DECISIONE n. 1/2020 DEL CONSIGLIO DI DIREZIONE DELL’IMPRESA COMUNE S2R

del 26 marzo 2020

che stabilisce norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito del funzionamento dell’impresa comune S2R

IL CONSIGLIO DI DIREZIONE DELL’IMPRESA COMUNE S2R (in appresso «l’impresa comune S2R»)

visto il trattato sul funzionamento dell’Unione europea (1),

visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (2), in particolare l’articolo 25,

visto il regolamento (UE) n. 642/2014 del Consiglio, del 16 giugno 2014 , che istituisce l'impresa comune Shift2Rail (3) che istituisce l’impresa comune Shift2Rail, in particolare l’articolo 8 dello statuto allegato a tale regolamento,

visti gli orientamenti del Garante europeo della protezione dei dati sull’articolo 25 del nuovo regolamento e le norme interne,

dopo aver consultato il GEPD il 12 novembre 2019, conformemente all’articolo 41, paragrafo 2, del regolamento (UE) 2018/1725,

viste le raccomandazioni del Garante europeo della protezione dei dati (GEPD) del 18 dicembre 2019,

dopo aver consultato il comitato del personale dell’impresa comune S2R,

considerando quanto segue:

Solo gli atti giuridici adottati sulla base dei trattati prevedono limitazioni dei diritti degli interessati. Qualora tali limitazioni non possano basarsi su atti giuridici adottati sulla base dei trattati, il regolamento (UE) 2018/1725 prevede che, in questioni relative alle operazioni dell’impresa comune S2R, le limitazioni possono essere previste da norme interne, comprese disposizioni sulla valutazione della necessità e della proporzionalità di una limitazione.

In conformità dell’articolo 25, paragrafo 1, del regolamento (UE) 2018/1725, le limitazioni nell’applicazione degli articoli da 14 a 22, degli articoli 35 e 36, nonché dell’articolo 4 del medesimo regolamento, nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi previsti dagli articoli da 14 a 22, dovrebbero basarsi su regole interne adottate dall’impresa comune S2R.

Nel quadro del suo funzionamento amministrativo, l’impresa comune S2R può condurre indagini amministrative e procedimenti disciplinari, svolgere attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, trattare denunce di irregolarità, procedure (formali e informali) di molestie e reclami interni ed esterni, effettuare audit interni, condurre indagini svolte dal responsabile della protezione dei dati, in linea con l’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, nonché indagini interne sulla sicurezza (IT).

L’impresa comune S2R tratta diverse categorie di dati personali, tra cui dati d’identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico, nonché dati riguardanti il caso (quali motivazione, dati comportamentali, valutazioni, dati su comportamenti e prestazioni e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività) (4).

5)	L’impresa comune S2R, rappresentata dal suo direttore esecutivo, funge da titolare del trattamento dei dati.

I dati personali sono conservati in modo sicuro in un ambiente elettronico o in formato cartaceo, impedendo l’accesso illecito o il trasferimento dei dati a persone che non hanno necessità di venirne a conoscenza. I dati personali trattati sono conservati solo per il periodo di tempo necessario e opportuno per le finalità del trattamento come specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy o nei registri dell’impresa comune S2R.

Le norme interne dovrebbero applicarsi a tutti i trattamenti dei dati svolti dall’impresa comune S2R quando conduce indagini amministrative, procedimenti disciplinari, attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, procedure in materia di denunce di irregolarità, procedure (formali e informali) di casi di molestia, quando tratta reclami interni ed esterni, audit interni, indagini svolte dal responsabile della protezione dei dati, conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, nonché indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE).

Tali norme interne dovrebbero applicarsi alle operazioni di trattamento effettuate prima dell’apertura delle procedure di cui sopra, nel corso di tali procedure e durante il monitoraggio del seguito dei relativi risultati. Dovrebbero essere comprese altresì l’assistenza e la cooperazione fornite dall’impresa comune S2R alle autorità nazionali e alle organizzazioni internazionali al di fuori delle proprie indagini amministrative.

9)	Nei casi in cui si applichino tali norme interne, l’impresa comune S2R deve fornire giustificazioni sul motivo per cui tali limitazioni siano strettamente necessarie e proporzionate in una società democratica e rispettino l’essenza dei diritti e delle libertà fondamentali.

10)

In questo quadro, l’impresa comune S2R è tenuta a rispettare, nella misura più ampia possibile, i diritti fondamentali degli interessati durante i citati procedimenti, in particolare quelli che riguardano il diritto di comunicare informazioni, il diritto di accesso e rettifica, il diritto di cancellazione e limitazione del trattamento, il diritto di comunicazione di una violazione dei dati personali all’interessato o il diritto alla riservatezza delle comunicazioni sancito nel regolamento (UE) 2018/1725.

11)

Tuttavia, l’impresa comune S2R può essere costretta a limitare la comunicazione di informazioni all’interessato e altri suoi diritti per proteggere, in particolare, le proprie indagini, le indagini e i procedimenti di altre autorità pubbliche, nonché i diritti di altre persone coinvolte nelle sue indagini o in altre procedure.

12)

Qualora l’impresa comune S2R consideri di applicare una limitazione, viene valutato il rischio per i diritti e le libertà dell’interessato, in particolare rispetto al rischio per i diritti e le libertà degli altri interessati e al rischio di annullare gli effetti delle indagini o delle procedure dell’impresa comune S2R, ad esempio distruggendo gli elementi di prova. I rischi per i diritti e le libertà dell’interessato riguardano principalmente, ma non esclusivamente, i rischi legati alla reputazione e i rischi per il diritto di difesa e il diritto di essere ascoltato.

13)	L’impresa comune S2R può quindi limitare le informazioni allo scopo di proteggere l’indagine e i diritti e le libertà fondamentali di altri interessati.

14)	L’impresa comune S2R dovrebbe monitorare periodicamente se le condizioni che giustificano la limitazione continuano ad applicarsi e revocare la limitazione non appena queste cessino di sussistere.

15)	Il titolare del trattamento dovrebbe informare il responsabile della protezione dei dati al momento del rinvio e durante le revisioni,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Oggetto e ambito d’applicazione

1. La presente decisione stabilisce le norme relative alle condizioni alle quali l’impresa comune S2R, nel quadro delle sue procedure stabilite al paragrafo 2, può limitare l’applicazione dei diritti sanciti negli articoli da 14 a 21 e negli articoli 35 e 36, nonché nell’articolo 4, in base all’articolo 25 del regolamento (UE) 2018/1725.

2. Nel quadro del funzionamento amministrativo dell’impresa comune S2R, la presente decisione si applica ai trattamenti dei dati personali svolti dall’ufficio di programma ai fini di condurre indagini amministrative, procedimenti disciplinari e attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, trattare denunce di irregolarità, procedure (formali e informali) di molestie e reclami interni ed esterni, effettuare audit interni, indagini svolte dal responsabile della protezione dei dati conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, nonché indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE).

3. Le categorie di dati interessate comprendono dati d’identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico, nonché dati riguardanti il caso, quali motivazione, dati comportamentali, valutazioni, dati su comportamenti e prestazioni e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività.

4. Quando esercita le sue funzioni rispetto ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, l’impresa comune S2R valuta se sia applicabile una delle deroghe stabilite in tale regolamento.

Articolo 2

Indicazione del titolare del trattamento

Il titolare delle operazioni di trattamento è l’impresa comune S2R, rappresentata dal suo direttore esecutivo.

Articolo 3

Indicazione delle garanzie

1. L’impresa comune S2R predispone le seguenti garanzie destinate a prevenire abusi, accessi o trasferimenti illeciti di dati personali:

a)	i documenti cartacei sono tenuti in armadi sicuri e accessibili soltanto al personale autorizzato;

b)	tutti i dati elettronici sono memorizzati in un’applicazione informatica sicura conformemente agli standard di sicurezza dell’impresa comune S2R e in specifiche cartelle elettroniche accessibili unicamente al personale autorizzato. Sono disposti appropriati livelli di accesso su base individuale;

la banca dati è protetta da password nell’ambito di un sistema di accesso SSO (Single Sign On) ed è collegata automaticamente all’ID e alla password dell’utente, comprese «pseudonimizzazione» e/o «cifratura», se del caso. La sostituzione degli utenti è rigorosamente vietata. I registri elettronici sono conservati in maniera sicura per tutelare la riservatezza e la segretezza dei dati contenuti;

d)	tutte le persone che hanno accesso ai dati hanno l’obbligo della riservatezza.

2. Conformemente all’articolo 6, paragrafo 3, le garanzie di cui al paragrafo 1 devono essere soggette a una revisione periodica.

3. Il periodo di conservazione dei dati personali di cui all’articolo 1, paragrafo 3, è indicato nelle relative comunicazioni sulla protezione dei dati, nelle informative sulla privacy o nei registri di cui all’articolo 7, paragrafo 1. Il periodo di conservazione non sarà in ogni caso più lungo di quanto necessario e sarà appropriato per le finalità per le quali i dati sono trattati (5).

Articolo 4

Motivi per le limitazioni

1. Eventuali limitazioni sono applicate dall’impresa comune S2R esclusivamente per salvaguardare:

a)	la sicurezza nazionale, la sicurezza pubblica o la difesa degli Stati membri;

b)	la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e relativa prevenzione;

altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare gli obiettivi della politica estera e di sicurezza comune dell’Unione o un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;

d)	la sicurezza interna delle istituzioni e degli organismi dell’Unione, comprese le relative reti di comunicazione elettronica;

e)	le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;

f)	una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a) a c);

g)	la tutela dell’interessato o dei diritti e delle libertà altrui;

h)	l’esecuzione delle azioni civili.

2. Come applicazione specifica delle finalità descritte nel precedente paragrafo 1, l’impresa comune S2R può applicare limitazioni nei seguenti casi:

in relazione ai dati personali scambiati con i servizi della Commissione o con altre istituzioni, organi e organismi dell’Unione;

—

quando tali servizi della Commissione o istituzioni, organi e organismi dell’Unione sono legittimati a limitare l’esercizio dei diritti elencati in virtù di altri atti previsti dall’articolo 25 del regolamento (UE) 2018/1725 o conformemente al capo IX di detto regolamento oppure sulla base degli atti costitutivi di altre istituzioni, organi e organismi dell’Unione;

—	qualora lo scopo di tale limitazione da parte di tale servizio della Commissione, istituzione, organo o organismo dell’Unione sia messo a repentaglio nel caso in cui l’impresa comune S2R non applichi una limitazione equivalente in relazione agli stessi dati personali.

in relazione ai dati personali scambiati con le autorità competenti degli Stati membri;

—

quando tali autorità competenti degli Stati membri sono legittimate a limitare l’esercizio dei diritti elencati in virtù dei motivi di cui all’articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (6), o a norma delle disposizioni nazionali di recepimento dell’articolo 13, paragrafo 3, dell’articolo 15, paragrafo 3, o dell’articolo 16, paragrafo 3, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (7);

—	qualora lo scopo di tale limitazione da parte di tale autorità competente sia messo a repentaglio nel caso in cui l’impresa comune S2R non applichi una limitazione equivalente in relazione agli stessi dati personali.

in relazione ai dati personali scambiati con paesi terzi o organizzazioni internazionali, qualora sia chiaramente dimostrato che l’esercizio di tali diritti e obblighi rischi di mettere a repentaglio la cooperazione dell’impresa comune S2R con paesi terzi o organizzazioni internazionali nello svolgimento dei suoi compiti.

Prima di applicare limitazioni nei casi di cui al primo comma, lettere a) e b), l’impresa comune S2R consulta i servizi della Commissione, le istituzioni, gli organi e gli organismi pertinenti dell’Unione o le autorità competenti degli Stati membri, a meno che all’impresa comune S2R non risulti evidente che l’applicazione di una limitazione è prevista in virtù di uno dei motivi di cui alle summenzionate lettere.

Articolo 5

Limitazioni e diritti degli interessati

1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, i diritti che seguono possono essere limitati dal titolare del trattamento nel contesto delle operazioni di trattamento di cui all’articolo 1, paragrafo 2, e al paragrafo 2 seguente, laddove necessario e proporzionato:

a)	il diritto all’informazione;

b)	il diritto di accesso;

c)	il diritto di rettifica, cancellazione e limitazione del trattamento;

d)	il diritto di comunicazione di una violazione dei dati personali all’interessato;

e)	il diritto di riservatezza delle comunicazioni elettroniche.

2. In casi debitamente giustificati e al fine di salvaguardare le finalità di cui all’articolo 4, paragrafo 1, il titolare del trattamento può applicare limitazioni nell’ambito delle seguenti operazioni di trattamento di cui all’articolo 1, paragrafo 2:

a)	svolgimento di indagini amministrative e procedimenti disciplinari;

b)	attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF;

c)	procedure in materia di denunce di irregolarità;

d)	procedure (formali e informali) di casi di molestia;

e)	trattamento di reclami interni ed esterni;

f)	audit interni;

g)	indagini svolte dal responsabile della protezione dei dati, in linea con l’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725;

h)	indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE);

i)	nell’ambito della procedura di gestione delle sovvenzioni o di aggiudicazione degli appalti, dopo la data di chiusura degli inviti a presentare proposte o delle candidature.

3. Nell’ambito della procedura per i casi di molestie, i diritti di cui al paragrafo 1 possono essere limitati alle stesse condizioni, ad eccezione del diritto di comunicare la violazione dei dati personali all’interessato di cui al paragrafo 1, lettera d).

4. Nell’ambito della procedura di gestione delle sovvenzioni o di aggiudicazione degli appalti, i diritti di cui al paragrafo 1 possono essere limitati alle stesse condizioni, ad eccezione del diritto di rettifica, cancellazione e limitazione del trattamento di cui al paragrafo 1, lettera c).

5. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto di rettifica, cancellazione e limitazione del trattamento può essere limitato dal titolare del trattamento, ad eccezione di quanto previsto ai paragrafi 3 e 4.

6. Qualora l’impresa comune S2R limiti, in tutto o in parte, l’applicazione dei diritti di cui ai paragrafi 1, 3, 4 e 5, essa adotta le misure di cui agli articoli 6 e 7 della presente decisione.

7. Qualora, a norma dell’articolo 17 del regolamento (UE) 2018/1725, gli interessati chiedano l’accesso ai propri dati personali trattati nell’ambito di uno o più casi specifici o di particolari trattamenti, l’impresa comune S2R limita la propria valutazione della richiesta esclusivamente a tali dati personali.

Articolo 6

Necessità e proporzionalità delle limitazioni

1. Le eventuali limitazioni ai sensi dell’articolo 4 sono necessarie e proporzionate tenuto conto dei rischi per i diritti e le libertà degli interessati e rispettano l’essenza dei diritti e delle libertà fondamentali in una società democratica.

2. Se si considera l’applicazione di limitazioni, si effettua una verifica della necessità e della proporzionalità sulla base delle presenti regole. La verifica deve essere condotta anche nell’ambito della revisione periodica, dopo aver valutato se le ragioni di fatto e di diritto di una restrizione siano ancora valide. Tale procedura è documentata mediante una nota di valutazione interna ai fini della rendicontabilità ed è effettuata caso per caso.

3. Le restrizioni sono temporanee e continuano ad applicarsi finché sussistono i motivi che le giustificano, in particolare laddove si ritenga che l’esercizio del diritto ristretto non annullerebbe più l’effetto della limitazione imposta o lederebbe i diritti e le libertà degli altri interessati.

L’impresa comune S2R riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’inchiesta, della procedura o dell’indagine pertinente. Successivamente, il titolare del trattamento valuta la necessità di mantenere eventuali limitazioni ogni sei mesi.

4. Qualora l’impresa comune S2R applichi, in tutto o in parte, le limitazioni ai sensi dell’articolo 4 della presente decisione, essa registra le ragioni della limitazione, il motivo giuridico conformemente al precedente paragrafo 1, inclusa la valutazione della necessità e della proporzionalità della limitazione.

La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati.

Articolo 7

Obbligo di informazione

1. Nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy e nei registri, ai sensi dell’articolo 31 del regolamento (UE) 2018/1725, pubblicati sul proprio sito web e/o sull’Intranet, che informano gli interessati sui loro diritti nel quadro di una determinata procedura, l’impresa comune S2R include informazioni riguardanti le potenziali limitazioni di questi diritti. Tali informazioni riguardano i diritti che possono essere limitati, le ragioni e la durata potenziale della limitazione.

Fatte salve le disposizioni di cui all’articolo 6, paragrafo 4, se proporzionato, l’impresa comune S2R informa anche singolarmente tutti gli interessati, considerati persone interessate nella specifica operazione di trattamento, dei loro diritti riguardanti le limitazioni attuali o future senza indebito ritardo e in forma scritta.

2. Qualora l’impresa comune S2R limiti, in tutto o in parte, i diritti di cui all’articolo 5, essa informa l’interessato in merito alla limitazione applicata e ai principali motivi della stessa, nonché della possibilità di presentare reclamo al Garante europeo della protezione dei dati o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.

La comunicazione di informazioni di cui al precedente paragrafo 2 può essere rinviata, omessa o negata se annullasse l’effetto della limitazione in conformità dell’articolo 25, paragrafo 8, del regolamento (UE) 2018/1725.

Articolo 8

Revisione da parte del responsabile della protezione dei dati

1. L’impresa comune S2R informa senza indebito ritardo il proprio responsabile della protezione dei dati (RPD) ogniqualvolta il titolare del trattamento limiti l’applicazione dei diritti degli interessati o estenda la limitazione a norma della presente decisione. Il titolare del trattamento fornisce al RPD l’accesso al registro che contiene la valutazione della necessità e della proporzionalità della limitazione e documenta nel registro la data in cui ha informato il RPD.

2. Il RPD può chiedere al titolare del trattamento di riesaminare l’applicazione della limitazione. Il titolare del trattamento informa per iscritto il RPD circa l’esito del riesame richiesto.

3. Il RPD viene coinvolto durante l’intera procedura. Il titolare del trattamento informa il RPD quando la limitazione cessa di sussistere.

Articolo 9

Entrata in vigore

La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Fatto a Bruxelles, il 26 marzo 2020

Per il consiglio di direzione dell’impresa comune S2R

Henrik HOLOLEI

Il presidente

(1) GU C 202 del 7.6.2016, pag. 47.

(2) GU L 295 del 21.11.2018, pag. 39.

(3) GU L 177 del 17.6.2014, pag. 9.

(4) In caso di contitolarità del trattamento, i dati sono trattati in linea con i mezzi e le finalità stabiliti nell’accordo pertinente tra i contitolari del trattamento, come definito all’articolo 28 del regolamento (UE) 2018/1725.

(5) La politica di conservazione dell’impresa comune S2R si basa sulla conservazione dei fascicoli presso la Commissione, disciplinata dall’elenco comune di conservazione, un documento normativo, la cui ultima versione è il SEC(2019) 900, in forma di elenco in cui sono fissati i periodi di conservazione per i diversi tipi di documenti della Commissione.

(6) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(7) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).