European flag

Gazzetta ufficiale
dell'Unione europea

IT

Serie L


2023/2189

16.10.2023

CONSIGLIO DI DIREZIONE DELL’IMPRESA COMUNE SALUTE GLOBALE EDCTP3 DECISIONE GB/18/2023

che stabilisce le norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito del funzionamento dell’impresa comune «Salute globale EDCTP3» [2023/2189]

IL CONSIGLIO DI DIREZIONE DELL’IMPRESA COMUNE «SALUTE GLOBALE EDCTP3»,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE («regolamento (UE) 2018/1725») (1), in particolare l’articolo 25,

visto il regolamento (UE) 2021/2085 del Consiglio, del 19 novembre 2021, che istituisce le imprese comuni nell’ambito di Orizzonte Europa che abroga i regolamenti (CE) n. 219/2007, (UE) n. 557/2014, (UE) n. 558/2014, (UE) n. 559/2014, (UE) n. 560/2014, (UE) n. 561/2014 e (UE) n. 642/2014 (2) («atto unico di base»),

visti gli orientamenti del Garante europeo della protezione dei dati (GEPD) sull’articolo 25 del regolamento (UE) 2018/1725 e le norme interne del 24 giugno 2020 (3),

dopo aver consultato il GEPD il 12 giugno 2023, conformemente all’articolo 41, paragrafo 2, del regolamento (UE) 2018/1725,

viste le raccomandazioni del GEPD del 19 giugno 2023,

informato il personale dell’impresa comune «Global Health EDCTP3»,

considerando quanto segue:

1)

Solo gli atti giuridici adottati sulla base dei trattati possono prevedere limitazioni dei diritti degli interessati. Qualora tali limitazioni non possano fondarsi su atti giuridici adottati sulla base dei trattati, il regolamento (UE) 2018/1725 stabilisce che, in questioni relative alle operazioni dell’impresa comune «Global Health EDCTP3», le limitazioni possono essere previste da norme interne, previa valutazione della necessità e della proporzionalità di tali limitazioni.

2)

In conformità dell’articolo 25, paragrafo 1, del regolamento (UE) 2018/1725, le limitazioni nell’applicazione degli articoli da 14 a 22 e degli articoli 35 e 36 del medesimo regolamento, nonché dell’articolo 4 nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi previsti dagli articoli da 14 a 20, dovrebbero basarsi su norme interne adottate dall’impresa comune «Global Health EDCTP3».

3)

Nel quadro del proprio funzionamento amministrativo, l’impresa comune «Global Health EDCTP3» può condurre indagini amministrative e procedimenti predisciplinari, disciplinari e di sospensione, svolgere attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, trattare denunce di irregolarità da parte di informatori interni, condurre procedimenti (formali e informali) riguardanti casi di molestie, trattare reclami interni ed esterni e condurre audit interni ed esterni, svolgere indagini a cura del responsabile della protezione dei dati («DPO») in conformità dell’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725 e indagini sulla sicurezza (IT) a conduzione interna o con la partecipazione di soggetti esterni (p.es. CERT-UE).

4)

L’impresa comune «Global Health EDCTP3» può anche svolgere indagini in merito a potenziali violazioni delle norme di sicurezza relative alle informazioni classificate UE («ICUE»), sulla base della decisione che intende adottare sulle proprie norme di sicurezza per la protezione di tali informazioni.

5)

Nell’ambito di tali indagini amministrative, audit e indagini, l’impresa comune «Global Health EDCTP3» collabora con le altre istituzioni e gli altri organi e organismi dell’Unione.

6)

L’impresa comune «Global Health EDCTP3» può collaborare con le autorità nazionali dei paesi terzi e con organizzazioni internazionali, su loro richiesta o di propria iniziativa.

7)

L’impresa comune «Global Health EDCTP3» può anche collaborare con le autorità pubbliche degli Stati membri dell’UE, su loro richiesta o di propria iniziativa.

8)

L’impresa comune «Global Health EDCTP3» è coinvolta nelle cause dinanzi alla Corte di giustizia dell’Unione europea per adire la stessa Corte o per difendere le proprie decisioni impugnate dinanzi alla Corte o, ancora, intervenire nei casi pertinenti ai propri compiti. In tale contesto l’impresa comune «Global Health EDCTP3» potrebbe avere la necessità di salvaguardare la riservatezza dei dati personali che figurano nei documenti ottenuti dalle parti o dagli intervenienti.

9)

Per svolgere i propri compiti l’impresa comune «Global Health EDCTP3» raccoglie e tratta diverse categorie di dati personali, tra cui dati d’identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico, nonché dati riguardanti il caso quali motivazione, dati comportamentali, valutazioni, dati su comportamenti e prestazioni e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività (4).

10)

L’impresa comune «Global Health EDCTP3», rappresentata dal suo direttore esecutivo, funge da titolare del trattamento.

11)

I dati personali sono conservati in modo sicuro in un ambiente elettronico o in formato cartaceo, in modo tale da impedire l’accesso illecito agli stessi o il loro trasferimento a persone che non hanno il diritto di accedervi. I dati personali trattati sono conservati solo per il periodo di tempo necessario e opportuno per le finalità del trattamento, come specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy o nei registri dell’impresa comune «Global Health EDCTP3».

12)

A norma del regolamento (UE) 2018/1725, l’impresa comune «Global Health EDCTP3» è pertanto tenuta ad adempiere all’obbligo di fornire informazioni agli interessati in relazione alle suddette attività di trattamento e a rispettare i diritti degli stessi interessati.

13)

L’impresa comune «Global Health EDCTP3» può essere anche tenuta a conciliare tali diritti con gli obiettivi delle indagini amministrative e di altra natura, degli audit e dei procedimenti giudiziari. Può essere necessario conciliare i diritti di un interessato con i diritti e le libertà fondamentali di altri interessati. A tal fine, l’articolo 25 del regolamento (UE) 2018/1725 prevede, a condizioni rigorose, che l’impresa comune «Global Health EDCTP3» abbia la possibilità di limitare l’applicazione degli articoli da 14 a 22, 35 e 36 del regolamento (UE) 2018/1725, nonché dell’articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 20.

14)

Le norme interne dovrebbero applicarsi a tali rilevanti operazioni di trattamento eseguite prima dell’avvio dei procedimenti di cui sopra, nel corso dei procedimenti, durante il monitoraggio del seguito dato ai loro risultati e per tutto il periodo in cui continua ad applicarsi la limitazione. Queste norme dovrebbero essere applicabili anche a qualsiasi assistenza e cooperazione fornite dall’impresa comune «Global Health EDCTP3» alle autorità nazionali e alle organizzazioni internazionali al di fuori delle proprie indagini amministrative.

15)

Nei casi in cui si applicano tali norme interne, l’impresa comune «Global Health EDCTP3» deve giustificare e spiegare per quale motivo le limitazioni sono strettamente necessarie e proporzionate in una società democratica e in quale modo rispettano l’essenza dei diritti e delle libertà fondamentali.

16)

In questo quadro, l’impresa comune «Global Health EDCTP3» è tenuta a rispettare, nel pieno rispetto della legislazione e degli orientamenti pertinenti, i diritti fondamentali degli interessati durante le procedure citate, in particolare quelli che riguardano il diritto di comunicare informazioni, il diritto di accesso e rettifica, il diritto di cancellazione e limitazione del trattamento, il diritto di comunicazione di una violazione dei dati personali all’interessato o il diritto alla riservatezza delle comunicazioni sancito nel regolamento (UE) 2018/1725.

17)

Tuttavia, l’impresa comune «Global Health EDCTP3» può essere obbligata a limitare la comunicazione di informazioni agli interessati e altri loro diritti per proteggere, in particolare, le proprie indagini, le indagini e i procedimenti di altre autorità pubbliche, nonché i diritti di altre persone connesse alle sue indagini o ad altre procedure.

18)

Nel valutare se applicare una limitazione, l’impresa comune «Global Health EDCTP3» deve ponderare il rischio per i diritti e le libertà dell’interessato considerato, rispetto al rischio per i diritti e le libertà di altri interessati e al rischio di annullare gli effetti delle proprie indagini o procedure, ad esempio distruggendo gli elementi di prova. I rischi per i diritti e le libertà dell’interessato riguardano principalmente, ma non esclusivamente, i rischi reputazionali e i rischi per il diritto di difesa e il diritto di essere ascoltato.

19)

L’impresa comune «Global Health EDCTP3» può quindi limitare le informazioni allo scopo di proteggere sia l’indagine sia i diritti e le libertà fondamentali di altri interessati.

20)

Per garantire la massima tutela dei diritti e delle libertà degli interessati e in conformità dell’articolo 44, paragrafo 1, del regolamento (UE) 2018/1725, il RPD dovrebbe essere consultato a tempo debito in merito alle eventuali limitazioni applicabili e dovrebbe verificarne la conformità alla presente decisione.

21)

L’impresa comune «Global Health EDCTP3» dovrebbe monitorare periodicamente se le condizioni che giustificano la limitazione continuino ad applicarsi, e dovrebbe revocarla non appena tali condizioni cessano di sussistere.

22)

Il titolare del trattamento dovrebbe informare il RPD al momento del rinvio e durante le revisioni.

23)

La presente decisione è adottata con procedura scritta in conformità dell’articolo 10 del regolamento interno del consiglio di direzione di «Global Health EDCTP3»,

HA DECISO QUANTO SEGUE:

Articolo 1

Oggetto e ambito d’applicazione

1.   La presente decisione stabilisce le norme relative alle condizioni alle quali l’impresa comune «Global Health EDCTP3», nel quadro delle proprie procedure di cui all’articolo 3 della presente decisione, può limitare l’applicazione degli articoli da 14 a 22, degli articoli 35 e 36, nonché nell’articolo 4, del regolamento (UE) 2018/1725, sulla base dell’articolo 25 del medesimo regolamento.

2.   Le categorie di dati interessate da dette procedure comprendono dati d’identificazione, recapiti, dati professionali, dettagli amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico, nonché dati riguardanti il caso quali motivazione, dati comportamentali, valutazioni, dati su comportamenti e prestazioni e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività.

3.   Nell’esercizio delle proprie funzioni relative ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, l’impresa comune «Global Health EDCTP3» valuta se sia applicabile una delle deroghe di cui al regolamento citato.

Articolo 2

Indicazione del titolare del trattamento

Il titolare delle operazioni di trattamento è l’impresa comune «Global Health EDCTP3», rappresentata dal suo direttore esecutivo.

Articolo 3

Limitazioni

1.   L’impresa comune «Global Health EDCTP3» può limitare l’applicazione degli articoli da 14 a 22, 35 e 36 del regolamento (UE) 2018/1725, nonché dell’articolo 4 nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 20:

a)

a norma dell’articolo 25, paragrafo 1, lettere b), c), f), g) e h), del regolamento (UE) 2018/1725, quando svolge indagini amministrative e avvia procedimenti predisciplinari, disciplinari o di sospensione ai sensi dell’articolo 86 e dell’allegato IX dello statuto dei funzionari e della decisione n. 17/2023 del consiglio di amministrazione dell’impresa comune «Global Health EDCTP3», nonché quando notifica casi all’OLAF;

b)

a norma dell’articolo 25, paragrafo 1, lettera h), del regolamento (UE) 2018/1725, quando garantisce che i membri del personale dell’impresa comune «Global Health EDCTP3» possano segnalare in via riservata fatti laddove ritengono che vi siano gravi irregolarità, come disciplinato dalla decisione n. 12/2023 del consiglio di amministrazione dell’impresa comune «Global Health EDCTP3» sulle norme interne in materia di denunce di irregolarità;

c)

a norma dell’articolo 25, paragrafo 1, lettera h), del regolamento (UE) 2018/1725, quando garantisce che i membri del personale dell’impresa comune «Global Health EDCTP3» possano effettuare segnalazioni a consulenti di fiducia nel contesto di una procedura in materia di molestie ai sensi della decisione n. 13/2023 del consiglio di amministrazione dell’impresa comune «Global Health EDCTP3»;

d)

a norma dell’articolo 25, paragrafo 1, lettera c), g) e h), del regolamento (UE) 2018/1725, nello svolgimento di audit interni ed esterni in relazione alle attività o ai settori dell’impresa comune «Global Health EDCTP3»;

e)

a norma dell’articolo 25, paragrafo 1, lettere c), d), g) e h), del regolamento (UE) 2018/1725, quando fornisce o riceve assistenza o cooperazione a o da altre istituzioni e altri organi e organismi dell’Unione nel contesto delle attività di cui alle lettere da a) a d) del presente paragrafo e ai sensi dei pertinenti accordi sul livello dei servizi, memorandum d’intesa e accordi di cooperazione;

f)

a norma dell’articolo 25, paragrafo 1, lettere c), g) e h), del regolamento (UE) 2018/1725, quando fornisce o riceve assistenza e cooperazione a e da autorità nazionali di paesi terzi e organizzazioni internazionali, su loro richiesta o di propria iniziativa;

g)

a norma dell’articolo 25, paragrafo 1, lettere c), g) e h), del regolamento (UE) 2018/1725, quando fornisce o riceve assistenza e cooperazione a e da autorità pubbliche degli Stati membri dell’UE, su loro richiesta o di propria iniziativa;

h)

a norma dell’articolo 25, paragrafo 1, lettera e), del regolamento (UE) 2018/1725, quando tratta i dati personali in documenti ottenuti dalle parti o dagli intervenienti nel contesto di procedimenti dinanzi alla Corte di giustizia dell’Unione europea;

i)

a norma dell’articolo 25, paragrafo 1, lettere c) e h), del regolamento (UE) 2018/1725, quando tratta i dati personali nel corso delle indagini svolte dal RPD in linea con l’articolo 45, paragrafo 2, del medesimo regolamento;

j)

a norma dell’articolo 25, paragrafo 1, lettere c), d), g) e h), del regolamento (UE) 2018/1725, quando tratta i dati personali nel corso di indagini sulla sicurezza informatica gestite internamente o con la partecipazione di soggetti esterni (p.es. CERT-UE);

k)

a norma dell’articolo 25, paragrafo 1, lettere c), g) e h), del regolamento (UE) 2018/1725, quando tratta i dati personali nell’ambito della procedura di gestione delle sovvenzioni o di appalto, dopo il termine ultimo per la presentazione degli inviti a presentare proposte o per la presentazione delle offerte.

2.   Come applicazione specifica delle limitazioni descritte nel precedente paragrafo 1, l’impresa comune «Global Health EDCTP3» può applicare limitazioni nei casi seguenti:

a)

in relazione ai dati personali scambiati con i servizi della Commissione o con altri uffici, istituzioni, organi e organismi dell’Unione;

i)

quando tali servizi della Commissione o istituzioni, organi e organismi dell’Unione sono legittimati a limitare l’esercizio dei diritti elencati in virtù di altri atti previsti dall’articolo 25 del regolamento (UE) 2018/1725 o conformemente al capo IX di detto regolamento oppure sulla base degli atti costitutivi di altri organi, organismi e istituzioni dell’Unione;

ii)

nel caso in cui la finalità di una simile limitazione da parte di tale servizio della Commissione o di un’istituzione, un organo o un organismo dell’Unione sarebbe compromessa qualora l’impresa comune «Global Health EDCTP3» non applicasse una limitazione equivalente per i medesimi dati personali;

b)

in relazione ai dati personali scambiati con le autorità competenti degli Stati membri;

i)

quando tali autorità competenti degli Stati membri sono legittimate a limitare l’esercizio dei diritti elencati in virtù dei motivi di cui all’articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (5), o a norma delle disposizioni nazionali di recepimento dell’articolo 13, paragrafo 3, dell’articolo 15, paragrafo 3, o dell’articolo 16, paragrafo 3, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (6);

ii)

nel caso in cui la finalità di una simile limitazione da parte di tale autorità competente sarebbe compromessa qualora l’impresa comune «Global Health EDCTP3» non applicasse una limitazione equivalente per i medesimi dati personali;

c)

in relazione ai dati personali scambiati con paesi terzi o organizzazioni internazionali, qualora sia chiaramente dimostrato che l’esercizio di tali diritti e obblighi rischia di mettere a repentaglio la cooperazione dell’impresa comune «Global Health EDCTP3» con paesi terzi o organizzazioni internazionali nello svolgimento dei suoi compiti.

Prima di applicare limitazioni nei casi di cui al primo comma, lettere a) e b), l’impresa comune «Global Health EDCTP3» consulta i servizi della Commissione, le istituzioni, gli organi e gli organismi pertinenti dell’Unione o le autorità competenti degli Stati membri, a meno che all’impresa comune «Global Health EDCTP3» non risulti evidente che l’applicazione di una limitazione è prevista in virtù di uno dei motivi di cui alle lettere summenzionate.

3.   Qualora limiti, in tutto o in parte, l’applicazione dei diritti di cui ai precedenti paragrafi 1 e 2, l’impresa comune «Global Health EDCTP3» adotta le misure di cui agli articoli 5 e 6 della presente decisione.

4.   Qualora, a norma dell’articolo 17 del regolamento (UE) 2018/1725, gli interessati chiedano l’accesso ai propri dati personali trattati nell’ambito di uno o più casi specifici o a una particolare operazione di trattamento, l’impresa comune «Global Health EDCTP3» limita la propria valutazione della richiesta esclusivamente a tali dati personali.

Articolo 4

Indicazione delle garanzie

1.   L’impresa comune «Global Health EDCTP3» mette in atto garanzie per prevenire gli abusi e l’accesso o il trasferimento illeciti di dati personali che sono o possono essere soggetti a limitazioni. Tali garanzie, che includono misure tecniche e organizzative, sono specificate, ove necessario, nelle decisioni, procedure e norme di attuazione interne dell’impresa comune «Global Health EDCTP3». Le garanzie comprendono quanto segue:

a)

definizione chiara dei ruoli, delle responsabilità e delle fasi procedurali;

b)

i documenti cartacei sono tenuti in armadi sicuri e accessibili soltanto al personale autorizzato;

c)

tutti i dati elettronici sono memorizzati in un’applicazione informatica sicura conformemente agli standard di sicurezza dell’impresa comune «Global Health EDCTP3» e in cartelle elettroniche specifiche accessibili unicamente al personale autorizzato. Sono concessi appropriati livelli di accesso su base individuale;

d)

tutte le persone che hanno accesso ai dati hanno l’obbligo della riservatezza;

e)

il debito monitoraggio delle limitazioni e un riesame periodico della loro applicazione.

2.   Conformemente all’articolo 5, paragrafo 3, le garanzie di cui al paragrafo 1 devono essere soggette a una revisione periodica.

3.   I dati personali sono conservati conformemente alle norme dell’impresa comune «Global Health EDCTP3» applicabili in materia di conservazione, che devono essere definite nei registri relativi alla protezione dei dati tenuti a norma dell’articolo 31 del regolamento (UE) 2018/1725. Il periodo di conservazione non sarà in ogni caso più lungo di quanto necessario e sarà appropriato per le finalità per le quali i dati sono trattati.

Articolo 5

Necessità e proporzionalità delle limitazioni

1.   Le eventuali limitazioni ai sensi dell’articolo 3 sono necessarie e proporzionate tenuto conto dei rischi per i diritti e le libertà degli interessati e rispettano l’essenza dei diritti e delle libertà fondamentali in una società democratica.

2.   Se si considera l’applicazione di limitazioni, si effettua una verifica della necessità e della proporzionalità sulla base delle presenti regole. La verifica deve essere condotta anche nell’ambito della revisione periodica, dopo aver valutato se le ragioni di fatto e di diritto di una limitazione siano ancora valide. Tale procedura è documentata mediante una nota di valutazione interna ai fini della rendicontabilità ed è effettuata caso per caso.

L’impresa comune «Global Health EDCTP3» redige relazioni periodiche sull’applicazione dell’articolo 25 del regolamento (UE) 2018/1725.

3.   Le limitazioni sono temporanee e continuano ad applicarsi finché sussistono i motivi che le giustificano, in particolare laddove si ritenga che l’esercizio del diritto limitato non annullerebbe più l’effetto della limitazione imposta o lederebbe i diritti e le libertà degli altri interessati.

L’impresa comune «Global Health EDCTP3» riesamina l’applicazione della limitazione ogni sei mesi a partire dalla sua adozione e all’atto della chiusura dell’inchiesta, della procedura o dell’indagine pertinente. Successivamente il titolare del trattamento valuta la necessità di mantenere eventuali limitazioni ogni sei mesi.

4.   Qualora applichi, in tutto o in parte, le limitazioni ai sensi dell’articolo 3, l’impresa comune «Global Health EDCTP3» registra le ragioni della limitazione e il motivo o i motivi giuridici conformemente al medesimo articolo 3, inclusa la valutazione della necessità e della proporzionalità della limitazione.

La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del garante europeo della protezione dei dati.

Articolo 6

Obbligo di informazione

1.   Nelle comunicazioni sulla protezione dei dati, nelle informative sulla privacy e nei registri ai sensi dell’articolo 31 del regolamento (UE) 2018/1725, pubblicati sul proprio sito web e/o sull’Intranet, che informano gli interessati sui loro diritti nel quadro di una determinata procedura, l’impresa comune «Global Health EDCTP3» include informazioni riguardanti le potenziali limitazioni di tali diritti. Tali informazioni riguardano i diritti che possono essere limitati, le ragioni e la durata potenziale della limitazione.

Fatte salve le disposizioni di cui all’articolo 5, paragrafo 4, se appropriato l’impresa comune «Global Health EDCTP3» informa singolarmente tutti gli interessati considerati persone interessate nella specifica operazione di trattamento anche sui loro diritti riguardanti le limitazioni attuali o future, senza indebito ritardo e in forma scritta.

2.   Qualora limiti, in tutto o in parte, i diritti di cui all’articolo 3, l’impresa comune «Global Health EDCTP3» informa l’interessato sulla limitazione applicata e sui principali motivi della stessa, come pure sulla possibilità di presentare reclamo al Garante europeo della protezione dei dati o di proporre un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.

La comunicazione di informazioni di cui al precedente paragrafo 2 può essere rinviata, omessa o negata qualora annulli l’effetto della limitazione in conformità dell’articolo 25, paragrafo 8, del regolamento (UE) 2018/1725.

Articolo 7

Ruolo del responsabile della protezione dei dati

1.   L’impresa comune «Global Health EDCTP3» informa senza indebito ritardo il proprio RPD prima che il titolare del trattamento limiti l’applicazione dei diritti degli interessati o estenda la limitazione a norma della presente decisione e durante il periodo in cui vigono dette limitazioni. Il titolare del trattamento fornisce al RPD l’accesso al registro contenente la valutazione della necessità e della proporzionalità della limitazione e a tutti i documenti riguardanti la situazione di fatto o di diritto.

2.   Il RPD può chiedere al titolare del trattamento di riesaminare l’applicazione della limitazione. Il titolare del trattamento informa per iscritto il RPD circa l’esito del riesame richiesto.

3.   Il RPD viene coinvolto nel corso dell’intera procedura. Il titolare del trattamento informa il RPD quando la limitazione cessa di sussistere.

4.   L’impresa comune «Global Health EDCTP3» documenta per iscritto il ruolo del RPD nell’applicazione delle limitazioni, e include quali informazioni sono condivise con quest’ultimo.

Articolo 8

Comunicazione all’interessato di una violazione dei dati personali

1.   Qualora abbia l’obbligo di comunicare una violazione dei dati a norma dell’articolo 35, paragrafo 1, del regolamento (UE) 2018/1725, l’impresa comune «Global Health EDCTP3» può, in circostanze eccezionali, limitare tale comunicazione in tutto o in parte. L’impresa comune documenta in una nota i motivi della limitazione, la sua base giuridica ai sensi dell’articolo 3 della presente decisione e una valutazione della sua necessità e proporzionalità. La nota è trasmessa al GEPD al momento della notifica della violazione dei dati personali.

2.   Qualora cessino di sussistere i motivi della limitazione, l’impresa comune «Global Health EDCTP3» comunica la violazione dei dati personali all’interessato e lo informa in merito ai principali motivi della limitazione e al suo diritto di proporre reclamo al GEPD.

Articolo 9

Riservatezza delle comunicazioni elettroniche

1.   In circostanze eccezionali, l’impresa comune «Global Health EDCTP3» può limitare il diritto alla riservatezza delle comunicazioni elettroniche a norma dell’articolo 36 del regolamento (UE) 2018/1725. Le limitazioni sono conformi alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio.

2.   Laddove limiti il diritto alla riservatezza delle comunicazioni elettroniche, l’impresa comune «Global Health EDCTP3» informa l’interessato, nella risposta a una sua richiesta, dei principali motivi sui quali si basa l’applicazione della limitazione e del suo diritto di proporre reclamo presso il Garante europeo della protezione dei dati.

3.   L’impresa comune «Global Health EDCTP3» può rinviare, omettere o negare la comunicazione di informazioni sui motivi di una limitazione e sul diritto di proporre reclamo al Garante europeo della protezione dei dati soltanto nella misura in cui tale comunicazione annullerebbe l’effetto della limitazione stessa. La valutazione se ciò sia giustificato è effettuata caso per caso.

Articolo 10

Entrata in vigore

La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Fatto a Bruxelles, il 3 agosto 2023

Per il consiglio di direzione dell’impresa comune «Global Health EDCTP3»

Henning GÄDEKE

Presidente del consiglio di direzione


(1)   GU L 295 del 21.11.2018, pag. 39.

(2)   GU L 427 del 30.11.2021, pag. 17.

(3)  Disponibili qui: Guidance on Art. 25 of the Regulation (UE) 2018/1725 | Garante europeo della protezione dei dati (europa.eu)

(4)  In caso di contitolarità del trattamento, i dati sono trattati in linea con i mezzi e le finalità stabiliti nell’accordo pertinente tra i contitolari del trattamento, come definito all’articolo 28 del regolamento (UE) 2018/1725.

(5)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GU L 119 del 4.5.2016, pag. 1).

(6)  Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).


ELI: http://data.europa.eu/eli/dec/2023/2189/oj

ISSN 1977-0707 (electronic edition)