22.5.2019   

IT

Gazzetta ufficiale dell'Unione europea

L 135/1


REGOLAMENTO (UE) 2019/816 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 17 aprile 2019

che istituisce un sistema centralizzato per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi e apolidi (ECRIS-TCN) e integrare il sistema europeo di informazione sui casellari giudiziali, e che modifica il regolamento (UE) 2018/1726

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 82, paragrafo 1, secondo comma, lettera d),

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

deliberando secondo la procedura legislativa ordinaria (1),

considerando quanto segue:

(1)

L'Unione si è prefissa l'obiettivo di offrire ai suoi cittadini uno spazio di libertà, sicurezza e giustizia senza frontiere interne, in cui sia assicurata la libera circolazione delle persone. Tale obiettivo dovrebbe essere conseguito, tra l'altro, attraverso misure appropriate per prevenire e combattere la criminalità, compresi la criminalità organizzata e il terrorismo.

(2)

Detto obiettivo presuppone che le informazioni relative alle decisioni di condanna pronunciate negli Stati membri siano prese in considerazione al di fuori dello Stato membro di condanna, in occasione di un nuovo procedimento penale, come stabilito nella decisione quadro 2008/675/GAI del Consiglio (2), nonché per prevenire nuovi reati.

(3)

Tale obiettivo implica lo scambio di informazioni estratte dal casellario giudiziale tra le competenti autorità degli Stati membri. Tale scambio di informazioni è organizzato e agevolato dalle norme fissate con decisione quadro 2009/315/GAI del Consiglio (3) e dal sistema europeo di informazione sui casellari giudiziali (ECRIS) istituito con decisione 2009/316/GAI del Consiglio (4).

(4)

L'attuale quadro giuridico di ECRIS tuttavia non risponde sufficientemente alle caratteristiche delle richieste riguardanti cittadini di paesi terzi. Sebbene sia già possibile scambiare informazioni sui cittadini di paesi terzi tramite ECRIS, manca una procedura o un meccanismo comune dell'Unione che consenta di farlo in modo efficace, rapido e preciso.

(5)

All'interno dell'Unione le informazioni sui cittadini di paesi terzi non sono raccolte come avviene per i cittadini degli Stati membri negli Stati membri di cittadinanza, ma sono solo conservate negli Stati membri in cui le condanne sono state pronunciate. Pertanto, per ottenere un quadro completo del trascorso criminale di un cittadino di paese terzo è necessario chiedere informazioni a tutti gli Stati membri.

(6)

Tali «richieste generalizzate» impongono un onere amministrativo sproporzionato a tutti gli Stati membri, compresi quelli che non sono in possesso di informazioni sul cittadino di paese terzo interessato. Nella pratica tale onere scoraggia gli Stati membri dal chiedere agli altri Stati membri informazioni sui cittadini di paesi terzi, il che ostacola gravemente lo scambio di informazioni tra loro e fa sì che il loro accesso alle informazioni sui casellari giudiziali sia limitato a quelle conservate nei casellari nazionali. Di conseguenza, aumenta il rischio che lo scambio di informazioni tra Stati membri sia inefficiente e incompleto, il che si ripercuote a sua volta sul livello di sicurezza e protezione garantito ai cittadini dell'Unione e a quanti risiedono al suo interno.

(7)

Per migliorare la situazione dovrebbe essere istituito un sistema che permetta all'autorità centrale di uno Stato membro di verificare con tempestività ed efficacia quali altri Stati membri siano in possesso di informazioni sul casellario giudiziale di un cittadino di paese terzo («ECRIS-TCN»). Il quadro ECRIS esistente potrebbe pertanto essere utilizzato per richiedere tali informazioni a quegli Stati membri conformemente alla decisione quadro 2009/315/GAI.

(8)

Il presente regolamento dovrebbe pertanto prevedere le norme che istituiscono un sistema centralizzato a livello di Unione che contenga i dati personali, e le norme sulla ripartizione delle responsabilità tra gli Stati membri e sull'organizzazione responsabile dello sviluppo e della manutenzione del sistema centralizzato, come anche eventuali disposizioni specifiche in materia di protezione dei dati necessarie per integrare le disposizioni in vigore e per conseguire globalmente un livello adeguato di protezione e sicurezza dei dati e di salvaguardia dei diritti fondamentali degli interessati.

(9)

Per conseguire l'obiettivo di offrire ai cittadini dell'Unione uno spazio di libertà, sicurezza e giustizia senza frontiere interne, in cui sia assicurata la libera circolazione delle persone, è altresì necessario disporre di informazioni complete per quanto riguarda le condanne a carico di cittadini dell'Unione che possiedono la cittadinanza di un paese terzo. Data la possibilità che tali persone si presentino in possesso di una o più cittadinanze e che negli Stati membri di condanna o nello Stato membro di cittadinanza siano registrate condanne diverse, è necessario includere nell'ambito di applicazione del presente regolamento i cittadini dell'Unione che possiedono anche la cittadinanza di un paese terzo. L'esclusione di tali persone risulterebbe nelle informazioni conservate in ECRIS-TCN rendendolo incompleto. Ciò pregiudicherebbe l'affidabilità del sistema. Tuttavia, poiché tali persone possiedono la cittadinanza dell'Unione, le condizioni per includere in ECRIS-TCN i dati relativi alle loro impronte digitali dovrebbero essere comparabili alle condizioni secondo cui gli Stati membri scambiano i dati relativi alle impronte digitali dei cittadini dell'Unione attraverso ECRIS, che è stato istituito dalla decisione quadro 2009/315/GAI e dalla decisione 2009/316/GAI. Pertanto, con riguardo ai cittadini dell'Unione che possiedono anche la cittadinanza di un paese terzo, i dati relativi alle impronte digitali dovrebbero essere inclusi in ECRIS-TCN soltanto se sono state rilevate in conformità del diritto nazionale durante un procedimento penale, fermo restando che, per tale inclusione, gli Stati membri dovrebbero poter utilizzare i dati relativi alle impronte digitali rilevati a fini diversi da un procedimento penale, qualora tale uso sia autorizzato dal diritto nazionale.

(10)

ECRIS-TCN dovrebbe autorizzare il trattamento dei dati relativi alle impronte digitali allo scopo di individuare gli Stati membri in possesso di informazioni sul casellario giudiziale di un cittadino di paese terzo. Esso dovrebbe inoltre consentire il trattamento delle immagini del volto allo scopo di confermarne l'identità. È essenziale che l'inserimento e l'utilizzo dei dati relativi alle impronte digitali e delle immagini del volto non eccedano quanto strettamente necessario per raggiungere l'obiettivo perseguito, rispettino i diritti fondamentali, come pure l'interesse superiore del minore, e siano conformi alle norme applicabili dell'Unione in materia di protezione dei dati.

(11)

All'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA), istituita con regolamento (UE) 2018/1726 del Parlamento europeo e del Consiglio (5), dovrebbe essere affidato il compito di sviluppare e gestire ECRIS-TCN, in considerazione dell'esperienza che ha maturato nel gestire altri sistemi su larga scala nel settore della giustizia e degli affari interni. Ne dovrebbe essere modificato il mandato per tener conto di tali nuovi compiti.

(12)

eu-LISA dovrebbe essere dotata di finanziamenti e personale adeguati per esercitare le sue responsabilità a norma del presente regolamento.

(13)

Data la necessità di creare stretti collegamenti tecnici tra ECRIS-TCN ed ECRIS, a eu-LISA dovrebbe essere altresì affidato il compito di sviluppare ulteriormente e curare la manutenzione dell'implementazione di riferimento ECRIS, e il suo mandato dovrebbe essere modificato di conseguenza.

(14)

Quattro Stati membri hanno sviluppato il proprio software nazionale di attuazione ECRIS conformemente alla decisione 2009/316/GAI e lo stanno utilizzando al posto dell'attuazione di riferimento ECRIS per lo scambio di informazioni estratte dai casellari giudiziali. Tenuto conto delle particolari caratteristiche che tali Stati membri hanno introdotto nei loro sistemi a uso nazionale e degli investimenti da loro effettuati, essi dovrebbero essere autorizzati a utilizzare i propri software nazionali di attuazione ECRIS ai fini di ECRIS-TCN, purché siano rispettate le condizioni di cui al presente regolamento.

(15)

ECRIS-TCN dovrebbe limitarsi a contenere le informazioni sull'identità dei cittadini di paesi terzi che sono stati condannati da una giurisdizione penale nell'Unione. Tali informazioni sull'identità dovrebbero comprendere dati alfanumerici e dati relativi alle impronte digitali. Dovrebbe altresì essere possibile includere le immagini del volto, nella misura in cui il diritto dello Stato membro in cui è stata pronunciata una condanna consenta di raccogliere e conservare le immagini del volto della persona condannata.

(16)

È opportuno che i dati alfanumerici che gli Stati membri dovrebbero inserire nel sistema centrale includano il cognome e il nome o i nomi dell'interessato, nonché, se tali informazioni sono a disposizione dell'autorità centrale, eventuali pseudonimi o alias. Se lo Stato membro interessato è a conoscenza di altri dati personali differenti, come una grafia diversa di un nome in un altro alfabeto, dovrebbe essere possibile inserire tali dati potrebbero nel sistema centrale quali informazioni supplementari.

(17)

I dati alfanumerici dovrebbero inoltre includere, quali informazioni supplementari, il numero di identità, o il tipo e il numero dei documenti di identificazione dell'interessato, nonché la denominazione dell'autorità che rilascia tali documenti, se tali informazioni sono a disposizione dell'autorità centrale. Lo Stato membro dovrebbe cercare di verificare l'autenticità dei documenti di identificazione prima di inserire le informazioni pertinenti nel sistema centrale. In ogni caso, dal momento che tali informazioni potrebbero non essere affidabili, è opportuno utilizzarle con cautela.

(18)

Le autorità centrali dovrebbero usare ECRIS-TCN per individuare gli Stati membri in possesso di informazioni sul casellario giudiziale di un cittadino di paese terzo quando dette informazioni su tale persona sono richieste nello Stato membro in questione ai fini di un procedimento penale nei confronti di quella persona, oppure ai fini di cui al presente regolamento. Mentre ECRIS-TCN dovrebbe in linea di principio essere usato in tutti questi casi, l'autorità responsabile della conduzione di procedimenti penali dovrebbe poter decidere che ECRIS-TCN non debba essere usato quando non sia adeguato nelle circostanze del caso, per esempio, in alcuni tipi di procedimenti penali urgenti, nei casi di transito, nel caso in cui le informazioni sui casellari giudiziali siano state ottenute tramite ECRIS o in relazione a reati minori, in particolare le infrazioni minori in materia di circolazione, le violazioni minori dei regolamenti comunali generali e le violazioni minori dell'ordine pubblico.

(19)

Gli Stati membri dovrebbero poter usare ECRIS-TCN anche per fini diversi da quelli stabiliti nel presente regolamento, se previsto conformemente al diritto nazionale. Tuttavia, per una maggiore trasparenza sull'uso di ECRIS-TCN, gli Stati membri dovrebbero notificare tali fini diversi alla Commissione, la quale dovrebbe provvedere alla pubblicazione di tutte le notifiche nella Gazzetta ufficiale dell'Unione europea.

(20)

Dovrebbe altresì essere possibile per altre autorità che chiedono informazioni sui casellari giudiziali decidere che ECRIS-TCN non debba essere usato ove ciò non sia adeguato nelle circostanze del caso, per esempio quando devono essere effettuati determinati controlli amministrativi ordinari in merito alle qualifiche professionali di una persona, specie se è noto che non saranno richieste informazioni sui casellari giudiziali da altri Stati membri, a prescindere dal risultato dell'interrogazione di ECRIS-TCN. Tuttavia, ECRIS-TCN dovrebbe sempre essere usato quando la richiesta di informazioni sui casellari giudiziali proviene da una persona che chiede informazioni sul proprio casellario giudiziale, conformemente alla decisione quadro 2009/315/GAI, o quando è presentata per ottenere informazioni estratte dal casellario giudiziale conformemente alla direttiva 2011/93/UE del Parlamento europeo e del Consiglio (6).

(21)

I cittadini di paesi terzi dovrebbero avere il diritto di ottenere per iscritto informazioni sul proprio casellario giudiziale ai sensi del diritto dello Stato membro nel quale presentano la richiesta e conformemente alla decisione quadro 2009/315/GAI del Consiglio. Prima di fornire tali informazioni a un cittadino di paese terzo, lo Stato membro interessato dovrebbe interrogare ECRIS-TCN.

(22)

I cittadini dell'Unione che possiedono anche la cittadinanza di un paese terzo saranno inclusi in ECRIS-TCN soltanto se alle autorità competenti risulta che tali persone possiedono la cittadinanza di un paese terzo. Nel caso in cui alle autorità competenti non risulti che un cittadino dell'Unione possegga anche la cittadinanza di un paese terzo, è tuttavia possibile che la persona in questione sia stata oggetto di condanne precedenti in quanto cittadino di paese terzo. Per fare in modo che le autorità competenti abbiano un quadro completo dei casellari giudiziali, dovrebbe essere possibile interrogare ECRIS-TCN per verificare se, con riguardo a un cittadino dell'Unione, uno o più Stati membri siano in possesso di informazioni sul casellario giudiziale di tale persona in quanto cittadino di paese terzo.

(23)

Qualora si verifichi una corrispondenza tra i dati registrati nel sistema centrale e i dati usati da uno Stato membro per interrogare il sistema (riscontro positivo), il sistema dovrebbe fornire insieme al riscontro positivo anche le informazioni sull'identità corrispondenti. Il risultato dell'interrogazione dovrebbe essere utilizzato dalle autorità centrali, al solo scopo di introdurre una richiesta tramite ECRIS o dall'Agenzia dell'Unione europea per la cooperazione giudiziaria penale (Eurojust), istituita dal regolamento (UE) 2018/1727 del Parlamento europeo e del Consiglio (7), dall'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol), istituita dal regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio (8), e dall'Ufficio pubblico ministero europeo («EPPO»), istituito dal regolamento (UE) n. 2017/1939 del Consiglio (9), al solo scopo di introdurre una richiesta di informazioni sulle condanne di cui al presente regolamento.

(24)

In un primo tempo le immagini del volto incluse in ECRIS-TCN dovrebbero essere usate unicamente per confermare l'identità del cittadino di paese terzo allo scopo di individuare quali Stati membri siano in possesso di informazioni sulle condanne pronunciate a carico di tale cittadino di paese terzo. In futuro dovrebbe essere possibile utilizzare le immagini del volto in un confronto biometrico automatizzato, purché sussistano i requisiti previsti a tal fine a livello sia tecnico che politico. Tenuto conto di necessità e proporzionalità, nonché degli sviluppi tecnici nel settore del software di riconoscimento facciale, la Commissione dovrebbe valutare la disponibilità e lo stato di preparazione della tecnologia richiesta prima di adottare un atto delegato relativo all'uso delle immagini del volto per identificare i cittadini di paesi terzi, allo scopo di individuare quali Stati membri siano in possesso di informazioni sulle condanne pronunciate a carico di tali persone.

(25)

Il ricorso ai dati biometrici è necessario in quanto è il metodo più affidabile per identificare i cittadini di paesi terzi presenti nel territorio degli Stati membri, che spesso sono sprovvisti di documenti o altro mezzo di identificazione, e per un confronto più affidabile tra i dati relativi a tali cittadini.

(26)

Gli Stati membri dovrebbero inserire nel sistema centrale i dati relativi alle impronte digitali dei cittadini di paesi terzi condannati che sono stati rilevati conformemente al diritto nazionale nel corso di procedimenti penali. Per poter disporre, nel sistema centrale, di informazioni sull'identità quanto più complete possibile, gli Stati membri dovrebbero anche poter inserire nel sistema centrale i dati relativi alle impronte digitali che sono stati rilevati per fini diversi da un procedimento penale, qualora tali dati relativi alle impronte digitali siano disponibili per essere utilizzati in procedimenti penali conformemente al diritto nazionale.

(27)

Il presente regolamento dovrebbe stabilire criteri minimi per quanto riguarda i dati relativi alle impronte digitali che gli Stati membri dovrebbero inserire nel sistema centrale. Agli Stati membri dovrebbe essere data la scelta tra l'inserimento dei dati relativi alle impronte digitali di cittadini di paesi terzi cui è stata comminata una pena detentiva di almeno sei mesi o l'inserimento dei dati relativi alle impronte digitali di cittadini di paesi terzi che sono stati condannati per un reato punibile conformemente al diritto dello Stato membro interessato con una pena detentiva della durata massima non inferiore a 12 mesi.

(28)

Gli Stati membri dovrebbero creare in ECRIS-TCN registri di dati concernenti i cittadini di paesi terzi condannati. Ove possibile, ciò dovrebbe essere fatto automaticamente e senza ingiustificato ritardo dopo l'iscrizione della condanna nel casellario giudiziale nazionale. Gli Stati membri dovrebbero, conformemente al presente regolamento, inserire nel sistema centralizzato i dati alfanumerici e dati relativi alle impronte digitali relativamente alle condanne pronunciate dopo la data d'inizio dell'inserimento dei dati in ECRIN-TCN. A decorrere dalla stessa data, e in qualsiasi momento successivo, gli Stati membri dovrebbero poter inserire immagini del volto nel sistema centrale.

(29)

Gli Stati membri dovrebbero altresì, a norma del presente regolamento, creare in ECRIS-TCN registri di dati concernenti i cittadini di paesi terzi condannati prima della data di inizio dell'inserimento dei dati, al fine di garantire la massima efficacia del sistema. Tuttavia, a tali fini non dovrebbe essere fatto obbligo agli Stati membri di raccogliere informazioni che non figuravano già nei rispettivi casellari giudiziali prima della data di inizio dell'inserimento dei dati. I dati relativi alle impronte digitali dei cittadini di paesi terzi raccolte in relazione a tali condanne precedenti dovrebbero essere incluse soltanto se sono state rilevate nel corso di procedimenti penali e se lo Stato membro interessato reputa possibile stabilire una chiara corrispondenza con altre informazioni sulle identità contenute nei casellari giudiziali.

(30)

Un migliore scambio delle informazioni sulle condanne dovrebbe aiutare gli Stati membri nell'attuazione della decisione quadro 2008/675/GAI, che prescrive loro di prendere in considerazione le precedenti condanne in altri Stati membri nel corso di un nuovo procedimento penale, nella misura in cui le precedenti condanne a livello nazionale siano prese in considerazione conformemente al diritto nazionale.

(31)

Un riscontro positivo rilevato da ECRIS-TCN non dovrebbe di per sé implicare che il cittadino di paese terzo interessato è stato condannato negli Stati membri che sono indicati. La conferma che esistono precedenti condanne dovrebbe risultare unicamente dalle informazioni ricevute dai casellari giudiziali degli Stati membri interessati.

(32)

Nonostante la possibilità di avvalersi di programmi finanziari dell'Unione in conformità delle norme applicabili, ogni Stato membro dovrebbe sostenere i propri costi per l'attuazione, la gestione, l'uso e la manutenzione delle banche dati nazionali di casellari giudiziali e di impronte digitali e per l'attuazione, la gestione, l'uso e la manutenzione degli adeguamenti tecnici necessari per usare ECRIS-TCN, comprese le connessioni al punto di accesso centrale nazionale.

(33)

Eurojust, Europol ed EPPO dovrebbero avere accesso a ECRIS-TCN al fine di individuare gli Stati membri in possesso di informazioni sul casellario giudiziale di un cittadino di paese terzo, ai fini dello svolgimento dei loro compiti statutari. Eurojust dovrebbe inoltre avere accesso diretto a ECRIS-TCN ai fini dello svolgimento del proprio compito a norma del presente regolamento, di agire da punto di contatto per i paesi terzi e le organizzazioni internazionali, fatta salva l'applicazione dei principi della cooperazione giudiziaria in materia penale, incluse le norme sull'assistenza giudiziaria reciproca. Se, da un lato, è opportuno tenere conto della posizione degli Stati membri che non partecipano alla procedura di cooperazione rafforzata sull'istituzione dell'EPPO, dall'altro all'EPPO non dovrebbe essere negato l'accesso a informazioni relative alle condanne per il solo motivo che lo Stato membro interessato non partecipa a detta cooperazione rafforzata.

(34)

Il presente regolamento stabilisce rigorose norme di accesso a ECRIS-TCN e le necessarie garanzie, compresa la responsabilità degli Stati membri nel raccogliere e usare i dati. Esso stabilisce inoltre le modalità con cui i singoli possono esercitare i loro diritti in materia di risarcimento, accesso, rettifica, cancellazione e ricorso, in particolare il diritto a un ricorso effettivo e il controllo del trattamento dei dati da parte di autorità pubbliche indipendenti. Il presente regolamento rispetta pertanto diritti e libertà fondamentali sanciti, in particolare, nella Carta dei diritti fondamentali dell'Unione europea, compresi il diritto alla protezione dei dati di carattere personale, il principio dell'uguaglianza davanti alla legge e il divieto generale di discriminazione. A tale proposito, esso tiene anche conto della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, del Patto internazionale relativo ai diritti civili e politici e degli altri obblighi di diritto internazionale in materia di diritti umani.

(35)

La direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (10) dovrebbe applicarsi al trattamento dei dati personali da parte delle autorità nazionali competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e la prevenzione delle stesse. Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (11) dovrebbe applicarsi al trattamento dei dati personali da parte delle autorità nazionali quando tale trattamento non rientra nell'ambito di applicazione della direttiva (UE) 2016/680. Dovrebbe essere assicurato il controllo coordinato a norma del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (12), il quale dovrebbe applicarsi anche al trattamento dei dati personali da parte di eu-LISA.

(36)

Per quanto riguarda le condanne precedenti, le autorità centrali dovrebbero inserire i dati alfanumerici entro la scadenza del termine per l'inserimento dei dati a norma del presente regolamento e i dati relativi alle impronte digitali entro due anni dalla data di entrata in funzione di ECRIS-TCN. Gli Stati membri dovrebbero poter inserire tutti i dati contemporaneamente, a condizione di rispettare tali termini.

(37)

È opportuno stabilire norme relative alla responsabilità degli Stati membri, dell'Eurojust, di Europol, dell'EPPO e di eu-LISA per eventuali danni derivanti dalla violazione del presente regolamento.

(38)

Per migliorare l'individuazione degli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 del trattato sul funzionamento dell'Unione europea (TFUE) per integrare il presente regolamento prevedendo l'uso delle immagini del volto ai fini dell'identificazione di cittadini di paesi terzi in modo da individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (13). In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione degli atti delegati.

(39)

Al fine di garantire condizioni uniformi per l'istituzione e la gestione operativa di ECRIS-TCN, dovrebbero essere attribuite alla Commissione competenze di esecuzione. Tali competenze dovrebbero essere esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (14).

(40)

Gli Stati membri dovrebbero quanto prima adottare le misure necessarie per conformarsi al presente regolamento in modo da garantire il corretto funzionamento di ECRIS-TCN, tenuto conto del tempo necessario a eu-LISA per sviluppare e realizzare ECRIS-TCN. Tuttavia, gli Stati membri dovrebbero disporre almeno di 36 mesi dall'entrata in vigore del presente regolamento per adottare le misure necessarie a conformarvisi.

(41)

Poiché l'obiettivo del presente regolamento, vale a dire consentire uno scambio rapido ed efficace di informazioni esatte estratte dal casellario giudiziale relative ai cittadini di paesi terzi, non può essere conseguito in misura sufficiente dagli Stati membri ma, attuando norme comuni, può essere conseguito meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea (TUE). Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(42)

A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca, allegato al TUE e al TFUE, la Danimarca non partecipa all'adozione del presente regolamento, non è da esso vincolata, né è soggetta alla sua applicazione.

(43)

A norma degli articoli 1 e 2 e dell'articolo 4 bis, paragrafo 1, del protocollo n. 21 sulla posizione del Regno Unito e dell'Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al TUE e al TFUE, e fatto salvo l'articolo 4 di tale protocollo, l'Irlanda non partecipa all'adozione del presente regolamento, non è da esso vincolata, né è soggetta alla sua applicazione.

(44)

A norma dell'articolo 3 e dell'articolo 4 bis, paragrafo 1, del protocollo n. 21, il Regno Unito ha notificato che desidera partecipare all'adozione e all'applicazione del presente regolamento.

(45)

Il garante europeo della protezione dei dati è stato consultato a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (15) e ha espresso un parere il 12 dicembre 2017 (16),

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPITOLO I

Disposizioni generali

Articolo 1

Oggetto

Il presente regolamento stabilisce:

a)

un sistema per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi («ECRIS-TCN»);

b)

le condizioni alle quali ECRIS-TCN è usato dalle autorità centrali al fine di ottenere informazioni su tali condanne precedenti attraverso il sistema europeo di informazione sui casellari giudiziali (ECRIS) istituito con decisione 2009/316/GAI, nonché le condizioni alle quali l'Eurojust, l'Europol e l'EPPO usano ECRIS-TCN.

Articolo 2

Ambito di applicazione

Il presente regolamento si applica al trattamento delle informazioni sull'identità di cittadini di paesi terzi che siano stati oggetto di condanne negli Stati membri, allo scopo di individuare gli Stati membri in cui sono state pronunciate tali condanne. A eccezione dell'articolo 5, paragrafo 1, lettera b), punto ii), le disposizioni del presente regolamento che si applicano ai cittadini di paesi terzi si applicano altresì ai cittadini dell'Unione che possiedono anche la cittadinanza di un paese terzo e sono stati oggetto di condanne negli Stati membri.

Articolo 3

Definizioni

Ai fini del presente regolamento si applicano le seguenti definizioni:

1)

«condanna», la decisione definitiva di una giurisdizione penale nei confronti di una persona fisica in relazione a un reato, nella misura in cui tale decisione sia riportata nel casellario giudiziale dello Stato membro di condanna;

2)

«procedimento penale», la fase precedente al processo penale, la fase del processo penale stesso e l'esecuzione della condanna;

3)

«casellario giudiziale», il registro nazionale o i registri nazionali in cui le condanne sono registrate conformemente al diritto nazionale;

4)

«Stato membro di condanna», lo Stato membro in cui è stata pronunciata una condanna;

5)

«autorità centrale», un'autorità designata conformemente all'articolo 3, paragrafo 1, della decisione quadro 2009/315/GAI;

6)

«autorità competenti», le autorità centrali ed Eurojust, Europol ed EPPO che sono competenti per accedere a ECRIS-TCN o per interrogarlo a norma del presente regolamento;

7)

«cittadino di paese terzo», chiunque non sia cittadino dell'Unione ai sensi dell'articolo 20, paragrafo 1, TFUE, l'apolide o qualsiasi persona la cui cittadinanza è ignota;

8)

«sistema centrale», la banca o le banche dati, il cui sviluppo e la cui manutenzione fanno capo a eu-LISA, che detiene le informazioni sull'identità di cittadini di paesi terzi che sono stati oggetto di condanne negli Stati membri;

9)

«software di interfaccia», il software ospitato dalle autorità competenti che consente loro di accedere al sistema centrale tramite l'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d);

10)

«informazioni sull'identità», i dati alfanumerici, i dati relativi alle impronte digitali e le immagini del volto utilizzati per stabilire una connessione tra tali dati e una persona fisica;

11)

«dati alfanumerici», i dati rappresentati da lettere, cifre, caratteri speciali, spazi e segni di punteggiatura;

12)

«dati relativi alle impronte digitali», i dati relativi alle impressioni piatte e rollate delle impronte digitali di ciascun dito di una persona;

13)

«immagine del volto», le immagini digitalizzate del volto di una persona;

14)

«riscontro positivo», la o le corrispondenze constatate, sulla base di un confronto, tra le informazioni sull'identità registrate nel sistema centrale e le informazioni sull'identità usate per interrogare il sistema;

15)

«punto di accesso centrale nazionale», il punto nazionale di connessione all'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d);

16)

«implementazione di riferimento ECRIS», il software sviluppato dalla Commissione e messo a disposizione degli Stati membri per lo scambio delle informazioni sui casellari giudiziali tramite ECRIS;

17)

«autorità nazionale di controllo», un'autorità pubblica indipendente istituita da uno Stato membro in conformità delle norme dell'Unione in materia di protezione dei dati;

18)

«autorità di controllo», il Garante europeo della protezione dei dati e le autorità nazionali di controllo.

Articolo 4

Architettura tecnica di ECRIS-TCN

1.   ECRIS-TCN consta di:

a)

un sistema centrale in cui sono conservate le informazioni sull'identità dei cittadini di paesi terzi condannati;

b)

un punto di accesso centrale nazionale in ciascuno Stato membro;

c)

un software di interfaccia che connette le autorità competenti al sistema centrale tramite il punto di accesso centrale nazionale e l'infrastruttura di comunicazione di cui alla lettera d);

d)

un'infrastruttura di comunicazione tra il sistema centrale e il punto di accesso centrale nazionale.

2.   Il sistema centrale è ospitato da eu-LISA presso i suoi siti tecnici.

3.   Il software di interfaccia è integrato con l'attuazione di riferimento ECRIS. Gli Stati membri usano l'attuazione di riferimento ECRIS o, nella situazione e alle condizioni di cui ai paragrafi da 4 a 8, il software nazionale di attuazione ECRIS, per interrogare ECRIS-TCN e per trasmettere le successive richieste di informazioni sui casellari giudiziali.

4.   Gli Stati membri che utilizzano il proprio software nazionale di attuazione ECRIS sono tenuti a garantire che esso consenta alle loro autorità nazionali incaricate dei casellari giudiziali di utilizzare ECRIS-TCN, a eccezione del software di interfaccia, conformemente al presente regolamento. A tale scopo, prima della data di entrata in funzione di ECRIS-TCN ai sensi dell'articolo 35, paragrafo 4, essi garantiscono che il loro software nazionale di attuazione ECRIS funzioni conformemente ai protocolli e alle specifiche tecniche definite negli atti di esecuzione di cui all'articolo 10 e a eventuali altri requisiti tecnici definiti da eu-LISA ai sensi del presente regolamento basati su detti atti di esecuzione.

5.   Fintanto che non usano l'attuazione di riferimento ECRIS, gli Stati membri che usano il proprio software nazionale di attuazione ECRIS garantiscono inoltre l'introduzione nel loro software nazionale di attuazione ECRIS dei successivi adattamenti tecnici resi necessari da eventuali modifiche delle specifiche tecniche definite negli atti di esecuzione di cui all'articolo 10 o da modifiche di eventuali altri requisiti tecnici definiti da eu-LISA ai sensi del presente regolamento basati su detti atti di esecuzione, senza ingiustificato ritardo.

6.   Gli Stati membri che usano il proprio software nazionale di attuazione ECRIS sostengono tutte le spese associate all'attuazione, alla manutenzione e all'ulteriore sviluppo del loro software nazionale di attuazione ECRIS e alla sua interconnessione con ECRIS-TCN, con l'eccezione del software di interfaccia.

7.   Qualora uno Stato membro che usa il proprio software di attuazione ECRIS non sia in grado di conformarsi agli obblighi di cui al presente articolo, ha l'obbligo di usare l'attuazione di riferimento ECRIS, incluso il software di interfaccia integrato, per avvalersi di ECRIS-TCN.

8.   Alla luce della valutazione che la Commissione è tenuta a effettuare ai sensi dell'articolo 36, paragrafo 10, lettera b), gli Stati membri interessati forniscono alla Commissione tutte le informazioni necessarie.

CAPITOLO II

Inserimento e uso dei dati da parte delle autorità centrali

Articolo 5

Inserimento dei dati in ECRIS-TCN

1.   Per ciascun cittadino di paese terzo condannato l'autorità centrale dello Stato membro di condanna crea una registrazione di dati nel sistema centrale. Tale registrazione di dati comprende:

a)

per quanto riguarda i dati alfanumerici:

i)

informazioni da includere a meno che, in singoli casi, tali informazioni non siano note all'autorità centrale (informazioni obbligatorie):

cognome;

nome o nomi;

data di nascita;

luogo di nascita (città e paese);

la o le cittadinanze;

sesso;

nomi precedenti, se del caso;

codice dello Stato membro di condanna;

ii)

informazioni da includere se sono state inserite nel casellario giudiziale (informazioni facoltative):

nome dei genitori;

iii)

informazioni da includere se sono a disposizione dell'autorità centrale (informazioni supplementari):

numero di identità, o tipo e numero del documento di identificazione dell'interessato, nonché denominazione dell'autorità di rilascio;

eventuali pseudonimi o alias;

b)

per quanto riguarda i dati relativi alle impronte digitali:

i)

dati relativi alle impronte digitali che sono stati rilevati conformemente al diritto nazionale nel corso di procedimenti penali;

ii)

come minimo, dati relativi alle impronte digitali rilevati in base a uno dei seguenti criteri:

se il cittadino di paese terzo è stato condannato a una pena detentiva di almeno sei mesi;

o

se il cittadino di paese terzo è stato condannato per un reato punibile, a norma del diritto dello Stato membro, con una pena detentiva della durata massima non inferiore a 12 mesi.

2.   I dati relativi alle impronte digitali di cui al paragrafo 1, lettera b), del presente articolo devono soddisfare le specifiche tecniche per la qualità, la risoluzione e il trattamento dei dati relativi alle impronte digitali previste negli atti di esecuzione di cui all'articolo 10, paragrafo 1, lettera b). Il numero di riferimento dei dati relativi alle impronte digitali della persona condannata include il codice dello Stato membro di condanna.

3.   La registrazione di dati può contenere anche le immagini del volto del cittadino di paese terzo condannato, qualora il diritto dello Stato membro di condanna consenta di raccogliere e conservare le immagini del volto delle persone condannate.

4.   Lo Stato membro di condanna crea la registrazione di dati automaticamente, ove possibile, e senza ingiustificato ritardo dopo l'iscrizione della condanna nel casellario giudiziale.

5.   Gli Stati membri di condanna creano inoltre la registrazione di dati per le condanne pronunciate prima della data di entrata in funzione dei dati ai sensi dell'articolo 35, paragrafo 1, nella misura in cui i dati relativi alle persone condannate sono conservati nelle loro banche dati nazionali. In tali casi i dati relativi alle impronte digitali devono essere inclusi soltanto se sono state rilevate nel corso di procedimenti penali conformemente al diritto nazionale e se è possibile stabilire una chiara corrispondenza con altre informazioni sull'identità contenute nei casellari giudiziali.

6.   Al fine di rispettare gli obblighi di cui al paragrafo 1, lettera b), punti i) e ii), e al paragrafo 5, gli Stati membri possono utilizzare i dati relativi alle impronte digitali rilevate a fini diversi da un procedimento penale, qualora tale uso sia autorizzato dal diritto nazionale.

Articolo 6

Immagini del volto

1.   Fino all'entrata in vigore dell'atto delegato di cui al paragrafo 2, le immagini del volto possono essere utilizzate al solo scopo di confermare l'identità del cittadino di paese terzo identificato grazie all'interrogazione con dati alfanumerici o con dati relativi alle impronte digitali.

2.   Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 37 al fine di integrare il presente regolamento per quanto riguarda l'uso delle immagini del volto ai fini dell'identificazione di cittadini di paesi terzi in modo da individuare, quando sarà possibile a livello tecnico, gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di tali persone. Prima di esercitare tale potere, la Commissione valuta, tenendo conto della necessità e della proporzionalità, nonché degli sviluppi tecnici nel settore del software di riconoscimento facciale, la disponibilità e lo stato di preparazione della tecnologia necessaria.

Articolo 7

Utilizzo di ECRIS-TCN per individuare gli Stati membri in possesso di informazioni sui casellari giudiziali

1.   Le autorità centrali usano ECRIS-TCN per individuare gli Stati membri in possesso di informazioni sul casellario giudiziale di un cittadino di paese terzo, al fine di ottenere informazioni sulle precedenti condanne tramite ECRIS, quando dette informazioni su tale persona sono richieste nello Stato membro in questione ai fini di un procedimento penale nei confronti di quella persona o per uno qualsiasi dei seguenti fini, se previsto conformemente al diritto nazionale:

permettere a una persona, su sua richiesta, di verificare il proprio casellario giudiziale;

rilasciare nulla osta di sicurezza;

ottenere una licenza o un permesso;

effettuare indagini di sicurezza a fini occupazionali;

effettuare indagini di sicurezza in vista di attività di volontariato che prevedono contatti diretti e regolari con minori o persone vulnerabili;

espletare le procedure in materia di visti, acquisizione della cittadinanza e migrazione, comprese quelle di asilo; ed

effettuare controlli in relazione ad appalti pubblici e concorsi pubblici.

Ciononostante, in casi specifici diversi da quelli in cui un cittadino di paese terzo chiede all'autorità centrale informazioni sul proprio casellario, o quando la richiesta è presentata per ottenere informazioni dal casellario giudiziale a norma dell'articolo 10, paragrafo 2, della direttiva 2011/93/UE, l'autorità che chiede informazioni sui casellari giudiziali può decidere che tale uso di ECRIS-TCN non è adeguato.

2.   Uno Stato membro che decida, se previsto conformemente al diritto nazionale, di usare ECRIS-TCN per fini diversi da quelli indicati al paragrafo 1, allo scopo di ottenere informazioni su precedenti condanne tramite ECRIS, entro la data di entrata in funzione di cui all'articolo 35, paragrafo 4, o successivamente, notifica alla Commissione tali fini e le eventuali modifiche. La Commissione pubblica altresì tali notifiche nella Gazzetta ufficiale dell'Unione europea entro 30 giorni dal ricevimento della notifica.

3.   Eurojust, Europol ed EPPO sono legittimati a interrogare ECRIS-TCN per individuare gli Stati membri in possesso di informazioni sul casellario giudiziale di un cittadino di paese terzo in conformità degli articoli da 14 a 18. Ciononostante, non inseriscono, rettificano o cancellano dati in ECRIS-TCN.

4.   Ai fini di cui ai paragrafi 1, 2 e 3, le autorità competenti possono inoltre interrogare ECRIS-TCN per verificare se, con riguardo a un cittadino dell'Unione, uno o più Stati membri siano in possesso di informazioni sul casellario giudiziale di tale persona in quanto cittadino di paese terzo.

5.   Quando interrogano ECRIS-TCN, le autorità competenti possono usare tutti o soltanto alcuni dei dati di cui all'articolo 5, paragrafo 1. L'insieme minimo di dati necessari per interrogare il sistema è specificato in un atto di esecuzione adottato in conformità dell'articolo 10, paragrafo 1, lettera g).

6.   Le autorità competenti possono interrogare ECRIS-TCN anche usando le immagini del volto, sempreché tale funzionalità sia stata attuata a norma dell'articolo 6, paragrafo 2.

7.   In caso di riscontro positivo, il sistema centrale trasmette automaticamente all'autorità competente le informazioni sugli Stati membri in possesso di informazioni sul casellario giudiziale del cittadino di paese terzo, insieme con i numeri di riferimento associati ed eventuali corrispondenti informazioni sull'identità. Tali informazioni sull'identità sono utilizzate al solo scopo di verificare l'identità del cittadino di paese terzo interessato. Il risultato di un'interrogazione del sistema centrale può essere utilizzato al solo scopo di introdurre una richiesta ai sensi dell'articolo 6 della decisione quadro 2009/315/GAI o una richiesta di cui all'articolo 17, paragrafo 3, del presente regolamento.

8.   In assenza di riscontro positivo, il sistema centrale ne informa automaticamente l'autorità competente.

CAPITOLO III

Conservazione e modifica dei dati

Articolo 8

Periodo di conservazione dei dati

1.   Ciascuna registrazione record di dati è conservata nel sistema centrale fintanto che i dati relativi alla condanna o alle condanne pronunciate a carico dell'interessato sono conservati nel casellario giudiziale.

2.   Allo scadere del periodo di conservazione di cui al paragrafo 1, l'autorità centrale dello Stato membro di condanna cancella dal sistema centrale la registrazione di dati, incluse le impronte digitali e le immagini del volto. La cancellazione avviene automaticamente, se possibile, e in ogni caso non oltre un mese dalla scadenza del periodo di conservazione.

Articolo 9

Modifica e cancellazione dei dati

1.   Gli Stati membri possono modificare o cancellare i dati da essi inseriti in ECRIS-TCN.

2.   Qualsiasi modifica delle informazioni nei casellari giudiziali che hanno generato una registrazione di dati ai sensi dell'articolo 5 include un'identica modifica, senza ingiustificato ritardo, da parte dello Stato membro di condanna, delle informazioni conservate in tale registrazione di dati nel sistema centrale.

3.   Qualora abbia ragione di credere che i dati registrati nel sistema centrale sono inesatti o che sono stati trattati nel sistema centrale in violazione del presente regolamento, lo Stato membro di condanna:

a)

avvia immediatamente una procedura di verifica dell'esattezza dei dati in questione o, se del caso, della liceità del proprio trattamento;

b)

ove necessario, rettifica o cancella, senza ingiustificato ritardo, i dati dal sistema centrale.

4.   Ove uno Stato membro diverso dallo Stato membro di condanna che ha introdotto i dati abbia ragione di credere che i dati registrati nel sistema centrale sono inesatti o che sono stati trattati nel sistema centrale in violazione del presente regolamento, esso contatta senza ingiustificato ritardo l'autorità centrale dello Stato membro di condanna.

Lo Stato membro di condanna:

a)

avvia immediatamente una procedura di verifica dell'esattezza dei dati in questione o, se del caso, della liceità del loro trattamento;

b)

se necessario, rettifica o cancella dal sistema centrale senza ingiustificato ritardo i dati in questione;

c)

informa senza ingiustificato ritardo l'altro Stato membro dell'avvenuta rettifica o cancellazione dei dati, o dei motivi per cui i dati non sono stati rettificati né cancellati.

CAPITOLO V

Sviluppo, funzionamento e responsabilità

Articolo 10

Adozione di atti di esecuzione da parte della Commissione

1.   La Commissione adotta gli atti di esecuzione necessari allo sviluppo tecnico e all'attuazione di ECRIS-TCN quanto prima, in particolare atti riguardanti:

a)

le specifiche tecniche per il trattamento dei dati alfanumerici;

b)

le specifiche tecniche per la qualità, la risoluzione e il trattamento delle impronte digitali;

c)

le specifiche tecniche del software di interfaccia;

d)

le specifiche tecniche per la qualità, la risoluzione e il trattamento delle immagini del volto per gli scopi e alle condizioni di cui all'articolo 6;

e)

la qualità dei dati, compreso un meccanismo e procedure per lo svolgimento dei controlli di qualità;

f)

l'inserimento dei dati conformemente all'articolo 5;

g)

l'accesso e l'interrogazione di ECRIS-TCN conformemente all'articolo 7;

h)

la modifica e la cancellazione dei dati conformemente agli articoli 8 e 9;

i)

la conservazione dei registri e l'accesso a essi conformemente all'articolo 31;

j)

il funzionamento dell'archivio centrale e le norme in materia di sicurezza e protezione dei dati applicabili all'archivio conformemente all'articolo 32;

k)

l'elaborazione di statistiche conformemente all'articolo 32;

l)

i requisiti di funzionamento e di disponibilità di ECRIS-TCN, tra cui specifiche e requisiti minimi sulle prestazioni biometriche di ECRIS-TCN, in particolare per quanto riguarda il tasso di falsa identificazione positiva e il tasso di falsa identificazione negativa richiesti.

2.   Gli atti di esecuzione di cui al paragrafo 1 sono adottati secondo la procedura di esame di cui all'articolo 38, paragrafo 2.

Articolo 11

Sviluppo e gestione operativa di ECRIS-TCN

1.   eu-Lisa è responsabile dello sviluppo dia ECRIS-TCN conformemente al principio della protezione dei dati fin dalla progettazione e per impostazione predefinita. eu-Lisa è altresì responsabile della gestione operativa di ECRIS-TCN. Lo sviluppo comporta l'elaborazione e l'applicazione delle specifiche tecniche, il collaudo e il coordinamento generale del progetto.

2.   eu-Lisa è inoltre responsabile dello sviluppo ulteriore e della manutenzione dell'attuazione di riferimento ECRIS.

3.   eu-LISA definisce la progettazione dell'architettura fisica di ECRIS-TCN, comprese le specifiche tecniche e l'evoluzione per quanto riguarda il sistema centrale, il punto di accesso centrale nazionale e il software d'interfaccia. La progettazione è adottata dal suo consiglio di amministrazione, previo parere favorevole della Commissione.

4.   eu-LISA sviluppa e realizza ECRIS-TCN quanto prima dopo l'entrata in vigore del presente regolamento e dopo l'adozione da parte della Commissione degli atti di esecuzione di cui all'articolo 10.

5.   Prima della fase di progettazione e di sviluppo di ECRIS-TCN, il consiglio di amministrazione di eu-LISA istituisce un consiglio di gestione del programma composto di dieci membri.

Il consiglio di gestione del programma è costituito da otto membri nominati dal consiglio di amministrazione, dal presidente del gruppo consultivo di cui all'articolo 39 e da un membro nominato dalla Commissione. I membri nominati dal consiglio di amministrazione sono eletti soltanto tra gli Stati membri che sono pienamente vincolati in base al diritto dell'Unione dagli strumenti legislativi che disciplinano ECRIS e che parteciperanno a ECRIS-TCN. Il consiglio di amministrazione garantisce che i membri da esso nominati al consiglio di gestione del programma dispongano dell'esperienza e delle competenze necessarie in termini di sviluppo e gestione di sistemi IT a sostegno delle autorità giudiziarie e delle autorità incaricate dei casellari giudiziali.

eu-LISA partecipa ai lavori del consiglio di gestione del programma. A tal fine, rappresentanti di eu-LISA prendono parte alle riunioni del consiglio di gestione del programma allo scopo di riferire in merito ai lavori relativi alla progettazione e allo sviluppo di ECRIS-TCN e a eventuali altri lavori e attività correlati.

Il consiglio di gestione del programma si riunisce almeno una volta a trimestre e più spesso se necessario. Esso garantisce l'adeguata gestione della fase di progettazione e di sviluppo di ECRIS-TCN e la coerenza tra il progetto centrale e i progetti nazionali dell'ECRIS-TCN, e con il software nazionale di attuazione di ECRIS. Il consiglio di gestione del programma presenta regolarmente e se possibile mensilmente, relazioni scritte al consiglio di amministrazione di eu-LISA sui progressi del progetto. Il consiglio di gestione del programma non ha potere decisionale né mandato di rappresentare i membri del consiglio di amministrazione.

6.   Il consiglio di gestione del programma stabilisce il suo regolamento interno, che comprende in particolare disposizioni concernenti:

a)

la presidenza;

b)

i luoghi di riunione;

c)

la preparazione delle riunioni;

d)

l'ammissione di esperti alle riunioni;

e)

i piani di comunicazione atti a garantire che siano tenuti completamente informati i membri non partecipanti del consiglio di amministrazione.

7.   La presidenza del consiglio di gestione del programma è esercitata da uno Stato membro che è pienamente vincolato, conformemente al diritto dell'Unione, dagli strumenti legislativi che disciplinano ECRIS e dagli strumenti legislativi che disciplinano lo sviluppo, l'istituzione, il funzionamento e l'uso di tutti i sistemi IT su larga scala gestiti da eu-LISA.

8.   Tutte le spese di viaggio e di soggiorno sostenute dai membri del consiglio di gestione del programma sono a carico di eu-LISA. L'articolo 10 del regolamento interno di eu-LISA si applica mutatis mutandis. Il segretariato del consiglio di gestione del programma è assicurato da eu-LISA.

9.   In fase di progettazione e di sviluppo, il gruppo consultivo di cui all'articolo 39 è composto dei responsabili di progetto nazionali di ECRIS-TCN ed è presieduto da eu-LISA. In fase di progettazione e di sviluppo esso si riunisce regolarmente, se possibile almeno una volta al mese, fino all'entrata in funzione di ECRIS-TCN. Dopo ciascuna riunione, riferisce al consiglio di gestione del programma. Fornisce la consulenza tecnica a sostegno delle attività del consiglio di gestione del programma e monitora lo stato di preparazione degli Stati membri.

10.   Al fine di garantire la riservatezza e l'integrità in qualsiasi momento dei dati conservati in ECRIS-TCN, eu-LISA, in cooperazione con gli Stati membri, prevede idonee misure tecniche e organizzative, tenendo conto dello stato dell'arte, del costo relativo all'attuazione e dei rischi associati al trattamento.

11.   eu-LISA è responsabile dei seguenti compiti relativi all'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d):

a)

controllo;

b)

sicurezza;

c)

coordinamento delle relazioni tra gli Stati membri e il gestore dell'infrastruttura di comunicazione.

12.   La Commissione è responsabile di tutti gli altri compiti connessi con l'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d), in particolare:

a)

compiti relativi all'esecuzione del bilancio;

b)

acquisizione e rinnovo;

c)

aspetti contrattuali.

13.   eu-LISA sviluppa e mantiene un meccanismo e procedure per lo svolgimento dei controlli di qualità sui dati conservati in ECRIS-TCN e riferisce periodicamente agli Stati membri. eu-LISA riferisce periodicamente alla Commissione in merito ai problemi incontrati e agli Stati membri interessati.

14.   La gestione operativa di ECRIS-TCN consiste nell'insieme dei compiti necessari per garantirne l'operatività in conformità del presente regolamento e comprende, in particolare, la manutenzione e gli adeguamenti tecnici necessari per garantire che ECRIS-TCN funzioni a un livello soddisfacente conformemente alle specifiche tecniche.

15.   eu-LISA svolge compiti relativi alla formazione sull'uso tecnico di ECRIS-TCN e dell'attuazione di riferimento ECRIS.

16.   Fatto salvo l'articolo 17 dello statuto dei funzionari dell'Unione europea di cui al regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio (17), eu-LISA applica a tutti i membri del proprio personale che devono lavorare con i dati registrati nel sistema centrale adeguate norme in materia di segreto professionale o altri doveri equivalenti di riservatezza. Questo obbligo vincola tale personale anche dopo che ha lasciato l'incarico o cessato di lavorare, ovvero portato a termine le sue attività.

Articolo 12

Responsabilità degli Stati membri

1.   Ciascuno Stato membro è responsabile di quanto segue:

a)

una connessione sicura tra le banche dati nazionali di casellari giudiziali e di impronte digitali e il punto di accesso centrale nazionale;

b)

lo sviluppo, il funzionamento e la manutenzione della connessione di cui alla lettera a);

c)

una connessione tra il sistema nazionale e l'attuazione di riferimento ECRIS;

d)

la gestione e le modalità di accesso a ECRIS-TCN del personale debitamente autorizzato delle autorità centrali a norma del presente regolamento, nonché la compilazione e l'aggiornamento periodico di un elenco di tale personale con le qualifiche. di cui all'articolo 19, paragrafo 3, lettera g).

2.   Ciascuno Stato membro provvede affinché il personale della sua autorità centrale con diritto di accesso a ECRIS-TCN riceva una formazione adeguata che riguardi, in particolare, le norme di sicurezza e di protezione dei dati e i diritti fondamentali applicabili, prima di autorizzarli a trattare dati conservati nel sistema centrale.

Articolo 13

Responsabilità per l'uso dei dati

1.   Conformemente alle norme applicabili dell'Unione in materia di protezione dei dati, ciascuno Stato membro garantisce che i dati registrati in ECRIS-TCN siano trattati lecitamente e, in particolare, che:

a)

soltanto il personale debitamente autorizzato abbia accesso ai dati per assolvere i propri compiti;

b)

i dati siano raccolti lecitamente e nel pieno rispetto della dignità umana e dei diritti fondamentali del cittadino di paese terzo;

c)

i dati siano inseriti lecitamente in ECRIS-TCN;

d)

i dati inseriti in ECRIS-TCN siano esatti e aggiornati.

2.   eu-LISA garantisce che ECRIS-TCN sia gestito conformemente al presente regolamento, agli atti delegati di cui all'articolo 6, paragrafo 2, e agli atti di esecuzione di cui all'articolo 10, nonché conformemente al regolamento (UE) 2018/1725. In particolare eu-LISA adotta le misure necessarie per garantire la sicurezza del sistema centrale e dell'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d), fatte salve le responsabilità di ciascuno Stato membro.

3.   eu-LISA informa il Parlamento europeo, il Consiglio, la Commissione e il garante europeo della protezione dei dati il più presto possibile delle misure adottate in conformità del paragrafo 2 in vista dell'entrata in funzione dia ECRIS-TCN.

4.   La Commissione mette a disposizione degli Stati membri e del pubblico, mantenendo regolarmente aggiornato il sito web, le informazioni di cui al paragrafo 3.

Articolo 14

Accesso di Eurojust, Europol ed EPPO

1.   Eurojust ha accesso diretto a ECRIS-TCN ai fini dell'attuazione dell'articolo 17 e dello svolgimento dei suoi compiti di cui all'articolo 2 del regolamento (UE) 2018/1727, per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi.

2.   Europol ha accesso diretto a ECRIS-TCN ai fini dello svolgimento dei suoi compiti di cui all'articolo 4, paragrafo 1, lettere e) e h), del regolamento (UE) 2016/794, per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi.

3.   EPPO ha accesso diretto a ECRIS-TCN ai fini dello svolgimento dei suoi compiti di cui all'articolo 4 del regolamento (UE) 2017/1939, per individuare lo Stato membro o gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi.

4.   A seguito di riscontro positivo che indichi gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di un cittadino di paese terzo, Eurojust, Europol ed EPPO possono contattare le autorità nazionali di tali Stati membri per chiedere le informazioni sui casellari giudiziali nel modo previsto nei rispettivi strumenti giuridici costitutivi.

Articolo 15

Accesso da parte di personale autorizzato di Eurojust, Europol ed EPPO

Eurojust, Europol ed EPPO sono responsabili della gestione e delle modalità di accesso a ECRIS-TCN da parte del personale debitamente autorizzato a norma del presente regolamento e della compilazione e dell'aggiornamento periodico di un elenco di tale personale con le relative qualifiche.

Articolo 16

Responsabilità di Eurojust, Europol ed EPPO

Eurojust, Europol ed EPPO:

a)

stabiliscono i mezzi tecnici per connettersi a ECRIS-TCN e sono responsabili del mantenimento della connessione;

b)

forniscono una formazione adeguata che riguardi, in particolare, le norme di sicurezza e di protezione dei dati e i diritti fondamentali applicabili, ai membri del loro personale con diritto di accesso a ECRIS-TCN prima di autorizzarli a trattare dati conservati nel sistema centrale;

c)

garantiscono che i dati personali che trattano a norma del presente regolamento siano protetti conformemente alle norme applicabili in materia di protezione dei dati.

Articolo 17

Punto di contatto per i paesi terzi e le organizzazioni internazionali

1.   I paesi terzi e le organizzazioni internazionali possono, ai fini di un procedimento penale, indirizzare a Eurojust richieste di informazioni su quali Stati membri, se del caso, siano in possesso di informazioni sul casellario giudiziale di un cittadino di paese terzo. A tale scopo utilizzano il formulario standard che figura nell'allegato del presente regolamento.

2.   Quando riceve una richiesta a norma del paragrafo 1, Eurojust usa ECRIS-TCN per individuare gli eventuali Stati membri in possesso di informazioni sul casellario giudiziale del cittadino di paese terzo interessato.

3.   In caso di riscontro positivo, Eurojust chiede agli Stati membri in possesso di informazioni sul casellario giudiziale del cittadino di paese terzo interessato se acconsentono a che Eurojust informi il paese terzo o l'organizzazione internazionale del nome dello Stato membro interessato. Se tale Stato membro fornisce il proprio consenso, Eurojust comunica al paese terzo o all'organizzazione internazionale il nome di detto Stato membro e le modalità di introduzione di una richiesta di estratti del casellario giudiziale presso gli Stati membri in questione, secondo le procedure applicabili.

4.   In assenza di riscontro positivo o qualora non sia in grado di fornire una risposta, conformemente al paragrafo 3, alle richieste che le sono state presentate ai sensi del presente articolo, Eurojust informa il paese terzo o l'organizzazione internazionale in questione di aver completato la procedura, senza precisare se le informazioni sul casellario giudiziale della persona interessata siano in possesso di uno Stato membro.

Articolo 18

Comunicazione di informazioni a un paese terzo, a un'organizzazione internazionale o a un soggetto privato

Né Eurojust, né Europol, né EPPO, né alcuna delle autorità centrali trasmette a paesi terzi, organizzazioni internazionali o soggetti privati, o mette a loro disposizione, informazioni ottenute tramite ECRIS-TCN relative a un cittadino di paese terzo. Il presente articolo fa salvo l'articolo 17, paragrafo 3.

Articolo 19

Sicurezza dei dati

1.   eu-LISA adotta le misure necessarie per garantire la sicurezza di ECRIS-TCN, fatte salve le responsabilità di ciascuno Stato membro, tenuto conto delle misure di sicurezza di cui al paragrafo 3.

2.   Per quanto riguarda il funzionamento di ECRIS-TCN, eu-LISA adotta le misure necessarie per conseguire gli obiettivi enunciati al paragrafo 3, compresa l'adozione di un piano di sicurezza e di un piano di continuità operativa e di ripristino in caso di disastro, e garantire che i sistemi installati possano, in caso di interruzione, essere ripristinati.

3.   Gli Stati membri garantiscono la sicurezza dei dati prima e durante la trasmissione al punto di accesso centrale nazionale e il ricevimento dallo stesso. In particolare ciascuno Stato membro:

a)

protegge fisicamente i dati, tra l'altro mediante l'elaborazione di piani di emergenza per la protezione delle infrastrutture;

b)

nega alle persone non autorizzate l'accesso alle strutture nazionali nelle quali lo Stato membro effettua operazioni connesse a ECRIS-TCN;

c)

impedisce che supporti di dati possano essere letti, copiati, modificati o asportati senza autorizzazione;

d)

impedisce l'inserimento di dati senza autorizzazione e l'ispezione, la modifica o la cancellazione senza autorizzazione di dati personali memorizzati;

e)

impedisce il trattamento dei dati in ECRIS-TCN senza autorizzazione e la modifica o la cancellazione senza autorizzazione dei dati trattati nel sistema ECRIS-TCN;

f)

garantisce che le persone autorizzate ad accedere a ECRIS-TCN abbiano accesso soltanto ai dati previsti dalla loro autorizzazione di accesso, ricorrendo all'identificativo utente individuale e utilizzando esclusivamente modalità di accesso riservato;

g)

garantisce che tutte le autorità con diritto di accedere a ECRIS-TCN creino profili che descrivono le funzioni e le responsabilità delle persone autorizzate ad accedere ai dati e a inserire, rettificare, cancellare, consultare e interrogare i dati, e mettano senza ingiustificato ritardo tali profili a disposizione delle autorità nazionali di controllo, su richiesta di queste ultime;

h)

garantisce la possibilità di verificare e stabilire a quali organi, organismi e agenzie dell'Unione possano essere trasmessi dati personali mediante apparecchiature di comunicazione dei dati;

i)

garantisce che sia possibile verificare e stabilire quali dati sono stati trattati in ECRIS-TCN, quando, da chi e per quale finalità;

j)

impedisce, in particolare mediante tecniche appropriate di cifratura, che all'atto della trasmissione di dati personali da ECRIS-TCN o verso di esso, oppure durante il trasporto dei supporti di dati, tali dati personali possano essere letti, copiati, modificati o cancellati senza autorizzazione;

k)

controlla l'efficacia delle misure di sicurezza di cui al presente paragrafo e adotta le necessarie misure di carattere organizzativo relative alla verifica e alla verifica interna per garantire l'osservanza del presente regolamento.

4.   eu-LISA e gli Stati membri cooperano al fine di garantire un approccio coerente alla sicurezza dei dati sulla base di una procedura di gestione del rischio di sicurezza che includa l'intero ECRIS-TCN.

Articolo 20

Responsabilità

1.   Le persone o gli Stati membri che hanno subito un danno materiale o non materiale in conseguenza di un trattamento illecito di dati o di qualsiasi altro atto incompatibile con il presente regolamento hanno diritto di ottenere un risarcimento:

a)

dallo Stato membro responsabile del danno; o

b)

nel caso in cui eu-LISA non abbia soddisfatto i propri obblighi di cui al presente regolamento o al regolamento (UE) 2018/1725.

Lo Stato membro responsabile del danno o eu-LISA sono rispettivamente esonerati in tutto o in parte da tale responsabilità se provano che l'evento dannoso non è loro imputabile.

2.   Ogni Stato membro, Eurojust, Europol o EPPO sono rispettivamente responsabili per i danni causati a ECRIS-TCN in caso di inosservanza da parte loro degli obblighi derivanti dal presente regolamento, tranne nel caso e nei limiti in cui eu-LISA o un altro Stato membro che partecipa a ECRIS-TCN abbia omesso di adottare misure ragionevolmente idonee a evitare i danni o a minimizzarne gli effetti.

3.   Le azioni proposte nei confronti di uno Stato membro per il risarcimento dei danni di cui ai paragrafi 1 e 2 sono disciplinate dal diritto dello Stato membro convenuto. Le azioni proposte nei confronti di eu-LISA, Eurojust, Europol ed EPPO per il risarcimento dei danni di cui ai paragrafi 1 e 2 sono disciplinate dai loro rispettivi strumenti giuridici costitutivi.

Articolo 21

Verifica interna

Gli Stati membri provvedono affinché ogni autorità centrale adotti le misure necessarie per conformarsi al presente regolamento e cooperi, se necessario, con le autorità di controllo.

Articolo 22

Sanzioni

L'uso improprio dei dati inseriti in ECRIS-TCN è oggetto di sanzioni o di misure disciplinari effettive, proporzionate e dissuasive, secondo il diritto nazionale o dell'Unione.

CAPITOLO V

Diritti e controllo sulla protezione dei dati

Articolo 23

Titolare del trattamento e responsabile del trattamento

1.   Per quanto riguarda il trattamento dei dati personali effettuato dall'autorità centrale di uno Stato membro a norma del presente regolamento, titolare del trattamento ai sensi delle norme applicabili dell'Unione in materia di protezione dei dati è l'autorità centrale di tale Stato membro.

2.   Per quanto riguarda l'inserimento dei dati personali nel sistema centrale da parte degli Stati membri, eu-LISA è responsabile del trattamento ai sensi del regolamento (UE) 2018/1725.

Articolo 24

Finalità del trattamento dei dati personali

1.   I dati inseriti nel sistema centrale sono trattati al solo fine di individuare gli Stati membri in possesso di informazioni sui casellari giudiziali su cittadini di paesi terzi.

2.   Ad eccezione del personale debitamente autorizzato di Eurojust, Europol ed EPPO, che ha accesso a ECRIS-TCN ai fini del presente regolamento, l'accesso a ECRIS-TCN è riservato esclusivamente al personale debitamente autorizzato delle autorità centrali. L'accesso è limitato a quanto necessario all'assolvimento dei compiti, conformemente al fine di cui al paragrafo 1, e a quanto necessario e proporzionato agli obiettivi perseguiti.

Articolo 25

Diritto di accesso, rettifica, cancellazione e limitazione del trattamento

1.   Le richieste dei cittadini di paesi terzi relative ai diritti di accesso ai dati personali, di rettifica o cancellazione nonché di limitazione del trattamento, sanciti dalle norme applicabili dell'Unione in materia di protezione dei dati, possono essere presentate all'autorità centrale di ogni Stato membro.

2.   Qualora la richiesta sia presentata a uno Stato membro diverso da quello di condanna, lo Stato membro al quale è stata presentata la richiesta la trasmette allo Stato membro di condanna senza ingiustificato ritardo e comunque entro di dieci giorni lavorativi dal suo ricevimento. Non appena riceve la richiesta, lo Stato membro di condanna:

a)

avvia immediatamente una procedura di verifica dell'esattezza dei dati interessati o della liceità del loro trattamento in ECRIS-TCN; e

b)

risponde allo Stato membro che ha presentato la domanda senza ingiustificato ritardo.

3.   Qualora emerga che i dati registrati in ECRIS-TCN sono inesatti o sono stati trattati illecitamente, lo Stato membro di condanna provvede a rettificarli o a cancellarli conformemente all'articolo 9. Lo Stato membro di condanna o, ove applicabile, lo Stato membro al quale è stata presentata la richiesta, conferma per iscritto e senza ingiustificato ritardo all'interessato di aver provveduto a rettificare o cancellare i dati che lo riguardano. Lo Stato membro di condanna comunica inoltre senza ingiustificato ritardo quali misure sono state adottate a qualsiasi altro Stato membro che abbia ricevuto informazioni relative alla condanna ottenute da una interrogazione di ECRIS-TCN.

4.   Qualora non ritenga che i dati registrati in ECRIS-TCN siano di fatto inesatti o siano stati registrati illecitamente, lo Stato membro di condanna adotta una decisione amministrativa o giudiziaria con la quale illustra per iscritto all'interessato la ragione per cui non intende rettificare o cancellare i dati che lo riguardano. Tali casi possono, se del caso, essere comunicati all'autorità nazionale di controllo.

5.   Lo Stato membro che ha adottato la decisione ai sensi del paragrafo 4 fornisce inoltre all'interessato informazioni in merito alla procedura da seguire qualora egli non ritenga accettabile la motivazione fornita ai sensi del paragrafo 4. Tali informazioni comprendono le informazioni sulle modalità per avviare un'azione o un reclamo presso le autorità competenti o le autorità giurisdizionali competenti di tale Stato membro e su qualunque tipo di assistenza, compresa quella delle autorità nazionali di controllo, disponibile in conformità del diritto nazionale di tale Stato membro.

6.   Qualsiasi richiesta presentata a norma del paragrafo 1 contiene le informazioni necessarie per identificare l'interessato. Tali informazioni sono utilizzate unicamente per consentire l'esercizio dei diritti di cui al paragrafo 1 e sono cancellate subito dopo.

7.   Se si applica il paragrafo 2, l'autorità centrale a cui è stata presentata la richiesta conserva una registrazione scritta della presentazione di tale richiesta e di come e a quale autorità è stata trasmessa. Su richiesta dell'autorità di controllo nazionale, l'autorità centrale mette senza ritardo tale registrazione a disposizione di tale autorità nazionale di controllo. L'autorità centrale e l'autorità nazionale di controllo cancellano tali registrazioni tre anni dopo la loro creazione.

Articolo 26

Cooperazione volta a garantire il rispetto dei diritti relativi alla protezione dei dati

1.   Le autorità centrali cooperano per garantire il rispetto dei diritti sanciti dall'articolo 25.

2.   In ciascuno Stato membro l'autorità nazionale di controllo fornisce, su richiesta, informazioni agli interessati sull'esercizio del diritto di rettifica o cancellazione dei dati che li riguardano, ai sensi delle norme applicabili dell'Unione in materia di protezione dei dati.

3.   Ai fini del presente articolo, l'autorità nazionale di controllo dello Stato membro che ha trasmesso i dati e l'autorità di controllo nazionali dello Stato membro alle quali è stata presentata la richiesta cooperano per raggiungere tali obiettivi.

Articolo 27

Mezzi di ricorso

Chiunque ha il diritto di presentare un reclamo e il diritto a un ricorso giuridico nello Stato membro di condanna che abbia negato il diritto di cui all'articolo 25, di ottenere l'accesso ovvero la rettifica o la cancellazione dei dati che lo riguardano, in conformità del diritto nazionale o dell'Unione.

Articolo 28

Vigilanza da parte delle autorità nazionali di controllo

1.   Ciascuno Stato membro assicura che le autorità nazionali di controllo designate in conformità delle norme applicabili dell'Unione in materia di protezione dei dati verifichino la liceità del trattamento dei dati personali di cui agli articoli 5 e 6 effettuato dallo Stato membro in questione, nonché il loro trasferimento al e da ECRIS-TCN.

2.   L'autorità nazionale di controllo provvede affinché, almeno ogni tre anni dalla data dell'entrata in funzione di ECRIS-TCN, sia svolto un audit dei trattamenti di dati nelle banche dati nazionali di casellari giudiziali e di impronte digitali relativamente allo scambio di dati tra tali sistemi e ECRIS-TCN, conformemente ai pertinenti principi internazionali di audit.

3.   Gli Stati membri provvedono affinché le loro autorità nazionali di controllo dispongano delle risorse sufficienti per assolvere i compiti a esse affidati dal presente regolamento.

4.   Ciascuno Stato membro comunica qualsiasi informazione richiesta dalle autorità nazionali di controllo e, in particolare, fornisce loro informazioni sulle attività svolte conformemente agli articoli 12, 13 e 19. Ciascuno Stato membro consente alle proprie autorità nazionali di controllo di consultare le registrazioni conformemente all'articoli 25, paragrafo 7, e l'accesso ai propri registri conformemente all'articolo 31, paragrafo 6, e consente loro l'accesso in qualsiasi momento a tutti i suoi locali utilizzati per ECRIS-TCN.

Articolo 29

Vigilanza da parte del garante europeo della protezione dei dati

1.   Il garante europeo della protezione dei dati verifica che le attività di trattamento dei dati personali da parte di eu-LISA concernenti ECRIS-TCN siano effettuate in conformità del presente regolamento.

2.   Il garante europeo della protezione dei dati provvede affinché, almeno ogni tre anni, sia svolto un audit delle attività di trattamento dei dati personali effettuate da eu-LISA, conformemente ai pertinenti principi internazionali di audit. Una relazione su tale audit è trasmessa al Parlamento europeo, al Consiglio, alla Commissione, a eu-LISA e alle autorità di controllo. A eu-LISA è data la possibilità di presentare osservazioni prima dell'adozione della relazione.

3.   eu-LISA fornisce al garante europeo della protezione dei dati le informazioni da questo richieste, gli permette di consultare tutti i documenti e i registri di cui all'articolo 31 e di avere accesso, in qualsiasi momento, a tutti i suoi locali.

Articolo 30

Cooperazione tra le autorità nazionali di controllo e il garante europeo della protezione dei dati

È assicurato il controllo coordinato di ECRIS-TCN a norma dell'articolo 62 del regolamento (UE) 2018/1725.

Articolo 31

Registri

1.   eu-LISA e le autorità competenti provvedono, nei limiti delle responsabilità rispettive, affinché tutti i trattamenti di dati in ECRIS-TCN siano registrati conformemente al paragrafo 2 al fine di verificare l'ammissibilità delle richieste e monitorare l'integrità e la sicurezza dei dati e la liceità del trattamento dei dati, nonché a fini di verifica interna.

2.   Il registro indica:

a)

lo scopo della richiesta di accesso ai dati di ECRIS-TCN;

b)

i dati trasmessi di cui all'articolo 5;

c)

il riferimento dell'archivio nazionale;

d)

la data e l'ora esatta del trattamento;

e)

i dati usati per l'interrogazione;

f)

l'identificazione del funzionario che ha effettuato la consultazione.

3.   Il registro delle consultazioni e delle comunicazioni consente di stabilire la motivazione di tali operazioni.

4.   I registri sono usati solo ai fini della verifica della liceità del trattamento dei dati e per garantire l'integrità e la sicurezza dei dati. Soltanto i registri che non contengono dati personali possono essere usati ai fini della verifica e della valutazione di cui all'articolo 36. Tali registri sono protetti dall'accesso non autorizzato con misure adeguate e sono cancellati dopo tre anni, sempreché non siano stati richiesti per procedure di verifica già avviate.

5.   Su richiesta, eu-LISA mette a disposizione delle autorità centrali, senza ingiustificato ritardo, i registri dei propri trattamenti.

6.   Le autorità nazionali di controllo competenti a verificare l'ammissibilità della richiesta e la liceità del trattamento dei dati, l'integrità e la sicurezza dei dati, hanno accesso ai registri, su loro richiesta per l'adempimento delle loro funzioni. Su richiesta, le autorità centrali mettono a disposizione delle autorità nazionali di controllo competenti, senza ingiustificato ritardo, i registri dei propri trattamenti.

CAPITOLO VI

Disposizioni finali

Articolo 32

Uso dei dati per l'elaborazione di relazioni e statistiche

1.   Il personale debitamente autorizzato di eu-LISA, delle autorità competenti e della Commissione è abilitato a consultare i dati trattati in ECRIS-TCN unicamente per elaborare relazioni e statistiche e senza che sia possibile l'identificazione individuale.

2.   Ai fini del paragrafo 1, eu-LISA crea, attua e ospita nei suoi siti tecnici un archivio centrale contenente i dati di cui al paragrafo 1 che, senza rendere possibile l'identificazione individuale, consentono di ottenere relazioni e dati statistici personalizzabili. L'accesso all'archivio centrale è garantito mediante un accesso sicuro con controllo dell'accesso e specifici profili di utente unicamente ai fini dell'elaborazione di relazioni e statistiche.

3.   Le procedure poste in essere da eu-LISA per monitorare il funzionamento di ECRIS-TCN di cui all'articolo 36 e l'attuazione di riferimento ECRIS comprendono la possibilità di produrre statistiche periodiche a fini di monitoraggio.

Ogni mese eu-LISA trasmette alla Commissione statistiche relative alla registrazione, alla conservazione e allo scambio delle informazioni estratte dai casellari giudiziali tramite ECRIS-TCN e l'attuazione di riferimento ECRIS. eu-LISA garantisce che non è possibile identificare i dati individuali sulla base di tali statistiche. Su richiesta della Commissione, eu-LISA le fornisce statistiche su aspetti specifici connessi all'attuazione del presente regolamento.

4.   Gli Stati membri forniscono a eu-LISA le statistiche necessarie per adempiere agli obblighi di cui al presente articolo. Essi forniscono alla Commissione statistiche relative al numero di cittadini di paesi terzi condannati e al numero di condanne di cittadini di paesi terzi sul loro territorio.

Articolo 33

Spese

1.   Le spese sostenute per l'istituzione e il funzionamento del sistema centrale, dell'infrastruttura di comunicazione di cui all'articolo 4, paragrafo 1, lettera d), del software di interfaccia e dell'attuazione di riferimento ECRIS sono a carico del bilancio generale dell'Unione.

2.   Le spese di connessione di Eurojust, Europol ed EPPO a ECRIS-TCN sono a carico del loro rispettivo bilancio.

3.   Altre spese sono a carico degli Stati membri, in particolare quelle sostenute per la connessione dei registri nazionali di casellari giudiziali, delle banche dati di impronte digitali e delle autorità centrali a ECRIS-TCN, e le spese di hosting dell'attuazione di riferimento ECRIS.

Articolo 34

Comunicazioni

1.   Ciascuno Stato membro comunica a eu-LISA l'autorità centrale o le autorità centrali che dispongono dell'accesso per inserire, rettificare, cancellare, consultare e interrogare i dati e la informa di ogni eventuale cambiamento al riguardo.

2.   eu-LISA provvede alla pubblicazione nella Gazzetta ufficiale dell'Unione europea e sul suo sito web dell'elenco delle autorità centrali comunicate dagli Stati membri. Non appena riceve la comunicazione di un cambiamento dell'autorità centrale di uno Stato membro, eu-LISA aggiorna l'elenco senza ingiustificato ritardo.

Articolo 35

Inserimento dei dati ed entrata in funzione

1.   La Commissione determina la data a partire dalla quale gli Stati membri iniziano a inserire in ECRIS-TCN i dati di cui all'articolo 5 una volta che ha accertato che:

a)

siano stati adottati gli atti di esecuzione pertinenti di cui all'articolo 10;

b)

gli Stati membri abbiano convalidato le necessarie disposizioni tecniche e giuridiche per raccogliere e trasmettere a ECRIS-TCN i dati di cui all'articolo 5 e le abbiano comunicate alla Commissione;

c)

eu-LISA abbia effettuato un collaudo generale di ECRIS-TCN, in cooperazione con gli Stati membri, utilizzando dati di prova anonimi.

2.   Quando la Commissione ha determinato la data di inizio dell'inserimento dei dati conformemente al paragrafo 1, la comunica agli Stati membri. Entro un periodo di due mesi a decorrere da tale data gli Stati membri inseriscono in ECRIS-TCN i dati di cui all'articolo 5, tenendo conto dell'articolo 41, paragrafo 2.

3.   Alla fine del periodo di cui al paragrafo 2, eu-LISA esegue un collaudo finale di ECRIS-TCN, in cooperazione con gli Stati membri.

4.   Quando il collaudo di cui al paragrafo 3 è stato completato con successo ed eu-LISA ritiene che ECRIS-TCN sia pronto a entrare in funzione, essa lo comunica alla Commissione. La Commissione informa il Parlamento europeo e il Consiglio dell'esito del collaudo e decide la data a partire dalla quale ECRIS-TCN entra in funzione.

5.   La decisione della Commissione sulla data di entrata in funzione di ECRIS-TCN, di cui al paragrafo 4, è pubblicata nella Gazzetta ufficiale dell'Unione europea.

6.   Gli Stati membri iniziano a utilizzare ECRIS-TCN a decorrere dalla data stabilita dalla Commissione ai sensi del paragrafo 4.

7.   Nell'adottare le decisioni di cui al presente articolo, la Commissione può fissare date diverse per l'inserimento in ECRIS-TCN dei dati alfanumerici e dei dati relativi alle impronte digitali di cui all'articolo 5, nonché per l'entrata in funzione relativamente a tali diverse categorie di dati.

Articolo 36

Monitoraggio e valutazione

1.   eu-LISA provvede affinché siano istituite procedure per monitorare lo sviluppo di ECRIS-TCN rispetto agli obiettivi relativi alla programmazione e ai costi, nonché a monitorare il funzionamento di ECRIS-TCN e dell'attuazione di riferimento ECRIS rispetto agli obiettivi concernenti i risultati tecnici, il rapporto costi/benefici, la sicurezza e la qualità del servizio.

2.   Ai fini del monitoraggio del funzionamento di ECRIS-TCN e della sua manutenzione tecnica, eu-LISA ha accesso alle informazioni necessarie riguardanti i trattamenti dei dati effettuati in ECRIS-TCN e nell'attuazione di riferimento ECRIS.

3.   Entro il 10 dicembre 2019 e successivamente ogni sei mesi durante la fase di progettazione e sviluppo, eu-LISA presenta al Parlamento europeo e al Consiglio una relazione sullo sviluppo di ECRIS-TCN e dell'attuazione di riferimento ECRIS.

4.   La relazione di cui al paragrafo 3 include una panoramica dei costi attuali e dell'evoluzione del progetto, una valutazione dell'impatto finanziario, nonché informazioni su eventuali problemi tecnici e rischi suscettibili di ripercuotersi sui costi complessivi di ECRIS-TCN a carico del bilancio generale dell'Unione in conformità dell'articolo 33.

5.   In caso di importante ritardo nel processo di sviluppo, eu-LISA informa il Parlamento europeo e il Consiglio quanto prima dei motivi di tale ritardo, nonché del relativo impatto finanziario e sul calendario.

6.   Una volta che lo sviluppo di ECRIS-TCN e dell'attuazione di riferimento ECRIS è completato, eu-LISA presenta una relazione al Parlamento europeo e al Consiglio che illustra in che modo gli obiettivi sono stati conseguiti, in particolare per quanto riguarda la programmazione e i costi, giustificando eventuali scostamenti.

7.   Nel caso di un aggiornamento tecnico di ECRIS-TCN, che potrebbe comportare costi elevati, eu-LISA informa il Parlamento europeo e il Consiglio.

8.   Due anni dopo l'entrata in funzione di ECRIS-TCN e successivamente ogni anno, eu-LISA presenta alla Commissione una relazione sul funzionamento tecnico di ECRIS-TCN e dell'attuazione di riferimento ECRIS, compresa la loro sicurezza, basata in particolare sulle statistiche relative al funzionamento e all'uso di ECRIS-TCN e allo scambio, tramite l'attuazione di riferimento ECRIS, delle informazioni estratte dai casellari giudiziali.

9.   Quattro anni dopo l'entrata in funzione di ECRIS-TCN e successivamente ogni quattro anni, la Commissione effettua una valutazione globale di ECRIS-TCN e dell'attuazione di riferimento ECRIS. La relazione di valutazione globale elaborata su questa base comprende una valutazione dell'applicazione del presente regolamento e un'analisi concernente i risultati conseguiti in relazione agli obiettivi fissati e l'incidenza sui diritti fondamentali. Sono incluse inoltre una valutazione della perdurante validità dei principi di base del funzionamento di ECRIS-TCN, una valutazione dell'adeguatezza dell'uso dei dati biometrici ai fini del funzionamento di ECRIS-TCN, della sicurezza di ECRIS-TCN e delle eventuali implicazioni in termini di sicurezza per le future attività. La valutazione comprende le necessarie raccomandazioni. La Commissione trasmette la relazione al Parlamento europeo, al Consiglio, al garante europeo della protezione dei dati e all'Agenzia dell'Unione europea per i diritti fondamentali.

10.   Inoltre, la prima valutazione globale di cui al paragrafo 9 include una valutazione dei seguenti aspetti:

a)

la misura in cui, sulla base dei pertinenti dati statistici e delle ulteriori informazioni fornite dagli Stati membri, l'inclusione in ECRIS-TCN di informazioni sull'identità di cittadini dell'Unione che possiedono anche la cittadinanza di un paese terzo ha contribuito al conseguimento degli obiettivi del presente regolamento;

b)

la possibilità, per alcuni Stati membri, di continuare a usare il software nazionale di attuazione ECRIS, ai sensi dell'articolo 4;

c)

l'inserimento dei dati relativi alle impronte digitali in ECRIS-TCN, in particolare l'applicazione dei criteri minimi di cui all'articolo 5, paragrafo 1, lettera b), punto ii);

d)

l'incidenza di ECRIS e di ECRIS-TCN sulla protezione dei dati di carattere personale.

La valutazione può, se necessario, essere corredata di proposte legislative. Le valutazioni globali successive possono includere una valutazione di uno o di tutti questi aspetti.

11.   Gli Stati membri, Eurojust, Europol ed EPPO comunicano a eu-LISA e alla Commissione le informazioni necessarie per redigere le relazioni di cui ai paragrafi 3, 8 e 9 conformemente agli indicatori quantitativi predefiniti dalla Commissione o da eu-LISA, o da entrambe. Tali informazioni non mettono a repentaglio i metodi di lavoro, né comprendono indicazioni sulle fonti, sui membri del personale o sulle indagini.

12.   Ove opportuno, le autorità di controllo comunicano a eu-LISA e alla Commissione le informazioni necessarie per redigere le relazioni di cui al paragrafo 9 conformemente agli indicatori quantitativi predefiniti dalla Commissione o da eu-LISA, o da entrambe. Tali informazioni non mettono a repentaglio i metodi di lavoro, né comprendono indicazioni sulle fonti, sui membri del personale o sulle indagini.

13.   eu-LISA comunica alla Commissione le informazioni necessarie per elaborare le valutazioni globali di cui al paragrafo 9.

Articolo 37

Esercizio della delega

1.   Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2.   Il potere di adottare atti delegati di cui all'articolo 6, paragrafo 2, è conferito alla Commissione per un periodo indeterminato a decorrere dal 9 giugno 2019.

3.   La delega di potere di cui all'articolo 6, paragrafo 2, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4.   Prima dell'adozione dell'atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016.

5.   Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

6.   L'atto delegato adottato ai sensi dell'articolo 6, paragrafo 2, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.

Articolo 38

Procedura di comitato

1.   La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.   Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.

Qualora il comitato non esprima alcun parere, la Commissione non adotta il progetto di atto di esecuzione e si applica l'articolo 5, paragrafo 4, terzo comma, del regolamento (UE) n. 182/2011.

Articolo 39

Gruppo consultivo

eu-LISA istituisce un gruppo consultivo allo scopo di ottenere consulenza tecnica relativa a ECRIS-TCN e all'attuazione di riferimento ECRIS, in particolare nell'ambito della preparazione del programma di lavoro annuale e della relazione annuale di attività. In fase di progettazione e di sviluppo si applica l'articolo 11, paragrafo 9.

Articolo 40

Modifiche del regolamento (UE) 2018/1726

Il regolamento (UE) 2018/1726 è cosi modificato:

1)

all'articolo 1, il paragrafo 4 è sostituito dal seguente:

«4.   L'Agenzia è responsabile della preparazione, dello sviluppo o della gestione operativa del sistema di ingressi/uscite (EES), di DubliNet, del sistema europeo di informazione e autorizzazione ai viaggi (ETIAS), di ECRIS-TCN e dell'attuazione di riferimento ECRIS.»;

2)

è inserito l'articolo seguente:

«Articolo 8 bis

Compiti relativi a ECRIS-TCN e all'attuazione di riferimento ECRIS

Con riguardo a ECRIS-TCN e all'attuazione di riferimento ECRIS, l'Agenzia svolge:

a)

i compiti attribuiti all'Agenzia conformemente al regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio (*1);

b)

i compiti relativi alla formazione sull'uso tecnico di ECRIS-TCN e dell'attuazione di riferimento ECRIS.

(*1)  Regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio, del 17 aprile 2019, che istituisce un sistema centralizzato per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi e apolidi (ECRIS-TCN) e integrare il sistema europeo di informazione sui casellari giudiziali, e che modifica il regolamento (UE) 2018/1726 (GU L 135 del 22.5.2019, pag. 1).»;"

3)

all'articolo 14, il paragrafo 1 è sostituito dal seguente:

«1.   L'Agenzia segue gli sviluppi della ricerca per la gestione operativa del SIS II, del VIS, di Eurodac, dell'EES, dell'ETIAS, di DubliNet, di ECRIS-TCN e di altri sistemi IT su larga scala di cui all'articolo 1, paragrafo 5.»;

4)

all'articolo 19, il paragrafo 1 è così modificato:

a)

la lettera ee) è sostituita dalla seguente:

«ee)

adotta le relazioni sullo sviluppo dell'EES conformemente all'articolo 72, paragrafo 2, del regolamento (UE) 2017/2226, le relazioni sullo sviluppo dell'ETIAS conformemente all'articolo 92, paragrafo 2, del regolamento (UE) 2018/1240 e le relazioni sullo sviluppo di ECRIS-TCN e dell'attuazione di riferimento ECRIS conformemente all'articolo 36, paragrafo 3, del regolamento (UE) 2019/816;»;

b)

la lettera ff) è sostituita dalla seguente:

«ff)

adotta le relazioni sul funzionamento tecnico del SIS II in conformità, rispettivamente, dell'articolo 50, paragrafo 4, del regolamento (CE) n. 1987/2006 e dell'articolo 66, paragrafo 4, della decisione 2007/533/GAI, del VIS in conformità dell'articolo 50, paragrafo 3, del regolamento (CE) n. 767/2008 e dell'articolo 17, paragrafo 3, della decisione 2008/633/GAI, dell'EES in conformità dell'articolo 72, paragrafo 4, del regolamento (UE) 2017/2226, dell'ETIAS in conformità dell'articolo 92, paragrafo 4, del regolamento (UE) 2018/1240, e di ECRIS-TCN e dell'attuazione di riferimento ECRIS in conformità dell'articolo 36, paragrafo 8, del regolamento (UE) 2019/816;»;

c)

la lettera hh) è sostituita dalla seguente:

«hh)

adotta osservazioni formali sulle relazioni del Garante europeo della protezione dei dati relative ai controlli svolti conformemente all'articolo 45, paragrafo 2, del regolamento (CE) n. 1987/2006, all'articolo 42, paragrafo 2, del regolamento (CE) n. 767/2008 e all'articolo 31, paragrafo 2, del regolamento (UE) n. 603/2013, all'articolo 56, paragrafo 2, del regolamento (UE) 2017/2226 e all'articolo 67 del regolamento (UE) 2018/1240 e all'articolo 29, paragrafo 2, del regolamento (UE) 2019/816, e assicura adeguato seguito a tali controlli e audit;»;

d)

è inserita la lettera seguente:

«ll bis)

trasmette alla Commissione statistiche su ECRIS-TCN e sull'attuazione di riferimento ECRIS conformemente all'articolo 32, paragrafo 4, secondo comma, del regolamento (UE) 2019/816;»;

e)

la lettera mm) è sostituita dalla seguente:

«mm)

provvede alla pubblicazione annuale dell'elenco delle autorità competenti autorizzate a consultare direttamente i dati inseriti nel SIS II in conformità dell'articolo 31, paragrafo 8, del regolamento (CE) n. 1987/2006 e dell'articolo 46, paragrafo 8, della decisione 2007/533/GAI, e dell'elenco degli uffici dei sistemi nazionali del SIS II (uffici N.SIS II) e degli uffici SIRENE in conformità, rispettivamente, dell'articolo 7, paragrafo 3, del regolamento (CE) n. 1987/2006 e dell'articolo 7, paragrafo 3, della decisione 2007/533/GAI, nonché dell'elenco delle autorità competenti di cui all'articolo 65, paragrafo 2, del regolamento (UE) 2017/2226 e dell'elenco delle autorità competenti di cui all'articolo 87, paragrafo 2, del regolamento (UE) 2018/1240 e dell'elenco delle autorità centrali di cui all'articolo 34, paragrafo 2, del regolamento (UE) 2019/816;»;

5)

all'articolo 22, paragrafo 4 è inserito il seguente comma dopo il terzo comma:

«Europol, Eurojust ed EPPO possono assistere alle riunioni del consiglio di amministrazione in qualità di osservatori quando sono all'ordine del giorno questioni concernenti ECRIS-TCN in relazione all'applicazione del regolamento (UE) 2019/816.»;

6)

all'articolo 24, paragrafo 3, la lettera p) è sostituita dalla seguente:

«p)

stabilire, fatto salvo l'articolo 17 dello statuto, le clausole di riservatezza per conformarsi all'articolo 17 del regolamento (CE) n. 1987/2006, all'articolo 17 della decisione 2007/533/GAI, all'articolo 26, paragrafo 9, del regolamento (CE) n. 767/2008, all'articolo 4, paragrafo 4, del regolamento (UE) n. 603/2013, all'articolo 37, paragrafo 4, del regolamento (UE) 2017/2226, all'articolo 74, paragrafo 2, del regolamento (UE) 2018/1240 e all'articolo 11, paragrafo 16, del regolamento (UE) 2019/816;»;

7)

all'articolo 27, paragrafo 1, è inserito il seguente punto:

«d bis)

gruppo consultivo di ECRIS-TCN;».

Articolo 41

Attuazione e disposizioni transitorie

1.   Gli Stati membri adottano quanto prima le misure necessarie per conformarsi al presente regolamento in modo da garantire il corretto funzionamento di ECRIS-TCN.

2.   Per le condanne pronunciate prima della data dell'avvio dell'inserimento dei dati ai sensi dell'articolo 35, paragrafo 1, le autorità centrali creano la registrazione di dati individuale nel sistema centrale come segue:

a)

i dati alfanumerici che devono essere inseriti nel sistema centrale entro la fine del periodo di cui all'articolo 35, paragrafo 2;

b)

i dati relativi alle impronte digitali che devono essere inseriti nel sistema centrale da ultimo entro due anni dall'entrata in funzione ai sensi dell'articolo 35, paragrafo 4.

Articolo 42

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile negli Stati membri conformemente ai trattati.

Fatto a Strasburgo, il 17 aprile 2019

Per il Parlamento europeo

Il presidente

A. TAJANI

Per il Consiglio

Il presidente

G. CIAMBA


(1)  Posizione del Parlamento europeo del 12 marzo 2019 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 9 aprile 2019.

(2)  Decisione quadro 2008/675/GAI del Consiglio, del 24 luglio 2008, relativa alla considerazione delle decisioni di condanna tra Stati membri dell'Unione europea in occasione di un nuovo procedimento penale (GU L 220 del 15.8.2008, pag. 32).

(3)  Decisione quadro 2009/315/GAI del Consiglio, del 26 febbraio 2009, relativa all'organizzazione e al contenuto degli scambi fra gli Stati membri di informazioni estratte dal casellario giudiziale (GU L 93 del 7.4.2009, pag. 23).

(4)  Decisione 2009/316/GAI del Consiglio, del 6 aprile 2009, che istituisce il sistema europeo di informazione sui casellari giudiziari (ECRIS) in applicazione dell'articolo 11 della decisione quadro 2009/315/GAI (GU L 93 del 7.4.2009, pag. 33).

(5)  Regolamento (UE) 2018/1726 del Parlamento europeo e del Consiglio, del 14 novembre 2018, relativo all'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia, che modifica il regolamento (CE) n. 1987/2006 e la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (UE) n. 1077/2011 (GU L 295 del 21.11.2018, pag. 99).

(6)  Direttiva 2011/93/UE del Parlamento europeo e del Consiglio, del 13 dicembre 2011, relativa alla lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio (GU L 335 del 17.12.2011, pag. 1).

(7)  Regolamento (UE) 2018/1727 del Parlamento europeo e del Consiglio, del 14 novembre 2018, che istituisce l'Agenzia dell'Unione europea per la cooperazione giudiziaria penale (Eurojust) e che sostituisce e abroga la decisione 2002/187/GAI del Consiglio (GU L 295 del 21.11.2018, pag. 138).

(8)  Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI (GU L 135 del 24.5.2016, pag. 53).

(9)  Regolamento (UE) 2017/1939 del Consiglio, del 12 ottobre 2017, relativo all'attuazione di una cooperazione rafforzata sull'istituzione della Procura europea («EPPO») (GU L 283 del 31.10.2017, pag. 1).

(10)  Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

(11)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(12)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

(13)  GU L 123 del 12.5.2016, pag. 1.

(14)  Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

(15)  Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

(16)  GU C 55 del 14.2.2018, pag. 4.

(17)  GU L 56 del 4.3.1968, pag. 1.


ALLEGATO

FORMULARIO STANDARD PER LA RICHIESTA DI INFORMAZIONI AI SENSI DELL'ARTICOLO 17, PARAGRAFO 1, DEL REGOLAMENTO (UE) 2019/816 PER OTTENERE INFORMAZIONI SU QUALE STATO MEMBRO, SE ESISTE, È IN POSSESSO DI INFORMAZIONI SUL CASELLARIO GIUDIZIALE DI UN CITTADINO DI UN PAESE TERZO

Image 1 Testo di immagine