorizzato dei dati personali e a proteggerli dalla distruzione accidentale o illecita, dalla perdita accidentale, dall’alterazione, dalla diffusione o dall’accesso non autorizzati.

(6)

A tal fine, gli organizzatori dovrebbero applicare adeguati processi di gestione del rischio per individuare i rischi per i loro sistemi e determinare le contromisure adeguate e proporzionali per ridurre tali rischi a livelli accettabili. Gli organizzatori dovrebbero documentare adeguatamente i rischi individuati in materia di sicurezza e protezione dei dati e le misure adottate per contrastare tali rischi, tenendo conto delle norme e dei requisiti di sicurezza applicati dall’autorità di certificazione. Le norme e i requisiti di sicurezza dovrebbero essere conformi al regolamento (UE) 2019/788 e dovrebbero essere messi a disposizione dall’autorità di certificazione su richiesta.

(7)

L’attuazione delle specifiche tecniche stabilite nel presente regolamento dovrebbe lasciare impregiudicato l’obbligo per gli organizzatori di rispettare i requisiti in materia di protezione dei dati che derivano dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (4), compresa l’eventuale necessità di una valutazione d’impatto sulla protezione dei dati.

(8)

Il rappresentante di un gruppo di organizzatori o, se del caso, di un’entità giuridica di cui all’articolo 5, paragrafo 7, del suddetto regolamento, è considerato il responsabile del trattamento ai sensi del regolamento (UE) 2016/679 in relazione al trattamento dei dati personali in un sistema individuale di raccolta elettronica.

(9)

Gli organizzatori che introducono modifiche al proprio sistema individuale di raccolta online dopo la certificazione del sistema dovrebbero notificare senza indebito ritardo alla relativa autorità di certificazione se la modifica può influire sulla valutazione alla base della certificazione. Prima di procedere in tal senso, gli organizzatori possono chiedere il parere dell’autorità di certificazione per verificare se la modifica possa avere tale impatto e se quindi debba essere notificata.

(10)

Conformemente all’articolo 42, del regolamento (UE) n. 2018/1725 del Parlamento europeo e del Consiglio (5), il garante europeo della protezione dei dati è stato consultato e ha espresso un parere il 16 settembre 2019. L’Agenzia europea per la sicurezza delle reti e dell’informazione è stata consultata e ha formulato osservazioni il 18 luglio 2019.

(11)

Le misure di cui al presente regolamento sono conformi al parere del comitato istituito dall’articolo 22 del regolamento (UE) 2019/788,

HA ADOTTATO IL PRESENTE REGOLAMENTO:

Articolo 1

Le specifiche tecniche di cui all’articolo 11, paragrafo 5, del regolamento (UE) 2019/788 sono definite nell’allegato al presente regolamento.

Articolo 2

1.   Gli organizzatori assicurano che il loro sistema individuale di raccolta elettronica sia conforme alle specifiche tecniche stabilite nell’allegato nel corso dell’intero periodo di raccolta.

2.   Gli organizzatori notificano senza indebito ritardo all’autorità competente dello Stato membro di cui all’articolo 11, paragrafo 3, del regolamento (UE) 2019/788 le modifiche introdotte nel sistema o nelle misure organizzative di sostegno una volta che il sistema è stato certificato da tale autorità, qualora tali modifiche possano influire sulla valutazione alla base della certificazione. Prima di procedere in tal senso, gli organizzatori possono chiedere il parere dell’autorità competente per verificare se la modifica possa avere tale impatto e se quindi debba essere notificata.

Articolo 3

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Esso si applica a decorrere dall’1o gennaio 2020.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 22 ottobre 2019

Per la Commissione

Il presidente

Jean-Claude JUNCKER


(1)  GU L 130 del 17.5.2019, pag. 55.

(2)  Regolamento (UE) n. 211/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, riguardante l’iniziativa dei cittadini (GU L 65 dell’11.3.2011, pag. 1).

(3)  Regolamento di esecuzione (UE) n. 1179/2011 della Commissione, del 17 novembre 2011, che fissa le specifiche tecniche per i sistemi di raccolta elettronica a norma del regolamento (UE) n. 211/2011 del Parlamento europeo e del Consiglio riguardante l’iniziativa dei cittadini (GU L 301 del 18.11.2011, pag. 3).

(4)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(5)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).


ALLEGATO

1.   SPECIFICHE TECNICHE VOLTE AD ATTUARE L’ARTICOLO 11, PARAGRAFO 4, LETTERA a), DEL REGOLAMENTO (UE) 2019/788

Il sistema attua misure tecniche per garantire che solo le persone fisiche possano presentare le dichiarazioni di sostegno. Le misure tecniche non richiedono la raccolta e l’archiviazione di dati personali ulteriori rispetto a quelli elencati nell’allegato III del regolamento (UE) 2019/788.

2.   SPECIFICHE TECNICHE VOLTE AD ATTUARE L’ARTICOLO 11, PARAGRAFO 4, LETTERA b), DEL REGOLAMENTO (UE) 2019/788

Gli organizzatori mettono in atto misure tecniche e organizzative adeguate ed efficaci per gestire i rischi posti alla sicurezza delle reti e dei sistemi informativi che utilizzano nelle loro operazioni, per garantire che le informazioni fornite sull’iniziativa nel sistema di raccolta elettronica e presentate online corrispondano alle informazioni pubblicate sull’iniziativa nel registro di cui all’articolo 6, paragrafo 5, del regolamento (UE) 2019/788.

Gli organizzatori si assicurano che:

a)

le informazioni fornite sull’iniziativa nel sistema di raccolta per via elettronica corrispondano alle informazioni pubblicate nel registro;

b)

il sistema presenti le informazioni sull’iniziativa pubblicate nel registro prima che il cittadino trasmetta la dichiarazione di sostegno;

c)

siano in atto misure di sicurezza per garantire che i campi di inserimento dei dati nelle dichiarazioni di sostegno siano presentati insieme alle informazioni sull’iniziativa, al fine di evitare il rischio che siano presentate dichiarazioni di sostegno per un’iniziativa diversa attraverso un’errata rappresentazione dell’iniziativa;

d)

il sistema garantisca che dopo la presentazione dei dati contenuti nelle dichiarazioni di sostegno i dati siano salvati insieme alle informazioni sull’iniziativa;

e)

siano in atto misure di sicurezza per evitare che possano essere apportate modifiche non autorizzate alle informazioni fornite sull’iniziativa nel sistema di raccolta per via elettronica.

3.   SPECIFICHE TECNICHE VOLTE AD ATTUARE L’ARTICOLO 11, PARAGRAFO 4, LETTERA c), DEL REGOLAMENTO (UE) 2019/788

Il sistema garantisce che le dichiarazioni di sostegno siano presentate conformemente ai campi per l’inserimento dei dati di cui all’allegato III del regolamento (UE) 2019/788.

Il sistema garantisce che una persona possa presentare una dichiarazione di sostegno solo dopo aver confermato di aver letto l’informativa sulla privacy di cui all’allegato III del regolamento (UE) 2019/788.

4.   SPECIFICHE TECNICHE VOLTE AD ATTUARE L’ARTICOLO 11, PARAGRAFO 4, LETTERA d), DEL REGOLAMENTO (UE) 2019/788

4.1.   Gestione

4.1.1.

Il gruppo di organizzatori designa un funzionario addetto alla sicurezza che è responsabile della sicurezza del sistema e della trasmissione sicura delle dichiarazioni di sostegno raccolte all’autorità competente dello Stato membro competente. Il funzionario addetto alla sicurezza controlla i processi di garanzia delle informazioni e le misure tecniche e organizzative di sicurezza per garantire la raccolta, la conservazione e la trasmissione sicure dei dati forniti dai firmatari.

4.1.2.

Gli organizzatori possono chiedere all’autorità nazionale competente di cui all’articolo 11, paragrafo 3, del regolamento (UE) 2019/788 di fornire le norme e i requisiti di sicurezza applicabili per la certificazione dei sistemi individuali di raccolta elettronica. L’autorità competente fornisce le norme e i requisiti di sicurezza, solitamente entro un mese dal ricevimento della richiesta. Le norme e i requisiti di sicurezza applicabili devono essere in linea con le pertinenti norme di sicurezza nazionali o internazionali esistenti.

4.1.3.

Le norme e i requisiti di sicurezza per la certificazione del sistema devono affrontare i rischi di cui al punto 4.2 e rispettare le specifiche di cui al punto 4.3.

4.2.   Garanzia di sicurezza delle informazioni

4.2.1.

Gli organizzatori si avvalgono di processi di gestione del rischio per individuare i rischi connessi all’uso dei loro sistemi, anche per i diritti e le libertà dei firmatari, e per determinare le misure adeguate e proporzionate per prevenire e attenuare l’impatto degli incidenti che incidono sulla sicurezza delle reti e dei sistemi informativi che utilizzano nelle loro operazioni.

Il processo di gestione dei rischi si concentra in particolare sui rischi connessi alla riservatezza e all’integrità delle informazioni nel sistema. Tali rischi possono essere il risultato di minacce, tra cui:

a)

errori da parte degli utenti;

b)

errori da parte dell’amministratore del sistema/della sicurezza;

c)

errori di configurazione;

d)

infezioni da malware;

e)

alterazione accidentale delle informazioni;

f)

rivelazione o diffusione delle informazioni;

g)

vulnerabilità del software;

h)

accesso non autorizzato;

i)

intercettazione di traffico;

j)

rischi relativi alla protezione dei dati.

4.2.2.

Gli organizzatori forniscono la documentazione con cui attestano di:

a)

aver valutato i rischi del sistema;

b)

aver stabilito opportune misure per prevenire e attenuare l’impatto degli incidenti che incidono sulla sicurezza del sistema;

c)

aver individuato i rischi residui;

d)

aver attuato le misure e verificato la loro attuazione;

e)

aver messo in atto i mezzi organizzativi per essere informati sulle nuove minacce e sui miglioramenti in materia di sicurezza;

f)

rispettare durante l’intero processo di raccolta i requisiti di certificazione di cui all’articolo 11, paragrafo 4, del regolamento (UE) 2019/788, e di disporre delle procedure necessarie a tal fine.

4.2.3.

Le misure volte a prevenire e attenuare l’impatto degli incidenti che incidono sulla sicurezza dei sistemi contemplano i seguenti settori:

a)

sicurezza delle risorse umane;

b)

controllo dell’accesso;

c)

controlli crittografici;

d)

sicurezza fisica e dell’ambiente;

e)

sicurezza delle operazioni;

f)

sicurezza delle comunicazioni;

g)

acquisizione, sviluppo e manutenzione di sistemi;

h)

gestione degli incidenti relativi alla sicurezza informatica;

i)

conformità.

L’applicazione di tali misure di sicurezza può essere limitata alle parti dell’organizzazione che sono pertinenti al sistema di raccolta per via elettronica. Ad esempio, la sicurezza delle risorse umane può essere limitata al personale che ha accesso fisico o logico al sistema di raccolta elettronica e la sicurezza fisica/dell’ambiente può limitarsi all’edificio o agli edifici che ospitano il sistema.

4.2.4.

Qualora gli organizzatori si avvalgano di un servizio di trattamento per lo sviluppo o l’installazione dei sistemi di raccolta per via elettronica o di loro parti, forniscono la documentazione per consentire all’autorità di certificazione di accertarsi che siano stati effettuati i necessari controlli di sicurezza.

4.3.   Cifratura dei dati

Il sistema si avvale della seguente cifratura dei dati:

a)

i dati personali in formato elettronico sono cifrati quando sono archiviati o trasmessi alle autorità competenti degli Stati membri ai sensi del regolamento (UE) 2019/788; le chiavi sono gestite e salvate separatamente;

b)

sono utilizzati adeguati algoritmi standard e chiavi adeguate in linea con le norme internazionali (come la norma ETSI). Viene effettuata la gestione delle chiavi;

c)

tutte le chiavi e le password sono protette da accessi non autorizzati.


Top