REGOLAMENTO DI ESECUZIONE (UE) N. 463/2014 DELLA COMMISSIONE

del 5 maggio 2014

che stabilisce, conformemente al regolamento (UE) n. 223/2014 del Parlamento europeo e del Consiglio relativo al Fondo di aiuti europei agli indigenti, i termini e le condizioni applicabili al sistema di scambio elettronico di dati fra gli Stati membri e la Commissione

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea,

visto il regolamento (UE) n. 223/2014 del Parlamento europeo e del Consiglio, dell'11 marzo 2014, relativo al Fondo di aiuti europei agli indigenti (1), in particolare l'articolo 30, paragrafo 4,

considerando quanto segue:

(1)

A norma dell'articolo 30, paragrafo 4, del regolamento (UE) n. 223/2014, tutti gli scambi ufficiali di informazioni tra gli Stati membri e la Commissione avvengono utilizzando un sistema di scambio elettronico di dati. È pertanto necessario stabilire i termini e le condizioni cui tale sistema di scambio elettronico di dati deve conformarsi.

(2)	Al fine di garantire una maggiore qualità delle informazioni relative all'attuazione dei programmi operativi, una migliore utilità del sistema e semplificazione, è necessario precisare i requisiti di base per quanto riguarda la forma e il contenuto delle informazioni oggetto di scambio.

(3)	È necessario precisare i principi, nonché le norme applicabili in materia di funzionamento del sistema per quanto riguarda l'individuazione del soggetto responsabile del caricamento dei documenti e di eventuali aggiornamenti.

(4)	Al fine di garantire la riduzione degli oneri amministrativi a carico degli Stati membri e della Commissione e, nel contempo, di assicurare l'efficace ed efficiente scambio elettronico di informazioni, è necessario stabilire le caratteristiche tecniche per il sistema.

(5)

Gli Stati membri e la Commissione dovrebbero inoltre avere la possibilità di codificare e trasferire i dati in due modi diversi, da precisare. È altresì necessario prevedere norme in caso di forza maggiore, che ostacolerebbe l'uso del sistema di scambio elettronico di dati, per garantire che sia gli Stati membri che la Commissione possano continuare a scambiarsi informazioni utilizzando metodi alternativi.

(6)

Gli Stati membri e la Commissione dovrebbero garantire che il trasferimento di dati tramite il sistema di scambio elettronico di dati sia effettuato in modo tale da consentire la disponibilità, l'integrità, l'autenticità, la riservatezza e non la disconoscibilità delle informazioni. Pertanto è opportuno stabilire norme in materia di sicurezza.

(7)

Il presente regolamento dovrebbe rispettare i diritti fondamentali e osservare i principi riconosciuti dalla Carta dei diritti fondamentali dell'Unione europea, in particolare il diritto alla protezione dei dati di carattere personale. Il presente regolamento dovrebbe pertanto essere applicato in conformità di tali diritti e principi. Con riguardo al trattamento dei dati personali da parte degli Stati membri, si applica la direttiva 95/46/CE del Parlamento europeo e del Consiglio (2). Con riguardo al trattamento dei dati personali da parte delle istituzioni e degli organismi dell'Unione nonché alla libera circolazione di tali dati, si applica il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (3).

(8)	Al fine di consentire la rapida applicazione delle misure previste nel presente regolamento, esso dovrebbe entrare in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

(9)	Le misure previste dal presente regolamento sono conformi al parere del Comitato del Fondo di aiuti europei agli indigenti,

HA ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO I

DISPOSIZIONI DI APPLICAZIONE DEL REGOLAMENTO (UE) N. 223/2014 RELATIVO AL FONDO DI AIUTI EUROPEI AGLI INDIGENTI (FEAD)

SISTEMA DI SCAMBIO ELETTRONICO DEI DATI

[a norma dell'articolo 30, paragrafo 4, del regolamento (UE) n. 223/2014]

Articolo 1

Istituzione del sistema di scambio elettronico di dati

La Commissione istituisce un sistema di scambio elettronico di dati per tutti gli scambi ufficiali di informazioni tra gli Stati membri e la Commissione.

Articolo 2

Contenuto del sistema di scambio elettronico di dati

Il sistema di scambio elettronico di dati (di seguito «SFC2014») contiene almeno le informazioni precisate nei modelli e nei formati stabiliti in conformità al regolamento (UE) n. 223/2014. Le informazioni fornite nei formulari elettronici integrati in SFC2014 (di seguito «dati strutturati») non possono essere sostituite da dati non strutturati, compreso l'uso di collegamenti ipertestuali o altri tipi di dati non strutturati quali immagini o documenti allegati. Se uno Stato membro trasmette le stesse informazioni sotto forma di dati strutturati e di dati non strutturati, in caso di incongruenze si utilizzano i dati strutturati.

Articolo 3

Funzionamento di SFC2014

1. La Commissione, le autorità designate dagli Stati membri in conformità dell'articolo 59, paragrafo 3, del regolamento (UE, Euratom) n. 966/2012 del Parlamento europeo e del Consiglio (4) e dell'articolo 31 del regolamento (UE) n. 223/2014, nonché gli enti cui sono stati delegati i compiti che spettano a tali autorità, inseriscono le informazioni della cui trasmissione sono responsabili ed eventuali aggiornamenti nel sistema SFC2014.

2. Qualsiasi trasmissione di informazioni alla Commissione è verificata e presentata da una persona diversa dalla persona che ha inserito i dati finalizzati a tale trasmissione. Tale separazione di funzioni è supportata da SFC2014 o dai sistemi d'informazione per il controllo e la gestione dello Stato membro direttamente collegati a SFC2014.

3. Gli Stati membri nominano a livello nazionale una o più persone responsabili della gestione dei diritti di accesso a SFC2014, incaricate di:

a)	identificare gli utenti che chiedono l'accesso, verificando che tali utenti siano impiegati dall'organizzazione;

b)	informare gli utenti in merito ai loro obblighi atti a tutelare la sicurezza del sistema;

c)	verificare il diritto degli utenti al livello di privilegio richiesto in relazione ai compiti e alla posizione gerarchica;

d)	chiedere la cessazione dei diritti di accesso laddove essi non siano più necessari o giustificati;

e)	segnalare tempestivamente casi sospetti di eventi che potrebbero compromettere la sicurezza del sistema;

f)	garantire la costante accuratezza dei dati per l'identificazione dell'utente segnalando eventuali modifiche;

g)	prendere le necessarie precauzioni in materia di protezione dei dati e riservatezza commerciale, in conformità delle norme dell'Unione e nazionali;

h)	informare la Commissione di qualsiasi cambiamento avente un impatto sulla capacità delle autorità degli Stati membri o degli utenti di SFC2014 di assolvere alle responsabilità di cui al paragrafo 1 o sulla loro capacità personale di assolvere alle responsabilità di cui alle lettere da a) a g).

4. Gli scambi di dati e le transazioni recano un firma elettronica obbligatoria in conformità della direttiva 1999/93/CE del Parlamento europeo e del Consiglio (5). Gli Stati membri e la Commissione riconoscono l'efficacia giuridica delle firme elettroniche utilizzate in SFC2014 per lo scambio dei dati e la loro ammissibilità come prova nei procedimenti giudiziari.

Le informazioni trattate mediante SFC2014 rispettano la tutela della vita privata e dei dati personali per le persone fisiche e di quelli commerciali per le persone giuridiche, a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio (6), della direttiva 2009/136/CE del Parlamento europeo e del Consiglio (7), della direttiva 1995/46/CE e del regolamento (CE) n. 45/2001.

Articolo 4

Caratteristiche di SFC2014

Al fine di garantire l'efficiente ed efficace scambio elettronico di informazioni, SFC2014 presenta le seguenti caratteristiche:

a)	moduli interattivi o formulari precompilati dal sistema sulla base dei dati già precedentemente registrati nel sistema;

b)	calcoli automatici, se essi riducono lo sforzo di codifica da parte degli utenti;

c)	controlli automatici integrati per verificare la coerenza interna dei dati trasmessi e la coerenza tra tali dati e le norme applicabili;

d)	segnalazioni di allarme generate dal sistema che avvisano gli utenti di SFC2014 della possibilità di eseguire o non eseguire determinate azioni;

e)	verifica online dello status del trattamento delle informazioni inserite nel sistema;

f)	disponibilità di dati storici per tutte le informazioni inserite relativamente ad un programma operativo.

Articolo 5

Trasmissione di dati tramite SFC2014

1. SFC2014 è accessibile agli Stati membri e alla Commissione in modo diretto mediante un'interfaccia utente interattiva (un'applicazione web) o tramite un'interfaccia tecnica utilizzando protocolli predefiniti (servizi web), che consente la sincronizzazione e la trasmissione automatiche di dati tra gli Stati membri, i sistemi di informazione e SFC2014.

2. La data della trasmissione elettronica delle informazioni dallo Stato membro alla Commissione e viceversa è considerata la data di presentazione del documento in questione.

3. In caso di forza maggiore, di malfunzionamento di SFC2014 o della mancanza di collegamento con SFC2014 per oltre un giorno lavorativo nell'ultima settimana prima di un termine regolamentare per la presentazione di informazioni o nel periodo compreso tra il 23 e il 31 dicembre, oppure per oltre cinque giorni lavorativi in altri momenti, lo scambio di informazioni tra lo Stato membro e la Commissione può avere luogo in forma cartacea utilizzando i modelli e i formati di cui all'articolo 2, paragrafo 1, del presente regolamento.

Quando il sistema di scambio elettronico cessa di malfunzionare, il collegamento a tale sistema è ristabilito o viene meno la causa di forza maggiore, la parte interessata inserisce senza indugio le informazioni già trasmesse in forma cartacea anche in SFC2014.

4. Nei casi di cui al paragrafo 3, la data del timbro postale è considerata la data di presentazione del documento in questione.

Articolo 6

Sicurezza dei dati trasmessi tramite SFC2014

1. La Commissione stabilisce una politica in materia di sicurezza delle tecnologie dell'informazione (di seguito «politica in materia di sicurezza informatica SFC») per SFC2014 applicabile al personale che utilizza SFC2014 in conformità delle norme pertinenti dell'Unione, in particolare la decisione C(2006) 3602 (8) della Commissione e le relative norme di attuazione. La Commissione designa una o più persone responsabili di definire, mantenere e garantire la corretta applicazione della politica in materia di sicurezza per SFC2014.

2. Gli Stati membri e le istituzioni europee (ad eccezione della Commissione) che hanno ricevuto i diritti di accesso a SFC2014 rispettano i termini e le condizioni in materia di sicurezza informatica pubblicati nel portale SFC2014 e le misure attuate in SFC2014 dalla Commissione per la trasmissione sicura dei dati, in particolare in relazione all'uso dell'interfaccia tecnica di cui all'articolo 5, paragrafo 1, del presente regolamento.

3. Gli Stati membri e la Commissione attuano e garantiscono l'efficacia delle misure di sicurezza adottate per proteggere i dati conservati e trasmessi tramite SFC2014.

4. Gli Stati membri adottano politiche in materia di sicurezza informatica, a livello nazionale, regionale o locale, che regolamentano l'accesso a SFC2014 e l'introduzione automatica dei dati nel sistema, garantendo una serie minima di requisiti in materia di sicurezza. Tali politiche in materia di sicurezza informatica a livello nazionale, regionale o locale possono fare riferimento ad altri documenti relativi alla sicurezza. Ciascuno Stato membro garantisce che tali politiche in materia di sicurezza informatica si applichino a tutte le autorità che utilizzano SFC2014.

5. Tali politiche in materia di sicurezza informatica a livello nazionale, regionale o locale contemplano:

a)	gli aspetti relativi alla sicurezza informatica del lavoro svolto dalla persona o dalle persone responsabili della gestione dei diritti di accesso di cui all'articolo 3, paragrafo 3, del presente regolamento, in caso di applicazione di uso diretto;

in presenza di sistemi informatici nazionali, regionali o locali collegati a SFC2014, attraverso un'interfaccia tecnica di cui all'articolo 5, paragrafo 1, del presente regolamento, le misure di sicurezza per tali sistemi che consentano loro di allinearsi ai requisiti in materia di sicurezza per SFC2014.

Ai fini del primo comma, lettera b), sono contemplati i seguenti aspetti, a seconda dei casi:

a)	sicurezza fisica;

b)	supporti di dati e controllo degli accessi;

c)	controllo della conservazione;

d)	accesso e controllo delle password;

e)	monitoraggio;

f)	interconnessione con SFC2014;

g)	infrastrutture di comunicazione;

h)	gestione delle risorse umane prima dell'assunzione, durante l'impiego e dopo la cessazione del rapporto di lavoro;

i)	gestione degli incidenti.

6. Tali politiche relative alla sicurezza informatica a livello nazionale, regionale o locale si basano su una valutazione dei rischi e le misure descritte sono proporzionali ai rischi individuati.

7. I documenti che definiscono le politiche in materia di sicurezza informatica a livello nazionale, regionale o locale sono messi a disposizione della Commissione su richiesta.

8. Gli Stati membri designano a livello nazionale una o più persone responsabili del mantenimento e garanti dell'applicazione delle politiche in materia di sicurezza informatica a livello nazionale, regionale o locale. Tale o tali persone fungono da punto di contatto con la persona o le persone designate dalla Commissione di cui all'articolo 6, paragrafo 1, del presente regolamento.

9. Sia la politica in materia di sicurezza informatica SFC che le politiche pertinenti in materia di sicurezza informatica a livello nazionale, regionale e locale sono aggiornate in caso di innovazioni tecnologiche, di individuazione di nuove minacce o di altri sviluppi pertinenti. In ogni caso, esse sono riesaminate su base annuale per garantire che continuino a fornire una risposta adeguata.

CAPO II

DISPOSIZIONE FINALE

Articolo 7

Il presente regolamento entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 5 maggio 2014

Per la Commissione

Il presidente

José Manuel BARROSO

(1) Regolamento (UE) n. 223/2014 del Parlamento europeo e del Consiglio, dell'11 marzo 2014, relativo al Fondo di aiuti europei agli indigenti (GU L 72 del 12.3.2014, pag. 1).

(2) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).

(3) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

(4) Regolamento (UE, Euratom) n. 966/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, che stabilisce le regole finanziarie applicabili al bilancio generale dell'Unione e che abroga il regolamento (CE, Euratom) n. 1605/2012 (GU L 298 del 26.10.2012, pag. 1).

(5) Direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche (GU L 13 del 19.1.2000, pag. 12).

(6) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

(7) Direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, e del regolamento (UE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori (GU L 337 del 18.12.2009, pag. 11).

(8) Decisione C(2006) 3602 della Commissione, del 16 agosto 2006, sulle norme relative alla sicurezza dei sistemi di informazione utilizzati dalla Commissione europea [«Commission Decision C(2006) 3602 of 16 August 2006 concerning the security of information systems used by the European Commission», disponibile solo in EN, FR, DE].