|
20.11.2020 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 391/12 |
DECISIONE DEL CONSIGLIO DI DIREZIONE DELL’IMPRESA COMUNE PER L’INIZIATIVA IN MATERIA DI MEDICINALI INNOVATIVI 2
dell’11 agosto 2020
che stabilisce le norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito del funzionamento dell’impresa comune IMI 2
IL CONSIGLIO DI DIREZIONE DELL’IMPRESA COMUNE IMI 2 (in appresso «l’impresa comune IMI 2»),
visto il trattato sul funzionamento dell’Unione europea,
visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (1), in particolare l’articolo 25,
visto lo statuto allegato al regolamento (UE) n. 557/2014 del Consiglio, del 6 maggio 2014, che istituisce l’impresa comune per l’iniziativa in materia di medicinali innovativi 2 (2), in particolare l’articolo 7, paragrafo 3, lettera r),
visti gli orientamenti del Garante europeo della protezione dei dati (GEPD) sull’articolo 25 del nuovo regolamento e le norme interne,
previa consultazione del comitato del personale dell’impresa comune IMI 2,
viste le raccomandazioni del GEPD del 18 dicembre 2019,
considerando quanto segue:
|
(1) |
L’impresa comune IMI 2 svolge le sue attività in conformità del regolamento (UE) n. 557/2014. |
|
(2) |
In conformità dell’articolo 25, paragrafo 1, del regolamento (UE) 2018/1725, le limitazioni nell’applicazione degli articoli da 14 a 22 e degli articoli 35 e 36, nonché dell’articolo 4 del medesimo regolamento, nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, dovrebbero basarsi su norme interne adottate dall’impresa comune IMI 2, qualora non si fondino su atti giuridici adottati sulla base dei trattati. |
|
(3) |
Queste norme interne, comprese le disposizioni sulla valutazione della necessità e della proporzionalità di una limitazione, non dovrebbero applicarsi qualora un atto giuridico adottato sulla base dei trattati preveda una limitazione dei diritti degli interessati. |
|
(4) |
Quando esercita le sue funzioni rispetto ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, l’impresa comune IMI 2 valuta se sia applicabile una delle deroghe previste in tale regolamento. |
|
(5) |
Nel quadro del suo funzionamento amministrativo, l’impresa comune IMI 2 può condurre indagini amministrative e procedimenti disciplinari, svolgere attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, trattare denunce di irregolarità (whistleblowing), procedure (formali e informali) per molestie e reclami interni ed esterni, effettuare audit interni, condurre indagini svolte dal responsabile della protezione dei dati, conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, nonché indagini interne sulla sicurezza (IT). |
|
(6) |
L’impresa comune IMI 2 tratta diverse categorie di dati personali, tra cui dati controllati (dati «oggettivi» quali dati d’identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico) e dati non controllati (dati «soggettivi» riguardanti il caso, quali motivazione, dati comportamentali, valutazioni, dati su attività e prestazioni e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività) (3). |
|
(7) |
L’impresa comune IMI 2, rappresentata dal suo direttore esecutivo, agisce in qualità di titolare del trattamento, indipendentemente dalle ulteriori deleghe di tale ruolo al proprio interno, al fine di riflettere le responsabilità operative riguardanti specifiche attività di trattamento dei dati personali. |
|
(8) |
I dati personali sono conservati in modo sicuro in un ambiente elettronico o in formato cartaceo, impedendo l’accesso illecito o il trasferimento dei dati a persone che non hanno necessità di venirne a conoscenza. I dati personali trattati sono conservati solo per il periodo di tempo necessario e opportuno per le finalità del trattamento come specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy o nei registri dell’impresa comune IMI 2. |
|
(9) |
Le norme interne dovrebbero applicarsi a tutti i trattamenti dei dati effettuati dall’impresa comune IMI 2 quando conduce indagini amministrative, procedimenti disciplinari, attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, procedure in materia di denunce di irregolarità (whistleblowing) e procedure (formali e informali) per casi di molestia, quando tratta reclami interni ed esterni, audit interni, indagini svolte dal responsabile della protezione dei dati, conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, nonché indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE). |
|
(10) |
Queste norme interne dovrebbero applicarsi alle operazioni di trattamento effettuate prima dell’avvio delle procedure di cui sopra, nel corso del loro svolgimento e durante il monitoraggio del seguito dei relativi risultati. Dovrebbero essere comprese altresì l’assistenza e la cooperazione fornite dall’impresa comune IMI 2 alle autorità nazionali e alle organizzazioni internazionali al di fuori delle proprie indagini amministrative. |
|
(11) |
Nei casi in cui si applicano tali norme interne, l’impresa comune IMI 2 deve fornire giustificazioni sul motivo per cui tali limitazioni siano strettamente necessarie e proporzionate in una società democratica e rispettino l’essenza dei diritti e delle libertà fondamentali. |
|
(12) |
In questo quadro, l’impresa comune IMI 2 è tenuta a rispettare, nella misura più ampia possibile, i diritti fondamentali degli interessati durante i citati procedimenti, in particolare il diritto alla comunicazione di informazioni, il diritto di accesso e rettifica, il diritto alla cancellazione e il diritto di limitazione del trattamento, il diritto di comunicazione di una violazione dei dati personali all’interessato o il diritto alla riservatezza delle comunicazioni sanciti nel regolamento (UE) 2018/1725. |
|
(13) |
Tuttavia, l’impresa comune IMI 2 può essere costretta a limitare le informazioni all’interessato e altri suoi diritti per proteggere, in particolare, le proprie indagini, le indagini e i procedimenti di altre autorità pubbliche, nonché i diritti di altre persone coinvolte nelle sue indagini o in altre procedure. |
|
(14) |
L’impresa comune IMI 2 può quindi limitare le informazioni allo scopo di proteggere l’indagine così come i diritti e le libertà fondamentali di altri interessati. |
|
(15) |
L’impresa comune IMI 2 dovrebbe monitorare periodicamente che le condizioni che giustificano la limitazione continuino ad applicarsi e revocare la limitazione non appena queste cessano di sussistere. |
|
(16) |
Il titolare del trattamento dovrebbe informare il responsabile della protezione dei dati al momento del rinvio e durante le revisioni, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Oggetto e ambito di applicazione
1. La presente decisione stabilisce le norme relative alle condizioni alle quali l’impresa comune IMI 2, nel quadro delle sue procedure stabilite al paragrafo 2, può limitare l’applicazione dei diritti sanciti negli articoli da 14 a 22 e negli articoli 35 e 36, nonché nell’articolo 4, del regolamento (UE) 2018/1725 in base all’articolo 25 di detto regolamento.
2. Nel quadro del funzionamento amministrativo dell’impresa comune IMI 2, la presente decisione si applica ai trattamenti dei dati personali svolti dall’ufficio di programma al fine di condurre indagini amministrative, procedimenti disciplinari, attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, trattare denunce di irregolarità (whistleblowing), procedure (formali e informali) per molestie, reclami interni ed esterni, effettuare audit interni, indagini svolte dal responsabile della protezione dei dati, conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, e indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE).
3. Le categorie di dati interessate sono i dati controllati (dati «oggettivi» quali dati d’identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico) e dati non controllati (dati «soggettivi» riguardanti il caso, quali motivazione, dati comportamentali, valutazioni, dati su attività e prestazioni e dati relativi o presentati in relazione all’oggetto della procedura o dell’attività).
4. Quando esercita le sue funzioni rispetto ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, l’impresa comune IMI 2 valuta se sia applicabile una delle deroghe previste in tale regolamento.
5. Fatte salve le condizioni stabilite nella presente decisione, le limitazioni possono essere applicate ai seguenti diritti: comunicazione di informazioni agli interessati, diritto di accesso, rettifica, cancellazione, limitazione del trattamento, comunicazione di una violazione dei dati personali all’interessato o riservatezza delle comunicazioni.
Articolo 2
Indicazione precisa del titolare del trattamento
Il titolare del trattamento è l’impresa comune IMI 2, rappresentata dal suo direttore esecutivo che può delegare la funzione di titolare. Gli interessati sono informati riguardo al titolare del trattamento delegato attraverso comunicazioni sulla protezione dei dati o registri pubblicati nel sito web e/o sull’Intranet dell’impresa comune IMI 2.
Articolo 3
Garanzie
1. L’impresa comune IMI 2 predispone le seguenti garanzie destinate a prevenire abusi, accessi o trasferimenti illeciti di dati personali (4):
|
a) |
i documenti cartacei sono conservati in armadi sicuri e accessibili soltanto al personale autorizzato; |
|
b) |
tutti i dati elettronici sono memorizzati in un’applicazione informatica sicura conformemente agli standard di sicurezza dell’impresa comune IMI 2 e in cartelle elettroniche specifiche accessibili unicamente al personale autorizzato. Sono concessi appropriati livelli di accesso su base individuale; |
|
c) |
la banca dati è protetta da password nell’ambito di un sistema di accesso SSO (Single Sign On) ed è collegata automaticamente all’ID e alla password dell’utente. La sostituzione degli utenti è rigorosamente vietata. I registri elettronici sono conservati in maniera sicura per tutelare la riservatezza e la segretezza dei dati contenuti; |
|
d) |
tutte le persone che hanno accesso ai dati hanno l’obbligo della riservatezza. |
2. Il periodo di conservazione dei dati personali di cui all’articolo 1, paragrafo 3, non deve essere più lungo di quanto necessario e adeguato per le finalità del trattamento. In ogni caso, non deve superare il periodo di conservazione specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy o nei registri di cui all’articolo 6.
3. Qualora l’impresa comune IMI 2 consideri di applicare una limitazione, viene valutato il rischio per i diritti e le libertà dell’interessato, in particolare rispetto al rischio per i diritti e le libertà degli altri interessati e al rischio di annullare gli effetti delle indagini o delle procedure dell’impresa comune IMI 2, ad esempio distruggendo elementi di prova. I rischi per i diritti e le libertà dell’interessato riguardano principalmente, ma non esclusivamente, i rischi legati alla reputazione e i rischi per il diritto di difesa e il diritto di essere ascoltato.
Articolo 4
Limitazioni
1. Eventuali limitazioni sono applicate dall’impresa comune IMI 2 esclusivamente per salvaguardare:
|
a) |
la sicurezza nazionale, la sicurezza pubblica o la difesa degli Stati membri; |
|
b) |
la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e la relativa prevenzione; |
|
c) |
altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare gli obiettivi della politica estera e di sicurezza comune dell’Unione o un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; |
|
d) |
la sicurezza interna delle istituzioni e degli organismi dell’Unione, comprese le relative reti di comunicazione elettronica; |
|
e) |
le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate; |
|
f) |
una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a) a c); |
|
g) |
la tutela dell’interessato o dei diritti e delle libertà altrui; |
|
h) |
l’esecuzione delle azioni civili. |
2. Come applicazione specifica delle finalità descritte nel precedente paragrafo 1, l’impresa comune IMI 2 può applicare limitazioni nei seguenti casi:
|
a) |
in relazione ai dati personali scambiati con i servizi della Commissione o con altre istituzioni, organi, organismi e uffici dell’Unione;
|
|
b) |
in relazione ai dati personali scambiati con le autorità competenti degli Stati membri;
|
|
c) |
in relazione ai dati personali scambiati con paesi terzi o organizzazioni internazionali, qualora vi siano prove chiare che l’esercizio di tali diritti e obblighi potrebbe pregiudicare la cooperazione dell’impresa comune IMI 2 con paesi terzi o organizzazioni internazionali nello svolgimento dei suoi compiti. |
Prima di applicare limitazioni nei casi di cui al primo comma, lettere a) e b), l’impresa comune IMI 2 consulta i servizi della Commissione, le istituzioni, gli organi, gli organismi o gli uffici pertinenti dell’Unione o le autorità competenti degli Stati membri, a meno che all’impresa comune IMI 2 non risulti evidente che l’applicazione di una limitazione è prevista in virtù di uno dei motivi di cui alle lettere summenzionate.
Articolo 5
Limitazioni ai diritti degli interessati
1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, i seguenti diritti possono essere limitati dal titolare del trattamento, laddove necessario e proporzionato, nel contesto dei trattamenti elencati al successivo paragrafo 2:
|
a) |
il diritto all’informazione; |
|
b) |
il diritto di accesso; |
|
c) |
il diritto di rettifica, cancellazione e limitazione del trattamento; |
|
d) |
il diritto di comunicazione di una violazione dei dati personali all’interessato; |
|
e) |
il diritto alla riservatezza delle comunicazioni elettroniche. |
2. A norma dell’articolo 25, paragrafo 2, lettera a), del regolamento (UE) 2018/1725, in casi debitamente giustificati e alle condizioni stabilite dalla presente decisione, il responsabile del trattamento può applicare limitazioni nel contesto dei seguenti trattamenti:
|
a) |
svolgimento di indagini amministrative e procedimenti disciplinari; |
|
b) |
attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF; |
|
c) |
procedure in materia di denunce di irregolarità (whistleblowing); |
|
d) |
procedure formali e informali per casi di molestia (7); |
|
e) |
trattamento di reclami interni ed esterni; |
|
f) |
audit interni; |
|
g) |
le indagini svolte dal responsabile della protezione dei dati, conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725; |
|
h) |
indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE); |
|
i) |
nell’ambito della procedura di gestione delle sovvenzioni o di aggiudicazione degli appalti, alla scadenza del termine per la presentazione delle proposte o delle offerte (8). |
La limitazione continua ad applicarsi finché permangono i motivi che la giustificano.
3. Qualora limiti, in tutto o in parte, l’applicazione dei diritti di cui al paragrafo 1, l’impresa comune IMI 2 adotta le misure di cui agli articoli 6 e 7 della presente decisione.
4. Qualora, a norma dell’articolo 17 del regolamento (UE) 2018/1725, gli interessati chiedano l’accesso ai propri dati personali trattati nell’ambito di uno o più casi specifici o di un’operazione di trattamento specifica, l’impresa comune IMI 2 limita la propria valutazione della richiesta esclusivamente a tali dati personali.
Articolo 6
Necessità e proporzionalità delle limitazioni
1. Le eventuali limitazioni di cui all’articolo 5 sono necessarie e proporzionate tenuto conto dei rischi per i diritti e le libertà degli interessati e rispettano l’essenza dei diritti e delle libertà fondamentali in una società democratica.
2. Se si considera l’applicazione di limitazioni, va effettuata una verifica della necessità e della proporzionalità sulla base delle presenti norme. La verifica va condotta anche nell’ambito del riesame periodico, dopo aver valutato se le ragioni di fatto e di diritto di una restrizione siano ancora applicabili. Il risultato di tale valutazione è documentato mediante una nota di valutazione interna al fine di rendere conto, caso per caso, del proprio operato.
3. Le limitazioni sono temporanee e revocate non appena le condizioni che le giustificano cessano di sussistere. Ciò vale in particolare laddove si ritenga che l’effetto della limitazione imposta non sia più annullato o che i diritti e le libertà di altri interessati non siano più lesi dall’esercizio del diritto limitato.
L’impresa comune IMI 2 riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’inchiesta, della procedura o dell’indagine pertinente. Successivamente, il titolare del trattamento valuta, ogni sei mesi, la necessità di mantenere eventuali limitazioni.
4. Qualora l’impresa comune IMI 2 applichi, integralmente o in parte, le limitazioni di cui all’articolo 5 della presente decisione, essa registra i motivi della limitazione, il motivo giuridico conformemente al precedente paragrafo 1, compresa una valutazione della necessità e della proporzionalità della limitazione.
La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati.
Articolo 7
Obbligo di informazione
1. Nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy e nei registri, ai sensi dell’articolo 31 del regolamento (UE) 2018/1725, pubblicati sul proprio sito web e/o sull’Intranet, che informano gli interessati sui loro diritti nel quadro di una determinata procedura, l’impresa comune IMI 2 include informazioni riguardanti le potenziali limitazioni di questi diritti. Tali informazioni riguardano i diritti che possono essere limitati, le ragioni e la durata potenziale della limitazione.
Fatte salve le disposizioni di cui all’articolo 6, paragrafo 4, se ciò è proporzionato, l’impresa comune IMI 2 informa anche singolarmente tutti gli interessati, considerati persone interessate nella specifica operazione di trattamento, dei loro diritti riguardanti le limitazioni attuali o future senza indebito ritardo e per iscritto.
2. Qualora l’impresa comune IMI 2 limiti, in tutto o in parte, i diritti di cui all’articolo 5, essa informa l’interessato in merito alla limitazione applicata e ai principali motivi della stessa, come pure alla possibilità di presentare reclamo al Garante europeo della protezione dei dati o di proporre un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.
In conformità dell’articolo 25, paragrafo 8, del regolamento (UE) 2018/1725, la comunicazione di informazioni di cui al precedente paragrafo 2 può essere rinviata, omessa o negata qualora annulli l’effetto della limitazione.
Articolo 8
Riesame da parte del responsabile della protezione dei dati
1. L’impresa comune IMI 2 informa senza indebito ritardo il proprio responsabile della protezione dei dati (RPD) ogniqualvolta il titolare del trattamento limiti l’applicazione dei diritti degli interessati o estenda la limitazione a norma della presente decisione. Il titolare del trattamento fornisce all’RPD l’accesso al registro che contiene la valutazione della necessità e della proporzionalità della limitazione e documenta nel registro la data in cui ha informato l’RPD.
2. L’RPD può chiedere al titolare del trattamento di riesaminare l’applicazione della limitazione. Il titolare del trattamento informa per iscritto l’RPD circa l’esito del riesame richiesto.
3. Il RPD viene coinvolto durante l’intera procedura. Il titolare del trattamento informa l’RPD quando la limitazione viene revocata.
Articolo 9
Entrata in vigore
La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Fatto a Bruxelles, l’11 agosto 2020
Per il consiglio di direzione dell’impresa comune IMI 2
Olivier LAUREAU
Presidente
(1) GU L 295 del 21.11.2018, pag. 39.
(2) GU L 169 del 7.6.2014, pag. 54.
(3) Nei casi di contitolarità del trattamento, i dati sono trattati in linea con i mezzi e le finalità stabiliti nell’accordo pertinente tra i contitolari del trattamento di cui all’articolo 28 del regolamento (UE) 2018/1725.
(4) Questo elenco non è esaustivo.
(5) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
(6) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).
(7) Il trattamento in questione non si applica all’articolo 5, paragrafo 1, lettera d).
(8) Il trattamento in questione si applica esclusivamente all’articolo 5, paragrafo 1, lettera c).