REGOLAMENTO (UE) 2024/982 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 13 marzo 2024

sulla consultazione e lo scambio automatizzati di dati per la cooperazione di polizia e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (regolamento «Prüm II»)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16, paragrafo 2, l’articolo 87, paragrafo 2, lettera a), e l’articolo 88, paragrafo 2,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo (1),

deliberando secondo la procedura legislativa ordinaria (2),

considerando quanto segue:

(1)

L’Unione si è prefissa l’obiettivo di offrire ai suoi cittadini uno spazio di libertà, sicurezza e giustizia senza frontiere interne, in cui sia assicurata la libera circolazione delle persone. Tale obiettivo deve essere conseguito, tra l’altro, attraverso misure appropriate per prevenire e combattere la criminalità e altre minacce alla sicurezza pubblica, compresi la criminalità organizzata e il terrorismo, in linea con la comunicazione della Commissione del 24 luglio 2020 dal titolo «strategia dell’UE per l’Unione della sicurezza». Detto obiettivo richiede che le autorità di contrasto si scambino dati in modo efficiente e tempestivo, al fine di prevenire, indagare e accertare efficacemente i reati.

(2)

Il presente regolamento ha come obiettivo migliorare, semplificare e facilitare lo scambio di informazioni in materia penale e di dati di immatricolazione dei veicoli, al fine di prevenire, indagare e accertare i reati, tra le autorità competenti degli Stati membri e tra gli Stati membri e l’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) istituita dal regolamento (UE) 2016/794 del Parlamento e del Consiglio (3), nel pieno rispetto dei diritti fondamentali e delle norme sulla protezione dei dati.

(3)

Le decisioni 2008/615/GAI (4) e 2008/616/GAI (5) del Consiglio, che stabiliscono norme per lo scambio di informazioni tra le autorità competenti per la prevenzione dei reati e le indagini penali, disponendo il trasferimento automatizzato di profili DNA, dati dattiloscopici e determinati dati di immatricolazione dei veicoli, si sono rivelate importanti per combattere il terrorismo e la criminalità transfrontaliera, proteggendo così la sicurezza interna dell’Unione e i suoi cittadini.

(4)

Basandosi sulle procedure esistenti per la consultazione automatizzata dei dati, il presente regolamento dovrebbe definire le condizioni e le procedure per la consultazione e lo scambio automatizzati di profili DNA, dati dattiloscopici, determinati dati di immatricolazione dei veicoli, immagini del volto ed estratti del casellario giudiziale Ciò non dovrebbe pregiudicare il trattamento di tali dati nel sistema d’informazione Schengen (SIS), né lo scambio di informazioni supplementari connesse a tali dati tramite gli uffici SIRENE, a norma del regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio (6), né i diritti delle persone i cui dati sono trattati in tali contesti.

(5)

Il presente regolamento istituisce un quadro per lo scambio di informazioni tra le autorità responsabili della prevenzione, dell’indagine e dell’accertamento di reati (quadro Prüm II). In conformità dell’articolo 87, paragrafo 1, del trattato sul funzionamento dell’Unione europea (TFUE), esso concerne tutte le autorità competenti degli Stati membri, compresi i servizi di polizia, i servizi delle dogane e altri servizi incaricati dell’applicazione della legge specializzati nel settore della prevenzione, dell’indagine e dell’accertamento di reati. Pertanto, nel contesto del presente regolamento, qualsiasi autorità responsabile della gestione di una banca dati nazionale contemplata dal presente regolamento o che concede un’autorizzazione giudiziaria a comunicare dati dovrebbe essere considerata rientrante nell’ambito di applicazione del presente regolamento, purché le informazioni siano scambiate ai fini della prevenzione, dell’indagine e dell’accertamento di reati.

(6)

Nessun trattamento o scambio di dati personali ai fini del presente regolamento dovrebbe dare luogo ad alcuna forma di discriminazione nei confronti delle persone. Tali attività dovrebbero rispettare pienamente la dignità e l’integrità umana nonché altri diritti fondamentali, compreso il diritto al rispetto della vita privata e alla protezione dei dati personali, conformemente alla Carta dei diritti fondamentali dell’Unione europea.

(7)

Qualsiasi trattamento o scambio di dati personali dovrebbe essere soggetto alle disposizioni sulla protezione dei dati di cui al capo 6 del presente regolamento e, se del caso, alla direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (7), o al regolamento (UE) 2018/1725 (8), o (UE) 2016/794 o (UE) 2016/679 del Parlamento europeo e del Consiglio (9). La direttiva (UE) 2016/680 si applica all’uso del quadro Prüm II per quanto riguarda la ricerca di persone scomparse e l’identificazione di resti umani non identificati a fini di prevenzione, indagine e accertamento di reati. Il regolamento (UE) 2016/679 si applica all’uso del quadro Prüm II per quanto riguarda la ricerca di persone scomparse e l’identificazione di resti umani non identificati per altri scopi.

(8)

Prevedendo la consultazione automatizzata di profili DNA, dati dattiloscopici, determinati dati di immatricolazione dei veicoli, immagini del volto ed estratti del casellario giudiziale, il presente regolamento mira altresì a consentire la ricerca di persone scomparse e l’identificazione di resti umani non identificati. Tali consultazioni automatizzate dovrebbero seguire le norme e le procedure stabilite nel presente regolamento. Tali consultazioni automatizzate non pregiudicano l’inserimento nel SIS di segnalazioni di persone scomparse e lo scambio di informazioni supplementari su tali segnalazioni a norma del regolamento (UE) 2018/1862.

(9)

Qualora desiderino usare il quadro Prüm II per cercare persone scomparse e identificare resti umani, gli Stati membri dovrebbero adottare misure legislative nazionali per designare le autorità nazionali competenti a tal fine e per stabilire le procedure, le condizioni e i criteri specifici a tal fine. Per la ricerca di persone scomparse al di fuori dell’ambito delle indagini penali, le misure legislative nazionali dovrebbero indicare chiaramente i motivi umanitari sulla base dei quali è possibile effettuare una ricerca di persone scomparse. Tali ricerche dovrebbero rispettare il principio di proporzionalità. I motivi umanitari dovrebbero includere le catastrofi naturali e provocate dall’uomo e altri motivi ugualmente giustificati, quali i sospetti di suicidio.

(10)

Il presente regolamento stabilisce le condizioni e le procedure per la consultazione automatizzata di profili DNA, dati dattiloscopici, determinati dati di immatricolazione dei veicoli, immagini del volto ed estratti del casellario giudiziale, nonché le norme relative allo scambio di dati di base a seguito di una corrispondenza confermata relativa a dati biometrici. Non si applica allo scambio di informazioni supplementari che va al di là di quanto previsto dal presente regolamento, che è disciplinato dalla direttiva (UE) 2023/977 del Parlamento europeo e del Consiglio (10).

(11)

La direttiva (UE) 2023/977 fornisce un quadro giuridico coerente dell’Unione per garantire che le autorità competenti di uno Stato membro dispongano di un accesso equivalente alle informazioni in possesso di altri Stati membri quando hanno bisogno di tali informazioni per combattere la criminalità e il terrorismo. Per intensificare lo scambio di informazioni, tale direttiva formalizza e chiarisce le norme e le procedure di condivisione delle informazioni tra le autorità competenti degli Stati membri, in particolare a fini di indagine, compreso il ruolo del «punto di contatto unico» di ciascuno Stato membro in tali scambi.

(12)	Le finalità degli scambi di profili DNA a norma del presente regolamento non pregiudicano la competenza esclusiva degli Stati membri nel decidere la finalità delle rispettive banche dati nazionali del DNA, compresi la prevenzione o l’accertamento dei reati.

(13)

Al momento della prima connessione al router stabilita dal presente regolamento, gli Stati membri dovrebbero effettuare consultazioni automatizzate di profili DNA confrontando tutti i profili DNA conservati nelle loro banche dati con tutti i profili DNA conservati nelle banche dati di tutti gli altri Stati membri e con i dati Europol. Il fine di tale prima consultazione automatizzata è di evitare lacune nell’identificazione di corrispondenze tra i profili DNA conservati nella banca dati di uno Stato membro e i profili DNA conservati nelle banche dati di tutti gli altri Stati membri e i dati Europol. La prima consultazione automatizzata dovrebbe essere effettuata bilateralmente e non necessariamente nello stesso momento con le banche dati di tutti gli Stati membri e i dati Europol. Le modalità per l’effettuazione di tali consultazioni, comprese la tempistica e la quantità per ciascun gruppo di profili, dovrebbero essere concordate bilateralmente in conformità delle norme e delle procedure stabilite nel presente regolamento.

(14)

A seguito della prima consultazione automatizzata di profili DNA, gli Stati membri dovrebbero effettuare consultazioni automatizzate confrontando tutti i nuovi profili DNA aggiunti nelle rispettive banche dati con tutti i profili DNA conservati nelle banche dati di altri Stati membri e con i dati Europol. Tali consultazioni automatizzate di profili DNA dovrebbero essere effettuate regolarmente. Qualora tale consultazione non possa effettuarsi, lo Stato membro interessato dovrebbe poter effettuarla in una fase successiva, al fine di garantire che non siano sfuggite corrispondenze. Le modalità per effettuare tali consultazioni successive, comprese la tempistica e la quantità per ciascun gruppo di profili, dovrebbero essere concordate bilateralmente in conformità delle norme e delle procedure stabilite nel presente regolamento.

(15)

Per la consultazione automatizzata dei dati di immatricolazione dei veicoli, gli Stati membri ed Europol dovrebbero utilizzare il sistema europeo d’informazione sui veicoli e le patenti di guida (EUCARIS) istituito dal trattato relativo a un sistema europeo d’informazione sui veicoli e le patenti di guida (trattato EUCARIS) e concepito a tal fine, che collega tutti gli Stati membri partecipanti in una rete. Non è necessaria una componente centrale per stabilire la comunicazione, dato che ciascuno Stato membro comunica direttamente con gli altri Stati membri collegati ed Europol comunica direttamente con le banche dati connesse.

(16)

L’identificazione dell’autore del reato è essenziale per il buon esito delle indagini e delle azioni penali. La consultazione automatizzata delle immagini del volto di persone condannate o sospettate di aver commesso un reato o, laddove consentito dal diritto nazionale dello Stato membro richiesto, delle vittime, raccolte in conformità della legislazione nazionale, potrebbe fornire informazioni aggiuntive che permettano di identificare gli autori dei reati e combattere la criminalità. In considerazione della sensibilità dei dati in questione, dovrebbe essere possibile effettuare consultazioni automatizzate solo a fini di prevenzione, indagine o accertamento di reati punibili con una pena detentiva massima di almeno un anno a norma della legislazione dello Stato membro richiedente.

(17)

La consultazione automatizzata di dati biometrici dalle autorità competenti degli Stati membri responsabili della prevenzione, dell’accertamento e dell’indagine di reati a norma del presente regolamento dovrebbe riguardare esclusivamente i dati contenuti nelle banche dati istituite a fini di prevenzione, accertamento e indagine di reati.

(18)

La partecipazione alla consultazione e allo scambio automatizzati di estratti del casellario giudiziale dovrebbe rimanere volontaria. Laddove gli Stati membri decidano di partecipare, dovrebbe loro essere solamente possibile, in uno spirito di reciprocità, interrogare le banche dati di altri Stati membri se mettono a disposizione le proprie banche dati per interrogazioni da parte di altri Stati membri. Gli Stati membri partecipanti dovrebbero istituire indici nazionali dei casellari giudiziali. Dovrebbe spettare agli Stati membri decidere quali utilizzare tra le banche dati nazionali istituite ai fini della prevenzione, dell’indagine e dell’accertamento di reati, per creare i loro indici dei casellari giudiziali nazionali. Tali indici comprendono dati provenienti da banche dati nazionali che la polizia controlla di norma quando riceve richieste di informazioni da altre autorità di contrasto. Il presente regolamento istituisce l’indice europeo dei casellari giudiziali (EPRIS) conformemente al principio della tutela della vita privata fin dalla progettazione. Le garanzie in materia di protezione dei dati comprendono la pseudonimizzazione, dal momento che gli indici e le interrogazioni non contengono dati personali chiari, ma stringhe alfanumeriche. È importante che l’EPRIS impedisca agli Stati membri o a Europol di decifrare la pseudonimizzazione e di rivelare i dati di identificazione che hanno determinato la corrispondenza. Data la sensibilità dei dati in questione, gli scambi di indici nazionali dei casellari giudiziari a norma del presente regolamento dovrebbero riguardare unicamente i dati delle persone condannate o sospettate di aver commesso un reato. Inoltre, dovrebbe essere possibile effettuare consultazioni automatizzate degli indici nazionali dei casellari giudiziari solo a fini di prevenzione, indagine o accertamento di reati punibili con una pena detentiva massima di almeno un anno a norma della legislazione dello Stato membro richiedente.

(19)

Lo scambio di estratti del casellario giudiziale previsto dal presente regolamento non pregiudica lo scambio di informazioni sui casellari giudiziali nell’ambito dell’attuale sistema europeo di informazione sui casellari giudiziali (ECRIS) istituito dalla decisione quadro del Consiglio 2009/315/GAI (11).

(20)

Negli ultimi anni Europol ha ricevuto da autorità di paesi terzi una grande quantità di dati biometrici di persone indagate e condannate per terrorismo e reati, in conformità del regolamento (UE) 2016/794, incluse informazioni del campo di battaglia da zone di guerra. In molti casi, non è stato possibile utilizzare appieno tali dati perché non sempre sono a disposizione delle autorità competenti degli Stati membri. Includere i dati forniti da paesi terzi e conservati da Europol nel quadro Prüm II, e quindi mettere tali dati a disposizione delle autorità competenti degli Stati membri in linea con il ruolo di Europol come polo centrale dell’Unione per lo scambio di informazioni sulla criminalità, è necessario per migliorare la prevenzione, l’indagine e l’accertamento dei reati gravi. Ciò contribuisce inoltre a creare sinergie tra diversi strumenti di contrasto, garantendo che i dati siano utilizzati nel modo più efficiente possibile.

(21)

Europol dovrebbe essere in grado di consultare le banche dati degli Stati membri nel contesto del quadro Prüm II con i dati ricevuti dalle autorità di paesi terzi, nel pieno rispetto delle norme e delle condizioni di cui al regolamento (UE) 2016/794, al fine di stabilire collegamenti transfrontalieri tra casi di rilevanza penale di competenza di Europol. La possibilità di utilizzare i dati Prüm, unitamente ad altre banche dati a disposizione di Europol, consentirebbe di effettuare un’analisi più completa e informata, permettendo dunque a Europol di fornire un sostegno migliore alle autorità competenti degli Stati membri a fini di prevenzione, indagine e accertamento di reati.

(22)

Europol dovrebbe provvedere affinché le sue domande di consultazione non eccedano le capacità di consultazione per i dati dattiloscopici e le immagini del volto stabilite dagli Stati membri. In caso di corrispondenza tra i dati utilizzati per la ricerca e quelli conservati nelle banche dati degli Stati membri, dovrebbe spettare a questi ultimi decidere se fornire a Europol le informazioni necessarie allo svolgimento dei suoi compiti.

(23)

Il regolamento (UE) 2016/794 si applica alla partecipazione di Europol al quadro Prüm II. Qualsiasi utilizzo da parte di Europol di dati ricevuti da paesi terzi è disciplinato dall’articolo 19 del regolamento (UE) 2016/794. Qualsiasi utilizzo da parte di Europol di dati ottenuti da consultazioni automatizzate nel contesto del quadro Prüm II dovrebbe essere soggetto al consenso dello Stato membro che ha fornito i dati e dovrebbe essere disciplinato dall’articolo 25 del regolamento (UE) 2016/794 se i dati sono trasferiti in paesi terzi.

(24)

Le decisioni 2008/615/GAI e 2008/616/GAI stabiliscono una rete di connessioni bilaterali tra le banche dati nazionali degli Stati membri. Da tale architettura tecnica consegue che ogni Stato membro ha dovuto stabilire una connessione con ciascuno Stato membro partecipante agli scambi, vale a dire almeno 26 connessioni per Stato membro, per ciascuna categoria di dati. Il router ed EPRIS semplificheranno l’architettura tecnica del quadro Prüm e fungeranno da punti di connessione tra tutti gli Stati membri. Il router dovrebbe richiedere una connessione unica per Stato membro in relazione ai dati biometrici. EPRIS dovrebbe richiedere una connessione unica per Stato membro partecipante in relazione ai casellari giudiziali.

(25)

Il router dovrebbe essere connesso al portale di ricerca europeo istituito dai regolamenti (UE) 2019/817 (12) e (UE) 2019/818 (13) del Parlamento europeo e del Consiglio, al fine di consentire alle autorità competenti degli Stati membri e ad Europol di avviare interrogazioni delle banche dati nazionali a norma del presente regolamento contemporaneamente a interrogazioni dell’archivio comune di dati di identità istituito da tali regolamenti a fini di contrasto a norma di tali regolamenti. È pertanto opportuno modificare di conseguenza tali regolamenti. È inoltre opportuno modificare il regolamento (UE) 2019/818 al fine di consentire la conservazione delle relazioni e delle statistiche del router nell’archivio centrale di relazioni e statistiche.

(26)	Dovrebbe essere possibile che un numero di riferimento per dati biometrici sia costituito da un numero di riferimento provvisorio o da un numero di controllo dell’operazione.

(27)

I sistemi automatizzati di identificazione dattiloscopica e i sistemi di riconoscimento delle immagini del volto utilizzano template biometrici costituiti da dati ricavati mediante estrazione di parametri di campioni biometrici effettivi. I template biometrici dovrebbero essere ottenuti da dati biometrici, ma non dovrebbe essere possibile ottenere gli stessi dati biometrici dai template biometrici.

(28)

Il router dovrebbe classificare, qualora così deciso dallo Stato membro richiedente e se del caso a seconda del tipo di dati biometrici, le risposte dello Stato membro o degli Stati membri richiesti o di Europol, confrontando i dati biometrici utilizzati per l’interrogazione e i dati biometrici forniti nelle risposte dello Stato membro o degli Stati membri richiesti o di Europol.

(29)

In caso di corrispondenza tra i dati utilizzati per la ricerca e i dati conservati nella banca dati nazionale dello Stato membro o degli Stati membri richiesti, previa conferma manuale di tale corrispondenza da parte di un membro del personale qualificato dello Stato membro richiedente e previa trasmissione di una descrizione dei fatti e di un’indicazione del reato base mediante la tavola comune delle categorie di reato contenuta in un atto delegato da adottare a norma della decisione quadro 2009/315/GAI, lo Stato membro richiesto dovrebbe trasmettere una serie limitata di dati di base, nella misura in cui tali dati di base sono disponibili. La serie limitata di dati di base dovrebbe essere trasmessa tramite il router e, tranne se è richiesta un’autorizzazione giudiziaria a norma del diritto nazionale, entro 48 ore da quando sono soddisfatte le condizioni pertinenti. Tale termine garantirà uno scambio rapido di comunicazioni tra le autorità competenti degli Stati membri. Gli Stati membri dovrebbero mantenere il controllo della diffusione di tale serie limitata di dati di base. Dovrebbe essere mantenuto l’intervento umano nei passaggi chiave del processo, anche per quanto riguarda la decisione di avviare un’interrogazione, confermare una corrispondenza, avviare una domanda per ricevere una serie di dati di base a seguito della conferma di una corrispondenza e trasmettere dati personali allo Stato membro richiedente, al fine di garantire che dati di base non siano scambiati in modo automatizzato.

(30)

Nel caso specifico del DNA, lo Stato membro richiesto dovrebbe essere in grado di confermare una corrispondenza tra due profili DNA, qualora ciò sia pertinente per le indagini penali. Previa conferma di tale corrispondenza da parte dello Stato membro richiesto e previa trasmissione di una descrizione dei fatti e di un’indicazione del reato base mediante la tavola comune delle categorie di reato contenuta in un atto delegato da adottare a norma della decisione quadro 2009/315/GAI, lo Stato membro richiedente dovrebbe trasmettere una serie limitata di dati di base tramite il router entro 48 ore da quando sono soddisfatte delle condizioni pertinenti, tranne se è richiesta un’autorizzazione giudiziaria a norma del diritto nazionale.

(31)	I dati legittimamente forniti e ricevuti a norma del presente regolamento sono soggetti a limiti temporali per la conservazione e la revisione stabiliti ai sensi della direttiva (UE) 2016/680.

(32)

Per lo sviluppo del router e di EPRIS dovrebbe essere utilizzato, per quanto possibile, lo standard del formato universale dei messaggi (UMF). Qualsiasi scambio automatizzato di dati a norma del presente regolamento dovrebbe utilizzare, per quanto possibile, lo standard UMF. Le autorità competenti degli Stati membri ed Europol sono inoltre incoraggiate a utilizzare lo standard UMF anche in relazione a ulteriori scambi di dati tra di loro nel quadro Prüm II. Lo standard UMF dovrebbe fungere da standard per lo scambio strutturato delle informazioni a livello transfrontaliero tra i sistemi di informazione, le autorità o le organizzazioni del settore Giustizia e affari interni.

(33)	Solo le informazioni non classificate dovrebbero essere scambiate tramite il quadro Prüm II.

(34)

Ciascuno Stato membro dovrebbe comunicare agli altri Stati membri, alla Commissione, all’Agenzia dell’Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA), istituita dal regolamento (UE) 2018/1726 del Parlamento europeo e del Consiglio (14), e a Europol, il contenuto delle proprie banche dati nazionali messe a disposizione tramite il quadro Prüm II e le condizioni per le consultazioni automatizzate.

(35)

Taluni aspetti del quadro Prüm II non possono essere trattati in modo esaustivo dal presente regolamento per la loro natura tecnica, fortemente dettagliata e soggetta a frequenti cambiamenti. Tra tali aspetti figurano ad esempio le modalità e le specifiche tecniche per le procedure di consultazione automatizzata, le norme per lo scambio di dati, comprese le norme minime di qualità, e i dati da scambiare. È opportuno attribuire alla Commissione competenze di esecuzione al fine di garantire condizioni uniformi di esecuzione del presente regolamento in relazione a tali aspetti. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (15).

(36)

La qualità dei dati riveste, in quanto garanzia, la massima importanza ed è un prerequisito essenziale per garantire l’efficienza del presente regolamento. Nel contesto delle consultazioni automatizzate di dati biometrici, nonché al fine di garantire che i dati trasmessi siano di qualità sufficiente e di ridurre il rischio di false corrispondenze, dovrebbe essere stabilita una norma minima di qualità da riesaminare periodicamente.

(37)

Data la portata e la sensibilità dei dati personali scambiati ai fini del presente regolamento e l’esistenza di norme nazionali diverse per la conservazione delle informazioni sulle persone fisiche nelle banche dati nazionali, è importante garantire che le banche dati utilizzate per la consultazione automatizzata a norma del presente regolamento siano istituite conformemente al diritto nazionale e alla direttiva (UE) 2016/680. Pertanto, prima di collegare le rispettive banche dati nazionali al router o a EPRIS, gli Stati membri dovrebbero effettuare una valutazione d’impatto sulla protezione dei dati di cui alla direttiva (UE) 2016/680 e, se del caso, consultare l’autorità di controllo stabilita da tale direttiva.

(38)

Gli Stati membri ed Europol dovrebbero assicurare l’esattezza e la pertinenza dei dati personali trattati ai sensi del presente regolamento. Qualora uno Stato membro o Europol venga a conoscenza del fatto che sono stati forniti dati inesatti o non più aggiornati o dati che non avrebbero dovuto essere stati trasmessi, ciò dovrebbe essere notificato allo Stato membro che ha ricevuto i dati o a Europol, se del caso, senza indebito ritardo. Tutti gli Stati membri interessati o Europol, a seconda dei casi, dovrebbero rettificare o cancellare i dati di conseguenza senza indebito ritardo. Qualora lo Stato membro che ha ricevuto i dati o Europol abbia motivo di ritenere che i dati trasmessi siano inesatti o che debbano essere cancellati, esso deve informare lo Stato membro che ha fornito i dati senza indebito ritardo.

(39)

È della massima importanza garantire un solido monitoraggio dell’attuazione del presente regolamento. In particolare, l’osservanza delle norme per il trattamento dei dati personali dovrebbe essere soggetta a garanzie efficaci e dovrebbero essere garantiti un monitoraggio e audit regolari da parte dei titolari del trattamento, delle autorità di controllo e del Garante europeo della protezione dei dati, a seconda dei casi. Dovrebbero essere previste disposizioni che consentano di verificare regolarmente l’ammissibilità delle interrogazioni e la legittimità del trattamento dei dati.

(40)

Le autorità di controllo e il Garante europeo della protezione dei dati dovrebbero assicurare un controllo coordinato dell’applicazione del presente regolamento nell’ambito delle loro competenze, in particolare qualora rilevino notevoli discrepanze tra le pratiche degli Stati membri o trasferimenti potenzialmente illeciti.

(41)	Nell’attuazione del presente regolamento è fondamentale che gli Stati membri ed Europol prendano atto della giurisprudenza della Corte di giustizia dell’Unione europea in relazione allo scambio di dati biometrici.

(42)

Tre anni dopo l’entrata in funzione del router e di EPRIS, e successivamente ogni quattro anni, la Commissione dovrebbe redigere una relazione di valutazione che includa una valutazione dell’applicazione del presente regolamento da parte degli Stati membri e di Europol, in particolare della loro conformità alle pertinenti garanzie di protezione dei dati. Le relazioni di valutazione dovrebbero inoltre includere un esame dei risultati conseguiti rispetto agli obiettivi del presente regolamento e del suo impatto sui diritti fondamentali. La relazioni di valutazione dovrebbero inoltre valutare anche l’impatto, le prestazioni, l’efficacia, l’efficienza, la sicurezza e le pratiche di lavoro del quadro Prüm II.

(43)	Dato che il presente regolamento prevede l’istituzione di un nuovo quadro Prüm, le disposizioni delle decisioni 2008/615/GAI e 2008/616/GAI non sono più pertinenti. È opportuno modificare di conseguenza tali decisioni.

(44)	Poiché il router è sviluppato e gestito da eu-LISA, è opportuno modificare il regolamento (UE) 2018/1726 aggiungendo tale attività ai compiti di eu-LISA.

(45)

Poiché gli obiettivi del presente regolamento, vale a dire intensificare la cooperazione transfrontaliera e permettere alle autorità competenti degli Stati membri di cercare persone scomparse e identificare resti umani non identificati, non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo della portata o degli effetti dell’azione, possono essere conseguiti meglio a livello di Unione, quest’ultima può adottare misure in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea (TUE). Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(46)	A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca, allegato al TUE e al TFUE, la Danimarca non partecipa all’adozione del presente regolamento, non è da esso vincolata né è soggetta alla sua applicazione.

(47)	A norma dell’articolo 3 del protocollo n. 21 sulla posizione del Regno Unito e dell’Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al TUE e al TFUE, l’Irlanda ha notificato che desidera partecipare all’adozione e all’applicazione del presente regolamento.

(48)	Il Garante europeo della protezione dei dati è stato consultato a norma dell’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 e ha espresso un parere in data 2 marzo 2022 (16),

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO 1

Disposizioni generali

Articolo 1

Oggetto

Il presente regolamento istituisce un quadro per la ricerca e lo scambio di informazioni tra le autorità competenti degli Stati membri (quadro Prüm II) stabilendo:

a)	le condizioni e le procedure per la consultazione automatizzata di profili DNA, dati dattiloscopici, determinati dati di immatricolazione dei veicoli, immagini del volto ed estratti del casellario giudiziale; e

b)	le norme relative allo scambio di dati di base a seguito di una corrispondenza confermata relativa a dati biometrici.

Articolo 2

Finalità

L’obiettivo del quadro Prüm II è di intensificare la cooperazione transfrontaliera nelle materie disciplinate dalla parte III, titolo V, capi 4 e 5, del trattato sul funzionamento dell’Unione europea, in particolare facilitando lo scambio di informazioni tra autorità competenti degli Stati membri, nel pieno rispetto dei diritti fondamentali delle persone fisiche, tra cui il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali, conformemente alla Carta dei diritti fondamentali dell’Unione europea.

L’obiettivo del quadro Prüm II è altresì di consentire alle autorità competenti degli Stati membri la ricerca di persone scomparse nel quadro di indagini penali o per motivi umanitari e l’identificazione di resti umani, conformemente all’articolo 29, a condizione che tali autorità siano state abilitate ad effettuare tali ricerche e tali identificazioni a norma del diritto nazionale.

Articolo 3

Ambito di applicazione

Il presente regolamento si applica alle banche dati istituite in conformità del diritto nazionale e utilizzate per il trasferimento automatizzato di: profili DNA, dati dattiloscopici, determinati dati di immatricolazione dei veicoli, immagini del volto ed estratti del casellario giudiziale e, conformemente, a seconda dei casi, alla direttiva (UE) 2016/680 o ai regolamenti (UE) 2018/1725, (UE) 2016/794 o (UE) 2016/679.

Articolo 4

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

1)	«loci» (singolare «locus»): posizioni del DNA che contengono caratteristiche identificative di un campione di DNA umano analizzato;

2)	«profilo DNA»: un codice alfanumerico che rappresenta una serie di loci o la particolare struttura molecolare nei vari loci;

3)	«dati indicizzati sul DNA»: il profilo DNA e il numero di riferimento di cui all’articolo 7;

4)	«profilo DNA identificato»: il profilo DNA di una persona identificata;

5)	«profilo DNA non identificato»: il profilo DNA rilevato nel corso delle indagini penali e appartenente a una persona non ancora identificata, compreso il profilo DNA ottenuto da tracce;

6)	«dati dattiloscopici»: immagini delle impronte digitali, immagini delle impronte digitali latenti, immagini delle impronte palmari, immagini delle impronte palmari latenti e modelli di tali immagini (minutiae codificate), che sono conservati e trattati in una banca dati automatizzata;

7)	«dati indicizzati dattiloscopici»: i dati dattiloscopici e il numero di riferimento di cui all’articolo 12;

8)	«dati dattiloscopici non identificati»: dati dattiloscopici raccolti nel corso delle indagini penali e appartenenti a una persona non ancora identificata, compresi dati dattiloscopici ottenuti da tracce;

9)	«dati dattiloscopici identificati»: i dati dattiloscopici di una persona identificata;

10)	«singolo caso»: un singolo fascicolo relativo alla prevenzione, all’accertamento o all’indagine di un reato, alla ricerca di una persona scomparsa o all’identificazione di resti umani non identificati;

11)	«immagine del volto»: un’immagine digitalizzata del volto;

12)	«dati indicizzati sull’immagine del volto»: l’immagine del volto e il numero di riferimento di cui all’articolo 21;

13)	«immagine del volto non identificata»: un’immagine del volto raccolta nel corso di un’indagine penale e appartenente a una persona non ancora identificata, compresa un’immagine del volto ottenuta da tracce;

14)	«immagine del volto identificata»: l’immagine del volto di una persona identificata;

15)	«dati biometrici»: profili DNA, dati dattiloscopici o immagini del volto;

16)	«dati alfanumerici»: i dati rappresentati da lettere, cifre, caratteri speciali, spazi e segni di punteggiatura;

17)	«corrispondenza»: la coincidenza risultante da un confronto automatizzato tra dati personali registrati conservati in una banca dati;

18)	«candidato»: i dati rispetto ai quali è stata verificata una corrispondenza;

19)	«Stato membro richiedente»: uno Stato membro che effettua una consultazione tramite il quadro Prüm II;

20)	«Stato membro richiesto»: uno Stato membro le cui banche dati sono consultate dallo Stato membro richiedente tramite il quadro Prüm II;

21)	«estratto del casellario giudiziale»: i dati anagrafici di persone indagate e condannate disponibili nelle banche dati nazionali istituite a fini di prevenzione, indagine e accertamento di reati;

22)	«pseudonimizzazione»: la pseudonimizzazione quale definita all’articolo 3, punto 5, della direttiva (UE) 2016/680;

23)	«indagato»: una persona quale definita all’articolo 6, lettera a), della direttiva (UE) 2016/680;

24)	«dati personali»: i dati personali quali definiti all’articolo 3, punto 1, della direttiva (UE) 2016/680;

25)	«dati Europol»: qualsiasi dato personale operativo trattato da Europol a norma del regolamento (UE) 2016/794;

26)

«autorità competente»: qualsiasi autorità pubblica competente in materia di prevenzione, indagine o accertamento di reati, o qualsiasi altro organismo o soggetto incaricato dal diritto di uno Stato membro di esercitare l’autorità pubblica e i pubblici poteri per le finalità di prevenzione, indagine o accertamento di reati;

27)	«autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro a norma dell’articolo 41 della direttiva (UE) 2016/680;

28)	«SIENA»: l’applicazione di rete per lo scambio sicuro di informazioni, gestita e sviluppata da Europol in conformità del regolamento (UE) 2016/794;

29)	«incidente»: un incidente quale definito all’articolo 6, punto 6, della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio (17).

30)	«incidente significativo»: qualsiasi incidente, salvo se tale incidente presenta un impatto limitato ed è probabile che sia già adeguatamente compreso in termini di metodo o tecnologia;

31)	«minaccia informatica significativa»: una minaccia informatica caratterizzata dalla possibilità, dalla capacità e dalla finalità di causare un incidente significativo;

32)	«vulnerabilità significativa»: una vulnerabilità che, se sfruttata, porterà probabilmente a un incidente significativo.

CAPO 2

Scambio di dati

Sezione 1

Profili DNA

Articolo 5

Dati indicizzati sul DNA

1. Gli Stati membri garantiscono che siano disponibili dati indicizzati sul DNA ottenuti dalle loro banche dati nazionali del DNA ai fini delle consultazioni automatizzate da parte di altri Stati membri e di Europol a norma del presente regolamento.

I dati indicizzati sul DNA non contengono alcun dato aggiuntivo che consenta l’identificazione diretta di una persona fisica.

I profili DNA non identificati sono riconoscibili come tali.

2. I dati indicizzati sul DNA sono trattati in conformità del presente regolamento e nel rispetto del diritto nazionale applicabile al trattamento di tali dati.

3. La Commissione adotta atti di esecuzione per specificare le caratteristiche identificative del profilo DNA da scambiare. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 6

Consultazione automatizzata dei profili DNA

1. Ai fini delle indagini penali, gli Stati membri, al momento della prima connessione al router tramite i loro punti di contatto nazionali, effettuano una consultazione automatizzata confrontando tutti i profili DNA conservati nelle loro banche dati del DNA con tutti i profili DNA conservati nelle banche dati del DNA di tutti gli altri Stati membri e con i dati Europol. Ogni Stato membro concorda bilateralmente con ogni atro Stato membro e con Europol le modalità di tali consultazioni automatizzate conformemente alle norme e alle procedure stabilite nel presente regolamento.

2. Ai fini delle indagini penali gli Stati membri effettuano, tramite i loro punti di contatto nazionali, consultazioni automatizzate confrontando tutti i nuovi profili DNA aggiunti nelle rispettive banche dati nazionali del DNA con tutti i profili DNA conservati nelle banche dati del DNA di tutti gli altri Stati membri e con i dati Europol.

3. Qualora le consultazioni di cui al paragrafo 2 non possa aver luogo, lo Stato membro interessato può concordare con ogni altro Stato membro e con Europol di effettuarle in una fase successiva confrontando i profili DNA con tutti i profili DNA conservati nelle banche dati del DNA di tutti gli altri Stati membri e con i dati Europol. Lo Stato membro interessato conviene bilateralmente con ogni altro Stato membro e con Europol ed Europol concorda le modalità di tali consultazioni automatizzate conformemente alle norme e alle procedure stabilite nel presente regolamento.

4. Le consultazioni di cui ai paragrafi 1, 2 e 3 sono svolte solo nel contesto di ciascun singolo caso e nel rispetto del diritto nazionale dello Stato membro richiedente.

5. Se una consultazione automatizzata rivela che un profilo DNA corrisponde a profili DNA archiviati nella o nelle banche dati consultate dello Stato membro richiesto, il punto di contatto nazionale dello Stato membro richiedente riceve in modo automatizzato i dati indicizzati sul DNA con cui è stata riscontrata una corrispondenza.

6. Il punto di contatto nazionale dello Stato membro richiedente può decidere di confermare una corrispondenza tra due profili DNA. Qualora decida di confermare una corrispondenza tra due profili DNA, ne informa lo Stato membro richiesto e assicura che almeno un membro del personale qualificato conduca un esame manuale per confermare tale corrispondenza con i dati indicizzati sul DNA ricevuti dallo Stato membro richiesto.

7. Se pertinente ai fini delle indagini penali, il punto di contatto nazionale dello Stato membro richiesto può decidere di confermare una corrispondenza tra due profili DNA. Qualora decida di confermare una corrispondenza tra due profili DNA, ne informa lo Stato membro richiedente e assicura che almeno un membro del personale qualificato conduca un esame manuale per confermare tale corrispondenza con i dati indicizzati sul DNA ricevuti dallo Stato membro richiedente.

Articolo 7

Numeri di riferimento per i profili DNA

I numeri di riferimento per i profili DNA sono costituiti da una combinazione degli elementi seguenti:

un numero di riferimento che consenta agli Stati membri, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni dalle loro banche dati nazionali del DNA al fine di trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente all’articolo 47, oppure a Europol conformemente all’articolo 49, paragrafo 6;

b)	un numero di riferimento che consenta a Europol, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni ai fini dell’articolo 48, paragrafo 1, del presente regolamento per trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente al regolamento (UE) 2016/794;

c)	un codice indicante lo Stato membro che detiene il profilo DNA;

d)	un codice indicante se il tipo di profilo DNA sia un profilo DNA identificato o un profilo DNA non identificato.

Articolo 8

Principi applicati allo scambio di profili DNA

1. Gli Stati membri adottano misure appropriate, compresa la cifratura, per garantire la riservatezza e l’integrità dei dati indicizzati sul DNA trasmessi ad altri Stati membri o a Europol. Europol adotta misure appropriate, compresa la cifratura, per garantire la riservatezza e l’integrità dei dati indicizzati sul DNA trasmessi ad altri Stati membri.

2. Ogni Stato membro ed Europol provvedono affinché i profili DNA che trasmettono siano di qualità sufficiente per il confronto automatizzato. La Commissione stabilisce, tramite un atto di esecuzione, una norma minima di qualità per consentire il confronto dei profili DNA.

3. La Commissione adotta atti di esecuzione per specificare le applicabili norme europee o internazionali applicabili che gli Stati membri ed Europol devono utilizzare per lo scambio di dati indicizzati sul DNA.

4. Gli atti di esecuzione di cui ai paragrafi 2 e 3 del presente articolo sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 9

Norme per le domande e le risposte concernenti i profili DNA

1. La domanda di consultazione automatizzata contiene unicamente le informazioni seguenti:

a)	il codice dello Stato membro richiedente;

b)	la data, l’ora e il numero di riferimento della domanda;

c)	i dati indicizzati sul DNA;

d)	se i tipi di profili DNA trasmessi siano profili DNA non identificati o profili DNA identificati.

2. Una risposta a una domanda di cui al paragrafo 1 contiene soltanto le informazioni seguenti:

a)	l’indicazione della presenza di una o più corrispondenze, o della mancanza di corrispondenze;

b)	la data, l’ora e il numero di riferimento della domanda;

c)	la data, l’ora e il numero di riferimento della risposta;

d)	i codici dello Stato membro richiedente e dello Stato membro richiesto;

e)	i numeri di riferimento dei profili DNA dello Stato membro richiedente e dello Stato membro richiesto;

f)	se i profili DNA trasmessi siano profili DNA non identificati o profili DNA identificati;

g)	i profili DNA per i quali è stata riscontrata una corrispondenza.

3. Una corrispondenza è notificata automaticamente soltanto se la consultazione automatizzata abbia evidenziato una corrispondenza di un numero minimo di loci. La Commissione adotta atti di esecuzione per specificare il numero minimo di loci a tal fine, secondo la procedura di cui all’articolo 77, paragrafo 2.

4. Se una consultazione con profili DNA non identificati produce una corrispondenza, ciascuno Stato membro richiesto che disponga di dati corrispondenti può inserire nella propria banca dati nazionale un contrassegno indicante che è stata riscontrata una corrispondenza per tale profilo DNA a seguito della consultazione effettuata da un altro Stato membro. Il contrassegno riporta il numero di riferimento del profilo DNA usato dallo Stato membro richiedente.

5. Gli Stati membri provvedono affinché le domande di cui al paragrafo 1 del presente articolo siano coerenti con le notifiche inviate a norma dell’articolo 74. Tali notifiche figurano nel manuale pratico di cui all’articolo 79.

Sezione 2

Dati dattiloscopici

Articolo 10

Dati indicizzati dattiloscopici

1. Gli Stati membri garantiscono che siano disponibili dati indicizzati dattiloscopici ottenuti dalle loro banche dati nazionali istituite per la prevenzione, l’indagine e l’accertamento di reati.

2. I dati indicizzati dattiloscopici non contengono alcun dato aggiuntivo che consenta l’identificazione diretta di una persona fisica.

3. I dati dattiloscopici non identificati sono riconoscibili come tali.

Articolo 11

Consultazione automatizzata di dati dattiloscopici

1. Ai fini della prevenzione, dell’indagine e dell’accertamento di reati, gli Stati membri autorizzano i punti di contatto nazionali degli altri Stati membri ed Europol ad accedere ai dati indicizzati dattiloscopici delle loro banche dati nazionali create a tal fine, per procedere a consultazioni automatizzate tramite il confronto dei dati indicizzati dattiloscopici.

Le consultazioni di cui al primo comma sono svolte solo nel contesto di ciascun singolo caso e nel rispetto del diritto nazionale dello Stato membro richiedente.

2. Il punto di contatto nazionale dello Stato membro richiedente può decidere di confermare una corrispondenza tra una serie di dati dattiloscopici. Qualora decida di confermare una corrispondenza fra due serie di dati dattiloscopici, ne informa lo Stato membro richiesto e assicura che almeno un membro del personale qualificato conduca un esame manuale per confermare la corrispondenza con i dati indicizzati dattiloscopici ricevuti dallo Stato membro richiesto.

Articolo 12

Numeri di riferimento per i dati dattiloscopici

I numeri di riferimento per i dati dattiloscopici sono costituiti da una combinazione degli elementi seguenti:

un numero di riferimento che consenta agli Stati membri, in caso di corrispondenza, di estrarre dati ulteriori e altre informazioni dalle loro banche dati di cui all’articolo 10 al fine di trasmetterli a uno, ad alcuni o a tutti gli Stati membri conformemente all’articolo 47 oppure a Europol conformemente all’articolo 49, paragrafo 6;

b)	un numero di riferimento che consenta a Europol, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni ai fini dell’articolo 48, paragrafo 1, del presente regolamento per trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente al regolamento (UE) 2016/794;

c)	un codice indicante lo Stato membro che detiene i dati dattiloscopici.

Articolo 13

Principi applicati allo scambio di dati dattiloscopici

1. Gli Stati membri adottano misure appropriate, compresa la cifratura, per garantire la riservatezza e l’integrità dei dati dattiloscopici trasmessi agli altri Stati membri o a Europol. Europol adotta misure appropriate, compresa la cifratura, per garantire la riservatezza e l’integrità dei dati dattiloscopici trasmessi agli altri Stati membri.

2. Ciascuno Stato membro ed Europol garantiscono che i dati dattiloscopici da essi trasmessi siano di qualità sufficiente per il confronto automatizzato. La Commissione stabilisce tramite atti di esecuzione una norma minima di qualità per consentire il confronto dei dati dattiloscopici.

3. I dati dattiloscopici devono essere digitalizzati e trasmessi agli altri Stati membri o a Europol conformemente alle norme europee o internazionali. La Commissione adotta atti di esecuzione per specificare le pertinenti norme europee o internazionali applicabili che gli Stati membri ed Europol devono utilizzare per lo scambio di dati dattiloscopici.

4. Gli atti di esecuzione di cui ai paragrafi 2 e 3 del presente articolo sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 14

Capacità di consultazione per i dati dattiloscopici

1. Ogni Stato membro provvede affinché le proprie domande di consultazione non eccedano le capacità di consultazione specificate dallo Stato membro richiesto o da Europol, in modo da assicurare la disponibilità del sistema ed evitare di sovraccaricarlo. Allo stesso fine, Europol provvede affinché le proprie domande di consultazione non eccedano le capacità di consultazione specificate dallo Stato membro richiesto

Gli Stati membri informano gli altri Stati membri, la Commissione, eu-Lisa ed Europol in merito alle loro capacità massime di consultazione giornaliere per i dati dattiloscopici identificati e non identificati. Europol informa gli Stati membri, la Commissione, eu-Lisa in merito alle loro capacità massime di consultazione giornaliere per i dati dattiloscopici identificati e non identificati. Gli Stati membri o da Europol possono incrementare tali capacità di consultazione in modo temporaneo o permanente in qualsiasi momento, anche in caso di urgenza. Se uno Stato membro aumenta tali capacità massime di consultazione, comunica agli altri Stati membri, alla Commissione, a eu-LISA e a Europol, le nuove capacità massime di consultazione. Se Europol aumenta tali capacità massime di consultazione, notifica agli altri Stati membri, alla Commissione, a eu-LISA le nuove capacità massime di consultazione

2. La Commissione adotta atti di esecuzione per specificare il numero massimo di candidati accettati ai fini del confronto per ciascuna trasmissione e la distribuzione tra gli Stati membri delle capacità di consultazione inutilizzate, secondo la procedura di cui all’articolo 77, paragrafo 2.

Articolo 15

Norme sulle domande e sulle risposte concernenti i dati dattiloscopici

1. Una domanda di consultazione automatizzata comprende soltanto le informazioni seguenti:

a)	il codice dello Stato membro richiedente;

b)	la data, l’ora e il numero di riferimento della domanda;

c)	i numeri di riferimento dei dati dattiloscopici.

2. Una risposta a una domanda di cui al paragrafo 1 contiene soltanto le informazioni seguenti:

a)	l’indicazione della presenza di una o più corrispondenze, o della mancanza di corrispondenze;

b)	la data, l’ora e il numero di riferimento della domanda;

c)	la data, l’ora e il numero di riferimento della risposta;

d)	i codici dello Stato membro richiedente e dello Stato membro richiesto;

e)	i numeri di riferimento dei dati dattiloscopici dello Stato membro richiedente e dello Stato membro richiesto;

f)	i dati dattiloscopici per i quali è stata riscontrata una corrispondenza.

3. Gli Stati membri provvedono affinché le domande di cui al paragrafo 1 del presente articolo siano coerenti con le notifiche inviate a norma dell’articolo 74. Tali notifiche figurano nel manuale pratico di cui all’articolo 79.

Sezione 3

Dati di immatricolazione dei veicoli

Articolo 16

Consultazione automatizzata di dati di immatricolazione dei veicoli

1. Ai fini della prevenzione, dell’indagine e dell’accertamento di reati, gli Stati membri consentono ai punti di contatto nazionali di altri Stati membri ed a Europol l’accesso ai seguenti dati nazionali di immatricolazione dei veicoli, per condurre consultazioni automatizzate nel contesto di ciascun singolo caso:

a)	dati relativi ai proprietari o ai possessori di veicoli;

b)	dati relativi ai veicoli.

2. Le consultazioni di cui al paragrafo 1 sono effettuate soltanto con i dati seguenti:

a)	un numero completo di telaio;

b)	un numero completo di immatricolazione; o

c)	se autorizzate dalla legislazione nazionale dello Stato membro richiesto, i dati relativi al proprietario o al possessore del veicolo.

3. Le ricerche di cui al paragrafo 1 effettuate sulla base dei dati relativi al proprietario o al possessore del veicolo sono effettuate solo in caso di persone indagate o condannate. Ai fini di tali ricerche sono utilizzati tutti i dati identificativi seguenti:

se il proprietario o il possessore del veicolo è una persona fisica:

i)	il nome o i nomi della persona fisica;

ii)	il cognome o i cognomi della persona fisica; e

iii)	la data di nascita della persona fisica;

b)	se il proprietario o il possessore del veicolo è una persona giuridica, il nome di tale persona giuridica.

4. Le consultazioni di cui al paragrafo 1 sono svolte solo nel rispetto del diritto nazionale dello Stato membro richiedente.

Articolo 17

Principi applicati alla consultazione automatizzata di dati di immatricolazione dei veicoli

1. Per la consultazione automatizzata di dati di immatricolazione dei veicoli, gli Stati membri utilizzano il sistema europeo d’informazione sui veicoli e le patenti di guida (EUCARIS).

2. Le informazioni scambiate tramite EUCARIS sono trasmesse in forma cifrata.

3. La Commissione adotta atti di esecuzione per specificare i dati di immatricolazione dei veicoli che possono essere scambiati e la procedura tecnica che consente a EUCARIS di consultare le banche dati degli Stati membri. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 18

Conservazione delle registrazioni

1. Ciascuno Stato membro conserva le registrazioni delle interrogazioni effettuate dal personale delle proprie autorità competenti debitamente autorizzato a scambiare dati di immatricolazione dei veicoli e le registrazioni delle interrogazioni richieste da altri Stati membri. Europol conserva le registrazioni delle interrogazioni effettuate dal proprio personale debitamente autorizzato.

Ciascuno Stato membro ed Europol conservano le registrazioni di tutti i trattamenti di dati riguardanti i dati di immatricolazione dei veicoli. Tali registrazioni comprendono gli elementi seguenti:

a)	Europol o lo Stato membro che ha avviato la domanda di interrogazione;

b)	la data e l’ora della domanda;

c)	la data e l’ora della risposta;

d)	le banche dati nazionali a cui è stata inviata la domanda di interrogazione;

e)	le banche dati nazionali che hanno fornito una risposta positiva.

2. Le registrazioni di cui al paragrafo 1 sono utilizzate unicamente per la raccolta di statistiche e per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità di un’interrogazione e della liceità del trattamento dei dati, e per garantire la sicurezza e l’integrità degli stessi. Le registrazioni sono protette dall’accesso non autorizzato con misure adeguate e sono cancellate tre anni dopo la loro creazione. Qualora, tuttavia, siano necessarie per procedure di monitoraggio già avviate, sono cancellate quando le procedure di monitoraggio non necessitano più delle registrazioni.

3. Per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità di un’interrogazione e della liceità del trattamento dei dati, i titolari del trattamento hanno accesso alle registrazioni per la verifica interna di cui all’articolo 55.

Sezione 4

Immagini del volto

Articolo 19

Dati indicizzati sulle immagini del volto

1. Gli Stati membri garantiscono che siano disponibili dati indicizzati sulle immagini del volto di indagati, condannati e, ove consentito dalla legislazione nazionale, vittime, provenienti dalle loro banche dati nazionali istituite per la prevenzione, l’indagine e l’accertamento di reati.

2. I dati indicizzati sulle immagini del volto non contengono alcun dato aggiuntivo dal quale sia possibile identificare direttamente una persona.

3. Le immagini del volto non identificate sono riconoscibili come tali.

Articolo 20

Consultazione automatizzata di immagini del volto

1. Ai fini della prevenzione, dell’indagine e dell’accertamento di reati punibili con una pena detentiva massima di almeno un anno ai sensi della legge dello Stato membro richiedente, gli Stati membri consentono ai punti di contatto nazionali di altri Stati membri e ad Europol di accedere ai dati indicizzati delle immagini del volto conservate nelle loro banche dati nazionali per condurre consultazioni automatizzate.

Le consultazioni di cui al primo comma sono svolte solo nel contesto di ciascun singolo caso e nel rispetto del diritto nazionale dello Stato membro richiedente.

È vietata la profilazione di cui all’articolo 11, paragrafo 3, della direttiva (UE) 2016/680.

2. Il punto di contatto nazionale dello Stato membro richiedente può decidere di confermare una corrispondenza tra due immagini del volto. Qualora decisa di confermare una corrispondenza tra due immagini del volto, ne informa lo Stato membro richiesto e assicura che almeno un membro del personale qualificato conduca un esame manuale dell’elenco per confermare tale corrispondenza con i dati di riferimento delle immagini del volto ricevute dallo Stato membro richiesto.

Articolo 21

Numeri di riferimento per le immagini del volto

I numeri di riferimento per le immagini del volto sono costituiti dalla combinazione degli elementi seguenti:

un numero di riferimento che consenta agli Stati membri, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni dalle loro banche dati di cui all’articolo 19 al fine di trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente all’articolo 47 o a Europol conformemente all’articolo 49, paragrafo 6;

un numero di riferimento che consenta a Europol, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni per i fini di cui all’articolo 48, paragrafo 1, del presente regolamento al fine di trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente al regolamento (UE) 2016/794;

c)	un codice indicante lo Stato membro che detiene le immagini del volto.

Articolo 22

Principi riguardanti lo scambio di immagini del volto

1. Gli Stati membri adottano misure appropriate, compresa la cifratura, per garantire la riservatezza e l’integrità delle immagini del volto trasmesse agli altri Stati membri o a Europol. Europol adotta misure appropriate, compresa la cifratura, per garantire la riservatezza e l’integrità delle immagini del volto trasmesse agli Stati membri.

2. Ogni Stato membro ed Europol provvedono affinché le immagini del volto che trasmettono siano di qualità sufficiente per il confronto automatizzato. La Commissione stabilisce, tramite atti di esecuzione, una norma minima di qualità per consentire il confronto delle immagini del volto. Se la relazione di cui all’articolo 80, paragrafo 7, evidenzia un elevato rischio di false corrispondenze, la Commissione riesamina tali atti di esecuzione.

3. La Commissione adotta atti di esecuzione per specificare le pertinenti norme europee o internazionali che devono essere utilizzate dagli Stati membri e da Europol per lo scambio di immagini del volto.

4. Gli atti di esecuzione di cui ai paragrafi 2 e 3 del presente articolo sono adottati secondo la procedura d’esame cui all’articolo 77, paragrafo 2.

Articolo 23

Capacità di consultazione per le immagini del volto

1. Ogni Stato membro provvede affinché le proprie domande di consultazione non eccedano le capacità di consultazione specificate dallo Stato membro richiesto o da Europol, in modo da assicurare la disponibilità dei sistemi ed evitare di sovraccaricarli. Al medesimo fine, Europol provvede affinché le proprie domande di consultazione non eccedano le capacità di consultazione specificate dallo Stato membro richiesto.

Gli Stati membri informano gli altri Stati membri, la Commissione, eu-LISA ed Europol, sulle loro capacità massime di consultazione giornaliere di immagini del volto identificate e non identificate. Europol informa gli Stati membri, la Commissione ed eu-LISA sulle proprie capacità massime di consultazione giornaliere di immagini del volto identificate e non identificate. Gli Stati membri o Europol possono incrementare tali capacità di consultazione in modo temporaneo o permanente in qualsiasi momento, anche in caso di urgenza. Qualora uno Stato membro aumenti tali capacità massime di consultazione, comunica agli altri Stati membri, alla Commissione, a eu-LISA e a Europol le nuove capacità massime di consultazione. Qualora Europol aumenti tali capacità massime di consultazione, comunica agli Stati membri, alla Commissione e a eu-LISA le nuove capacità massime di consultazione

2. La Commissione adotta atti di esecuzione per specificare il numero massimo di candidati accettati ai fini del confronto per ciascuna trasmissione nonché la distribuzione tra gli Stati membri delle capacità di consultazione inutilizzate, secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 24

Norme sulle domande e sulle risposte concernenti le immagini del volto

1. Una domanda di consultazione automatizzata di immagini del volto comprende soltanto le informazioni seguenti:

a)	il codice dello Stato membro richiedente;

b)	la data, l’ora e il numero di riferimento della domanda;

c)	le immagini del volto e i dati di riferimento.

2. La risposta alla domanda di cui al paragrafo 1 contiene soltanto le informazioni seguenti:

a)	l’indicazione della presenza di una o più corrispondenze, o della mancanza di corrispondenze;

b)	la data, l’ora e il numero di riferimento della domanda;

c)	la data, l’ora e il numero di riferimento della risposta;

d)	i codici dello Stato membro richiedente e dello Stato membro richiesto;

e)	i numeri di riferimento delle immagini del volto dello Stato membro richiedente e dello Stato membro richiesto;

f)	le immagini del volto per le quali è stata riscontrata una corrispondenza.

Sezione 5

Estratti del casellario giudiziale

Articolo 25

Estratti del casellario giudiziale

1. Gli Stati membri possono decidere di partecipare allo scambio automatizzato di estratti del casellario giudiziale. Ai fini di tali scambi, gli Stati membri partecipanti garantiscono la disponibilità di indici dei casellari giudiziali nazionali contenenti serie di dati anagrafici di persone sospettate e condannate desunti dalle banche dati nazionali istituite a fini di prevenzione, accertamento e indagine di reati. Tali serie di dati contengono solo i dati seguenti se del caso e nella misura in cui sono disponibili:

a)	nome o nomi;

b)	cognome o cognomi;

c)	alias e nome o nomi usati in precedenza;

d)	data di nascita;

e)	cittadinanza o cittadinanze;

f)	paese di nascita;

genere.

2. I dati di cui al paragrafo 1, lettere a), b) e c), sono pseudonimizzati.

Articolo 26

Consultazione automatizzata di indici dei casellari giudiziali nazionali

Ai fini della prevenzione, dell’indagine e dell’accertamento di reati punibili con una pena detentiva massima di almeno un anno ai sensi della legge dello Stato membro richiedente, gli Stati membri partecipanti allo scambio automatizzato di estratti del casellario giudiziale consentono ai punti di contatto nazionali degli altri Stati membri partecipanti e ad Europol di accedere ai dati dei rispettivi indici dei casellari giudiziali nazionali per effettuare consultazioni automatizzate.

Le consultazioni di cui al primo paragrafo sono svolte solo nel contesto di ciascun singolo caso e nel rispetto del diritto nazionale dello Stato membro richiedente.

Articolo 27

Numeri di riferimento per gli estratti del casellario giudiziale

I numeri di riferimento per gli estratti del casellario giudiziale sono costituiti dalla combinazione degli elementi seguenti:

un numero di riferimento che consenta agli Stati membri, in caso di corrispondenza, di estrarre dati anagrafici e altre informazioni dai loro indici dei casellari giudiziali nazionali di cui all’articolo 25 al fine di trasmetterli a uno, ad alcuni o a tutti gli Stati membri conformemente all’articolo 44;

b)	un codice indicante lo Stato membro che detiene l’estratto del casellario giudiziale.

Articolo 28

Norme sulle domande e sulle risposte concernenti gli estratti del casellario giudiziale

1. Una domanda di consultazione automatizzata degli indici nazionali dei casellari giudiziali comprende soltanto le informazioni seguenti:

a)	il codice dello Stato membro richiedente;

b)	la data, l’ora e il numero di riferimento della domanda;

c)	i dati di cui all’articolo 25, se disponibili.

2. La risposta alla domanda di cui al paragrafo 1 contiene soltanto le informazioni seguenti:

a)	l’indicazione del numero di corrispondenze;

b)	la data, l’ora e il numero di riferimento della domanda;

c)	la data, l’ora e il numero di riferimento della risposta;

d)	i codici dello Stato membro richiedente e dello Stato membro richiesto;

e)	i numeri di riferimento degli estratti del casellario giudiziale dello Stato membro richiedente e dello Stato membro richiesto.

Sezione 6

Disposizioni comuni

Articolo 29

Persone scomparse e resti umani non identificati

1. Qualora un’autorità nazionale sia stata autorizzata da misure legislative nazionali di cui al paragrafo 2, essa può effettuare consultazioni automatizzate attraverso il quadro Prüm II esclusivamente allo scopo di:

a)	cercare persone scomparse nell’ambito di indagini penali o per motivi umanitari;

b)	identificare resti umani.

2. Gli Stati membri che intendono avvalersi della possibilità di cui al paragrafo 1 designano, mediante misure legislative nazionali, le autorità nazionali competenti ai fini ivi stabiliti e stabiliscono le procedure, le condizioni e i criteri, compresi i motivi umanitari sulla base dei quali è permesso effettuare ricerche automatizzate di persone scomparse di cui al paragrafo 1, lettera a).

Articolo 30

Punti di contatto nazionali

Ciascuno Stato membro designa uno o più punti di contatto nazionali ai fini di cui agli articoli 6, 11, 16, 20 e 26.

Articolo 31

Misure di attuazione

La Commissione adotta atti di esecuzione per specificare le modalità tecniche per gli Stati membri riguardo alle procedure di cui agli articoli 6, 11, 16, 20 e 26. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 32

Disponibilità dello scambio automatizzato di dati a livello nazionale

1. Gli Stati membri adottano tutte le misure necessarie per garantire che la consultazione automatizzata di profili DNA, dati dattiloscopici, determinati dati di immatricolazione dei veicoli, immagini del volto ed estratti del casellario giudiziale possa effettuarsi 24 ore su 24 e 7 giorni su 7.

2. I punti di contatto nazionali provvedono immediatamente a informarsi reciprocamente e a informare la Commissione, eu-LISA ed Europol per quanto concerne qualsiasi indisponibilità dello scambio automatizzato di dati, compresi, se del caso, eventuali guasti tecnici che causano tale indisponibilità.

I punti di contatto nazionali, conformemente al diritto dell’Unione e nazionale applicabile, concordano a titolo temporaneo sistemi alternativi di scambio di informazioni conformemente al diritto dell’Unione e nazionale applicabile da utilizzare nei casi in cui non sia disponibile lo scambio automatizzato di dati.

3. Qualora lo scambio automatizzato di dati non sia disponibile, i punti di contatto nazionali provvedono a ristabilirlo con ogni mezzo necessario e senza ritardo.

Articolo 33

Giustificazione per il trattamento dei dati

1. Ciascuno Stato membro conserva una registrazione delle giustificazioni delle interrogazioni formulate dalle sue autorità competenti.

Europol conserva registrazione delle giustificazioni delle interrogazioni che formula.

2. Le giustificazioni di cui al paragrafo 1 contengono:

a)	la finalità dell’interrogazione, compreso un riferimento al caso specifico o all’indagine specifica e, ove applicabile, al reato;

b)	l’indicazione dell’eventualità che l’interrogazione riguardi un indagato, una persona condannata per un reato, una vittima di reato, una persona scomparsa o resti umani non identificati;

c)	l’indicazione dell’eventualità che l’interrogazione intenda identificare una persona od ottenere maggiori dati su una persona nota.

3. Le giustificazioni di cui al paragrafo 1 del presente articolo sono tracciabili nelle registrazioni di cui agli articoli 18, 40 e 45. Tali giustificazioni sono utilizzate unicamente per valutare se le consultazioni sono proporzionali e necessarie ai fini della prevenzione, dell’indagine e dell’accertamento di un reato e per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità dell’interrogazione e della liceità del trattamento dei dati, e per garantire la sicurezza e l’integrità degli stessi. Le giustificazioni sono protette dall’accesso non autorizzato con misure adeguate e sono cancellate tre anni dopo la loro creazione. Qualora, tuttavia, siano necessarie per procedure di monitoraggio già avviate, sono cancellate quando le procedure di monitoraggio non necessitano più di giustificazione.

4. Per valutare la proporzionalità e la necessità delle consultazioni ai fini della prevenzione, dell’indagine e dell’accertamento di un reato e per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità di un’interrogazione e della liceità del trattamento dei dati, i titolari del trattamento hanno accesso a tali giustificazioni per la verifica interna di cui all’articolo 55.

Articolo 34

Uso del formato universale dei messaggi

1. Per lo sviluppo del router di cui all’articolo 35 del presente regolamento e dell’l’indice europeo dei casellari giudiziali (EPRIS) è utilizzato, se applicabile, lo standard del formato universale dei messaggi (UMF) stabilito a norma dell’articolo 38 del regolamento (UE) 2019/818.

2. Qualsiasi scambio automatizzato di dati a norma del presente regolamento utilizza lo standard UMF per quanto possibile.

CAPO 3

Architettura

Sezione 1

Router

Articolo 35

Router

1. Viene istituito un router al fine di facilitare l’instaurazione di connessioni tra gli Stati membri e tra gli Stati membri ed Europol per l’interrogazione e l’estrazione dei dati biometrici e l’assegnazione di un punteggio alle relative corrispondenze, nonché per l’estrazione di dati alfanumerici, in conformità del presente regolamento.

2. Il router è costituito da:

a)	un’infrastruttura centrale, che comprende uno strumento di ricerca per l’interrogazione simultanea delle banche dati nazionali di cui agli articoli 5, 10 e 19, e dei dati Europol;

b)	un canale di comunicazione sicuro tra l’infrastruttura centrale, le autorità competenti autorizzate a usare il router a norma dell’articolo 36 ed Europol;

c)	un’infrastruttura di comunicazione sicura tra l’infrastruttura centrale e il portale di ricerca europeo, istituito dall’articolo 6 del regolamento (UE) 2019/817 e dall’articolo 6 del regolamento (UE) 2019/818 ai fini dell’articolo 39.

Articolo 36

Uso del router

L’uso del router è riservato alle autorità competenti degli Stati membri che sono autorizzate ad avere accesso e a scambiare profili DNA, dati dattiloscopici e immagini del volto conformemente al presente regolamento, nonché a Europol, a norma del presente regolamento e del regolamento (UE) 2016/794.

Articolo 37

Procedimenti

1. Le autorità competenti autorizzate a usare il router conformemente all’articolo 36 o Europol presentano una domanda di interrogazione trasmettendo dati biometrici al router. Il router invia la domanda di interrogazione alle banche dati di tutti gli Stati membri o di Stati membri specifici e ai dati Europol simultaneamente ai dati presentati dall’utente conformemente ai suoi diritti di accesso.

2. Alla ricezione di una domanda di interrogazione dal router, ciascuno Stato membro richiesto interroga le proprie banche dati in modo automatizzato e senza ritardo. Alla ricezione di una domanda di interrogazione dal router, Europol interroga i dati Europol in modo automatizzato e senza ritardo.

3. Eventuali corrispondenze risultanti dalle interrogazioni di cui al paragrafo 2 sono rinviate al router in modo automatizzato. Lo Stato membro richiedente riceve una notifica automatizzata qualora non vi sia alcuna corrispondenza.

4. Il router classifica, qualora lo Stato membro richiedente decida e se del caso, le risposte confrontando i dati biometrici utilizzati per l’interrogazione e i dati biometrici forniti nelle risposte da parte dello Stato membro o degli Stati membri richiesti o di Europol.

5. Il router rinvia all’utente l’elenco dei dati biometrici per i quali è stata riscontrata una corrispondenza e le relative classifiche.

6. La Commissione adotta atti di esecuzione per specificare la procedura tecnica utilizzata dal router per interrogare le banche dati degli Stati membri e i dati Europol, il formato in cui il router risponde a tali richieste, nonché le norme tecniche per il confronto e la classificazione della corrispondenza tra dati biometrici. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 38

Controllo della qualità

Lo Stato membro richiesto verifica senza ritardo la qualità dei dati trasmessi con una procedura automatizzata.

Lo Stato membro richiesto informa senza ritardo lo Stato membro richiedente tramite il router qualora i dati risultino non idonei per un confronto automatizzato.

Articolo 39

Interoperabilità tra il router e l’archivio comune di dati di identità ai fini dell’accesso da parte delle autorità di contrasto

1. Qualora le autorità designate quali definite all’articolo 4, punto 20), del regolamento (UE) 2019/817 e all’articolo 4, punto 20), del regolamento (UE) 2019/818 sono autorizzate a usare il router conformemente all’articolo 36 del presente regolamento possono avviare un’interrogazione delle banche dati degli Stati membri e dei dati Europol simultaneamente a un’interrogazione dell’archivio comune di dati di identità, istituito dall’articolo 17 del regolamento (UE) 2019/817 e dall’articolo 17 del regolamento (UE) 2019/818, purché siano soddisfatte le condizioni pertinenti ai sensi del diritto dell’Unione e l’interrogazione sia avviata conformemente ai loro diritti di accesso. A tal fine il router interroga l’archivio comune di dati di identità tramite il portale di ricerca europeo.

2. Le interrogazioni rivolte all’archivio comune di dati di identità per fini di contrasto sono effettuate conformemente all’articolo 22 del regolamento (UE) 2019/817 e all’articolo 22 del regolamento (UE) 2019/818. Qualsiasi risultato derivante dalle interrogazioni viene trasmesso tramite il portale di ricerca europeo.

Le interrogazioni simultanee delle banche dati degli Stati membri, dei dati Europol e dell’archivio comune di dati di identità sono avviate soltanto qualora vi siano motivi ragionevoli per ritenere che i dati relativi a un indagato, all’autore di un reato o a una vittima di un reato di terrorismo o di altri reati gravi quali definiti rispettivamente all’articolo 4, punti 21) e 22), del regolamento (UE) 2019/817 e all’articolo 4, punti 21) e 22), del regolamento (UE) 2019/818, siano conservati nell’archivio comune di dati di identità.

Articolo 40

Conservazione delle registrazioni

1. eu-LISA conserva le registrazioni di tutti i trattamenti di dati effettuati nel router. Tali registrazioni comprendono gli elementi seguenti:

a)	se sia stato uno Stato membro o Europol ad avviare la domanda di interrogazione; qualora sia stato uno Stato membro ad avviare la domanda di interrogazione, lo Stato membro in questione;

b)	la data e l’ora della domanda;

c)	la data e l’ora della risposta;

d)	le banche dati nazionali o i dati Europol a cui è stata inviata la domanda di interrogazione;

e)	le banche dati nazionali o i dati Europol che hanno fornito una risposta;

f)	ove applicabile, il fatto che è stata effettuata un’interrogazione simultanea dell’archivio comune di dati di identità.

2. Ciascuno Stato membro conserva le registrazioni delle interrogazioni effettuate dal personale delle proprie autorità competenti debitamente autorizzato a usare il router, e le registrazioni delle interrogazioni richieste da altri Stati membri.

Europol conserva le registrazioni delle interrogazioni effettuate dal proprio personale debitamente autorizzato.

3. Le registrazioni di cui ai paragrafi 1 e 2 sono utilizzate unicamente per la raccolta di statistiche e per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità di un’interrogazione e della liceità del trattamento dei dati, e per garantire l’integrità e la sicurezza degli stessi. Le registrazioni sono protette dall’accesso non autorizzato con misure adeguate e sono cancellate tre anni dopo la loro creazione. Qualora, tuttavia, siano necessarie per procedure di monitoraggio già avviate, sono cancellate quando le procedure di monitoraggio non necessitano più delle registrazioni.

4. Per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità di un’interrogazione e della liceità del trattamento dei dati, i titolari del trattamento hanno accesso alle registrazioni per la verifica interna di cui all’articolo 55.

Articolo 41

Procedure di notifica in caso di impossibilità tecnica dell’uso del router

1. Qualora sia tecnicamente impossibile utilizzare il router per interrogare una o più banche dati nazionali o dati Europol a causa di un guasto del router, eu-LISA ne informa gli utilizzatori del router di cui all’articolo 36 in modo automatizzato. eu-LISA adotta misure adeguate per far fronte senza ritardo all’impossibilità tecnica di utilizzare il router.

2. Qualora sia tecnicamente impossibile usare il router per interrogare una o più banche dati nazionali a causa di un guasto dell’infrastruttura nazionale di uno Stato membro, quest’ultimo ne informa gli altri Stati membri, la Commissione, eu-LISA ed Europol in modo automatizzato. Lo Stato membro interessato adotta misure adeguate per affrontare senza ritardo l’impossibilità tecnica di utilizzare il router.

3. Qualora sia tecnicamente impossibile usare il router per interrogare i dati Europol a causa di un guasto dell’infrastruttura di Europol, Europol ne informa gli Stati membri, la Commissione ed eu-LISA e in modo automatizzato. Europol adotta misure adeguate per affrontare senza ritardo l’impossibilità tecnica di utilizzare il router.

Sezione 2

EPRIS

Articolo 42

EPRIS

1. È istituito l’indice europeo dei casellari giudiziali (EPRIS). Per la consultazione automatizzata degli indici dei casellari giudiziali nazionali di cui all’articolo 26, gli Stati membri ed Europol utilizzano EPRIS.

2. EPRIS è costituito da:

a)	un’infrastruttura decentrata negli Stati membri, comprendente uno strumento di consultazione che consenta l’interrogazione simultanea degli indici dei casellari giudiziali nazionali, sulla base delle banche dati nazionali;

b)	un’infrastruttura centrale a sostegno dello strumento di consultazione che consenta l’interrogazione simultanea degli indici dei casellari giudiziali nazionali;

c)	un canale di comunicazione sicuro tra l’infrastruttura centrale, gli Stati membri ed Europol.

Articolo 43

Uso di EPRIS

1. Ai fini della consultazione degli indici dei casellari giudiziali nazionali tramite EPRIS, è necessario utilizzare almeno due delle serie di dati seguenti:

a)	nome o nomi;

b)	cognome o cognomi;

c)	data di nascita.

2. Laddove disponibile si può utilizzare anche la serie di dati seguente:

a)	alias e nome o nomi usati in precedenza;

b)	cittadinanza o cittadinanze;

c)	paese di nascita;

genere.

3. I dati di cui al paragrafo 1, lettere a) e b), e al paragrafo 2, lettera a), utilizzati per le interrogazioni sono pseudonimizzati.

Articolo 44

Procedimenti

1. Qualora uno Stato membro o Europol presenta una domanda di interrogazione, fornisce i dati di cui all’articolo 43.

EPRIS invia la domanda di interrogazione agli indici dei casellari giudiziali nazionali degli Stati membri con i dati presentati dallo Stato membro richiedente o da Europol e conformemente al presente regolamento.

2. Previa ricezione di una domanda di interrogazione da EPRIS, ciascuno Stato membro interroga l’indice dei casellari giudiziali nazionale in modo automatizzato e senza ritardo.

3. Eventuali corrispondenze risultanti dalle interrogazioni di cui al paragrafo 1 degli indici dei casellari giudiziali di ciascuno Stato membro richiesto sono rinviate ad EPRIS in modo automatizzato.

4. L’elenco delle corrispondenze è rinviato da EPRIS allo Stato membro richiedente o a Europol in modo automatizzato. L’elenco delle corrispondenze indica la qualità della corrispondenza e lo Stato membro o gli Stati membri i cui indici dei casellari giudiziali contengono i dati che hanno determinato la corrispondenza o le corrispondenze.

5. Previa ricezione dell’elenco delle corrispondenze, lo Stato membro richiedente decide quali sono le corrispondenze alle quali è necessario dare seguito e invia una domanda motivata di follow-up contenente i dati di cui agli articoli 25 e 27, e qualsiasi ulteriore informazione pertinente allo Stato membro o agli Stati membri richiesti tramite SIENA. Lo Stato membro o gli Stati membri richiesti trattano tali domande senza ritardo per decidere se condividere i dati conservati nella loro banca dati.

6. La Commissione adotta atti di esecuzione per specificare la procedura tecnica di interrogazione da parte di EPRIS degli indici dei casellari giudiziali degli Stati membri e il formato e il numero massimo delle risposte. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 45

Conservazione delle registrazioni

1. Ogni Stato membro partecipante ed Europol conserva le registrazioni di tutti i trattamenti di dati in EPRIS. Tali registrazioni comprendono gli elementi seguenti:

a)	se sia stato uno Stato membro o Europol ad avviare la domanda di interrogazione; qualora sia stato uno Stato membro ad avviare la domanda, lo Stato membro in questione;

b)	la data e l’ora della domanda;

c)	la data e l’ora della risposta;

d)	le banche dati nazionali a cui è stata inviata la domanda di interrogazione;

e)	le banche dati nazionali che hanno fornito una risposta.

2. Ciascuno Stato membro partecipante conserva le registrazioni delle domande di interrogazione effettuate dal personale delle proprie autorità competenti debitamente autorizzato a usare EPRIS. Europol conserva le registrazioni delle domande di interrogazione effettuate dal proprio personale debitamente autorizzato.

3. Le registrazioni di cui ai paragrafi 1 e 2 sono utilizzate unicamente per la raccolta di statistiche, per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità di un’interrogazione e della liceità del trattamento dei dati, e per garantire la sicurezza e l’integrità degli stessi. Le registrazioni sono protette dall’accesso non autorizzato con misure adeguate e sono cancellate tre anni dopo la loro creazione. Qualora, tuttavia, siano necessarie per procedure di monitoraggio già avviate, sono cancellate quando le procedure di monitoraggio non necessitano più delle registrazioni.

Articolo 46

Procedure di notifica in caso di impossibilità tecnica dell’uso di EPRIS

1. Qualora sia tecnicamente impossibile usare EPRIS per interrogare uno o più indici dei casellari giudiziali nazionali a causa di un guasto dell’infrastruttura di Europol, quest’ultima ne informa gli Stati membri in modo automatizzato. Europol adotta misure per affrontare senza ritardo l’impossibilità tecnica di utilizzare EPRIS.

2. Qualora sia tecnicamente impossibile usare EPRIS per interrogare uno o più indici dei casellari giudiziali a causa di un guasto dell’infrastruttura nazionale di uno Stato membro, quest’ultimo ne informa gli altri Stati membri, la Commissione ed Europol in modo automatizzato. Gli Stati membri adottano misure per affrontare senza ritardo l’impossibilità tecnica di utilizzare EPRIS.

CAPO 4

Scambio di dati a seguito di una corrispondenza

Articolo 47

Scambio di dati di base

1. Una serie di dati di base è rinviata tramite il router entro 48 ore da quando sono soddisfatte tutte le condizioni seguenti:

a)	le procedure di cui agli articoli 6, 11 o 20 mostrano una corrispondenza tra i dati utilizzati per la consultazione e i dati conservati nella banca dati dello Stato membro o degli Stati membri richiesti;

la corrispondenza di cui alla lettera a) del presente paragrafo è stata confermata manualmente da parte di un membro qualificato del personale dello Stato membro richiedente di cui all’articolo 6, paragrafo 6, all’articolo 11, paragrafo 2, e all’articolo 20, paragrafo 2, o, in caso di profili DNA di cui all’articolo 6, paragrafo 7, dello Stato membro o degli Stati membri richiesti;

una descrizione dei fatti e un’indicazione del reato sottostante sono state trasmesse, utilizzando la tabella comune delle categorie di reati stabilita in un atto di esecuzione da adottare a norma dell’articolo 11 ter, paragrafo 1, lettera a), della decisione quadro 2009/315/GAI, da parte dello Stato membro richiedente o, in caso di profili DNA di cui all’articolo 6, paragrafo 7, dello Stato membro o dagli Stati membri richiesti, al fine di valutare la proporzionalità della richiesta, compresa la gravità del reato per il quale è stata effettuata una consultazione, conformemente al diritto nazionale dello Stato membro che fornisce la serie di dati di base.

2. Se, in base alla legislazione nazionale, uno Stato membro può fornire una serie particolare di dati di base solo previa autorizzazione giudiziaria, tale Stato membro può derogare ai termini stabiliti nel paragrafo 1 nella misura necessaria all’ottenimento di tale autorizzazione.

3. La serie di dati di base di cui al paragrafo 1 del presente articolo è rinviata dallo Stato membro richiesto o, in caso di profili DNA di cui all’articolo 6, paragrafo 7, dallo Stato membro richiedente.

4. Se la corrispondenza confermata riguarda dati identificati di una persona, l’insieme di dati di base di cui al paragrafo 1 contiene i seguenti dati, nella misura in cui sono disponibili:

a)	nome o nomi;

b)	cognome o cognomi;

c)	alias e nome o nomi usati in precedenza;

d)	data di nascita;

e)	cittadinanza o cittadinanze;

f)	luogo e paese di nascita;

sesso;

h)	la data e il luogo in cui i dati biometrici sono stati acquisiti;

i)	il reato per il quale i dati biometrici sono stati acquisiti;

j)	il numero della causa penale;

k)	l’autorità competente per la causa penale.

5. Se la corrispondenza confermata riguarda dati o tracce non identificati, l’insieme di dati di base di cui al paragrafo 1 contiene i seguenti dati, nella misura in cui sono disponibili:

a)	la data e il luogo in cui i dati biometrici sono stati acquisiti;

b)	il reato per il quale i dati biometrici sono stati acquisiti;

c)	il numero della causa penale;

d)	l’autorità competente per la causa penale.

6. Il rinvio della serie di dati di base da parte dello Stato membro richiesto o, in caso di profili DNA di cui all’articolo 6, paragrafo 7, dallo Stato membro richiedente è soggetta alla decisione di un essere umano.

CAPO 5

Europol

Articolo 48

Accesso da parte degli Stati membri ai dati biometrici forniti da paesi terzi e conservati da Europol

1. A norma del regolamento (UE) 2016/794, gli Stati membri hanno accesso tramite il router ai dati biometrici forniti a Europol da paesi terzi per le finalità di cui all’articolo 18, paragrafo 2, lettere a), b) e c), del medesimo regolamento, e possono consultare tali dati tramite il router.

2. Qualora dalla consultazione di cui al paragrafo 1 emerga una corrispondenza tra i dati utilizzati per la consultazione e i dati forniti da un paese terzo e conservati da Europol, è dato seguito alla procedura conformemente al regolamento (UE) 2016/794.

Articolo 49

Accesso da parte di Europol ai dati conservati nelle banche dati degli Stati membri tramite l’uso di dati forniti da paesi terzi

1. Ove necessario ai fini del conseguimento degli obiettivi di cui all’articolo 3 del regolamento (UE) 2016/794, Europol, conformemente a detto regolamento e al presente regolamento, ha accesso ai dati conservati dagli Stati membri nelle banche dati nazionali.

2. Le interrogazioni di Europol effettuate usando i dati biometrici come criterio di ricerca sono svolte tramite il router.

3. Le interrogazioni di Europol effettuate usando i dati di immatricolazione dei veicoli come criterio di ricerca sono svolte tramite EUCARIS.

4. Le interrogazioni di Europol effettuate usando i dati anagrafici di indagati e condannati di cui all’articolo 25 come criterio di ricerca sono svolte utilizzando EPRIS.

5. Europol effettua le consultazioni con i dati forniti da paesi terzi a norma dei paragrafi da 1 a 4 del presente articolo soltanto quando necessario per l’espletamento dei suoi compiti ai fini dell’articolo 18, paragrafo 2, lettere a) e c), del regolamento (UE) 2016/794.

6. Se le procedure di cui agli articoli 6, 11 o 20 mostrano una corrispondenza tra i dati utilizzati per la consultazione e i dati conservati nella banca dati nazionale dello Stato membro o degli Stati membri richiesti, Europol informa soltanto lo Stato membro o gli Stati membri interessati.

Lo Stato membro richiesto decide entro 48 ore se rinviare una serie di dati di base tramite il router a decorrere da quando sono soddisfatte tutte le condizioni seguenti:

a)	una corrispondenza di cui al primo comma è stata manualmente confermata da parte di un membro qualificato del personale di Europol;

una descrizione dei fatti e un’indicazione del reato sottostante sono state trasmesse, utilizzando la tabella comune delle categorie di reati stabiliti in un atto di esecuzione da adottare a norma dell’articolo 11 ter, paragrafo 1, lettera a), della decisione quadro 2009/315/GAI, da parte di Europol, al fine di valutare la proporzionalità della richiesta, compresa la gravità del reato per il quale è stata effettuata una consultazione, conformemente al diritto nazionale dello Stato membro che fornisce l’insieme di dati di base;

c)	il nome del paese terzo che ha fornito i dati è stato trasmesso.

Se, in base alla legislazione nazionale, uno Stato membro può fornire una serie particolare di dati di base solo previa autorizzazione giudiziaria, tale Stato membro può derogare ai termini stabiliti nel secondo comma nella misura necessaria all’ottenimento di tale autorizzazione.

Se la corrispondenza confermata riguarda dati identificati di una persona, l’insieme di dati di base di cui al secondo comma contiene, nella misura del possibile, i dati seguenti:

a)	nome o nomi;

b)	cognome o cognomi;

c)	alias e nome o nomi usati in precedenza;

d)	data di nascita;

e)	cittadinanza o cittadinanze;

f)	luogo e paese di nascita;

genere;

h)	la data e il luogo in cui i dati biometrici sono stati acquisiti;

i)	il reato per il quale i dati biometrici sono stati acquisiti;

j)	il numero della causa penale;

k)	l’autorità competente per la causa penale.

Se la corrispondenza confermata riguarda dati o tracce non identificati di una persona, l’insieme di dati di base di cui al secondo comma contiene i dati seguenti, nella misura in cui sono disponibili:

a)	la data e il luogo in cui i dati biometrici sono stati acquisiti;

b)	il reato per il quale i dati biometrici sono stati acquisiti;

c)	il numero della causa penale;

d)	l’autorità competente per la causa penale.

Il rinvio dei dati di base da parte dello Stato membro richiesto è soggetta alla decisione di un essere umano.

7. L’utilizzo da parte di Europol delle informazioni ottenute da un’interrogazione effettuata a norma del presente articolo e dallo scambio di una serie di dati fondamentali a norma del paragrafo 6 è soggetto al consenso dello Stato membro nella cui banca dati è stata riscontrata la corrispondenza. Qualora lo Stato membro acconsenta all’uso di tali informazioni, il loro trattamento da parte di Europol è disciplinato dal regolamento (UE) 2016/794.

CAPO 6

Protezione dei dati

Articolo 50

Finalità del trattamento dei dati

1. Uno Stato membro o Europol può trattare i dati personali che ha ricevuto solamente ai fini per i quali i dati sono stati trasmessi dallo Stato membro che ha fornito i dati a norma del presente regolamento. Il trattamento per altri fini è consentito esclusivamente previa autorizzazione dello Stato membro che ha fornito i dati.

2. Il trattamento dei dati trasmessi da uno Stato membro o da Europol a norma degli articoli 6, 11, 16, 20 o 26 è autorizzato esclusivamente ove necessario allo scopo di:

a)	stabilire se esista una corrispondenza tra i profili DNA, i dati dattiloscopici, i dati di immatricolazione dei veicoli, le immagini del volto o gli estratti del casellario giudiziale oggetto del confronto;

b)	scambiare una serie di dati di base conformemente all’articolo 47;

c)	predisporre e introdurre una domanda di assistenza legale da parte delle autorità di polizia o giudiziarie in caso di corrispondenza tra i dati;

d)	conservare registrazioni a norma degli articoli 18, 40 e 45.

3. Al termine della risposta automatizzata alle consultazioni, i dati ricevuti da uno Stato membro o da Europol sono immediatamente cancellati a meno che non sia necessario un ulteriore trattamento ai fini di cui al paragrafo 2 o a meno che tale trattamento non sia autorizzato a norma del paragrafo 1.

4. Prima di collegare le rispettive banche dati nazionali al router o a EPRIS, gli Stati membri effettuano una valutazione d’impatto sulla protezione dei dati di cui all’articolo 27 della direttiva (UE) 2016/680 e, se del caso, consultano l’autorità di controllo di cui all’articolo 28 di tale direttiva. L’autorità di controllo può avvalersi dei poteri di cui dispone a norma dell’articolo 47 di tale direttiva, conformemente all’articolo 28, paragrafo 5, di tale direttiva.

Articolo 51

Esattezza, pertinenza e conservazione dei dati

1. Gli Stati membri ed Europol assicurano l’esattezza e l’attualità dei dati personali trattati a norma del presente regolamento. Qualora uno Stato membro o Europol venga a conoscenza del fatto che sono stati forniti dati inesatti o non più aggiornati o dati che non avrebbero dovuto essere stati trasmessi, ne notifica lo Stato membro che ha ricevuto i dati o a Europol senza indebito ritardo. Tutti gli Stati membri interessati o Europol sono tenuti a rettificare o cancellare i dati di conseguenza senza indebito ritardo. Qualora lo Stato membro che ha ricevuto i dati o Europol abbia motivo di ritenere che i dati trasmessi siano inesatti o che debbano essere cancellati, ne informa lo Stato membro che ha fornito i dati senza indebito ritardo.

2. Gli Stati membri ed Europol predispongono misure adeguate per aggiornare i dati pertinenti ai fini del presente regolamento.

3. Qualora l’interessato contesti l’esattezza dei dati in possesso di uno Stato membro o di Europol, qualora lo Stato membro o Europol non sia in grado di accertarne l’esattezza in modo attendibile e qualora ciò sia richiesto dall’interessato, i dati in questione sono contrassegnati da un indicatore di validità («flag»). Nei casi in cui è apposto l’indicatore di validità, gli Stati membri o Europol possono toglierlo solo con il consenso dell’interessato o su decisione dell’organo giurisdizionale competente, dell’autorità di controllo o del Garante europeo della protezione dei dati, a seconda dei casi.

4. I dati che non avrebbero dovuto essere trasmessi o ricevuti sono cancellati. I dati lecitamente trasmessi e ricevuti sono cancellati:

a)	se non sono o non sono più necessari per le finalità per le quali sono stati trasmessi;

b)	al termine del periodo massimo di conservazione dei dati a norma del diritto nazionale dello Stato membro che ha fornito i dati, qualora quest’ultimo abbia indicato tale periodo massimo allo Stato membro che ha ricevuto i dati o a Europol all’atto della trasmissione; o

c)	dopo la scadenza del periodo massimo di conservazione dei dati di cui al regolamento (UE) 2016/794.

Il trattamento di dati è soggetto a limitazione, e i dati non sono cancellati, quando vi sono motivi di ritenere che la loro cancellazione pregiudicherebbe gli interessi dell’interessato. Qualora il trattamento di dati è stato limitato, essi sono trattati solo per le finalità che ne hanno impedito la cancellazione.

Articolo 52

Responsabile del trattamento

1. eu-LISA è il responsabile del trattamento ai sensi dell’articolo 3, punto 12), del regolamento (UE) 2018/1725, per il trattamento dei dati personali tramite il router.

2. Europol è il responsabile ai sensi dell’articolo 3, punto 12), del regolamento (UE) 2018/1725 del trattamento dei dati personali tramite EPRIS.

Articolo 53

Sicurezza del trattamento

1. Le autorità competenti degli Stati membri, eu-LISA ed Europol garantiscono la sicurezza del trattamento dei dati personali ai sensi del presente regolamento. Le autorità competenti degli Stati membri, eu-LISA ed Europol cooperano nei compiti relativi alla sicurezza.

2. Fatto salvo l’articolo 33 del regolamento (UE) 2018/1725 e l’articolo 32 del regolamento (UE) 2016/794, eu-LISA ed Europol adottano le misure necessarie per garantire la sicurezza rispettivamente del router e di EPRIS e delle relative infrastrutture di comunicazione.

3. In particolare eu-LISA adotta le misure necessarie in merito al router ed Europol adotta le misure necessarie in merito ad EPRIS, al fine di:

a)	proteggere fisicamente i dati, tra l’altro mediante l’elaborazione di piani di emergenza per la protezione delle infrastrutture critiche;

b)	negare alle persone non autorizzate l’accesso alle attrezzature e alle strutture utilizzate per il trattamento di dati;

c)	impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate;

d)	impedire che i dati siano inseriti senza autorizzazione e che sia presa visione senza autorizzazione dei dati personali registrati, o che gli stessi siano modificati o cancellati senza autorizzazione;

e)	impedire che i dati siano trattati, copiati, modificati o cancellati senza autorizzazione;

f)	impedire che persone non autorizzate usino sistemi di trattamento automatizzato di dati servendosi di attrezzature per la comunicazione di dati;

g)	garantire, tramite identità di utente individuali ed esclusivamente con modalità di accesso riservato che le persone autorizzate ad accedere al router o ad EPRIS, a seconda dei casi, abbiano accesso solo ai dati previsti dalla loro autorizzazione di accesso;

h)	garantire che sia possibile verificare e stabilire a quali organismi possono essere trasmessi dati personali mediante attrezzature di comunicazione di dati;

i)	garantire che sia possibile verificare e stabilire quali dati sono stati trattati nel router o in EPRIS, a seconda dei casi, e quando, da chi e per quale finalità sono stati trattati;

impedire, in particolare mediante tecniche appropriate di cifratura, che, all’atto della trasmissione di dati personali dal router o da EPRIS, a seconda dei casi, o verso gli stessi ovvero durante il trasporto dei supporti di dati, tali dati personali possano essere letti, copiati, modificati o cancellati senza autorizzazione;

k)	garantire che, in caso di interruzione, i sistemi installati possano essere ripristinati;

l)	garantire l’affidabilità, accertandosi che eventuali anomalie nel funzionamento del router o dell’EPRIS, a seconda dei casi, siano adeguatamente segnalate;

m)	monitorare l’efficacia delle misure di sicurezza di cui al presente paragrafo e adottare le necessarie misure organizzative relative al monitoraggio interno per garantire l’osservanza del presente regolamento e valutare le misure di sicurezza alla luce dei nuovi sviluppi tecnologici.

Le misure necessarie di cui al primo comma comprendono un piano di sicurezza, un piano di continuità operativa e un piano di ripristino in caso di disastro.

Articolo 54

Incidenti di sicurezza

1. È considerato incidente di sicurezza l’evento che ha o può avere ripercussioni sulla sicurezza del router o di EPRIS e può causare danni o perdite ai dati ivi conservati, in particolare quando possono essere stati consultati dati senza autorizzazione o quando sono state o possono essere state compromesse la disponibilità, l’integrità e la riservatezza dei dati.

2. In caso di incidente di sicurezza riguardante il router, eu-LISA e gli Stati membri interessati o, se del caso, Europol cooperano fra loro al fine di garantire una risposta rapida, efficace e adeguata.

3. In caso di incidente di sicurezza riguardante EPRIS, gli Stati membri interessati ed Europol cooperano fra loro al fine di garantire una risposta rapida, efficace e adeguata.

4. Gli Stati membri notificano senza indebito ritardo alle rispettive autorità competenti qualsiasi incidente di sicurezza.

Fatto salvo l’articolo 92 del regolamento (UE) 2018/1725, qualora si verifichi un incidente di sicurezza in relazione all’infrastruttura centrale del router, eu-LISA notifica al servizio per la cibersicurezza delle istituzioni, degli organi e degli organismi dell’Unione (CERT-UE) senza indebito ritardo, e in ogni caso entro 24 ore da quando ne viene a conoscenza, minacce informatiche significative, vulnerabilità significative e incidenti significativi. Dettagli tecnici adeguati e di pronta utilizzazione, concernenti minacce, vulnerabilità e incidenti a livello informatico, che consentono misure proattive di indagine, risposta a incidenti o mitigazione sono comunicati a CERT-UE senza indebito ritardo.

Fatti salvi l’articolo 34 del regolamento (UE) 2016/794 e l’articolo 92 del regolamento (UE) 2018/1725, qualora si verifichi un incidente di sicurezza in relazione all’infrastruttura centrale di EPRIS, Europol notifica a CERT-UE senza indebito ritardo, e in ogni caso entro 24 ore da quando ne viene a conoscenza, minacce informatiche significative, vulnerabilità significative e incidenti significativi. Dettagli tecnici adeguati e di pronta utilizzazione, concernenti minacce, vulnerabilità e incidenti a livello informatico, che consentono misure proattive di indagine, risposta a incidenti o mitigazione sono comunicati a CERT-UE senza indebito ritardo.

5. Le informazioni su un incidente di sicurezza che abbia o possa avere ripercussioni sul funzionamento del router o sulla disponibilità, integrità e riservatezza dei dati sono fornite senza ritardo dagli Stati membri e dalle agenzie dell’Unione interessate agli Stati membri e ad Europol e registrate secondo il piano di gestione degli incidenti stabilito da eu-LISA.

6. Le informazioni su un incidente di sicurezza che abbia o possa avere ripercussioni sul funzionamento di EPRIS o sulla disponibilità, integrità e riservatezza dei dati sono fornite senza ritardo dagli Stati membri e dalle agenzie dell’Unione interessate agli Stati membri e registrate secondo il piano di gestione degli incidenti stabilito da Europol.

Articolo 55

Verifica interna

1. Gli Stati membri provvedono affinché ciascuna autorità abilitata a usare il quadro Prüm II adotti le misure necessarie per verificare la propria conformità al presente regolamento e cooperi, se necessario, con l’autorità di controllo. Europol adotta le misure necessarie per verificare la propria conformità al presente regolamento e coopera, se necessario, con il Garante europeo della protezione dei dati.

2. I titolari del trattamento attuano le misure necessarie per verificare efficacemente la conformità del trattamento di dati a norma del presente regolamento, anche verificando frequentemente le registrazioni di cui agli articoli 18, 40 e 45. Essi cooperano, laddove necessario e come opportuno, con le autorità di controllo o con il Garante europeo della protezione dei dati.

Articolo 56

Sanzioni

Gli Stati membri provvedono affinché qualsiasi uso improprio, trattamento o scambio di dati in contrasto con il presente regolamento sia punibile ai sensi del diritto nazionale. Le sanzioni previste sono effettive, proporzionate e dissuasive.

Articolo 57

Responsabilità

Se l’inosservanza degli obblighi del presente regolamento da parte di uno Stato membro o, nell’effettuare interrogazioni a norma dell’articolo 49, di Europol, arreca danni al router o ad EPRIS, tale Stato membro o Europol è responsabile di tale danno, a meno che e nella misura in cui eu-LISA, Europol o un altro Stato membro vincolato dal presente regolamento abbia omesso di adottare provvedimenti ragionevolmente idonei a prevenire il danno o ridurne al minimo l’impatto.

Articolo 58

Audit del Garante europeo della protezione dei dati

1. Il Garante europeo della protezione dei dati provvede affinché almeno ogni quattro anni sia svolto un audit delle operazioni di trattamento dei dati personali effettuate da eu-LISA e da Europol ai fini del presente regolamento conformemente ai pertinenti principi internazionali di audit. Una relazione su tale audit è trasmessa al Parlamento europeo, al Consiglio, alla Commissione, agli Stati membri e all’agenzia dell’Unione interessata, eu-LISA ed Europol hanno la possibilità di formulare osservazioni prima dell’adozione della relazione.

2. eu-LISA ed Europol forniscono al Garante europeo della protezione dei dati le informazioni da questo richieste, consentono al Garante europeo della protezione dei dati di accedere a tutti i documenti e alle loro registrazioni di cui agli articoli 40 e 45 e gli consentono di accedere in qualsiasi momento a tutti i loro locali. Il presente paragrafo non pregiudica i poteri del Garante europeo della protezione dei dati ai sensi dell’articolo 58 del regolamento (UE) 2018/1725 e, per quanto riguarda Europol, ai sensi dell’articolo 43, paragrafo 3, del regolamento (UE) 2016/794.

Articolo 59

Cooperazione tra le autorità di vigilanza e il Garante europeo della protezione dei dati

1. Le autorità di controllo e il Garante europeo della protezione dei dati, ciascuno nell’ambito delle proprie competenze, cooperano attivamente nell’ambito delle rispettive responsabilità per assicurare un controllo coordinato dell’applicazione del presente regolamento, in particolare se il Garante europeo della protezione dei dati o un’autorità di controllo constata notevoli differenze tra le pratiche degli Stati membri o trasferimenti potenzialmente illeciti nell’uso dei canali di comunicazione previsti dal quadro Prüm II.

2. Nei casi di cui al paragrafo 1 del presente articolo, è assicurato il controllo coordinato a norma dell’articolo 62 del regolamento (UE) 2018/1725.

3. Due anni dopo l’entrata in funzione del router e di EPRIS, e successivamente ogni due anni, il comitato europeo per la protezione dei dati trasmette al Parlamento europeo, al Consiglio, alla Commissione, a eu-LISA e a Europol una relazione sulle sue attività ai sensi del presente articolo. Tale relazione comprende un capitolo su ciascuno Stato membro redatto dall’autorità di controllo dello Stato membro interessato.

Articolo 60

Trasferimento di dati personali a paesi terzi e ad organizzazioni internazionali

Uno Stato membro trasferisce dati personali ottenuti a norma del presente regolamento a un paese terzo o a un’organizzazione internazionale in conformità del capo V della direttiva (UE) 2016/680 e se lo Stato membro richiesto ha concesso la propria autorizzazione prima del trasferimento.

Europol trasferisce soli i dati personali ottenuti a norma del presente regolamento a un paese terzo o un’organizzazione internazionale se sono soddisfatte le condizioni di cui all’articolo 25 del regolamento (UE) 2016/794 e se lo Stato membro richiesto ha concesso la propria autorizzazione prima del trasferimento.

Articolo 61

Relazione con altri atti giuridici in materia di protezione dei dati

Qualsiasi trattamento di dati personali ai fini del presente regolamento è effettuato in conformità del presente capo e della direttiva (UE) 2016/680 o dei regolamenti (UE) 2018/1725, (UE) 2016/794 o (UE) 2016/679, a seconda dei casi.

CAPO 7

Competenze

Articolo 62

Competenze di dovuta diligenza

Gli Stati membri ed Europol valutano con la dovuta diligenza se lo scambio automatizzato di dati rientra nelle finalità del quadro Prüm II di cui all’articolo 2 e se rispetta le condizioni in esso fissate, in particolare per quanto riguarda i diritti fondamentali.

Articolo 63

Formazione

Il personale autorizzato delle autorità competenti degli Stati membri, delle autorità di vigilanza e di Europol, ricevono, se del caso, risorse e una formazione adeguate, in particolare in materia di protezione dei dati e di accurata revisione delle corrispondenze, al fine di svolgere le funzioni conformemente al presente regolamento.

Articolo 64

Competenze degli Stati membri

1. Ogni Stato membro è competente per quanto segue:

a)	la connessione all’infrastruttura del router;

b)	l’integrazione dei sistemi e delle proprie infrastrutture nazionali esistenti con il router;

c)	l’organizzazione, la gestione, il funzionamento e la manutenzione della sua infrastruttura nazionale esistente e della sua connessione al router;

d)	la connessione all’infrastruttura di EPRIS;

e)	l’integrazione dei sistemi e delle proprie infrastrutture nazionali esistenti con EPRIS;

f)	l’organizzazione, la gestione, il funzionamento e la manutenzione della sua infrastruttura nazionale esistente e della sua connessione a EPRIS;

g)	la gestione dell’accesso e le modalità di accesso al router da parte del proprio personale debitamente autorizzato delle autorità competenti a norma del presente regolamento, nonché la creazione e l’aggiornamento periodico di un elenco di tale personale con le relative qualifiche;

h)	la gestione dell’accesso e le modalità di accesso a EPRIS da parte del proprio personale debitamente autorizzato delle autorità competenti a norma del presente regolamento, nonché la creazione e l’aggiornamento periodico di un elenco di tale personale con le relative qualifiche;

i)	la gestione dell’accesso e le modalità di accesso a EUCARIS da parte del proprio personale debitamente autorizzato delle autorità competenti a norma del presente regolamento, nonché la creazione e l’aggiornamento periodico di un elenco di tale personale con le relative qualifiche;

j)	la conferma manuale da parte di personale qualificato di una corrispondenza di cui all’articolo 6, paragrafo 6, all’articolo 6, paragrafo 7, all’articolo 11, paragrafo 2, e all’articolo 20, paragrafo 2;

k)	la garanzia della disponibilità dei dati necessari per lo scambio di dati di cui agli articoli 5, 10, 16, 19 e 25;

l)	lo scambio di informazioni di cui agli articoli 6, 11, 16, 20 e 26;

m)	la rettifica, l’aggiornamento o la cancellazione dei dati ricevuti da uno Stato membro richiesto entro 48 ore dalla notifica da parte dello Stato membro richiesto del fatto che i dati trasmessi erano inesatti, non più aggiornati o sono stati trasmessi illecitamente;

n)	la conformità ai requisiti di qualità dei dati stabiliti nel presente regolamento.

2. Ogni Stato membro è responsabile della connessione delle proprie autorità competenti al router, ad EPRIS e ad EUCARIS.

Articolo 65

Competenze di Europol

1. Europol è responsabile della gestione dell’accesso e delle modalità di accesso del proprio personale debitamente autorizzato al router, ad EPRIS e ad EUCARIS a norma del presente regolamento.

2. Europol è responsabile del trattamento delle interrogazioni di dati Europol da parte del router. Europol adegua di conseguenza i propri sistemi di informazione.

3. Europol è responsabile di qualsiasi adeguamento tecnico della propria infrastruttura necessario per stabilire la connessione al router e ad EUCARIS.

4. Fatte salve le ricerche di Europol a norma dell’articolo 49, Europol non ha accesso ai dati personali trattati tramite EPRIS.

5. Europol è responsabile dello sviluppo di EPRIS in cooperazione con gli Stati membri. EPRIS fornisce le funzionalità di cui agli articoli da 42 a 46.

Europol è responsabile della gestione tecnica di EPRIS. La gestione tecnica di EPRIS consiste nell’insieme dei compiti e delle soluzioni tecniche necessari per garantire il funzionamento dell’infrastruttura centrale di EPRIS e la fornitura ininterrotta di servizi agli Stati membri 24 ore su 24 e 7 giorni su 7 a norma del presente regolamento. Essa comprende la manutenzione e gli adeguamenti tecnici necessari per garantire che EPRIS funzioni a un livello di qualità tecnica soddisfacente, specialmente per quanto riguarda i tempi di risposta per la presentazione delle domande alle banche dati nazionali, conformemente alle specifiche tecniche.

6. Europol provvede alla formazione sull’uso tecnico di EPRIS.

7. Europol è responsabile delle procedure previste agli articoli 48 e 49.

Articolo 66

Competenze di eu-LISA in fase di progettazione e sviluppo del router

1. eu-LISA garantisce che le infrastrutture centrali del router siano gestite conformemente al presente regolamento.

2. Il router è ospitato da eu-LISA nei suoi siti tecnici e fornisce le funzionalità di cui al presente regolamento nel rispetto delle condizioni di sicurezza, disponibilità, qualità e prestazione di cui all’articolo 67, paragrafo 1.

3. eu-LISA è responsabile dello sviluppo del router e degli eventuali adeguamenti tecnici necessari per il funzionamento del router.

4. eu-LISA non ha accesso a nessuno dei dati personali trattati tramite il router.

5. eu-LISA definisce la progettazione dell’architettura fisica del router, comprese le sue infrastrutture di comunicazione sicura e le specifiche tecniche, nonché la sua evoluzione per quanto concerne l’infrastruttura centrale e l’infrastruttura di comunicazione sicura. Il consiglio di amministrazione di eu-LISA approva tale progettazione, previo parere favorevole della Commissione. eu-LISA provvede anche agli adattamenti delle componenti dell’interoperabilità resi necessari dall’istituzione del router come previsto dal presente regolamento.

6. eu-LISA sviluppa e implementa il router non appena possibile dopo l’adozione da parte della Commissione delle misure di cui all’articolo 37, paragrafo 6. Tale sviluppo comporta l’elaborazione e l’applicazione delle specifiche tecniche, il collaudo e la gestione e il coordinamento generali del progetto.

7. Durante la fase di progettazione e sviluppo, il consiglio di gestione del programma di cui all’articolo 54 del regolamento (UE) 2019/817 e all’articolo 54 del regolamento (UE) 2019/818 si riunisce regolarmente. Esso garantisce l’adeguata gestione della fase di progettazione e sviluppo del router.

Ogni mese il consiglio di gestione del programma presenta relazioni scritte al consiglio di amministrazione di eu-LISA sui progressi del progetto. Il consiglio di gestione del programma non ha potere decisionale, né mandato di rappresentare i membri del consiglio di amministrazione di eu-LISA.

Il gruppo consultivo sull’interoperabilità di cui all’articolo 78 si riunisce regolarmente fino all’entrata in funzione del router. Dopo ciascuna riunione, esso riferisce al consiglio di gestione del programma. Esso fornisce la consulenza tecnica a sostegno delle attività del consiglio di gestione del programma e monitora lo stato di preparazione degli Stati membri.

Articolo 67

Competenze di eu-LISA in seguito all’entrata in funzione del router

1. In seguito all’entrata in funzione del router, eu-LISA è responsabile della gestione tecnica dell’infrastruttura centrale del router, compresi la manutenzione e gli sviluppi tecnologici del router stesso. In cooperazione con gli Stati membri, provvede a che siano utilizzate, previa analisi costi/benefici, le migliori tecnologie disponibili. eu-LISA è inoltre responsabile della gestione tecnica dell’infrastruttura di comunicazione necessaria.

La gestione tecnica del router consiste nell’insieme dei compiti e delle soluzioni tecniche necessari per garantire il funzionamento del router e la fornitura ininterrotta di servizi agli Stati membri e a Europol 24 ore su 24 e 7 giorni su 7 a norma del presente regolamento. Essa comprende la manutenzione e gli adeguamenti tecnici necessari per garantire che il router funzioni a un livello di qualità tecnica soddisfacente, specialmente per quanto riguarda la disponibilità e i tempi di risposta per la presentazione di domande alle banche dati nazionali e ai dati Europol, conformemente alle specifiche tecniche.

Il router è sviluppato e gestito in maniera tale da garantire un accesso rapido, efficiente e controllato, la disponibilità completa e ininterrotta del router e un tempo di risposta in linea con le esigenze operative delle autorità competenti degli Stati membri e di Europol.

2. Fatto salvo l’articolo 17 dello statuto dei funzionari dell’Unione europea di cui al regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio (18), eu-LISA applica a tutti i membri del proprio personale che operano con i dati conservati nel router adeguate norme in materia di segreto professionale o altri obblighi di riservatezza equivalenti. Tale obbligo vincola il personale anche dopo che ha lasciato l’incarico o cessato di lavorare, ovvero portato a termine le proprie attività.

eu-LISA non ha accesso a nessuno dei dati personali trattati tramite il router.

3. eu-LISA svolge compiti relativi alla formazione sull’uso tecnico del router.

CAPO 8

Modifiche di altri strumenti vigenti

Articolo 68

Modifiche delle decisioni del Consiglio 2008/615/GAI e 2008/616/GAI

1. Nella decisione 2008/615/GAI, l’articolo 1, lettera a), gli articoli da 2 a 6 e il capo 2, sezioni 2 e 3, sono sostituiti per gli Stati membri vincolati dal presente regolamento a decorrere dalla data di applicazione delle disposizioni del presente regolamento relative al router di cui all’articolo 75, paragrafo 1. Di conseguenza l’articolo 1, lettera a), gli articoli da 2 a 6 e il capo 2, sezioni 2 e 3, della decisione 2008/615/GAI sono soppressi a decorrere dalla data di applicazione delle disposizioni del presente regolamento relative al router di cui all’articolo 75, paragrafo 1.

2. Nella decisione 2008/616/GAI, i capi da 2 a 5 e gli articoli 18, 20 e 21 sono sostituiti per gli Stati membri vincolati dal presente regolamento a decorrere dalla data di applicazione delle disposizioni del presente regolamento relative al router di cui all’articolo 75, paragrafo 1. Di conseguenza i capi da 2 a 5 e gli articoli 18, 20 e 21 della decisione 2008/616/GAI sono soppressi a decorrere dalla data di applicazione delle disposizioni del presente regolamento relative al router di cui all’articolo 75, paragrafo 1.

Articolo 69

Modifiche del regolamento (EU) 2018/1726

Il regolamento (UE) 2018/1726 è così modificato:

è inserito il seguente articolo:

«Articolo 8 quinquies

Compiti relativi al router Prüm II

Con riguardo al router Prüm II, l’Agenzia svolge i compiti relativi che le sono conferiti da tale regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio (*1).

(*1) Regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio, del 24 marzo 2024, sullo scambio automatizzato di dati per la cooperazione di polizia («Prüm II») e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (GU L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj)»;"

2)	all’articolo 17, paragrafo 3, il secondo comma è sostituito dal seguente: «I compiti relativi allo sviluppo e alla gestione operativa di cui all’articolo 1, paragrafi 4 e 5, agli articoli da 3 a 8, e agli articoli 8 quinquies, 9 e 11 sono svolti nel sito tecnico di Strasburgo (Francia).»;

all’articolo 19, il paragrafo 1 è così modificato:

è inserita la lettera seguente:

«ee ter)

adotta relazioni sulla situazione dello sviluppo del router Prüm II in conformità dell’articolo 80, paragrafo 2 del regolamento (UE) 2024/982.»;

la lettera ff) è sostituita dalla seguente:

«ff)

adotta relazioni sul funzionamento tecnico di quanto segue:

i)	il SIS in conformità dell’articolo 60, paragrafo 7, del regolamento (UE) 2018/1861 del Parlamento europeo e del Consiglio (2) e dell’articolo 74, paragrafo 8, del regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio (3);

ii)	il VIS in conformità dell’articolo 50, paragrafo 3, del regolamento (CE) n. 767/2008 e dell’articolo 17, paragrafo 3, della decisione 2008/633/GAI;

iii)	l’EES in conformità dell’articolo 72, paragrafo 4, del regolamento (UE) 2017/2226;

iv)	l’ETIAS in conformità dell’articolo 92, paragrafo 4, del regolamento (UE) 2018/1240;

v)	l’ECRIS-TCN e dell’implementazione di riferimento ECRIS in conformità dell’articolo 36, paragrafo 8, del regolamento (UE) 2019/816;

vi)	le componenti dell’interoperabilità in conformità dell’articolo 78, paragrafo 3, del regolamento (UE) 2019/817 e dell’articolo 74, paragrafo 3, del regolamento (UE) 2019/818;

vii)	il sistema e-CODEX in conformità dell’articolo 16, paragrafo 1, del regolamento (UE) 2022/850;

viii)

la piattaforma di collaborazione per le SIC in conformità dell’articolo 26, paragrafo 6, del regolamento (UE) 2023/969;

ix)	il router Prüm II in conformità dell’articolo 80, paragrafo 5, del regolamento (UE) 2024/982;

(*2) Regolamento (UE) 2018/1861 del Parlamento europeo e del Consiglio, del 28 novembre 2018, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen (SIS) nel settore delle verifiche di frontiera, che modifica la convenzione di applicazione dell’accordo di Schengen e abroga il regolamento (CE) n. 1987/2006 (GU L 312 del 7.12.2018, pag. 14)."

(*3) Regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio, del 28 novembre 2018, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen (SIS) nel settore della cooperazione di polizia e della cooperazione giudiziaria in materia penale, che modifica e abroga la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (CE) n. 1986/2006 del Parlamento europeo e del Consiglio e la decisione 2010/261/UE della Commissione (GU L 312 del 7.12.2018, pag. 56).»;"

la lettera hh) è sostituita dalla seguente:

«hh)

adotta osservazioni formali sulle relazioni del Garante europeo della protezione dei dati relative ai suoi controlli in conformità dell’articolo 56, paragrafo 2, del regolamento (UE) 2018/1861, dell’articolo 42, paragrafo 2, del regolamento (CE) n. 767/2008, dell’articolo 31, paragrafo 2, del regolamento (UE) n. 603/2013, dell’articolo 56, paragrafo 2, del regolamento (UE) 2017/2226, dell’articolo 67 del regolamento (UE) 2018/1240, dell’articolo 29, paragrafo 2, del regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio e dell’articolo 52 dei regolamenti (UE) 2019/817 e (UE) 2019/818 e dell’articolo 58, paragrafo 1, del regolamento (UE) 2024/982 e assicura un adeguato seguito a tali controlli;».

Articolo 70

Modifiche del regolamento (EU) 2019/817

All’articolo 6, paragrafo 2, del regolamento (UE) 2019/817 è aggiunta la lettera seguente:

«d)	un’infrastruttura di comunicazione sicura tra l’ESP e il router istituito dal regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio (*4).

Articolo 71

Modifiche del regolamento (EU) 2019/818

Il regolamento (UE) 2019/818 è così modificato:

all’articolo 6, paragrafo 2, è aggiunta la lettera seguente:

«d)	un’infrastruttura di comunicazione sicura tra l’ESP e il router istituito dal regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio (*5).

(*5) Regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio, del 13 marzo 2024, sulla consultazione e sullo scambio automatizzati di dati per la cooperazione di polizia e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (regolamento «Prüm II») (GU L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj)»;"

all’articolo 39, i paragrafi 1 e 2 sono sostituiti dai seguenti:

«1. È istituito un archivio centrale di relazioni e statistiche (CRRS) al fine di sostenere gli obiettivi del SIS, dell’Eurodac e dell’ECRIS-TCN, in conformità dei rispettivi strumenti giuridici che disciplinano tali sistemi, e fornire dati statistici intersistemici e relazioni analitiche a scopi strategici, operativi e di qualità dei dati. Il CRRS sostiene anche gli obiettivi del regolamento (UE) 2024/982.

2. eu-LISA istituisce, attua e ospita nei suoi siti tecnici il CRRS contenenti, separati per logica dal sistema di informazione dell’UE, i dati e le statistiche di cui all’articolo 74 del regolamento (UE) 2018/1862 e all’articolo 32 del regolamento (UE) 2019/816. eu-LISA raccoglie anche dati e statistiche dal router di cui all’articolo 72, paragrafo 1, del regolamento (UE) 2024/982. L’accesso al CRRS è concesso mediante un accesso sicuro controllato e specifici profili di utente, unicamente ai fini dell’elaborazione di relazioni e statistiche, alle autorità di cui all’articolo 74 del regolamento (UE) 2018/1862, all’articolo 32 del regolamento (UE) 2019/816 e all’articolo 72, paragrafo 1, del regolamento (UE) 2024/982.»

CAPO 9

Disposizioni finali

Articolo 72

Relazioni e statistiche

1. Ove necessario, il personale debitamente autorizzato delle autorità competenti degli Stati membri, della Commissione, di eu-LISA e di Europol ha accesso ai seguenti dati relativi al router, unicamente per elaborare relazioni e statistiche:

a)	numero di interrogazioni presentate da ciascuno Stato membro e da Europol per ciascuna categoria di dati;

b)	numero di interrogazioni di ciascuna banca dati connessa;

c)	numero di corrispondenze rispetto alla banca dati di ciascuno Stato membro per ciascuna categoria di dati;

d)	numero di corrispondenze rispetto ai dati Europol per ciascuna categoria di dati;

e)	numero di corrispondenze confermate in relazione alle quali sono stati scambiati dati di base;

f)	numero di corrispondenze confermate in relazione alle quali non sono stati scambiati dati di base;

g)	numero di interrogazioni dell’archivio comune di dati di identità tramite il router; e

numero di corrispondenze per ciascun tipo come segue:

i)	dati identificati (persona) - dati non identificati (traccia);

ii)	dati non identificati (traccia) - dati identificati (persona);

iii)	dati non identificati (traccia) - dati non identificati (traccia);

iv)	dati identificati (persona) - dati non identificati (persona).

I dati di cui al primo comma non consentono l’identificazione di persone fisiche.

2. Il personale debitamente autorizzato delle autorità competenti degli Stati membri, della Commissione e di Europol ha accesso ai seguenti dati relativi ad EUCARIS, unicamente per elaborare relazioni e statistiche:

a)	numero di interrogazioni presentate da ciascuno Stato membro e numero di interrogazioni presentate da Europol;

b)	numero di interrogazioni di ciascuna banca dati connessa; e

c)	numero di corrispondenze rispetto alla banca dati di ciascuno Stato membro.

I dati di cui al primo comma non consentono l’identificazione di persone fisiche.

3. Il personale debitamente autorizzato delle autorità competenti degli Stati membri, della Commissione e di Europol ha accesso ai seguenti dati relativi ad EPRIS, unicamente per elaborare relazioni e statistiche:

a)	numero di interrogazioni presentate da ciascuno Stato membro e numero di interrogazioni presentate da Europol;

b)	numero di interrogazioni di ciascun indice connesso; e

c)	numero di corrispondenze rispetto alla banca dati di ciascuno Stato membro.

I dati di cui al primo comma non consentono l’identificazione di persone fisiche.

4. eu-LISA conserva i dati di cui al paragrafo 1 del presente articolo nell’archivio centrale per le relazioni e le statistiche stabilito a norma dell’articolo 39 del regolamento (UE) 2019/818. Europol conserva i dati di cui al paragrafo 3. Tali dati consentono alle autorità competenti degli Stati membri, alla Commissione, a eu-LISA e a Europol, di ottenere relazioni e statistiche personalizzabili per migliorare l’efficienza della cooperazione in materia di contrasto.

Articolo 73

Spese

1. Le spese sostenute per l’istituzione e il funzionamento del router e di EPRIS sono a carico del bilancio generale dell’Unione.

2. Le spese sostenute in relazione all’integrazione delle infrastrutture nazionali esistenti e alle loro connessioni al router e ad EPRIS, nonché le spese sostenute in relazione alla creazione di banche dati nazionali di immagini del volto e indici nazionali dei casellari giudiziali a fini di prevenzione, indagine e accertamento di reati sono a carico del bilancio generale dell’Unione.

Sono escluse le spese seguenti:

a)	l’ufficio di gestione di progetto degli Stati membri (riunioni, missioni, uffici);

b)	l’hosting dei sistemi informatici nazionali (spazio, implementazione, elettricità, impianti di raffreddamento);

c)	la gestione di sistemi IT nazionali (operatori e contratti di assistenza);

d)	la progettazione, lo sviluppo, l’implementazione, il funzionamento e la manutenzione di reti di comunicazione nazionali.

3. Ciascuno Stato membro sostiene le spese derivanti dalla gestione, dall’utilizzo e dalla manutenzione di EUCARIS.

4. Ciascuno Stato membro sostiene le spese derivanti dalla gestione, dall’utilizzo e dalla manutenzione delle sue connessioni al router e ad EPRIS.

Articolo 74

Comunicazioni

1. Gli Stati membri comunicano a eu-LISA i nominativi delle autorità competenti di cui all’articolo 36. Tali autorità possono usare il router o accedervi.

2. eu-LISA comunica alla Commissione il positivo completamento dei collaudi di cui all’articolo 75, paragrafo 1, lettera b).

3. Europol comunica alla Commissione il positivo completamento dei collaudi di cui all’articolo 75, paragrafo 3, lettera b).

4. Ciascuno Stato membro comunica agli altri Stati membri, alla Commissione, a eu-LISA e a Europol il contenuto delle sue banche dati nazionali del DNA e le condizioni per le consultazioni automatizzate cui si applicano gli articoli 5 e 6.

5. Ciascuno Stato membro informa gli altri Stati membri, la Commissione, eu-LISA ed Europol del contenuto delle sue banche dati dattiloscopiche nazionali e delle condizioni per le consultazioni automatizzate cui si applicano gli articoli 10 e 11.

6. Ciascuno Stato membro comunica agli altri Stati membri, ala Commissione, a eu-LISA ed a Europol il contenuto delle sue banche dati nazionali di immagini del volto e delle condizioni per le consultazioni automatizzate cui si applicano gli articoli 19 e 20.

7. Gli Stati membri che partecipano agli scambi automatizzati di casellari giudiziali a norma degli articoli 25 e 26 comunicano agli altri Stati membri, alla Commissione e a Europol il contenuto dei loro indici dei casellari giudiziali nazionali e delle banche dati nazionali utilizzate per stabilire tali indici e le condizioni per le consultazioni automatizzate.

8. Gli Stati membri notificano alla Commissione, ad eu-LISA e ad Europol il loro punto di contatto nazionale designato in conformità dell’articolo 30. La Commissione compila un elenco dei punti di contatto nazionali di cui è stata informata e lo mette a disposizione di tutti gli Stati membri.

Articolo 75

Entrata in funzione

1. La Commissione fissa, mediante atto di esecuzione, la data a decorrere dalla quale gli Stati membri ed Europol possono iniziare ad utilizzare il router una volta che siano soddisfatte le condizioni seguenti:

a)	sono state adottate le misure di cui all’articolo 5, paragrafo 3, all’articolo 8, paragrafi 2 e 3, all’articolo 13, paragrafi 2 e 3, all’articolo 17, paragrafo 3, all’articolo 22, paragrafi 2 e 3, all’articolo 31 e all’articolo 37, paragrafo 6;

b)	eu-LISA ha dichiarato il positivo completamento di un collaudo generale del router che ha effettuato in cooperazione con le autorità competenti degli Stati membri ed Europol.

La Commissione stabilisce, tramite l’atto di esecuzione di cui al primo comma, la data a decorrere dalla quale gli Stati membri ed Europol devono iniziare a utilizzare il router. Tale data è fissata un anno dopo la data di cui al primo comma.

La Commissione può rinviare al massimo di un anno la data a decorrere dalla quale gli Stati membri ed Europol devono iniziare a utilizzare il router qualora una valutazione dell’attuazione del router abbia dimostrato la necessità di tale rinvio.

2. Gli Stati membri provvedono affinché, due anni dopo l’entrata in funzione del router, le immagini del volto di cui all’articolo 19 siano disponibili ai fini della consultazione automatizzata delle immagini del volto di cui all’articolo 20.

3. La Commissione fissa, mediante atto di esecuzione, la data a decorrere dalla quale gli Stati membri ed Europol devono iniziare ad utilizzare EPRIS una volta che siano soddisfatte le condizioni seguenti:

a)	sono state adottate le misure di cui all’articolo 44, paragrafo 6;

b)	Europol ha dichiarato il positivo completamento di un collaudo generale di EPRIS che ha effettuato in cooperazione con le autorità competenti degli Stati membri.

4. La Commissione fissa, mediante atto di esecuzione, la data a decorrere dalla quale Europol deve mettere a disposizione degli Stati membri i dati biometrici provenienti da paesi terzi a norma dell’articolo 48 una volta che siano soddisfatte le condizioni seguenti:

a)	il router è in funzione;

b)	Europol ha dichiarato il positivo completamento di un collaudo generale della connessione che ha effettuato in cooperazione con le autorità competenti degli Stati membri ed eu-LISA.

5. La Commissione fissa, mediante atto di esecuzione, la data a decorrere dalla quale Europol deve avere accesso ai dati conservati nelle banche dati degli Stati membri a norma dell’articolo 49 una volta che siano soddisfatte le condizioni seguenti:

a)	il router è in funzione;

b)	Europol ha dichiarato il positivo completamento di un collaudo generale della connessione che ha effettuato in cooperazione con le autorità competenti degli Stati membri ed eu-LISA.

6. Gli atti di esecuzione di cui al presente articolo sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 76

Disposizioni transitorie e deroghe

1. Gli Stati membri e le agenzie dell’Unione iniziano ad applicare gli articoli da 19 a 22, l’articolo 47 e l’articolo 49, paragrafo 6, a decorrere dalla data fissata conformemente all’articolo 75, paragrafo 1, primo comma, fatta eccezione per gli Stati membri che non hanno iniziato a utilizzare il router.

2. Gli Stati membri e le agenzie dell’Unione iniziano ad applicare gli articoli da 25 a 28 e l’articolo 49, paragrafo 4, a decorrere dalla data fissata conformemente all’articolo 75, paragrafo 3.

3. Gli Stati membri e le agenzie dell’Unione iniziano ad applicare l’articolo 48 a decorrere dalla data fissata conformemente all’articolo 75, paragrafo 4.

4. Gli Stati membri e le agenzie dell’Unione iniziano ad applicare l’articolo 49, paragrafi 1, 2, 3, 5 e 7, a decorrere dalla data fissata conformemente all’articolo 75, paragrafo 5.

Articolo 77

Procedura di comitato

1. La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

2. Nei casi in cui è fatto riferimento al presente paragrafo, si applica l’articolo 5 del regolamento (UE) n. 182/2011. Qualora il comitato non esprima alcun parere, la Commissione non adotta il progetto di atto di esecuzione e si applica l’articolo 5, paragrafo 4, terzo comma, del regolamento (UE) n. 182/2011.

Articolo 78

Gruppo consultivo sull’interoperabilità

Le competenze del gruppo consultivo sull’interoperabilità istituito dall’articolo 75 del regolamento (UE) 2019/817 e dall’articolo 71 del regolamento (UE) 2019/818 sono estese al router. Tale gruppo consultivo sull’interoperabilità fornisce ad eu-LISA la competenza tecnica relativa al router, in particolare nel contesto della preparazione del programma di lavoro annuale e della relazione annuale di attività.

Articolo 79

Manuale pratico

La Commissione, in stretta cooperazione con gli Stati membri, eu-LISA. Europol e l’Agenzia dell’Unione europea per i diritti fondamentali, mette a disposizione un manuale pratico per l’attuazione e la gestione del presente regolamento. Il manuale pratico fornisce orientamenti tecnici e operativi, raccomandazioni e migliori prassi. La Commissione adotta il manuale pratico sotto forma di raccomandazione prima dell’entrata in funzione del router e di EPRIS. La Commissione aggiorna il manuale pratico periodicamente e laddove necessario.

Articolo 80

Monitoraggio e valutazione

1. eu-LISA provvede affinché siano istituite procedure per monitorare lo sviluppo del router rispetto agli obiettivi relativi alla pianificazione e alle spese, nonché per monitorare il suo funzionamento rispetto agli obiettivi prefissati in termini di risultati tecnici, di rapporto costi/benefici, di sicurezza e di qualità del servizio.

Europol provvede affinché siano istituite procedure per monitorare lo sviluppo di EPRIS rispetto agli obiettivi relativi alla pianificazione e alle spese, nonché per monitorare il suo funzionamento rispetto agli obiettivi prefissati in termini di risultati tecnici, di rapporto costi/benefici, di sicurezza e di qualità del servizio.

2. Entro il 26 aprile 2025 e successivamente ogni anno durante la fase di sviluppo del router, eu-LISA presenta al Parlamento europeo e al Consiglio una relazione sulla situazione dello sviluppo del router. Tali relazioni includono informazioni dettagliate sulle spese sostenute e informazioni sui rischi che possono incidere sulle spese complessive che sono a carico del bilancio generale dell’Unione a norma dell’articolo 73.

Una volta che lo sviluppo del router è completato, eu-LISA presenta al Parlamento europeo e al Consiglio una relazione che illustra nel dettaglio il modo in cui sono stati conseguiti gli obiettivi, in particolare quelli relativi alla pianificazione e alle spese e che giustifica eventuali scostamenti.

3. Entro il 26 aprile 2025 e successivamente ogni anno durante la fase di sviluppo di EPRIS, Europol presenta al Parlamento europeo e al Consiglio una relazione sullo stato di avanzamento dello sviluppo di EPRIS. Tali relazioni includono informazioni dettagliate sulle spese sostenute e informazioni sui rischi che potrebbero incidere sulle spese complessive che sono a carico del bilancio generale dell’Unione a norma dell’articolo 73.

Una volta che lo sviluppo di EPRIS è completato, Europol presenta al Parlamento europeo e al Consiglio una relazione che illustra nel dettaglio il modo in cui sono stati conseguiti gli obiettivi, in particolare quelli relativi alla pianificazione e alle spese e che giustifica eventuali scostamenti.

4. Ai fini della manutenzione tecnica, eu-LISA ha accesso alle informazioni necessarie riguardanti i trattamenti dei dati effettuati nel router. Ai fini della manutenzione tecnica, Europol ha accesso alle informazioni necessarie riguardanti i trattamenti dei dati effettuati in EPRIS.

5. Due anni dopo l’entrata in funzione del router, e successivamente ogni due anni, eu-LISA presenta al Parlamento europeo, al Consiglio e alla Commissione una relazione sul funzionamento tecnico del router, compresa la sua sicurezza.

6. Due anni dopo l’entrata in funzione di EPRIS, e successivamente ogni due anni, Europol presenta al Parlamento europeo, al Consiglio e alla Commissione una relazione sul funzionamento tecnico di EPRIS, compresa la sua sicurezza.

7. Tre anni dopo l’entrata in funzione del router e di EPRIS di cui all’articolo 75, e successivamente ogni quattro anni, la Commissione presenta una valutazione globale del quadro Prüm II.

Un anno dopo l’entrata in funzione del router e successivamente ogni due anni, la Commissione presenta una relazione che valuti l’uso delle immagini del volto a norma del presente regolamento.

La relazione di cui al primo e al secondo comma comprende quanto segue:

a)	una valutazione dell’applicazione del presente regolamento, compreso il suo uso da parte di ciascuno Stato membro e di Europol;

b)	un’analisi dei risultati conseguiti in relazione agli obiettivi del presente regolamento e della sua incidenza sui diritti fondamentali;

c)	l’incidenza, l’efficacia e l’efficienza del quadro Prüm II e delle sue prassi di lavoro alla luce dei suoi obiettivi, del suo mandato e dei suoi compiti;

d)	una valutazione della sicurezza del quadro Prüm II.

La Commissione trasmette tali relazioni di valutazione al Parlamento europeo, al Consiglio, al Garante europeo della protezione dei dati e all’Agenzia dell’Unione europea per i diritti fondamentali.

8. Nelle relazioni di cui al primo comma del paragrafo 7, la Commissione presta una particolare attenzione alle nuove categorie di dati seguenti: le immagini del volto e gli estratti del casellario giudiziale. La Commissione include in tali relazioni l’uso da parte di ciascuno Stato membro e di Europol di tali nuove categorie di dati e il loro impatto, la loro efficacia e la loro efficienza. Per quanto riguarda le relazioni di cui al secondo comma del paragrafo 7, la Commissione presta una particolare attenzione al rischio di false corrispondenze e alla qualità dei dati.

9. Gli Stati membri ed Europol comunicano a eu-LISA e alla Commissione le informazioni necessarie per redigere le relazioni di cui ai paragrafi 2 e 5. Tali informazioni non mettono a repentaglio i metodi di lavoro né rivelano le fonti, sui membri del personale o sulle indagini delle autorità competenti degli Stati membri.

10. Gli Stati membri comunicano alla Commissione e a Europol le informazioni necessarie per redigere le relazioni di cui ai paragrafi 3 e 6. Tali informazioni non mettono a repentaglio i metodi di lavoro né rivelano le fonti, sui membri del personale o sulle indagini delle autorità competenti degli Stati membri.

11. Fatti salvi i requisiti di riservatezza, gli Stati membri, eu-LISA ed Europol comunicano alla Commissione le informazioni necessarie per redigere le relazioni di cui al paragrafo 7. Gli Stati membri comunicano altresì alla Commissione il numero di corrispondenze confermate rispetto alla banca dati di ciascuno Stato membro per ciascuna categoria e ciascun tipo di dati. Tali informazioni non mettono a repentaglio i metodi di lavoro né rivelano le fonti, sui membri del personale o sulle indagini delle autorità competenti degli Stati membri.

Articolo 81

Entrata in vigore e applicabilità

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile negli Stati membri conformemente ai trattati.

Fatto a Strasburgo, il 13 marzo 2024

Per il Parlamento europeo

La presidente

R. METSOLA

Per il Consiglio

Il presidente

H. LAHBIB

(1) GU C 323 del 26.8.2022, pag. 69.

(2) Posizione del Parlamento europeo dell’8 febbraio 2024 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 26 febbraio 2024.

(3) Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell’11 maggio 2016, che istituisce l’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI (GU L 135 del 24.5.2016, pag. 53).

(4) Decisione 2008/615/GAI del Consiglio, del 23 giugno 2008, sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità transfrontaliera (GU L 210 del 6.8.2008, pag. 1).

(5) Decisione 2008/616/GAI del Consiglio, del 23 giugno 2008, relativa all’attuazione della decisione 2008/615/GAI sul potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità transfrontaliera (GU L 210 del 6.8.2008, pag. 12).

(6) Regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio, del 28 novembre 2018, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen (SIS) nel settore della cooperazione di polizia e della cooperazione giudiziaria in materia penale, che modifica e abroga la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (CE) n. 1986/2006 del Parlamento europeo e del Consiglio e la decisione 2010/261/UE della Commissione (GU L 312 del 7.12.2018, pag. 56).

(7) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

(8) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

(9) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(10) Direttiva (UE) 2023/977 del Parlamento europeo e del Consiglio, del 10 maggio 2023, relativa allo scambio di informazioni tra le autorità di contrasto degli Stati membri e che abroga la decisione quadro 2006/960/GAI del Consiglio (GU L 134 del 22.5.2023, pag. 1).

(11) Decisione quadro 2009/315/GAI del Consiglio, del 26 febbraio 2009, relativa all’organizzazione e al contenuto degli scambi fra gli Stati membri di informazioni estratte dal casellario giudiziario (GU L 93 del 7.4.2009, pag. 23).

(12) Regolamento (UE) 2019/817 del Parlamento europeo e del Consiglio, del 20 maggio 2019, che istituisce un quadro per l’interoperabilità tra i sistemi di informazione dell’UE nel settore delle frontiere e dei visti e che modifica i regolamenti (CE) n. 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 e (UE) 2018/1861 del Parlamento europeo e del Consiglio e le decisioni 2004/512/CE e 2008/633/GAI del Consiglio (GU L 135 del 22.5.2019, pag. 27).

(13) Regolamento (UE) 2019/818 del Parlamento europeo e del Consiglio, del 20 maggio 2019, che istituisce un quadro per l’interoperabilità tra i sistemi di informazione dell’UE nel settore della cooperazione di polizia e giudiziaria, asilo e migrazione, e che modifica i regolamenti (UE) 2018/1726, (UE) 2018/1862 e (UE) 2019/816 (GU L 135 del 22.5.2019, pag. 85).

(14) Regolamento (UE) 2018/1726 del Parlamento europeo e del Consiglio, del 14 novembre 2018, relativo all’Agenzia dell’Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA), che modifica il regolamento (CE) n. 1987/2006 e la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (UE) n. 1077/2011 (GU L 295 del 21.11.2018, pag. 99).

(15) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

(16) GU C 225 del 9.6.2022, pag. 6.

(17) Direttiva (EU) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80).

(18) GU L 56 del 4.3.1968, pag. 1.