(1)

L’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) è stata istituita dal regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio (2) per sostenere e potenziare l’azione delle autorità competenti degli Stati membri e la loro cooperazione reciproca per prevenire e combattere la criminalità grave che interessa due o più Stati membri, il terrorismo e le forme di criminalità che ledono un interesse comune oggetto di una politica dell’Unione.

(2)

Il panorama della sicurezza in Europa è mutevole, ed è caratterizzato da minacce sempre più complesse e in costante evoluzione. Terroristi e altri criminali sfruttano la trasformazione digitale e le nuove tecnologie, in particolare l’interconnettività e i confini sempre più labili fra il mondo fisico e quello digitale, ad esempio celando i loro reati o la loro identità attraverso l’impiego di tecniche sempre più sofisticate. Terroristi e altri criminali hanno dimostrato di sapere adattare le loro modalità operative e sviluppare nuove attività criminali in tempi di crisi, anche facendo ricorso a strumenti che si servono della tecnologia per moltiplicare ed espandere la gamma e la portata delle loro attività criminali. Il terrorismo resta una minaccia significativa per la libertà e lo stile di vita dei cittadini dell’Unione.

(3)

Minacce in evoluzione e complesse si diffondono a livello transfrontaliero, includono una varietà di forme di criminalità, e si manifestano in gruppi organizzati a vocazione policriminale, dediti a un’ampia gamma di attività criminali. Per affrontare queste minacce transnazionali in materia di sicurezza non è sufficiente agire a livello nazionale e cooperare a livello transfrontaliero, le autorità competenti degli Stati membri hanno quindi fatto sempre più spesso ricorso al sostegno e alla competenza offerti da Europol per prevenire e combattere le forme gravi di criminalità e il terrorismo. Dall’entrata in applicazione del regolamento (UE) 2016/794, l’importanza operativa dei compiti svolti da Europol è aumentata sostanzialmente. Inoltre, il diverso contesto delle minacce modifica la portata e il tipo di aiuto di cui gli Stati membri necessitano, e che si aspettano da Europol, per proteggere i cittadini.

(4)

Il presente regolamento dovrebbe pertanto attribuire a Europol compiti aggiuntivi così da consentirle di sostenere meglio le autorità competenti nazionali degli Stati membri, preservando appieno le competenze degli Stati membri nel settore della sicurezza nazionale di cui all’articolo 4, paragrafo 2, del trattato sull’Unione europea (TUE). Il rafforzamento del mandato di Europol dovrebbe essere equilibrato da un potenziamento delle garanzie dei diritti fondamentali, nonché dall’aumento della rendicontabilità, della responsabilità e del controllo, compresi il controllo di natura parlamentare e il controllo attraverso il consiglio di amministrazione di Europol («consiglio di amministrazione»). Per consentire a Europol di adempiere al suo mandato rafforzato, dovrebbe essere dotato di risorse umane e finanziarie adeguate a sostenere i suoi compiti aggiuntivi.

(5)

Poiché l’Unione è esposta alle crescenti minacce di gruppi criminali organizzati e al rischio di attentati terroristici, un’efficace risposta a livello di autorità competenti deve quindi comportare la disponibilità di unità speciali d’intervento interoperative, bene addestrate e specializzate nel controllo delle situazioni di crisi provocate dall’uomo. Nell’Unione, le unità speciali d’intervento degli Stati membri cooperano sulla base della decisione 2008/617/GAI del Consiglio (3). Europol dovrebbe essere in grado di fornire sostegno a tali unità speciali d’intervento mediante supporto tecnico e finanziario, integrando gli sforzi intrapresi dagli Stati membri.

(6)

Recentemente gli attacchi informatici su larga scala, compresi quelli provenienti da paesi terzi, hanno preso di mira soggetti sia pubblici che privati, in molte giurisdizioni dell’Unione e anche al di fuori di essa, colpendo vari settori fra cui i trasporti, la sanità e i servizi finanziari. La prevenzione, l’accertamento, l’indagine e il perseguimento degli attacchi informatici in questione sono sostenuti dal coordinamento e dalla cooperazione fra i pertinenti interlocutori, comprese l’Agenzia dell’Unione europea per la cibersicurezza (ENISA), istituita dal regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio (4), le autorità competenti per la sicurezza delle reti e dei sistemi informativi ai sensi della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (5), le autorità competenti degli Stati membri e le parti private. Per garantire una cooperazione efficace tra tutti i pertinenti interlocutori a livello dell’Unione e a livello nazionale sugli attacchi e le minacce informatici, Europol dovrebbe cooperare con l’ENISA, in particolare attraverso scambi di informazioni e fornendo loro supporto analitico nei settori che rientrano nelle loro rispettive competenze.

(7)

I criminali ad alto rischio svolgono un ruolo di comando nelle reti criminali e le loro attività criminali rappresentano un rischio elevato per la sicurezza interna dell’Unione. Per contrastare i gruppi criminali organizzati ad alto rischio e i loro leader, Europol dovrebbe poter aiutare gli Stati membri a concentrare la loro risposta investigativa sull’identificazione dei membri e dei leader di tali reti, delle loro attività criminali e delle loro risorse finanziarie.

(8)

Le minacce poste dalle forme gravi di criminalità richiedono una risposta coordinata, coerente, multidisciplinare e multiagenzia. Europol dovrebbe essere in grado di facilitare e di supportare le iniziative per la sicurezza basate sull’intelligence lanciate dagli Stati membri — come la piattaforma multidisciplinare europea di lotta alle minacce della criminalità (EMPACT) — volte a individuare, classificare in ordine di priorità e affrontare le minacce poste dalle forme gravi di criminalità. Europol dovrebbe essere in grado di prestare a tali iniziative supporto amministrativo, logistico, finanziario e operativo.

(9)

Il sistema d’informazione Schengen (SIS), istituito nel settore della cooperazione di polizia e della cooperazione giudiziaria in materia penale dal regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio (6), rappresenta uno strumento fondamentale per il mantenimento di un elevato livello di sicurezza nello spazio di libertà, sicurezza e giustizia. In quanto punto nodale di scambio di informazioni, Europol riceve e detiene informazioni preziose da paesi terzi e da organizzazioni internazionali sulle persone sospettate di essere implicate in reati che rientrano negli obiettivi di Europol. Nel quadro dei suoi obiettivi e del suo compito di fornire sostegno agli Stati membri per prevenire e combattere la criminalità grave e il terrorismo, Europol dovrebbe sostenere gli Stati membri nel trattamento dei dati forniti da paesi terzi o organizzazioni internazionali a Europol raccomandando che gli Stati membri inseriscano nel SIS segnalazioni sotto una nuova categoria di segnalazioni di informazioni nell’interesse dell’Unione («segnalazioni di informazioni»), allo scopo di mettere tali segnalazioni di informazioni a disposizione degli utenti finali del SIS. A tal fine, dovrebbe essere istituito un meccanismo di comunicazione periodica per far sì che gli Stati membri ed Europol siano informati in merito all’esito della verifica e dell’analisi di tali dati e all’eventuale inserimento di informazioni nel SIS. Le modalità di cooperazione tra gli Stati membri per il trattamento di tali dati e l’inserimento di segnalazioni nel SIS, in particolare per quanto riguarda la lotta contro il terrorismo, dovrebbero essere oggetto di un coordinamento continuo tra gli Stati membri. Il consiglio di amministrazione dovrebbe precisare i criteri in base ai quali dovrebbe essere possibile per Europol formulare proposte per l’inserimento di tali segnalazioni di informazioni nel SIS.

(10)

Europol ha un importante ruolo da svolgere a sostegno del meccanismo di valutazione e monitoraggio per verificare l’applicazione dell’acquis di Schengen istituito dal regolamento (UE) n. 1053/2013 del Consiglio (7). Europol dovrebbe pertanto, su richiesta degli Stati membri, contribuire con le sue competenze, analisi, relazioni e altre informazioni pertinenti al meccanismo di valutazione e monitoraggio a verificare l’applicazione dell’acquis di Schengen.

(11)

Le valutazioni dei rischi aiutano ad anticipare le nuove tendenze e affrontare le nuove minacce derivanti dalle forme gravi di criminalità e dal terrorismo. Per aiutare la Commissione e gli Stati membri a svolgere efficaci valutazioni dei rischi, Europol dovrebbe fornire alla Commissione e agli Stati membri analisi delle valutazioni della minaccia basate sulle informazioni di cui è in possesso relative ai fenomeni e alle tendenze criminali, fatta salva la normativa dell’Unione sulla gestione dei rischi doganali.

(12)

Affinché i finanziamenti dell’Unione alla ricerca sulla sicurezza possano conseguire il loro obiettivo nell’assicurare che la ricerca sviluppi le sue piene potenzialità e possa rispondere alle necessità delle attività di contrasto, Europol dovrebbe assistere la Commissione nell’identificazione dei principali temi di ricerca e nell’elaborazione e attuazione dei programmi quadro dell’Unione per le attività di ricerca e innovazione pertinenti per gli obiettivi di Europol. Ove opportuno, dovrebbe essere possibile per Europol diffondere i risultati delle sue attività di ricerca e innovazione nel quadro del suo contributo alla creazione di sinergie tra le attività di ricerca e innovazione dei pertinenti organi dell’Unione. Al momento di progettare e concettualizzare le attività di ricerca e innovazione pertinenti agli obiettivi di Europol, Europol dovrebbe poter consultare, se del caso, il Centro comune di ricerca (JRC) della Commissione. Europol dovrebbe adottare tutte le misure necessarie per evitare conflitti di interessi. Europol non dovrebbe ricevere finanziamenti da un determinato programma quadro dell’Unione ove assiste la Commissione nell’individuazione dei principali temi di ricerca o nell’elaborazione e attuazione di tale programma. È importante che Europol possa fare affidamento sulla fornitura di finanziamenti, affinché possa aiutare gli Stati membri e la Commissione nel settore della ricerca e dell’innovazione.

(13)

L’Unione e gli Stati membri possono adottare, per motivi di sicurezza o di ordine pubblico, misure restrittive nei confronti degli investimenti esteri diretti. A tal fine, il regolamento (UE) 2019/452 del Parlamento europeo e del Consiglio (8) istituisce un quadro per il controllo degli investimenti esteri diretti nell’Unione. Gli investimenti esteri diretti nelle tecnologie emergenti meritano particolare attenzione in quanto possono avere implicazioni significative per la sicurezza e l’ordine pubblico, in particolare quando tali tecnologie vengono utilizzate dalle autorità competenti degli Stati membri. Tenuto conto della partecipazione di Europol nel monitoraggio delle tecnologie emergenti e del suo coinvolgimento nello sviluppo di nuove modalità di utilizzo di tali tecnologie a fini di contrasto, in particolare attraverso il suo laboratorio per l’innovazione e attraverso il polo d’innovazione dell’UE per la sicurezza interna, Europol dispone di ampie conoscenze in merito alle opportunità offerte da tali tecnologie e ai rischi associati al loro utilizzo. Dovrebbe pertanto essere possibile sostenere gli Stati membri nel controllo di investimenti esteri diretti nell’Unione e dei relativi rischi per la sicurezza riguardanti imprese che forniscono tecnologie, compresi software, usate da Europol per prevenire o indagare su forme di criminalità che rientrano nell’ambito degli obiettivi di Europol ovvero tecnologie fondamentali che potrebbero essere utilizzate per agevolare il terrorismo. In tale contesto, le competenze di Europol dovrebbero sostenere il controllo degli investimenti esteri diretti e dei relativi rischi per la sicurezza. In particolare, è opportuno considerare se l’investitore estero è già stato coinvolto in attività che incidono sulla sicurezza, se sussiste un rischio grave che l’investitore estero svolga attività illegali o criminali e se l’investitore estero è controllato direttamente o indirettamente dal governo di un paese terzo, anche mediante sovvenzioni.

(14)

Europol fornisce competenze specializzate per la lotta contro le forme gravi di criminalità e il terrorismo. Su richiesta di uno Stato membro, il personale Europol dovrebbe essere in grado di fornire sostegno operativo, in operazioni e indagini, alle autorità competenti di tale Stato membro, in particolare facilitando lo scambio transfrontaliero di informazioni e fornendo supporto forense e tecnico nelle operazioni e nelle indagini, anche nel contesto di squadre investigative comuni. Su richiesta di uno Stato membro, il personale Europol dovrebbe essere autorizzato a essere presente all’atto dell’esecuzione di misure investigative in tale Stato membro. Il personale Europol non dovrebbe avere il potere di eseguire misure investigative.

(15)

Uno degli obiettivi di Europol è sostenere e potenziare l’azione delle autorità competenti degli Stati membri e la loro reciproca cooperazione nella prevenzione e nella lotta contro le forme di criminalità che ledono un interesse comune oggetto di una politica dell’Unione. Per rafforzare tale sostegno, il direttore esecutivo di Europol («direttore esecutivo») dovrebbe poter proporre alle autorità competenti di uno Stato membro di avviare, svolgere o coordinare un’indagine su una forma di criminalità che riguardi solo tale Stato membro ma che leda un interesse comune oggetto di una politica dell’Unione. Europol dovrebbe informare Eurojust e, se del caso, la Procura europea («EPPO») istituita dal regolamento (UE) 2017/1939 del Consiglio (9) di tali proposte.

(16)

La divulgazione dell’identità e di alcuni dati personali di persone sospettate o condannate che sono ricercate in base a una decisione giudiziaria nazionale, aumenta le possibilità dello Stato membro di localizzare e arrestare tali persone. Per sostenere gli Stati membri nella localizzazione e arresto di tali individui, Europol dovrebbe poter pubblicare sul proprio sito web informazioni sui latitanti più ricercati d’Europa per quanto riguarda reati nell’ambito degli obiettivi di Europol. Allo stesso fine, Europol dovrebbe agevolare la comunicazione di informazioni su tali persone agli Stati membri e a Europol da parte dei cittadini.

(17)

Europol dovrebbe poter trattare i dati personali, una volta accertato che tali dati rientrano nei suoi obiettivi, nei quattro scenari seguenti. Nel primo scenario, i dati personali ricevuti sono relativi a una delle categorie di interessati elencate nell’allegato II del regolamento (UE) 2016/794 («allegato II»). Nel secondo scenario, i dati personali ricevuti sono costituiti da dati investigativi che contengono dati che non riguardano una delle categorie di interessati elencate nell’allegato II ma che sono stati forniti, in seguito a una richiesta di sostegno a Europol per un’indagine penale specifica, da parte di uno Stato membro, dall’EPPO, da Eurojust o da un paese terzo, a condizione che tale Stato membro, l’EPPO, Eurojust o tale paese terzo siano autorizzati a trattare tali dati investigativi conformemente alle norme e garanzie procedurali applicabili ai sensi del diritto dell’Unione e nazionale. In tale scenario, Europol dovrebbe essere in grado di trattare tali dati investigativi fintantoché ciò contribuisce a tale indagine penale specifica. Nel terzo scenario, i dati personali ricevuti potrebbero non riguardare le categorie di interessati elencate nell’allegato II e potrebbero non essere stati forniti in seguito a una richiesta di sostegno a Europol per un’indagine penale specifica. In questo caso, dovrebbe essere possibile per Europol verificare se tali dati personali riguardano una di tali categorie di interessati. Nel quarto scenario, i dati personali ricevuti sono stati presentati per progetti di ricerca e innovazione che non riguardano le categorie di interessati elencate nell’allegato II.

(18)

Conformemente all’articolo 73 del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (10), se del caso e nella misura del possibile, Europol opera una chiara distinzione tra i dati personali che riguardano le categorie di interessati elencate nell’allegato II.

(19)

Qualora gli Stati membri si avvalgano dell’infrastruttura di Europol per scambiare dati personali relativi a forme di criminalità che non rientrano nell’ambito degli obiettivi di Europol, quest’ultima non dovrebbe avere accesso a tali dati e dovrebbe essere considerata responsabile del trattamento ai sensi dell’articolo 87 del regolamento (UE) 2018/1725. In tali casi Europol dovrebbe essere in grado di processare i dati personali che non riguardano le categorie di interessati elencate nell’allegato II. Qualora gli Stati membri si avvalgano dell’infrastruttura di Europol per scambiare dati personali relativi a forme di criminalità rientranti nell’ambito degli obiettivi di Europol e qualora concedano a Europol l’accesso a tali dati, gli obblighi connessi alle categorie di interessati elencate nell’allegato II dovrebbero applicarsi a qualsiasi altro trattamento di tali dati da parte di Europol.

(20)

Nel rispetto del principio della minimizzazione dei dati, Europol dovrebbe poter verificare se i dati personali ricevuti nel contesto della prevenzione e della lotta contro forme di criminalità rientranti nell’ambito dei suoi obiettivi riguardano una delle categorie di interessati elencate nell’allegato II. Europol dovrebbe pertanto poter effettuare un’analisi preliminare dei dati personali ricevuti al solo scopo di determinare se riguardino queste categorie raffrontandoli con i dati personali già in suo possesso, senza svolgere ulteriori analisi di tali dati personali. Tale analisi preliminare dovrebbe avvenire separatamente e prima del trattamento dei dati da parte di Europol a fini di controlli incrociati, analisi strategiche, analisi operative o scambi di informazioni e dopo che Europol ha stabilito che i dati in questione sono pertinenti e necessari per lo svolgimento dei suoi compiti. Una volta che Europol ha accertato che tali dati personali riguardano le categorie di interessati elencate nell’allegato II, Europol dovrebbe poter trattare tali dati personali a fini di controlli incrociati, analisi strategiche, analisi operative o scambi di informazioni. Se Europol conclude che i dati personali in questione non riguardano le categorie di interessati elencate nell’allegato II, dovrebbe cancellare tali dati.

(21)

La categorizzazione dei dati personali in una determinata serie di dati può cambiare nel corso del tempo se nell’ambito delle indagini penali emergono nuove informazioni, ad esempio in relazione a ulteriori persone sospettate. Per tale motivo Europol dovrebbe essere autorizzata a trattare i dati personali se è strettamente necessario e proporzionato al fine di determinare le categorie di interessati a cui si riferiscono i dati in questione per un periodo fino a 18 mesi a decorrere dal momento in cui Europol verifica che tali dati rientrano tra i suoi obiettivi. Europol dovrebbe poter prorogare il termine, fino a un massimo di tre anni, in casi debitamente giustificati e a condizione che tale proroga sia necessaria e proporzionata. Il Garante europeo della protezione dei dati (GEPD) dovrebbe essere informato della proroga. Qualora il trattamento dei dati personali ai fini della determinazione delle categorie di interessati non sia più necessario e giustificato, e in ogni caso una volta decorso il periodo massimo di trattamento, Europol dovrebbe cancellare i dati personali.

(22)

La quantità di dati raccolti nell’ambito di indagini penali è sempre più consistente e le serie di dati sono diventate più complesse. Gli Stati membri sottopongono serie di dati ampie e complesse a Europol, alla quale richiedono lo svolgimento di analisi operative per identificare collegamenti con reati diversi da quello che rappresenta l’oggetto dell’indagine nell’ambito della quale sono state raccolte e con altri criminali in altri Stati membri e al di fuori dell’Unione. Dal momento che Europol può individuare tali collegamenti transfrontalieri in misura più efficace degli Stati membri solo con le loro analisi dei dati, Europol dovrebbe essere in grado di sostenere le indagini penali degli Stati membri trattando tali serie di dati ampie e complesse per identificare i collegamenti transfrontalieri a condizione che siano soddisfatte le rigorose norme e garanzie stabilite dal presente regolamento. Ove necessario per contribuire efficacemente a un’indagine penale specifica in uno Stato membro, Europol dovrebbe poter trattare i dati investigativi che le autorità competenti degli Stati membri sono autorizzate a trattare nell’ambito di tale indagine penale specifica conformemente alle norme e garanzie procedurali applicabili ai sensi del diritto nazionale e successivamente fornite a Europol. Ciò si applica anche ai dati personali nel caso in cui uno Stato membro non sia stato in grado di accertare se tali dati riguardino le categorie di interessati elencate nell’allegato II. Qualora uno Stato membro, l’EPPO o Eurojust fornisca a Europol dati investigativi e chieda l’aiuto dell’Europol per un’indagine penale specifica in corso, Europol dovrebbe poter trattare tali dati per il tempo in cui sostiene tale indagine penale specifica, in conformità delle norme e garanzie procedurali applicabili ai sensi del diritto dell’Unione o nazionale.

(23)

Per assicurare che qualsiasi trattamento di dati svolto nel contesto di un’indagine penale sia necessario e proporzionato, nel sottoporre dati investigativi a Europol gli Stati membri dovrebbero garantire l’osservanza del diritto dell’Unione e del diritto nazionale. Quando trasmettono dati investigativi a Europol per chiedere l’aiuto dell’Agenzia per un’indagine penale specifica, gli Stati membri dovrebbero tenere in considerazione la portata e la complessità del trattamento dei dati in questione come pure la tipologia e l’importanza delle indagini. È opportuno che gli Stati membri informino Europol quando, conformemente alle norme e garanzie procedurali applicabili ai sensi del proprio diritto nazionale, non sono più autorizzati a trattare i dati nell’ambito dell’indagine penale specifica in corso in questione. Qualora valuti l’impossibilità di sostenere un’indagine penale specifica in corso senza trattare tali dati personali, Europol dovrebbe trattare solamente i dati personali che non riguardano le categorie di interessati elencate nell’allegato II. Europol dovrebbe documentare tale valutazione. Europol dovrebbe inoltre conservare tali dati mantenendo una separazione funzionale da altri dati, e dovrebbe trattarli solo se necessario per il suo sostegno all’indagine penale specifica in corso in questione, come nel caso di una nuova ipotesi investigativa.

(24)

Europol dovrebbe anche poter trattare i dati personali necessari per il suo sostegno a un’indagine penale specifica in uno o più Stati membri se tali dati sono forniti da un paese terzo, a condizione che: il paese terzo sia oggetto di una decisione di adeguatezza in conformità della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (11) («decisione di adeguatezza»); un accordo internazionale con tale paese terzo sia stato concluso dall’Unione ai sensi dell’articolo 218 del trattato sul funzionamento dell’Unione europea (TFUE) («accordo internazionale»), che comprenda il trasferimento di dati personali a fini di contrasto; un accordo di cooperazione che consenta lo scambio di dati personali sia stato concluso tra Europol e il paese terzo prima dell’entrata in vigore del regolamento (UE) 2016/794 («accordo di cooperazione»); garanzie adeguate per la protezione dei dati personali siano fornite in uno strumento giuridicamente vincolante o Europol determini, sulla base di una valutazione di tutte le circostanze relative al trasferimento dei dati personali, che tali garanzie esistono in tale paese terzo e a condizione che il paese terzo abbia ottenuto i dati nell’ambito di un’indagine penale, conformemente alle norme e garanzie procedurali applicabili ai sensi del diritto penale nazionale. Qualora un paese terzo fornisca a Europol dati investigativi, Europol dovrebbe verificare che la quantità di dati personali non sia manifestamente sproporzionata rispetto all’indagine penale specifica sostenuta da Europol nello Stato membro interessato e, nella misura del possibile, che non sussistano elementi oggettivi indicanti che i dati investigativi sono stati ottenuti nel paese terzo in palese violazione dei diritti fondamentali. Qualora Europol concluda che tali condizioni non sono soddisfatte, non dovrebbe trattare i dati, bensì cancellarli. Qualora un paese terzo fornisca a Europol dati investigativi, il responsabile della protezione dei dati di Europol dovrebbe poter notificare il GEPD, se del caso.

(25)

Per garantire che uno Stato membro possa utilizzare le relazioni analitiche di Europol nell’ambito di un procedimento giudiziario facente seguito a un’indagine penale, l’Agenzia dovrebbe poter conservare i relativi dati investigativi su richiesta di tale Stato membro, dell’EPPO o di Eurojust allo scopo di garantire la veridicità, l’affidabilità e la tracciabilità del processo di intelligence criminale. Europol dovrebbe conservare tali dati mantenendo una separazione funzionale da altri dati e solo fintantoché nello Stato membro è in corso il procedimento giudiziario collegato all’indagine penale in questione. Inoltre, è necessario garantire l’accesso delle autorità giudiziarie competenti così come i diritti della difesa, in particolare il diritto di avere accesso delle persone sospettate o accusate o dei loro difensori ai documenti del caso. A tal fine, Europol dovrebbe registrare tutte le prove e i metodi con cui tali prove sono state prodotte o ottenute da Europol in modo da consentire un controllo effettivo delle prove da parte della difesa.

(26)

Europol dovrebbe poter trattare i dati personali ricevuti prima dell’entrata in vigore del presente regolamento che non riguardano una delle categorie di interessati elencate nell’allegato II, conformemente al presente regolamento, in due scenari. Nel primo scenario, Europol dovrebbe essere in grado di trattare tali dati personali a sostegno di un’indagine penale o per garantire la veridicità, l’affidabilità e la tracciabilità del processo di intelligence criminale, a condizione che le condizioni di cui alle disposizioni transitorie relative al trattamento dei dati personali ricevuti a sostegno di un’indagine penale siano rispettate. Nel secondo scenario, Europol dovrebbe anche essere in grado di verificare se tali dati personali riguardano una delle categorie di interessati elencate nell’allegato II effettuando un’analisi preliminare di tali dati personali per un periodo fino a 18 mesi dalla data del ricevimento iniziale dei dati da parte di Europol o, in casi giustificati e previa autorizzazione del GEPD, per un periodo più lungo. La durata massima del trattamento dei dati personali ai fini dell’analisi preliminare non dovrebbe essere superiore a tre anni dalla data del ricevimento iniziale dei dati da parte di Europol.

(27)

I casi transfrontalieri di criminalità grave o di terrorismo richiedono una stretta cooperazione fra le autorità competenti degli Stati membri interessati. Europol fornisce strumenti per sostenere tale cooperazione nelle indagini, in particolare attraverso lo scambio di informazioni. Per rafforzare ulteriormente tale cooperazione in indagini penali specifiche per mezzo di analisi operative congiunte, gli Stati membri dovrebbero poter consentire agli altri Stati membri di accedere direttamente alle informazioni da essi fornite ad Europol, ferme restando le eventuali limitazioni generali o specifiche da essi indicate sull’accesso a tali informazioni. Qualsiasi trattamento di dati personali da parte degli Stati membri nell’ambito di analisi operative congiunte dovrebbe avvenire nel rispetto del presente regolamento e della direttiva (UE) 2016/680.

(28)

Europol e l’EPPO dovrebbero stipulare un accordo di lavoro che definisca le modalità della loro cooperazione, tenendo debitamente conto delle loro rispettive competenze. Europol dovrebbe lavorare a stretto contatto con l’EPPO e, su richiesta di questa, dovrebbe sostenerne attivamente le indagini, anche fornendo supporto analitico e informazioni rilevanti, Europol dovrebbe inoltre cooperare con l’EPPO, dal momento in cui questa riceve la notizia di reato fino a quando decide se avviare l’azione penale o disporre altrimenti. Europol dovrebbe comunicare senza indebito ritardo all’EPPO qualsiasi condotta criminosa in relazione alla quale l’EPPO potrebbe esercitare la sua competenza. Per rafforzare la cooperazione operativa tra Europol e l’EPPO, Europol dovrebbe consentire a quest’ultima di avere accesso ai dati detenuti da Europol, in base a un sistema di riscontro positivo o negativo («hit/no hit») che informi solamente Europol in caso di riscontro positivo, in conformità del presente regolamento, comprese le eventuali limitazioni indicate dall’entità che ha fornito le informazioni a Europol. Se le informazioni sono oggetto di una limitazione indicata da uno Stato membro, Europol dovrebbe informare tale Stato membro affinché si conformi agli obblighi che gli incombono ai sensi del regolamento (UE) 2017/1939. Lo Stato membro interessato dovrebbe successivamente informare l’EPPO conformemente alla propria procedura nazionale. Alla cooperazione di Europol con l’EPPO dovrebbero applicarsi le norme sulla trasmissione dei dati personali agli organismi dell’Unione di cui al presente regolamento. Europol dovrebbe inoltre essere in grado di assistere l’EPPO nelle indagini con analisi di serie di dati ampie e complesse, nel rispetto delle misure di salvaguardia e delle garanzie in materia di protezione dei dati previste dal presente regolamento.

(29)

Europol dovrebbe cooperare strettamente con l’Ufficio europeo per la lotta antifrode (OLAF) per individuare i casi di frode, di corruzione e altre attività illecite lesive degli interessi finanziari dell’Unione. A tal fine Europol dovrebbe trasmettere senza indugio all’OLAF ogni informazione in relazione alla quale Ufficio europeo per la lotta antifrode potrebbe esercitare la propria competenza. Alla cooperazione di Europol con l’OLAF dovrebbero applicarsi le norme sulla trasmissione dei dati personali agli organismi dell’Unione di cui al presente regolamento.

(30)

Le forme gravi di criminalità e il terrorismo spesso presentano collegamenti che vanno fuori dell’Unione. Europol può scambiare dati personali con i paesi terzi salvaguardando al tempo stesso la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone. Se è essenziale per le indagini su uno specifico reato che rientra nell’ambito degli obiettivi di Europol, il direttore esecutivo dovrebbe poter autorizzare, caso per caso, una categoria di trasferimenti di dati personali a paesi terzi qualora tale categoria di trasferimenti riguardi la medesima situazione specifica, comprenda le stesse categorie di dati personali e le stesse categorie di interessati, sia necessaria e proporzionata ai fini dell’indagine dello specifico reato e soddisfi tutti i requisiti del presente regolamento. Per i singoli trasferimenti rientranti in una categoria di trasferimenti dovrebbe essere possibile comprendere solo alcune delle categorie di dati personali e categorie di interessati il cui trasferimento è autorizzato dal direttore esecutivo. Dovrebbe inoltre essere possibile autorizzare una categoria di trasferimenti di dati personali nelle situazioni specifiche seguenti: qualora il trasferimento di dati personali sia necessario per salvaguardare gli interessi vitali dell’interessato o di un’altra persona; qualora il trasferimento di dati personali sia essenziale per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo; qualora il fine del trasferimento dei dati personali sia quello di salvaguardare legittimi interessi dell’interessato; o, in singoli casi, sia per prevenire, indagare, accertare o perseguire reati o eseguire sanzioni penali; o per accertare, esercitare o difendere un diritto in sede giudiziaria in relazione alla prevenzione, all’indagine, all’accertamento o al perseguimento di uno specifico reato o all’esecuzione di una specifica sanzione penale.

(31)

I trasferimenti che non sono basati sull’autorizzazione del direttore esecutivo, su una decisione di adeguatezza, su un accordo internazionale o su un accordo di cooperazione dovrebbero essere consentiti solo qualora siano fornite garanzie adeguate per quanto riguarda la protezione dei dati personali in uno strumento giuridicamente vincolante o qualora Europol determini, sulla base di una valutazione di tutte le circostanze relative al trasferimento dei dati personali, che esistano tali garanzie. Ai fini di tale valutazione Europol dovrebbe poter tener conto degli accordi bilaterali conclusi tra gli Stati membri e i paesi terzi che consentono lo scambio di dati personali, e se il trasferimento di dati personali deve essere soggetto a obblighi di riservatezza e al principio di specificità, così da garantire che i dati non siano trattati per finalità diverse da quella del trasferimento. Oltre a ciò, è importante che Europol consideri se i dati personali possano essere utilizzati per richiedere, emettere o eseguire la pena di morte o qualsiasi forma di trattamento crudele e disumano. Europol dovrebbe poter richiedere garanzie supplementari.

(32)

Per aiutare gli Stati membri nella cooperazione con le parti private che detengono informazioni rilevanti ai fini della prevenzione e della lotta contro le forme gravi di criminalità e il terrorismo, Europol dovrebbe poter ricevere dati personali da parti private e, in casi specifici ove necessario e proporzionato, scambiare con esse dati personali.

(33)

I criminali si avvalgono sempre più frequentemente dei servizi offerti da parti private per comunicare e per svolgere attività illecite. Gli autori di reati sessuali sfruttano i minori e condividono sulle piattaforme online in tutto il mondo fotografie e video che costituiscono materiale pedopornografico oppure li scambiano con altre persone attraverso servizi di comunicazione interpersonale indipendenti dal numero. I terroristi utilizzano i servizi offerti da fornitori online per reclutare volontari, pianificare e coordinare attentati e fare propaganda. I criminali informatici approfittano della digitalizzazione delle nostre società e della mancanza di alfabetizzazione e di altre competenze digitali del pubblico in generale utilizzando tecniche di phishing e di ingegneria sociale per commettere altri tipi di reati informatici come truffe online, attacchi ransomware e frodi nei pagamenti. Come conseguenza del maggior uso dei servizi online da parte dei criminali, le parti private detengono quantità sempre maggiori di dati personali, compresi dati relativi agli abbonati, al traffico e al contenuto, che sono potenzialmente rilevanti per le indagini penali.

(34)

Dato che internet non ha frontiere, è possibile che il fornitore di servizi online e l’infrastruttura digitale in cui sono conservati i dati personali siano ciascuno soggetti a giurisdizioni nazionali diverse, o nell’Unione o al di fuori di essa. Le parti private possono quindi essere in possesso di serie di dati che sono rilevanti ai fini delle attività di contrasto e che contengono dati personali che rientrano nelle competenze di più giurisdizioni, così come dati personali che non possono facilmente essere attribuiti a una giurisdizione specifica. Per le autorità competenti degli Stati membri può essere difficile analizzare efficacemente, con soluzioni a livello nazionale, tali serie di dati multigiurisdizionali o non attribuibili. Inoltre, al momento non esiste un punto di contatto unico per le parti private che decidono di condividere in modo lecito e volontario le serie di dati in loro possesso con le autorità competenti degli Stati membri. Di conseguenza, Europol dovrebbe disporre di misure volte ad agevolare la cooperazione delle parti private, anche per quanto concerne lo scambio di informazioni.

(35)

Per garantire che le parti private dispongano di un punto di contatto a livello dell’Unione per fornire lecitamente e volontariamente serie di dati multigiurisdizionali o serie di dati non facilmente attribuibili ad una o più specifiche giurisdizioni, Europol dovrebbe poter ricevere i dati personali direttamente dalle parti private allo scopo di fornire agli Stati membri le informazioni necessarie per stabilire la competenza giurisdizionale e indagare sui reati in questione nell’ambito delle rispettive giurisdizioni, in conformità del presente regolamento. Tale informazione può comprendere relazioni concernenti contenuti moderati per i quali si possa ragionevolmente presumere che siano collegati alle attività criminali che rientrano nell’ambito degli obiettivi di Europol.

(36)

Per garantire che gli Stati membri ricevano le informazioni necessarie per l’avvio di indagini volte a prevenire e a combattere le forme gravi di criminalità e il terrorismo senza indebito ritardo, Europol dovrebbe poter trattare e analizzare serie di dati personali allo scopo di individuare le unità nazionali interessate e di inoltrare a tali unità nazionali i dati personali ed eventuali risultati delle sue analisi e le verifiche di tali dati che sono pertinenti al fine di stabilire la competenza giurisdizionale e per indagare sui reati in questione nell’ambito delle rispettive giurisdizioni. Europol dovrebbe inoltre poter trasmettere i dati personali e i risultati delle sue analisi e le verifiche di tali dati che sono pertinenti al fine di stabilire la competenza giurisdizionale a punti di contatto o autorità dei paesi terzi interessati oggetto di una decisione di adeguatezza o con cui sia stato concluso un accordo internazionale o un accordo di cooperazione o che fornisca garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante, o Europol determini, sulla base di una valutazione di tutte le circostanze relative al trasferimento dei dati personali, che esistano tali garanzie in tali paesi terzi. Qualora il paese terzo interessato non sia oggetto di una decisione di adeguatezza, o non sia parte di un accordo internazionale o di un accordo di cooperazione o in assenza di uno strumento giuridicamente vincolante, o qualora Europol abbia determinato che tali garanzie non esistono, Europol dovrebbe poter trasferire i risultati della sua analisi e verifica di tali dati al paese terzo in questione in conformità del presente regolamento.

(37)

In conformità del regolamento (UE) 2016/794, in alcuni casi e fatte salve talune condizioni, può essere necessario e proporzionato che Europol trasferisca dati personali a parti private che non sono stabilite nell’Unione o in un paese terzo oggetto di decisione di adeguatezza o con il quale sia stato concluso un accordo internazionale o un accordo di cooperazione o dove garanzie adeguate per la protezione dei dati personali non siano fornite in uno strumento giuridicamente vincolante, o Europol abbia determinato che non sussistano garanzie adeguate. In tali casi, il trasferimento dovrebbe essere subordinato all’autorizzazione preventiva del direttore esecutivo.

(38)

Per poter identificare tutte le unità nazionali interessate, Europol dovrebbe poter informare le parti private nel caso in cui le informazioni fornite da queste ultime siano insufficienti e non le consentano un’adeguata identificazione di tali unità nazionali. Questo consentirebbe a tali parti private di verificare se è nel loro interesse scambiare informazioni complementari con essa e se è lecito farlo. A tal fine, Europol dovrebbe essere in grado di comunicare alle parti private quali siano le informazioni mancanti, nella misura in cui ciò sia strettamente necessario al solo scopo di identificare le unità nazionali interessate. Ai trasferimenti di informazioni da Europol a parti private dovrebbero applicarsi speciali garanzie qualora la parte privata interessata non sia stabilita nell’Unione o in un paese terzo oggetto di decisione di adeguatezza o con il quale sia stato concluso un accordo internazionale o un accordo di cooperazione, o dove garanzie adeguate per la protezione dei dati personali non siano fornite in uno strumento giuridicamente vincolante, o Europol abbia determinato che non sussistano garanzie adeguate.

(39)

Se gli Stati membri, i paesi terzi, le organizzazioni internazionali o le parti private condividono con Europol serie di dati multigiurisdizionali o serie di dati non attribuibili ad una o più giurisdizioni specifiche, è possibile che tali serie di dati siano collegate a dati personali detenuti da parti private. In tali scenari, dovrebbe essere possibile per Europol inviare una richiesta agli Stati membri, tramite le loro unità nazionali, affinché ottengano i dati personali tenuti da parti private stabilite o aventi un rappresentante legale nel territorio di tali Stati membri. Tale richiesta dovrebbe essere presentata solo laddove sia necessario ottenere informazioni aggiuntive da tali parti private per identificare le unità nazionali interessate. La richiesta dovrebbe essere motivata e quanto più possibile precisa. I pertinenti dati personali, che dovrebbero essere quanto meno possibile sensibili e strettamente limitati a quanto necessario e proporzionato ai fini dell’identificazione delle unità nazionali coinvolte, dovrebbero essere forniti a Europol in conformità del diritto applicabile degli Stati membri in questione. Le autorità competenti degli Stati membri coinvolti dovrebbero valutare la richiesta di Europol e decidere, conformemente al rispettivo diritto nazionale, se accoglierla. Nel trattare le richieste delle autorità competenti degli Stati membri, qualsiasi trattamento di dati da parte di parti private dovrebbe rimanere soggetto alle norme applicabili, in particolare con riguardo alla protezione dei dati. Le parti private dovrebbero fornire alle autorità competenti degli Stati membri i dati richiesti in vista dell’ulteriore trasmissione a Europol. In molti casi, è possibile che gli Stati membri coinvolti possano non essere in grado di stabilire alcun altro collegamento con la loro giurisdizione se non il fatto che la parte privata in possesso dei dati pertinenti è stabilita o ha un rappresentante legale in tale giurisdizione. A prescindere dal fatto che abbiano giurisdizione sul reato specifico, gli Stati membri dovrebbero in ogni caso provvedere affinché le autorità competenti possano ottenere dati personali da parti private al fine di fornire a Europol le informazioni necessarie per il conseguimento dei suoi obiettivi, nel pieno rispetto delle garanzie procedurali ai sensi del proprio diritto nazionale.

(40)

La conservazione da parte di Europol dei dati personali ricevuti direttamente da parti private dovrebbe essere soggetta a limiti temporali per garantire che essa non si protragga per un arco di tempo superiore a quanto necessario per identificare le unità nazionali interessate. Una volta che Europol ha esperito tutti i mezzi a sua disposizione per identificare le unità nazionali interessate e non può ragionevolmente ritenere di individuarne altre, la conservazione dei dati personali in questione non è più necessaria e proporzionata ai fini dell’identificazione delle unità nazionali interessate. Europol dovrebbe cancellare i dati personali entro quattro mesi dalla loro ultima trasmissione o dall’ultimo trasferimento a un’unità nazionale o a un punto di contatto di un paese terzo o a un’autorità di un paese terzo, a meno che in conformità del diritto dell’Unione e nazionale entro tale termine un’unità nazionale, un punto di contatto o un’autorità interessata non li trasmettano nuovamente a Europol come loro dati. Se i dati personali nuovamente trasmessi facevano parte di una serie più ampia di dati personali, Europol dovrebbe conservare solo quelli che sono stati nuovamente trasmessi da un’unità nazionale, un punto di contatto o un’autorità interessata.

(41)

La cooperazione fra Europol e le parti private non dovrebbe costituire un doppione delle attività delle unità di informazione finanziaria (FIU) istituite ai sensi della Direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio (12), né dovrebbe interferire con esse, e dovrebbe riguardare solo le informazioni che non vengono già fornite alle FIU ai sensi di tale direttiva. Europol dovrebbe continuare a cooperare con le FIU in particolare tramite le unità nazionali.

(42)

Europol dovrebbe poter apportare il sostegno necessario all’interazione fra le autorità competenti degli Stati membri e le parti private, in particolare fornendo l’infrastruttura necessaria per tale interazione, ad esempio quando le autorità competenti degli Stati membri segnalano contenuti terroristici online, inviano ordini di rimozione concernenti tali contenuti ai fornitori di servizi online a norma del regolamento (UE) 2021/784 del Parlamento europeo e del Consiglio (13), o si scambiano informazioni con le parti private nel contesto di attacchi informatici. Quando gli Stati membri si avvalgono dell’infrastruttura di Europol per lo scambio di dati personali relativi a forme di criminalità che rientrano nell’ambito dei suoi obiettivi, Europol non dovrebbe avere accesso a tali dati. Europol dovrebbe assicurare con mezzi tecnici che tale infrastruttura sia strettamente limitata a fornire un canale per le suddette interazioni tra autorità competenti degli Stati membri e una parte privata e che offra tutte le necessarie garanzie contro l’accesso di una parte privata a qualsiasi altra informazione nei sistemi di Europol che non sia connessa allo scambio con tale parte privata.

(43)

Gli attacchi terroristici scatenano la diffusione su larga scala, attraverso le piattaforme online, di contenuti terroristici che ritraggono un danno alla vita o all’integrità fisica o che richiamano un danno imminente alla vita o all’integrità fisica, consentendo in tal modo ai terroristi di esaltare il terrorismo, di fornire addestramento a fini terroristici e, in ultima analisi, di radicalizzare e reclutare altre persone. Inoltre, il maggiore utilizzo di Internet per registrare o condividere materiale pedopornografico perpetua il danno nei confronti delle vittime, poiché il materiale può essere facilmente moltiplicato e distribuito. Per prevenire e combattere le forme di criminalità rientranti nell’ambito degli obiettivi di Europol, quest’ultima dovrebbe poter sostenere le azioni degli Stati membri volte a contrastare efficacemente la diffusione di contenuti terroristici nel contesto di situazioni di crisi online derivanti da fatti in corso o recenti del mondo reale, nonché la diffusione di materiale pedopornografico online, e sostenere le azioni dei fornitori di servizi online conformemente ai loro obblighi a norma del diritto dell’Unione nonché le azioni volontarie. A tal fine, Europol dovrebbe poter scambiare pertinenti dati personali, comprese firme digitali uniche e non riconvertibili («hash»), indirizzi IP o URL relativi a tali contenuti, con parti private stabilite nell’Unione o in un paese terzo che è oggetto di una decisione di adeguatezza oppure, in mancanza di tale decisione, con il quale l’Unione ha concluso un accordo internazionale o un accordo sulla cooperazione, o che fornisca garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante o Europol determini, sulla base di una valutazione di tutte le circostanze relative al trasferimento dei dati personali, che esistano tali garanzie in tale paese terzo. Tali scambi di dati personali dovrebbero avvenire solo allo scopo di rimuovere contenuti terroristici e materiale pedopornografico online, in particolare qualora la moltiplicazione esponenziale e la viralità di tali contenuti e materiali tra vari fornitori di servizi online siano prevedibili. Nessuna disposizione del presente regolamento dovrebbe essere intesa come un divieto per uno Stato membro di utilizzare gli ordini di rimozione di cui al regolamento (UE) 2021/784 come strumento per contrastare i contenuti terroristici online.

(44)

Al fine di evitare una duplicazione degli sforzi e possibili interferenze con le indagini nonché ridurre al minimo l’onere per i prestatori di servizi di hosting interessati, Europol dovrebbe assistere le autorità competenti degli Stati membri e scambiare informazioni e cooperare con esse in merito alla trasmissione e al trasferimento di dati personali a parti private per affrontare le situazioni di crisi online e la diffusione online di materiale pedopornografico online.

(45)

Il regolamento (UE) 2018/1725 stabilisce norme sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione. Benché il regolamento (UE) 2018/1725 si applichi al trattamento, da parte di Europol, di dati personali amministrativi che non sono collegati a indagini penali, quali i dati relativi al personale, l’articolo 3, punto 2), e il capo IX di tale regolamento, che disciplinano il trattamento dei dati personali, non si applicano al momento a Europol. Per garantire una protezione uniforme e coerente delle persone fisiche in relazione al trattamento dei dati personali, il capo IX del regolamento (UE) 2018/1725 dovrebbe applicarsi a Europol ai sensi del suo articolo 2, paragrafo 2, e dovrebbe essere integrato da specifiche disposizioni per i trattamenti specifici che Europol dovrebbe effettuare ai fini dello svolgimento dei suoi compiti. Pertanto, i poteri di controllo del GEPD sulle operazioni di trattamento di Europol dovrebbero essere rafforzati, in linea con i pertinenti poteri applicabili al trattamento dei dati personali amministrativi che si applicano a tutte le istituzioni, gli organi e gli organismi dell’Unione a norma del capo VI del regolamento (UE) 2018/1725. A tal fine, se Europol tratta i dati personali a fini operativi, il GEPD dovrebbe poter richiedere a Europol di assicurarsi che i trattamenti siano conformi al presente regolamento, e ordinare la sospensione dei flussi di dati verso un destinatario in uno Stato membro, un paese terzo o un’organizzazione internazionale e dovrebbe poter imporre una sanzione amministrativa pecuniaria in caso di inosservanza da parte di Europol.

(46)

Il trattamento dei dati ai fini del presente regolamento potrebbe comportare il trattamento di categorie particolari di dati personali di cui al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (14). Il trattamento di fotografie non dovrebbe essere considerato sistematicamente come un trattamento di categorie particolari di dati personali, poiché le fotografie rientrano nella definizione di dati biometrici ai sensi dell’articolo 3, punto 18), del regolamento (UE) 2018/1725 soltanto se trattate attraverso un dispositivo tecnico specifico che consenta l’identificazione univoca o l’autenticazione di una persona fisica.

(47)

Il meccanismo di consultazione preventiva che coinvolge il GEPD previsto dal Regolamento (UE) 2018/1725 è un’importante salvaguardia per nuovi tipi di trattamento. Tale meccanismo, tuttavia, non dovrebbe valere per singole e specifiche attività operative, come i progetti di analisi operativa, ma per l’uso di nuovi sistemi informatici ai fini del trattamento di dati personali ed eventuali modifiche sostanziali a tali sistemi che presentino un rischio elevato per i diritti e le libertà degli interessati. Il termine entro cui il GEPD dovrebbe essere tenuto a presentare il parere scritto del su tali consultazioni non dovrebbe poter essere sospeso. In caso di attività di trattamento che rivestono notevole importanza per lo svolgimento dei compiti di Europol e che sono particolarmente urgenti, dovrebbe essere possibile per Europol, in via eccezionale, iniziare il trattamento già dopo l’avvio della consultazione preventiva, anche se il termine per la presentazione del parere scritto del GEPD non è ancora scaduto. Tale urgenza può sorgere in situazioni di notevole importanza per lo svolgimento dei compiti di Europol quando il trattamento è necessario per prevenire e combattere una minaccia immediata riguardante un reato che rientra negli obiettivi di Europol e per salvaguardare gli interessi vitali dell’interessato o di un’altra persona. Il responsabile della protezione dei dati di Europol dovrebbe partecipare alla valutazione dell’urgenza e della necessità di tale trattamento prima della scadenza del termine entro il quale il GEPD deve rispondere alla consultazione preventiva. Il responsabile della protezione dei dati di Europol dovrebbe sovrintendere a tale trattamento. Il GEPD dovrebbe poter esercitare i suoi poteri in relazione a tale trattamento.

(48)

Date le sfide poste dal rapido sviluppo tecnologico e dallo sfruttamento delle nuove tecnologie da parte di terroristi e altri criminali alla sicurezza dell’Unione, le autorità competenti degli Stati membri devono rafforzare le loro capacità tecnologiche per individuare, proteggere e analizzare i dati necessari per lo svolgimento di indagini sui reati. Europol dovrebbe essere in grado di aiutare gli Stati membri nell’uso delle tecnologie emergenti nonché nell’esame di nuovi approcci e nello sviluppo di soluzioni tecnologiche comuni con cui gli Stati membri possano prevenire e combattere meglio le forme di criminalità che rientrano negli obiettivi di Europol. Al contempo, Europol dovrebbe garantire che lo sviluppo, l’utilizzo e l’impiego delle nuove tecnologie siano guidati dai principi di trasparenza, spiegabilità, correttezza e rendicontabilità, non ledano i diritti e le libertà fondamentali e siano conformi al diritto dell’Unione. A tal fine, Europol dovrebbe poter svolgere progetti di ricerca e di innovazione nelle materie contemplate dal presente regolamento, nell’ambito del quadro generale per i progetti di ricerca e innovazione stabilito dal consiglio di amministrazione in un documento vincolante. Tale documento dovrebbe essere aggiornato, ove opportuno, e messo a disposizione del GEPD. Dovrebbe essere possibile per tali progetti includere il trattamento di dati personali purché siano soddisfatte determinate condizioni ossia che il trattamento dei dati personali è strettamente necessario, l’obiettivo del progetto in questione non può essere raggiunto facendo ricorso a dati non personali, come i dati sintetici o anonimi, ed è assicurato il pieno rispetto dei diritti fondamentali, segnatamente la non discriminazione.

Il trattamento di categorie particolari di dati personali a fini di ricerca e innovazione dovrebbe essere consentito solo se strettamente necessario. Data la natura sensibile di tale trattamento, dovrebbero essere applicate garanzie adeguate supplementari, tra cui la pseudonimizzazione. Al fine di prevenire distorsioni nel processo decisionale algoritmico, Europol dovrebbe essere autorizzata a trattare dati personali che non riguardano le categorie di interessati di cui all’allegato II. Europol dovrebbe conservare le registrazioni di tutti i trattamenti di dati personali nel contesto dei suoi progetti di ricerca e innovazione solo allo scopo di verificare l’esattezza dei risultati del trattamento dei dati e solo per il tempo necessario a tal fine. Le disposizioni relative allo sviluppo di nuovi strumenti da parte di Europol non dovrebbero costituire una base giuridica per il loro impiego a livello dell’Unione o a livello nazionale. Per stimolare l’innovazione e rafforzare le sinergie in materia di progetti di ricerca e innovazione, è importante che Europol intensifichi la cooperazione con le pertinenti reti di operatori degli Stati membri e altre agenzie dell’Unione nell’ambito delle rispettive competenze in tale ambito e sostenere le altre forme di cooperazione correlate, come il supporto di segreteria al «polo UE di innovazione per la sicurezza interna» quale rete collaborativa di laboratori per l’innovazione.

(49)

Europol dovrebbe svolgere un ruolo fondamentale nell’assistere gli Stati membri a sviluppare nuove soluzioni tecnologiche basate sull’intelligenza artificiale che sono pertinenti per il conseguimento degli obiettivi di Europol, di cui beneficino le autorità competenti degli Stati membri in tutta l’Unione. Tale assistenza dovrebbe essere fornita nel pieno rispetto dei diritti e delle libertà fondamentali, compresa la non discriminazione. Europol dovrebbe svolgere un ruolo fondamentale nel promuovere lo sviluppo e la diffusione di un’intelligenza artificiale etica, affidabile e antropocentrica, che è soggetta a solide garanzie in termini di protezione, sicurezza, trasparenza, spiegabilità e diritti fondamentali.

(50)

Prima dell’avvio dei suoi progetti di ricerca e innovazione che comportano il trattamento di dati personali, Europol dovrebbe informare il GEPD. Europol dovrebbe altresì informare o consultare il suo consiglio di amministrazione, in conformità con taluni criteri da stabilire in pertinenti orientamenti. Europol non dovrebbe trattare dati a fini di progetti di ricerca e innovazione senza il consenso dello Stato membro, dell’organo dell’Unione, del paese terzo o dell’organizzazione internazionale che li ha trasmessi a Europol, a meno che lo Stato membro, organo dell’Unione, paese terzo o organizzazione internazionale non abbia concesso la sua autorizzazione preventiva a tale trattamento per tali fini. Per ciascun progetto Europol dovrebbe effettuare, prima di procedere al trattamento, una valutazione dell’impatto sulla protezione dei dati, onde garantire il pieno rispetto del diritto della stessa e di tutti gli altri diritti e libertà fondamentali degli interessati. La valutazione dell’impatto sulla protezione dei dati dovrebbe includere una valutazione dell’opportunità, della necessità e della proporzionalità dei dati personali da trattare per la specifica finalità del progetto, compreso il requisito della minimizzazione dei dati, nonché una valutazione delle eventuali distorsioni nei risultati e nei dati personali da trattare per la specifica finalità del progetto, così come le misure previste per affrontare tali rischi. Lo sviluppo di nuovi strumenti da parte di Europol non dovrebbe pregiudicare la base giuridica, compresi i motivi per il trattamento dei dati personali interessati, che sarebbe successivamente necessaria per il loro impiego a livello dell’Unione o nazionale.

(51)

Dotare Europol di strumenti e capacità supplementari significa rafforzare il controllo democratico e l’obbligo di rendicontabilità dell’Agenzia. Il controllo parlamentare congiunto costituisce un elemento importante del monitoraggio politico delle attività di Europol. Per consentire un efficace monitoraggio politico delle modalità con cui Europol utilizza gli strumenti e le capacità supplementari che le sono attribuiti a norma del presente regolamento, l’Agenzia dovrebbe fornire ogni anno al gruppo di controllo parlamentare congiunto e agli Stati membri informazioni dettagliate sullo sviluppo, l’uso e l’efficacia di tali strumenti e capacità supplementari e sui relativi risultati, con particolare riferimento ai progetti di ricerca e innovazione nonché alle nuove attività o alla costituzione di nuovi centri specializzati all’interno di Europol. Inoltre, è opportuno che due rappresentanti del gruppo di controllo parlamentare congiunto, di cui un rappresentante del Parlamento europeo e un rappresentante dei parlamenti nazionali, in modo da riflettere le due componenti costitutive del gruppo, siano invitati ad almeno due riunioni ordinarie del consiglio di amministrazione all’anno per confrontarsi con esso a nome del gruppo e discutere della relazione annuale di attività consolidata, del documento unico di programmazione e del bilancio annuale, delle interrogazioni e risposte scritte del gruppo, nonché delle relazioni esterne e dei partenariati, nel rispetto dei diversi ruoli e responsabilità del consiglio di amministrazione e del gruppo di controllo parlamentare congiunto a norma del presente regolamento. Il consiglio di amministrazione, insieme ai rappresentanti del gruppo di controllo parlamentare congiunto, dovrebbe essere in grado di stabilire altre questioni di interesse politico da discutere. In linea con il ruolo di supervisione del gruppo di controllo parlamentare congiunto, i due rappresentanti di quest’ultimo non dovrebbero avere diritto di voto in seno al consiglio di amministrazione. Le attività di ricerca e innovazione in programma dovrebbero essere indicate nel documento unico di programmazione contenente la programmazione pluriennale e il programma di lavoro annuale di Europol ed essere trasmesse al gruppo di controllo parlamentare congiunto.

(52)

Su proposta del direttore esecutivo, il consiglio di amministrazione dovrebbe designare un responsabile dei diritti fondamentali incaricato di sostenere Europol nella salvaguardia del rispetto dei diritti fondamentali in tutti i suoi compiti e attività, in particolare i progetti di ricerca e innovazione di Europol e lo scambio di dati personali con parti private. Dovrebbe essere possibile designare quale responsabile dei diritti fondamentali un membro del personale Europol attuale che ha ricevuto una specifica formazione su normativa e prassi in materia di diritti fondamentali. Il responsabile dei diritti fondamentali dovrebbe cooperare strettamente con il responsabile della protezione dei dati, nell’ambito delle rispettive competenze. Per le questioni attinenti alla protezione dei dati è al responsabile della protezione dei dati che dovrebbe spettare la piena responsabilità.

(53)

Poiché l’obiettivo del presente regolamento, vale a dire sostenere e potenziare l’azione delle autorità competenti degli Stati membri e la loro reciproca cooperazione per prevenire e combattere contro la criminalità grave che interessa due o più Stati membri, il terrorismo e le forme di criminalità che ledono un interesse comune oggetto di una politica dell’Unione, non può essere conseguito in misura sufficiente dagli Stati membri ma, per il carattere transfrontaliero delle forme gravi di criminalità e del terrorismo e per la necessità di una risposta coordinata alle connesse minacce alla sicurezza, può essere conseguito meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 TUE. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(54)

A norma dell’articolo 3 del protocollo n. 21 sulla posizione del Regno Unito e dell’Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al TUE e al TFUE, l’Irlanda ha notificato che desidera partecipare all’adozione e all’applicazione del presente regolamento.

(55)

A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca, allegato al TUE e al TFUE, la Danimarca non partecipa all’adozione del presente regolamento, non è da esso vincolata né è soggetta alla sua applicazione.

(56)

Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725, il GEPD è stato consultato e ha emesso il suo parere l’8 marzo 2021 (15).

(57)

Il presente regolamento rispetta pienamente i diritti e le garanzie fondamentali e osserva i principi sanciti in particolare dalla Carta dei diritti fondamentali dell’Unione europea («Carta»), segnatamente il diritto al rispetto della vita privata e familiare e il diritto alla protezione dei dati di carattere personale, di cui agli articoli 7 e 8 della Carta e dall’articolo 16 TFUE. Data l’importanza del trattamento dei dati personali per il lavoro delle autorità di contrasto in generale, e per il supporto fornito da Europol in particolare, il presente regolamento dovrebbe comportare il rafforzamento delle garanzie, del controllo democratico e dei meccanismi di rendicontabilità per assicurare che le attività e i compiti di Europol siano svolti nel pieno rispetto dei diritti fondamentali quali sanciti dalla Carta, in particolare i diritti all’uguaglianza di fronte alla legge, alla non discriminazione e a un ricorso effettivo dinanzi ai competenti organi giurisdizionali nazionali contro una qualsiasi delle misure adottate in base al presente regolamento. Qualsiasi trattamento di dati personali a norma del presente regolamento dovrebbe essere limitato a quanto strettamente necessario e proporzionato ed è soggetto a condizioni chiare, requisiti rigorosi e a un efficace controllo da parte del GEPD.

(58)

È pertanto opportuno modificare di conseguenza il regolamento (UE) 2016/794.

(59)

Al fine di consentire la tempestiva applicazione delle misure di cui al presente regolamento, è opportuno che quest’ultimo entri in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea,