16.9.2021   

IT

Gazzetta ufficiale dell’Unione europea

L 328/15

DECISIONE (UE) 2021/1486 DELLA BANCA CENTRALE EUROPEA

del 7 settembre 2021 che adotta norme interne relative alle limitazioni dei diritti degli interessati in relazione ai compiti della Banca centrale europea in materia di vigilanza prudenziale degli enti creditizi

(BCE/2021/42)

IL COMITATO ESECUTIVO DELLA BANCA CENTRALE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto lo statuto del Sistema europeo di banche centrali e della Banca centrale europea, in particolare l’articolo 11.6,

visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (1), e in particolare l’articolo 25,

considerando quanto segue:

(1)

La Banca centrale europea (BCE) svolge i propri compiti in conformità ai trattati e al regolamento (UE) n. 1024/2013 del Consiglio (2).

(2)

In conformità all’articolo 45, paragrafo 3, del regolamento (UE) 2018/1725, la decisione (UE) 2020/655 della Banca centrale europea (BCE/2020/28) (3) stabilisce le regole generali di attuazione del regolamento (UE) 2018/1725 per quanto riguarda la BCE. Specifica in particolare le norme relative alla nomina e al ruolo del responsabile della protezione dei dati (data protection officer, DPO) della BCE, tra cui le funzioni, i doveri e le competenze dello stesso.

(3)

Nell’assolvimento dei compiti ad essa conferiti, la BCE, e in particolare l’unità organizzativa interessata, agisce in qualità di responsabile del trattamento dei dati nella misura in cui essa determina, da sola o insieme ad altri, le finalità e i mezzi del trattamento dei dati personali.

(4)

Ai sensi dell’articolo 4, paragrafo 1, del regolamento (UE) n. 1024/2013, la BCE ha competenza esclusiva nell’assolvimento di compiti specifici, a fini di vigilanza e per garantire la sicurezza e la solidità degli enti creditizi e la stabilità del sistema finanziario, in relazione a tutti gli enti creditizi stabiliti negli Stati membri che partecipano al Meccanismo di vigilanza unico (MVU).

(5)

Nell’assolvimento di tali compiti specifici, la BCE tratta diverse categorie di informazioni che possono essere collegate a una persona fisica identificata o identificabile, quali i dati identificativi, i dati di contatto, i dati professionali, i dettagli finanziari o amministrativi, i dati ricevuti da fonti specifiche, i dati sulle comunicazioni elettroniche e i dati sul traffico elettronico, i casellari giudiziali, la descrizione degli interessi finanziari e non finanziari, i dettagli relativi ai rapporti di una persona o dei suoi parenti stretti con soggetti vigilati o membri dell’organo di amministrazione di soggetti vigilati e i dati relativi alla posizione per la quale una persona è stata nominata o può essere nominata. I dati personali potrebbero anche far parte di una valutazione che comprenda una valutazione effettuata: ai fini dell’autorizzazione di un ente creditizio, della revoca dell’autorizzazione di un ente creditizio e di una procedura relativa ad una partecipazione qualificata; in relazione al diritto di stabilimento di un soggetto vigilato significativo; al fine di stabilire se i requisiti di professionalità e onorabilità sono soddisfatti; in relazione alle politiche retributive di un soggetto vigilato significativo e per quanto riguarda i crediti di tale soggetto concessi ai propri funzionari di alto livello e alle persone ad essi collegate; e in relazione ad accuse concernenti eventuali violazioni degli atti giuridici di cui all’articolo 4, paragrafo 3, del regolamento (UE) n. 1024/2013.

(6)

L’obiettivo della BCE nell’assolvimento di tali compiti specifici è perseguire importanti obiettivi di interesse pubblico generale dell’Unione. Per questo motivo, l’assolvimento di tali compiti dovrebbe essere salvaguardato come previsto dal regolamento (UE) 2018/1725, in particolare all’articolo 25, paragrafo 1, lettere c) e g). Nello svolgimento di tali compiti, la BCE agisce nell’interesse pubblico generale dell’Unione in quanto autorità pubblica incaricata di svolgere, a fini di vigilanza, compiti specifici in relazione a tutti gli enti creditizi stabiliti negli Stati membri partecipanti all’MVU. Tali compiti includono funzioni di monitoraggio, ispezione o regolamentazione connesse all’esercizio di pubblici poteri relativi alla vigilanza prudenziale degli enti creditizi.

(7)

In tale contesto, è opportuno precisare i motivi per cui la BCE può limitare i diritti degli interessati in relazione ai dati ottenuti nell’assolvimento dei propri compiti di vigilanza ai sensi del regolamento (UE) n. 1024/2013.

(8)

In conformità all’articolo 25, paragrafo 1, del regolamento (UE) 2018/1725, le limitazioni all’applicazione degli articoli da 14 a 22, 35 e 36 e, nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, dell’articolo 4 di tale regolamento dovrebbero essere stabilite in norme interne o in atti giuridici adottati sulla base dei trattati. Di conseguenza, è opportuno che la BCE stabilisca le norme in base alle quali può limitare i diritti degli interessati nello svolgimento dei suoi compiti di vigilanza.

(9)

Mentre la presente decisione stabilisce le norme in base alle quali la BCE può limitare i diritti degli interessati nello svolgimento dei suoi compiti di vigilanza, il Comitato esecutivo intende adottare una distinta decisione che adotti nome interne riguardanti la limitazione di tali diritti nei casi in cui la BCE tratti dati personali in relazione al proprio funzionamento interno.

(10)

La BCE può applicare un’eccezione ai sensi del regolamento (UE) 2018/1725 rendendo inutile prendere in considerazione una limitazione, incluse in particolare quelle di cui agli articoli 15, paragrafo 4, 16, paragrafo 5, 19, paragrafo 3, e 35, paragrafo 3, di tale regolamento. Per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, la BCE può applicare un’eccezione di cui all’articolo 16, paragrafo 5, lettera b) o di cui all’articolo 19, paragrafo 3, lettera d) del regolamento (UE) 2018/1725.

(11)

L’esercizio dei diritti degli interessati a cui si fa riferimento agli articoli 17, 18, 20, 21, 22 e 23 del regolamento (UE) 2018/1725 può rendere impossibile o pregiudicare gravemente il conseguimento di determinate finalità, tra cui, a seconda del caso, finalità di archiviazione nel pubblico interesse, finalità di ricerca scientifica o storica o finalità statistiche. La presente decisione dovrebbe pertanto prevedere una deroga a tali diritti in conformità all’articolo 25, paragrafi 3 o 4, del regolamento (UE) 2018/1725, fatte salve le opportune garanzie.

(12)

La BCE dovrebbe spiegare il motivo per cui tali limitazioni dei diritti degli interessati siano strettamente necessarie e proporzionate in una società democratica per salvaguardare gli obiettivi perseguiti nell’esercizio dei propri pubblici poteri e delle funzioni ad essi collegate, nonché il modo in cui la BCE rispetta l’essenza dei diritti e delle libertà fondamentali imponendo nel contempo limitazioni di questo tipo.

(13)

In tale contesto, la BCE è tenuta a rispettare, nella misura più ampia possibile, i diritti fondamentali degli interessati, in particolare quelli relativi al diritto di informazione, accesso e rettifica, al diritto alla cancellazione, alla limitazione del trattamento, al diritto di comunicazione di una violazione dei dati personali all’interessato o alla riservatezza delle comunicazioni come disciplinati dal regolamento (UE) 2018/1725.

(14)

Tuttavia, la BCE può essere obbligata a limitare le informazioni fornite agli interessati e i diritti degli interessati per tutelare l’assolvimento dei propri compiti di vigilanza, in particolare i propri accertamenti e le proprie procedure, gli accertamenti e le procedure di altre autorità pubbliche e i diritti e le libertà fondamentali di altre persone connesse ai propri accertamenti o ad altre procedure.

(15)

La BCE dovrebbe revocare una limitazione già applicata nella misura in cui non sia più necessaria.

(16)

Il responsabile della protezione dei dati della BCE dovrebbe riesaminare l’applicazione delle limitazioni al fine di garantire la conformità alla presente decisione e al regolamento (UE) 2018/1725.

(17)

Il Garante europeo della protezione dei dati è stato consultato in conformità all’articolo 41, paragrafo 2, del regolamento (UE) 2018/1725 e ha emesso un parere il 12 marzo 2021,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Oggetto e ambito di applicazione

1.   La presente decisione stabilisce le norme relative alla limitazione dei diritti degli interessati da parte della BCE quando esercita attività di trattamento dei dati personali come annotate nel registro centrale nell’assolvimento dei propri compiti di vigilanza ai sensi del regolamento (UE) n. 1024/2013.

2.   I diritti degli interessati che possono essere limitati sono precisati nei seguenti articoli del regolamento (UE) 2018/1725:

a)

articolo 14 (informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato);

b)

articolo 15 (informazioni da fornire qualora i dati personali siano raccolti presso l’interessato);

c)

articolo 16 (informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato);

d)

articolo 17 (diritto di accesso dell’interessato);

e)

articolo 18 (diritto di rettifica);

f)

articolo 19 [diritto alla cancellazione («diritto all’oblio»)];

g)

articolo 20 (diritto di limitazione del trattamento);

h)

articolo 21 (obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento);

i)

articolo 22 (diritto alla portabilità dei dati);

j)

Articolo 35 (comunicazione di una violazione dei dati personali all’interessato);

k)

articolo 36 (riservatezza delle comunicazioni elettroniche);

l)

articolo 4, nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi previsti negli articoli da 14 a 22 del regolamento (UE) 2018/1725.

Articolo 2

Definizioni

Ai fini della presente decisione si applicano le seguenti definizioni:

1)

per «trattamento» si intende il trattamento ai sensi dell’articolo 3, punto 3), del regolamento (UE) 2018/1725;

2)

per «dati personali» si intendono i dati personali ai sensi dell’articolo 3, punto 1), del regolamento (UE) 2018/1725;

3)

per «interessato» si intende una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo quale un nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica;

4)

per «registro centrale» si intende il repertorio di tutte le attività di trattamento dei dati personali condotte presso la BCE accessibile al pubblico, tenuto dal responsabile della protezione dei dati della BCE e disciplinato all’articolo 9 della decisione (UE) 2020/655 (BCE/2020/28);

5)

per «titolare del trattamento» si intende la BCE, in particolare l’unità organizzativa competente interna alla BCE che, singolarmente o insieme ad altre, determina le finalità e i mezzi del trattamento di dati personali e che è responsabile delle operazioni di trattamento;

6)

per «istituzioni e organi dell’Unione» si intendono le istituzioni e gli organi dell’Unione ai sensi dell’articolo 3, punto 10, del regolamento (UE) 2018/1725;

Articolo 3

Applicazione delle limitazioni

1.   Il titolare del trattamento può limitare i diritti di cui all’articolo 1, paragrafo 2, per salvaguardare gli interessi e gli obiettivi di cui all’articolo 25, paragrafo 1, del regolamento (UE) 2018/1725, in particolare qualora l’esercizio di tali diritti possa compromettere o comunque incidere negativamente su:

a)

l’assolvimento dei compiti di vigilanza della BCE ai sensi del regolamento (UE) n. 1024/2013, compreso il corretto funzionamento del sistema di vigilanza;

b)

la sicurezza e la solidità degli enti creditizi e la stabilità del sistema finanziario nell’Unione e in ogni Stato membro;

c)

l’efficacia della segnalazione delle violazioni in conformità all’articolo 23 del regolamento (UE) n. 1024/2013.

2.   Per salvaguardare gli interessi e gli obiettivi di cui all’articolo 25, paragrafo 1, del regolamento (UE) 2018/1725, il titolare del trattamento può limitare i diritti di cui all’articolo 1, paragrafo 2, in relazione ai dati personali ottenuti da altre istituzioni e organi dell’Unione e dalle autorità competenti degli Stati membri o di paesi terzi o organizzazioni internazionali, in una qualsiasi delle seguenti circostanze:

a)

qualora l’esercizio di tali diritti possa essere limitato da altre istituzioni e altri organi dell’Unione, dai quali sono stati ottenuti i dati personali, sulla base di altri atti previsti all’articolo 25 del regolamento (UE) 2018/1725 o in conformità al capo IX di tale regolamento o agli atti costitutivi di altre istituzioni e organi dell’Unione;

b)

qualora l’esercizio di tali diritti possa essere limitato dalle autorità competenti degli Stati membri da cui sono stati ottenuti i dati personali, sulla base degli atti di cui all’articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (4) o ai sensi delle misure nazionali di recepimento degli articoli 13, paragrafo 3, 15, paragrafo 3 o 16, paragrafo 3, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (5);

c)

qualora l’esercizio di tali diritti sia suscettibile di compromettere o comunque incidere negativamente sulla cooperazione della BCE con paesi terzi o organizzazioni internazionali da cui sono state ottenute le informazioni, nell’assolvimento dei suoi compiti, salvo che gli interessi o i diritti fondamentali e le libertà degli interessati prevalgano sull’interesse della BCE alla cooperazione.

3.   Prima di applicare una limitazione nelle circostanze di cui al paragrafo 2, lettere a) e b), il titolare del trattamento:

a)

prende atto degli accordi conclusi con le istituzioni e gli organi competenti dell’Unione o con le autorità competenti degli Stati membri; e

b)

si consulta con le istituzioni e gli organi pertinenti dell’Unione o con le autorità competenti degli Stati membri, salvo che sia chiaro al titolare del trattamento che l’applicazione di tale limitazione è prevista da uno degli atti o delle misure di cui al paragrafo 2, lettere a) e b).

4.   Il responsabile del trattamento può applicare una limitazione solo se, sulla base di una valutazione caso per caso, conclude che la limitazione:

a)

è necessaria e proporzionata, tenuto conto dei rischi per i diritti e le libertà dell’interessato; e

b)

rispetta l’essenza dei diritti e delle libertà fondamentali in una società democratica.

5.   Il titolare del trattamento documenta la propria valutazione in una nota di valutazione interna che include la base giuridica, i motivi della limitazione, i diritti degli interessati oggetto di limitazione, gli interessati, la necessità e la proporzionalità della limitazione e la sua durata probabile.

6.   Una decisione di limitare i diritti di un interessato ai sensi della presente decisione che deve essere adottata dal titolare del trattamento è assunta al livello del pertinente capo o vicecapo dell’unità operativa nella quale è condotta la principale operazione di trattamento che coinvolge i dati personali.

Articolo 4

Deroghe

1.   Per il trattamento a fini di ricerca scientifica o storica o a fini statistici, il titolare del trattamento può applicare deroghe in conformità all’articolo 25, paragrafo 3, del regolamento (UE) 2018/1725. A tal fine, il titolare del trattamento può derogare ai diritti di cui agli articoli 17, 18, 20 e 23 del regolamento (UE) 2018/1725 nel rispetto delle condizioni di cui all’articolo 25, paragrafo 3, di tale regolamento.

2.   Per il trattamento a fini di archiviazione nel pubblico interesse, il titolare del trattamento può applicare deroghe in conformità all’articolo 25, paragrafo 4, del regolamento (UE) 2018/1725. A tal fine, il titolare del trattamento può derogare ai diritti di cui agli articoli 17, 18, 20, 21, 22 e 23 del regolamento (UE) 2018/1725 nel rispetto delle condizioni di cui all’articolo 25, paragrafo 4, di tale regolamento.

3.   Tali deroghe sono oggetto di adeguate garanzie ai sensi dell’articolo 13 del regolamento (UE) 2018/1725 e dell’articolo 8 della presente decisione.

Articolo 5

Comunicazione di informazioni generali sulle limitazioni

Il titolare del trattamento mette a disposizione le seguenti informazioni di carattere generale sulle potenziali limitazioni dei diritti dell’interessato:

a)

il titolare del trattamento precisa i diritti che possono essere limitati, i motivi della limitazione e la sua potenziale durata;

b)

il titolare del trattamento include le informazioni di cui alla lettera a) nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy e nei registri delle attività di trattamento di cui all’articolo 31 del regolamento (UE) 2018/1725.

Articolo 6

Limitazione del diritto di accesso degli interessati, del diritto di rettifica, del diritto di cancellazione o di limitazione del trattamento

1.   Qualora limiti, in tutto o in parte, il diritto di accesso, il diritto di rettifica, il diritto di cancellazione o il diritto di limitazione di trattamento di cui, rispettivamente, agli articoli 17, 18, 19, paragrafo 1, e 20, paragrafo 1, del regolamento (UE) 2018/1725, il titolare del trattamento, nella sua risposta scritta alla richiesta, informa l’interessato entro il termine di cui all’articolo 11, paragrafo 5, della decisione (UE) 2020/655 (BCE/2020/28), dei motivi principali della limitazione e della possibilità di proporre reclamo al Garante europeo della protezione dei dati o di proporre ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.

2.   Il titolare del trattamento conserva la nota di valutazione interna di cui all’articolo 3, paragrafo 5, e, se del caso, i documenti contenenti i relativi elementi di fatto e di diritto e li mette a disposizione del Garante europeo della protezione dei dati su richiesta.

3.   Il titolare del trattamento può rinviare, omettere o negare la comunicazione di informazioni relative ai motivi della limitazione di cui al paragrafo 1, fintantoché sussiste il rischio di compromettere la finalità della limitazione stessa. Il titolare del trattamento è tenuto a mettere a disposizione le informazioni all’interessato non appena ritenga che ciò non comprometta più la finalità della limitazione.

Articolo 7

Durata delle limitazioni

1.   Il titolare del trattamento revoca una limitazione non appena cessano di sussistere le circostanze che la giustificavano.

2.   Qualora il titolare del trattamento revochi una limitazione ai sensi del paragrafo 1, è tenuto a:

a)

se non lo ha già fatto, informare l’interessato dei principali motivi su cui si basava l’applicazione di una limitazione;

b)

informare l’interessato del suo diritto a proporre reclamo al Garante europeo della protezione dei dati o a proporre ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea;

c)

concedere all’interessato il diritto che era oggetto della limitazione ormai revocata.

3.   il titolare del trattamento riesamina ogni sei mesi la necessità di mantenere una limitazione applicata a norma della presente decisione e documenta il riesame in una nota di valutazione interna.

Articolo 8

Garanzie

La BCE applica garanzie organizzative e tecniche come indicato nell’allegato per prevenire abusi o accessi o trasferimenti illeciti.

Articolo 9

Riesame da parte del responsabile della protezione dei dati

1.   Qualora limiti l’applicazione dei diritti dell’interessato, il titolare del trattamento deve coinvolgere costantemente il responsabile della protezione dei dati. In particolare, si applicano le seguenti disposizioni:

a)

il titolare del trattamento consulta senza indebito ritardo il responsabile della protezione dei dati;

b)

su richiesta del responsabile della protezione dei dati, il titolare del trattamento fornisce al responsabile della protezione dei dati l’accesso a tutti i documenti contenenti i relativi elementi di fatto e di diritto, compresa la nota di valutazione interna di cui all’articolo 3, paragrafo 5;

c)

il titolare del trattamento documenta il modo in cui è stato coinvolto il responsabile della protezione dei dati, comprese le informazioni pertinenti condivise con quest’ultimo, in particolare la data della sua prima consultazione di cui alla lettera a);

d)

il responsabile della protezione dei dati può chiedere al titolare del trattamento di riesaminare la limitazione;

e)

il titolare del trattamento informa il responsabile della protezione dei dati per iscritto dell’esito del riesame richiesto senza indebito ritardo e in ogni caso prima dell’applicazione di qualsiasi limitazione.

2.   Il titolare del trattamento informa il responsabile della protezione dei dati quando la limitazione è revocata.

Articolo 10

Entrata in vigore

La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Fatto a Francoforte sul Meno, il 7 settembre 2021.

La presidente della BCE

Christine LAGARDE

(1)   GU L 295 del 21.11.2018, pag. 39.

(2)  Regolamento (UE) n. 1024/2013 del Consiglio, del 15 ottobre 2013, che attribuisce alla Banca centrale europea compiti specifici in merito alle politiche in materia di vigilanza prudenziale degli enti creditizi (GU L 287 del 29.10.2013, pag. 63).

(3)  Decisione (UE) 2020/655 della Banca centrale europea, del 5 maggio 2020, che adotta le misure di attuazione relative alla protezione dei dati personali presso la Banca centrale e che abroga la decisione BCE/2007/1 (BCE/2020/28) (GU L 152 del 15.5.2020, pag. 13).

(4)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(5)  Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

ALLEGATO

Le garanzie organizzative e tecniche presso la BCE per prevenire abusi o accessi o trasferimenti illeciti comprendono:

a)

per quanto riguarda le persone:

i)

tutte le persone che hanno accesso a informazioni non pubbliche della BCE sono responsabili per quanto riguarda la conoscenza e l’applicazione della politica e delle norme della BCE sulla gestione e la riservatezza delle informazioni;

ii)

una procedura relativa ai nulla osta di sicurezza che garantisca come solo le persone sottoposte a controllo e autorizzate abbiano accesso ai locali della BCE e alle relative informazioni non pubbliche;

iii)

misure di sensibilizzazione alla sicurezza informatica, delle informazioni e fisica;

iv)

svolgimento di formazioni periodiche per i membri del personale e i fornitori esterni di servizi;

v)

i membri del personale della BCE sono soggetti a rigorose norme in materia di segreto professionale stabilite nelle condizioni di impiego e nelle norme sul personale della BCE, la cui violazione dà luogo a sanzioni disciplinari;

vi)

norme e obblighi che disciplinano l’accesso dei fornitori esterni di servizi o degli appaltatori alle informazioni non pubbliche della BCE che sono stabilite in accordi contrattuali;

vii)

controlli degli accessi, compresa la suddivisione in zone di sicurezza, eseguiti in modo da garantire che l’accesso delle persone alle informazioni non pubbliche della BCE sia autorizzato e limitato sulla base delle esigenze operative e dei requisiti di sicurezza;

b)

per quanto riguarda i processi:

i)

sono posti in atto processi per garantire l’attuazione, il funzionamento e la manutenzione controllati delle applicazioni informatiche a supporto dell’attività della BCE;

ii)

utilizzo di applicazioni informatiche per l’attività della BCE che siano conformi agli standard di sicurezza della BCE;

iii)

presenza di un programma completo di sicurezza fisica che valuti costantemente le minacce alla sicurezza e comprenda misure di sicurezza fisica atte a garantire un adeguato livello di protezione;

c)

per quanto riguarda la tecnologia:

i)

tutti i dati elettronici sono conservati in applicazioni informatiche conformi agli standard di sicurezza della BCE e quindi protetti da accessi o alterazioni non autorizzati;

ii)

le applicazioni informatiche sono implementate, gestite e mantenute a un livello di sicurezza commisurato alle esigenze di riservatezza, integrità e disponibilità delle applicazioni informatiche, che sono basate su analisi di impatto operativo;

iii)

il livello di sicurezza delle applicazioni informatiche è regolarmente convalidato mediante valutazioni della sicurezza tecniche e non tecniche;

iv)

l’accesso alle informazioni non pubbliche della BCE è concesso conformemente al principio della necessità di sapere e l’accesso privilegiato è strettamente limitato e rigorosamente controllato;

v)

sono posti in atto controlli per individuare e dare seguito alle violazioni di sicurezza effettive e potenziali.