1.   Il regolamento interno relativo al trattamento e alla protezione dei dati personali presso Eurojust (in seguito denominato «regolamento interno») attua le disposizioni in materia di protezione dei dati del regolamento Eurojust e del regolamento 2018/1725.

2.   Il regolamento interno si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

3.   Il regolamento interno si applica a tutti i dati personali trattati da Eurojust, compresi quelli contenuti in informazioni da essa redatte, ricevute o detenute, riguardanti questioni inerenti a politiche, attività e decisioni rientranti nel suo ambito di competenza.

1.   Il presente regolamento interno si applica ai dati personali operativi e amministrativi trattati da Eurojust.

2.   I dati operativi sono trattati conformemente al titolo II.

3.   I dati amministrativi sono trattati conformemente al titolo III.

1.   Le richieste di esercizio dei diritti degli interessati sono trattate dal membro o dai membri nazionali interessati dalla richiesta, i quali trasmettono una copia della richiesta al responsabile della protezione dei dati ai fini della sua registrazione.

2.   Il membro o i membri nazionali interessati consultano le autorità competenti degli Stati membri in merito alla decisione da prendere in risposta a una richiesta.

3.   Qualora il caso lo richieda, il responsabile della protezione dei dati effettua ulteriori verifiche nel sistema di gestione dei casi ed informa il membro o i membri nazionali interessati di qualsiasi informazione pertinente aggiuntiva cui pervenga tramite tali verifiche. Il membro o i membri nazionali interessati tengono conto delle informazioni fornite dal responsabile della protezione dei dati e, se del caso, riconsiderano la decisione iniziale.

4.   Le ragioni di fatto e di diritto alla base della decisione del membro o dei membri nazionali sono documentate nell’archivio di lavoro temporaneo relativo alla richiesta nel sistema di gestione dei fascicoli e sono messe a disposizione del GEPD su richiesta.

5.   Il responsabile della protezione dei dati comunica la decisione presa dal membro o dai membri nazionali interessati per conto di Eurojust all’interessato e informa quest’ultimo della possibilità di proporre reclamo al GEPD se la decisione non lo soddisfa, oppure di proporre ricorso giurisdizionale dinanzi alla Corte di giustizia.

6.   Qualora la richiesta sia pervenuta per il tramite di un’autorità di controllo nazionale, Eurojust informa tale autorità di una decisione comunicata dal responsabile della protezione dei dati all’interessato.

1.   Il sistema di gestione dei fascicoli assegna automaticamente un numero di riferimento unico (identificativo) a ogni nuovo archivio di lavoro temporaneo creato.

2.   Quando un membro nazionale responsabile della gestione di un archivio di lavoro temporaneo ai sensi dell’articolo 24, paragrafo 1, del regolamento Eurojust concede a uno o più membri nazionali interessati l’accesso a un archivio di lavoro temporaneo, o a parte di esso, il sistema di gestione dei fascicoli assicura che gli utenti autorizzati in base al profilo dell’ufficio nazionale sotto la responsabilità del membro nazionale abbiano accesso alle parti pertinenti dell’archivio, ma non possano modificare i dati introdotti dall’autore originale. Gli utenti autorizzati possono tuttavia aggiungere qualsiasi informazione pertinente alle parti nuove degli archivi di lavoro temporanei. Analogamente, le informazioni contenute nell’indice possono essere consultate da tutti gli utenti autorizzati del sistema, ma possono essere modificate solo dall’autore originale.

3.   Ogniqualvolta venga creato un nuovo archivio di lavoro contenente dati personali, il sistema di gestione dei fascicoli ne informa automaticamente il responsabile della protezione dei dati.

4.   Il sistema di gestione dei fascicoli assicura che il membro nazionale interessato che abbia aperto un archivio di lavoro temporaneo possa registrare nell’indice, conformemente all’articolo 23, paragrafo 4, e all’articolo 24, paragrafo 3, del regolamento Eurojust, solo i dati personali operativi di cui al punto 1, lettere da a) ad i) e lettere k) e m), e al punto 2 dell’allegato II del regolamento Eurojust.

5.   Se, conformemente all’articolo 23, paragrafo 6, del regolamento Eurojust, desiderano conservare temporaneamente e analizzare dati personali per determinare se siano rilevanti ai fini dei compiti di Eurojust, i membri nazionali creano un progetto di archivio di lavoro temporaneo accessibile solo ad essi e alle persone da essi autorizzate nell’ambito del profilo del loro ufficio. Dopo tre mesi il progetto di archivio di lavoro temporaneo deve essere convertito in un archivio di lavoro temporaneo nel sistema di gestione dei fascicoli o è automaticamente eliminato dal sistema. Prima che sia trascorso tale termine, il sistema invia un’allerta al membro nazionale interessato per ricordargli la necessità di prendere una decisione sul progetto di archivio.

6.   Il membro o i membri nazionali interessati provvedono affinché le informazioni contenute nell’indice siano sufficienti per assolvere i compiti di Eurojust definiti all’articolo 2 del regolamento Eurojust.

1.   Eurojust adotta adeguate misure tecniche per assicurare che il responsabile della protezione dei dati sia automaticamente informato dei casi eccezionali in cui è fatto ricorso all’articolo 27, paragrafo 4, del regolamento Eurojust. Il sistema di gestione dei fascicoli assicura che tali dati non possano essere inclusi nell’indice di cui all’articolo 23, paragrafi 1 e 4, del regolamento Eurojust.

2.   Se i summenzionati dati si riferiscono a testimoni o vittime ai sensi dell’articolo 27, paragrafo 2, del regolamento Eurojust, il sistema di gestione dei fascicoli non registra tali informazioni a meno che i membri nazionali interessati non decidano diversamente. La decisione di trattare tali dati deve essere documentata.

1.   Eurojust adotta adeguate misure tecniche per assicurare che il responsabile della protezione dei dati sia automaticamente informato dei casi eccezionali in cui è fatto ricorso, per un periodo di tempo limitato, all’articolo 27, paragrafo 3, del regolamento Eurojust. Il sistema di gestione dei fascicoli contrassegna tali dati in modo da ricordare alla persona che li ha introdotti nel sistema l’obbligo di mantenerveli per un periodo di tempo limitato.

2.   Se i summenzionati dati si riferiscono a testimoni o vittime ai sensi dell’articolo 27, paragrafo 2, del regolamento Eurojust, il sistema di gestione dei fascicoli non registra tali informazioni a meno che i membri nazionali interessati non decidano diversamente. La decisione di trattare tali dati deve essere documentata.

1.   Ciascun membro nazionale di Eurojust documenta e informa il responsabile della protezione dei dati in merito alla politica di accesso che ha autorizzato conformemente all’articolo 34 del regolamento Eurojust nell’ambito del suo ufficio nazionale riguardo ai dati personali operativi.

2.   I membri nazionali possono decidere, caso per caso, di concedere un’autorizzazione specifica per l’accesso a un archivio di lavoro temporaneo, o a parti di esso, a una persona che non è un membro del personale di Eurojust, ma che lavora per conto di Eurojust e fa parte di una categoria specifica di responsabili precedentemente autorizzati dal direttore amministrativo di Eurojust, in conformità dell’articolo 24, paragrafo 2, del regolamento Eurojust, ad ottenere l’accesso al sistema di gestione dei fascicoli.

3.   I membri nazionali assicurano che siano adottate ed osservate appropriate disposizioni organizzative all’interno dei loro uffici e che siano utilizzate in modo corretto, anche a seguito della necessaria formazione, le misure tecniche ed organizzative messe a loro disposizione da Eurojust.

4.   Conformemente all’articolo 34 del regolamento Eurojust, il collegio può autorizzare altro personale di Eurojust ad avere accesso ai dati personali operativi se necessario per lo svolgimento dei compiti di Eurojust.

1.   Il sistema di gestione dei fascicoli di Eurojust quale definito all’articolo 23 del regolamento Eurojust funge da registro di tutte le attività di trattamento di cui all’articolo 35 del regolamento Eurojust per quanto riguarda i dati personali operativi.

2.   Il sistema di gestione dei fascicoli di Eurojust contiene un registro completo dei dati personali operativi trasmessi e ricevuti mediante il quale è possibile verificare qualsiasi trasmissione di dati personali operativi e individuare l’autorità nazionale, l’organizzazione, il paese terzo o l’organizzazione internazionale che ha trasmesso tali informazioni a Eurojust o le ha da questa ricevute.

1.   Il collegio di Eurojust, su richiesta del membro o dei membri nazionali interessati e previa valutazione effettuata dal responsabile della protezione dei dati, prende una decisione sul trasferimento di dati personali verso paesi terzi od organizzazioni internazionali in conformità dell’articolo 58, paragrafo 1, del regolamento Eurojust.

2.   La valutazione di cui al paragrafo 1 è fornita dal responsabile della protezione dei dati entro dieci giorni lavorativi. Se necessario per ragioni di urgenza indicate dal membro o dai membri nazionali interessati, la valutazione è fornita quanto prima possibile. In casi particolarmente complessi, il responsabile della protezione dei dati può concordare un termine più lungo per il completamento della valutazione con il membro o i membri nazionali interessati.

3.   La valutazione da parte del responsabile della protezione dei dati verte, in particolare, sulle questioni di cui ai considerando 51 e 52 del regolamento Eurojust. Qualora abbia riserve in sede di valutazione dell’adeguatezza delle garanzie nel caso di specie, il responsabile della protezione dei dati può consultare il GEPD prima di emettere una valutazione su uno specifico trasferimento.

1.   Eurojust mette a punto adeguate misure tecniche per garantire che siano osservati i termini per la conservazione dei dati personali operativi di cui all’articolo 29 del regolamento Eurojust e che, in mancanza di una decisione motivata sull’ulteriore conservazione dei dati personali operativi al momento della verifica, tali dati siano automaticamente eliminati.

2.   Il sistema di gestione dei fascicoli assicura, in particolare, che la necessità di conservare i dati in un archivio di lavoro temporaneo sia verificata ogni tre anni dopo il loro inserimento. Detta verifica dev’essere adeguatamente documentata nel sistema, anche per quanto riguarda la motivazione di una decisione presa sull’ulteriore conservazione dei dati personali operativi, ed è comunicata automaticamente al responsabile della protezione dei dati. Gli effetti di una tale decisione, o della mancanza della stessa, si applicano al caso nel suo complesso ai sensi dell’articolo 29, paragrafo 2, del regolamento Eurojust.

3.   Il sistema di gestione dei fascicoli contrassegna, in particolare, i dati registrati per un periodo di tempo limitato in conformità dell’articolo 27, paragrafo 3, del regolamento Eurojust nonché i dati di cui all’articolo 27, paragrafo 4, di detto regolamento. Se i dati personali operativi di cui all’articolo 27, paragrafo 4, sono conservati per un periodo superiore a cinque anni, il sistema di gestione dei fascicoli genera un’allerta per assicurare che tali informazioni siano automaticamente trasmesse al GEPD.

4.   In casi eccezionali, qualora un membro nazionale ritenga che i dati personali operativi siano ulteriormente necessari per finalità di archiviazione nel pubblico interesse o per finalità statistiche ai sensi dell’articolo 29, paragrafo 7, lettera e), del regolamento Eurojust, il collegio, sentito il parere del responsabile della protezione dei dati, decide in merito alla necessità di conservare i dati, nel caso di specie, per tale scopo specifico. Il GEPD è informato in caso di ricorso a questa procedura.

1.   Le richieste di esercizio dei diritti sono rivolte direttamente al direttore amministrativo di Eurojust o al responsabile della protezione dei dati. Il responsabile della protezione dei dati riceve in ogni caso una copia della richiesta ai fini della sua registrazione.

2.   Se necessario, il responsabile della protezione dei dati fornisce assistenza all’interessato e mette a disposizione moduli specifici che le persone possono utilizzare per presentare le loro richieste.

3.   Il direttore amministrativo, sulla base delle informazioni fornite dall’entità amministrativa direttamente coinvolta nel trattamento dei dati personali e del parere del responsabile della protezione dei dati, prende una decisione in merito al caso di specie.

4.   Il responsabile della protezione dei dati comunica la decisione presa dal direttore amministrativo all’interessato e informa quest’ultimo della possibilità di proporre reclamo al GEPD se la decisione resa da Eurojust non lo soddisfa.

5.   La richiesta è evasa completamente entro un mese dal suo ricevimento. Tale termine può essere prorogato di altri due mesi, se necessario, tenuto conto del numero e della complessità delle richieste. Il direttore amministrativo informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. L’interessato può proporre reclamo al GEPD qualora Eurojust non abbia reso una decisione in base alla sua richiesta entro detto termine.

1.   Ad ogni singolo trattamento di dati personali amministrativi effettuato presso Eurojust corrisponde, alla luce della sua finalità definita e nel pieno rispetto dell’articolo 4, paragrafo 1, lettera d), e dell’articolo 31, paragrafo 1, lettera f), del regolamento 2018/1725, un termine di conservazione chiaro e definito al fine di assicurare che i dati non siano conservati più di quanto necessario alle finalità per le quali sono trattati i dati personali amministrativi. Tale termine è stabilito per ciascuna categoria di dati trattati e documentato nel registro delle attività di trattamento.

2.   Eurojust conserva i dati personali amministrativi in conformità del paragrafo 1 per il tempo necessario e in ogni caso per periodi non superiori a quelli indicati per ciascuna categoria di attività di trattamento nella tabella allegata al presente regolamento interno.

3.   Il comitato esecutivo, su proposta del direttore amministrativo, può stabilire periodi di conservazione più brevi rispetto a quelli di cui all’allegato del presente regolamento interno.

1.   Il presente regolamento interno è riesaminato periodicamente per valutare la necessità di eventuali modifiche. Qualsiasi modifica del regolamento interno è apportata seguendo la stessa procedura stabilita per la sua approvazione dal regolamento Eurojust.

2.   Il GEPD sottopone all’attenzione del collegio eventuali suggerimenti o raccomandazioni riguardanti modifiche del regolamento interno.