DECISIONE DI ESECUZIONE (UE) 2022/1337 DELLA COMMISSIONE

del 28 luglio 2022

che stabilisce il modello per fornire informazioni ai cittadini di paesi terzi sul trattamento dei dati personali nel sistema di ingressi/uscite

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2017/2226 del Parlamento europeo e del Consiglio, del 30 novembre 2017, che istituisce un sistema di ingressi/uscite (EES) per la registrazione dei dati di ingresso e di uscita e dei dati relativi al respingimento dei cittadini di paesi terzi che attraversano le frontiere esterne degli Stati membri e che determina le condizioni di accesso al sistema di ingressi/uscite a fini di contrasto e che modifica la Convenzione di applicazione dell’Accordo di Schengen e i regolamenti (CE) n. 767/2008 e (UE) n. 1077/2011 (1), in particolare l’articolo 50, paragrafo 4, e l’articolo 50, paragrafo 5, prima frase,

considerando quanto segue:

(1)

Il regolamento (UE) 2017/2226 ha istituito il sistema di ingressi/uscite (EES) che registra elettronicamente l’ora e il luogo di ingresso e di uscita dei cittadini di paesi terzi ammessi per un soggiorno di breve durata nel territorio degli Stati membri e che calcola la durata del soggiorno autorizzato.

(2)

Ai sensi dell’articolo 50, paragrafo 1, del regolamento (UE) 2017/2226, i cittadini di paesi terzi i cui dati sono da registrare nell’EES devono essere informati dei propri diritti e obblighi in relazione al trattamento dei loro dati. Ai sensi dell’articolo 50, paragrafo 5, del regolamento (UE) 2017/2226, tali informazioni devono essere fornite in un modello.

(3)

Se necessario per conformarsi al diritto nazionale, gli Stati membri devono integrare il modello con le pertinenti informazioni nazionali. Al fine di sensibilizzare i cittadini dei paesi terzi e fornire loro più chiarezza, gli Stati membri dovrebbero includere, in particolare, informazioni relative alle conseguenze per i soggiornanti fuoritermine, ai diritti dell’interessato, alla possibilità di ricevere assistenza da parte delle autorità di controllo, agli estremi delle pertinenti autorità di protezione dei dati e delle modalità per proporre reclamo.

(4)	È pertanto opportuno stabilire il modello di cui all’articolo 50, paragrafo 5, del regolamento (UE) 2017/2226.

(5)

Dato che il regolamento (UE) 2017/2226 si basa sull’acquis di Schengen, il 30 maggio 2018 la Danimarca ha notificato la decisione di attuare il regolamento (UE) 2017/2226 nel proprio diritto interno, ai sensi dell’articolo 4 del protocollo sulla posizione della Danimarca allegato al trattato sull’Unione europea e al trattato sul funzionamento dell’Unione europea, ed è pertanto vincolata dalla presente decisione.

(6)	Per quanto riguarda l’Irlanda, la presente decisione costituisce uno sviluppo delle disposizioni dell’acquis di Schengen a cui l’Irlanda non partecipa (2); l’Irlanda non partecipa pertanto alla sua adozione, non è da essa vincolata né è soggetta alla sua applicazione.

(7)

Per quanto riguarda l’Islanda e la Norvegia, la presente decisione costituisce, ai sensi dell’accordo concluso dal Consiglio dell’Unione europea con la Repubblica d’Islanda e il Regno di Norvegia sull’associazione di questi due Stati all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen, uno sviluppo delle disposizioni dell’acquis di Schengen (3) che rientrano nel settore di cui all’articolo 1, lettera A, della decisione 1999/437/CE del Consiglio (4).

(8)

Per quanto riguarda la Svizzera, la presente decisione costituisce, ai sensi dell’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione di quest’ultima all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen, uno sviluppo delle disposizioni dell’acquis di Schengen (5) che rientrano nel settore di cui all’articolo 1, lettera A, della decisione 1999/437/CE, in combinato disposto con l’articolo 3 della decisione 2008/146/CE del Consiglio (6).

(9)

Per quanto riguarda il Liechtenstein, la presente decisione costituisce uno sviluppo delle disposizioni dell’acquis di Schengen ai sensi del protocollo sottoscritto tra l’Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull’adesione del Principato del Liechtenstein all’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione della Confederazione svizzera all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen (7) che rientrano nel settore di cui all’articolo 1, lettera A, della decisione 1999/437/CE, in combinato disposto con l’articolo 3 della decisione 2011/350/UE del Consiglio (8).

(10)

Per quanto riguarda la Bulgaria e la Romania, poiché la verifica conformemente alla procedura di valutazione Schengen applicabile è stata completata con successo, come confermato dalle conclusioni del Consiglio del 9 e 10 giugno 2011, le disposizioni dell’acquis di Schengen relative al sistema d’informazione Schengen sono state attuate con decisione (UE) 2018/934 del Consiglio (9) e le disposizioni dell’acquis di Schengen relative al sistema d’informazione visti sono state attuate con decisione (UE) 2017/1908 del Consiglio (10), sono soddisfatte tutte le condizioni di funzionamento del sistema di ingressi/uscite di cui all’articolo 66, paragrafo 2, lettera b), del regolamento (UE) 2017/2226 e pertanto in tali Stati membri il sistema di ingressi/uscite dovrebbe essere operativo a partire dall’entrata in funzione.

(11)

Per quanto riguarda Cipro e la Croazia, per il funzionamento del sistema di ingressi/uscite occorre la concessione di un accesso passivo al sistema d’informazione visti e l’attuazione di tutte le disposizioni dell’acquis di Schengen relative al sistema d’informazione Schengen conformemente alle pertinenti decisioni del Consiglio. Tali condizioni possono essere soddisfatte soltanto una volta completata con successo la verifica conformemente alla procedura di valutazione Schengen applicabile. Il sistema di ingressi/uscite dovrebbe essere operativo solamente in quegli Stati membri che soddisferanno tali condizioni all’entrata in funzione del sistema di ingressi/uscite. Gli Stati membri in cui il sistema di ingressi/uscite non è operativo dall’entrata in funzione dovrebbero connettersi al sistema di ingressi/uscite conformemente alla procedura di cui al regolamento (UE) 2017/2226 non appena saranno soddisfatte tutte le suddette condizioni.

(12)	Il Garante europeo della protezione dei dati è stato consultato conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (11) e ha espresso un parere l’11 marzo 2022.

(13)	Le misure di cui alla presente decisione sono conformi al parere del comitato per le frontiere intelligenti istituito a norma dell’articolo 68 del regolamento (UE) 2017/2226,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Le informazioni di cui all’articolo 50, paragrafo 4, e il modello di cui all’articolo 50, paragrafo 5, del regolamento (UE) 2017/2226 figurano nell’allegato della presente decisione.

Articolo 2

La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Fatto a Bruxelles, il 28 luglio 2022

Per la Commissione

La presidente

Ursula VON DER LEYEN

(1) GU L 327 del 9.12.2017, pag. 20.

(2) La presente decisione non rientra nell’ambito di applicazione delle misure previste dalla decisione 2002/192/CE del Consiglio, del 28 febbraio 2002, riguardante la richiesta dell’Irlanda di partecipare ad alcune disposizioni dell’acquis di Schengen (GU L 64 del 7.3.2002, pag. 20).

(3) GU L 176 del 10.7.1999, pag. 36.

(4) Decisione 1999/437/CE del Consiglio, del 17 maggio 1999, relativa a talune modalità di applicazione dell’accordo concluso dal Consiglio dell’Unione europea con la Repubblica d’Islanda e il Regno di Norvegia sull’associazione di questi due Stati all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen (GU L 176 del 10.7.1999, pag. 31).

(5) GU L 53 del 27.2.2008, pag. 52.

(6) Decisione 2008/146/CE del Consiglio, del 28 gennaio 2008, relativa alla conclusione, a nome della Comunità europea, dell’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera, riguardante l’associazione della Confederazione svizzera all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen (GU L 53 del 27.2.2008, pag. 1).

(7) GU L 160 del 18.6.2011, pag. 21.

(8) Decisione 2011/350/UE del Consiglio, del 7 marzo 2011, sulla conclusione, a nome dell’Unione europea, del protocollo tra l’Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull’adesione del Principato del Liechtenstein all’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione della Confederazione svizzera all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen, con particolare riguardo alla soppressione dei controlli alle frontiere interne e alla circolazione delle persone (GU L 160 del 18.6.2011, pag. 19).

(9) Decisione (UE) 2018/934 del Consiglio, del 25 giugno 2018, relativa all’attuazione delle rimanenti disposizioni dell’acquis di Schengen concernenti il sistema d’informazione Schengen nella Repubblica di Bulgaria e in Romania (GU L 165 del 2.7.2018, pag. 37).

(10) Decisione (UE) 2017/1908 del Consiglio, del 12 ottobre 2017, relativa all’attuazione di talune disposizioni dell’acquis di Schengen concernenti il sistema d’informazione visti nella Repubblica di Bulgaria e in Romania (GU L 269 del 19.10.2017, pag. 39).

(11) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

ALLEGATO

Modello per fornire informazioni ai cittadini di paesi terzi sul trattamento dei dati personali nel sistema di ingressi/uscite

Il sistema di ingressi/uscite (1) contiene i dati personali dei cittadini di paesi terzi che entrano nel territorio degli Stati membri (2) per un soggiorno di breve durata (al massimo 90 giorni su un periodo di 180 giorni). Tale sistema è diventato operativo il [data]. A partire da tale data, le informazioni sui Suoi ingressi e uscite dal territorio degli Stati membri e, se del caso, le informazioni su un eventuale respingimento sono registrate nel sistema di ingressi/uscite.

A tal fine, i Suoi dati sono raccolti e trattati per conto di [autorità dello Stato membro responsabile del trattamento] (titolare o titolari del trattamento). Si vedano più in basso gli estremi. I Suoi dati personali sono trattati a fini di gestione delle frontiere, prevenzione dell’immigrazione irregolare e facilitazione della gestione dei flussi migratori. Ciò è richiesto conformemente al regolamento (UE) 2017/2226 (3), in particolare al capo II, articoli 14, 16, 17, 18, 19 e 23, e al capo III del regolamento.

Quali sono i dati raccolti, registrati e trattati?

Durante le verifiche alle frontiere esterne degli Stati membri, è fatto obbligo di acquisire i Suoi dati ai fini dell’esame delle condizioni d’ingresso. Sono raccolti e registrati i seguenti dati personali:

(1)	i dati riportati nel Suo documento di viaggio e

(2)	i Suoi dati biometrici: dall’immagine del volto alle impronte digitali (4).

I dati che La riguardano sono raccolti anche da altre fonti, a seconda della Sua situazione:

(1)	il sistema d’informazione visti: i dati contenuti nel Suo fascicolo personale e

(2)	il sistema europeo di informazione e autorizzazione ai viaggi, in particolare lo status dell’autorizzazione ai viaggi e, se del caso, lo status di familiare.

Cosa succede se Lei non fornisce i dati biometrici necessari?

Se non fornisce i dati biometrici necessari per la registrazione, la verifica o l’identificazione nel sistema di ingressi/uscite, Lei sarà respinto alle frontiere esterne.

Chi può accedere ai Suoi dati?

Gli Stati membri possono accedere ai Suoi dati a fini di gestione delle frontiere, facilitazione dell’attraversamento delle frontiere, immigrazione e contrasto. Anche Europol può accedere ai Suoi dati a fini di contrasto. A condizioni rigorose, i Suoi dati possono anche essere trasferiti a uno Stato membro, a un paese terzo o a un’organizzazione internazionale elencata nell’allegato I del regolamento (UE) 2017/2226 (5) a fini di rimpatrio (6) o contrasto (7).

I Suoi dati saranno conservati nel sistema di ingressi/uscite per la seguente durata, dopo di che saranno cancellati automaticamente: (8)

(1)	le registrazioni di ciascuna cartella di ingresso, uscita o respingimento sono conservate per tre anni a decorrere dalla data della registrazione di ingresso, uscita o respingimento (9);

(2)	il fascicolo individuale contenente i Suoi dati personali è conservato per un periodo di tre anni e un giorno a decorrere dalla data dell’ultima registrazione di uscita o della registrazione di respingimento, se non è stato registrato alcun ingresso durante tale periodo;

(3)	se non è stata registrata alcuna uscita, i Suoi dati sono conservati per un periodo di cinque anni a decorrere dalla data di scadenza del periodo di soggiorno autorizzato.

Rimanente durata del soggiorno autorizzato e soggiorno fuoritermine

Lei ha il diritto di ricevere dalla guardia di frontiera informazioni sulla durata massima rimanente del Suo soggiorno autorizzato nel territorio degli Stati membri. Può anche consultare il sito web [link al sito web pubblico dell’EES] o, se disponibili, le attrezzature installate al valico di frontiera per verificare autonomamente la rimanente durata del Suo soggiorno autorizzato.

In caso di superamento del periodo di soggiorno autorizzato, i Suoi dati saranno automaticamente aggiunti a un elenco delle persone identificate (un elenco dei soggiornanti fuoritermine). Tale elenco può essere consultato dalle autorità nazionali competenti. Se Lei figura nell’elenco dei soggiornanti fuoritermine [conseguenze del soggiorno fuoritermine da aggiungere a cura degli Stati membri] (10). Tuttavia, qualora dimostri alle autorità competenti con prove attendibili che ha superato la durata del soggiorno autorizzato a causa di circostanze gravi e imprevedibili, i Suoi dati personali possono essere rettificati o integrati nel sistema di ingressi/uscite e Lei può essere cancellato dall’elenco dei soggiornanti fuoritermine.

Diritti riguardo al trattamento dei dati personali

Lei ha i seguenti diritti:

(1)	diritto di chiedere al titolare del trattamento l’accesso ai dati che La riguardano;

(2)	diritto di chiedere che i dati inesatti che La riguardano siano rettificati e che i dati personali incompleti che La riguardano siano completati; e

(3)	diritto di chiedere che i dati personali che La riguardano trattati illecitamente siano cancellati o che il loro trattamento sia limitato.

Per esercitare uno dei diritti elencati ai punti da 1) a 3), occorre contattare il titolare del trattamento o il responsabile della protezione dei dati indicati di seguito.

Estremi

Titolare o titolari del trattamento: [indirizzo ed estremi da inserire a cura dello Stato membro - titolare del trattamento].

Responsabile o responsabili della protezione dei dati: [indirizzo ed estremi da inserire a cura dello Stato membro].

In linea con la ripartizione dei compiti tra le autorità degli Stati membri e le agenzie europee interessate, è possibile proporre reclamo presso:

l’autorità di controllo [dello Stato membro] incaricata del trattamento dei Suoi dati personali (ad esempio se ritiene che i Suoi dati siano stati registrati in modo errato):

[Indicare le informazioni specifiche dello Stato membro - indirizzo ed estremi]

il Garante europeo della protezione dei dati per le questioni relative al trattamento dei dati da parte delle agenzie europee:

[estremi da indicare - indirizzo ed estremi]

[Ulteriori informazioni da parte degli Stati membri sui diritti degli interessati o sulla possibilità di ricevere assistenza da parte delle autorità di controllo]. Per maggiori informazioni può consultare il sito web pubblico del sistema di ingressi/uscite [aggiungere link/nome].

(1) Regolamento (UE) 2017/2226 che istituisce un sistema di ingressi/uscite (EES) per la registrazione dei dati di ingresso e di uscita e dei dati relativi al respingimento dei cittadini di paesi terzi che attraversano le frontiere esterne degli Stati membri e che determina le condizioni di accesso al sistema di ingressi/uscite a fini di contrasto e che modifica la Convenzione di applicazione dell’Accordo di Schengen e i regolamenti (CE) n. 767/2008 e (UE) n. 1077/2011

(2) Austria, Belgio, Bulgaria, Cechia, Danimarca, Estonia, Finlandia, Francia, Germania, Grecia, Islanda, Italia, Lettonia, Liechtenstein, Lituania, Lussemburgo, Malta, Norvegia, Paesi Bassi, Polonia, Portogallo, Romania, Slovacchia, Slovenia, Spagna, Svezia, Svizzera e Ungheria.

(3) Regolamento (UE) 2017/2226 del Parlamento europeo e del Consiglio, del 30 novembre 2017, che istituisce un sistema di ingressi/uscite (EES) per la registrazione dei dati di ingresso e di uscita e dei dati relativi al respingimento dei cittadini di paesi terzi che attraversano le frontiere esterne degli Stati membri e che determina le condizioni di accesso al sistema di ingressi/uscite a fini di contrasto e che modifica la Convenzione di applicazione dell’accordo di Schengen e i regolamenti (CE) n. 767/2008 e (UE) n. 1077/2011 (GU L 327 del 9.12.2017, pag. 20).

(4) Si rammenta che anche i dati relativi alle impronte digitali dei cittadini di paesi terzi che non necessitano di un visto per entrare nello spazio Schengen e dei titolari del documento di transito agevolato saranno conservati nel sistema di ingressi/uscite. Se necessita di un visto per entrare nello spazio Schengen, le Sue impronte digitali saranno già conservate nel sistema d’informazione visti nel Suo fascicolo e non saranno conservate anche nel sistema di ingressi/uscite.

(5) Organizzazione delle Nazioni Unite, Organizzazione internazionale per le migrazioni (OIM) o Comitato internazionale della Croce Rossa.

(6) Articolo 41, paragrafi 1 e 2, e articolo 42.

(7) Articolo 41, paragrafo 6.

(8) Se Lei è soggetto all’obbligo del visto, le Sue impronte digitali non saranno conservate nel sistema di ingressi/uscite in quanto già conservate nel sistema d’informazione visti..

(9) Nel caso di cittadini di paesi terzi familiari di cittadini mobili dell’UE, del SEE o della Svizzera (ossia cittadini dell’UE, del SEE o della Svizzera che si recano in uno Stato diverso dallo Stato di cui hanno la cittadinanza o che vi risiedono già) che accompagnano o raggiungono i cittadini dell’UE, del SEE o della Svizzera, ciascuna cartella di ingresso, uscita o respingimento sarà conservata per un periodo di un anno a decorrere dalla data della registrazione di uscita o di respingimento.

(10) Il calcolo della durata del soggiorno autorizzato e la generazione di segnalazioni destinate agli Stati membri allo scadere del soggiorno autorizzato non si applicano ai cittadini di paesi terzi familiari di cittadini mobili dell’UE, del SEE o della Svizzera (ossia cittadini dell’UE, del SEE o della Svizzera che si recano in uno Stato diverso dallo Stato di cui hanno la cittadinanza o che vi risiedono già) che accompagnano o raggiungono i cittadini dell’UE, del SEE o della Svizzera.