8.2.2019   

IT

Gazzetta ufficiale dell'Unione europea

L 37/144


DECISIONE (UE) 2019/236 DELLA COMMISSIONE

del 7 febbraio 2019

che stabilisce le norme interne per la comunicazione di informazioni agli interessati e la limitazione di alcuni dei loro diritti nell'ambito del trattamento di dati personali da parte della Commissione europea ai fini della sicurezza interna delle istituzioni dell'Unione

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 249, paragrafo 1,

considerando quanto segue:

(1)

La Commissione deve poter operare in un ambiente sicuro. A tal fine è necessario un approccio coerente e integrato in materia di sicurezza, che garantisca livelli adeguati di protezione delle persone, delle risorse e delle informazioni, commisurati ai rischi identificati, e una sicurezza efficiente e tempestiva. La Commissione deve affrontare minacce e sfide gravi per la sicurezza, provenienti in particolare dal terrorismo, dagli attacchi informatici e dallo spionaggio politico e commerciale.

(2)

Per garantire la sicurezza delle persone, delle risorse e delle informazioni, la Commissione, in particolare per il tramite della direzione «Sicurezza» della direzione generale Risorse umane e sicurezza, adotta le misure previste dalla decisione (UE, Euratom) 2015/443 (1) della Commissione, che comportano il trattamento di diverse categorie di dati personali. Tali misure comprendono lo svolgimento di controlli dei precedenti a norma dell'articolo 7, paragrafo 5, la valutazione delle minacce a norma dell'articolo 12 e le indagini di sicurezza a norma dell'articolo 13 della decisione (UE, Euratom) 2015/443. Nel quadro del suo mandato di indagine, la Commissione raccoglie informazioni rilevanti sotto il profilo investigativo, compresi i dati personali, provenienti da varie fonti — pubbliche autorità e persone fisiche — e procede al loro scambio con le istituzioni, gli organi, gli uffici e le agenzie dell'Unione, con le autorità competenti degli Stati membri e dei paesi terzi, nonché con le organizzazioni internazionali, prima, durante e dopo l'indagine o le attività di coordinamento.

(3)

Le categorie di dati personali trattati dalla Commissione sono, ad esempio, i dati identificativi, i dati di contatto, i dati relativi all'attività professionale e quelli relativi o ricollegati all'oggetto di un controllo dei precedenti, di una valutazione delle minacce o di un'indagine di sicurezza. I dati personali sono conservati in un ambiente elettronico sicuro per prevenire la consultazione illecita o il trasferimento dei dati a persone esterne alla Commissione. I dati personali sono conservati presso i servizi della Commissione incaricati dell'indagine e fino alla conclusione di quest'ultima. Alle differenti attività di trattamento dei dati si applicano periodi diversi di conservazione, in funzione della categoria dell'indagine, ovvero che riguardi l'ambito di sospetti reati, il controspionaggio o la lotta contro il terrorismo. Al termine del periodo di conservazione le informazioni relative ai casi trattati, compresi i dati personali, sono eliminate (2).

(4)

Nello svolgimento dei suoi compiti la Commissione, in quanto responsabile del trattamento dei dati, è tenuta a rispettare i diritti delle persone fisiche in relazione al trattamento dei dati di carattere personale riconosciuti dall'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea e dall'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea, nonché i diritti previsti dal regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (3). Al tempo stesso, la Commissione deve rispettare le rigorose regole di riservatezza di cui all'articolo 9 della decisione (UE, Euratom) 2015/443.

(5)

In determinate circostanze è necessario conciliare i diritti degli interessati a norma del regolamento (UE) 2018/1725 con la necessità che la Commissione eserciti efficacemente i suoi compiti finalizzati a garantire la sicurezza delle persone, delle risorse e delle informazioni alla Commissione a norma della decisione (UE, Euratom) 2015/443, in particolare le indagini di sicurezza, nonché col pieno rispetto dei diritti e delle libertà fondamentali degli altri interessati. A tal fine l'articolo 25, paragrafo 1, lettere c), d) e h), del regolamento (UE) 2018/1725 offre alla Commissione la possibilità di limitare l'applicazione degli articoli da 14 a 17 e degli articoli 19, 20 e 35, nonché del principio di trasparenza di cui all'articolo 4, paragrafo 1, lettera a), nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 17 e agli articoli 19 e 20 di tale regolamento.

(6)

Per assicurare che la Commissione eserciti efficacemente i suoi compiti finalizzati a garantire la sicurezza delle persone, delle risorse e delle informazioni alla Commissione a norma della decisione (UE, Euratom) 2015/443, in particolare le indagini di sicurezza, nel pieno rispetto del livello di protezione dei dati personali a norma del regolamento (UE) 2018/1725, occorre adottare norme interne in virtù delle quali la Commissione possa limitare i diritti degli interessati conformemente all'articolo 25, paragrafo 1, lettere c), d) e h), del regolamento (UE) 2018/1725.

(7)

Tali norme interne dovrebbero riguardare tutte le operazioni di trattamento dei dati effettuate dalla Commissione nell'esercizio dei suoi compiti finalizzati a garantire la sicurezza delle persone, delle risorse e delle informazioni alla Commissione a norma della decisione (UE, Euratom) 2015/443, in particolare per quanto riguarda la sua funzione d'indagine nell'ambito della sicurezza. Esse dovrebbero applicarsi ai trattamenti effettuati prima dell'avvio di un'indagine, nel corso delle indagini e durante il monitoraggio del seguito dato agli esiti delle indagini.

(8)

Al fine di ottemperare agli articoli 14, 15 e 16 del regolamento (UE) 2018/1725, la Commissione dovrebbe informare, in modo trasparente e coerente, tutte le persone interessate in merito alle proprie attività che comportano il trattamento dei loro dati personali e ai loro diritti, mediante un'informativa sulla protezione dei dati pubblicata sul proprio sito web.

(9)

La Commissione, inoltre, dovrebbe informare individualmente, e in un formato adeguato, gli interessati oggetto di un'indagine di sicurezza, ovvero le persone interessate e i testimoni. La Commissione dovrebbe inoltre informare individualmente le persone, i cui dati sono trattati nel contesto delle misure di sicurezza adottate ai sensi dell'articolo 7, paragrafo 5 e dell'articolo 12, paragrafo 1, lettere d) e e) della decisione (UE, Euratom) 2015/443, in particolare nelle perquisizioni di locali della Commissione e di sistemi e attrezzature di informazione e comunicazione.

(10)

Sulla base dell'articolo 25 del regolamento (UE) 2018/1725, può essere necessario che la Commissione limiti la comunicazione di informazioni agli interessati e l'esercizio di altri loro diritti, al fine di tutelare, in particolare, un'indagine di sicurezza, i suoi strumenti e metodi d'indagine, le inchieste di sicurezza e i procedimenti di altre autorità pubbliche, nonché i diritti delle altre persone interessate dall'indagine di sicurezza in questione e dalle altre inchieste e/o procedimenti.

(11)

In alcuni casi la comunicazione di particolari informazioni agli interessati, o il fatto di rivelare lo svolgimento di un'indagine o l'adozione di misure di sicurezza a norma dell'articolo 12, paragrafo 1, lettere d) e e) della decisione (UE, Euratom) 2015/443, in particolare la perquisizione di locali della Commissione e di sistemi e attrezzature di informazione e comunicazione, potrebbe rendere impossibile o compromettere seriamente l'obiettivo dell'indagine e la capacità della Commissione di garantire la propria sicurezza e in particolare di effettuare in futuro indagini di sicurezza in modo efficace.

(12)

Inoltre, per mantenere una cooperazione efficace, come previsto dall'articolo 17, paragrafi 2 e 3, della decisione (EU, Euratom) 2015/443, può essere necessario che la Commissione limiti l'applicazione dei diritti degli interessati al fine di proteggere le operazioni di trattamento dei dati effettuate da altre istituzioni, organi, uffici e agenzie dell'Unione o dalle autorità competenti degli Stati membri. A questo scopo la Commissione dovrebbe consultare tali istituzioni, organi, uffici, agenzie e autorità sui motivi che determinano l'imposizione di limitazioni e sulla necessità e proporzionalità di dette limitazioni.

(13)

Potrebbe inoltre essere necessario che la Commissione limiti la comunicazione di informazioni agli interessati e l'applicazione di altri diritti degli interessati in relazione ai dati personali ricevuti da paesi terzi o organizzazioni internazionali, per adempiere al suo dovere di cooperazione con tali paesi o organizzazioni e salvaguardare pertanto un obiettivo importante di interesse pubblico generale dell'Unione. Tuttavia, in determinate circostanze, gli interessi o i diritti fondamentali dell'interessato possono prevalere sull'interesse della cooperazione internazionale.

(14)

La Commissione dovrebbe gestire tutte le limitazioni in modo trasparente e annotare ogni applicazione delle limitazioni nel corrispondente sistema di registrazione.

(15)

A norma dell'articolo 25, paragrafo 8, del regolamento (UE) 2018/1725, i titolari del trattamento possono rinviare, omettere o negare la comunicazione all'interessato di informazioni relative ai motivi dell'applicazione di una limitazione qualora ciò comprometta in qualsiasi modo la finalità di tale limitazione. Ciò vale, in particolare, per le limitazioni dei diritti di cui agli articoli 16 e 35 del regolamento (UE) 2018/1725.

(16)

La Commissione dovrebbe riesaminare periodicamente le limitazioni imposte al fine di garantire che i diritti dell'interessato ad essere informato in conformità agli articoli 16 e 35 del regolamento (UE) 2018/1725 siano limitati solo fino a quando tali restrizioni siano necessarie per consentire alla Commissione di garantire la propria sicurezza e in particolare di svolgere le sue indagini di sicurezza.

(17)

Qualora si applichi una limitazione ad altri diritti degli interessati, il titolare del trattamento dovrebbe valutare caso per caso se la comunicazione della limitazione ne possa compromettere la finalità.

(18)

Il responsabile della protezione dei dati della Commissione dovrebbe effettuare un riesame indipendente dell'applicazione delle limitazioni al fine di garantire l'osservanza della presente decisione.

(19)

Il Garante europeo della protezione dei dati ha espresso un parere il 10 dicembre 2018,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Oggetto e ambito di applicazione

1.   La presente decisione stabilisce le norme che la Commissione deve rispettare per informare gli interessati del trattamento dei loro dati conformemente agli articoli 14, 15 e 16 del regolamento (UE) 2018/1725, nell'ambito dello svolgimento dell'insieme dei suoi compiti a norma della decisione (UE, Euratom) 2015/443.

Essa stabilisce inoltre le condizioni alle quali la Commissione può limitare l'applicazione degli articoli 4, da 14 a 17, 19, 20 e 35 del regolamento (UE) 2018/1725, conformemente all'articolo 25, paragrafo 1, lettere c), d) e h), di tale regolamento.

2.   La presente decisione si applica al trattamento di dati personali da parte della Commissione ai fini delle attività o in relazione alle attività da essa svolte per garantire la sicurezza delle persone, delle risorse e delle informazioni alla Commissione a norma della decisione (UE, Euratom) 2015/443.

Articolo 2

Eccezioni e limitazioni applicabili

1.   Qualora eserciti le proprie funzioni in relazione ai diritti degli interessati a norma del regolamento (UE) 2018/1725, la Commissione valuta se si applichi una delle eccezioni stabilite in detto regolamento.

2.   Fatti salvi gli articoli da 3 a 7 della presente decisione, la Commissione può limitare l'applicazione degli articoli da 14 a 17, 19, 20 e 35 del regolamento (UE) 2018/1725, nonché il principio di trasparenza di cui all'articolo 4, paragrafo 1, lettera a) dello stesso regolamento, nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 17, 19 e 20 del regolamento (UE) 2018/1725, qualora l'esercizio di tali diritti e obblighi pregiudichi la sicurezza interna di istituzioni, organi, uffici o agenzie dell'Unione, inclusa quella delle loro reti di comunicazione elettronica, ad esempio rivelandone gli strumenti e i metodi utilizzati nelle indagini di sicurezza, o leda i diritti e le libertà di altri interessati.

3.   Fatti salvi gli articoli da 3 a 7, la Commissione può limitare i diritti e gli obblighi di cui al paragrafo 2 del presente articolo in relazione ai dati personali ottenuti da altre istituzioni, organi, agenzie e uffici dell'Unione, da autorità competenti degli Stati membri o di paesi terzi o da organizzazioni internazionali, nei seguenti casi:

a)

quando l'esercizio di tali diritti e obblighi potrebbe essere limitato da altre istituzioni, organi, agenzie e uffici dell'Unione sulla base di altri atti di cui all'articolo 25 del regolamento (UE) 2018/1725 o in conformità del capo IX di detto regolamento oppure del regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio (4) o del regolamento (UE) 2017/1939 del Consiglio (5);

b)

quando l'esercizio di tali diritti e obblighi potrebbe essere limitato dalle autorità competenti degli Stati membri sulla base degli atti di cui all'articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (6), o a norma delle misure nazionali di recepimento dell'articolo 13, paragrafo 3, dell'articolo 15, paragrafo 3, o dell'articolo 16, paragrafo 3, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (7);

c)

quando l'esercizio di tali diritti e obblighi potrebbe pregiudicare la cooperazione della Commissione con paesi terzi o organizzazioni internazionali per quanto riguarda lo scambio di informazioni su potenziali minacce e in materia di controspionaggio e antiterrorismo e nell'esecuzione delle sue indagini di sicurezza.

Prima di applicare limitazioni nelle circostanze di cui al primo comma, lettere a) e b), la Commissione consulta le istituzioni, gli organi, le agenzie o gli uffici competenti dell'Unione o le autorità competenti degli Stati membri, a meno che non sia chiaro alla Commissione che l'applicazione di una limitazione è prevista da uno degli atti di cui alle lettere in questione o che questa consultazione comprometterebbe la finalità delle sue attività a norma della decisione (UE, Euratom) 2015/443.

La lettera c) del primo comma non si applica qualora sull'interesse della Commissione a cooperare con paesi terzi o organizzazioni internazionali prevalgano gli interessi o i diritti e le libertà fondamentali degli interessati.

4.   I paragrafi 1, 2 e 3 non pregiudicano l'applicazione di altre decisioni della Commissione che stabiliscono norme interne relative alla comunicazione di informazioni agli interessati e alla limitazione di determinati diritti a norma dell'articolo 25 del regolamento (UE) 2018/1725 e dell'articolo 23 del regolamento interno della Commissione.

Articolo 3

Comunicazione di informazioni agli interessati

1.   La Commissione pubblica sul suo sito web informative sulla protezione dei dati con le quali rende note a tutti gli interessati le proprie attività che comportano il trattamento dei loro dati personali ai fini dello svolgimento dei suoi compiti a norma della decisione (UE, Euratom) 2015/443.

2.   La Commissione comunica individualmente, e in un formato adeguato, ai testimoni e alle persone interessate da un'indagine di sicurezza che i loro dati personali sono oggetto di trattamento. Informa inoltre individualmente le persone i cui dati sono trattati nel contesto delle misure di sicurezza adottate ai sensi dell'articolo 7, paragrafo 5 e dell'articolo 12, paragrafo 1, lettere d) e e) della decisione (UE, Euratom) 2015/443, in particolare nelle perquisizioni di locali della Commissione e di sistemi e attrezzature di informazione e comunicazione.

3.   Allorché limita totalmente o parzialmente la comunicazione agli interessati delle informazioni di cui al paragrafo 2 del presente articolo, la Commissione annota e registra i motivi della limitazione conformemente all'articolo 6 della presente decisione.

Articolo 4

Diritto di accesso degli interessati, diritto alla cancellazione e diritto di limitazione del trattamento

1.   Se limita, integralmente o in parte, il diritto di accesso ai dati da parte degli interessati, il diritto alla cancellazione o il diritto di limitazione del trattamento di cui, rispettivamente, agli articoli 17, 19 e 20 del regolamento (UE) 2018/1725, la Commissione informa l'interessato, nella sua risposta alla richiesta di accesso, cancellazione o limitazione del trattamento, della limitazione applicata e dei suoi principali motivi, nonché della possibilità di proporre reclamo al Garante europeo della protezione dei dati o ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea.

2.   La comunicazione di informazioni sui motivi della limitazione di cui al paragrafo 1 del presente articolo può essere rinviata, omessa o negata fintanto che sussiste il rischio di compromettere la finalità della limitazione stessa.

3.   La Commissione annota e registra i motivi della limitazione in conformità dell'articolo 6 della presente decisione.

4.   Qualora il diritto di accesso sia limitato, integralmente o in parte, l'interessato esercita il suo diritto di accesso tramite il Garante europeo della protezione dei dati, in conformità all'articolo 25, paragrafi 6, 7 e 8, del regolamento (UE) 2018/1725.

Articolo 5

Comunicazione delle violazioni dei dati personali agli interessati

Allorché limita la comunicazione all'interessato di una violazione dei dati personali di cui all'articolo 35 del regolamento (UE) 2018/1725, la Commissione annota e registra i motivi della limitazione conformemente all'articolo 6 della presente decisione.

Articolo 6

Annotazione e registrazione delle limitazioni

1.   La Commissione annota i motivi di qualsiasi limitazione applicata a norma della presente decisione, compresa una valutazione della relativa necessità e proporzionalità, tenendo conto degli elementi pertinenti di cui all'articolo 25, paragrafo 2, del regolamento (UE) 2018/1725.

A tal fine annota in che modo l'esercizio del diritto pregiudicherebbe gli obiettivi delle attività della Commissione a norma della decisione (UE, Euratom) 2015/443 o delle limitazioni applicate ai sensi dell'articolo 2, paragrafi 2 o 3, o lederebbe i diritti e le libertà di altri interessati.

2.   Tali annotazioni e, se del caso, la documentazione contenente gli elementi di fatto e di diritto sono registrate e, su richiesta, sono messe a disposizione del Garante europeo della protezione dei dati.

Articolo 7

Durata delle limitazioni

1.   Le limitazioni di cui agli articoli 3, 4 e 5 della presente decisione continuano ad applicarsi finché permangono i motivi che le giustificano.

2.   Qualora i motivi di una limitazione di cui agli articoli 3 o 5 della presente decisione non siano più applicabili, la Commissione revoca la limitazione e comunica all'interessato i motivi della limitazione. Nel contempo la Commissione informa l'interessato in merito alla possibilità di proporre in qualsiasi momento reclamo al Garante europeo della protezione dei dati o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea.

3.   La Commissione riesamina l'applicazione delle limitazioni di cui agli articoli 4 e 6 ogni sei mesi dopo l'applicazione e all'atto della chiusura della pertinente indagine. Successivamente la Commissione valuta su base annuale la necessità di mantenere eventuali limitazioni/rinvii.

Articolo 8

Riesame da parte del responsabile della protezione dei dati

1.   Il responsabile della protezione dei dati della Commissione viene informato senza indebito ritardo ogniqualvolta i diritti degli interessati siano limitati in conformità della presente decisione. Al responsabile della protezione dei dati viene garantito, su richiesta, l'accesso al registro e a tutti i documenti contenenti i relativi elementi di fatto e di diritto.

2.   Il responsabile della protezione dei dati della Commissione può chiedere un riesame delle limitazioni. Il responsabile della protezione dei dati è informato dell'esito del riesame richiesto.

3.   Lo scambio di informazioni con il responsabile della protezione dei dati durante l'intera procedura deve essere registrato nella forma appropriata.

Articolo 9

La presente decisione entra in vigore il terzo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Fatto a Bruxelles, il 7 febbraio 2019

Per la Commissione

Il presidente

Jean-Claude JUNCKER


(1)  Decisione (UE, Euratom) 2015/443 della Commissione, del 13 marzo 2015, sulla sicurezza nella Commissione (GU L 72, del 17.3.2015, pag. 41), nel prosieguo «decisione (UE, Euratom) 2015/443».

(2)  La conservazione dei fascicoli presso la Commissione è disciplinata dall'elenco comune di conservazione, un documento normativo (la cui ultima versione è il SEC (2012) 713) in forma di elenco in cui sono fissati i periodi di conservazione per i diversi tipi di documenti della Commissione.

(3)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

(4)  Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI (GU L 135 del 24.5.2016, pag. 53).

(5)  Regolamento (UE) 2017/1939 del Consiglio, del 12 ottobre 2017, relativo all'attuazione di una cooperazione rafforzata sull'istituzione della Procura europea («EPPO») (GU L 283 del 31.10.2017, pag. 1).

(6)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(7)  Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).