ISSN 1977-0707
Gazzetta ufficiale
dell’Unione europea
L 37
Edizione in lingua italiana
Legislazione
63° anno
10 febbraio 2020
|
ISSN 1977-0707 |
||
|
Gazzetta ufficiale dell’Unione europea |
L 37 |
|
|
|
||
|
Edizione in lingua italiana |
Legislazione |
63° anno |
|
Sommario |
|
II Atti non legislativi |
pagina |
|
|
|
REGOLAMENTI |
|
|
|
* |
||
|
|
* |
||
|
|
* |
Regolamento di Esecuzione (UE) 2020/180 della Commissione del 7 febbraio 2020 relativo all’autorizzazione di un preparato di Bacillus subtilis KCCM 10673P e Aspergillus oryzae KCTC 10258BP come additivo per mangimi destinati a tutte le specie animali ( 1 ) |
|
|
|
|
DECISIONI |
|
|
|
* |
Decisione di Esecuzione (UE) 2020/181 della Commissione del 7 febbraio 2020 relativa ad alcuni provvedimenti cautelari contro la peste suina africana in Grecia [notificata con il numero C(2020) 799] ( 1 ) |
|
|
|
|
REGOLAMENTI INTERNI E DI PROCEDURA |
|
|
|
* |
||
|
|
* |
|
|
|
|
|
(1) Testo rilevante ai fini del SEE. |
|
IT |
Gli atti i cui titoli sono stampati in caratteri chiari appartengono alla gestione corrente. Essi sono adottati nel quadro della politica agricola ed hanno generalmente una durata di validità limitata. I titoli degli altri atti sono stampati in grassetto e preceduti da un asterisco. |
II Atti non legislativi
REGOLAMENTI
|
10.2.2020 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 37/1 |
REGOLAMENTO DI ESECUZIONE (UE) 2020/178 DELLA COMMISSIONE
del 31 gennaio 2020
relativo alla presentazione delle informazioni ai passeggeri provenienti da paesi terzi e ai clienti dei servizi postali e di taluni operatori professionali sui divieti per quanto riguarda l’introduzione di piante, prodotti vegetali e altri oggetti nel territorio dell’Unione a norma del regolamento (UE) 2016/2031 del Parlamento europeo e del Consiglio
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
visto il regolamento (UE) 2016/2031 del Parlamento europeo e del Consiglio, del 26 ottobre 2016, relativo alle misure di protezione contro gli organismi nocivi per le piante, che modifica i regolamenti (UE) n. 228/2013, (UE) n. 652/2014 e (UE) n. 1143/2014 del Parlamento europeo e del Consiglio e abroga le direttive 69/464/CEE, 74/647/CEE, 93/85/CEE, 98/57/CE, 2000/29/CE, 2006/91/CE e 2007/33/CE del Consiglio (1), in particolare l’articolo 45, paragrafo 1, quarto comma,
considerando quanto segue:
|
(1) |
Il regolamento (UE) 2016/2031 prevede che gli Stati membri, i porti marittimi, gli aeroporti e gli operatori di trasporto internazionale mettano a disposizione dei passeggeri le informazioni sui divieti e sulle prescrizioni per quanto riguarda l’introduzione di piante, prodotti vegetali e altri oggetti nel territorio dell’Unione. |
|
(2) |
Gli operatori di servizi postali e gli operatori professionali che effettuano vendite a distanza sono tenuti a mettere altresì a disposizione dei loro clienti dette informazioni. |
|
(3) |
Le informazioni dovrebbero essere presentate in modo semplice e immediatamente comprensibile. Dovrebbero pertanto rappresentare visivamente i seguenti articoli vietati trasportati dai passeggeri: piante da impianto, fiori recisi, frutti e ortaggi. |
|
(4) |
A fini di chiarezza è opportuno inserire anche un messaggio sulle norme e sulle prescrizioni più importanti riguardanti l’introduzione di piante, prodotti vegetali e altri oggetti nel territorio dell’Unione. Tale messaggio dovrebbe contenere informazioni sui frutti esonerati dall’obbligo del certificato fitosanitario stabilito a norma dell’articolo 73 del regolamento (UE) 2016/2031, sui paesi terzi in provenienza dai quali non è richiesto un certificato fitosanitario e sui territori dell’Unione in provenienza dai quali tale certificato è richiesto. |
|
(5) |
Queste informazioni dovrebbero essere rese disponibili presso tutti i punti di entrata nell’Unione o sui mezzi di trasporto che si spostano nell’Unione. Gli Stati membri dovrebbero essere liberi di selezionare anche punti aggiuntivi, come ad esempio i punti di partenza dall’Unione verso paesi terzi, per rendere tali informazioni accessibili in tempo utile ai passeggeri che successivamente ritornano da tali paesi nell’Unione. |
|
(6) |
Il presente regolamento dovrebbe entrare in vigore il terzo giorno successivo alla pubblicazione, al fine di garantire che i passeggeri, nonché i clienti dei servizi postali e degli operatori professionali che effettuano vendite a distanza, siano informati al più presto dell’applicazione delle nuove norme. |
|
(7) |
Le misure di cui al presente regolamento sono conformi al parere del comitato permanente per le piante, gli animali, gli alimenti e i mangimi, |
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
Presentazione di informazioni ai passeggeri provenienti da paesi terzi e ai clienti dei servizi postali e di taluni operatori professionali
1. Gli Stati membri, i porti marittimi, gli aeroporti e gli operatori di trasporto internazionale espongono manifesti con le informazioni indicate nell’allegato presso tutti i punti di entrata nell’Unione o su tutti i mezzi di trasporto che si spostano nell’Unione, a beneficio dei passeggeri provenienti da paesi terzi.
Gli Stati membri, i porti marittimi, gli aeroporti e gli operatori di trasporto internazionale possono esporre i manifesti di cui al primo comma anche presso i punti di partenza dall’Unione.
2. Gli operatori di servizi postali e gli operatori professionali che effettuano vendite a distanza mettono a disposizione dei loro clienti, almeno tramite Internet, le informazioni indicate nell’allegato.
3. Le informazioni indicate nell’allegato sono collocate in punti ben visibili, sia in luoghi fisici sia su Internet.
Articolo 2
Entrata in vigore
Il presente regolamento entra in vigore il terzo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 31 gennaio 2020
Per la Commissione
La presidente
Ursula VON DER LEYEN
ALLEGATO
Manifesto di cui all’articolo 1
|
10.2.2020 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 37/4 |
REGOLAMENTO DI ESECUZIONE (UE) 2020/179 DELLA COMMISSIONE
del 3 febbraio 2020
recante approvazione di una modifica del disciplinare di un’indicazione geografica di una bevanda spiritosa registrata («Berliner Kümmel»)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
visto il regolamento (UE) 2019/787 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo alla definizione, alla designazione, alla presentazione e all’etichettatura delle bevande spiritose, all’uso delle denominazioni di bevande spiritose nella presentazione e nell’etichettatura di altri prodotti alimentari, nonché alla protezione delle indicazioni geografiche delle bevande spiritose e all’uso dell’alcole etilico e di distillati di origine agricola nelle bevande alcoliche, e che abroga il regolamento (CE) n. 110/2008 (1), in particolare l’articolo 30, paragrafo 2,
considerando quanto segue:
|
(1) |
Ai sensi dell’articolo 21, in combinato disposto con l’articolo 17, paragrafo 5, del regolamento (CE) n. 110/2008 del Parlamento europeo e del Consiglio (2), la Commissione ha esaminato la domanda della Germania, del 28 settembre 2017, riguardante l’approvazione di una modifica della scheda tecnica relativa all’indicazione geografica «Berliner Kümmel», protetta a norma del regolamento (CE) n. 110/2008. |
|
(2) |
Il regolamento (UE) 2019/787, che sostituisce il regolamento (CE) n. 110/2008, è entrato in vigore il 25 maggio 2019. Conformemente all’articolo 49, paragrafo 1, del suddetto regolamento, il capo III del regolamento (CE) n. 110/2008, relativo alle indicazioni geografiche, è abrogato con effetto a decorrere dall’8 giugno 2019. Ai sensi dell’articolo 22, paragrafo 2, del regolamento (UE) 2019/787, le schede tecniche presentate entro l’8 giugno 2019 nel quadro di domande a norma del regolamento (CE) n. 110/2008 sono considerate disciplinari. |
|
(3) |
Avendo stabilito che la domanda è conforme al regolamento (CE) n. 110/2008, la Commissione ha pubblicato la domanda di modifica, come previsto dall’articolo 17, paragrafo 6, del medesimo regolamento, nella Gazzetta ufficiale dell’Unione europea (3), conformemente all’articolo 50, paragrafo 4, primo comma, del regolamento (UE) 2019/787. |
|
(4) |
Poiché alla Commissione non è pervenuta alcuna notifica di opposizione ai sensi dell’articolo 27, paragrafo 1, del regolamento (UE) 2019/787, la modifica del disciplinare deve essere approvata ai sensi dell’articolo 30, paragrafo 2, di detto regolamento, applicabile mutatis mutandis alle modifiche del disciplinare, |
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
È approvata la modifica, pubblicata nella Gazzetta ufficiale dell’Unione europea, del disciplinare riguardante la denominazione «Berliner Kümmel».
Articolo 2
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 3 febbraio 2020
Per la Commissione
a nome della presidente
Janusz WOJCIECHOWSKI
Membro della Commissione
(1) GU L 130 del 17.5.2019, pag. 1.
(2) Regolamento (CE) n. 110/2008 del Parlamento europeo e del Consiglio, del 15 gennaio 2008, relativo alla definizione, alla designazione, alla presentazione, all’etichettatura e alla protezione delle indicazioni geografiche delle bevande spiritose e che abroga il regolamento (CEE) n. 1576/89 del Consiglio (GU L 39 del 13.2.2008, pag. 16).
|
10.2.2020 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 37/5 |
REGOLAMENTO DI ESECUZIONE (UE) 2020/180 DELLA COMMISSIONE
del 7 febbraio 2020
relativo all’autorizzazione di un preparato di Bacillus subtilis KCCM 10673P e Aspergillus oryzae KCTC 10258BP come additivo per mangimi destinati a tutte le specie animali
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
visto il regolamento (CE) n. 1831/2003 del Parlamento europeo e del Consiglio, del 22 settembre 2003, sugli additivi destinati all’alimentazione animale (1), in particolare l’articolo 9, paragrafo 2,
considerando quanto segue:
|
(1) |
Il regolamento (CE) n. 1831/2003 disciplina l’autorizzazione degli additivi destinati all’alimentazione animale e definisce i motivi e le procedure per il rilascio di tale autorizzazione. |
|
(2) |
A norma dell’articolo 7 del regolamento (CE) n. 1831/2003, è stata presentata una domanda di autorizzazione di un preparato di Bacillus subtilis KCCM 10673P e Aspergillus oryzae KCTC 10258BP come additivo per mangimi destinati a tutte le specie animali. La domanda era corredata delle informazioni dettagliate e dei documenti prescritti all’articolo 7, paragrafo 3, di tale regolamento. |
|
(3) |
La domanda riguarda l’autorizzazione di un preparato di Bacillus subtilis KCCM 10673P e Aspergillus oryzae KCTC 10258BP per l’utilizzo nella soia, da classificare nella categoria «additivi tecnologici». |
|
(4) |
Nei suoi pareri dell’8 settembre 2015 (2) e del 18 settembre 2018 (3) l’Autorità europea per la sicurezza alimentare («l’Autorità») ha concluso che, alle condizioni d’uso proposte, il preparato di Bacillus subtilis KCCM 10673P e Aspergillus oryzae KCTC 10258BP non ha un’incidenza negativa sulla salute degli animali o sull’ambiente. Essa ha tuttavia anche concluso che l’additivo è considerato irritante per la pelle e per gli occhi nonché un sensibilizzante della pelle e delle vie respiratorie. La Commissione ritiene pertanto che debbano essere adottate misure di protezione adeguate al fine di evitare un’incidenza negativa sulla salute umana, in particolare per quanto concerne gli utilizzatori degli additivi. L’Autorità ha inoltre concluso che l’additivo è potenzialmente efficace per ridurre la concentrazione di oligosaccaridi della serie del raffinosio e dell’inibitore della tripsina nella soia. L’Autorità non ritiene necessarie prescrizioni specifiche per il monitoraggio successivo all’immissione sul mercato. Essa ha inoltre verificato la relazione sul metodo di analisi dell’additivo per mangimi negli alimenti per animali presentata dal laboratorio di riferimento istituito dal regolamento (CE) n. 1831/2003. |
|
(5) |
La valutazione del preparato di Bacillus subtilis KCCM 10673P e Aspergillus oryzae KCTC 10258BP dimostra che sono soddisfatte le condizioni di autorizzazione stabilite all’articolo 5 del regolamento (CE) n. 1831/2003. È quindi opportuno autorizzare l’utilizzo di tale preparato come specificato nell’allegato del presente regolamento. |
|
(6) |
Le misure di cui al presente regolamento sono conformi al parere del comitato permanente per le piante, gli animali, gli alimenti e i mangimi, |
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
Il preparato specificato nell’allegato, appartenente alla categoria «additivi tecnologici» e al gruppo funzionale «altri additivi tecnologici», è autorizzato come additivo nell’alimentazione animale alle condizioni stabilite in tale allegato.
Articolo 2
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 7 febbraio 2020
Per la Commissione
La presidente
Ursula VON DER LEYEN
(1) GU L 268 del 18.10.2003, pag. 29.
(2) EFSA Journal 2015;13(9):4230.
(3) EFSA Journal 2018;16(5):5275.
ALLEGATO
|
Numero di identificazione dell’additivo |
Additivo |
Composizione, formula chimica, descrizione, metodo di analisi |
Specie o categoria di animali |
Età massima |
Tenore minimo |
Tenore massimo |
Altre disposizioni |
Fine del periodo di autorizzazione |
||||||
|
CFU di additivo/kg di soia |
||||||||||||||
|
Categoria: additivi tecnologici. gruppo funzionale: altri additivi tecnologici (riduzione dei fattori antinutrizionali nella soia) |
||||||||||||||
|
1o01 |
Bacillus subtilis KCCM 10673P Aspergillus oryzae KCTC 10258BP |
Composizione dell’additivo Preparato di Bacillus subtilis KCCM 10673P e Aspergillus oryzae KCTC 10258BP con un tenore minimo rispettivamente pari a 1,2 × 108 CFU/g di additivo e 2,0 × 108 CFU/g di additivo. |
Tutte le specie animali |
- |
Bacillus subtilis 1,2 × 106 Aspergillus oryzae 2,0 × 106 |
- |
|
1 marzo 2030 |
||||||
|
Caratterizzazione della sostanza attiva Cellule vitali di Bacillus subtilis KCCM 10673P e Aspergillus oryzae KCTC 10258BP. |
||||||||||||||
|
Metodo di analisi (1) Conteggio del Bacillus subtilis KCCM 10673P nell’additivo per mangimi, nelle premiscele e negli alimenti per animali: metodo di diffusione su piastra con utilizzo di triptone soia agar (EN 15784). Identificazione del Bacillus subtilis KCCM 10673P nell’additivo per mangimi: elettroforesi su gel in campo pulsato (PFGE). Identificazione dell’Aspergillus oryzae KCTC 10258BP nell’additivo per mangimi: tipizzazione basata sulla reazione a catena della polimerasi (PCR). |
||||||||||||||
(1) Informazioni dettagliate sui metodi di analisi sono disponibili al seguente indirizzo del laboratorio di riferimento: https://ec.europa.eu/jrc/en/eurl/feed-additives/evaluation-reports.
DECISIONI
|
10.2.2020 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 37/8 |
DECISIONE DI ESECUZIONE (UE) 2020/181 DELLA COMMISSIONE
del 7 febbraio 2020
relativa ad alcuni provvedimenti cautelari contro la peste suina africana in Grecia
[notificata con il numero C(2020) 799]
(Il testo in lingua greca è il solo facente fede)
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
vista la direttiva 89/662/CEE del Consiglio, dell’11 dicembre 1989, relativa ai controlli veterinari applicabili negli scambi intracomunitari, nella prospettiva della realizzazione del mercato interno (1), in particolare l’articolo 9, paragrafo 3,
vista la direttiva 90/425/CEE del Consiglio, del 26 giugno 1990, relativa ai controlli veterinari applicabili negli scambi intraunionali di taluni animali vivi e prodotti di origine animale, nella prospettiva della realizzazione del mercato interno (2), in particolare l’articolo 10, paragrafo 3,
considerando quanto segue:
|
(1) |
La peste suina africana è una malattia infettiva virale che colpisce le popolazioni di suini domestici e selvatici e può avere conseguenze gravi sulla redditività della suinicoltura, perturbando gli scambi all’interno dell’Unione e le esportazioni verso paesi terzi. |
|
(2) |
In caso di comparsa di un focolaio di peste suina africana vi è il rischio che l’agente patogeno possa diffondersi ad altre aziende di suini e tra i suini selvatici. La malattia può di conseguenza diffondersi da uno Stato membro all’altro come pure in paesi terzi attraverso gli scambi di suini vivi o dei loro prodotti. |
|
(3) |
La direttiva 2002/60/CE del Consiglio (3) stabilisce misure minime di lotta contro la peste suina africana da applicare nell’Unione. L’articolo 9 della direttiva 2002/60/CE dispone che, in caso di comparsa di focolai di tale malattia, siano istituite zone di protezione e di sorveglianza nelle quali devono essere applicate le misure di cui agli articoli 10 e 11 di tale direttiva. |
|
(4) |
La Grecia ha informato la Commissione in merito all’attuale situazione della peste suina africana sul suo territorio e, conformemente all’articolo 9 della direttiva 2002/60/CE, ha istituito zone di protezione e di sorveglianza nelle quali si applicano le misure di cui agli articoli 10 e 11 di tale direttiva. |
|
(5) |
Al fine di prevenire inutili perturbazioni degli scambi all’interno dell’Unione e di evitare che paesi terzi impongano ostacoli ingiustificati agli scambi è necessario definire, a livello di Unione, le aree istituite quali zone di protezione e di sorveglianza per la peste suina africana in Grecia, in collaborazione con detto Stato membro. |
|
(6) |
Di conseguenza, in attesa della prossima riunione del comitato permanente per le piante, gli animali, gli alimenti e i mangimi, le aree identificate quali zone di protezione e di sorveglianza in Grecia dovrebbero figurare nell’allegato della presente decisione e dovrebbe essere stabilita la durata di tale regionalizzazione. |
|
(7) |
La presente decisione sarà riesaminata nella prossima riunione del comitato permanente per le piante, gli animali, gli alimenti e i mangimi, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
La Grecia provvede affinché le zone di protezione e di sorveglianza istituite in conformità all’articolo 9 della direttiva 2002/60/CE comprendano perlomeno le aree elencate quali zone di protezione e di sorveglianza nell’allegato della presente decisione.
Articolo 2
La presente decisione si applica fino al 6 aprile 2020.
Articolo 3
La Repubblica ellenica è destinataria della presente decisione.
Fatto a Bruxelles, il 7 febbraio 2020
Per la Commissione
Stella KYRIAKIDES
Membro della Commissione
(1) GU L 395 del 30.12.1989, pag. 13.
(2) GU L 224 del 18.8.1990, pag. 29.
(3) Direttiva 2002/60/CE del Consiglio, del 27 giugno 2002, recante disposizioni specifiche per la lotta contro la peste suina africana e recante modifica della direttiva 92/119/CEE per quanto riguarda la malattia di Teschen e la peste suina africana (GU L 192 del 20.7.2002, pag. 27).
ALLEGATO
|
Grecia |
Aree di cui all’articolo 1 |
Scadenza di applicazione |
||||||||||||||
|
Zona di protezione |
Comune di Visaltias (unità regionale di Serres) |
6 aprile 2020 |
||||||||||||||
|
Zona di sorveglianza |
Nell’unità regionale di Salonicco:
Nell’unità regionale di Serres:
|
6 aprile 2020 |
REGOLAMENTI INTERNI E DI PROCEDURA
|
10.2.2020 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 37/11 |
DECISIONE DEL CONSIGLIO DI AMMINISTRAZIONE DELL’AGENZIA DELL’UNIONE EUROPEA PER LA CIBERSICUREZZA,
del 21 novembre 2019,
sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito del funzionamento dell’ENISA
IL CONSIGLIO DI AMMINISTRAZIONE DELL’ENISA
visto il trattato sul funzionamento dell’Unione europea,
visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (1), in particolare l’articolo 25, del medesimo,
visto il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 (regolamento sulla cibersicurezza (2)), e in particolare l’articolo 15, paragrafo 1, del medesimo,
visto il parere del GEPD del 17 ottobre 2019 e gli orientamenti del GEPD sull’articolo 25 del regolamento (UE) 2018/1725 e le norme interne,
considerando quando segue:
|
(1) |
Conformemente all’articolo 25, paragrafo 1, del regolamento (UE) 2018/1725, le limitazioni all’applicazione degli articoli da 14 a 22, 35 e 36, nonché dell’articolo 4 del medesimo regolamento, nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 22, dovrebbero basarsi sulle norme interne che saranno adottate dall’ENISA, laddove non si basino su atti giuridici adottati in base ai trattati. |
|
(2) |
Queste norme interne, comprese le relative disposizioni sulla valutazione della necessità e proporzionalità di una limitazione, non si dovrebbero applicare se un atto giuridico adottato in base ai trattati prevede una limitazione dei diritti degli interessati. |
|
(3) |
Laddove eserciti le proprie funzioni rispetto ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, l’ENISA valuta se sia applicabile una delle deroghe previste in tale regolamento. |
|
(4) |
Nell’ambito del proprio operato, l’ENISA può condurre indagini amministrative e procedimenti disciplinari, svolgere attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, trattare denunce di irregolarità, procedure (formali e informali) di molestie e reclami interni ed esterni, effettuare audit interni, condurre valutazioni sugli incidenti di cibersicurezza ai sensi dell’articolo 7, paragrafo 4, del regolamento (UE) 2019/881, condurre indagini svolte dal responsabile della protezione dei dati («RPD»), in linea con l’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, e indagini interne sulla sicurezza (IT). L’ENISA tratta diverse categorie di dati personali, tra cui dati controllati (dati «oggettivi», quali dati d’identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico) e/o dati non controllati (dati «soggettivi» riguardanti il caso, quali motivazione, dati comportamentali, valutazioni, dati su comportamenti e prestazioni e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività). |
|
(5) |
L’ENISA, rappresentata dal suo direttore esecutivo, agisce in qualità di titolare del trattamento, indipendentemente dalle ulteriori deleghe di tale ruolo all’interno dell’ENISA per riflettere le responsabilità operative delle specifiche attività di trattamento dei dati personali. |
|
(6) |
I dati personali sono conservati in modo sicuro in un ambiente elettronico o in formato cartaceo, impedendo l’accesso illecito o il trasferimento dei dati a persone che non hanno necessità di venirne a conoscenza. I dati personali trattati sono conservati solo per il periodo di tempo necessario e opportuno per le finalità del trattamento come specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy o nei registri dell’ENISA. |
|
(7) |
Le norme interne dovrebbero applicarsi a tutti i trattamenti dei dati svolti dall’ENISA quando conduce indagini amministrative, procedimenti disciplinari, attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, procedure in materia di denunce di irregolarità, procedure (formali e informali) per casi di molestia, quando tratta reclami interni ed esterni, audit interni, valutazioni di incidenti sulla cibersicurezza ai sensi dell’articolo 7, paragrafo 4, del regolamento (UE) 2019/881, indagini svolte dal responsabile della protezione dei dati conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, e indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE). |
|
(8) |
Tali norme interne dovrebbero applicarsi alle operazioni di trattamento effettuate prima dell’apertura delle procedure di cui sopra, nel corso di tali procedure e durante il monitoraggio del seguito dei relativi risultati. Dovrebbero essere comprese altresì l’assistenza e la cooperazione fornite dall’ENISA alle autorità nazionali e alle organizzazioni internazionali al di fuori delle proprie indagini amministrative. |
|
(9) |
Nei casi in cui si applichino tali regole interne, l’ENISA deve fornire giustificazioni che spieghino il motivo per cui tali limitazioni siano strettamente necessarie e proporzionate in una società democratica e rispettino l’essenza dei diritti e delle libertà fondamentali. |
|
(10) |
In questo quadro, l’ENISA è tenuta a rispettare, nella misura più ampia possibile, i diritti fondamentali degli interessati durante i citati procedimenti, in particolare quelli che riguardano il diritto di comunicare informazioni, il diritto di accesso e rettifica, il diritto di cancellazione e limitazione del trattamento, il diritto di comunicazione di una violazione dei dati personali all’interessato o il diritto alla riservatezza delle comunicazioni sancito nel regolamento (UE) n. 2018/1725. |
|
(11) |
Tuttavia, l’ENISA può essere costretta a limitare le informazioni all’interessato e altri suoi diritti per proteggere, in particolare, le proprie indagini, le indagini e i procedimenti di altre autorità pubbliche, nonché i diritti di altre persone coinvolte nelle sue indagini o in altre procedure. |
|
(12) |
L’ENISA può quindi limitare le informazioni allo scopo di proteggere l’indagine nonché i diritti e le libertà fondamentali degli altri interessati. |
|
(13) |
L’ENISA dovrebbe monitorare periodicamente che le condizioni che giustificano la limitazione continuino ad applicarsi e revocare la limitazione non appena cessino di sussistere. |
|
(14) |
Il titolare del trattamento dovrebbe informare il responsabile della protezione dei dati al momento del rinvio e durante le revisioni. |
|
(15) |
In ragione dell’importanza delle norme interne per la protezione dei diritti degli interessati, la decisione dovrebbe entrare in vigore appena possibile dopo la sua pubblicazione nella Gazzetta ufficiale dell’Unione europea, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Oggetto e campo d’applicazione
1. La presente decisione definisce norme relative alle condizioni alle quali l’ENISA, nel quadro delle sue procedure stabilite al paragrafo 2, può limitare l’applicazione dei diritti sanciti negli articoli da 14 a 21, 35 e 36, nonché nell’articolo 4, in base all’articolo 25 del regolamento (UE) n. 2018/1725.
2. Nell’ambito dell’operato dell’ENISA, tale decisione si applica ai trattamenti dei dati personali svolti dall’ENISA ai fini di: condurre indagini amministrative, procedimenti disciplinari, attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, trattare denunce di irregolarità, procedure (formali e informali) di molestia, reclami interni ed esterni, effettuare audit interni, condurre valutazioni di incidenti di cibersicurezza ai sensi dell’articolo 7, paragrafo 4, del regolamento (UE) 2019/881, indagini svolte dal responsabile della protezione dei dati conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, e indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE).
3. Le categorie di dati interessate sono i dati controllati (dati «oggettivi» quali dati d’identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico) e/o dati non controllati (dati «soggettivi» riguardanti il caso, quali motivazione, dati comportamentali, valutazioni, dati su comportamenti e prestazioni e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività).
4. Laddove eserciti le proprie funzioni rispetto ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, l’ENISA valuta se sia applicabile una delle deroghe previste in tale regolamento.
5. Fatte salve le condizioni stabilite nella presente decisione, le limitazioni si possono applicare ai seguenti diritti: comunicazione di informazioni agli interessati, diritto di accesso, rettifica, cancellazione, limitazione del trattamento, comunicazione di una violazione dei dati personali all’interessato o riservatezza delle comunicazioni.
Articolo 2
Specifiche del titolare del trattamento e garanzie
1. Le garanzie predisposte per prevenire violazioni, sottrazioni di dati o divulgazioni non autorizzate sono le seguenti:
|
a) |
i documenti cartacei sono tenuti in armadi sicuri e accessibili soltanto al personale autorizzato; |
|
b) |
tutti i dati elettronici sono memorizzati in un’applicazione informatica sicura conformemente agli standard di sicurezza dell’ENISA e in specifiche cartelle elettroniche accessibili unicamente al personale autorizzato. Sono disposti appropriati livelli di accesso su base individuale; |
|
c) |
la banca dati è protetta da password nell’ambito di un sistema di accesso SSO (Single Sign On) ed è collegata automaticamente all’ID dell’utente e alla password. La sostituzione degli utenti è rigorosamente vietata. I registri elettronici sono conservati in maniera sicura per tutelare la riservatezza e la segretezza dei dati contenuti; |
|
d) |
tutte le persone che hanno accesso ai dati hanno l’obbligo della riservatezza. |
2. Il titolare del trattamento è l’ENISA, rappresentata dal suo direttore esecutivo, il quale può delegare la funzione di titolare. Gli interessati sono informati riguardo ai titolari del trattamento delegati attraverso comunicazioni sulla protezione dei dati o registri pubblicati nel sito Internet e/o sull’Intranet dell’ENISA.
3. Il periodo di conservazione dei dati personali di cui all’articolo 1, paragrafo 3, non deve essere più lungo di quanto necessario e opportuno per le finalità del trattamento. In ogni caso, non deve superare il periodo di conservazione specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy o nei registri di cui all’articolo 5, paragrafo 1.
4. Qualora l’ENISA consideri di applicare una limitazione, si valuta il rischio per i diritti e le libertà dell’interessato, in particolare rispetto al rischio per i diritti e le libertà degli altri interessati e al rischio di annullare gli effetti delle indagini o delle procedure dell’ENISA, ad esempio distruggendo gli elementi di prova. I rischi per i diritti e le libertà dell’interessato riguardano principalmente, ma non esclusivamente, i rischi legati alla reputazione e i rischi per il diritto di difesa e il diritto di essere ascoltato.
Articolo 3
Limitazioni
1. Eventuali limitazioni sono applicate dall’ENISA esclusivamente per salvaguardare:
|
a) |
la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e relativa prevenzione; |
|
b) |
altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare gli obiettivi della politica estera e di sicurezza comune dell’Unione o un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; |
|
c) |
la sicurezza interna delle istituzioni e degli organismi dell’Unione, comprese le relative reti di comunicazione elettronica; |
|
d) |
le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate; |
|
e) |
una funzione di controllo, ispezione o regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere a) e b); |
|
f) |
la tutela dell’interessato o dei diritti e delle libertà altrui. |
2. La valutazione degli incidenti di cibersicurezza svolta dall’ENISA ai sensi dell’articolo 7, paragrafo 4, del regolamento (UE) 2019/881 (regolamento sulla cibersicurezza) è prevista nel paragrafo 1, lettera b), del presente articolo.
3. Come applicazione specifica delle finalità descritte nel precedente paragrafo 1, l’ENISA può applicare limitazioni riguardanti i dati personali scambiati con i servizi della Commissione o altre istituzioni, organi e organismi dell’Unione, autorità competenti degli Stati membri o paesi terzi o organizzazioni internazionali nei seguenti casi:
|
a) |
quando l’esercizio di tali diritti e obblighi potrebbe essere limitato dai servizi della Commissione o da altre istituzioni, organi e organismi dell’Unione in virtù di altri motivi previsti dall’articolo 25 del regolamento (UE) 2018/1725, conformemente al capo IX di detto regolamento, oppure sulla base degli atti costitutivi di altre istituzioni, organi e organismi dell’Unione; |
|
b) |
quando l’esercizio di tali diritti e obblighi potrebbe essere limitato dalle autorità competenti degli Stati membri sulla base dei motivi di cui all’articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (3) o a norma delle disposizioni nazionali di recepimento dell’articolo 13, paragrafo 3, dell’articolo 15, paragrafo 3, o dell’articolo 16, paragrafo 3, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (4); |
|
c) |
quando l’esercizio di tali diritti e obblighi potrebbe pregiudicare la cooperazione dell’ENISA con paesi terzi o organizzazioni internazionali nello svolgimento dei suoi compiti. |
Prima di applicare limitazioni nei casi di cui al primo comma, lettere a) e b), l’ENISA consulta i servizi della Commissione, le istituzioni, gli organi e gli organismi dell’Unione pertinenti o le autorità competenti degli Stati membri, a meno che all’ENISA non risulti evidente che l’applicazione di una limitazione è prevista in virtù di uno dei motivi di cui alle summenzionate lettere.
4. Le eventuali limitazioni sono necessarie e proporzionate tenuto conto dei rischi per i diritti e le libertà degli interessati e rispettano l’essenza dei diritti e delle libertà fondamentali in una società democratica.
5. Se si considera l’applicazione di limitazioni, si effettua una verifica della necessità e della proporzionalità sulla base delle presenti norme. Tale procedura è documentata mediante una nota di valutazione interna ed è effettuata caso per caso.
6. Le limitazioni sono revocate non appena le condizioni che le giustificano cessino di sussistere. In particolare, laddove si ritenga che l’esercizio del diritto ristretto non annullerebbe più l’effetto della limitazione imposta o lederebbe i diritti e le libertà degli altri interessati.
Articolo 4
Revisione da parte del responsabile della protezione dei dati
1. L’ENISA informa senza indebito ritardo il proprio responsabile della protezione dei dati ogniqualvolta il titolare del trattamento limiti l’applicazione dei diritti degli interessati o estenda la limitazione, a norma della presente decisione. Il titolare del trattamento fornisce al responsabile della protezione dei dati l’accesso al registro che contiene la valutazione della necessità e della proporzionalità della limitazione e documenta nel registro la data in cui lo ha informato. L’ENISA coinvolge il responsabile della protezione dei dati in tutte le procedure pertinenti documentando tale coinvolgimento.
2. Il responsabile della protezione dei dati può chiedere per iscritto al titolare del trattamento di riesaminare l’applicazione delle limitazioni. Il titolare del trattamento informa per iscritto il proprio responsabile della protezione dei dati circa l’esito del riesame richiesto.
3. Il titolare del trattamento informa il responsabile della protezione dei dati quando la limitazione cessa di sussistere.
Articolo 5
Comunicazione di informazioni agli interessati
1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto all’informazione può essere limitato dal titolare del trattamento nell’ambito dei seguenti trattamenti:
|
a) |
svolgimento di indagini amministrative e procedimenti disciplinari; |
|
b) |
attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF; |
|
c) |
procedure in materia di denunce di irregolarità; |
|
d) |
procedure (formali e informali) per casi di molestia; |
|
e) |
trattamento di reclami interni ed esterni; |
|
f) |
audit interni; |
|
g) |
indagini svolte dal responsabile della protezione dei dati, in linea con l’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725; |
|
h) |
indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE); |
|
i) |
valutazioni degli incidenti di cibersicurezza svolte dall’ENISA ai sensi dell’articolo 7, paragrafo 4, del regolamento (UE) 2019/881, in linea con l’articolo 3, paragrafo 2, della presente decisione. |
Nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy e nei registri, ai sensi dell’articolo 31 del regolamento (UE) 2018/1725, pubblicati sul proprio sito Internet e/o sull’Intranet, che informano gli interessati sui loro diritti nel quadro di una determinata procedura, l’ENISA include informazioni riguardanti le potenziali limitazioni di questi diritti. Tali informazioni riguardano i diritti che possono essere limitati, le ragioni e la durata potenziale della limitazione.
2. Fatte salve le disposizioni di cui al paragrafo 3 del presente articolo, se proporzionato, l’ENISA informa inoltre, senza indebito ritardo e in forma scritta, singolarmente tutti gli interessati considerati persone interessate nella specifica operazione di trattamento, dei loro diritti riguardanti le limitazioni attuali o future.
3. Qualora limiti, in tutto o in parte, la comunicazione di informazioni agli interessati di cui al paragrafo 2 del presente articolo, l’ENISA registra le ragioni della limitazione, il motivo giuridico conformemente all’articolo 3 della presente decisione, inclusa la valutazione della necessità e della proporzionalità della limitazione.
La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati.
4. La limitazione di cui al paragrafo 3 del presente articolo continua ad applicarsi finché permangono i motivi che la giustificano.
Qualora i motivi della limitazione non siano più applicabili, l’ENISA fornisce all’interessato le informazioni sulle ragioni principali alla base dell’applicazione di una limitazione. Nel contempo l’ENISA informa l’interessato del diritto di presentare in qualsiasi momento reclamo al Garante europeo della protezione dei dati o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.
L’ENISA riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’inchiesta, della procedura o dell’indagine pertinente. Successivamente il titolare del trattamento valuta la necessità di mantenere eventuali limitazioni ogni sei mesi.
Articolo 6
Diritto di accesso dell’interessato
1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto di accesso può essere limitato dal titolare del trattamento, laddove necessario e proporzionato, nel contesto dei seguenti trattamenti:
|
a) |
svolgimento di indagini amministrative e procedimenti disciplinari; |
|
b) |
attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF; |
|
c) |
procedure in materia di denunce di irregolarità; |
|
d) |
procedure (formali e informali) per casi di molestia; |
|
e) |
trattamento di reclami interni ed esterni; |
|
f) |
audit interni; |
|
g) |
indagini svolte dal responsabile della protezione dei dati, in linea con l’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725; |
|
h) |
indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE); |
|
i) |
valutazioni degli incidenti di cibersicurezza svolte dall’ENISA ai sensi dell’articolo 7, paragrafo 4, del regolamento (UE) 2019/881, in linea con l’articolo 3, paragrafo 2, della presente decisione. |
Qualora, a norma dell’articolo 17 del regolamento (UE) 2018/1725, gli interessati chiedano l’accesso ai propri dati personali trattati nell’ambito di uno o più casi specifici o di particolari trattamenti, l’ENISA limita la propria valutazione della richiesta esclusivamente a tali dati personali.
2. Allorché limita, integralmente o in parte, il diritto di accesso di cui all’articolo 17 del regolamento (UE) 2018/1725, l’ENISA procede nel modo seguente:
|
a) |
informa l’interessato, nella propria risposta alla richiesta, in merito alla limitazione applicata e ai principali motivi della stessa, come pure alla possibilità di presentare reclamo al Garante europeo della protezione dei dati o di proporre un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea; |
|
b) |
registra in una nota di valutazione interna i motivi della limitazione, compresa una valutazione della necessità e della proporzionalità della limitazione e della sua durata. |
La comunicazione di informazioni di cui alla lettera a) può essere rinviata, omessa o negata se annullasse l’effetto della limitazione in conformità dell’articolo 25, paragrafo 8, del regolamento (UE) 2018/1725.
L’ENISA riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’indagine pertinente. Successivamente il titolare del trattamento valuta la necessità di mantenere eventuali limitazioni ogni sei mesi.
3. L’annotazione e, se del caso, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati.
Articolo 7
Diritto di rettifica, cancellazione e limitazione del trattamento
1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto di rettifica, cancellazione e limitazione può essere limitato dal titolare del trattamento, laddove necessario e opportuno, nel contesto dei seguenti trattamenti:
|
a) |
svolgimento di indagini amministrative e procedimenti disciplinari; |
|
b) |
attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF; |
|
c) |
procedure in materia di denunce di irregolarità; |
|
d) |
procedure (formali e informali) per casi di molestia; |
|
e) |
trattamento di reclami interni ed esterni; |
|
f) |
audit interni; |
|
g) |
indagini svolte dal responsabile della protezione dei dati, in linea con l’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725; |
|
h) |
indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE); |
|
i) |
valutazioni degli incidenti di cibersicurezza svolte dall’ENISA ai sensi dell’articolo 7, paragrafo 4, del regolamento (UE) 2019/881, in linea con l’articolo 3, paragrafo 2, della presente decisione. |
2. Qualora limiti, integralmente o in parte, l’applicazione del diritto di rettifica, cancellazione o limitazione di trattamento di cui all’articolo 18, all’articolo 19, paragrafo 1, e all’articolo 20, paragrafo 1, del regolamento (UE) 2018/1725, l’ENISA adotta le misure di cui all’articolo 6, paragrafo 2, della presente decisione e in conformità dell’articolo 6, paragrafo 3, della stessa.
Articolo 8
Comunicazione di una violazione dei dati personali all’interessato e riservatezza delle comunicazioni elettroniche
1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, la comunicazione di una violazione dei dati personali può essere limitata dal titolare del trattamento, laddove necessario e appropriato, nel contesto dei seguenti trattamenti:
|
a) |
svolgimento di indagini amministrative e procedimenti disciplinari; |
|
b) |
attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF; |
|
c) |
procedure in materia di denunce di irregolarità; |
|
d) |
trattamento di reclami interni ed esterni; |
|
e) |
audit interni; |
|
f) |
indagini svolte dal responsabile della protezione dei dati, in linea con l’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725; |
|
g) |
indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE); |
|
h) |
valutazioni degli incidenti di cibersicurezza svolte dall’ENISA ai sensi dell’articolo 7, paragrafo 4, del regolamento (UE) 2019/881, in linea con l’articolo 3, paragrafo 2, della presente decisione. |
2. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, la riservatezza delle comunicazioni elettroniche può essere limitata dal titolare del trattamento, laddove necessario e appropriato, nel contesto dei seguenti trattamenti:
|
a) |
svolgimento di indagini amministrative e procedimenti disciplinari; |
|
b) |
attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF; |
|
c) |
procedure in materia di denunce di irregolarità; |
|
d) |
procedure formali di casi di molestia; |
|
e) |
trattamento di reclami interni ed esterni; |
|
f) |
indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE); |
|
g) |
valutazioni degli incidenti di cibersicurezza svolte dall’ENISA ai sensi dell’articolo 7, paragrafo 4, del regolamento (UE) 2019/881, in linea con l’articolo 3, paragrafo 2, della presente decisione. |
3. Laddove limiti la comunicazione delle violazioni dei dati personali agli interessati o la riservatezza delle comunicazioni elettroniche di cui agli articoli 35 e 36 del regolamento (UE) 2018/1725, l’ENISA applica le disposizioni di cui all’articolo 5, paragrafo 3, della presente decisione. Si applica l’articolo 5, paragrafo 4, della presente decisione.
Articolo 9
Entrata in vigore
La presente decisione entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Redatto ad Atene, il 21 novembre 2019
per ENISA
Jean Baptiste DEMAISON
Presidente del consiglio di amministrazione
(1) GU L 295 del 21.11.2018, pag. 39.
(2) GU L 151 del 7.6.2019, pag. 15.
(3) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
(4) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).
|
10.2.2020 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 37/18 |
DECISIONE DEL CONSIGLIO DI DIREZIONE DI FUSION FOR ENERGY
del 9 dicembre 2019
sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle attività svolte da Fusion for Energy
IL CONSIGLIO DI DIREZIONE,
VISTO il trattato sul funzionamento dell’Unione europea,
VISTO il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (1), in particolare l’articolo 25,
VISTA la decisione 2007/198/Euratom del Consiglio, del 27 marzo 2007, che istituisce l’Impresa comune europea per ITER e lo sviluppo dell’energia da fusione e le conferisce dei vantaggi (2)(in appresso «Fusion for Energy»), in particolare l’articolo 6,
VISTO lo statuto allegato alla suddetta decisione, in particolare l’articolo 10,
VISTO lo statuto dei funzionari e il regime applicabile agli altri agenti dell’Unione europea («statuto dei funzionari»), in particolare l’articolo 2, paragrafo 3, e l’articolo 30 dell’allegato IX,
VISTO il regolamento (UE, Euratom) n. 883/2013 del Parlamento europeo e del Consiglio, dell’11 settembre 2013, relativo alle indagini svolte dall’Ufficio europeo per la lotta antifrode (OLAF) e che abroga il regolamento (CE) n. 1073/1999 del Parlamento europeo e del Consiglio e il regolamento (Euratom) n. 1074/1999 del Consiglio (3),
VISTI gli orientamenti del Garante europeo della protezione dei dati (GEPD), del 18 dicembre 2018, e il parere dello stesso, del 26 luglio 2019, a seguito della notifica ai fini dell’articolo 41, paragrafo 2, del regolamento (UE) 2018/1725,
previa consultazione del comitato del personale,
Considerando quanto segue:
|
(1) |
Fusion for Energy svolge le proprie attività conformemente agli statuti allegati alla decisione 2007/198/Euratom. |
|
(2) |
Conformemente all’articolo 25, paragrafo 1, del regolamento (UE) 2018/1725, le limitazioni nell’applicazione degli articoli da 14 a 22, 35 e 36, nonché dell’articolo 4 del medesimo regolamento, nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi previsti dagli articoli da 14 a 22, devono basarsi su regole interne adottate da Fusion for Energy, qualora non si fondino su atti giuridici adottati sulla base dei trattati. |
|
(3) |
Tali regole interne, comprese le relative disposizioni sulla valutazione della necessità e della proporzionalità di una limitazione, non devono applicarsi qualora un atto giuridico adottato sulla base dei trattati preveda una limitazione dei diritti degli interessati. |
|
(4) |
Laddove eserciti le sue funzioni rispetto ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, Fusion for Energy esamina se le deroghe stabilite in tale regolamento trovano applicazione. |
|
(5) |
Fusion for Energy può, nell’ambito del proprio operato, condurre indagini amministrative e procedimenti disciplinari conformemente alle norme previste dallo statuto dei funzionari. Fusion for Energy può inoltre avviare attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, trattare denunce di irregolarità (whistleblowing), procedure (formali e informali) in casi di molestia, reclami interni ed esterni e dati medici, effettuare audit interni, condurre indagini svolte dal responsabile della protezione dei dati («RPD»), conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, e indagini sulla sicurezza (IT) gestite internamente o con un coinvolgimento esterno (ad esempio CERT-UE). |
|
(6) |
Fusion for Energy tratta diverse categorie di dati personali, tra cui dati controllati (dati «oggettivi» quali dati d’identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico) e/o dati non controllati (dati «soggettivi» riguardanti il caso, quali motivazione, dati comportamentali, valutazioni, dati su comportamenti e prestazioni e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività). |
|
(7) |
Fusion for Energy, rappresentata dal suo direttore, agisce in qualità di titolare del trattamento dei dati, indipendentemente dalle ulteriori deleghe di tale ruolo all’interno di Fusion for Energy per rispecchiare le responsabilità operative delle specifiche attività di trattamento dei dati personali. |
|
(8) |
I dati personali sono conservati in modo sicuro in un ambiente elettronico o in formato cartaceo, impedendo l’accesso illecito o il trasferimento dei dati a persone che non hanno necessità di venirne a conoscenza. I dati personali trattati sono conservati solo per il periodo di tempo necessario e opportuno per le finalità del trattamento come specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy o nei registri di Fusion for Energy. |
|
(9) |
Le regole interne devono applicarsi anche ai trattamenti dei dati svolti anteriormente all’avvio delle procedure di cui al considerando 5, nel corso del loro svolgimento e durante il monitoraggio del controllo dei loro risultati. Devono essere comprese altresì l’assistenza e la cooperazione fornite da Fusion for Energy alle autorità nazionali e alle organizzazioni internazionali al di fuori delle proprie indagini amministrative. Tali regole interne devono applicarsi anche alle attività relative alla trasmissione di informazioni in merito a un’indagine amministrativa o a un procedimento disciplinare alle istituzioni e agli organi dell’UE, nonché alla cooperazione con questi ultimi. A questo scopo, Fusion for Energy deve consultare tali istituzioni, organi organismi, autorità o organizzazioni sui motivi che determinano l’imposizione di limitazioni e sulla necessità e proporzionalità di dette limitazioni. |
|
(10) |
Nei casi in cui si applichino tali regole interne, Fusion for Energy deve fornire giustificazioni che spieghino il motivo per cui tali limitazioni siano strettamente necessarie e proporzionate in una società democratica e rispettino l’essenza dei diritti e delle libertà fondamentali. |
|
(11) |
In questo quadro, Fusion for Energy è tenuta a rispettare, nella misura più ampia possibile, i diritti fondamentali degli interessati durante i citati procedimenti, in particolare quelli che riguardano il diritto di comunicare informazioni, il diritto di accesso e rettifica, il diritto di cancellazione e limitazione del trattamento, il diritto di comunicazione di una violazione dei dati personali all’interessato o il diritto alla riservatezza delle comunicazioni sancito nel regolamento (UE) 2018/1725. |
|
(12) |
Tuttavia, Fusion for Energy può essere costretta a limitare le informazioni all’interessato e altri suoi diritti per proteggere, in particolare, le proprie indagini e procedure, le indagini e i procedimenti di altre autorità pubbliche nonché i diritti di altre persone coinvolte nelle sue indagini o in altre procedure. |
|
(13) |
Fusion for Energy può quindi limitare le informazioni allo scopo di proteggere l’indagine e i diritti e le libertà fondamentali degli altri interessati. In particolare, Fusion for Energy può rinviare le informazioni al fine di proteggere le proprie indagini amministrative e i propri procedimenti disciplinari, le indagini e i procedimenti di altre autorità pubbliche, nonché per tutelare l’identità degli informatori e di altre persone coinvolte nelle procedure, compresi gli informatori e i testimoni che non devono subire ripercussioni negative in relazione alla loro cooperazione. A norma dell’articolo 25, paragrafo 8, del regolamento (UE) 2018/1725, il titolare del trattamento può rinviare, omettere o negare la comunicazione all’interessato di informazioni relative ai motivi dell’applicazione di una limitazione, qualora tali informazioni annullino l’effetto della limitazione imposta. |
|
(14) |
Fusion for Energy deve monitorare periodicamente che le condizioni che giustificano la limitazione continuino a sussistere e revocare la limitazione non appena tali condizioni vengano meno. |
|
(15) |
Il titolare del trattamento deve informare il responsabile della protezione dei dati («RPD») al momento del rinvio delle informazioni o qualora vengano applicate altre limitazioni dei diritti degli interessati, nonché durante le revisioni. |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Oggetto e ambito di applicazione
1. La presente decisione stabilisce le norme relative alle condizioni alle quali Fusion for Energy, nel quadro delle sue procedure stabilite al paragrafo 2, può limitare l’applicazione dei diritti sanciti negli articoli da 14 a 21, 35 e 36, nonché nell’articolo 4, in base all’articolo 25 del regolamento (UE) 2018/1725.
2. Nel quadro del funzionamento amministrativo di Fusion for Energy, la presente decisione si applica ai trattamenti dei dati personali svolti da Fusion for Energy ai fini di: condurre indagini amministrative e procedimenti disciplinari, svolgere attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, trattare denunce di irregolarità (whistleblowing), procedure (formali e informali) in casi di molestia, reclami interni ed esterni e dati medici, effettuare audit interni, svolgere indagini tramite l’RPD, conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, e indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE).
La presente decisione deve applicarsi anche alle attività di assistenza e cooperazione di Fusion for Energy fornite dalla stessa al di fuori delle sue indagini amministrative alle autorità nazionali e alle organizzazioni internazionali.
Si applica altresì alle attività connesse alla cooperazione con istituzioni e organi dell’UE e alla trasmissione agli stessi di informazioni riguardanti un’indagine amministrativa o un procedimento disciplinare, nei casi in cui tali informazioni siano necessarie al destinatario per valutare i motivi dell’avvio di un’indagine o di un procedimento formale.
3. Le categorie di dati interessate sono i dati controllati (dati «oggettivi» quali dati d’identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico) e/o dati non controllati (dati «soggettivi» riguardanti il caso, quali motivazione, dati comportamentali, valutazioni, dati su comportamenti e prestazioni e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività).
4. Laddove eserciti le sue funzioni rispetto ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, Fusion for Energy esamina se le deroghe stabilite in tale regolamento trovano applicazione.
5. Fatte salve le condizioni stabilite nella presente decisione, le limitazioni si possono applicare ai seguenti diritti: comunicazione di informazioni agli interessati, diritto di accesso, rettifica, cancellazione, limitazione del trattamento, comunicazione di una violazione dei dati personali all’interessato o riservatezza delle comunicazioni.
Articolo 2
Indicazione del titolare del trattamento e garanzie
1. Le garanzie predisposte per prevenire violazioni, sottrazioni di dati o divulgazioni non autorizzate sono le seguenti:
|
a) |
i documenti cartacei sono tenuti in armadi sicuri e accessibili soltanto al personale autorizzato; |
|
b) |
tutti i dati elettronici sono memorizzati in un’applicazione informatica sicura conformemente agli standard di sicurezza di Fusion for Energy e in specifiche cartelle elettroniche accessibili unicamente al personale autorizzato. Sono disposti appropriati livelli di accesso su base individuale; |
|
c) |
la banca dati è protetta da password nell’ambito di un sistema di accesso SSO (Single Sign On) ed è collegata automaticamente all’ID e alla password dell’utente. La sostituzione degli utenti è rigorosamente vietata. I registri elettronici sono conservati in maniera sicura per tutelare la riservatezza e la segretezza dei dati contenuti; |
|
d) |
tutte le persone che hanno accesso ai dati hanno l’obbligo della riservatezza. |
2. Il titolare del trattamento è Fusion for Energy, rappresentata dal suo direttore, il quale può delegare tale funzione di titolare del trattamento. Gli interessati sono informati riguardo al titolare del trattamento delegato attraverso comunicazioni sulla protezione dei dati o registri pubblicati nel sito Internet e/o sull’intranet di Fusion for Energy.
3. Il periodo di conservazione dei dati personali di cui all’articolo 1, paragrafo 3, non deve essere più lungo di quanto necessario e opportuno per le finalità del trattamento. In ogni caso, non deve superare il periodo di conservazione specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy o nei registri di cui all’articolo 5, paragrafo 1.
4. Qualora Fusion for Energy consideri di applicare una limitazione, si valuta il rischio per i diritti e le libertà dell’interessato, in particolare rispetto al rischio per i diritti e le libertà di altri interessati e al rischio di annullare gli effetti delle indagini o delle procedure di Fusion for Energy, ad esempio distruggendo gli elementi di prova. I rischi per i diritti e le libertà di altri interessati riguardano principalmente, ma non esclusivamente, quelli legati alla reputazione e i rischi per il diritto di difesa e il diritto di essere ascoltato.
Articolo 3
Limitazioni
1. Eventuali limitazioni sono applicate da Fusion for Energy esclusivamente per salvaguardare:
|
a) |
la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e relativa prevenzione; |
|
b) |
altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare gli obiettivi della politica estera e di sicurezza comune dell’Unione o un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; |
|
c) |
la sicurezza interna delle istituzioni e degli organismi dell’Unione, comprese le relative reti di comunicazione elettronica; |
|
d) |
la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari; |
|
e) |
le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate; |
|
f) |
una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a) a c); |
|
g) |
la tutela dell’interessato o dei diritti e delle libertà altrui; |
|
h) |
l’esecuzione delle azioni civili. |
2. Come applicazione specifica delle finalità descritte nel precedente paragrafo 1, Fusion for Energy può applicare limitazioni riguardanti i dati personali scambiati con i servizi della Commissione o altre istituzioni, organi e organismi dell’Unione, autorità competenti degli Stati membri o paesi terzi o organizzazioni internazionali nei seguenti casi:
|
a) |
quando l’esercizio di tali diritti e obblighi potrebbe essere limitato dai servizi della Commissione o da altre istituzioni, organi e organismi dell’Unione in virtù di altri motivi previsti dall’articolo 25 del regolamento (UE) 2018/1725, conformemente al capo IX di detto regolamento oppure sulla base degli atti costitutivi di altre istituzioni, organi e organismi dell’Unione; |
|
b) |
quando l’esercizio di tali diritti e obblighi potrebbe essere limitato dalle autorità competenti degli Stati membri sulla base dei motivi di cui all’articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (4) o a norma delle disposizioni nazionali di recepimento dell’articolo 13, paragrafo 3, dell’articolo 15, paragrafo 3, o dell’articolo 16, paragrafo 3, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (5); |
|
c) |
quando l’esercizio di tali diritti e obblighi potrebbe pregiudicare la cooperazione di Fusion for Energy con paesi terzi od organizzazioni internazionali nello svolgimento dei suoi compiti. |
Prima di applicare limitazioni nei casi di cui al primo comma, lettere a) e b), Fusion for Energy consulta i servizi della Commissione, le istituzioni, gli organi e gli organismi pertinenti dell’Unione o le autorità competenti degli Stati membri, a meno che a Fusion for Energy non risulti evidente che l’applicazione di una limitazione è prevista in virtù di uno dei motivi di cui alle summenzionate lettere.
3. Le eventuali limitazioni sono necessarie e proporzionate tenuto conto dei rischi per i diritti e le libertà degli interessati e rispettano l’essenza dei diritti e delle libertà fondamentali in una società democratica.
4. Nel considerare l’applicazione di limitazioni, si effettua una verifica della necessità e della proporzionalità sulla base delle presenti regole. Tale procedura è documentata mediante una nota di valutazione interna ed è effettuata caso per caso.
5. Le limitazioni sono revocate non appena le condizioni che le giustificano cessino di sussistere. In particolare, laddove si ritenga che l’esercizio del diritto ristretto non annullerebbe più l’effetto della limitazione imposta o lederebbe i diritti e le libertà degli altri interessati.
Articolo 4
Riesame da parte del responsabile della protezione dei dati
1. Fusion for Energy (il titolare del trattamento) informa senza indebito ritardo il proprio responsabile della protezione dei dati («l’RPD») ogniqualvolta limiti l’applicazione dei diritti degli interessati o estenda luna limitazione a norma della presente decisione. Il titolare del trattamento fornisce all’RPD l’accesso al registro che contiene la valutazione della necessità e della proporzionalità della limitazione e documenta nel registro la data in cui ha informato l’RPD.
2. L’RPD può chiedere al titolare del trattamento di riesaminare l’applicazione della limitazione. Il titolare del trattamento informa per iscritto il proprio RPD circa l’esito del riesame richiesto.
3. Il titolare del trattamento informa l’RPD quando la limitazione cessa di sussistere.
Articolo 5
Comunicazione di informazioni all’interessato
1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto all’informazione può essere limitato dal titolare del trattamento nell’ambito dei seguenti trattamenti:
|
a) |
svolgimento di indagini amministrative e procedimenti disciplinari; |
|
b) |
attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF; |
|
c) |
procedure in materia di denunce di irregolarità; |
|
d) |
procedure (formali e informali) in casi di molestia; |
|
e) |
trattamento di reclami interni ed esterni; |
|
f) |
audit interni; |
|
g) |
indagini svolte dal responsabile della protezione dei dati, conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725; |
|
h) |
indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE). |
Nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy e nei registri ai sensi dell’articolo 31 del regolamento (UE) 2018/1725, pubblicati sul proprio sito Internet e/o sull’Intranet, che informano gli interessati sui loro diritti nel quadro di una determinata procedura, Fusion for Energy include informazioni riguardanti le potenziali limitazioni di questi diritti. Tali informazioni specificano quali diritti possono essere limitati.
2. Fatte salve le disposizioni di cui al paragrafo 3, se proporzionato, Fusion for Energy informa anche singolarmente tutti gli interessati, considerati persone interessate nella specifica operazione di trattamento, dei loro diritti riguardanti le limitazioni attuali o future senza indebito ritardo e in forma scritta.
3. Qualora limiti, in tutto o in parte, la comunicazione di informazioni agli interessati di cui al paragrafo 2, Fusion for Energy registra le ragioni della limitazione e il motivo giuridico conformemente all’articolo 3 della presente decisione, inclusa la valutazione della necessità e della proporzionalità della limitazione.
La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati.
4. La limitazione di cui al paragrafo 3 continua ad applicarsi finché permangono i motivi che la giustificano.
Fusion for Energy fornisce all’interessato le informazioni sulle ragioni principali alla base dell’applicazione di una limitazione. Nel contempo, Fusion for Energy informa l’interessato in merito alla possibilità di presentare in qualsiasi momento reclamo al Garante europeo della protezione dei dati o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.
Fusion for Energy riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’inchiesta, della procedura o dell’indagine pertinente. Successivamente il titolare del trattamento valuta la necessità di mantenere eventuali limitazioni ogni sei mesi.
Articolo 6
Diritto di accesso dell’interessato
1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto di accesso può essere limitato dal titolare del trattamento, laddove necessario e proporzionato, nel contesto dei seguenti trattamenti:
|
a) |
svolgimento di indagini amministrative e procedimenti disciplinari; |
|
b) |
attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF; |
|
c) |
procedure in materia di denunce di irregolarità; |
|
d) |
procedure (formali e informali) in casi di molestia; |
|
e) |
trattamento di reclami interni ed esterni; |
|
f) |
trattamento di dati medici, solo in casi specifici e giustificati (6); |
|
g) |
audit interni; |
|
h) |
indagini svolte dal responsabile della protezione dei dati, conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725; |
|
i) |
indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE). |
Qualora, a norma dell’articolo 17 del regolamento (UE) 2018/1725, gli interessati chiedano l’accesso ai propri dati personali trattati nell’ambito di uno o più casi specifici o di un particolare trattamento, Fusion for Energy limita la propria valutazione della richiesta esclusivamente a tali dati personali.
2. Allorché limita, integralmente o in parte, il diritto di accesso di cui all’articolo 17 del regolamento (UE) 2018/1725, Fusion for Energy procede nel modo seguente:
|
a) |
informa l’interessato, nella propria risposta alla richiesta, in merito alla limitazione applicata e ai principali motivi della stessa, come pure alla possibilità di presentare reclamo al Garante europeo della protezione dei dati o di proporre un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea; |
|
b) |
registra in una nota di valutazione interna i motivi della limitazione, compresa, una valutazione della relativa necessità e proporzionalità, e della sua durata. |
La comunicazione di informazioni di cui alla lettera a) può essere rinviata, omessa o negata se annullasse l’effetto della limitazione in conformità dell’articolo 25, paragrafo 8, del regolamento (UE) 2018/1725.
Fusion for Energy riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’inchiesta, della procedura o dell’indagine pertinente. Successivamente il titolare del trattamento valuta la necessità di mantenere eventuali limitazioni ogni sei mesi.
3. La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati.
Articolo 7
Diritto di rettifica, cancellazione e limitazione del trattamento
1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto di rettifica, cancellazione e limitazione può essere limitato dal titolare del trattamento, laddove necessario e opportuno, nel contesto dei seguenti trattamenti:
|
a) |
svolgimento di indagini amministrative e procedimenti disciplinari; |
|
b) |
attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF; |
|
c) |
procedure in materia di denunce di irregolarità; |
|
d) |
procedure (formali e informali) in casi di molestia; |
|
e) |
trattamento di reclami interni ed esterni; |
|
f) |
trattamento di dati medici, solo in casi specifici e giustificati (7); |
|
g) |
audit interni; |
|
h) |
indagini svolte dal responsabile della protezione dei dati, conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725; |
|
i) |
indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE). |
2. Qualora Fusion for Energy limiti, integralmente o in parte, l’applicazione del diritto di rettifica, cancellazione o limitazione di trattamento di cui all’articolo 18, all’articolo 19, paragrafo 1, e all’articolo 20, paragrafo 1, del regolamento (UE) 2018/1725, si applicano le disposizioni di cui all’articolo 6, paragrafi 2 e 3, della presente decisione.
Articolo 8
Comunicazione di una violazione dei dati personali all’interessato e riservatezza delle comunicazioni elettroniche
1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto alla comunicazione di una violazione dei dati personali può essere limitato dal titolare del trattamento, laddove necessario e appropriato, nel contesto dei seguenti trattamenti:
|
a) |
svolgimento di indagini amministrative e procedimenti disciplinari; |
|
b) |
attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF; |
|
c) |
procedure in materia di denunce di irregolarità; |
|
d) |
procedure (formali e informali) in casi di molestia; |
|
e) |
trattamento di reclami interni ed esterni; |
|
f) |
audit interni; |
|
g) |
indagini svolte dal responsabile della protezione dei dati, conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725; |
|
h) |
indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE). |
2. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto alla riservatezza delle comunicazioni elettroniche può essere limitato dal titolare del trattamento, laddove necessario e appropriato, nel contesto dei seguenti trattamenti:
|
a) |
svolgimento di indagini amministrative e procedimenti disciplinari; |
|
b) |
attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF; |
|
c) |
procedure in materia di denunce di irregolarità; |
|
d) |
procedure formali in casi di molestia; |
|
e) |
trattamento di reclami interni ed esterni; |
|
f) |
indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE). |
3. Laddove Fusion for Energy limiti la comunicazione delle violazioni dei dati personali all’interessato o la riservatezza delle comunicazioni elettroniche di cui agli articoli 35 e 36 del regolamento (UE) 2018/1725, si applicano le disposizioni di cui all’articolo 5, paragrafi 3 e 4, della presente decisione.
Articolo 9
Entrata in vigore
La presente decisione entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Fatto a Barcellona il 9 dicembre 2019
Per Fusion for Energy
Joaquín SÁNCHEZ
Presidente del consiglio di direzione
(1) GU L 295 del 21.11.2018, pag. 39.
(2) GU L 90 del 30.3.2007, pag. 58.
(3) GU L 248 del 18.9.2013, pag. 1.
(4) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
(5) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).
(6) Tali situazioni sono spiegate nella rispettiva Informativa sulla privacy (ad esempio, l’accesso alla cartella clinica in presenza del medico di F4E); una limitazione generale all’accesso alle note personali dei medici nell’ambito della procedura di invalidità, conformemente alla restrizione prevista dall’articolo 25, paragrafo 1, lettera h), del nuovo regolamento (ossia la protezione dell’interessato o dei diritti e delle libertà di altri).
(7) Tali situazioni sono spiegate nella rispettiva Informativa sulla privacy (ad esempio, la rettifica è limitata ai dati amministrativi).