DECISIONE DEL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI (GEPD)

del 2 aprile 2019

sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell'ambito delle attività svolte dal Garante europeo della protezione dei dati

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI (GEPD),

visto il trattato sul funzionamento dell'Unione europea,

visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati (in appresso «il regolamento»), e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (1), in particolare l'articolo 25 e il capo VI,

previa consultazione del segretariato del Garante europeo della protezione dei dati in merito a tale decisione, in conformità dell'articolo 41, paragrafo 2, del regolamento,

considerando quanto segue:

(1)

Il GEPD può, nell'ambito del proprio operato, condurre indagini amministrative e avviare procedure predisciplinari, disciplinari e di sospensione, sulla base dell'articolo 86 dello statuto dei funzionari dell'Unione europea (2) e conformemente all'allegato IX del medesimo, alla propria decisione del 23 aprile 2015 che adotta disposizioni di esecuzione riguardanti lo svolgimento delle indagini amministrative e dei procedimenti disciplinari nonché all'accordo sul livello dei servizi relativo alla collaborazione tra la DG HR della Commissione europea e lo stesso GEPD, firmato il 29.1.2016; inoltre, il GEPD può notificare i casi all'IDOC o all'OLAF, procedura che implica un trattamento delle informazioni, compresi i dati personali.

(2)

I membri del personale del GEPD hanno l'obbligo di segnalare eventuali attività illecite, tra cui frode o corruzione, lesive degli interessi dell'Unione, o comportamenti relativi all'esercizio di funzioni professionali che possono costituire una grave violazione degli obblighi dei funzionari dell'Unione. L'obbligo di cui sopra è disciplinato dalla decisione del GEPD del 14 giugno 2016 sulle norme interne in materia di denunce di irregolarità.

(3)

Il GEPD ha definito una politica per prevenire e gestire in modo efficace ed efficiente i casi reali o potenziali di molestie psicologiche o sessuali sul luogo di lavoro, come previsto nella propria decisione del 10 dicembre 2014 che adotta misure di esecuzione in relazione agli articoli 12 bis e 24 dello statuto relativi alla procedura contro le molestie. La decisione definisce una procedura informale in base alla quale la presunta vittima di molestie può contattare consulenti di fiducia in seno al GEPD.

(4)	Ai sensi dell'articolo 57, paragrafo 1, lettera e), del regolamento, il GEPD tratta i reclami relativi alle attività di trattamento svolte dalle istituzioni, dagli organi e dagli organismi dell'Unione europea. In tale contesto, il GEPD può svolgere indagini in merito all'oggetto del reclamo.

(5)	Ai sensi dell'articolo 57, paragrafo 1, lettera f), del regolamento, il GEPD svolge indagini sull'applicazione del regolamento per verificare la conformità delle istituzioni, degli organi e degli organismi dell'UE.

(6)	Il GEPD può svolgere indagini su possibili violazioni delle ICUE, sulla base della propria decisione, del 18 febbraio 2014, che modifica le norme sulla sicurezza delle stesse ICUE.

(7)

Il GEPD può svolgere verifiche delle proprie attività, cosa che attualmente avviene tramite il servizio di audit interno della Commissione europea (di seguito IAS), sulla base del rinnovato accordo sul livello dei servizi firmato il 1o giugno 2012. Le verifiche possono anche essere svolte dal coordinatore del controllo interno nel pieno esercizio delle proprie funzioni.

(8)	Nel contesto dei compiti di cui ai considerando da 1 a 7, il GEPD può fornire e ricevere assistenza e cooperazione a e da altre istituzioni, organi e organismi dell'Unione, come stabilito nei pertinenti accordi sul livello dei servizi, memorandum d'intesa e accordi di cooperazione.

(9)	Il GEPD può fornire e ricevere assistenza e cooperazione a e da autorità nazionali e organizzazioni internazionali di paesi terzi, su loro richiesta o di propria iniziativa, come previsto all'articolo 51 del regolamento.

(10)	Il GEPD può fornire e ricevere assistenza e cooperazione a e da autorità pubbliche degli Stati membri dell'UE, su loro richiesta o di propria iniziativa.

(11)	In base all'articolo 58, paragrafo 4, del regolamento, il GEPD può essere coinvolto nelle cause dinanzi alla Corte di giustizia dell'Unione europea per adire la stessa Corte o per difendere le proprie decisioni in caso di impugnazione o, ancora, intervenire nei casi pertinenti ai propri compiti.

(12)

Nel contesto delle attività di cui sopra, il GEPD raccoglie e tratta informazioni pertinenti e varie categorie di dati personali, tra cui i dati identificativi di una persona fisica, i recapiti, i ruoli e i compiti professionali, le informazioni relative a comportamenti e prestazioni nell'ambito privato e professionale nonché i dati finanziari. Il GEPD funge da titolare del trattamento.

(13)

Sono previste garanzie adeguate per proteggere i dati personali e impedire che vadano soggetti ad accesso o trasferimento accidentale o illecito, indipendentemente dal fatto che siano conservati in un ambiente fisico o elettronico. Dopo il trattamento, i dati sono ritenuti conformemente alle norme del GEPD applicabili in materia di conservazione, quali definite nei registri relativi alla protezione dei dati in base all'articolo 31 del regolamento. Al termine del periodo di conservazione, le informazioni relative al caso, compresi i dati personali, sono cancellate, rese anonime o trasferite agli archivi storici.

(14)	In tale contesto, il GEPD è tenuto ad adempiere all'obbligo di fornire informazioni agli interessati in relazione alle suddette attività di trattamento e a rispettare i diritti degli stessi interessati, come stabilito nel regolamento.

(15)

Può essere necessario conciliare i diritti degli interessati a norma del regolamento con le esigenze delle suddette attività, nel pieno rispetto dei diritti e delle libertà fondamentali di altri interessati. A tal fine, l'articolo 25 del regolamento prevede, a condizioni rigorose, la possibilità di limitare l'applicazione degli articoli da 14 a 20, 35 e 36, nonché dell'articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 20. In questo caso è necessaria l'adozione di norme interne in base alle quali il GEPD possa limitare tali diritti in linea con lo stesso articolo del regolamento.

(16)

Ciò potrebbe in particolare avvenire nel caso in cui si forniscano informazioni sul trattamento dei dati personali all'interessato nella fase di valutazione preliminare di un'indagine amministrativa o durante l'indagine stessa, prima di un'eventuale archiviazione del caso o di una fase predisciplinare. In determinate circostanze, fornire tali informazioni potrebbe seriamente compromettere la facoltà del GEPD di condurre un'indagine efficace, ogniqualvolta, per esempio, vi sia il rischio che l'interessato distrugga prove o interferisca con potenziali testimoni prima che siano ascoltati. Inoltre, il GEPD potrebbe aver bisogno di tutelarne i diritti e libertà nonché i diritti e le libertà di altre persone coinvolte.

(17)

Potrebbe essere necessario tutelare la riservatezza di un testimone o di un informatore che ha chiesto di non essere identificato. In tal caso, il GEPD può decidere di limitare l'accesso all'identità, alle dichiarazioni e agli altri dati personali dell'informatore e delle altre persone coinvolte, al fine di tutelarne i diritti e le libertà.

(18)

Potrebbe essere necessario tutelare la riservatezza di un membro del personale che ha contattato i consulenti di fiducia del GEPD nel contesto di una procedura per molestie. In tal caso, il GEPD può decidere di limitare l'accesso all'identità, alle dichiarazioni e ad altri dati personali della presunta vittima, del presunto autore delle molestie e di altre persone coinvolte, al fine di tutelarne i diritti e le libertà.

(19)

Nel dare seguito a reclami relativi alle attività di trattamento svolte dalle istituzioni, dagli organi e dagli organismi europei, il GEPD potrebbe, in determinate circostanze, dover salvaguardare l'efficacia delle proprie indagini e tutelare, se necessario, le persone coinvolte nonché i loro diritti e libertà.

(20)

Nello svolgimento delle indagini sull'applicazione del regolamento per verificare il rispetto dello stesso da parte delle istituzioni, degli organi e degli organismi dell'UE, il GEPD potrebbe, in determinate circostanze, dover salvaguardare l'efficacia delle proprie indagini e tutelare, se necessario, le persone coinvolte nonché i loro diritti e libertà.

(21)

Nel condurre indagini su possibili violazioni delle informazioni ICUE, il GEPD potrebbe, in determinate circostanze, dover salvaguardare l'efficacia delle proprie indagini e tutelare, se necessario, la sicurezza interna delle istituzioni, degli organi e degli organismi dell'Unione, comprese le relative reti di comunicazione elettronica, nonché i diritti e le libertà degli interessati.

(22)

Nel fornire o ricevere assistenza e cooperazione a e da altre istituzioni, organi e organismi dell'Unione, autorità pubbliche degli Stati membri dell'UE, autorità nazionali di paesi terzi e organizzazioni internazionali nel contesto delle suddette attività, il GEPD potrebbe, in determinate circostanze, dover salvaguardare l'efficacia delle proprie indagini o di quelle svolte dall'entità con cui collabora e tutelare, se necessario, le persone coinvolte nonché i loro diritti e libertà.

(23)	Nel rinviare questioni o nell'intervenire dinanzi alla Corte di giustizia dell'Unione europea, il GEPD può dover salvaguardare la riservatezza dei dati personali contenuti nei documenti ottenuti dalle parti o dagli intervenienti nel contesto del caso in questione.

(24)	Il GEPD dovrebbe applicare limitazioni solo se rispettano l'essenza dei diritti e delle libertà fondamentali e sono una misura strettamente necessaria e proporzionata in una società democratica. Il GEPD dovrebbe spiegare le motivazioni di tali limitazioni.

(25)	In base al principio della responsabilità, il GEPD dovrebbe tenere un registro dell'applicazione delle limitazioni.

(26)

Nel trattare i dati personali scambiati con altre organizzazioni nell'ambito dei propri compiti, il GEPD dovrebbe consultare ed essere consultato da tali organizzazioni sui possibili motivi per l'imposizione di limitazioni e sulla necessità e proporzionalità delle stesse, a meno che ciò pregiudichi le proprie attività.

(27)	L'articolo 25, paragrafo 6, del regolamento (UE) 2018/1725 impone al titolare del trattamento di informare gli interessati in merito ai principali motivi sui quali si basa l'applicazione della limitazione e al loro diritto di proporre reclamo presso il GEPD.

(28)

Ai sensi dell'articolo 25, paragrafo 8, del regolamento, il GEPD può rinviare, omettere o negare la comunicazione dei motivi dell'applicazione di una limitazione all'interessato, qualora in qualsiasi modo annulli l'effetto della stessa limitazione. Il GEPD dovrebbe valutare caso per caso se la comunicazione della limitazione ne annullerebbe l'effetto.

(29)	Il GEPD dovrebbe revocare la limitazione non appena le condizioni che la giustificano non siano più in essere e valutare periodicamente tali condizioni.

(30)

Per garantire la massima tutela dei diritti e delle libertà degli interessati e in conformità dell'articolo 44, paragrafo 1, del regolamento, il responsabile della protezione dei dati dovrebbe essere informato a tempo debito delle eventuali limitazioni applicate e verificare l'osservanza della presente decisione.

(31)

L'applicazione delle limitazioni di cui sopra non pregiudica l'eventuale applicazione delle disposizioni di cui all'articolo 16, paragrafo 5, e all'articolo 17, paragrafo 4, relative, rispettivamente, al diritto di informazione quando i dati non siano stati ottenuti dall'interessato e al diritto di accesso dell'interessato,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Oggetto e ambito di applicazione

La presente decisione definisce norme relative alle condizioni alle quali il GEPD può limitare l'applicazione degli articoli da 14 a 20, 35 e 36, nonché dell'articolo 4 in base all'articolo 25 del regolamento.

Articolo 2

Limitazioni

1. Ai sensi dell'articolo 25, paragrafo 1, del regolamento, il GEPD può limitare l'applicazione degli articoli da 14 a 20, 35 e 36, nonché dell'articolo 4, nella misura in cui le proprie disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 20, quando:

svolge indagini amministrative e avvia procedure predisciplinari, disciplinari e di sospensione sulla base dell'articolo 86 dello statuto dei funzionari dell'Unione europea (3) e conformemente all'allegato IX dello stesso nonché alla propria decisione del 23 aprile 2015; inoltre, può notificare casi all'IDOC o all'OLAF. Le limitazioni pertinenti possono basarsi sull'articolo 25, paragrafo 1, lettere c), g) e h), del regolamento;

garantisce che i membri del proprio personale possano segnalare in via riservata fatti laddove ritengano che vi siano gravi irregolarità, come disciplinato dalla propria decisione del 14 giugno 2016 sulle norme interne in materia di denunce di irregolarità. Le limitazioni pertinenti possono essere basate sull'articolo 25, paragrafo 1, lettera h), del regolamento;

garantisce che i membri del proprio personale possano effettuare segnalazioni in via riservata ai consulenti di fiducia nel contesto di una procedura in materia di molestie ai sensi della propria decisione del 10 dicembre 2014. Le limitazioni pertinenti possono essere basate sull'articolo 25, paragrafo 1, lettera h), del regolamento;

svolge indagini su questioni relative a reclami concernenti attività di trattamento svolte dalle istituzioni, dagli organi e dagli organismi europei a norma dell'articolo 57, paragrafo 1, lettera e), del regolamento. Le limitazioni pertinenti possono basarsi sull'articolo 25, paragrafo 1, lettere c), g) e h), del regolamento;

svolge indagini sull'applicazione del regolamento per verificare la conformità delle istituzioni, degli organi e degli organismi dell'UE, a norma dell'articolo 57, paragrafo 1, lettera f), del regolamento. Le limitazioni pertinenti possono basarsi sull'articolo 25, paragrafo 1, lettere c), g) e h), del regolamento;

f)	svolge indagini su eventuali violazioni delle ICUE, sulla base della propria decisione del 18 febbraio 2014 che modifica le norme in materia di sicurezza delle stesse ICUE. Le limitazioni pertinenti possono essere basate sull'articolo 25, paragrafo 1, lettere c), d), g) e h) del regolamento;

g)	svolge verifiche interne in relazione a tutte le proprie attività e servizi. Le limitazioni pertinenti possono essere basate sull'articolo 25, paragrafo 1, lettere c), g) e h) del regolamento;

fornisce o riceve assistenza e cooperazione a e da altre istituzioni, organi e organismi dell'Unione, nel contesto delle attività di cui sopra, come stabilito nei pertinenti sul livello dei servizi, memorandum d'intesa e accordi di cooperazione; le limitazioni pertinenti possono essere basate sull'articolo 25, paragrafo 1, lettere c), d), g) e h) del regolamento;

fornisce o riceve assistenza e cooperazione a e da autorità nazionali e organizzazioni internazionali di paesi terzi, su loro richiesta o di propria iniziativa, come previsto all'articolo 51 del regolamento. Le limitazioni pertinenti possono essere basate sull'articolo 25, paragrafo 1, lettere c), g) e h) del regolamento;

j)	fornisce o riceve assistenza e cooperazione a e da autorità pubbliche degli Stati membri dell'UE, su loro richiesta o di propria iniziativa. Le limitazioni pertinenti possono essere basate sull'articolo 25, paragrafo 1, lettere c), g) e h) del regolamento;

tratta i dati personali in documenti ottenuti dalle parti o dagli intervenienti nel contesto del caso di specie quando rinvia questioni o interviene dinanzi alla Corte di giustizia dell'Unione europea, in base all'articolo 58, paragrafo 4, del regolamento. Le limitazioni pertinenti possono essere basate sull'articolo 25, paragrafo 1, lettera e), del regolamento;

2. Le categorie di dati comprendono i dati di identificazione di una persona fisica, i recapiti, i ruoli e i compiti professionali, le informazioni relative a comportamenti e prestazioni nell'ambito privato e professionale nonché i dati finanziari.

3. Tali eventuali limitazioni devono rispettare l'essenza dei diritti e delle libertà fondamentali ed essere una misura necessaria e proporzionata in una società democratica.

4. Prima dell'applicazione di eventuali limitazioni viene effettuata, caso per caso, una verifica della necessità e della proporzionalità della misura. Le limitazioni sono ristrette a quanto strettamente necessario per conseguire gli obiettivi stabiliti.

5. Il GEPD deposita, a fini di rendicontazione, un resoconto delle motivazioni alla base delle limitazioni attuate, quali motivi trovano applicazione tra quelli elencati al paragrafo 1 e l'esito della verifica della necessità e della proporzionalità. Tali resoconti fanno parte di un registro ad hoc, che deve essere messo a disposizione del GEPD su richiesta. È messa a disposizione periodicamente una relazione sull'applicazione dell'articolo 25 del regolamento.

6. In sede di trattamento dei dati personali scambiati con altre organizzazioni nell'ambito dei propri compiti, il GEPD consulta ed è consultato da tali organizzazioni sui possibili motivi per l'imposizione di limitazioni e sulla necessità e proporzionalità delle stesse, a meno che ciò non pregiudichi le proprie attività.

Articolo 3

Rischi per i diritti e le libertà degli interessati

La valutazione dei rischi per i diritti e le libertà degli interessati i cui dati personali possono essere soggetti a limitazioni e il relativo periodo di conservazione sono riportati nel registro delle pertinenti attività di trattamento a norma dell'articolo 31 del regolamento e, se del caso, nelle pertinenti valutazioni d'impatto sulla protezione dei dati basate sull'articolo 39 dello stesso regolamento.

Articolo 4

Periodi di conservazione e garanzie

Il GEPD mette in atto misure di garanzia per prevenire gli abusi o l'accesso o il trasferimento illecito di dati personali che possono essere soggetti a limitazioni. Tali garanzie, che includono misure tecniche e organizzative, sono specificate, se necessario, nelle decisioni, procedure e norme di attuazione interne del GEPD. Tra le misure di garanzia vi sono:

a)	una definizione adeguata dei ruoli, delle responsabilità e delle fasi procedurali;

b)	se del caso, un ambiente elettronico sicuro che impedisca l'accesso o il trasferimento illecito o accidentale di dati elettronici a persone non autorizzate;

c)	se del caso, la conservazione e il trattamento dei documenti cartacei in condizioni di sicurezza;

d)	il dovuto controllo delle limitazioni e una revisione periodica, da effettuarsi almeno ogni sei mesi. Va inoltre effettuata una revisione se cambiano taluni elementi essenziali del caso in questione. Le limitazioni sono revocate non appena le circostanze che le giustificano cessino di sussistere.

Articolo 5

Informazione e revisione da parte del responsabile della protezione dei dati

1. Il responsabile della protezione dei dati presso il GEPD è informato senza indebito ritardo ogniqualvolta i diritti dell'interessato siano soggetti a limitazione in conformità della presente decisione; inoltre, gli è dato accesso al registro e a tutti gli elementi su cui si basano i dati di fatto e di diritto.

2. Il responsabile della protezione dei dati presso il GEPD può chiedere di riesaminare l'applicazione della limitazione. Il GEPD informa per iscritto il proprio responsabile della protezione dei dati circa l'esito del riesame richiesto.

3. La partecipazione del responsabile della protezione dei dati presso il GEPD alla procedura di limitazione, compresi gli scambi di informazioni, deve essere adeguatamente documentata.

Articolo 6

Informazione degli interessati in merito alle limitazioni ai loro diritti

1. Nelle comunicazioni sulla protezione dei dati pubblicate sul proprio sito Internet il GEPD include informazioni generali a uso degli interessati relative alle potenziali limitazioni di tutti i loro diritti di cui all'articolo 2, paragrafo 1. Tali informazioni riguardano i diritti che possono essere limitati, le ragioni e la durata potenziale della limitazione.

2. Inoltre, il GEPD, senza indebito ritardo e per iscritto, informa i singoli interessati in merito alle limitazioni presenti o future dei loro diritti, come ulteriormente specificato agli articoli da 7 a 9.

Articolo 7

Diritto alle informazioni da fornire agli interessati e comunicazione sulle violazioni dei dati

1. Qualora, nel contesto delle attività di cui alla presente decisione, il GEPD limiti, in tutto o in parte, i diritti di cui agli articoli da 14 a 16 e all'articolo 35 del regolamento, gli interessati sono informati dei principali motivi sui quali si basa l'applicazione della limitazione e del loro diritto di proporre reclamo presso il GEPD nonché di proporre ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea.

2. Il GEPD può rinviare, omettere o negare la comunicazione di informazioni sui motivi della limitazione di cui al paragrafo 1, nella misura in cui annullerebbe l'effetto della restrizione. Tale valutazione è effettuata caso per caso.

Articolo 8

Diritto dell'interessato ad accesso, rettifica, cancellazione e limitazione del trattamento

1. Qualora, nel contesto delle attività di cui alla presente decisione, il GEPD limiti, in tutto o in parte, il diritto di accesso ai dati personali, il diritto di rettifica, cancellazione e limitazione del trattamento di cui rispettivamente agli articoli da 17 a 20 del regolamento, lo stesso informa l'interessato, nella risposta alla sua richiesta, dei principali motivi sui quali si basa l'applicazione della restrizione e della possibilità di proporre reclamo presso lo stesso GEPD o di proporre ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea.

2. Qualora il diritto di accesso sia limitato, in tutto o in parte, il GEPD, nell'esaminare il reclamo, comunica all'interessato solo se i dati sono stati trattati correttamente ovvero, in caso contrario, se sono state apportate tutte le rettifiche necessarie, ai sensi dell'articolo 25, paragrafo 7, del regolamento.

3. Il GEPD può rinviare, omettere o negare la comunicazione di informazioni sui motivi della restrizione di cui ai paragrafi 1 e 2 se annullasse l'effetto della restrizione. Tale valutazione è effettuata caso per caso.

Articolo 9

Riservatezza delle comunicazioni elettroniche

1. In circostanze eccezionali e in linea con le disposizioni e i principi di cui alla direttiva 2002/58/CE, il GEPD può limitare il diritto alla riservatezza delle comunicazioni elettroniche di cui all'articolo 36 del regolamento. In questo caso, il GEPD specifica le circostanze, i motivi, i rischi pertinenti e le relative garanzie in specifiche norme interne.

2. Nel limitare il diritto alla riservatezza delle comunicazioni elettroniche, il GEPD informa l'interessato, nella risposta alla sua richiesta, dei principali motivi sui quali si basa l'applicazione della limitazione e della possibilità di proporre reclamo presso lo stesso GEPD o di proporre ricorso giurisdizionale dinanzi alla Corte di giustizia dell'Unione europea.

3. Il GEPD può rinviare, omettere o negare la comunicazione di informazioni sui motivi della limitazione di cui al paragrafo 1 e 2, nella misura in cui annullerebbe l'effetto della restrizione. Tale valutazione è effettuata caso per caso.

Articolo 10

Entrata in vigore

La presente decisione entra in vigore il giorno della pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Fatto a Bruxelles, il 2 aprile 2019

Per il Garante europeo della protezione dei dati

Giovanni BUTTARELLI

(1) GU L 295 del 21.11. 2018, pag. 39.

(2) Regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio, del 29 febbraio 1968, che definisce lo statuto dei funzionari delle Comunità europee nonché il regime applicabile agli altri agenti di tali Comunità, ed istituisce speciali misure applicabili temporaneamente ai funzionari della Commissione (GU L 56 del 4.3.1968, pag. 1).

(3) Regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio, del 29 febbraio 1968, che definisce lo statuto dei funzionari delle Comunità europee nonché il regime applicabile agli altri agenti di tali Comunità, ed istituisce speciali misure applicabili temporaneamente ai funzionari della Commissione (GU L 56 del 4.3.1968, pag. 1).