EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32021D0858

Decisione di esecuzione (UE) 2021/858 della Commissione del 27 maggio 2021 che modifica la decisione di esecuzione (UE) 2017/253 per quanto riguarda gli allarmi generati da gravi minacce per la salute a carattere transfrontaliero e il tracciamento dei contatti dei passeggeri identificati tramite i moduli di localizzazione dei passeggeri (Testo rilevante ai fini del SEE)

C/2021/3921

OJ L 188, 28.5.2021, p. 106–118 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec_impl/2021/858/oj

28.5.2021   

IT

Gazzetta ufficiale dell’Unione europea

L 188/106


DECISIONE DI ESECUZIONE (UE) 2021/858 DELLA COMMISSIONE

del 27 maggio 2021

che modifica la decisione di esecuzione (UE) 2017/253 per quanto riguarda gli allarmi generati da gravi minacce per la salute a carattere transfrontaliero e il tracciamento dei contatti dei passeggeri identificati tramite i moduli di localizzazione dei passeggeri

(Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

vista la decisione n. 1082/2013/UE del Parlamento europeo e del Consiglio, del 22 ottobre 2013, relativa alle gravi minacce per la salute a carattere transfrontaliero e che abroga la decisione n. 2119/98/CE (1), in particolare l’articolo 8, paragrafo 2,

considerando quanto segue:

(1)

L’individuazione di un caso positivo di COVID-19 a seguito di un determinato viaggio transfrontaliero soddisfa i criteri di cui all’articolo 9, paragrafo 1, della decisione n. 1082/2013/UE, in quanto la malattia può ancora provocare un’elevata mortalità negli esseri umani, la sua portata può aumentare rapidamente e, colpendo più di uno Stato membro, può richiedere una risposta coordinata a livello dell’Unione. Conformemente al punto 23 della raccomandazione (UE) 2020/1475, del 13 ottobre 2020, per un approccio coordinato alla limitazione della libertà di circolazione in risposta alla pandemia di COVID-19 (2), le informazioni sui casi di COVID-19 individuati all’arrivo di una persona nel territorio di uno Stato membro dovrebbero essere immediatamente condivise con le autorità sanitarie dei paesi in cui ha soggiornato la persona interessata nei 14 giorni precedenti a fini di tracciamento dei contatti attraverso il Sistema di allarme rapido e di reazione (SARR) istituito dall’articolo 8 della decisione n. 1082/2013/UE e gestito dal Centro europeo per la prevenzione e il controllo delle malattie (ECDC).

(2)

A norma della raccomandazione (UE) 2020/1475, gli Stati membri potrebbero imporre alle persone che entrano nel loro territorio di presentare un modulo per la localizzazione dei passeggeri (PLF), nel rispetto dei requisiti in materia di protezione dei dati.

(3)

Imponendo la compilazione di PLF nazionali in vari formati, gli Stati membri raccolgono dati PLF dai passeggeri transfrontalieri che entrano nel loro territorio. Tra gli usi che vengono fatti di questi dati rientra la fattispecie in cui una persona che ha compilato un PLF è identificata come caso di COVID-19: in tal caso i dati raccolti con il PLF sono utilizzati per ricostruire il viaggio di tale persona e trasmettere le informazioni pertinenti agli Stati membri che devono espletare le procedure di tracciamento dei contatti relativamente alle persone che potrebbero essere state esposte al passeggero infetto.

(4)

Le autorità sanitarie di alcuni Stati membri già scambiano dati personali raccolti tramite PLF nazionali ai fini del tracciamento dei contatti nel contesto della pandemia di COVID-19. Tali scambi sono effettuati in particolare attraverso l’attuale infrastruttura tecnica prevista dal SARR.

(5)

L’infrastruttura tecnica attualmente fornita nell’ambito del SARR non è ancora adatta a gestire il volume di dati PLF generati dall’uso sistematico e su vasta scala di PLF. Ad esempio, non traduce tra i diversi formati nazionali e richiede l’inserimento manuale, con ripercussioni negative sulla tempestività e sull’efficacia del tracciamento dei contatti. Ciò vale in particolare quando il tracciamento dei contatti deve essere effettuato in relazione a passeggeri transfrontalieri che hanno viaggiato con mezzi di trasporto collettivi con posti preassegnati, quali aeromobili, determinati treni, traghetti e motonavi in cui il numero di passeggeri esposti e la durata dell’esposizione a un passeggero infetto potrebbero essere significativi.

(6)

È pertanto opportuno costituire un’infrastruttura tecnica, denominata «piattaforma di scambio PLF», per consentire lo scambio sicuro, tempestivo ed efficace di dati tra le autorità competenti del SARR negli Stati membri, rendendo possibile la trasmissione interoperabile e automatica delle informazioni dai sistemi digitali PLF nazionali esistenti alle altre autorità competenti del SARR. Tale infrastruttura dovrebbe basarsi sulla piattaforma di scambio già sviluppata dall’Agenzia dell’Unione europea per la sicurezza aerea («AESA»), senza che quest’ultima svolga alcun ruolo nel contesto del trattamento dei dati personali attraverso la piattaforma di scambio PLF come stabilito nella presente decisione di esecuzione. La piattaforma di scambio PLF dovrebbe inoltre consentire lo scambio di dati. epidemiologici limitati, necessari per il tracciamento dei contatti, a norma dell’articolo 9, paragrafo 3, della decisione n. 1082/2013/UE. Al fine di evitare sovrapposizioni di iniziative o azioni in conflitto con le strutture e i meccanismi esistenti per il monitoraggio, l’allarme rapido e la lotta contro le gravi minacce per la salute a carattere transfrontaliero, la piattaforma di scambio PLF dovrebbe essere sviluppata nell’ambito del SARR a integrazione della funzione di messaggistica selettiva presente in tale sistema

(7)

La piattaforma di scambio PLF dovrebbe essere gestita dall’ECDC in linea con l’articolo 8 del regolamento (CE) n. 851/2004 del Parlamento europeo e del Consiglio (3).

(8)

La piattaforma di scambio PLF non dovrebbe conservare i dati PLF e i dati epidemiologici da scambiare.

(9)

Qualora non disponga di un proprio sistema PLF digitale sviluppato a livello nazionale, uno Stato membro potrebbe utilizzare il sistema comune dell’Unione europea per il PLF digitale (EUdPLF), del cui sviluppo è stata incaricata dalla Commissione l’azione congiunta EU Healthy Gateways (sovvenzione n. 801493) (4). Lo scopo dell’EUdPLF è creare un punto di accesso unico e una banca dati per la raccolta dei moduli di localizzazione dei passeggeri. In futuro l’EUdPLF dovrebbe essere collegato alla piattaforma di scambio PLF al solo scopo di consentire lo scambio di dati tra gli Stati membri che dispongono dei propri sistemi digitali PLF nazionali, da un lato, e gli Stati membri che utilizzano l’EUdPLF, dall’altro. La presente decisione non riguarda l’istituzione dell’EUdPLF né disciplina il trattamento dei dati personali in relazione ad esso.

(10)

La presente decisione non disciplina l’istituzione di PLF nazionali, che è una questione di competenza degli Stati membri. Questi ultimi sono liberi di scegliere se raccogliere PLF da tutti i passeggeri in arrivo nel proprio territorio o solo dai passeggeri la cui destinazione finale è lo Stato membro in questione. Affinché il tracciamento dei contatti a livello transfrontaliero e basato sui dati PLF sia efficace, è necessario che gli Stati membri raccolgano un insieme minimo comune di dati PLF attraverso i rispettivi PLF nazionali. È pertanto opportuno stabilire tali dati PLF minimi. Inoltre, per motivi di efficienza in termini di costi, sostenibilità e maggiore sicurezza della soluzione, gli Stati membri dovrebbero prevedere di adottare un approccio comune per quanto riguarda la compilazione dei PLF, ossia se imporre la compilazione di tali moduli a tutti i passeggeri, compresi quelli in transito, o solo ai passeggeri la cui destinazione finale è lo Stato membro in questione.

(11)

L’uso della piattaforma di scambio PLF dovrebbe essere volontario e gli Stati membri dovrebbero essere liberi di notificare gli allarmi nell’ambito dell’attuale infrastruttura tecnica del SARR, su base temporanea, e a condizione che non risulti compromessa la finalità del tracciamento dei contatti.

(12)

Le autorità competenti del SARR dovrebbero scambiarsi esclusivamente degli insiemi ben definiti di dati raccolti attraverso i rispettivi PLF nonché altri dati epidemiologici, in misura limitata, necessari per il tracciamento dei contatti, in linea con il principio di minimizzazione del trattamento dei dati personali. Lo Stato membro che notifica l’allarme relativo a un passeggero infetto dovrebbe trasmettere i dati solo alle autorità competenti del SARR degli Stati membri interessati, che avrà potuto identificare sulla base dei dati PLF a sua disposizione. Ciò avviene, ad esempio, quando lo Stato membro che identifica il passeggero infetto raccoglie PLF per tutti i passeggeri, compresi quelli in transito, che giungono nel suo territorio con un collegamento diretto dal luogo iniziale di partenza.

(13)

Se un passeggero è identificato come infetto da SARS-CoV-2 in uno Stato membro, le autorità competenti del SARR di tale Stato membro dovrebbero poter condividere con le autorità competenti del SARR dello Stato membro di partenza un insieme limitato di dati estratti dai PLF definito rigorosamente sulla base di quanto è necessario per il tracciamento dei contatti delle persone esposte nello Stato membro di partenza e di residenza (se diverso dallo Stato membro di partenza), vale a dire l’identità e le informazioni di contatto del passeggero infetto.

(14)

Inoltre, se un passeggero è identificato come infettato da SARS-CoV-2 in uno Stato membro, le autorità competenti del SARR di tale Stato membro dovrebbero anche poter condividere un insieme limitato di dati con le autorità competenti del SARR di tutti gli Stati membri o degli Stati membri interessati, nel caso in cui tali autorità dispongano di informazioni che consentono loro di identificare gli Stati membri interessati. I dati dovrebbero limitarsi a luogo di partenza, luogo di arrivo, data di partenza, tipo di trasporto utilizzato (ad es. aereo, ferroviario, autobus, traghetto, nave), numero di identificazione del servizio di trasporto (ossia numero del volo, numero del treno, numero di targa dell’autobus, nome del traghetto o della nave), numero di posto a sedere o di cabina del passeggero infetto e ora di partenza nel caso in cui i dati di cui sopra non siano sufficienti per identificare il trasporto. In tal modo le autorità competenti del SARR che ricevono tali dati dovrebbero essere in grado di stabilire se i passeggeri esposti sono giunti nel loro territorio e, in caso affermativo, di effettuare il tracciamento dei contatti.

(15)

Nel condividere i dati con altre autorità competenti del SARR attraverso la piattaforma di scambio PLF, la pertinente autorità competente del SARR dovrebbe essere in grado di aggiungere informazioni epidemiologiche, limitatamente a quanto necessario per effettuare il tracciamento dei contatti, ossia il tipo di test COVID-19 effettuato, la variante del virus SARS-CoV-2, la data del prelievo e la data di insorgenza dei sintomi.

(16)

Il trattamento dei dati personali dei passeggeri infetti scambiati attraverso la piattaforma di scambio PLF deve essere effettuato dalle autorità competenti del SARR a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (5). Il trattamento dei dati personali di responsabilità dell’ECDC in qualità di gestore della piattaforma di scambio PLF ai fini del tracciamento dei contatti e della Commissione in qualità di sotto-responsabile del trattamento deve essere conforme al regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (6).

(17)

La base giuridica per lo scambio dei dati personali dei passeggeri infetti, anche riguardanti la salute, tra le autorità competenti del SARR ai fini del tracciamento dei contatti è costituita dall’articolo 9, paragrafo 1, e paragrafo 3, lettera i), della decisione n. 1082/2013/UE, in linea con l’articolo 6, paragrafo 1, lettera c), e l’articolo 9, paragrafo 2, lettera i), del regolamento (UE) 2016/679. La presente decisione dovrebbe stabilire misure specifiche e appropriate per tutelare i diritti e le libertà dell’interessato. Tali misure dovrebbero riguardare anche la definizione dei necessari insiemi di dati da scambiare, le autorità competenti del SARR con cui dovrebbero essere scambiati i dati nei vari casi, le opportune misure di sicurezza, compresa la cifratura, e le modalità di trattamento dei dati tra le autorità nazionali competenti attraverso la piattaforma di scambio PLF all’interno dell’Unione europea.

(18)

Le autorità competenti del SARR che partecipano alla piattaforma di scambio PLF definiscono insieme la finalità e i mezzi del trattamento dei dati personali nella piattaforma di scambio PLF e sono pertanto contitolari del trattamento. L’articolo 26 del regolamento (UE) 2016/679 impone ai contitolari del trattamento l’obbligo di determinare, in modo trasparente, le rispettive responsabilità in merito all’osservanza degli obblighi previsti dal medesimo regolamento. Esso prevede inoltre la possibilità che tali responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. La presente decisione dovrebbe pertanto determinare i rispettivi ruoli e le rispettive responsabilità dei contitolari del trattamento.

(19)

L’ECDC, in quanto fornitore di soluzioni tecniche e organizzative per la piattaforma di scambio PLF, elabora i dati PLF e i dati epidemiologici per conto degli Stati membri che partecipano alla piattaforma di scambio PLF in qualità di contitolari del trattamento ed è pertanto un responsabile del trattamento ai sensi dell’articolo 3, punto 12, del regolamento (UE) 2018/1725. A norma dell’articolo 28 del regolamento (UE) 2016/679 e dell’articolo 29 del regolamento (UE) 2018/1725, i trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da un atto giuridico, a norma del diritto dell’Unione o di uno Stato membro, che vincoli il responsabile del trattamento al titolare del trattamento e che specifichi i trattamenti. È pertanto necessario stabilire norme sul trattamento da parte dell’ECDC in qualità di responsabile del trattamento.

(20)

L’articolo 3, paragrafo 3, del regolamento (CE) n. 851/2004 prevede che l’ECDC, la Commissione e gli Stati membri cooperino al fine di favorire la coerenza effettiva delle loro rispettive attività. Di conseguenza, è opportuno concludere accordi sul livello dei servizi tra la Commissione e l’ECDC ai fini della cooperazione durante lo sviluppo tecnico e la gestione della piattaforma di scambio PLF. Tali accordi devono specificare la ripartizione delle responsabilità (organizzative, finanziarie e tecnologiche) tra le parti per facilitare l’attuazione della piattaforma di scambio PLF e le misure tecniche relative alla gestione, alla manutenzione e all’ulteriore sviluppo della piattaforma.

(21)

È pertanto opportuno modificare di conseguenza la decisione di esecuzione (UE) 2017/253.

(22)

La piattaforma di scambio PLF sarà finanziata nel 2021 dallo strumento per il sostegno di emergenza, istituito per aiutare gli Stati membri nella risposta alla pandemia di COVID-19 affrontando le necessità in modo strategico e coordinato a livello europeo e attraverso le «Attività di supporto per la politica europea dei trasporti, la sicurezza dei trasporti e i diritti dei passeggeri comprese le attività di comunicazione». Nel 2022 sarà finanziata dal programma Europa digitale.

(23)

Tenuto conto della data prevista di operatività della piattaforma di scambio PLF, la presente decisione dovrebbe applicarsi a decorrere dal 1o giugno 2021. Lo scambio di dati dovrebbe cessare dopo 12 mesi, oppure quando il direttore generale dell’Organizzazione mondiale della sanità, conformemente al regolamento sanitario internazionale, avrà dichiarato la fine dell’emergenza sanitaria pubblica di rilevanza internazionale causata dal SARS-CoV-2.

(24)

L’operatività della piattaforma di scambio PLF dovrebbe limitarsi al controllo della pandemia di COVID-19. In futuro potrebbe tuttavia essere estesa, mediante una decisione di esecuzione modificativa, ad altre epidemie per le quali si renda necessario lo scambio di dati PLF tra gli Stati membri ai fini del tracciamento dei contatti, in linea con i criteri di cui all’articolo 9, paragrafo 1, e con le condizioni di cui all’articolo 9, paragrafo 3, della decisione n. 1082/2013/UE.

(25)

Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 6 maggio 2021.

(26)

Le misure di cui alla presente decisione sono conformi al parere del comitato per le gravi minacce per la salute a carattere transfrontaliero di cui all’articolo 18 della decisione n. 1082/2013/UE.

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

La decisione di esecuzione (UE) 2017/253 è così modificata:

1)

è inserito il seguente articolo 1 bis:

«Articolo 1 bis

Definizioni

Ai fini della presente decisione si applicano le definizioni seguenti:

a)

“modulo di localizzazione dei passeggeri” (“PLF”): un modulo compilato su richiesta delle autorità sanitarie che raccoglie perlomeno i dati relativi ai passeggeri specificati all’allegato I e che è utile a tali autorità nella gestione di un evento di sanità pubblica, in quanto consente loro di rintracciare i passeggeri transfrontalieri che possono essere stati esposti a una persona infetta da SARS-CoV-2;

b)

“dati del modulo di localizzazione dei passeggeri” (“dati PLF”): i dati personali raccolti tramite un PLF;

c)

“punto di ingresso digitale”: il luogo digitale unico presso il quale le autorità competenti del SARR possono collegare in modo sicuro i loro sistemi digitali PLF nazionali alla piattaforma di scambio PLF;

d)

“viaggio”: il viaggio transfrontaliero, costituito da una o più tratte, effettuato da una persona con mezzi di trasporto collettivo con posti preassegnati, tenuto conto del luogo di partenza iniziale e di destinazione finale della persona;

e)

“tratta”: un singolo viaggio transfrontaliero di un passeggero senza coincidenze o cambi di volo, treno, nave o veicolo;

f)

“passeggero infetto”: un passeggero che, sulla base dei pertinenti criteri di laboratorio, risulta infettato da SARS-CoV-2;

g)

“persona esposta”: un passeggero o altra persona che è stato/a in stretto contatto con un passeggero infetto;

h)

“allarme”: una notifica attraverso il Sistema di allarme rapido e di reazione (SARR) a norma dell’articolo 9 della decisione 1082/2013/UE.»;

2)

sono inseriti i seguenti articoli 2 bis, 2 ter e 2 quater:

«Articolo 2 bis

Piattaforma per lo scambio di dati PLF

1.   È istituita nell’ambito del SARR una piattaforma per lo scambio sicuro dei dati PLF dei passeggeri infetti (“piattaforma di scambio PLF”), al solo scopo del tracciamento dei contatti delle persone esposte al SARS-CoV-2 da parte delle autorità competenti del SARR e a integrazione della funzione di messaggistica selettiva presente in tale sistema.

La piattaforma di scambio PLF fornisce un punto di ingresso digitale affinché le autorità competenti del SARR possano collegare in modo sicuro i loro sistemi digitali PLF nazionali o possano collegarsi attraverso il sistema comune dell’Unione europea per PLF digitale (EUdPLF), al fine di consentire lo scambio dei dati raccolti tramite PLF.

Le autorità competenti del SARR possono utilizzare la piattaforma di scambio PLF per lo scambio di ulteriori dati, ossia dati epidemiologici, al solo scopo del tracciamento dei contatti delle persone esposte al SARS-CoV-2, conformemente all’articolo 2 ter, paragrafo 5.

2.   La piattaforma di scambio PLF è gestita dall’ECDC.

3.   Al fine di adempiere gli obblighi di cui all’articolo 2 relativi alla notifica delle gravi minacce per la salute a carattere transfrontaliero individuate nel contesto della raccolta di dati PLF, le autorità competenti del SARR degli Stati membri che impongono la compilazione di PLF si scambiano, attraverso la piattaforma di scambio PLF, un insieme di dati PLF quale specificato all’articolo 2 ter.

4.   Le autorità competenti del SARR possono continuare ad adempiere gli obblighi di cui all’articolo 9, paragrafi 1 e 3, della decisione n. 1082/2013/UE relativi alla notifica delle gravi minacce per la salute a carattere transfrontaliero individuate nel contesto della raccolta di dati PLF attraverso gli altri canali di comunicazione esistenti richiamati all’articolo 1, paragrafo 2, della presente decisione, su base temporanea, e a condizione che non risulti compromessa la finalità del tracciamento dei contatti.

5.   La piattaforma di scambio PLF non conserva i dati PLF e gli ulteriori dati epidemiologici. La piattaforma permette soltanto che le autorità competenti del SARR ricevano i dati trasmessi loro da altre autorità competenti del SARR, al solo scopo del tracciamento dei contatti delle persone esposte al SARS-CoV-2. L’ECDC accede ai dati solo per garantire il buon funzionamento della piattaforma di scambio PLF.

6.   Le autorità competenti del SARR non conservano i dati PLF ed epidemiologici ricevuti attraverso la piattaforma di scambio PLF per un periodo superiore al periodo di conservazione applicabile nell’ambito delle loro attività nazionali di tracciamento dei contatti delle persone esposte al SARS-CoV-2.

7.   La Commissione coopera con l’ECDC nell’adempimento dei compiti ad esso affidati a norma della presente decisione, in particolare per quanto riguarda le misure tecniche e organizzative relative all’introduzione, all’attuazione, alla gestione, alla manutenzione e all’ulteriore sviluppo della piattaforma di scambio PLF.

8.   Il trattamento dei dati personali nella piattaforma di scambio PLF al solo scopo del tracciamento dei contatti delle persone esposte al SARS-CoV-2 è effettuato fino al 31 maggio 2022 oppure, se precedente, fino al giorno in cui il direttore generale dell’Organizzazione mondiale della sanità avrà dichiarato, conformemente al regolamento sanitario internazionale, la fine dell’emergenza sanitaria pubblica di rilevanza internazionale causata dal SARS-CoV-2.

Articolo 2 ter

Dati da scambiare

1.   Quando notificano un allarme nella piattaforma di scambio PLF, le autorità competenti del SARR dello Stato membro in cui è identificato il passeggero infetto trasmettono alle autorità competenti del SARR dello Stato membro di partenza iniziale o di residenza del passeggero infetto, se il luogo di residenza è diverso dal luogo di partenza iniziale, i seguenti dati PLF:

a)

nome;

b)

cognome;

c)

data di nascita;

d)

numero di telefono (fisso e/o cellulare)

e)

indirizzo email;

f)

indirizzo di residenza.

2.   Le autorità competenti del SARR dello Stato membro di partenza iniziale del passeggero infetto possono trasmettere i dati PLF ricevuti a uno Stato membro di partenza diverso da quello dichiarato nel PLF come Stato membro di partenza iniziale, nel caso in cui dispongano di informazioni supplementari indicanti lo Stato membro che dovrebbe effettuare il tracciamento dei contatti.

3.   Quando notificano un allarme nella piattaforma di scambio PLF, le autorità competenti del SARR dello Stato membro in cui è identificato il passeggero infetto trasmettono alle autorità competenti del SARR di tutti gli Stati membri, in relazione a ciascuna tratta del viaggio del passeggero, i seguenti dati PLF:

a)

luogo di partenza di ciascun trasporto interessato;

b)

luogo di arrivo di ciascun trasporto interessato;

c)

data di partenza di ciascun trasporto interessato;

d)

ogni tipo di trasporto interessato (ad esempio aereo, ferroviario, autobus, traghetto, nave);

e)

numero di identificazione (ad esempio numero del volo, numero del treno, numero di targa dell’autobus, nome del traghetto o della nave) di ciascun trasporto interessato;

f)

numero del posto a sedere/della cabina per ciascun trasporto interessato;

g)

se necessario, l’ora di partenza di ciascun trasporto interessato.

4.   Se sono in grado di individuare gli Stati membri interessati sulla base delle informazioni a loro disposizione, le autorità competenti del SARR dello Stato membro che notifica l’allarme trasmettono i dati di cui al paragrafo 3 solo alle autorità competenti del SARR di tali Stati membri.

5.   Le autorità competenti del SARR sono in grado di fornire i seguenti dati epidemiologici, ove ciò sia necessario per effettuare un efficace tracciamento dei contatti:

a)

tipo di test effettuato;

b)

variante del virus SARS-CoV-2;

c)

data di prelievo del campione;

d)

data di insorgenza dei sintomi.

Articolo 2 quater

Responsabilità delle autorità competenti del SARR e responsabilità dell’ECDC nel trattamento dei dati PLF

1.   Le autorità competenti del SARR che scambiano dati PLF e i dati di cui all’articolo 2 ter, paragrafo 5, sono contitolari del trattamento per l’inserimento e la trasmissione di tali dati attraverso la piattaforma di scambio PLF, fino al ricevimento degli stessi. Le rispettive responsabilità dei contitolari del trattamento sono attribuite in conformità dell’allegato II. Ciascuno Stato membro che intenda partecipare allo scambio transfrontaliero di dati PLF attraverso la piattaforma di scambio PLF notifica all’ECDC, prima dell’adesione, la propria intenzione di aderire e comunica quale autorità competente del SARR è designata come titolare del trattamento responsabile.

2.   L’ECDC è il responsabile del trattamento dei dati scambiati attraverso la piattaforma di scambio PLF. Esso fornisce la piattaforma di scambio PLF, garantisce la sicurezza del trattamento, compresa la trasmissione, dei dati scambiati attraverso la piattaforma di scambio PLF e rispetta gli obblighi del responsabile del trattamento di cui all’allegato III.

3.   L’efficacia delle misure tecniche e organizzative volte a garantire la sicurezza del trattamento dei dati PLF scambiati attraverso la piattaforma di scambio PLF è periodicamente verificata, esaminata e valutata dall’ECDC e dalle autorità competenti del SARR autorizzate ad accedere alla piattaforma di scambio PLF.

4.   L’ECDC ricorre alla Commissione in qualità di sotto-responsabile del trattamento e garantisce che ad essa si applichino gli stessi obblighi in materia di protezione dei dati stabiliti con la presente decisione.»;

3)

all’articolo 3, paragrafo 3, i termini «all’allegato» sono sostituiti dai termini «all’allegato IV»;

4)

nell’allegato, il titolo «ALLEGATO» è sostituito da «ALLEGATO IV»;

5)

sono inseriti gli allegati I, II e III riportati nell’allegato della presente decisione.

Articolo 2

La presente decisione entra in vigore il terzo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Essa si applica a decorrere dal 1o giugno 2021.

Fatto a Bruxelles, il 27 maggio 2021

Per la Commissione

La presidente

Ursula VON DER LEYEN


(1)  GU L 293 del 5.11.2013, pag. 1.

(2)  GU L 337 del 14.10.2020, pag. 3.

(3)  Regolamento (CE) n. 851/2004 del Parlamento europeo e del Consiglio, del 21 aprile 2004, con il quale si crea un Centro europeo per la prevenzione e il controllo delle malattie (GU L 142 del 30.4.2004, pag. 1).

(4)  L'azione comune Preparazione e azione presso i punti di entrata (porti, aeroporti e valichi terrestri) HEALTHY GATEWAYS è finanziata dal terzo programma in materia di salute (2014-2020) e riunisce 28 paesi europei.

(5)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GU L 119 del 4.5.2016, pag. 1).

(6)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).


ALLEGATO

«ALLEGATO I

INSIEME MINIMO DI DATI PLF DA RACCOGLIERE ATTRAVERSO IL PLF NAZIONALE

Il PLF contiene almeno i seguenti dati PLF:

1)

nome;

2)

cognome;

3)

data di nascita;

4)

numero di telefono (fisso e/o cellulare);

5)

indirizzo email;

6)

indirizzo di residenza;

7)

destinazione ultima o finale nell'UE dell'intero viaggio;

8)

le seguenti informazioni per ciascuna tratta del viaggio fino allo Stato membro che richiede il PLF:

a)

luogo di partenza;

b)

luogo di arrivo;

c)

data di partenza;

d)

tipo di trasporto (ad esempio aereo, ferroviario, autobus, traghetto, nave);

e)

orario di partenza;

f)

numero di identificazione (ad esempio numero del volo, numero del treno, numero di targa dell'autobus, nome del traghetto o della nave) del trasporto;

g)

numero del posto a sedere/della cabina.

ALLEGATO II

RESPONSABILITÀ DEGLI STATI MEMBRI PARTECIPANTI IN QUALITÀ DI CONTITOLARI DEL TRATTAMENTO PER LA PIATTAFORMA DI SCAMBIO PLF

SEZIONE 1

Ripartizione delle responsabilità

1)

Ciascuna autorità competente del SARR garantisce che il trattamento dei dati PLF e degli ulteriori dati epidemiologici scambiati attraverso la piattaforma di scambio PLF sia effettuato in conformità al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (*). Garantisce in particolare che i dati da essa inseriti e trasmessi attraverso la piattaforma di scambio PLF siano esatti e limitati ai dati di cui all'articolo 2 ter della presente decisione.

2)

Ciascuna autorità competente del SARR è l'unico titolare del trattamento responsabile della raccolta, dell'uso, della comunicazione e di qualsiasi altro trattamento dei dati PLF e degli ulteriori dati epidemiologici effettuato al di fuori della piattaforma di scambio PLF. Ciascuna autorità competente del SARR garantisce che la trasmissione dei dati sia effettuata conformemente alle specifiche tecniche stabilite per la piattaforma di scambio PLF.

3)

Le istruzioni al responsabile del trattamento sono inviate da qualsiasi punto di contatto dei contitolari del trattamento, d'intesa con gli altri contitolari del trattamento.

4)

Solo le persone autorizzate dalle autorità competenti del SARR possono accedere ai dati PLF e agli ulteriori dati epidemiologici scambiati attraverso la piattaforma di scambio PLF.

5)

Ciascuna autorità competente del SARR istituisce un punto di contatto con una casella di posta elettronica funzionale da utilizzare per la comunicazione tra i contitolari del trattamento e tra questi ultimi e il responsabile del trattamento. Il processo decisionale dei contitolari del trattamento è disciplinato dal gruppo di lavoro del comitato per la sicurezza sanitaria del SARR.

6)

Ciascuna autorità competente del SARR cessa di essere contitolare del trattamento a decorrere dalla data di revoca della sua partecipazione alla piattaforma di scambio PLF. Resta tuttavia responsabile della raccolta e della trasmissione dei dati PLF e degli ulteriori dati epidemiologici attraverso la piattaforma di scambio PLF effettuate prima della revoca.

7)

Ciascuna autorità competente del SARR tiene, sotto la propria responsabilità, un registro delle attività di trattamento. La contitolarità del trattamento può essere indicata nel registro.

SEZIONE 2

Responsabilità e ruoli per la gestione delle richieste degli interessati e la loro informazione

1)

Ciascuna autorità competente del SARR che richiede un PLF fornisce ai passeggeri transfrontalieri (gli «interessati») informazioni sulle modalità di scambio dei loro dati PLF ed epidemiologici attraverso la piattaforma di scambio ai fini del tracciamento dei contatti, conformemente agli articoli 13 e 14 del regolamento (UE) 2016/679.

2)

Ciascuna autorità competente del SARR funge da punto di contatto per gli interessati e tratta le richieste relative all'esercizio dei loro diritti conformemente al regolamento (UE) 2016/679, presentate dagli interessati stessi o da loro rappresentanti. Ciascuna autorità competente del SARR designa uno specifico punto di contatto dedicato alle richieste ricevute dagli interessati. Se un'autorità competente del SARR riceve da un interessato una richiesta che non rientra nella sua responsabilità, la inoltra prontamente all'autorità competente del SARR responsabile e ne informa l'ECDC. Se richiesto, le autorità competenti del SARR si forniscono assistenza reciproca nella gestione delle richieste degli interessati relativamente agli aspetti della contitolarità e si rispondono reciprocamente senza indebito ritardo e al più tardi entro 15 giorni dalla ricezione di una richiesta di assistenza.

3)

Ciascuna autorità competente del SARR mette a disposizione degli interessati il contenuto del presente allegato, comprese le disposizioni di cui ai punti 1 e 2.

SEZIONE 3

Gestione degli incidenti di sicurezza, comprese le violazioni dei dati personali

1)

Le autorità competenti del SARR, in qualità di contitolari del trattamento, si forniscono assistenza reciproca nell'identificazione e nella gestione di eventuali incidenti di sicurezza, comprese le violazioni dei dati personali, connesse al trattamento dei dati PLF e dei dati epidemiologici scambiati attraverso la piattaforma di scambio PLF.

2)

In particolare, si notificano reciprocamente e notificano all'ECDC:

a)

eventuali rischi potenziali o effettivi per la disponibilità, la riservatezza e/o l'integrità dei dati PLF e dei dati epidemiologici oggetto di trattamento nella piattaforma di scambio PLF;

b)

eventuali violazioni dei dati, le probabili conseguenze delle violazioni dei dati e la valutazione del rischio per i diritti e le libertà delle persone fisiche, nonché le misure adottate per porre rimedio alla violazione dei dati personali e per attenuare il rischio per i diritti e le libertà delle persone fisiche;

c)

eventuali violazioni delle garanzie tecniche e/o organizzative del trattamento nella piattaforma di scambio PLF.

3)

Le autorità competenti del SARR comunicano all'ECDC, alle competenti autorità di controllo e, ove prescritto, agli interessati, eventuali violazioni dei dati in relazione al trattamento nella piattaforma di scambio PLF, in conformità agli articoli 33 e 34 del regolamento (UE) 2016/679 o a seguito della notifica da parte dell'ECDC.

4)

Ciascuna autorità competente del SARR applica adeguate misure tecniche e organizzative, intese a:

a)

garantire e proteggere la sicurezza, l'integrità e la riservatezza dei dati personali oggetto di trattamento congiunto;

b)

proteggere i dati personali in suo possesso da trattamenti, perdite, usi, comunicazioni, acquisizioni o accessi non autorizzati o illeciti;

c)

garantire che l'accesso ai dati personali non sia esteso o consentito a soggetti diversi dai destinatari o dai responsabili del trattamento.

SEZIONE 4

Valutazione d'impatto sulla protezione dei dati

Se un titolare del trattamento, per rispettare gli obblighi di cui agli articoli 35 e 36 del regolamento (UE) 2016/679, ha bisogno di informazioni da un altro titolare del trattamento, invia una richiesta specifica alla casella di posta elettronica funzionale di cui alla sezione 1, sottosezione 1, punto 5. Quest'ultimo titolare del trattamento si adopera al meglio per fornire tali informazioni.

ALLEGATO III

RESPONSABILITÀ DELL'ECDC IN QUALITÀ DI RESPONSABILE DEL TRATTAMENTO PER LA PIATTAFORMA DI SCAMBIO PLF

1)   

L'ECDC istituisce e garantisce un'infrastruttura di comunicazione sicura e affidabile che colleghi le autorità competenti del SARR degli Stati membri che partecipano alla piattaforma di scambio PLF.

Il trattamento da parte dell'ECDC della piattaforma di scambio PLF comporta quanto segue:

a)

definire l'insieme minimo di requisiti tecnici per consentire l'onboarding e l'offboarding agevole e sicuro delle banche dati PLF nazionali;

b)

garantire l'interoperabilità delle banche dati PLF nazionali in modo sicuro e automatizzato.

2)   

Per adempiere i suoi obblighi di responsabile del trattamento della piattaforma di scambio PLF, l'ECDC ricorre alla Commissione in qualità di sotto-responsabile del trattamento e garantisce che ad essa si applichino gli stessi obblighi in materia di protezione dei dati stabiliti con la presente decisione.

L'ECDC può autorizzare la Commissione a ricorrere a terzi come ulteriori sotto-responsabili del trattamento.

Se la Commissione ricorre a terzi come sotto-responsabili del trattamento, l'ECDC:

a)

si assicura che a detti sotto-responsabili si applichino gli stessi obblighi in materia di protezione dei dati di cui alla presente decisione;

b)

informa i titolari del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri sotto-responsabili del trattamento, dando loro la possibilità di opporsi a maggioranza semplice a tali modifiche.

3)   

L'ECDC:

a)

istituisce e garantisce un'infrastruttura di comunicazione sicura e affidabile che colleghi le autorità competenti del SARR degli Stati membri che partecipano alla piattaforma di scambio PLF;

b)

tratta i dati PLF e gli ulteriori dati epidemiologici esclusivamente sulla base di istruzioni documentate dei titolari del trattamento, a meno che ciò non sia richiesto dal diritto dell'Unione; in tal caso, l'ECDC informa i titolari del trattamento in merito a tale obbligo giuridico prima del trattamento, a meno che il diritto vieti la fornitura di tale informazione per importanti motivi di interesse pubblico;

c)

mette in atto un piano di sicurezza, un piano di continuità operativa e un piano di ripristino in caso di disastro;

d)

adotta le misure necessarie per preservare l'integrità dei dati PLF e degli ulteriori dati epidemiologici trattati;

e)

adotta tutte le misure di sicurezza organizzative, fisiche, ed elettroniche all'avanguardia per mantenere efficiente la piattaforma di scambio PLF; a tal fine l'ECDC:

i)

designa un responsabile per la gestione della sicurezza a livello della piattaforma di scambio PLF, ne comunica i recapiti ai titolari del trattamento e garantisce la sua disponibilità a reagire alle minacce alla sicurezza;

ii)

si assume la responsabilità della sicurezza della piattaforma di scambio PLF;

iii)

si assicura che tutte le persone cui è consentito l'accesso alla piattaforma di scambio PLF siano assoggettate per contratto, professionalmente o per legge all'obbligo di riservatezza;

f)

adotta tutte le misure di sicurezza necessarie per evitare di compromettere il regolare funzionamento operativo della piattaforma di scambio PLF; a tal fine, l'ECDC mette in atto procedure specifiche relative al funzionamento della piattaforma di scambio PLF e alla connessione tra i server di back-end e la piattaforma di scambio PLF; tra queste:

i)

una procedura di valutazione del rischio finalizzata a individuare e stimare potenziali minacce al sistema;

ii)

una procedura di audit e revisione finalizzata a:

1)

verificare la corrispondenza tra le misure di sicurezza applicate e la politica di sicurezza applicabile;

2)

controllare periodicamente l'integrità dei file di sistema, dei parametri di sicurezza e delle autorizzazioni concesse;

3)

individuare e monitorare le violazioni della sicurezza e le intrusioni;

4)

apportare modifiche per ridurre le lacune esistenti in materia di sicurezza;

5)

consentire, anche su richiesta dei titolari del trattamento, l'esecuzione di audit indipendenti, comprese ispezioni, e di revisioni delle misure di sicurezza, e contribuirvi, a condizioni che rispettino il protocollo (n. 7) del TFUE sui privilegi e sulle immunità dell'Unione europea (2);

iii)

la modifica della procedura di controllo finalizzata a documentare e misurare l'impatto di una modifica prima della sua realizzazione e a tenere informati i titolari del trattamento in merito a eventuali modifiche in grado di avere effetti sulla comunicazione con le loro infrastrutture e/o sulla sicurezza di queste ultime;

iv)

l'elaborazione di una procedura per la manutenzione e la riparazione finalizzata a specificare le norme e le condizioni da rispettare in caso di manutenzione e/o riparazione delle attrezzature;

v)

l'elaborazione di una procedura per gli incidenti di sicurezza finalizzata a definire il sistema di segnalazione e successione, a informare senza indugio i titolari del trattamento, affinché possano notificare le autorità nazionali di controllo della protezione dei dati in merito a qualsiasi violazione dei dati personali, e a definire un processo disciplinare per affrontare le violazioni della sicurezza;

g)

adotta misure di sicurezza fisiche e/o elettroniche all'avanguardia per le strutture che ospitano le attrezzature della piattaforma di scambio PLF e per i controlli dei dati e della sicurezza dell'accesso; a tal fine, l'ECDC:

i)

garantisce il rispetto della sicurezza fisica per stabilire specifici perimetri di sicurezza e consentire l'individuazione di violazioni;

ii)

controlla l'accesso alle strutture e tiene un registro dei visitatori a fini di tracciabilità;

iii)

si assicura che le persone esterne a cui è consentito l'accesso ai locali siano scortate da personale debitamente autorizzato;

iv)

provvede affinché non possano essere aggiunte, sostituite o rimosse attrezzature senza la preventiva autorizzazione degli organismi responsabili designati;

v)

controlla l'accesso dai e ai sistemi PLF nazionali e da questi alla piattaforma di scambio PLF;

vi)

provvede affinché le persone che accedono alla piattaforma di scambio PLF siano identificate e la loro identità sia accertata;

vii)

riesamina i diritti di autorizzazione relativi all'accesso alla piattaforma di scambio PLF in caso di violazione della sicurezza riguardante tale infrastruttura;

viii)

applica misure tecniche e organizzative di sicurezza per impedire l'accesso non autorizzato ai dati PLF ed epidemiologici;

ix)

applica, ove necessario, misure per bloccare l'accesso non autorizzato alla piattaforma di scambio PLF dal dominio delle autorità nazionali (ossia: blocco di un indirizzo IP/di localizzazione);

h)

adotta misure per proteggere il suo dominio, compresa l'interruzione delle connessioni, in caso di scostamento sostanziale rispetto ai principi e ai concetti in materia di qualità o di sicurezza;

i)

prevede un piano di gestione dei rischi in relazione al suo settore di competenza;

j)

monitora – in tempo reale – l'efficienza di tutte le componenti dei servizi della piattaforma di scambio PLF, produce statistiche periodiche e conserva le informazioni;

k)

si adopera affinché il servizio sia disponibile 24/7, con un tempo di inattività accettabile a fini di manutenzione;

l)

fornisce supporto in inglese per tutti i servizi della piattaforma di scambio PLF tramite telefono, posta elettronica o portale web e accetta le chiamate dai chiamanti autorizzati: coordinatori della piattaforma di scambio PLF e rispettivi helpdesk, responsabili di progetto e persone designate dall'ECDC;

m)

assiste i titolari del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III del regolamento (UE) 2016/679;

n)

assiste i titolari del trattamento fornendo informazioni sulla piattaforma di scambio PLF ai fini dell'adempimento degli obblighi di cui agli articoli 32, 35 e 36 del regolamento (UE) 2016/679;

o)

garantisce che i dati PLF ed epidemiologici trasmessi attraverso la piattaforma di scambio PLF siano incomprensibili a chiunque non sia autorizzato ad accedervi, in particolare applicando una cifratura forte;

p)

adotta tutte le misure pertinenti per evitare che gli operatori della piattaforma di scambio PLF abbiano accesso non autorizzato ai dati PLF e epidemiologici trasmessi;

q)

adotta misure volte a facilitare l'interoperabilità e la comunicazione tra i titolari del trattamento della piattaforma di scambio PLF designati;

r)

tiene un registro delle attività di trattamento svolte per conto dei titolari del trattamento in conformità all'articolo 31, paragrafo 2, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio.

».

(*)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GU L 119 del 4.5.2016, pag. 1).


Top