DECISIONE DI ESECUZIONE (UE) 2021/627 DELLA COMMISSIONE

del 15 aprile 2021

recante norme sulla conservazione e sull'accesso alle registrazioni nel sistema europeo di informazione e autorizzazione ai viaggi (ETIAS) ai sensi del regolamento (UE) 2018/1240 del Parlamento europeo e del Consiglio

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea,

visto il regolamento (UE) 2018/1240 del Parlamento europeo e del Consiglio, del 12 settembre 2018, che istituisce un sistema europeo di informazione e autorizzazione ai viaggi (ETIAS) e che modifica i regolamenti (UE) n. 1077/2011, (UE) n. 515/2014, (UE) 2016/399, (UE) 2016/1624 e (UE) 2017/2226 (1), in particolare l'articolo 73, paragrafo 3, terzo comma, lettera b), punto iii),

considerando quanto segue:

(1)	Il regolamento (UE) 2018/1240 istituisce il sistema europeo di informazione e autorizzazione ai viaggi (ETIAS) per i cittadini di paesi terzi esenti dall'obbligo di possedere un visto ai fini dell'ingresso e del soggiorno nel territorio degli Stati membri.

(2)	Il funzionamento del sistema europeo di informazione e autorizzazione ai viaggi richiede lo sviluppo e l'attuazione tecnica del sistema d'informazione ETIAS. Il sistema comprende le registrazioni di tutti i trattamenti di dati effettuati.

(3)	È necessario stabilire norme sulla conservazione e sull'accesso alle registrazioni. Le registrazioni dovrebbero essere utilizzate unicamente per verificare il rispetto degli obblighi in materia di trattamento dei dati e garantire l'integrità e la sicurezza dei dati personali operativi.

(4)

Per quanto riguarda la conservazione delle registrazioni, è necessario specificare il luogo in cui devono essere conservate, le modalità di registrazione tecnica, anche quando derivano da diverse componenti del sistema europeo di informazione e autorizzazione ai viaggi, e le norme applicabili alla cancellazione delle registrazioni al termine del periodo di conservazione.

(5)

Per quanto riguarda l'accesso alle registrazioni, è necessario specificare le autorità competenti, comprese se del caso le persone all'interno di tali autorità, alle quali dovrebbe essere concesso l'accesso, e i fini per i quali è possibile l'accesso. Affinché le autorità competenti siano in grado di adempiere le loro funzioni per controllare l'ammissibilità del trattamento dei dati e garantire la sicurezza e l'integrità dei dati, è opportuno che l'identificazione delle registrazioni sia resa agevole mediante una funzione di ricerca efficace.

(6)

Le registrazioni degli accessi da parte del personale debitamente autorizzato delle autorità nazionali di ciascuno Stato membro e del personale debitamente autorizzato delle agenzie dell'Unione ai fini di cui all'articolo 13, paragrafo 4 bis, del regolamento (UE) 2018/1240 dovrebbero essere conservate conformemente alle prescrizioni di cui all'articolo 24, paragrafi 2 e 3, del regolamento (UE) 2019/817.

(7)

L'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA) è responsabile della fase di progettazione e sviluppo del sistema d'informazione ETIAS. Le misure stabilite dalla presente decisione dovrebbero consentire all'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia di definire la progettazione dell'architettura fisica del sistema europeo di informazione e autorizzazione ai viaggi, compresa la relativa infrastruttura di comunicazione, e le specifiche tecniche del sistema, e di sviluppare il sistema europeo di informazione e autorizzazione ai viaggi. L'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia dovrebbe integrare tali misure con le specifiche tecniche e il documento di controllo dell'interfaccia del sistema europeo di informazione e autorizzazione ai viaggi.

(8)

A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca, allegato al trattato sull'Unione europea e al trattato sul funzionamento dell'Unione europea, la Danimarca non ha partecipato all'adozione del regolamento (UE) 2018/1240 e non è da esso vincolata né è soggetta alla sua applicazione. Tuttavia, dato che il regolamento (UE) 2018/1240 si basa sull'acquis di Schengen, il 21 dicembre 2018 la Danimarca ha notificato, a norma dell'articolo 4 di detto protocollo, la decisione di recepire il regolamento (UE) 2018/1240 nel proprio diritto interno.

(9)	La presente decisione costituisce uno sviluppo delle disposizioni dell'acquis di Schengen a cui l'Irlanda non partecipa, a norma della decisione 2002/192/CE del Consiglio (2); l'Irlanda non partecipa pertanto alla sua adozione, non è da essa vincolata né è soggetta alla sua applicazione.

(10)

Per quanto riguarda l'Islanda e la Norvegia, la presente decisione costituisce, ai sensi dell'accordo concluso dal Consiglio dell'Unione europea con la Repubblica d'Islanda e il Regno di Norvegia sulla loro associazione all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (3), uno sviluppo delle disposizioni dell'acquis di Schengen che rientrano nel settore di cui all'articolo 1, lettera A, della decisione 1999/437/CE del Consiglio (4).

(11)

Per quanto riguarda la Svizzera, la presente decisione costituisce, ai sensi dell'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione di quest'ultima all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (5), uno sviluppo delle disposizioni dell'acquis di Schengen che rientrano nel settore di cui all'articolo 1, lettera A, della decisione 1999/437/CE del Consiglio, in combinato disposto con l'articolo 3 della decisione 2008/146/CE del Consiglio (6).

(12)

Per quanto riguarda il Liechtenstein, la presente decisione costituisce uno sviluppo delle disposizioni dell'acquis di Schengen ai sensi del protocollo sottoscritto tra l'Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull'adesione del Principato del Liechtenstein all'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (7) che rientrano nel settore di cui all'articolo 1, lettera A, della decisione 1999/437/CE, in combinato disposto con l'articolo 3 della decisione 2011/350/UE del Consiglio (8).

(13)

Per quanto riguarda Cipro, la Bulgaria, la Romania e la Croazia, la presente decisione costituisce un atto basato sull'acquis di Schengen o a esso altrimenti connesso ai sensi, rispettivamente, dell'articolo 3, paragrafo 1, dell'atto di adesione del 2003, dell'articolo 4, paragrafo 1, dell'atto di adesione del 2005 e dell'articolo 4, paragrafo 1, dell'atto di adesione del 2011.

(14)	Il Garante europeo della protezione dei dati è stato consultato conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (9) e ha espresso un parere il 4 settembre 2020.

(15)	Le misure di cui alla presente decisione sono conformi al parere del comitato per le frontiere intelligenti (ETIAS),

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Conservazione delle registrazioni dei trattamenti di dati

1. Le registrazioni di tutti i trattamenti di dati nell'ambito del sistema d'informazione ETIAS che devono essere conservate a norma dell'articolo 69, paragrafo 1, del regolamento (UE) 2018/1240 e che comprendono le registrazioni riguardanti l'accesso da parte dei vettori, delle autorità di frontiera, delle autorità competenti in materia di immigrazione e dei punti di accesso centrale, a norma rispettivamente dell'articolo 45, paragrafo 7, dell'articolo 69, paragrafo 3, e dell'articolo 70, paragrafo 1, di tale regolamento, sono registrate e conservate nel sistema centrale ETIAS dall'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA).

2. Ciascun trattamento di dati nell'ambito del sistema d'informazione ETIAS è registrato come voce di registrazione separata.

La voce di registrazione ha un campo specifico che consente di identificare i dettagli relativi al trattamento effettuato.

3. La voce di registrazione è registrata con l'indicazione dell'ora e della data di ciascun trattamento di dati («marcatura temporale»).

4. Ciascuna voce di registrazione conserva l'identificativo unico dell'autorità e del funzionario o del membro del personale che ha effettuato l'accesso, la modifica o la cancellazione dei dati conservati nel sistema centrale ETIAS.

5. Le voci di registrazione sono cancellate quotidianamente dal sistema centrale ETIAS conformemente ai periodi di conservazione di cui all'articolo 45, paragrafo 7, all'articolo 69, paragrafo 4, e all'articolo 70, paragrafo 4, del regolamento (UE) 2018/1240.

È utilizzata una marcatura temporale per identificare le voci di registrazione da cancellare alla fine del periodo di conservazione pertinente per ciascun tipo di registrazione.

Articolo 2

Accesso alle registrazioni dei trattamenti di dati

1. L'accesso alle registrazioni conservate dall'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia a norma del regolamento (UE) 2018/1240 è limitato:

(a)

agli amministratori debitamente autorizzati dell'ETIAS dell'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia e al responsabile della protezione dei dati, ai fini di cui all'articolo 58, paragrafo 2, del regolamento (UE) 2018/1240, in particolare per garantire la conformità con l'articolo 69, paragrafo 4, di tale regolamento;

(b)

al personale debitamente autorizzato e al responsabile della protezione dei dati dell'Agenzia europea della guardia di frontiera e costiera, ai fini di cui all'articolo 7, paragrafo 2, lettera e), e all'articolo 61 del regolamento (UE) 2018/1240 e per garantire la liceità del trattamento dei dati e l'integrità e la sicurezza dei dati;

(c)	al personale debitamente autorizzato e ai responsabili della protezione dei dati delle unità nazionali ETIAS, ai fini di cui all'articolo 57, paragrafo 2.

2. Il Garante europeo della protezione dei dati e le autorità nazionali di controllo competenti che svolgono le funzioni di vigilanza di cui agli articoli 66 e 67 del regolamento (UE) 2018/1240 possono accedere alle registrazioni facendone richiesta a eu-LISA o alle unità nazionali ETIAS.

3. Le voci di registrazione e i campi specifici registrati nel sistema centrale ETIAS conformemente all'articolo 1 sono ricercabili almeno per autore, data di accesso o tipo di trattamento.

4. Ai fini dell'articolo 45, paragrafi 5 e 7, del regolamento (UE) 2018/1240, l'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia può trasmettere alle unità nazionali ETIAS le registrazioni necessarie per la risoluzione di controversie derivanti dall'applicazione di tale articolo, purché siano soddisfatte le seguenti condizioni:

(a)	l'unità nazionale ETIAS interessata ha presentato una richiesta motivata ed esplicita per tali registrazioni all'Agenzia europea della guardia di frontiera e costiera in qualità di titolare del trattamento ai sensi dell'articolo 57, paragrafo 1, prima frase, di detto regolamento;

(b)	l'Agenzia europea della guardia di frontiera e costiera ha verificato e approvato la richiesta.

5. Le registrazioni degli accessi alle registrazioni effettuati a norma del paragrafo 1 sono tracciabili almeno in base all'autore o alla data di accesso.

6. Le registrazioni degli accessi alle registrazioni effettuati a norma del paragrafo 1 sono ricercabili almeno per autore, data di accesso o tipo di trattamento.

Articolo 3

Entrata in vigore

La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Fatto a Bruxelles, il 15 aprile 2021

Per la Commissione

La presidente

Ursula VON DER LEYEN

(1) GU L 236 del 19.9.2018, pag. 1.

(2) Decisione 2002/192/CE del Consiglio, del 28 febbraio 2002, riguardante la richiesta dell'Irlanda di partecipare ad alcune disposizioni dell'acquis di Schengen (GU L 64 del 7.3.2002, pag. 20).

(3) GU L 176 del 10.7.1999, pag. 36.

(4) Decisione 1999/437/CE del Consiglio, del 17 maggio 1999, relativa a talune modalità di applicazione dell'accordo concluso dal Consiglio dell'Unione europea con la Repubblica d'Islanda e il Regno di Norvegia sull'associazione di questi due Stati all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (GU L 176 del 10.7.1999, pag. 31).

(5) GU L 53 del 27.2.2008, pag. 52.

(6) Decisione 2008/146/CE del Consiglio, del 28 gennaio 2008, relativa alla conclusione, a nome della Comunità europea, dell'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera, riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (GU L 53 del 27.2.2008, pag. 1).

(7) GU L 160 del 18.6.2011, pag. 21.

(8) Decisione 2011/350/UE del Consiglio, del 7 marzo 2011, sulla conclusione, a nome dell'Unione europea, del protocollo tra l'Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull'adesione del Principato del Liechtenstein all'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen, con particolare riguardo alla soppressione dei controlli alle frontiere interne e alla circolazione delle persone (GU L 160 del 18.6.2011, pag. 19).

(9) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).