|
6.3.2019 |
IT |
Gazzetta ufficiale dell'Unione europea |
LI 65/1 |
DECISIONE DELLA BANCA EUROPEA PER GLI INVESTIMENTI
del 6 febbraio 2019
che stabilisce le norme interne per il trattamento dei dati personali da parte della Divisione Indagini sulle frodi presso l'Ispezione generale e dell'Ufficio di Compliance alla Banca europea per gli investimenti, in relazione alla comunicazione di informazioni alle persone interessate e alla limitazione di alcuni dei loro diritti
LA BANCA EUROPEA PER GLI INVESTIMENTI (la «BEI»),
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 309,
visto il Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il Regolamento (CE) n. 45/2001 e la Decisione n. 1247/2002/CE (1),
visti i pareri del Garante europeo della protezione dei dati (2),
considerando quanto segue:
|
(1) |
Ai sensi della Politica antifrode della BEI (3) e del Mandato della Divisione Indagini sulle frodi della BEI (4), detta divisione, nell'ambito dell'Ispezione generale («IG/IN»), è responsabile di indagare in merito alle segnalazioni di frode, corruzione, collusione, coercizione, ostruzionismo, riciclaggio di denaro e finanziamento del terrorismo («Pratiche vietate»), correlate alle attività della BEI. IG/IN ha il mandato di indagare i) membri degli organi dirigenti, del personale e consulenti della BEI, ii) le parti correlate ai progetti della BEI, iii) le parti correlate agli appalti della BEI, e iv) le parti correlate alla raccolta e alla tesoreria della BEI. IG/IN ha inoltre il compito di condurre analisi preventive sull'integrità in settori a maggior rischio, per migliorare l'efficacia e l'efficienza delle operazioni e delle attività della BEI. |
|
(2) |
Ai sensi del Codice di condotta del personale della BEI (5) e della Politica di segnalazione dei casi di irregolarità della BEI (6), modificati e integrati periodicamente, i membri del personale della BEI hanno l'obbligo di segnalare qualsiasi inadempimento ad obblighi professionali, tra cui attività illecite, pratiche vietate e/o violazioni dei regolamenti, delle norme, delle politiche o degli orientamenti del gruppo BEI, compreso il Codice di condotta, ai servizi competenti, a seconda della natura della violazione, ovvero l'Ufficio di Compliance della BEI («OCCO») e l'Ispezione generale della BEI («IG»). |
|
(3) |
Ai sensi del Mandato dell'Ufficio di Compliance del gruppo BEI («Mandato di OCCO») e della Carta sull'integrità e la conformità (7), l'Ufficio di Compliance del gruppo BEI è incaricato dell'individuazione, della valutazione, del controllo e della comunicazione del rischio di conformità del gruppo BEI nonché della consulenza in meritro, ovvero del rischio di sanzioni legali o regolamentari, di perdite finanziarie o di perdite di reputazione che un membro del gruppo BEI può subire a causa della mancata osservanza di tutte le leggi, regolamenti, codici di condotta del personale e norme di buona pratica applicabili. Conformemente al Mandato di OCCO, detto Ufficio esegue le necessarie indagini amministrative in merito a un probabile inadempimento dei codici di condotta del gruppo BEI da parte di membri del personale. Il personale del gruppo BEI ha l'obbligo di cooperare nell'esecuzione di dette indagini amministrative nel modo indicato dall'Ufficio di Compliance del gruppo. |
|
(4) |
Nello svolgimento dei propri compiti, IG/IN e OCCO sono tenuti a rispettare i diritti delle persone fisiche con riguardo al trattamento dei dati personali riconosciuti dall'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea e dall'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea, nonché dagli atti giuridici che si fondano su tali disposizioni. Al tempo stesso, IG/IN e OCCO devono rispettare le rigorose norme in materia di riservatezza e di segreto d'ufficio di cui ai Regolamenti del Personale della BEI e del Codice di condotta del personale della BEI e assicurare il rispetto delle garanzie procedurali delle persone interessate e dei testimoni, in particolare il diritto delle persone interessate alla presunzione d'innocenza. |
|
(5) |
In determinate circostanze è necessario conciliare i diritti degli interessati a norma del Regolamento (UE) 2018/1725 (il «Regolamento») con gli scopi e le esigenze dei rispettivi compiti di IG/IN e OCCO, nonché con il pieno rispetto dei diritti e delle libertà fondamentali degli altri interessati. A tal fine, l'articolo 25 del suddetto Regolamento offre a IG/IN e OCCO la possibilità di limitare, secondo i loro rispettivi mandati, l'applicazione degli articoli da 14 a 22 e degli articoli 35 e 36, nonché dell'articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22. A tal fine, occorre adottare norme interne secondo le quali il titolare del trattamento competente può limitare i diritti degli interessati conformemente all'articolo 25 di detto Regolamento. |
|
(6) |
Le norme interne dovrebbero applicarsi a tutti i trattamenti svolti da IG/IN e OCCO nello svolgimento dei loro rispettivi mandati come sancito, rispettivamente, dalla Politica antifrode della BEI, dal Mandato della Divisione Indagini sulle frodi della BEI, dalla Carta sull'integrità e la conformità e dal Mandato di OCCO, durante l'intero processo. |
|
(7) |
Al fine di ottemperare agli articoli 14, 15 e 16 del Regolamento, il responsabile del trattamento dei dati competente dovrebbe informare tutte le persone interessate in merito alle proprie attività che comportano il trattamento dei loro dati personali e ai loro diritti in modo trasparente e coerente mediante informative sulla protezione dei dati pubblicate sul sito web e intranet della BEI, nonché informare singolarmente i soggetti che presentano un interesse per l'indagine (persone interessate, testimoni e informatori. |
|
(8) |
IG/IN e OCCO possono dover applicare determinati motivi di limitazione di cui all'articolo 25 del Regolamento ai trattamenti dei dati eseguiti nel quadro delle loro funzioni stabilite rispettivamente dalla i) Politica antifrode della BEI e dalle Procedure applicabili allo svolgimento delle indagini per IG/IN (8), e ii) dal Mandato dell'Ufficio di Compliance della BEI per OCCO. |
|
(9) |
La comunicazione tra l'OLAF e la BEI è effettuata conformemente all'Accordo amministrativo stipulato tra l'Ufficio europeo per la lotta antifrode e la Banca europea per gli investimenti del 31 marzo 2016. |
|
(10) |
Inoltre, al fine di mantenere una cooperazione efficace, IG/IN e OCCO possono dover applicare limitazioni ai diritti degli interessati per tutelare le informazioni contenenti dati personali provenienti da altri servizi della BEI, da altre istituzioni ed altri organi e organismi dell'Unione, dalle autorità competenti degli Stati membri e di paesi terzi, nonché da organizzazioni internazionali. A tal fine, IG/IN e OCCO dovrebbero consultare tali altri servizi della BEI, istituzioni, organi, organismi, autorità e organizzazioni internazionali riguardo ai motivi pertinenti nonché alla necessità e alla proporzionalità delle limitazioni. |
|
(11) |
IG/IN e OCCO dovrebbero gestire tutte le limitazioni in modo trasparente e registrare ogni applicazione delle limitazioni nel corrispondente sistema di registrazione. |
|
(12) |
A norma dell'articolo 25, paragrafo 8, del Regolamento, i titolari del trattamento possono rinviare la comunicazione all'interessato di informazioni relative ai motivi dell'applicazione di una limitazione o astenersi da tale comunicazione, qualora ciò comprometta in qualsiasi modo la finalità di tale limitazione. In particolare, qualora si applichi una limitazione ai diritti di cui agli articoli 16 e 35, la relativa notifica ne comprometterebbe la finalità. Al fine di garantire che il diritto dell'interessato ad essere informato in conformità degli articoli 16 e 35 del Regolamento (UE) 2018/1725 sia limitato solo durante il periodo in cui permangono i motivi per il rinvio della comunicazione, il titolare del trattamento in questione dovrebbe riesaminare periodicamente la propria posizione. |
|
(13) |
Qualora sia applicata una limitazione dei diritti di altri interessati, il titolare del trattamento dovrebbe valutare caso per caso se la comunicazione della limitazione ne comprometterebbe la finalità. |
|
(14) |
La BEI ha designato il proprio Responsabile della protezione dei dati conformemente all'articolo 24 del Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (9). |
|
(15) |
Il Responsabile della protezione dei dati può effettuare un riesame indipendente dell'applicazione delle limitazioni, nell'intento di garantirne la conformità alla presente Decisione, |
HA ADOTTATO LA PRESENTE DECISIONE:
CAPO 1
DIVISIONE INDAGINI SULLE FRODI DELL'ISPEZIONE GENERALE
Articolo 1
Oggetto e ambito di applicazione
1. Il presente capo stabilisce le modalità che il titolare del trattamento dei dati competente, ai sensi dell'articolo 2, paragrafo 1, della Decisione, è tenuto a seguire per informare gli interessati in merito al trattamento dei loro dati a norma degli articoli 14, 15 e 16 del Regolamento (UE) 2018/1725.
Esso stabilisce altresì le condizioni alle quali il titolare del trattamento dei dati può limitare l'applicazione degli articoli da 14 a 22, 35 e 36, nonché dell'articolo 4 del Regolamento, in conformità dell'articolo 25 di tale Regolamento.
2. Il presente capo si applica al trattamento di dati personali da parte di IG/IN ai fini delle attività o in relazione alle attività svolte dalla Divisione per assolvere alle proprie funzioni ai sensi della Politica antifrode della BEI e del Mandato della Divisione Indagini sulle frodi della BEI.
3. Nell'ambito del suo mandato, IG/IN tratta diverse categorie di dati personali, in particolare quelli riguardanti l'identità, il recapito, l'attività professionale e il ruolo svolto nella vicenda oggetto dell'indagine.
Articolo 2
Specificazione del responsabile del trattamento e misure di salvaguardia
1. Il responsabile del trattamento dei dati è il capodivisione di IG/IN.
2. I dati personali sono conservati in un ambiente elettronico e fisico sicuro, volto ad impedire la consultazione o il trasferimento illeciti di dati a persone che non hanno necessità di sapere.
3. I dati personali possono essere conservati nei fascicoli per almeno cinque anni e fino a un massimo di dieci anni dalla chiusura delle indagini. I dati riguardanti i casi privi di fondamento sono conservati fino a un massimo di cinque anni.
4. In casi eccezionali e debitamente giustificati, previo accordo del Responsabile della protezione dei dati, si applicano termini più lunghi di quelli sopra indicati.
Articolo 3
Eccezioni e limitazioni applicabili
1. Qualora la Divisione IG/IN eserciti le proprie funzioni in relazione ai diritti degli interessati a norma del Regolamento, essa valuta se si applichi una delle eccezioni stabilite in detto Regolamento.
2. Fatti salvi gli articoli da 4 a 7 della presente Decisione, IG/IN può limitare l'applicazione degli articoli da 14 a 22, 35 e 36, nonché dell'articolo 4 del Regolamento, nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22 del Regolamento, qualora l'esercizio di tali diritti e obblighi possa compromettere la finalità delle indagini e delle altre attività di IG/IN, rivelando ad esempio i suoi strumenti e metodi di indagine, o ledere i diritti e le libertà altrui.
3. Fatti salvi gli articoli da 4 a 7 della presente Decisione, IG/IN può limitare i diritti e gli obblighi di cui al paragrafo 2 del presente articolo, in relazione ai dati personali ottenuti da altri servizi della BEI, dall'OLAF o da altre istituzioni ed altri organi e organismi dell'Unione, dalle autorità competenti degli Stati membri o di paesi terzi o da organizzazioni internazionali, nelle seguenti circostanze:
|
a) |
quando l'esercizio di tali diritti e obblighi potrebbe essere limitato da altri servizi della BEI, dall'OLAF o da altre istituzioni, organi e organismi dell'Unione sulla base di altri atti di cui all'articolo 25 del Regolamento o in conformità del capo IX di detto Regolamento; |
|
b) |
quando l'esercizio di tali diritti e obblighi potrebbe essere limitato dalle autorità competenti degli Stati membri sulla base degli atti di cui all'articolo 23 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (10), o a norma delle misure nazionali di recepimento dell'articolo 13, paragrafo 3, dell'articolo 15, paragrafo 3, o dell'articolo 16, paragrafo 3, della Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (11); |
|
c) |
quando l'esercizio di tali diritti e obblighi potrebbe compromettere la cooperazione tra IG/IN e i paesi terzi o le organizzazioni internazionali nell'esercizio delle sue funzioni. |
Prima di applicare limitazioni nelle circostanze di cui al primo comma, lettere a) e b), IG/IN consulta i servizi competenti della BEI, l'OLAF, le istituzioni, gli organi e gli organismi competenti dell'Unione o le autorità competenti degli Stati membri, a meno che non sia chiaro a IG/IN che l'applicazione di una limitazione è prevista da uno degli atti di cui alle lettere in questione.
La lettera c) del primo comma non si applica qualora sull'interesse dell'Unione a cooperare con paesi terzi od organizzazioni internazionali prevalgano gli interessi o i diritti e le libertà fondamentali degli interessati.
Articolo 4
Comunicazione di informazioni agli interessati
1. IG/IN pubblica sul sito web della BEI informative sulla privacy con le quali rende note a tutti gli interessati le proprie attività che comportano il trattamento dei loro dati personali.
2. IG/IN informa singolarmente tutti gli interessati che considera persone interessate, testimoni o informatori ai sensi della Politica antifrode della BEI e delle Procedure applicabili allo svolgimento delle indagini.
3. Allorché la Divisione IG/IN limita, integralmente o in parte, la comunicazione di informazioni agli interessati di cui al paragrafo 2, essa registra i motivi della limitazione, compresa una valutazione della relativa necessità e proporzionalità.
A tal fine, la registrazione indica in quale modo la comunicazione delle informazioni comprometterebbe la finalità delle indagini e delle altre attività di IG/IN, o delle limitazioni applicate a norma dell'articolo 3, paragrafo 3, oppure lederebbe i diritti e le libertà altrui.
Detta registrazione e, se del caso, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati.
4. La limitazione di cui al paragrafo 3 continua ad applicarsi finché permangono i motivi che la giustificano.
Qualora detti motivi della limitazione non siano più applicabili, IG/IN fornisce all'interessato le informazioni in questione e i motivi della limitazione. Nel contempo IG/IN informa l'interessato in merito alla possibilità di proporre in qualsiasi momento reclamo al Garante europeo della protezione dei dati o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea.
IG/IN riesamina l'applicazione della limitazione ogni sei mesi dalla sua adozione e all'atto della chiusura dell'indagine pertinente. Successivamente il titolare del trattamento valuterà su base annuale la necessità di mantenere eventuali limitazioni.
Articolo 5
Diritto di accesso dell'interessato
1. Qualora, a norma dell'articolo 17 del Regolamento, gli interessati chiedano l'accesso ai propri dati personali trattati nell'ambito di uno o più casi specifici o di particolari trattamenti, IG/IN limita la propria valutazione della richiesta esclusivamente a tali dati personali.
2. Allorché la Divisione IG/IN limita, integralmente o in parte, il diritto di accesso di cui all'articolo 17 del Regolamento, essa procede nel modo seguente:
|
a) |
informa l'interessato, nella propria risposta alla richiesta, in merito alla limitazione applicata e ai principali motivi della stessa, come pure alla possibilità di proporre reclamo al Garante europeo della protezione dei dati o di proporre un ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea; |
|
b) |
registra i motivi della limitazione, compresa una valutazione della necessità e della proporzionalità della stessa; a tal fine, indica in quale modo la concessione dell'accesso comprometterebbe la finalità delle indagini e delle altre attività di IG/IN o delle limitazioni applicate a norma dell'articolo 3, paragrafo 3, oppure lederebbe i diritti e le libertà di altri interessati. |
La comunicazione di informazioni di cui alla lettera a) può essere rinviata, omessa o negata in conformità dell'articolo 25, paragrafo 8, del Regolamento.
3. La registrazione di cui al paragrafo 2, primo comma, lettera b), e, se del caso, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati. Si applica l'articolo 25, paragrafo 7, del Regolamento (UE) 2018/1725.
Articolo 6
Diritto di rettifica, cancellazione e limitazione di trattamento
Qualora la Divisione IG/IN limiti, integralmente o in parte, l'applicazione del diritto di rettifica, cancellazione o limitazione di trattamento di cui all'articolo 18, all'articolo 19, paragrafo 1, e all'articolo 20, paragrafo 1, del Regolamento (UE) 2018/1725, essa adotta le misure di cui all'articolo 5, paragrafo 2, della presente Decisione e conserva la registrazione in un registro in conformità dell'articolo 5, paragrafo 3, della stessa.
Articolo 7
Comunicazione di una violazione dei dati personali all'interessato
Allorché la Divisione IG/IN limita la comunicazione all'interessato di una violazione dei dati personali di cui all'articolo 35 del Regolamento, essa registra i motivi della limitazione e conserva la registrazione in un registro conformemente all'articolo 4, paragrafo 3, della presente Decisione. Si applica l'articolo 4, paragrafo 4, della presente Decisione.
Articolo 8
Riesame da parte del Responsabile della protezione dei dati
IG/IN informa, senza indebito ritardo, il Responsabile della protezione dei dati ogniqualvolta i diritti degli interessati siano limitati in conformità della presente Decisione e fornisce l'accesso alla documentazione e la valutazione della necessità e proporzionalità della limitazione.
Il Responsabile della protezione dei dati può chiedere per iscritto a IG/IN di riesaminare l'applicazione delle limitazioni. IG/IN informa il Responsabile della protezione dei dati per iscritto dell'esito del riesame richiesto.
CAPO II
UFFICIO DI COMPLIANCE DEL GRUPPO BEI
Articolo 9
Oggetto e ambito di applicazione
1. Il presente capo stabilisce le modalità che OCCO è tenuto a seguire per informare gli interessati in merito al trattamento dei loro dati a norma degli articoli 14, 15 e 16 del Regolamento (UE) 2018/1725.
Esso stabilisce altresì le condizioni alle quali OCCO può limitare l'applicazione degli articoli da 14 a 22, 35 e 36, nonché dell'articolo 4 del Regolamento (UE) 2018/1725, in conformità dell'articolo 25 di tale Regolamento.
2. Il presente capo si applica al trattamento di dati personali da parte di OCCO ai fini delle attività o in relazione alle attività da esso svolte per assolvere alle proprie funzioni ai sensi del Mandato di OCCO, della Carta sull'integrità e la conformità e di altre politiche e norme interne.
3. Nell'ambito delle sue attività, OCCO tratta diverse categorie di dati personali, in particolare quelli riguardanti l'identità, il recapito, l'attività professionale e il ruolo svolto nella vicenda oggetto dell'indagine.
Articolo 10
Specificazione del responsabile del trattamento e misure di salvaguardia
1. L'Ufficio di Compliance del gruppo BEI agisce in qualità di titolare del trattamento.
2. I dati personali sono conservati in un ambiente elettronico e fisico sicuro, volto ad impedire la consultazione o il trasferimento illeciti di dati a persone che non hanno necessità di sapere.
3. I dati personali trattati da OCCO sono conservati per almeno sei mesi dopo l'archiviazione del caso e fino a cinque anni dopo la chiusura dell'indagine amministrativa.
4. In casi eccezionali e debitamente giustificati, previo accordo del Responsabile della protezione dei dati, si applicano termini più lunghi di quelli sopra indicati.
Articolo 11
Eccezioni e limitazioni applicabili
1. Qualora OCCO eserciti le proprie funzioni in relazione ai diritti degli interessati a norma del Regolamento (UE) 2018/1725, esso valuta se si applichi una delle eccezioni stabilite in detto Regolamento.
2. Fatti salvi gli articoli da 12 a 15 della presente Decisione, OCCO può limitare l'applicazione degli articoli da 14 a 22, e degli articoli 35 e 36 del Regolamento (UE) 2018/1725, nonché dell'articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22 del Regolamento (UE) 2018/1725, qualora l'esercizio di tali diritti e obblighi possa compromettere la finalità delle indagini amministrative e delle altre attività di OCCO, rivelando ad esempio i suoi strumenti e metodi di indagine, o ledere i diritti e le libertà altrui.
3. Fatti salvi gli articoli da 12 a 15 della presente Decisione, OCCO può limitare i diritti e gli obblighi di cui al paragrafo 2 in relazione ai dati personali ottenuti da altri servizi della BEI o da altre istituzioni ed altri organi e organismi dell'Unione, dalle autorità competenti degli Stati membri o di paesi terzi o da organizzazioni internazionali, nelle seguenti circostanze:
|
a) |
quando l'esercizio di tali diritti e obblighi potrebbe essere limitato da altri servizi della BEI o da altre istituzioni, organi e organismi dell'Unione sulla base di altri atti di cui all'articolo 25 del Regolamento (UE) 2018/1725 o in conformità del capo IX di detto Regolamento; |
|
b) |
quando l'esercizio di tali diritti e obblighi potrebbe essere limitato dalle autorità competenti degli Stati membri sulla base degli atti di cui all'articolo 23 del Regolamento (UE) 2016/679, o a norma delle misure nazionali di recepimento dell'articolo 13, paragrafo 3, dell'articolo 15, paragrafo 3, o dell'articolo 16, paragrafo 3, della Direttiva (UE) 2016/680; |
|
c) |
quando l'esercizio di tali diritti e obblighi potrebbe compromettere la cooperazione tra OCCO e i paesi terzi o le organizzazioni internazionali nell'esercizio delle sue funzioni. |
Prima di applicare limitazioni nelle circostanze di cui al primo comma, lettere a) e b), OCCO consulta i servizi competenti della BEI, le istituzioni, gli organi e gli organismi competenti dell'Unione o le autorità competenti degli Stati membri, a meno che non sia chiaro a OCCO che l'applicazione di una limitazione è prevista da uno degli atti di cui alle lettere in questione.
La lettera c) del primo comma non si applica qualora sull'interesse dell'Unione a cooperare con paesi terzi od organizzazioni internazionali prevalgano gli interessi o i diritti e le libertà fondamentali degli interessati.
Articolo 12
Comunicazione di informazioni agli interessati
1. OCCO pubblica sul sito Intranet della BEI informative sulla privacy con le quali rende note a tutti gli interessati le proprie attività che comportano il trattamento dei loro dati personali.
2. OCCO informa singolarmente tutti gli interessati che considera persone interessate, testimoni o informatori.
3. Allorché OCCO limita, integralmente o in parte, la comunicazione di informazioni agli interessati di cui al paragrafo 2, esso registra i motivi della limitazione, compresa una valutazione della relativa necessità e proporzionalità.
A tal fine, la registrazione indica in quale modo la comunicazione delle informazioni comprometterebbe la finalità delle indagini amministrative e delle altre attività di OCCO, o delle limitazioni applicate a norma dell'articolo 11, paragrafo 3, oppure lederebbe i diritti e le libertà altrui.
Detta registrazione e, se del caso, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati.
4. La limitazione di cui al paragrafo 3 continua ad applicarsi finché permangono i motivi che la giustificano.
Qualora detti motivi non siano più applicabili, OCCO fornisce all'interessato le informazioni in questione e i motivi della limitazione. Nel contempo OCCO informa l'interessato in merito alla possibilità di proporre in qualsiasi momento reclamo al Garante europeo della protezione dei dati o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea.
OCCO riesamina l'applicazione della limitazione ogni sei mesi dalla sua adozione e all'atto della chiusura dell'indagine pertinente. Successivamente il titolare del trattamento valuterà su base annuale la necessità di mantenere eventuali limitazioni.
Articolo 13
Diritto di accesso dell'interessato
1. Qualora, a norma dell'articolo 17 del Regolamento (UE) 2018/1725, gli interessati chiedano l'accesso ai propri dati personali trattati nell'ambito di uno o più casi specifici o di particolari trattamenti, OCCO limita la propria valutazione della richiesta esclusivamente a tali dati personali.
2. Allorché OCCO limita, integralmente o in parte, il diritto di accesso di cui all'articolo 17 del Regolamento (UE) 2018/1725, esso procede nel modo seguente:
|
a) |
informa l'interessato, nella propria risposta alla richiesta, in merito alla limitazione applicata e ai principali motivi della stessa, come pure alla possibilità di proporre reclamo al Garante europeo della protezione dei dati o di proporre un ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea; |
|
b) |
registra i motivi della limitazione, compresa una valutazione della necessità e della proporzionalità della stessa; a tal fine, indica in quale modo la concessione dell'accesso comprometterebbe la finalità delle indagini amministrative e delle altre attività di OCCO o delle limitazioni applicate a norma dell'articolo 11, paragrafo 3, oppure lederebbe i diritti e le libertà di altri interessati. |
La comunicazione di informazioni di cui alla lettera a) può essere rinviata, omessa o negata in conformità dell'articolo 25, paragrafo 8, del Regolamento (UE) 2018/1725.
3. La registrazione di cui al paragrafo 2, primo comma, lettera b), e, se del caso, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati. Si applica l'articolo 25, paragrafo 7, del Regolamento (UE) 2018/1725.
Articolo 14
Diritto di rettifica, cancellazione e limitazione di trattamento
Qualora OCCO limiti, integralmente o in parte, l'applicazione del diritto di rettifica, cancellazione o limitazione di trattamento di cui all'articolo 18, all'articolo 19, paragrafo 1, e all'articolo 20, paragrafo 1, del Regolamento (UE) 2018/1725, esso adotta le misure di cui all'articolo 13, paragrafo 2, della presente Decisione e conserva la registrazione in un registro in conformità dell'articolo 13, paragrafo 3, della stessa.
Articolo 15
Comunicazione di una violazione dei dati personali all'interessato
Allorché OCCO limita la comunicazione all'interessato di una violazione dei dati personali di cui all'articolo 35 del Regolamento (UE) 2018/1725, OCCO registra i motivi della limitazione e conserva la registrazione in un registro conformemente all'articolo 12, paragrafo 3, della presente Decisione. Si applica l'articolo 12, paragrafo 4, della presente Decisione.
Articolo 16
Riesame da parte del Responsabile della protezione dei dati
OCCO informa, senza indebito ritardo, il Responsabile della protezione dei dati ogniqualvolta i diritti degli interessati siano limitati in conformità della presente Decisione e fornisce l'accesso alla documentazione e la valutazione della necessità e proporzionalità della limitazione.
Il Responsabile della protezione dei dati può chiedere per iscritto al responsabile del trattamento di riesaminare l'applicazione delle limitazioni. OCCO informa il Responsabile della protezione dei dati per iscritto dell'esito del riesame richiesto.
CAPO III
DISPOSIZIONI FINALI
Articolo 17
Entrata in vigore
La presente Decisione è stata approvata dal Consiglio di amministrazione della BEI il 6 febbraio 2019 ed entra in vigore il giorno della sua pubblicazione sulla pagina web della BEI.
Fatto a Lussemburgo, il 6 febbraio 2019
(1) GU L 295 del 21.11.2018, pag. 39.
(2) Il trattamento dei dati personali che avviene nel corso delle indagini condotte dalla Divisione IG/IN e delle indagini amministrative svolte da OCCO è stato notificato al Garante europeo della protezione dei dati.
(3) http://www.eib.org/attachments/strategies/anti_fraud_policy_20130917_it.pdf
(4) http://www.eib.org/attachments/general/fraud_investigatons_charter_2017_it.pdf
(5) http://www.eib.org/it/infocentre/publications/all/staff-code-of-conduct.htm
(6) http://www.eib.org/it/infocentre/publications/all/eib-s-whistleblowing-policy.htm
(7) http://www.eib.org/it/infocentre/publications/all/integrity-policy-and-compliance-charter.htm
(8) http://www.eib.org/it/infocentre/publications/all/anti-fraud-procedures.htm
(9) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).
(10) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
(11) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la Decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).