«In conseguenza dell’entrata in vigore del trattato di Lisbona il 1o dicembre 2009, l’Unione europea ha sostituito ed è succeduta alla Comunità europea e da tale data esercita tutti i diritti e assume tutti gli obblighi della Comunità europea. Pertanto, i riferimenti alla “Comunità europea” o alla “Comunità” nel testo dell’accordo e del protocollo s’intendono fatti, ove opportuno, all’“Unione europea” o all’“Unione”.».

1.   La presente decisione stabilisce le norme relative alle condizioni alle quali l’Agenzia, nel quadro delle sue procedure stabilite al paragrafo 2, può limitare l’applicazione dei diritti sanciti negli articoli da 14 a 21, 35 e 36, nonché nell’articolo 4 in base all’articolo 25 del regolamento (UE) 2018/1725.

2.   Nel quadro del funzionamento dell’Agenzia, tale decisione si applica ai trattamenti dei dati personali svolti dall’Agenzia ai fini di: condurre indagini amministrative, procedimenti disciplinari e attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, trattare denunce di irregolarità, procedure (formali e informali) di molestie e reclami interni ed esterni, effettuare audit interni, indagini svolte dal responsabile della protezione dei dati, conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, nonché indagini sulla sicurezza (IT) gestite internamente o mediante intervento esterno (ad esempio CERT-UE).

3.   Le categorie di dati interessate sono i dati controllati (dati «oggettivi» quali dati d’identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico) e/o dati non controllati (dati «soggettivi» riguardanti il caso, quali motivazione, dati comportamentali, valutazioni, dati su comportamenti e prestazioni e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività).

4.   Quando esercita le sue funzioni rispetto ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, l’Agenzia valuta se sia applicabile una delle deroghe stabilite in tale regolamento.

5.   Fatte salve le condizioni stabilite in questa decisione, le limitazioni si possono applicare ai seguenti diritti: comunicazione di informazioni agli interessati, diritto di accesso, rettifica, cancellazione, limitazione del trattamento, comunicazione di una violazione dei dati personali all’interessato o riservatezza delle comunicazioni. Conformemente all’articolo 5, paragrafo 4, dello statuto, con la presente decisione sono approvate le tabelle che stabiliscono l’equivalenza tra gli impieghi tipo e i titoli utilizzati per i funzionari e gli agenti temporanei dell’EMSA, che figurano nell’allegato della presente decisione.

1.   Il titolare del trattamento è l’Agenzia, rappresentata dal suo direttore esecutivo, il quale può delegare la funzione di titolare. Gli interessati sono informati dei titolari del trattamento delegati attraverso comunicazioni sulla protezione dei dati o registri pubblicati nel sito Internet e/o sull’intranet dell’Agenzia.

2.   Il periodo di conservazione dei dati personali di cui all’articolo 1, paragrafo 3, non deve essere più lungo di quanto necessario e opportuno per le finalità del trattamento. In ogni caso, non deve superare il periodo di conservazione specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy o nei registri di cui all’articolo 5, paragrafo 1.

3.   Qualora l’Agenzia consideri di applicare una limitazione, viene valutato il rischio per i diritti e le libertà dell’interessato, in particolare rispetto al rischio per i diritti e le libertà degli altri interessati e al rischio di annullare gli effetti delle indagini o delle procedure dell’Agenzia, ad esempio distruggendo elementi di prova. I rischi per i diritti e le libertà dell’interessato riguardano principalmente, ma non esclusivamente, i rischi legati alla reputazione e i rischi per il diritto di difesa e il diritto di essere ascoltato.

1.   Eventuali limitazioni sono applicate dall’Agenzia esclusivamente per salvaguardare:

2.   Come applicazione specifica delle finalità descritte nel precedente paragrafo 1, l’Agenzia può applicare limitazioni nei seguenti casi:

Prima di applicare limitazioni nei casi di cui al primo comma, lettere a) e b), l’Agenzia consulta i servizi della Commissione, le istituzioni, gli organi e gli organismi pertinenti dell’Unione o le autorità competenti degli Stati membri, a meno che all’Agenzia non risulti evidente che l’applicazione di una limitazione è prevista in virtù di uno dei motivi di cui alle summenzionate lettere.

3.   Le eventuali limitazioni sono necessarie e proporzionate ai rischi per i diritti e le libertà degli interessati e rispettano l’essenza dei diritti e delle libertà fondamentali in una società democratica.

4.   Nel considerare l’applicazione di limitazioni si effettua, ogni sei mesi, una verifica della necessità e della proporzionalità sulla base delle presenti norme. Tale procedura è documentata mediante una nota di valutazione interna ed è effettuata caso per caso.

5.   Le limitazioni sono revocate non appena le condizioni che le giustificano cessano di sussistere. In particolare, laddove si ritenga che l’esercizio del diritto ristretto non annullerebbe più l’effetto della limitazione imposta o lederebbe i diritti e le libertà degli altri interessati.

1.   L’Agenzia informa senza indebito ritardo il proprio responsabile della protezione dei dati (RDP) ogniqualvolta il titolare del trattamento limiti l’applicazione dei diritti degli interessati o estenda la limitazione a norma della presente decisione. Il titolare del trattamento fornisce al RPD l’accesso al registro che contiene la valutazione della necessità e della proporzionalità della limitazione e documenta nel registro la data in cui ha informato il RPD.

2.   Il RPD può chiedere al titolare del trattamento di riesaminare l’applicazione della limitazione. Il titolare del trattamento informa per iscritto il proprio RPD circa l’esito del riesame richiesto.

3.   Il titolare del trattamento informa il RPD quando la limitazione cessa di sussistere.

1.   In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto all’informazione può essere limitato dal titolare del trattamento nell’ambito dei seguenti trattamenti:

Nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy e nei registri, ai sensi dell’articolo 31 del regolamento (UE) 2018/1725, pubblicati sul proprio sito Internet e/o sull’Intranet, che informano gli interessati sui loro diritti nel quadro di una determinata procedura, l’Agenzia include informazioni riguardanti le potenziali limitazioni di questi diritti. Tali informazioni riguardano i diritti che possono essere limitati, le ragioni e la durata potenziale della limitazione.

2.   Fatte salve le disposizioni di cui al paragrafo 3, se proporzionato, l’Agenzia informa anche singolarmente tutti gli interessati – considerati persone interessate nella specifica operazione di trattamento – dei loro diritti riguardanti le limitazioni attuali o future senza indebito ritardo e in forma scritta.

3.   Qualora l’Agenzia limiti, in tutto o in parte, la comunicazione di informazioni agli interessati di cui al paragrafo 2, essa registra le ragioni della limitazione, il motivo giuridico conformemente all’articolo 3 della presente decisione, inclusa la valutazione della necessità e della proporzionalità della limitazione.

La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del GEPD.

4.   La limitazione di cui al paragrafo 3 continua ad applicarsi finché permangono i motivi che la giustificano.

Qualora i motivi della limitazione non siano più applicabili, l’Agenzia fornisce all’interessato le informazioni sulle ragioni principali alla base dell’applicazione di una limitazione. Nel contempo l’Agenzia informa l’interessato in merito al diritto di presentare in qualsiasi momento reclamo al GEPD o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.

L’Agenzia riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’inchiesta, della procedura o dell’indagine pertinente. Successivamente il titolare del trattamento valuta la necessità di mantenere eventuali limitazioni ogni sei mesi.

1.   In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto di accesso può essere limitato dal titolare del trattamento, laddove necessario e proporzionato, nel contesto dei seguenti trattamenti:

Qualora, a norma dell’articolo 17 del regolamento (UE) 2018/1725, gli interessati chiedano l’accesso ai propri dati personali trattati nell’ambito di uno o più casi specifici o di particolari trattamenti, l’Agenzia limita la propria valutazione della richiesta esclusivamente a tali dati personali.

2.   Allorché limita, integralmente o in parte, il diritto di accesso di cui all’articolo 17 del regolamento (UE) 2018/1725, l’Agenzia procede nel modo seguente:

La comunicazione di informazioni di cui alla lettera a) può essere rinviata, omessa o negata se annullasse l’effetto della limitazione in conformità dell’articolo 25, paragrafo 8, del regolamento (UE) 2018/1725.

L’Agenzia riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’indagine pertinente. Successivamente, il titolare del trattamento valuta la necessità di mantenere eventuali limitazioni ogni sei mesi.

3.   La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del GEPD.

1.   In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto di rettifica, cancellazione e limitazione può essere limitato dal titolare del trattamento, laddove necessario e opportuno, nel contesto dei seguenti trattamenti:

2.   Qualora l’Agenzia limiti, integralmente o in parte, l’applicazione del diritto di rettifica, cancellazione o limitazione di trattamento di cui all’articolo 18, all’articolo 19, paragrafo 1, e all’articolo 20, paragrafo 1, del regolamento (UE) 2018/1725, essa adotta le misure di cui all’articolo 6, paragrafo 2, della presente decisione e conserva la registrazione in un registro in conformità dell’articolo 6, paragrafo 3, della stessa. In deroga alle misure di cui sopra, ogni limitazione è oggetto di riesame alle condizioni di cui all’articolo 3, paragrafo 4, della presente decisione.

1.   In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto alla comunicazione di una violazione dei dati personali può essere limitato dal titolare del trattamento, laddove necessario e appropriato, nel contesto dei seguenti trattamenti:

2.   In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, la riservatezza delle comunicazioni elettroniche può essere limitata dal titolare del trattamento, laddove necessario e appropriato, nel contesto dei seguenti trattamenti:

3.   Laddove l’Agenzia limiti la comunicazione delle violazioni dei dati personali agli interessati o la riservatezza delle comunicazioni elettroniche di cui agli articoli 35 e 36 del regolamento (UE) 2018/1725, essa annota e registra i motivi della limitazione conformemente all’articolo 5, paragrafo 3, della presente decisione. Si applica l’articolo 5, paragrafo 4, della presente decisione. In deroga alle misure di cui sopra, ogni limitazione è oggetto di riesame alle condizioni di cui all’articolo 3, paragrafo 4, della presente decisione.