EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32021Q0209(01)

Decisione SC (2020) 26 del comitato direttivo dell’INEA del 14 ottobre 2020 sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle attività svolte dall’Agenzia esecutiva per l’innovazione e le reti

PUB/2021/98

OJ L 45, 9.2.2021, p. 80–89 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/proc_rules/2021/209/oj

9.2.2021   

IT

Gazzetta ufficiale dell’Unione europea

L 45/80


DECISIONE SC (2020) 26 DEL COMITATO DIRETTIVO DELL’INEA

del 14 ottobre 2020

sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle attività svolte dall’Agenzia esecutiva per l’innovazione e le reti

IL COMITATO DIRETTIVO,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 249, paragrafo 1,

visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (1) [«il regolamento»], in particolare l’articolo 25,

visto il regolamento (CE) n. 58/2003 del Consiglio, del 19 dicembre 2002, che definisce lo statuto delle agenzie esecutive incaricate dello svolgimento di alcuni compiti relativi alla gestione dei programmi comunitari (2),

vista la decisione di esecuzione 2013/801/UE della Commissione (3), del 23 dicembre 2013, che istituisce l’Agenzia esecutiva per l’innovazione e le reti e abroga la Decisione 2007/60/CE quale modificata dalla decisione 2008/593/CE,

vista la decisione C(2013)9235 della Commissione, del 23 dicembre 2013, che delega poteri all’Agenzia esecutiva per l’innovazione e le reti ai fini dell’esecuzione di compiti connessi all’attuazione dei programmi dell’Unione in materia di infrastrutture di trasporto, energia e telecomunicazioni e in materia di ricerca e innovazione nel settore dei trasporti e dell’energia, tra cui l’impiego di stanziamenti iscritti nel bilancio generale dell’Unione (4), modificata da ultimo dalla decisione C(2018)1281 della Commissione, del 27 febbraio 2018 (5),

sentito il Garante europeo della protezione dei dati,

considerando quanto segue:

(1)

L’Agenzia esecutiva per l’innovazione e le reti (INEA) («l’Agenzia») è stata istituita dalla decisione di esecuzione 2013/801/UE della Commissione ai fini dell’esecuzione dei compiti connessi all’attuazione dei programmi dell’Unione in materia di infrastrutture di trasporto, energia e telecomunicazioni e in materia di ricerca e innovazione nel settore dei trasporti e dell’energia (6).

(2)

Nell’ambito della sua funzione amministrativa e operativa, l’Agenzia può svolgere indagini amministrative e avviare procedimenti predisciplinari, disciplinari e di sospensione conformemente allo statuto dei funzionari dell’Unione europea e al regime applicabile agli altri agenti dell’Unione europea, di cui al regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio («statuto dei funzionari») (7), e alle disposizioni di esecuzione riguardanti lo svolgimento delle indagini amministrative e dei procedimenti disciplinari. Ove necessario, l’Agenzia può svolgere attività preliminari riguardanti casi di potenziali frodi e irregolarità e può notificare i casi all’OLAF.

(3)

I membri del personale dell’Agenzia hanno l’obbligo di comunicare le possibili attività illecite, comprese la frode e la corruzione, che sono lesive degli interessi dell’Unione. I membri del personale sono tenuti inoltre a segnalare una condotta in rapporto con l’esercizio di incarichi professionali che possa costituire una grave mancanza agli obblighi dei funzionari dell’Unione. L’obbligo di cui sopra è disciplinato dalle norme o politiche interne in materia di denunce di irregolarità.

(4)

L’Agenzia ha definito una politica per prevenire e gestire in modo efficace i casi reali o potenziali di molestie psicologiche o sessuali sul luogo di lavoro, come previsto nelle misure di esecuzione ai sensi dello statuto dei funzionari, che definiscono una procedura informale in base alla quale la presunta vittima di molestie può contattare consulenti «di fiducia» in seno all’Agenzia.

(5)

L’Agenzia può anche svolgere indagini interne sulla sicurezza (IT) e sulle potenziali violazioni delle norme di sicurezza per la protezione delle informazioni classificate dell’Unione europea («ICUE»).

(6)

L’Agenzia è soggetta ad audit sia interni sia esterni relativi alle sue attività, tra cui quelli condotti dai servizi di audit interno della Commissione europea e della Corte dei conti dell’Unione europea.

(7)

L’Agenzia può gestire le richieste della Procura europea (EPPO), le richieste di accesso alle cartelle cliniche dei membri del proprio personale e condurre indagini svolte dal responsabile della protezione dei dati, in linea con l’articolo 45, paragrafo 2, del regolamento.

(8)

Nell’ambito di tali indagini amministrative, audit, indagini o richieste, l’Agenzia collabora con le altre istituzioni e gli altri organi e organismi dell’Unione.

(9)

L’Agenzia può collaborare con le autorità nazionali di paesi terzi e le organizzazioni internazionali, su loro richiesta o di propria iniziativa.

(10)

L’Agenzia può anche collaborare con le autorità pubbliche degli Stati membri dell’UE, su loro richiesta o di propria iniziativa.

(11)

L’Agenzia può essere oggetto di reclami, procedimenti o indagini per il tramite di informatori o del Mediatore europeo.

(12)

L’Agenzia può essere coinvolta nelle cause dinanzi alla Corte di giustizia dell’Unione europea per adire la stessa Corte o per difendere le proprie decisioni o, ancora, intervenire nei casi pertinenti ai propri compiti. In tale contesto, l’Agenzia può dover salvaguardare la riservatezza dei dati personali contenuti nei documenti ottenuti dalle parti o dagli intervenienti.

(13)

Nel contesto delle sue attività, l’Agenzia tratta varie categorie di dati personali, tra cui i dati identificativi di persone fisiche, i recapiti, i ruoli e i compiti professionali, le informazioni relative a comportamenti e prestazioni nell’ambito privato e professionale nonché i dati finanziari e, in alcuni casi specifici, i dati sensibili (per esempio dati relativi alla salute). I dati personali comprendono i dati fattuali «controllati» e i dati provenienti da valutazioni «non controllati».

a)

«dati controllati» sono dati fattuali oggettivi, quali i dati d’identificazione, i recapiti, i dati professionali, i dettagli amministrativi, i metadati relativi alle comunicazioni elettroniche e i dati sul traffico.

b)

«dati non controllati» sono dati soggettivi e comprendono, in particolare, la descrizione e la valutazione di situazioni e circostanze, i pareri, le osservazioni relative agli interessati, la valutazione dei comportamenti e delle prestazioni degli interessati e le motivazioni alla base di decisioni individuali relative o presentate in relazione all’oggetto del procedimento o dell’attività svolta dall’Agenzia in linea con il quadro giuridico applicabile.

c)

Le valutazioni, le osservazioni e i pareri sono considerati dati personali ai sensi dell’articolo 3, paragrafo 1, del regolamento.

(14)

A norma del regolamento, l’Agenzia è tenuta ad adempiere all’obbligo di fornire informazioni agli interessati in relazione alle suddette attività di trattamento e a rispettare i diritti degli stessi interessati.

(15)

L’Agenzia è tenuta a rispettare, nella misura più ampia possibile, i diritti fondamentali degli interessati, in particolare il diritto alla comunicazione di informazioni, il diritto di accesso e rettifica, il diritto di cancellazione e limitazione del trattamento, il diritto di comunicazione di una violazione dei dati personali all’interessato e il diritto alla riservatezza delle comunicazioni sanciti nel regolamento. Tuttavia, l’Agenzia può anche essere tenuta a limitare i diritti e gli obblighi dell’interessato al fine di proteggere le proprie attività e i diritti e le libertà fondamentali altrui.

(16)

L’articolo 25, paragrafi 1 e 5, del regolamento, prevede la possibilità dell’Agenzia di limitare, a talune condizioni, l’applicazione degli articoli da 14 a 22 e degli articoli 35 e 36, nonché dell’articolo 4 del regolamento stesso nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 20. La limitazione deve fondarsi su norme interne adottate al più alto livello di gestione dell’Agenzia e destinate a essere pubblicate nella Gazzetta ufficiale dell’Unione europea, qualora non si fondino su atti giuridici adottati sulla base dei trattati.

(17)

Le limitazioni si possono applicare a vari diritti degli interessati, tra i quali la comunicazione di informazioni agli interessati, il diritto di accesso, rettifica, cancellazione e limitazione del trattamento, la comunicazione di una violazione dei dati personali all’interessato e la riservatezza delle comunicazioni sanciti nel regolamento.

(18)

L’Agenzia può essere tenuta a conciliare tali diritti con gli obiettivi delle indagini amministrative, degli audit, delle indagini e dei procedimenti giudiziari. Può anche essere necessario conciliare i diritti di un interessato con i diritti e le libertà fondamentali di altri interessati.

(19)

L’Agenzia può, in particolare, avere la necessità di limitare le informazioni che fornisce a un interessato sul trattamento dei suoi dati personali nella fase di valutazione preliminare di un’indagine amministrativa o durante l’indagine stessa, prima di un’eventuale archiviazione del caso, o nella fase predisciplinare. In determinate circostanze, fornire tali informazioni potrebbe seriamente compromettere la facoltà dell’Agenzia di condurre un’indagine efficace, ogniqualvolta, per esempio, vi sia il rischio che l’interessato possa distruggere prove o interferire con potenziali testimoni prima che siano ascoltati. L’Agenzia può inoltre avere la necessità di tutelare i diritti e le libertà dei testimoni nonché quelli di altre persone coinvolte.

(20)

L’Agenzia può avere la necessità di tutelare l’anonimato di un testimone o di un informatore che abbia chiesto di non essere identificato. In tal caso, l’Agenzia può decidere di limitare l’accesso all’identità, alle dichiarazioni e agli altri dati personali di dette persone o dell’indagato, al fine di tutelarne i diritti e le libertà.

(21)

L’Agenzia può avere la necessità di proteggere le informazioni riservate riguardanti un membro del personale che ha contattato i propri consulenti di fiducia nell’ambito di una procedura per molestie. In tali casi, l’Agenzia può dover limitare l’accesso all’identità, alle dichiarazioni e ad altri dati personali della presunta vittima, del presunto autore delle molestie e di altre persone coinvolte, al fine di tutelare i diritti e le libertà di tutte le persone interessate.

(22)

Per quanto riguarda le procedure di selezione e di assunzione, la valutazione del personale e le procedure di aggiudicazione degli appalti pubblici, il diritto di accesso, rettifica, cancellazione e limitazione può essere esercitato solo in determinati momenti e alle condizioni previste nelle procedure pertinenti, al fine di tutelare i diritti di altri interessati e di rispettare i principi della parità di trattamento e della segretezza delle deliberazioni.

(23)

L’Agenzia può anche limitare l’accesso delle persone ai loro dati medici, in particolare di natura psicologica o psichiatrica, a causa della potenziale sensibilità di tali dati, e il servizio medico della Commissione può voler concedere agli interessati solo l’accesso indiretto tramite il loro medico specialista. L’interessato può esercitare il diritto di rettifica sulle valutazioni o sui pareri del servizio medico della Commissione presentando osservazioni oppure un referto stilato da un medico di sua scelta.

(24)

L’Agenzia, rappresentata dal suo direttore, agisce in qualità di titolare del trattamento dei dati, indipendentemente dalle ulteriori deleghe di tale ruolo al proprio interno per riflettere le responsabilità operative delle specifiche attività di trattamento dei dati personali ai competenti «titolari del trattamento delegati».

(25)

I dati personali sono conservati in modo sicuro in un ambiente elettronico conforme alla decisione (UE, Euratom) 2017/46 della Commissione (8) sulla sicurezza dei sistemi di comunicazione e informazione della Commissione europea o in formato cartaceo, impedendo l’accesso illecito o il trasferimento dei dati a persone che non hanno necessità di venirne a conoscenza. I dati personali trattati sono conservati solo per il periodo di tempo necessario e opportuno per le finalità del trattamento, come specificato nelle comunicazioni sulla protezione dei dati e nei registri dell’Agenzia.

(26)

L’Agenzia applica le limitazioni solo qualora rispettino l’essenza dei diritti e delle libertà fondamentali, siano strettamente necessarie e costituiscano una misura proporzionata in una società democratica. L’Agenzia spiega le motivazioni di tali limitazioni e le comunica all’interessato informandolo del suo diritto di proporre reclamo al Garante europeo della protezione dei dati, come previsto dall’articolo 25, paragrafo 6, del regolamento.

(27)

Conformemente al principio di responsabilità, l’Agenzia tiene un registro dell’applicazione delle limitazioni.

(28)

In sede di trattamento dei dati personali scambiati con altre organizzazioni nell’ambito dei propri compiti, l’Agenzia e tali organizzazioni si consultano in merito ai potenziali motivi per l’imposizione di limitazioni e alla necessità e proporzionalità delle stesse, salvo che ciò pregiudichi le attività dell’Agenzia.

(29)

Le presenti norme interne si applicano a tutte le attività di trattamento dei dati personali svolte dall’Agenzia quando conduce indagini amministrative, procedimenti disciplinari, attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, indagini della Procura europea (EPPO), procedure in materia di denunce di irregolarità, procedure (formali e informali) nei casi di molestie, trattamento di reclami interni ed esterni, richieste di accesso a cartelle cliniche o di rettifica delle stesse, indagini svolte dal responsabile della protezione dei dati in linea con l’articolo 45, paragrafo 2, del regolamento, indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (per esempio CERT-UE), audit, procedimenti dinanzi alla Corte di giustizia dell’Unione europea o alle autorità pubbliche nazionali, procedure di selezione e di assunzione, valutazione del personale e appalti pubblici, come sopra indicato.

(30)

Tali norme interne si applicano alle attività di trattamento dei dati svolte anteriormente all’avvio delle procedure di cui sopra, nel corso del loro svolgimento e durante il monitoraggio del controllo dei loro risultati. Dovrebbero inoltre essere comprese l’assistenza e la cooperazione fornite dall’Agenzia alle altre istituzioni dell’Unione, alle autorità nazionali e alle organizzazioni internazionali al di fuori delle proprie indagini amministrative.

(31)

A norma dell’articolo 25, paragrafo 8, del regolamento, l’Agenzia ha il diritto di rinviare, omettere o negare la comunicazione delle informazioni sui motivi dell’applicazione di una limitazione all’interessato qualora, in qualsiasi modo, essa annulli l’effetto della limitazione stessa. L’Agenzia valuta caso per caso se la comunicazione della limitazione ne annullerebbe l’effetto.

(32)

L’Agenzia revoca la limitazione non appena le condizioni che la giustificano non siano più in essere e valuta periodicamente tali condizioni.

(33)

Per garantire la massima tutela dei diritti e delle libertà degli interessati e in conformità dell’articolo 44, paragrafo 1, del regolamento, il responsabile della protezione dei dati dell’Agenzia è consultato a tempo debito prima che possano essere applicate o riesaminate le eventuali limitazioni e ne verifica la conformità alla presente decisione.

(34)

L’articolo 16, paragrafo 5, e l’articolo 17, paragrafo 4, del regolamento prevedono deroghe al diritto di informazione e al diritto di accesso degli interessati. Se si applicano tali deroghe, l’Agenzia non è tenuta ad applicare una limitazione ai sensi della presente decisione,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Oggetto e campo d’applicazione

1.   La presente decisione stabilisce le norme relative alle condizioni alle quali l’Agenzia esecutiva per l’innovazione e le reti e il suo eventuale successore legale («l’Agenzia») può limitare l’applicazione degli articoli 4, da 14 a 22, 35 e 36, ai sensi dell’articolo 25 del regolamento.

2.   L’Agenzia, in qualità di titolare del trattamento, è rappresentata dal suo direttore, che può delegare ulteriormente la funzione di titolare del trattamento.

Articolo 2

Limitazioni applicabili

1.   L’Agenzia può limitare l’applicazione degli articoli da 14 a 22 e degli articoli 35 e 36, nonché dell’articolo 4 del regolamento nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 20.

2.   La presente decisione si applica al trattamento dei dati personali da parte dell’Agenzia nell’ambito della sua funzione amministrativa e operativa:

a)

a norma dell’articolo 25, paragrafo 1, lettere b), c), f), g) e h), del regolamento, quando conduce indagini interne, anche sulla base di reclami esterni, indagini amministrative, procedimenti predisciplinari, disciplinari o di sospensione ai sensi dell’articolo 86 e dell’allegato IX dello statuto dei funzionari e delle relative norme di applicazione, indagini di sicurezza o indagini dell’OLAF;

b)

a norma dell’articolo 25, paragrafo 1, lettera h), del regolamento, quando garantisce che i membri del proprio personale possano segnalare in via riservata fatti laddove ritengano che vi siano gravi irregolarità, come disciplinato dalle norme o politiche interne in materia di denunce di irregolarità;

c)

a norma dell’articolo 25, paragrafo 1, lettera h), del regolamento, quando garantisce che i membri del proprio personale possano effettuare segnalazioni ai consulenti di fiducia nel contesto di una procedura in materia di molestie, come previsto dalle proprie norme interne;

d)

a norma dell’articolo 25, paragrafo 1, lettere c), g) e h), del regolamento, quando svolge audit interni o esterni in relazione alle proprie attività o funzioni;

e)

a norma dell’articolo 25, paragrafo 1, lettere d) e h), del regolamento, quando garantisce le analisi di sicurezza, compresa la cibersicurezza e gli abusi del sistema informatico, gestite internamente o mediante intervento esterno (per esempio CERT-UE), garantisce la sicurezza interna tramite videosorveglianza, controlli dell’accesso e indagini, mette in sicurezza i sistemi di comunicazione e di informazione e pone in atto contromisure tecniche di sicurezza;

f)

a norma dell’articolo 25, paragrafo 1, lettere g) e h), del regolamento, quando il responsabile della protezione dei dati conduce indagini su questioni direttamente connesse ai propri compiti;

g)

a norma dell’articolo 25, paragrafo 1, lettere b), g) e h), del regolamento, nel contesto delle indagini della Procura europea (EPPO);

h)

a norma dell’articolo 25, paragrafo 1, lettera h), del regolamento, quando una persona richiede l’accesso o la rettifica dei propri dati medici, anche se sono conservati dal servizio medico della Commissione;

i)

a norma dell’articolo 25, paragrafo 1, lettere c), d), g) e h), del regolamento, quando fornisce o riceve assistenza e cooperazione a e da altre istituzioni, organi e organismi dell’Unione, nel contesto delle attività di cui alle lettere da a) a h) del presente paragrafo e ai sensi dei pertinenti accordi sul livello dei servizi, memorandum d’intesa e accordi di cooperazione del rispettivo atto di istituzione;

j)

a norma dell’articolo 25, paragrafo 1, lettere c), g) e h), del regolamento, quando fornisce o riceve assistenza e cooperazione a e da autorità nazionali di paesi terzi e organizzazioni internazionali, su loro richiesta o di propria iniziativa;

k)

a norma dell’articolo 25, paragrafo 1, lettere c), g) e h), del regolamento, quando fornisce o riceve assistenza e cooperazione a e da autorità pubbliche degli Stati membri dell’UE, su loro richiesta o di propria iniziativa;

l)

a norma dell’articolo 25, paragrafo 1, lettera e), del regolamento, quando tratta i dati personali in documenti ottenuti dalle parti o dagli intervenienti nel contesto di procedimenti dinanzi alla Corte di giustizia dell’Unione europea.

Ai fini della presente decisione, le attività di cui sopra comprendono le azioni preparatorie e di verifica direttamente connesse alle attività in questione.

3.   L’Agenzia può inoltre applicare limitazioni, caso per caso, ai diritti degli interessati di cui alla presente decisione, nei seguenti casi:

a)

quando un servizio della Commissione o un’altra istituzione, un altro organo, organismo o ufficio dell’Unione ha il diritto di limitare l’esercizio dei diritti elencati e l’obiettivo della limitazione imposta da tale servizio della Commissione, istituzione, organo o organismo dell’Unione sarebbe compromesso se l’Agenzia non applicasse una limitazione equivalente in relazione agli stessi dati personali;

b)

quando un’autorità competente di uno Stato membro ha il diritto di limitare l’esercizio dei diritti elencati e l’obiettivo della limitazione imposta da tale autorità sarebbe compromesso se l’Agenzia non applicasse una limitazione equivalente in relazione agli stessi dati personali;

c)

quando l’esercizio di tali diritti e obblighi comprometterebbe la cooperazione dell’Agenzia con paesi terzi o organizzazioni internazionali nell’esercizio delle sue funzioni, a meno che gli interessi o i diritti e le libertà fondamentali degli interessati non prevalgano su tale esigenza di cooperare;

d)

Prima di applicare limitazioni a norma del presente paragrafo, l’Agenzia consulta, ove necessario, i servizi della Commissione, le altre istituzioni, gli altri organi, organismi e uffici dell’Unione, le organizzazioni internazionali o le autorità competenti degli Stati membri pertinenti, salvo nel caso in cui la limitazione in questione sia chiaramente prevista da un atto di cui sopra o tale consultazione comprometterebbe le attività dell’Agenzia.

4.   Le categorie di dati personali trattati in relazione alle attività di cui sopra possono contenere dati fattuali «controllati» e dati provenienti da valutazioni «non controllati».

5.   Eventuali limitazioni rispettano l’essenza dei diritti e delle libertà fondamentali e rappresentano una misura necessaria e proporzionata in una società democratica.

Articolo 3

Registrazione delle limitazioni

1.   Il titolare del trattamento registra la limitazione descrivendo:

a)

i motivi di ogni limitazione applicata a norma della presente decisione;

b)

quali motivi trovano applicazione tra quelli elencati all’articolo 2;

c)

in che modo l’esercizio del diritto comporterebbe un rischio per l’interessato o comprometterebbe la finalità delle funzioni dell’Agenzia o lederebbe i diritti e le libertà degli altri interessati;

d)

l’esito della valutazione della necessità e proporzionalità della limitazione, tenendo conto degli elementi pertinenti di cui all’articolo 25, paragrafo 2, del regolamento.

2.   Prima di applicare eventuali limitazioni è effettuata, caso per caso, una verifica della necessità e della proporzionalità delle limitazioni stesse. Il titolare del trattamento esamina i rischi potenziali per i diritti e le libertà dell’interessato. Le limitazioni sono circoscritte a quanto strettamente necessario per conseguire i loro obiettivi.

3.   La registrazione della limitazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Essi sono messi a disposizione del Garante europeo della protezione dei dati, su richiesta.

Articolo 4

Rischi per i diritti e le libertà degli interessati

1.   Le valutazioni dei rischi per i diritti e le libertà degli interessati derivanti dall’imposizione di limitazioni e i dettagli del periodo di applicazione di tali limitazioni sono riportati nel registro delle pertinenti attività di trattamento tenuto dal titolare del trattamento sulla base dell’articolo 31 del regolamento. Ove applicabile, tali elementi sono inoltre riportati nelle valutazioni d’impatto sulla protezione dei dati relative a tali limitazioni effettuate a norma dell’articolo 39 del regolamento.

2.   Qualora il titolare del trattamento consideri di applicare una limitazione, è valutato il rischio per i diritti e le libertà dell’interessato, in particolare rispetto al rischio per i diritti e le libertà degli altri interessati e al rischio di compromettere l’efficacia delle indagini o delle procedure, per esempio distruggendo gli elementi di prova. I rischi per i diritti e le libertà dell’interessato riguardano principalmente, ma non esclusivamente, i rischi legati alla reputazione e i rischi per il diritto di difesa e il diritto di essere ascoltato.

Articolo 5

Periodi di conservazione e garanzie

1.   L’Agenzia mette in atto garanzie specifiche per prevenire gli abusi e l’accesso o il trasferimento illeciti di dati personali che sono o possono essere soggetti a limitazioni. Tali garanzie, che includono misure tecniche e organizzative, sono specificate, ove necessario, nelle decisioni, procedure e norme di attuazione interne dell’Agenzia. Tra le garanzie figurano:

a)

una definizione chiara dei ruoli, delle responsabilità e delle fasi procedurali;

b)

se del caso, un ambiente elettronico sicuro che impedisca l’accesso o il trasferimento illecito e accidentale di dati elettronici a persone non autorizzate;

c)

se del caso, la conservazione e il trattamento dei documenti cartacei in condizioni di sicurezza;

d)

il rispetto degli obblighi in materia di riservatezza da parte di tutte le persone che hanno accesso ai dati personali.

2.   Il periodo di conservazione dei dati personali sottoposti a limitazione è definito nel relativo registro di cui all’articolo 31 del regolamento tenendo conto della finalità del trattamento e comprende il lasso di tempo necessario per il procedimento di riesame amministrativo e giudiziario. Al termine del periodo di conservazione, i dati personali sono cancellati, resi anonimi o trasferiti agli archivi ai sensi dell’articolo 13 del regolamento.

Articolo 6

Durata delle limitazioni

1.   Le limitazioni di cui all’articolo 2 continuano ad applicarsi finché permangono i motivi che le giustificano.

2.   Qualora cessino di sussistere i motivi della limitazione, il titolare del trattamento la revoca se l’esercizio del diritto sottoposto a limitazione non avrebbe più un effetto negativo sulla pertinente procedura applicabile o non lederebbe più i diritti o le libertà degli altri interessati.

3.   Nel caso in cui l’interessato richieda nuovamente l’accesso ai dati personali in questione, il titolare del trattamento gli comunica i principali motivi della limitazione. Nel contempo, l’Agenzia informa l’interessato in merito alla possibilità di proporre in qualsiasi momento reclamo al Garante europeo della protezione dei dati o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.

4.   L’Agenzia riesamina l’applicazione delle limitazioni di cui all’articolo 2 ogni sei mesi.

Articolo 7

Coinvolgimento del responsabile della protezione dei dati

1.   Il titolare del trattamento dell’Agenzia informa il responsabile della protezione dei dati presso l’Agenzia senza indebito ritardo e prima di adottare qualsiasi decisione di limitare i diritti dell’interessato in conformità della presente decisione o di prorogare l’applicazione della limitazione. Il titolare del trattamento dà al responsabile della protezione dei dati accesso ai relativi registri e a ogni documento riguardante il contesto di fatto o di diritto.

2.   Il responsabile della protezione dei dati può chiedere al titolare del trattamento di riesaminare l’applicazione di una limitazione. Il titolare del trattamento informa per iscritto il responsabile della protezione dei dati circa l’esito del riesame richiesto.

3.   Il titolare del trattamento documenta la partecipazione del responsabile della protezione dei dati per quanto riguarda l’applicazione della limitazione, comprese le informazioni che sono state condivise. I documenti di cui al presente articolo sono inclusi nel registro relativo alla limitazione e messi a disposizione del Garante europeo della protezione dei dati su richiesta.

Articolo 8

Informazione degli interessati in merito alle limitazioni dei loro diritti

1.   Nelle comunicazioni sulla protezione dei dati e nei registri di cui all’articolo 31 del regolamento, pubblicati sul proprio sito Internet e Intranet, il titolare del trattamento include informazioni generali sulle potenziali limitazioni dei diritti degli interessati ai sensi dell’articolo 2, paragrafo 2, della presente decisione. Tali informazioni riguardano i diritti e gli obblighi che possono essere oggetto di limitazioni, i motivi per cui possono essere applicate tali limitazioni e la durata potenziale delle stesse.

2.   Il titolare del trattamento, senza indebito ritardo e per iscritto, informa i singoli interessati in merito alle limitazioni presenti o future dei loro diritti. Il titolare del trattamento informa gli interessati in merito ai principali motivi sui quali si basa l’applicazione della limitazione, al loro diritto di consultare il responsabile della protezione dei dati al fine di impugnare la limitazione e al loro diritto di proporre reclamo al Garante europeo della protezione dei dati.

3.   Il titolare del trattamento può rinviare, omettere o negare la comunicazione di informazioni sui motivi di una limitazione e sul diritto di proporre reclamo al Garante europeo della protezione dei dati soltanto nella misura in cui tale comunicazione annullerebbe l’effetto della limitazione stessa. La valutazione di questa giustificazione è effettuata caso per caso e il titolare del trattamento comunica le informazioni agli interessati non appena l’effetto della limitazione non possa più essere annullato.

Articolo 9

Diritto di accesso dell’interessato

1.   In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il titolare del trattamento può limitare il diritto di accesso di cui all’articolo 17 del regolamento, ove necessario e proporzionato ai fini delle attività previste nella presente decisione.

2.   Qualora gli interessati richiedano l’accesso ai loro dati personali trattati nel contesto di una specifica attività di trattamento di cui all’articolo 2, paragrafo 2, della presente decisione, l’Agenzia limita la propria risposta ai dati personali trattati per tale attività.

3.   Il diritto degli interessati di accedere direttamente a documenti medici di natura psicologica o psichiatrica può essere limitato. Le presenti norme interne non limitano l’accesso indiretto né il diritto di rettifica e di comunicazione di una violazione dei dati personali. L’accesso è quindi consentito tramite l’intermediazione di un medico al quale, su richiesta dell’interessato, è dato accesso a tutte le relative informazioni e il potere discrezionale di decidere in che modo e quale accesso fornire ai dati dell’interessato.

4.   Qualora limiti, in tutto o in parte, il diritto di accesso ai dati personali di cui all’articolo 17 del regolamento, il titolare del trattamento informa l’interessato, per iscritto, nella risposta alla richiesta di accesso, della limitazione applicata, dei principali motivi della stessa e della possibilità di proporre reclamo al Garante europeo della protezione dei dati o ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.

5.   Le informazioni sulla limitazione dell’accesso possono essere rinviate, omesse o negate qualora annullino l’effetto della limitazione in conformità dell’articolo 25, paragrafo 8, del regolamento.

6.   Una limitazione ai sensi del presente articolo si applica conformemente alla presente decisione.

Articolo 10

Diritto di rettifica, cancellazione e limitazione del trattamento

1.   In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto di rettifica, cancellazione e limitazione del trattamento, di cui all’articolo 18, all’articolo 19, paragrafo 1, e all’articolo 20, paragrafo 1, del regolamento, può essere limitato dal titolare del trattamento, laddove necessario e opportuno, per quanto riguarda le attività di cui all’articolo 2, paragrafo 2, della presente decisione.

2.   Per quanto riguarda i dati medici, gli interessati possono esercitare il diritto di rettifica sulla valutazione o sul parere del servizio medico della Commissione presentando osservazioni oppure un referto stilato da un medico di loro scelta, anche direttamente al servizio medico della Commissione.

3.   Una limitazione ai sensi del presente articolo si applica conformemente alla presente decisione.

Articolo 11

Comunicazione di una violazione dei dati personali all’interessato

1.   Qualora abbia l’obbligo di comunicare una violazione dei dati a norma dell’articolo 35, paragrafo 1, del regolamento, il titolare del trattamento può, in circostanze eccezionali, limitare tale comunicazione in tutto o in parte. Il titolare del trattamento documenta in una nota i motivi della limitazione, il suo motivo giuridico conformemente all’articolo 2 e una valutazione della sua necessità e proporzionalità. La nota è trasmessa al Garante europeo della protezione dei dati al momento della notifica della violazione dei dati personali.

2.   Qualora cessino di sussistere i motivi della limitazione, l’Agenzia comunica la violazione dei dati personali all’interessato e lo informa in merito ai principali motivi della limitazione e al suo diritto di proporre reclamo al Garante europeo della protezione dei dati.

Articolo 12

Riservatezza delle comunicazioni elettroniche

1.   In circostanze eccezionali, l’Agenzia può limitare il diritto alla riservatezza delle comunicazioni elettroniche di cui all’articolo 36 del regolamento. Tali limitazioni sono conformi alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio (9).

2.   Ferme restando le disposizioni di cui all’articolo 8, paragrafo 3, laddove limiti il diritto alla riservatezza delle comunicazioni elettroniche, l’Agenzia informa l’interessato, nella risposta a una sua richiesta, dei principali motivi sui quali si basa l’applicazione della limitazione e del suo diritto di proporre reclamo al Garante europeo della protezione dei dati.

Articolo 13

Entrata in vigore

La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Adottata dal comitato direttivo dell’Agenzia esecutiva per l’innovazione e le reti

Data dell’adozione 14 ottobre 2020

Certificata dal direttore esecutivo dell’INEA


(1)  GU L 295 del 21.11.2018, pag. 39.

(2)  GU L 11 del 16.1.2003, pag. 1.

(3)  GU L 352 del 24.12.2013, pag. 65.

(4)  SEC(2009) 481/3.

(5)  SEC(2018) 120/2.

(6)  Decisione C(2013)9235 della Commissione, del 23 dicembre 2013, quale modificata dalla decisione C(2018)1281 della Commissione, del 27 febbraio 2018.

(7)  Regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio, del 29 febbraio 1968, che definisce lo statuto dei funzionari delle Comunità europee nonché il regime applicabile agli altri agenti di tali Comunità, ed istituisce speciali misure applicabili temporaneamente ai funzionari della Commissione (GU L 56 del 4.3.1968, pag. 1).

(8)  Decisione (UE, Euratom) 2017/46 della Commissione, del 10 gennaio 2017, sulla sicurezza dei sistemi di comunicazione e informazione della Commissione europea (GU L 6 dell’11.1.2017, pag. 40).

(9)  Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).


Top