Art. 1
Trattamento dei dati personali a sostegno di un’indagine penale
In vigore dal 8 giu 2022
Il regolamento (UE) 2016/794 è così modificato:
1)
l’ è così modificato:
a)
le lettere da h) a k) e le lettere m), n) e o) sono soppresse;
b)
la lettera p) è sostituita dalla seguente:
«p)
“dati personali amministrativi”: i dati personali trattati da Europol diversi dai dati personali operativi;»;
c)
sono aggiunte le lettere seguenti:
«q)
“dati investigativi”: dati che uno Stato membro, la Procura europea (“EPPO”) istituita dal regolamento (UE) 2017/1939 del Consiglio (*1), Eurojust o un paese terzo è autorizzato a trattare nell’ambito di un’indagine penale in corso connessa a uno o più Stati membri, conformemente alle norme e garanzie procedurali applicabili ai sensi del diritto dell’Unione o nazionale, o che uno Stato membro, l’EPPO, Eurojust o un paese terzo ha fornito a Europol a sostegno di tale indagine penale in corso, e che contengono dati personali che non riguardano le categorie di interessati di cui all’allegato II;
r)
“contenuti terroristici”: i contenuti terroristici quali definiti all’, punto 7, del regolamento (UE) 2021/784 del Parlamento europeo e del Consiglio (*2);
s)
“materiale pedopornografico online”: materiale online che costituisce pornografia minorile ai sensi dell’, lettera c), della direttiva 2011/93/UE del Parlamento europeo e del Consiglio (*3) o spettacolo pornografico ai sensi dell’, lettera e), della medesima direttiva;
t)
“situazione di crisi online”: la diffusione di contenuti online relativi a un fatto in corso o recente del mondo reale che ritraggono un danno alla vita o all’integrità fisica o che richiamano un danno imminente alla vita o all’integrità fisica e che hanno l’obiettivo o l’effetto di intimidire gravemente la popolazione, a condizione che vi sia un legame o un ragionevole sospetto di legame con il terrorismo o l’estremismo violento e che si preveda la moltiplicazione esponenziale e la viralità di tale contenuto tra vari servizi online;
u)
“categoria di trasferimenti di dati personali”: un gruppo di trasferimenti di dati personali in cui i dati riguardano tutti la medesima situazione specifica e in cui i trasferimenti comprendono le stesse categorie di dati personali e le stesse categorie di interessati;
v)
“progetti di ricerca e innovazione”: progetti rientranti nell’ambito di applicazione del presente regolamento, a fini di sviluppo, formazione, prova e convalida di algoritmi per lo sviluppo di strumenti specifici e altri progetti specifici di ricerca e innovazione pertinenti per il conseguimento degli obiettivi di Europol.
(*1) Regolamento (UE) 2017/1939 del Consiglio, del 12 ottobre 2017, relativo all’attuazione di una cooperazione rafforzata sull’istituzione della Procura europea (“EPPO”) (GU L 283 del 31.10.2017, pag. 1)."
(*2) Regolamento (UE) 2021/784 del Parlamento europeo e del Consiglio, del 29 aprile 2021, relativo al contrasto della diffusione di contenuti terroristici online (GU L 172 del 17.5.2021, pag. 79)."
(*3) Direttiva 2011/93/UE del Parlamento europeo e del Consiglio, del 13 dicembre 2011, relativa alla lotta contro l’abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio (GU L 335 del 17.12.2011, pag. 1).»;"
2)
l’articolo 4 è così modificato:
a)
il paragrafo 1 è così modificato:
i)
è inserita la lettera seguente:
«h bis)
prestare supporto amministrativo e finanziario alle unità speciali d’intervento degli Stati membri di cui alla decisione 2008/617/GAI del Consiglio (*4);
(*4) Decisione 2008/617/GAI del Consiglio, del 23 giugno 2008, relativa al miglioramento della cooperazione tra le unità speciali d’intervento degli Stati membri dell’Unione europea in situazioni di crisi (GU L 210 del 6.8.2008, pag. 73).»;"
ii)
la lettera j) è sostituita dalla seguente:
«j)
cooperare con gli organismi dell’Unione istituiti in base al titolo V TFUE, con l’OLAF e con l’Agenzia dell’Unione europea per la cibersicurezza (ENISA) istituita dal regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio (*5), in particolare attraverso scambi di informazioni e fornendo loro supporto analitico nei settori che rientrano nelle loro rispettive competenze;
(*5) Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 (“regolamento sulla cibersicurezza”) (GU L 151 del 7.6.2019, pag. 15).»;"
iii)
la lettera m) è sostituita dalla seguente:
«m)
sostenere le azioni degli Stati membri per prevenire e combattere le forme di criminalità di cui all’allegato I che sono agevolate, promosse o commesse tramite internet, tra l’altro:
i)
assistendo le autorità competenti degli Stati membri, su loro richiesta, nel rispondere agli attacchi informatici di sospetta origine criminale;
ii)
cooperando con le autorità competenti degli Stati membri per quanto riguarda gli ordini di rimozione conformemente all’articolo 14 del regolamento (UE) 2021/784; e
iii)
segnalando contenuti online ai fornitori di servizi online interessati ai fini dell’esame volontario della compatibilità di tali contenuti con i loro termini e condizioni.»;
iv)
sono aggiunte le lettere seguenti:
«r)
sostenere gli Stati membri nell’identificazione delle persone le cui attività criminali rientrano tra le forme di criminalità di cui all’allegato I e che costituiscono un rischio elevato per la sicurezza;
s)
agevolare lo svolgimento di indagini congiunte, coordinate e prioritarie sulle persone di cui alla lettera r);
t)
sostenere gli Stati membri nel trattamento dei dati forniti da paesi terzi o organizzazioni internazionali a Europol su persone coinvolte nel terrorismo o in forme gravi di criminalità e offrire agli Stati membri la possibilità di inserire nel sistema d’informazione Schengen (SIS), a loro discrezione e previa verifica e analisi di tali dati, segnalazioni di informazioni su cittadini di paesi terzi nell’interesse dell’Unione (“segnalazioni di informazioni”), a norma del regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio (*6).;
u)
sostenere l’attuazione del meccanismo di valutazione e monitoraggio al fine di verificare l’applicazione dell’acquis Schengen di cui al regolamento (UE) n. 1053/2013 nell’ambito degli obiettivi di Europol, tramite la messa a disposizione di consulenze e analisi, se del caso;
v)
provvedere proattivamente a monitorare le attività di ricerca e di innovazione che sono pertinenti per il conseguimento degli obiettivi di Europol e contribuire a tali attività, sostenendo le attività connesse degli Stati membri e attuando le proprie attività di ricerca e di innovazione, compresi i progetti per lo sviluppo, la formazione, la prova e la convalida di algoritmi per lo sviluppo di strumenti specifici ai fini dell’uso da parte delle autorità di contrasto, e diffondere i risultati delle attività tra gli Stati membri conformemente all’articolo 67;
w)
contribuire alla creazione di sinergie tra le attività di ricerca e innovazione degli organi dell’Unione pertinenti per il conseguimento degli obiettivi di Europol, anche attraverso il polo UE di innovazione per la sicurezza interna, e in stretta cooperazione con gli Stati membri;
x)
sostenere, su loro richiesta, le azioni degli Stati membri volte ad affrontare le situazioni di crisi online, in particolare fornendo alle parti private le informazioni necessarie per individuare i pertinenti contenuti online;
y)
sostenere le azioni degli Stati membri volte a contrastare la diffusione online di materiale pedopornografico online;
z)
cooperare, conformemente all’articolo 12 della direttiva (UE) 2019/1153 del Parlamento europeo e del Consiglio (*7), con le unità di informazione finanziaria (FIU) istituite ai sensi della direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio (*8), mediante la pertinente unità nazionale Europol o, se consentito dal pertinente Stato membro, per contatto diretto con le FIU, in particolare mediante lo scambio di informazioni e la messa a disposizione di analisi agli Stati membri a sostegno delle indagini transfrontaliere sulle attività di riciclaggio delle organizzazioni criminali transnazionali e sul finanziamento del terroristico;
(*6) Regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio, del 28 novembre 2018, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen (SIS) nel settore della cooperazione di polizia e della cooperazione giudiziaria in materia penale, che modifica e abroga la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (CE) n. 1986/2006 del Parlamento europeo e del Consiglio e la decisione 2010/261/UE della Commissione (GU L 312 del 7.12.2018, pag. 56)."
(*7) Direttiva (UE) 2019/1153 del Parlamento europeo e del Consiglio, del 20 giugno 2019, che reca disposizioni per agevolare l’uso di informazioni finanziarie e di altro tipo a fini di prevenzione, accertamento, indagine o perseguimento di determinati reati, e che abroga la decisione 2000/642/GAI del Consiglio (GU L 186 dell’11.7.2019, pag. 122)."
(*8) Direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, che modifica il regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio e che abroga la direttiva 2005/60/CE del Parlamento europeo e del Consiglio e la direttiva 2006/70/CE della Commissione (GU L 141 del 5.6.2015, pag. 73).»;"
v)
sono aggiunti i commi seguenti:
«Affinché uno Stato membro informi, entro un periodo 12 mesi dopo che Europol ha proposto la possibilità di inserire una segnalazione di cui al primo comma, lettera t), gli altri Stati membri ed Europol in merito all’esito della verifica e dell’analisi dei dati e all’inserimento di una segnalazione nel SIS, è istituito un meccanismo di rendicontazione periodica;
Gli Stati membri informano Europol di tutte le segnalazioni di informazioni inserite nel SIS e di tutti i riscontri positivi ad esse inerenti e, tramite Europol, possono informare il paese terzo o l’organizzazione internazionale che hanno fornito i dati da cui proviene l’inserimento della segnalazione di informazioni riguardo ai riscontri positivi ad essa inerenti, secondo la procedura di cui al regolamento (UE) 2018/1862.»;
b)
al paragrafo 2, la seconda frase è sostituita dalla seguente:
«Europol fornisce inoltre assistenza nell’attuazione operativa di tali priorità, in particolare sulla piattaforma multidisciplinare europea di lotta alle minacce della criminalità (EMPACT), anche agevolando le attività operative e strategiche guidate dagli Stati membri e prestando alle stesse sostegno amministrativo, logistico, finanziario e operativo.»;
c)
al paragrafo 3 è aggiunta la frase seguente:
«Europol fornisce inoltre analisi delle valutazioni della minaccia basate sulle informazioni di cui è in possesso relative ai fenomeni e alle tendenze criminali per aiutare la Commissione e gli Stati membri a condurre le valutazioni dei rischi.»;
d)
sono inseriti i paragrafi seguenti:
«4 bis. Europol assiste gli Stati membri e la Commissione nell’individuazione dei principali temi di ricerca.
Europol assiste la Commissione nell’elaborazione e attuazione dei programmi quadro dell’Unione per le attività di ricerca e innovazione pertinenti per gli obiettivi di Europol.
Ove opportuno, Europol può diffondere i risultati delle sue attività di ricerca e innovazione nel quadro del suo contributo alla creazione di sinergie tra le attività di ricerca e innovazione dei pertinenti organi dell’Unione conformemente al paragrafo 1, primo comma, lettera w).
Europol adotta tutte le misure necessarie per evitare conflitti di interessi. Europol non riceve finanziamenti da uno specifico programma quadro dell’Unione se assiste la Commissione nell’individuazione dei principali temi di ricerca e nell’elaborazione e attuazione di tale programma.
Al momento di progettare e concettualizzare le attività di ricerca e innovazione relative ai settori disciplinati dal presente regolamento Europol può, se del caso, consultare il Centro comune di ricerca della Commissione.
4 ter. Europol sostiene gli Stati membri nel controllo, per quanto riguarda le implicazioni attese per la sicurezza, di casi specifici di investimenti esteri diretti nell’Unione di cui al regolamento (UE) 2019/452 del Parlamento europeo e del Consiglio (*9), riguardanti imprese che forniscono tecnologie, compresi software, usate da Europol per prevenire o indagare su forme di criminalità che rientrano nell’ambito degli obiettivi di Europol.
(*9) Regolamento (UE) 2019/452 del Parlamento europeo e del Consiglio, del 19 marzo 2019, che istituisce un quadro per il controllo degli investimenti esteri diretti nell’Unione (GU L 79I del 21.3.2019, pag. 1).»;"
e)
il paragrafo 5 è sostituito dal seguente:
«5. Europol non applica misure coercitive nello svolgimento dei suoi compiti.
Il personale Europol può fornire sostegno operativo alle autorità competenti degli Stati membri nel corso dell’esecuzione di misure investigative, su loro richiesta e conformemente al diritto nazionale, in particolare facilitando lo scambio transfrontaliero di informazioni, fornendo supporto forense e tecnico ed essendo presente durante l’esecuzione di tali misure investigative. Il personale Europol non ha, da solo, il potere di eseguire misure investigative.»;
f)
è aggiunto il paragrafo seguente:
«5 bis. Europol rispetta i diritti e le libertà fondamentali sanciti nella Carta dei diritti fondamentali dell’Unione europea (“Carta”) nello svolgimento dei suoi compiti.»;
3)
l’articolo 6 è così modificato:
a)
è inserito il paragrafo seguente:
«1 bis. Fatto salvo il paragrafo 1, qualora ritenga che debba essere avviata un’indagine penale su uno specifico reato che interessa solo uno Stato membro ma incide su un interesse comune oggetto di una politica dell’Unione, il direttore esecutivo può proporre alle autorità competenti dello Stato membro interessato, tramite l’unità nazionale, di avviare, svolgere o coordinare tale indagine penale.»;
b)
il paragrafo 2 è sostituito dal seguente:
«2. Le unità nazionali informano Europol, nel caso di richieste formulate ai sensi del paragrafo 1, o il direttore esecutivo, nel caso di proposte formulate ai sensi del paragrafo 1 bis, in merito alla decisione delle autorità competenti degli Stati membri, senza indebito ritardo.»;
c)
il paragrafo 4 è sostituito dal seguente:
«4. Europol informa immediatamente Eurojust e, se del caso, l’EPPO delle richieste formulate ai sensi del paragrafo 1, di proposte formulate ai sensi del paragrafo 1 bis e delle decisioni prese da un’autorità competente di uno Stato membro ai sensi del paragrafo 2.»;
4)
all’articolo 7, il paragrafo 8 è sostituito dal seguente:
«8. Ciascuno Stato membro provvede affinché la loro unità di informazione finanziaria nei limiti del suo mandato e della sua competenza e nel rispetto delle garanzie procedurali nazionali sia autorizzata a rispondere a richieste debitamente motivate che sono presentate da Europol conformemente all’articolo 12 della direttiva (UE) 2019/1153 per quanto riguarda le informazioni e analisi finanziarie, o tramite la sua unità nazionale o, se permesso dallo Stato membro, tramite contatto diretto tra l’unità di informazione finanziaria ed Europol.»;
5)
all’articolo 11, il paragrafo 1 è così modificato:
a)
la lettera a) è sostituita dalla seguente:
«a)
adotta ogni anno, a maggioranza dei due terzi dei suoi membri e conformemente all’articolo 12 del presente regolamento, un documento unico di programmazione, di cui all’articolo 32 del regolamento delegato (UE) 2019/715 della Commissione (*10).
(*10) Regolamento delegato (UE) 2019/715 della Commissione, del 18 dicembre 2018, relativo al regolamento finanziario quadro degli organismi istituiti in virtù del TFUE e del trattato Euratom, di cui all’articolo 70 del regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio (GU L 122 del 10.5.2019, pag. 1).»;"
b)
sono aggiunte le lettere seguenti:
«v)
designa il responsabile dei diritti fondamentali, di cui all’articolo 41 quater, lettera c);
w)
specifica i criteri sulla base dei quali Europol può pubblicare le proposte per possibili inserimenti di segnalazioni nel SIS.»;
6)
l’articolo 12 è così modificato:
a)
il paragrafo 1 è sostituito dal seguente:
«1. Entro il 30 novembre di ogni anno il consiglio di amministrazione adotta un documento unico di programmazione contenente la programmazione pluriennale e il programma di lavoro annuale di Europol, in base a un progetto presentato dal direttore esecutivo, tenuto conto del parere della Commissione e, per quanto riguarda la programmazione pluriennale, previa consultazione del gruppo di controllo parlamentare congiunto.
Qualora il consiglio di amministrazione decida di non tener conto del parere della Commissione di cui al primo comma, in tutto o in parte, Europol fornisce una giustificazione dettagliata.
Se il consiglio di amministrazione decide di non tener conto di alcuna delle questioni messe in rilievo dal gruppo di controllo parlamentare congiunto a norma dell’articolo 51, paragrafo 2, lettera c), Europol fornisce una giustificazione dettagliata.
Una volta adottato il documento unico di programmazione finale, il consiglio di amministrazione lo trasmette al Consiglio, alla Commissione e al gruppo di controllo parlamentare congiunto.»;
b)
al paragrafo 2, il primo comma è sostituito dal seguente:
«La programmazione pluriennale definisce la programmazione strategica generale, compresi gli obiettivi, i risultati attesi e gli indicatori di risultato. Riporta inoltre la pianificazione delle risorse, compresi il bilancio pluriennale e la tabella dell’organico. Include la strategia per le relazioni con i paesi terzi e le organizzazioni internazionali nonché le attività di Europol di ricerca e innovazione in programma.»;
7)
all’articolo 14, il paragrafo 4 è sostituito dal seguente:
«4. Il consiglio di amministrazione può invitare a partecipare alle sue riunioni, in veste di osservatore senza diritto di voto, ogni persona il cui parere possa essere rilevante per le discussioni.
Due rappresentanti del gruppo di controllo parlamentare congiunto sono invitati a partecipare a due riunioni ordinarie del consiglio di amministrazione all’anno, in veste di osservatori senza diritto di voto, per discutere delle seguenti questioni di interesse politico:
a)
la relazione annuale di attività consolidata di cui all’articolo 11, paragrafo 1, lettera c), relativa all’anno precedente;
b)
il documento unico di programmazione di cui all’articolo 12 per l’anno successivo e il bilancio annuale;
c)
le interrogazioni e risposte scritte del gruppo di controllo parlamentare congiunto;
d)
le relazioni esterne e i partenariati.
Il consiglio di amministrazione, insieme ai rappresentanti del gruppo di controllo parlamentare congiunto, può stabilire altre questioni di interesse politico da discutere alle riunioni di cui al primo comma.»;
8)
l’articolo 16 è così modificato:
a)
il paragrafo 3 è sostituito dal seguente:
«3. Il Consiglio o il gruppo di controllo parlamentare congiunto possono invitare il direttore esecutivo a presentare una relazione sull’esercizio delle sue funzioni.»;
b)
il paragrafo 5 è così modificato:
i)
la lettera d) è sostituita dalla seguente:
«d)
elaborare il progetto di documento unico di programmazione di cui all’articolo 12 e presentarlo al consiglio di amministrazione, previa consultazione della Commissione e del gruppo di controllo parlamentare congiunto;»;
ii)
è inserita la lettera seguente:
«o bis)
informare il consiglio di amministrazione in merito ai memorandum d’intesa firmati con parti private;»;
9)
l’articolo 18 è così modificato:
a)
il paragrafo 2 è così modificato:
i)
la lettera d) è sostituita dalla seguente:
«d)
facilitazione dello scambio d’informazioni tra Stati membri, Europol, altri organismi dell’Unione, paesi terzi, organizzazioni internazionali e parti private;»
ii)
sono aggiunte le lettere seguenti:
«e)
progetti di innovazione e ricerca;
f)
sostegno agli Stati membri, su loro richiesta, nell’informare il pubblico sulle persone sospettate o condannate che sono ricercate in base a una decisione giudiziaria nazionale relativa a un reato che rientra nell’ambito degli obiettivi di Europol, e agevolazione della comunicazione di informazioni su tali persone, agli Stati membri e a Europol, da parte dei cittadini.»;
b)
è inserito il paragrafo seguente:
«3 bis. Ove necessario per conseguire gli obiettivi dei progetti di ricerca e innovazione di Europol, il trattamento dei dati personali a tali fini è effettuato esclusivamente nel contesto di progetti di ricerca e innovazione di Europol per i quali siano chiaramente definiti le finalità e gli obiettivi, e che siano conformi all’articolo 33 bis.»;
c)
il paragrafo 5 è sostituito dal seguente:
«5. Fatti salvi l’articolo 8, paragrafo 4, l’articolo 18, paragrafo 2, lettera e), l’articolo 18 bis, e il trattamento dei dati a norma dell’articolo 26, paragrafo 6 quater, qualora l’infrastruttura di Europol sia utilizzata per scambi bilaterali di dati personali e Europol non abbia accesso al contenuto dei dati, le categorie di dati personali e le categorie di interessati i cui dati personali possono essere raccolti e trattati per le finalità di cui al paragrafo 2 del presente articolo sono elencate nell’allegato II.»;
d)
è inserito il paragrafo seguente:
«5 bis. Conformemente all’articolo 73 del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (*11), Europol, se del caso e nella misura del possibile, opera una chiara distinzione tra i dati personali che riguardano le diverse categorie di interessati di cui all’allegato II.
(*11) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).»;"
e)
il paragrafo 6 è sostituito dal seguente:
«6. Europol può trattare temporaneamente i dati al fine di stabilire se essi siano pertinenti ai suoi compiti e, in caso affermativo, per quale delle finalità di cui al paragrafo 2. Il termine per il trattamento di tali dati a tal fine non supera i sei mesi a decorrere dal ricevimento di tali dati.»;
f)
sono inseriti i paragrafi seguenti:
«6 bis. Prima di procedere al loro trattamento ai sensi del paragrafo 2, ove strettamente necessario esclusivamente al fine di stabilire se i dati personali sono conformi al paragrafo 5 del presente articolo, Europol può trattare temporaneamente i dati personali che sono stati forniti conformemente all’articolo 17, paragrafi 1 e 2, anche verificando tali dati rispetto a tutti i dati che Europol tratta già conformemente al paragrafo 5 del presente articolo.
Europol tratta i dati personali a norma del primo comma per un periodo lungo fino a 18 mesi a decorrere dal momento in cui Europol verifica che tali dati rientrano tra i suoi obiettivi, o in casi giustificati per un periodo più lungo, ove necessario ai fini del presente articolo. Europol informa il GEPD di qualsiasi proroga del termine per il trattamento. Complessivamente, la durata massima del trattamento dei dati di cui al primo comma non è superiore a tre anni. Tali dati personali sono conservati mantenendo una separazione funzionale dagli altri dati.
Qualora giunga alla conclusione che i dati personali di cui al primo comma del presente paragrafo non sono conformi al paragrafo 5, Europol cancella tali dati e ne informa, se del caso, il relativo fornitore.
6 ter. Il consiglio di amministrazione, su proposta del direttore esecutivo e previa consultazione del GEPD, e tenuto debito conto dei principi di cui all’articolo 71 del regolamento (UE) 2018/1725, specifica le condizioni relative al trattamento dei dati a norma dei paragrafi 6 e 6 bis del presente articolo, in particolare riguardo alla fornitura, all’accesso e all’uso di tali dati nonché ai termini per la loro conservazione e cancellazione, che non superano i rispettivi termini definiti ai paragrafi 6 e 6 bis del presente articolo.»;
10)
è inserito l’articolo seguente:
«Articolo 18 bis
Trattamento dei dati personali a sostegno di un’indagine penale
1. Ove necessario per sostenere un’indagine penale specifica in corso rientra nell’ambito degli obiettivi di Europol, Europol può trattare dati personali che non rientrano nelle categorie di interessati di cui all’allegato II qualora:
a)
uno Stato membro, l’EPPO o Eurojust fornisca dati investigativi a Europol a norma dell’articolo 17, paragrafo 1, lettere a) o b), e chieda a Europol di sostenere tale indagine:
i)
mediante analisi operativa a norma dell’articolo 18, paragrafo 2, lettera c), o
ii)
in casi eccezionali e debitamente giustificati, mediante controlli incrociati a norma dell’articolo 18, paragrafo 2, lettera a);
b)
secondo una valutazione di Europol non sia possibile effettuare l’analisi operativa di cui all’articolo 18, paragrafo 2, lettera c), o i controlli incrociati di cui all’articolo 18, paragrafo 2, lettera a), a sostegno di tale indagine senza trattare dati personali che non sono conformi all’articolo 18, paragrafo 5.
I risultati della valutazione di cui primo comma, lettera b), sono registrati e trasmessi per conoscenza al GEPD quando Europol cessa di sostenere l’indagine di cui al primo comma.
2. Se lo Stato membro di cui al paragrafo 1, primo comma, lettera a), non è più autorizzato a trattare tali dati nell’ambito di un’indagine penale specifica in corso di cui al paragrafo 1, conformemente alle norme e garanzie procedurali ai sensi del proprio diritto nazionale applicabile, ne informa Europol.
Se l’EPPO o Eurojust fornisce dati investigativi a Europol e non è più autorizzato a trattare tali dati nell’ambito di un’indagine penale specifica in corso di cui al paragrafo 1, conformemente alle norme e garanzie procedurali applicabili ai sensi del diritto dell’Unione e nazionale applicabile ai sensi del proprio diritto nazionale applicabile, ne informa Europol.
3. Europol può trattare i dati investigativi a norma dell’articolo 18, paragrafo 2, per il tempo in cui sostiene l’indagine su un reato specifico in corso per la quale sono stati forniti i dati investigativi conformemente al paragrafo 1, primo comma, lettera a), e solo al fine di sostenere tale indagine.
4. Europol può conservare i dati investigativi forniti conformemente al paragrafo 1, primo comma, lettera a) e l’esito del trattamento di tali dati oltre il termine per il trattamento di cui al paragrafo 3, su richiesta del fornitore di tali dati investigativi, unicamente allo scopo di garantire la veridicità, l’affidabilità e la tracciabilità del processo di intelligence criminale, e solo fintantoché è in corso il procedimento giudiziario concernente l’indagine penale specifica per cui tali dati sono stati forniti.
I fornitori di dati investigativi di cui al paragrafo 1, primo comma, lettera a), o con il loro accordo, uno Stato membro in cui è in corso un procedimento giudiziario in relazione a un’indagine penale, possono chiedere a Europol di conservare i dati e l’esito dell’analisi operativa di tali dati oltre il termine per il trattamento di cui al paragrafo 3 allo scopo di garantire la veridicità, l’affidabilità e la tracciabilità del processo di intelligence criminale, e solo fintantoché in tale altro Stato membro è in corso il procedimento giudiziario concernente un’indagine penale collegata.
5. Fatto salvo il trattamento dei dati personali a norma dell’articolo 18, paragrafo 6 bis, i dati personali che non riguardano le categorie di interessati di cui all’allegato II sono conservati mantenendo una separazione funzionale dagli altri dati e sono trattati solo ove proporzionato e necessario ai fini dei paragrafi 3, 4 e 6 del presente articolo.
Il consiglio di amministrazione, su proposta del direttore esecutivo e previa consultazione del GEPD, specifica le condizioni relative alla fornitura e al trattamento di dati personali conformemente ai paragrafi 3 e 4.
6. I paragrafi da 1 a 4 del presente articolo si applicano anche quando i dati personali sono ricevuti da Europol da un paese terzo di cui all’articolo 25, paragrafo 1, lettera a), b) o c), o all’articolo 25, paragrafo 4 bis, e tale paese terzo fornisce a Europol dati investigativi ai fini di un’analisi operativa che contribuisca all’indagine penale specifica in uno o più Stati membri sostenuta da Europol, a condizione che il paese terzo abbia ottenuto i dati nel contesto di un’indagine penale conformemente alle norme e garanzie procedurali applicabili ai sensi del proprio diritto penale nazionale.
Qualora un paese terzo fornisca dati investigativi a Europol conformemente al primo comma, il responsabile della protezione dei dati può, se del caso, darne notifica al GEPD.
Europol verifica che la quantità di dati personali di cui al primo comma non sia manifestamente sproporzionata rispetto all’indagine penale specifica nello Stato membro. Qualora Europol concluda che vi è un’indicazione del fatto che tali dati sono manifestamente sproporzionati o sono stati raccolti in palese violazione dei diritti fondamentali, Europol non tratta i dati e li cancella.
Europol accede ai dati personali trattati a norma del presente paragrafo solo se necessario per sostenere l’indagine penale specifica per cui sono stati forniti. Tali dati personali possono essere condivisi solo all’interno dell’Unione.»;
11)
all’articolo 19, i paragrafi 1 e 2 sono sostituiti dai seguenti:
«1. Lo Stato membro, l’organismo dell’Unione, il paese terzo o l’organizzazione internazionale che fornisce informazioni a Europol determina la o le finalità, conformemente all’articolo 18, per le quali tali informazioni devono essere trattate.
Se un fornitore di informazioni di cui al primo comma non ha rispettato tale comma, Europol, d’intesa con il fornitore di informazioni interessato, tratta le informazioni al fine di determinare la loro pertinenza e la o le finalità del loro ulteriore trattamento.
Europol tratta le informazioni per una finalità diversa da quella per la quale sono state fornite solo se autorizzata al riguardo dal fornitore delle informazioni.
Le informazioni fornite per le finalità di cui all’articolo 18, paragrafo 2, lettere da a) a d), possono anche essere trattate da Europol per la finalità dell’articolo 18, paragrafo 2, lettera e), conformemente all’articolo 33 bis.
2. Al momento della fornitura delle informazioni a Europol, gli Stati membri, gli organismi dell’Unione, i paesi terzi e le organizzazioni internazionali possono indicare eventuali limitazioni di accesso o uso, in termini generali o specifici, anche per quanto concerne il loro trasferimento, la trasmissione la cancellazione o la distruzione. Qualora la necessità di tali limitazioni emerga dopo che le informazioni siano state fornite, ne informano Europol. Europol rispetta tali limitazioni.»;
12)
l’articolo 20 è così modificato:
a)
è inserito il paragrafo seguente:
«2 bis. Nel quadro dei progetti di analisi operativa di cui all’articolo 18, paragrafo 3, e nel rispetto delle norme e garanzie per il trattamento dei dati personali stabilite dal presente regolamento, gli Stati membri possono stabilire le informazioni che devono essere rese direttamente accessibili da Europol ad altri Stati membri ai fini dell’analisi operativa congiunta in indagini specifiche, fatte salve eventuali limitazioni indicate all’articolo 19, paragrafo 2, e conformemente alle procedure stabilite negli orientamenti di cui all’articolo 18, paragrafo 7.»;
b)
al paragrafo 3 la frase introduttiva è sostituita dalla seguente:
«3. Gli Stati membri accedono alle informazioni di cui ai paragrafi 1, 2 e 2 bis e procedono al loro ulteriore trattamento in conformità del diritto nazionale esclusivamente al fine di prevenire, accertare, indagare e perseguire:»;
13)
è inserito l’articolo seguente:
«Articolo 20 bis
Relazioni con la Procura europea
1. Europol instaura e mantiene relazioni strette con l‘EPPO. Nel quadro di tali relazioni Europol e l’EPPO agiscono nell’ambito dei rispettivi mandati e competenze. A tal fine esse concludono un accordo di lavoro che stabilisce le modalità di cooperazione.
2. Su richiesta dell’EPPO a norma dell’articolo 102 del regolamento (UE) 2017/1939, Europol sostiene le indagini dell’EPPO e coopera con essa, fornendo informazioni e supporto analitico, fino a quando l’EPPO non decide se avviare l’azione penale o disporre altrimenti.
3. Al fine di fornire informazioni all’EPPO a norma del paragrafo 2 del presente articolo, Europol adotta tutte le misure opportune affinché l’EPPO abbia accesso indiretto in base a un sistema di riscontro positivo o negativo (“hit/no hit”) ai dati relativi a reati che non rientrano nell’ambito delle competenze dell’EPPO, forniti per le finalità di cui all’articolo 18, paragrafo 2, lettere a), b) e c). Tale sistema hit/no hit informa Europol solamente in caso di riscontro positivo e fatte salve le eventuali limitazioni indicate a norma dell’articolo 19, paragrafo 2 da parte del fornitore dell’informazione di cui all’articolo 19, paragrafo 1.
In caso di riscontro positivo, Europol avvia la procedura tramite cui l’informazione che lo ha generato può essere condivisa, conformemente alla decisione del fornitore dell’informazione di cui all’articolo 19, paragrafo 1, e solo nella misura in cui i dati che lo hanno generato siano pertinenti per la richiesta presentata a norma del paragrafo 2 del presente articolo.
4. Europol comunica, senza indebito ritardo, all’EPPO qualsiasi condotta criminosa in relazione alla quale essa potrebbe esercitare la sua competenza a norma dell’articolo 22 e dell’articolo 25, paragrafi 2 e 3, del regolamento (UE) 2017/1939 e fatte salve le eventuali limitazioni indicate a norma dell’articolo 19, paragrafo 2, del presente regolamento dal fornitore delle informazioni.
Qualora esegua una comunicazione a EPPO a norma del primo comma, Europol ne informa gli Stati membri interessati.
Qualora le informazioni relative alla condotta criminosa in relazione alla quale l’EPPO potrebbe esercitare la sua competenza siano state fornite a Europol da uno Stato membro che ha indicato limitazioni all’uso di tali informazioni a norma dell’articolo 19, paragrafo 2 del presente regolamento, Europol notifica all’EPPO l’esistenza di tali limitazioni e deferisce la questione allo Stato membro interessato. Lo Stato membro interessato interagisce direttamente con l’EPPO al fine di adempiere all’articolo 24, paragrafi 1 e 4, del regolamento (UE) 2017/1939.»;
14)
all’articolo 21 è aggiunto il paragrafo seguente:
«8. Se durante il trattamento delle informazioni in relazione a un’indagine penale specifica o a un progetto specifico identifica informazioni che riguardano una possibile attività illecita lesiva degli interessi finanziari dell’Unione, Europol le trasmette all’OLAF senza ritardo, fatte salve le eventuali limitazioni indicate a norma dell’articolo 19, paragrafo 2, dallo Stato membro che fornisce l’informazione in questione.
Qualora trasmetta all’OLAF le informazioni a norma del primo comma, Europol ne informa senza ritardo gli Stati membri interessati.»;
15)
all’articolo 23, il paragrafo 7 è sostituito dal seguente:
«7. Sono vietati i trasferimenti successivi di dati personali detenuti da Europol da parte degli Stati membri, degli organismi dell’Unione, dei paesi terzi, delle organizzazioni internazionali o delle parti private, salvo previa esplicita autorizzazione di Europol.»;
16)
il titolo della sezione 2 è sostituito dal seguente:
«
Trasmissione, trasferimento e scambio di dati personali
»;
17)
l’articolo 24 è sostituito dal seguente:
«Articolo 24
Trasmissione di dati personali a organi dell’Unione
1. Europol trasmette dati personali a un organo dell’Unione in conformità dell’articolo 71, paragrafo 2, del regolamento (UE) 2018/1725 e fatte salve eventuali ulteriori limitazioni ai sensi del presente regolamento, e fatto salvo l’articolo 67 del presente regolamento, solo se tali dati sono proporzionati e necessari al legittimo svolgimento dei compiti dell’organo dell’Unione destinatario.
2. A seguito di una richiesta di trasmissione di dati personali da parte di un altro organo dell’Unione, Europol verifica la competenza dell’altro organo dell’Unione. Qualora Europol non sia in grado di confermare che la trasmissione dei dati personali è necessaria conformemente al paragrafo 1, Europol chiede ulteriori spiegazioni all’organo dell’Unione richiedente.
L’istituzione o l’organismo dell’Unione richiedente provvede a che si possa verificare la necessità della trasmissione dei dati personali.
3. Nel procedere al trattamento dei dati personali di cui ai paragrafi 1 e 2, l’organo dell’Unione destinatario persegue unicamente le finalità per cui questi sono stati trasmessi.»;
18)
l’articolo 25 è così modificato:
a)
il paragrafo 1 è così modificato:
i)
la frase introduttiva è così modificata:
«1. Fatta salva qualsiasi limitazione indicata ai sensi dell’articolo 19, paragrafo 2 o 3, e fatto salvo l’articolo 67, nella misura in cui tale trasferimento sia utile allo svolgimento dei propri compiti, Europol può trasferire i dati personali alle autorità competenti di un paese terzo o a un’organizzazione internazionale, sulla base di uno degli atti seguenti:»;
ii)
la lettera a) è sostituita dalla seguente:
«a)
una decisione della Commissione adottata ai sensi dell’articolo 36 della direttiva (UE) 2016/680, che sancisca che il paese terzo, un territorio o uno o più settori specifici all’interno di tale paese terzo o l’organizzazione internazionale in questione garantisce un livello di protezione adeguato (“decisione di adeguatezza”);»;
b)
il paragrafo 3 è soppresso;
c)
è inserito il paragrafo seguente:
«4 bis. In mancanza di una decisione di adeguatezza, il consiglio di amministrazione può autorizzare Europol a trasferire dati personali all’autorità competente di un paese terzo o a un’organizzazione internazionale se:
a)
sono fornite garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante; oppure
b)
Europol ha valutato tutte le circostanze relative al trasferimento dei dati personali e ritiene che sussistano garanzie adeguate per la protezione di tali dati.»;
d)
il paragrafo 5 è così modificato:
i)
la frase introduttiva è sostituita dalla seguente:
«In deroga al paragrafo 1, il direttore esecutivo può autorizzare, in casi debitamente giustificati, il trasferimento o una categoria di trasferimenti dei dati personali a un’autorità competente di un paese terzo o a un’organizzazione internazionale, caso per caso, se il trasferimento o la categoria di trasferimento connesso:»;
ii)
la lettera b) è sostituita dalla seguente:
«b)
è necessario per salvaguardare legittimi interessi dell’interessato;»;
e)
il paragrafo 8 è sostituito dal seguente:
«8. Europol informa il GEPD in merito alle categorie di trasferimenti di cui al paragrafo 4 bis, lettera b). Qualora sia effettuato in conformità del paragrafo 4 bis o 5, il trasferimento è documentato e, su richiesta, la documentazione è messa a disposizione del GEPD. La documentazione contiene l’indicazione della data e dell’ora del trasferimento, nonché informazioni in merito all’autorità competente di cui al presente articolo, alla motivazione del trasferimento e ai dati personali trasferiti.»;
19)
l’articolo 26 è così modificato:
a)
al paragrafo 1, la lettera c) è sostituita dalla seguente:
«c)
un’autorità di un paese terzo o un’organizzazione internazionale di cui all’articolo 25, paragrafo 1, lettera a), b) o c), o all’articolo 25, paragrafo 4 bis.»;
b)
il paragrafo 2 è sostituito dal seguente:
«2. Qualora riceva dati personali direttamente da parti private, Europol può trattarli conformemente all’articolo 18 al fine di identificare le unità nazionali interessate di cui al paragrafo 1, lettera a), del presente articolo. Europol trasmette immediatamente alle unità nazionali interessate i dati personali e eventuali risultati pertinenti del loro trattamento necessario per stabilire la competenza giurisdizionale. Europol può trasmettere ai punti di contatto e alle autorità interessate di cui al paragrafo 1, lettere b) e c), del presente articolo i dati personali e i risultati pertinenti del loro trattamento necessario per stabilire la competenza giurisdizionale conformemente all’articolo 25. Qualora non possa individuare le unità nazionali interessate o abbia già trasmesso i dati personali pertinenti a tutte le rispettive unità nazionali interessate individuate e non sia possibile identificare ulteriori unità nazionali interessate, Europol cancella i dati, a meno che l’unità nazionale, il punto di contatto o l’autorità interessata li trasmetta nuovamente a Europol a norma dell’articolo 19, paragrafo 1, entro quattro mesi dall’avvenuta trasmissione o dall’avvenuto trasferimento.
I criteri per stabilire se l’unità nazionale dello Stato membro di stabilimento della parte privata pertinente costituisca un’unità nazionale interessata sono stabiliti negli orientamenti di cui all’articolo 18, paragrafo 7.»;
c)
è inserito il paragrafo seguente:
«2 bis. La cooperazione fra Europol e le parti private non costituisce un doppione delle attività delle FIU degli Stati membri, né interferisce con esse, e non riguarda le informazioni che devono essere fornite alle FIU ai fini della direttiva (UE) 2015/849.»;
d)
il paragrafo 4 è sostituito dal seguente:
«4. Se riceve dati personali da una parte privata stabilita in un paese terzo, Europol trasmette tali dati e i risultati dell’analisi e della verifica di tali dati solo a uno Stato membro o a un paese terzo interessato di cui all’articolo 25, paragrafo 1, lettera a), b) o c), o all’articolo 25, paragrafo 4 bis.
Fatto salvo il primo comma del presente paragrafo, Europol può trasferire i risultati di cui al primo comma del presente paragrafo al paese terzo interessato, a norma dell’articolo 25, paragrafo 5 o 6.»;
e)
i paragrafi 5 e 6 sono sostituiti dai seguenti:
«5. Europol non trasmette o trasferisce dati personali a parti private salvo che nei casi seguenti e a condizione che tale trasmissione o trasferimento sia strettamente necessario e proporzionato, da determinarsi caso per caso:
a)
la trasmissione o il trasferimento è senza dubbio nell’interesse dell’interessato;
b)
la trasmissione o il trasferimento è strettamente necessario per evitare l’imminente commissione di un reato, anche terroristico, che rientra nell’ambito degli obiettivi di Europol;
c)
la trasmissione o il trasferimento di dati personali accessibili al pubblico è strettamente necessario per l’assolvimento del compito di cui all’articolo 4, paragrafo 1, lettera m), e sono soddisfatte le condizioni seguenti:
i)
la trasmissione o il trasferimento riguarda un caso singolo e specifico;
ii)
i diritti e le libertà fondamentali dell’interessato non prevalgono sull’interesse pubblico che richiede che tali dati personali siano trasmessi o trasferiti nel caso in questione; o
d)
la trasmissione o il trasferimento è strettamente necessario per Europol per notificare alla parte privata che le informazioni ricevute non sono sufficienti per consentire a Europol di identificare le unità nazionali interessate, e sono soddisfatte le condizioni seguenti:
i)
la trasmissione o il trasferimento fa seguito al ricevimento di dati personali direttamente da una parte privata conformemente al paragrafo 2;
ii)
le informazioni mancanti cui Europol può fare riferimento nelle sue notificazioni hanno un chiaro collegamento con le informazioni precedentemente condivise dalla parte privata;
iii)
le informazioni mancanti cui Europol può fare riferimento nelle sue notificazioni sono strettamente limitate a quanto necessario a Europol per identificare le unità nazionali interessate.
La trasmissione o il trasferimento di cui al primo comma del presente paragrafo è soggetta a qualsiasi limitazione indicata a norma dell’articolo 19, paragrafo 2 o 3, e fatto salvo l’articolo 67.
6. Con riferimento al paragrafo 5, lettere a), b) e d), del presente articolo, qualora la parte privata interessata non sia stabilita nell’Unione o in un paese terzo di cui all’articolo 25, paragrafo 1, lettera a), b) o c) o all’articolo 25, paragrafo 4 bis, il trasferimento è autorizzato dal direttore esecutivo soltanto se è:
a)
necessario per salvaguardare gli interessi vitali dell’interessato in questione o di un’altra persona;
b)
necessario per salvaguardare legittimi interessi dell’interessato in questione;
c)
essenziale per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo;
d)
necessario, in singoli casi, per prevenire, indagare, accertare o perseguire uno specifico reato che rientra negli obiettivi di Europol; o
e)
necessario, in singoli casi, per accertare, esercitare o difendere un diritto in sede giudiziaria in relazione alla prevenzione, all’indagine, all’accertamento o al perseguimento di uno specifico reato che rientra negli obiettivi di Europol.
I dati personali non sono trasferiti se il direttore esecutivo determina che i diritti e le libertà fondamentali dell’interessato in questione prevalgono sull’interesse pubblico che richiede il trasferimento di cui al primo comma, lettere d) ed e), del presente paragrafo.»;
f)
dopo il paragrafo 6 sono inseriti i paragrafi seguenti:
«6 bis. Fatti salvi il paragrafo 5, lettere a), c) e d) del presente articolo, e altri atti giuridici dell’Unione, i trasferimenti o le trasmissioni di dati personali di cui ai paragrafi 5 e 6 non sono sistematici, ingenti o strutturali.
6 ter. Europol può chiedere agli Stati membri, tramite le loro unità nazionali, di ottenere, in conformità del loro diritto nazionale, dati personali da parti private stabilite o aventi un rappresentante legale nel loro territorio, affinché condividano tali dati con Europol. Tali richieste sono motivate e quanto più possibile precise. I dati personali sono quanto meno possibile sensibili e strettamente limitati a quanto necessario e proporzionato affinché Europol possa identificare le unità nazionali interessate.
Nonostante la competenza giurisdizionale degli Stati membri sulla specifica forma di criminalità, gli Stati membri provvedono affinché le autorità competenti possano trattare le richieste di cui al primo comma conformemente al loro diritto nazionale al fine di fornire a Europol le informazioni necessarie per identificare le unità nazionali interessate.
6 quater. L’infrastruttura di Europol può essere utilizzata per gli scambi tra le autorità competenti degli Stati membri e le parti private conformemente ai rispettivi diritti nazionali. Tali scambi possono riguardare anche forme di criminalità che non rientrano nell’ambito degli obiettivi di Europol.
Qualora gli Stati membri utilizzino l’infrastruttura di Europol per lo scambio di dati personali relativi a forme di criminalità che rientrano nell’ambito degli obiettivi di Europol, essi possono concedere a Europol l’accesso a tali dati.
Qualora gli Stati membri utilizzino l’infrastruttura di Europol per lo scambio di dati personali relativi a forme di criminalità che non rientrano nell’ambito degli obiettivi di Europol, Europol non ha accesso a tali dati ed è considerata “responsabile del trattamento” in conformità dell’articolo 87 del regolamento (UE) 2018/1725.
Europol valuta i rischi per la sicurezza derivanti dal permettere l’utilizzo della sua infrastruttura delle parti private e, se del caso, attua adeguate misure preventive e di attenuazione.»;
g)
i paragrafi 9 e 10 sono soppressi;
h)
è aggiunto il paragrafo seguente:
«11. Europol prepara una relazione annuale destinata al consiglio di amministrazione sui dati personali scambiati con parti private a norma degli articoli 26, 26 bis e 26 ter sulla base dei criteri di valutazione quantitativi e qualitativi istituiti dal consiglio di amministrazione.
La relazione annuale comprende esempi specifici che dimostrano il motivo per cui le richieste di Europol in conformità con il paragrafo 6 bis del presente articolo fossero necessarie per conseguire i suoi obiettivi e svolgere i suoi compiti.
La relazione annuale tiene conto degli obblighi di segreto e riservatezza e gli esempi sono resi anonimi per quanto riguarda i dati personali.
La relazione annuale è trasmessa al Parlamento europeo, al Consiglio, alla Commissione e ai parlamenti nazionali.»;
20)
sono inseriti gli articoli seguenti:
«Articolo 26 bis
Scambio di dati personali con parti private in situazioni di crisi online
1. In situazioni di crisi online Europol può ricevere dati personali direttamente da parti private e trattarli conformemente all’articolo 18.
2. Se riceve dati personali da una parte privata di un paese terzo, Europol trasmette tali dati e i risultati della propria analisi e della verifica di tali dati solo a uno Stato membro o a un paese terzo interessato di cui all’articolo 25, paragrafo 1, lettera a), b) o c), o all’articolo 25, paragrafo 4 bis.
Europol può trasferire i risultati della sua analisi e della verifica i dei dati di cui al paragrafo 1 del presente articolo al paese terzo interessato a norma dell’articolo 25, paragrafo 5 o 6.
3. Europol può trasmettere o trasferire dati personali a parti private in singoli casi, fatta salva qualsiasi eventuale limitazione indicata ai sensi dell’articolo 19, paragrafo 2 o 3, e fatto salvo l’articolo 67, qualora la trasmissione o il trasferimento di tali dati siano strettamente necessari per affrontare le situazioni di crisi online e i diritti e le libertà fondamentali dell’interessato non prevalgano sull’interesse pubblico che richiede che i dati siano trasmessi o trasferiti.
4. Qualora la parte privata interessata non sia stabilita nell’Unione o in un paese terzo di cui all’articolo 25, paragrafo 1, lettera a), b) o c), o all’articolo 25, paragrafo 4 bis, il trasferimento esige l’autorizzazione da parte del direttore esecutivo.
5. Europol assiste le autorità competenti degli Stati membri, scambia informazioni e coopera con esse in merito alla trasmissione o al trasferimento di dati personali a parti private a norma del paragrafo 3 o 4, in particolare per evitare la duplicazione degli sforzi, migliorare il coordinamento ed evitare interferenze con le indagini in diversi Stati membri.
6. Europol può chiedere agli Stati membri, tramite le loro unità nazionali, di ottenere, in conformità del loro diritto nazionale, dati personali da parti private stabilite o aventi un rappresentante legale nel loro territorio, affinché condividano tali dati con Europol. Tali richieste sono motivate e quanto più possibile precise. I dati personali sono quanto meno possibile sensibili e strettamente limitati a quanto necessario e proporzionato per permettere ad Europol di sostenere gli Stati membri ad affrontare le situazioni di crisi online.
Nonostante la competenza giurisdizionale degli Stati membri riguardo alla diffusione dei contenuti in relazione ai quali Europol chiede i dati personali, gli Stati membri provvedono affinché le loro autorità competenti possano trattare le richieste di cui al primo comma conformemente al loro diritto nazionale al fine di fornire a Europol le informazioni necessarie per il conseguimento dei suoi obiettivi.
7. Europol assicura che la registrazione dettagliata di tutti i trasferimenti di dati personali e delle relative motivazioni sia conservata a norma del presente regolamento. Su richiesta del GEPD, Europol rende tali registrazioni disponibili al GEPD in conformità dell’articolo 39 bis.
8. Se i dati personali ricevuti o da trasferire influiscono sugli interessi di uno Stato membro, Europol informa immediatamente l’unità nazionale dello Stato membro in questione.
Articolo 26 ter
Scambio di dati personali con parti private per affrontare la diffusione online di materiale pedopornografico
1. Europol può ricevere dati personali direttamente da parti private e trattarli conformemente all’articolo 18 per affrontare la diffusione online di materiale pedopornografico di cui all’articolo 4, paragrafo 1, lettera y).
2. Qualora riceva dati personali da una parte privata stabilita in un paese terzo, Europol trasmette tali dati e i risultati della propria analisi e della verifica di tali dati solo a uno Stato membro o a un paese terzo interessato di cui all’articolo 25, paragrafo 1, lettera a), b) o c), o all’articolo 25, paragrafo 4 bis.
Europol può trasferire i risultati dell’analisi e della verifica dei dati di cui al primo comma del presente paragrafo al paese terzo interessato a norma dell’articolo 25, paragrafo 5 o 6.
3. Europol può trasmettere o trasferire dati personali a parti private in singoli casi, fatta salva qualsiasi eventuale limitazione indicata ai sensi dell’articolo 19, paragrafo 2 o 3, e fatto salvo l’articolo 67, qualora la trasmissione o il trasferimento di tali dati siano strettamente necessari per affrontare la diffusione online di materiale pedopornografico online di cui all’articolo 4, paragrafo 1, lettera y), e i diritti e le libertà fondamentali dell’interessato non prevalgano sull’interesse pubblico che richiede che tali dati personali siano trasmessi o trasferiti.
4. Qualora la parte privata interessata non sia stabilita nell’Unione o in un paese terzo di cui all’articolo 25, paragrafo 1, lettera a), b) o c), o all’articolo 25, paragrafo 4 bis, il trasferimento esige l’autorizzazione da parte del direttore esecutivo.
5. Europol assiste le autorità competenti, scambia informazioni e coopera con le autorità competenti degli Stati membri in merito alla trasmissione o al trasferimento di dati personali a parti private a norma del paragrafo 3 o 4, in particolare per evitare la duplicazione degli sforzi, migliorare il coordinamento ed evitare interferenze con le indagini in diversi Stati membri.
6. Europol può chiedere agli Stati membri, tramite le loro unità nazionali, di ottenere, in conformità del loro diritto nazionale, dati personali da parti private stabilite o aventi un rappresentante legale nel loro territorio, affinché condividano tali dati con Europol. Tali richieste sono motivate e quanto più possibile precise e i dati personali sono quanto meno possibile sensibili e strettamente limitati a quanto proporzionato e necessario per permettere ad Europol di affrontare la diffusione online di materiale pedopornografico online di cui all’articolo 4, paragrafo 1, lettera y).
Nonostante la competenza giurisdizionale degli Stati membri riguardo alla diffusione dei contenuti in relazione ai quali Europol chiede i dati personali, gli Stati membri provvedono affinché le autorità competenti degli Stati membri possano trattare le richieste di cui al primo comma conformemente al loro diritto nazionale al fine di fornire a Europol le informazioni necessarie per il conseguimento dei suoi obiettivi.
7. Europol assicura che la registrazione dettagliata di tutti i trasferimenti di dati personali e delle relative motivazioni sia conservata a norma del presente regolamento. Su richiesta al GEPD, Europol rende tali registrazioni disponibili al GEPD in conformità dell’articolo 39 bis.
8. Se i dati personali ricevuti o da trasferire influiscono sugli interessi di uno Stato membro, Europol informa immediatamente l’unità nazionale dello Stato membro in questione.»;
21)
all’articolo 27, i paragrafi 1 e 2 sono sostituiti dai seguenti:
«1. Nella misura in cui ciò sia necessario ai fini dello svolgimento dei suoi compiti, Europol può ricevere e trattare le informazioni provenienti da persone private.
Europol tratta i dati personali provenienti da persone private solo a condizione che siano pervenuti attraverso:
a)
un’unità nazionale conformemente al diritto nazionale;
b)
il punto di contatto di un paese terzo o un’organizzazione internazionale a norma dell’articolo 25, paragrafo 1, lettera c); o
c)
un’autorità di un paese terzo o un’organizzazione internazionale di cui all’articolo 25, paragrafo 1, lettera a) o b), o all’articolo 25, paragrafo 4 bis.
2. Qualora Europol riceva informazioni, compresi i dati personali, provenienti da persone private residenti in un paese terzo diverso da quelli di cui all’articolo 25, paragrafo 1, lettera a) o b), o all’articolo 25, paragrafo 4 bis, Europol trasmette tali informazioni solo ad uno Stato membro o a tale paese terzo.»;
22)
il titolo del capo VI è sostituito dal seguente:
«PROTEZIONE DEI DATI»;
23)
è inserito l’articolo seguente:
«Articolo 27 bis
Trattamento dei dati personali da parte di Europol
1. Al trattamento dei dati personali da parte di Europol si applicano, fatto salvo il presente regolamento, l’articolo 3 e il capo IX del regolamento (UE) 2018/1725.
Al trattamento dei dati personali amministrativi da parte di Europol si applica il regolamento (UE) 2018/1725, ad eccezione del capo IX.
2. I riferimenti ai “dati personali” nel presente regolamento devono essere letti come riferimenti ai “dati personali operativi” definiti all’articolo 3, punto 2, del regolamento (UE) 2018/1725, salvo diversa disposizione nel presente regolamento.
3. Il consiglio di amministrazione adotta norme per stabilire i termini per la conservazione dei dati personali amministrativi.»;
24)
l’articolo 28 è soppresso;
25)
l’articolo 30 è così modificato:
a)
al paragrafo 2, la prima frase è sostituita dalla seguente:
«2. Il trattamento, mediante procedimenti automatizzati o meno, di dati personali che rivelino la razza, l’origine etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale e il trattamento di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica o di dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona fisica sono autorizzati solo se strettamente proporzionato e necessario ai fini dei progetti di ricerca e innovazione di cui all’articolo 33 bis e per finalità operative, rientranti negli obiettivi di Europol, e per la sola finalità di prevenire o combattere forme di criminalità rientranti nell’ambito degli obiettivi di Europol. Tale trattamento è altresì soggetto alle garanzie adeguate di cui al presente regolamento con riguardo ai diritti e alle libertà dell’interessato e, ad eccezione dei dati biometrici trattati ai fini dell’identificazione univoca di una persona fisica, è consentito solo se tali dati integrano altri dati personali trattati da Europol.»;
b)
è inserito il paragrafo seguente:
«2 bis. Il responsabile della protezione dei dati è informato senza indebito ritardo nel caso in cui sia effettuato un trattamento di dati personali a norma del presente articolo.»;
c)
il paragrafo 3 è sostituito dal seguente:
«3. Solo Europol ha accesso diretto ai dati personali del tipo di cui ai paragrafi 1 e 2. Il direttore esecutivo autorizza debitamente l’accesso di un numero limitato di funzionari di Europol ove ciò sia necessario per lo svolgimento dei loro compiti.
Fatto salvo il primo comma, ove ciò sia necessario per garantire l’accesso ai dati personali ai funzionari delle autorità competenti degli Stati membri o a agenzie dell’Unione sulla base del titolo V TFUE per lo svolgimento dei loro compiti, nei casi di cui all’articolo 20, paragrafi 1 e 2 bis del presente regolamento, o per progetti di ricerca e innovazione conformemente all’articolo 33 bis, paragrafo 2, lettera d) del presente regolamento, il direttore esecutivo autorizza debitamente l’accesso di un numero limitato di tali funzionari.»;
d)
il paragrafo 4 è soppresso;
e)
il paragrafo 5 è sostituito dal seguente:
«5. I dati personali del tipo di cui ai paragrafi 1 e 2 non sono trasmessi a Stati membri o organismi dell’Unione né trasferiti a paesi terzi e organizzazioni internazionali, salvo che tale trasmissione o trasferimento siano richiesti a norma del diritto dell’Unione o siano strettamente necessari e proporzionati in casi specifici relativi a forme di criminalità rientranti negli obiettivi di Europol e avvengano in conformità del capo V.»;
26)
l’articolo 32 è sostituito dal seguente:
«Articolo 32
Sicurezza del trattamento
I meccanismi per garantire che le misure di sicurezza siano prese in considerazione oltre i limiti dei sistemi d’informazione sono istituiti da Europol conformemente all’articolo 91 del regolamento (UE) 2018/1725 e dagli Stati membri conformemente all’articolo 29 della direttiva (UE) 2016/680.»;
27)
l’articolo 33 è soppresso;
28)
è inserito l’articolo seguente:
«Articolo 33 bis
Trattamento dei dati personali a fini di ricerca e innovazione
1. Europol può trattare dati personali per le finalità legate ai suoi progetti di ricerca e innovazione a condizione che il trattamento di tali dati personali:
a)
sia strettamente necessario e debitamente motivato per conseguire gli obiettivi del progetto in questione;
b)
per quanto riguarda le categorie particolari di dati personali, sia strettamente necessario e soggetto a garanzie adeguate, che possono includere la pseudonimizzazione.
Il trattamento di dati personali effettuato da Europol nel contesto dei progetti di ricerca e innovazione è guidato dai principi della trasparenza, della spiegabilità, della correttezza e della rendicontabilità.
2. Fatto salvo il paragrafo 1, al trattamento di dati personali effettuato nel contesto di progetti di ricerca e innovazione di Europol, si applicano le garanzie seguenti:
a)
ogni progetto di ricerca e innovazione esige la previa autorizzazione del direttore esecutivo, in consultazione con il responsabile della protezione dei dati e con il responsabile dei diritti fondamentali, basata su:
i)
una descrizione degli obiettivi del progetto e della spiegazione di come il progetto assiste Europol o le autorità competenti degli Stati membri nei loro compiti;
ii)
una descrizione dell’attività di trattamento prevista che definisca gli obiettivi, la portata e la durata del trattamento e da cui risultino la necessità di trattare i dati personali e la proporzionalità del trattamento, ad esempio per studiare e testare soluzioni tecnologiche innovative e garantire l’esattezza dei risultati del progetto;
iii)
una descrizione delle categorie di dati personali da trattare;
iv)
una valutazione della conformità con i principi di protezione dei dati di cui all’articolo 71 del regolamento (UE) 2018/1725, dei termini per la conservazione e delle condizioni di accesso ai dati personali; e
v)
una valutazione d’impatto sulla protezione dei dati, compresi i rischi per tutti i diritti e le libertà degli interessati, il rischio di eventuali distorsioni nei dati personali da usare a fini di formazione di algoritmi e nei risultati del trattamento, come pure le misure previste per far fronte a tali rischi e per evitare violazioni dei diritti fondamentali;
b)
il GEPD è informato prima dell’avvio del progetto;
c)
il consiglio di amministrazione è consultato o informato prima dell’avvio del progetto, conformemente agli orientamenti di cui all’articolo 18, paragrafo 7;
d)
i dati personali da trattare nell’ambito del progetto:
i)
sono copiati temporaneamente in un ambiente separato, isolato e protetto di Europol ai soli fini dell’esecuzione del progetto;
ii)
sono accessibili solo dal personale Europol specificatamente autorizzato conformemente all’articolo 30, paragrafo 3, del presente regolamento e, fatte salve le misure di sicurezza tecniche, dal personale specificatamente autorizzato delle autorità competenti degli Stati membri e delle agenzie dell’Unione istituite sulla base del titolo V del TFUE;
iii)
non sono trasmessi, o trasferiti;
iv)
non comportano misure o decisioni aventi ripercussioni sugli interessati a seguito del loro trattamento;
v)
sono cancellati alla conclusione del progetto o alla scadenza dei termini di conservazione dei dati personali di cui all’articolo 31;
e)
le registrazioni del trattamento dei dati personali nell’ambito del progetto sono conservate fino a due anni dopo la conclusione del progetto, unicamente per verificare l’esattezza dei risultati del trattamento dei dati e solo fintantoché necessario a tal fine.
3. Il consiglio di amministrazione stabilisce in un documento vincolante i progetti di ricerca e innovazione. Tale documento è aggiornato ove opportuno e messo a disposizione del GEPD ai fini dello svolgimento del suo controllo.
4. Europol conserva un documento contenente una descrizione dettagliata del processo e della logica alla base della formazione, della prova e della convalida degli algoritmi a fini di trasparenza della procedura e degli algoritmi, compreso il rispetto delle garanzie di cui al presente articolo, e per consentire la verifica dell’esattezza dei risultati basati sull’utilizzo di tali algoritmi. Su richiesta, Europol mette tale documento a disposizione delle parti interessate, compresi gli Stati membri e il gruppo di controllo parlamentare congiunto.
5. Se i dati da trattare per un progetto di ricerca e innovazione sono stati forniti da uno Stato membro, da un organismo dell’Unione, da un paese terzo o da un’organizzazione internazionale, Europol richiede il consenso di tale fornitore dei dati conformemente all’articolo 19, paragrafo 2, a meno che il fornitore dei dati abbia previamente autorizzato tale trattamento ai fini di progetti di ricerca e innovazione, in termini generali o a condizioni particolari.
Europol non tratta i dati a fini di progetti di ricerca e innovazione senza il consenso del fornitore dei dati. Tale consenso può essere revocato in qualsiasi momento.»;
29)
l’articolo 34 è così modificato:
a)
il paragrafo 1 è sostituito dal seguente:
«1. Fatto salvo l’articolo 92 del regolamento (UE) 2018/1725, in caso di violazione dei dati personali, Europol notifica la violazione alle autorità competenti degli Stati membri interessati senza indebito ritardo, in conformità dell’articolo 7, paragrafo 5, del presente regolamento, nonché al fornitore dei dati interessato, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.»;
b)
il paragrafo 3 è soppresso;
30)
l’articolo 35 è così modificato:
a)
i paragrafi 1 e 2 sono soppressi;
b)
il paragrafo 3 è sostituito dal seguente:
«Fatto salvo l’articolo 93 del regolamento (UE) 2018/1725, nel caso in cui Europol non disponga dei recapiti dell’interessato in questione, al fornitore dei dati è chiesto di comunicare all’interessato la violazione dei dati personali e di informare Europol della decisione presa. Gli Stati membri che forniscono i dati comunicano la violazione dei dati personali all’interessato in questione conformemente al diritto nazionale.»;
c)
i paragrafi 4 e 5 sono soppressi;
31)
l’articolo 36 è così modificato:
a)
i paragrafi 1 e 2 sono soppressi;
b)
il paragrafo 3 è sostituito dal seguente:
«3. L’interessato che desideri esercitare il diritto di accesso ai dati personali che lo riguardano, conformemente all’articolo 80 del regolamento (UE) 2018/1725, può presentare un’apposita domanda all’autorità designata a tal fine nello Stato membro di sua scelta o a Europol. Se la domanda è presentata a tale autorità, essa sottopone la domanda a Europol senza indebito ritardo ed entro un mese dal ricevimento.»;
c)
i paragrafi 6 e 7 sono soppressi;
32)
l’articolo 37 è così modificato:
a)
il paragrafo 1 è sostituito dal seguente:
«1. L’interessato che desideri esercitare il diritto di rettifica o cancellazione di dati personali che lo riguardano o di limitazione del loro trattamento, conformemente all’articolo 82 del regolamento (UE) 2018/1725, può presentare un’apposita domanda all’autorità designata a tal fine nello Stato membro di sua scelta o a Europol. Se la domanda è presentata a tale autorità, questa sottopone la domanda a Europol senza indebito ritardo e entro un mese dal ricevimento.»;
b)
il paragrafo 2 è soppresso;
c)
i paragrafi 3, 4 e 5 sono sostituiti dai seguenti:
«3. Fatto salvo l’articolo 82, paragrafo 3, del regolamento (UE) 2018/1725, anziché cancellarli, Europol limita l’accesso ai dati personali se sussistono fondati motivi di ritenere che la cancellazione possa compromettere i legittimi interessi dell’interessato.
I dati ai quali l’accesso è limitato sono trattati soltanto al fine di tutelare i diritti dell’interessato, quando è necessario per salvaguardare l’interesse vitale di un interessato o di un’altra persona, o per le finalità di cui all’articolo 82, paragrafo 3, del regolamento (UE) 2018/1725.
4. Qualora i dati personali di cui ai paragrafi 1 e 3 detenuti da Europol siano stati forniti da paesi terzi, organizzazioni internazionali o organismi dell’Unione, o siano stati forniti direttamente da parti private, reperiti da Europol da fonti accessibili al pubblico oppure siano il risultato di analisi di Europol, quest’ultima provvede alla rettifica o alla cancellazione di tali dati, o alla limitazione del trattamento degli stessi e ne informa, se del caso, i fornitori dei dati.
5. Qualora i dati personali di cui ai paragrafi 1 e 3 detenuti da Europol siano stati forniti a Europol da Stati membri, gli Stati membri interessati provvedono alla rettifica o alla cancellazione di tali dati o alla limitazione del trattamento degli stessi in cooperazione con Europol nei limiti delle rispettive competenze.»;
d)
i paragrafi 8 e 9 sono soppressi;
33)
l’articolo 38 è così modificato:
a)
il paragrafo 1 è sostituito dal seguente:
«1. Europol tratta i dati personali in modo che sia possibile individuarne la fonte conformemente all’articolo 17.»;
b)
al paragrafo 2, la frase introduttiva è sostituita dalla seguente:
«2. La responsabilità dell’esattezza dei dati personali ai sensi dell’articolo 71, paragrafo 1, lettera d), del regolamento (UE) 2018/1725 spetta:»;
c)
il paragrafo 4 è sostituito dal seguente:
«4. Europol è responsabile della conformità con il regolamento (UE) 2018/1725 riguardo ai dati personali amministrativi e della conformità con il presente regolamento e al capo IX, articolo 3, del regolamento (UE) 2018/1725 riguardo ai dati personali.»;
d)
al paragrafo 7, la terza frase è sostituita dalla seguente:
«La sicurezza di tali scambi è assicurata a norma dell’articolo 91 del regolamento (UE) 2018/1725.»;
34)
l’articolo 39 è sostituito dal seguente:
«Articolo 39
Consultazione preventiva
1. Fatto salvo l’articolo 90 del regolamento (UE) 2018/1725, la consultazione preventiva del GEDP non si applica a specifiche attività operative individuali che non includono alcun nuovo tipo di trattamento che presenti un rischio elevato per i diritti e le libertà degli interessati.
2. Europol può avviare trattamenti che sono oggetto di consultazione preventiva del GEPD a norma dell’ articolo 90, paragrafo 1, del regolamento (UE) 2018/1725, a meno che il GEPD non abbia fornito un parere scritto a norma dell’articolo 90, paragrafo 4, di tale regolamento entro i termini previsti in tale disposizione, che iniziano a decorrere dalla data di ricevimento della richiesta iniziale di consultazione e non sono sospesi.
3. Qualora le operazioni di trattamento di cui al paragrafo 2 del presente articolo rivestano notevole importanza per lo svolgimento dei compiti di Europol ed siano particolarmente urgenti e necessarie per prevenire e combattere una minaccia immediata riguardante un reato che rientra nell’ambito degli obiettivi di Europol o per salvaguardare gli interessi vitali di un interessato o di un’altra persona, Europol può, in via eccezionale, iniziare il trattamento dopo l’avvio della consultazione preventiva del GEPD prevista dall’articolo 90, paragrafo 1, del regolamento (UE) 2018/1725, e prima della scadenza del termine prevista dall’articolo 90, paragrafo 4, di tale regolamento. In tal caso, Europol informa il GEPD prima dell’inizio delle operazioni di trattamento.
Il parere scritto del GEPD a norma dell’articolo 90, paragrafo 4, del regolamento (UE) 2018/1725 è preso in considerazione a posteriori e le modalità di esecuzione del trattamento sono adeguate di conseguenza.
Il responsabile della protezione dei dati partecipa alla valutazione dell’urgenza di tali operazioni di trattamento prima della scadenza del termine prevista dall’articolo 90, paragrafo 4, del regolamento (UE) 2018/1725e sovrintende al trattamento in questione.
4. Il GEPD tiene un registro di tutti i trattamenti che gli sono stati notificati a norma del paragrafo 1. Il registro non è reso pubblico.»;
35)
è inserito l’articolo seguente:
«Articolo 39 bis
Registri delle categorie di attività di trattamento
1. Europol tiene un registro di tutte le categorie di attività di trattamento sotto la propria responsabilità. Tale registro contiene le informazioni seguenti:
a)
i dati di contatto di Europol e il nome e i dati di contatto del proprio responsabile della protezione dei dati;
b)
le finalità del trattamento;
c)
una descrizione delle categorie di interessati e delle categorie di dati personali;
d)
le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e)
ove applicabile, i trasferimenti di dati personali verso un paese terzo, un’organizzazione internazionale o una parte privata, compresa l’identificazione del destinatario;
f)
ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g)
ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 91 del regolamento (UE) 2018/1725;
h)
ove applicabile, il ricorso alla profilazione.
2. I registri di cui al paragrafo 1 sono tenuti in forma scritta, anche in formato elettronico.
3. Su richiesta, Europol mette i registri di cui al paragrafo 1 a disposizione del GEPD.»;
36)
l’articolo 40 è sostituito dal seguente:
«Articolo 40
Registrazione
1. In conformità dell’articolo 88 del regolamento (UE) 2018/1725, Europol registra i suoi trattamenti. Non è possibile modificare le registrazioni.
2. Fatto salvo l’articolo 88 del regolamento (UE) 2018/1725, se richiesto da un’autorità nazionale ove necessario per un’indagine specifica connessa al rispetto delle norme in materia di protezione dei dati, le registrazioni di cui al paragrafo 1 sono trasmesse all’unità nazionale.»;
37)
l’articolo 41 è sostituito dal seguente:
«Articolo 41
Designazione del responsabile della protezione dei dati
1. Il consiglio di amministrazione nomina, appositamente a tale scopo, un membro del personale di Europol come responsabile della protezione dei dati.
2. Il responsabile della protezione dei dati è selezionato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di eseguire i compiti di cui all’articolo 41 ter del presente regolamento e al regolamento (UE) 2018/1725.
3. La scelta del responsabile della protezione dei dati non deve poter dare adito a un conflitto di interessi tra la sua funzione di responsabile della protezione dei dati ed eventuali altre funzioni ufficiali, in particolare relativamente all’applicazione del presente regolamento.
4. Il responsabile della protezione dei dati non è rimosso o penalizzato dal consiglio di amministrazione per l’adempimento dei propri compiti.
5. Europol pubblica i dati di contatto del responsabile della protezione dei dati e li comunica al GEPD.»;
38)
sono inseriti gli articoli seguenti:
«Articolo 41 bis
Posizione del responsabile della protezione dei dati
1. Europol si assicura che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
2. Europol sostiene il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 41 ter fornendogli le risorse e il personale necessari per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.
Per sostenere il responsabile della protezione dei dati nell’esecuzione dei suoi compiti, un membro del personale di Europol può essere nominato responsabile aggiunto della protezione dei dati.
3. Europol si assicura che il responsabile della protezione dei dati agisca in modo indipendente e non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti.
Il responsabile della protezione dei dati riferisce direttamente al consiglio di amministrazione.
4. Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento e dal regolamento (UE) 2018/1725.
Nessuno deve subire pregiudizio per una questione portata all’attenzione del responsabile della protezione dei dati competente e riguardante un’asserita violazione del presente regolamento o del regolamento (UE) 2018/1725.
5. Il consiglio di amministrazione adotta norme di attuazione relative al responsabile della protezione dei dati. Tali norme di attuazione riguardano in particolare la procedura di selezione, la revoca, i compiti, gli obblighi e le competenze, nonché le garanzie di indipendenza.
6. Il responsabile della protezione dei dati e il suo personale sono soggetti all’obbligo di riservatezza ai sensi dell’articolo 67, paragrafo 1.
7. Il responsabile della protezione dei dati è nominato per un periodo di quattro anni e il suo mandato è rinnovabile.
8. Il responsabile della protezione dei dati è destituito dalle sue funzioni dal consiglio di amministrazione se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni e solo con il consenso del GEPD.
9. La designazione del responsabile della protezione dei dati e del responsabile aggiunto della protezione dei dati è comunicata al GEPD dal consiglio di amministrazione.
10. Le disposizioni applicabili al responsabile della protezione dei dati si applicano mutatis mutandis al responsabile aggiunto della protezione dei dati.
Articolo 41 ter
Compiti del responsabile della protezione dei dati
1. Il responsabile della protezione dei dati è incaricato, in particolare, dei seguenti compiti per quanto riguarda il trattamento dei dati personali:
a)
assicurare in modo indipendente che Europol osservi le disposizioni relative alla protezione dei dati del presente regolamento e del regolamento (UE) 2018/1725 nonché le pertinenti disposizioni relative alla protezione dei dati contenute nelle proprie norme interne, incluso il controllo dell’osservanza del presente regolamento, del regolamento (UE) 2018/1725, di altre disposizioni dell’Unione o nazionali relative alla protezione dei dati nonché delle politiche di Europol in materia di protezione dei dati personali, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
b)
informare e fornire consulenza a Europol nonché al personale che esegue il trattamento dei dati personali in merito agli obblighi derivanti dal presente regolamento, dal regolamento (UE) 2018/1725 nonché da altre disposizioni dell’Unione o nazionali relative alla protezione dei dati;
c)
fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati a norma dell’ articolo 89 del regolamento (UE) 2018/1725, e sorvegliarne lo svolgimento;
d)
tenere un registro delle violazioni di dati personali e fornire, se richiesto, un parere in merito alla necessità di notificare o comunicare una violazione dei dati personali a norma degli articoli 92 e 93 del regolamento (UE) 2018/1725;
e)
garantire che sia mantenuta traccia della trasmissione, del trasferimento e del ricevimento di dati personali a norma del presente regolamento;
f)
garantire che gli interessati siano informati, su richiesta, dei propri diritti ai sensi del presente regolamento e del regolamento (UE) 2018/1725;
g)
cooperare con il personale Europol preposto alle procedure, alla formazione e alla consulenza in materia di trattamento dati;
h)
rispondere alle richieste del GEPD, nell’ambito delle sue competenze, cooperare con il GEPD e consultare il GEPD, su richiesta di quest’ultimo o di propria iniziativa;
i)
cooperare con le autorità competenti degli Stati membri, in particolare con i responsabili della protezione dei dati delle autorità competenti degli Stati membri e con le autorità di controllo nazionali su questioni relative alla protezione dei dati nel settore dell’attività di contrasto;
j)
fungere da punto di contatto per il GEPD per questioni connesse al trattamento, tra cui la consultazione preventiva di cui agli articoli 40 e 90 del regolamento (UE) 2018/1725, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione nell’ambito delle sue competenze;
k)
redigere una relazione annuale e trasmetterla al consiglio di amministrazione e al GEPD;
l)
garantire che i trattamenti non arrechino pregiudizio ai diritti e alle libertà degli interessati.
2. Il responsabile della protezione dei dati può formulare raccomandazioni destinate al consiglio di amministrazione ai fini del miglioramento concreto della protezione dei dati e fornire consulenza su questioni concernenti l’applicazione delle disposizioni relative alla protezione dei dati.
Il responsabile della protezione dei dati può, di propria iniziativa o su richiesta del consiglio di amministrazione o di qualsiasi persona, indagare sulle questioni e sui fatti direttamente collegati con l’esercizio dei propri compiti e di cui viene a conoscenza, e riferire alla persona che lo ha incaricato dell’indagine o al consiglio di amministrazione i risultati di tale indagine.
3. Il responsabile della protezione dei dati svolge le funzioni di cui al regolamento (UE) 2018/1725 per quanto riguarda i dati personali amministrativi.
4. Nello svolgimento dei propri compiti, il responsabile della protezione dei dati e i membri del personale Europol che lo assistono nell’esercizio delle sue funzioni hanno accesso a tutti i dati trattati da Europol e a tutti i locali di Europol.
5. Qualora ritenga che non siano state rispettate le disposizioni del presente regolamento o del regolamento (UE) 2018/1725 relative al trattamento dei dati personali amministrativi, o le disposizioni del presente regolamento o dell’articolo 3 e del capo IX del regolamento (UE) 2018/1725 relative al trattamento dei dati personali, il responsabile della protezione dei dati ne informa il direttore esecutivo chiedendogli di porre rimedio all’inadempienza entro un termine determinato.
Se il direttore esecutivo non pone rimedio al trattamento non conforme entro il termine determinato, il responsabile della protezione dei dati ne informa il consiglio di amministrazione. Il consiglio di amministrazione risponde entro un termine determinato concordato con il responsabile della protezione dei dati. Se il consiglio di amministrazione non pone rimedio all’inadempienza entro il termine determinato, il responsabile della protezione dei dati si rivolge al GEPD.
Articolo 41 quater
Responsabile dei diritti fondamentali
1. Il consiglio di amministrazione, su proposta del direttore esecutivo, designa un responsabile dei diritti fondamentali. Il responsabile dei diritti fondamentali può essere un membro del personale Europol attuale che ha ricevuto una specifica formazione su normativa e prassi in materia di diritti fondamentali.
2. Il responsabile dei diritti fondamentali svolge i compiti seguenti:
a)
fornire consulenza a Europol, ove lo ritenga necessario o su richiesta, su qualsiasi attività di Europol, senza impedire o ritardare tali attività;
b)
monitorare il rispetto dei diritti fondamentali da parte di Europol;
c)
formulare pareri non vincolanti sugli accordi di lavoro;
d)
informare il direttore esecutivo in merito a eventuali violazioni dei diritti fondamentali nel corso delle attività di Europol;
e)
promuovere il rispetto dei diritti fondamentali da parte di Europol durante lo svolgimento dei suoi compiti e delle sue attività;
f)
svolgere qualsiasi altro compito, ove previsto dal presente regolamento.
3. Europol provvede affinché il responsabile dei diritti fondamentali non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti.
4. Il responsabile dei diritti fondamentali riferisce direttamente al direttore esecutivo e prepara relazioni annuali sulle sue attività, compreso il livello di rispetto dei diritti fondamentali da parte delle attività di Europol. Tali relazioni sono messe a disposizione del consiglio di amministrazione.
Articolo 41 quinquies
Formazione in materia di diritti fondamentali
Tutto il personale Europol coinvolto in compiti operativi che comportano il trattamento di dati personali riceve una formazione obbligatoria in materia di protezione dei diritti e delle libertà fondamentali, anche in relazione al trattamento dei dati personali. Tale formazione è organizzata in cooperazione con l’Agenzia dell’Unione europea per i diritti fondamentali (FRA), istituita dal regolamento (CE) n. 168/2007 del Consiglio (*12), e l’Agenzia dell’Unione europea per la formazione delle autorità di contrasto (CEPOL), istituita dal regolamento (UE) 2015/2219 del Parlamento europeo e del Consiglio (*13).
(*12) Regolamento (CE) n. 168/2007 del Consiglio, del 15 febbraio 2007, che istituisce l’Agenzia dell’Unione europea per i diritti fondamentali (GU L 53 del 22.2.2007, pag. 1)."
(*13) Regolamento (UE) 2015/2219 del Parlamento europeo e del Consiglio, del 25 novembre 2015, sull’Agenzia dell’Unione europea per la formazione delle autorità di contrasto (CEPOL) e che sostituisce e abroga la decisione 2005/681/GAI del Consiglio (GU L 319 del 4.12.2015, pag. 1.)»;"
39)
all’articolo 42, i paragrafi 1 e 2 sono sostituiti dai seguenti:
«1. Ai fini dell’esercizio della sua funzione di vigilanza, le autorità di controllo nazionale di cui all’articolo 41 della direttiva (UE) 2016/680 hanno accesso, presso i locali delle unità nazionali o degli ufficiali di collegamento, ai dati forniti dal loro Stato membro a Europol, secondo le procedure nazionali applicabili, nonché alle registrazioni di cui all’articolo 40 del presente regolamento.
2. Le autorità di controllo nazionali hanno accesso agli uffici e ai documenti dei rispettivi ufficiali di collegamento presso Europol.»;
40)
l’articolo 43 è così modificato:
a)
al paragrafo 1, la prima frase è sostituita dalla seguente:
«1. Il GEPD ha il compito di sorvegliare e assicurare l’applicazione delle disposizioni del presente regolamento e del regolamento (UE) 2018/1725 relative alla tutela dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento di dati personali da parte di Europol, e di fornire a Europol e agli interessati pareri su tutte le questioni relative al trattamento dei dati personali.»;
b)
al paragrafo 3, sono aggiunte le lettere seguenti:
«j)
ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti al presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;
k)
ordinare la sospensione dei flussi di dati verso un destinatario in uno Stato membro, in un paese terzo o verso un’organizzazione internazionale;
l)
infliggere una sanzione amministrativa pecuniaria in caso di inosservanza da parte di Europol di una delle misure di cui alle lettere c), e), f), j) e k) del presente paragrafo, in funzione delle circostanze di ogni singolo caso.»;
c)
il paragrafo 5 è sostituito dal seguente:
«5. Il GEPD prepara un rapporto annuale sulle attività di vigilanza riguardanti Europol. Tale rapporto è parte integrante del rapporto annuale del GEPD di cui all’articolo 60 del regolamento (UE) 2018/1725.
Il GEPD invita le autorità di controllo nazionali a presentare osservazioni su tale parte del rapporto annuale prima che il rapporto annuale sia adottato dal GEPD. Il GEPD tiene nella massima considerazione tali osservazioni e fa riferimento a queste nel rapporto annuale.
La parte del rapporto annuale di cui al secondo comma include informazioni statistiche riguardanti i reclami, le indagini e gli accertamenti, nonché i trasferimenti di dati personali a paesi terzi e organizzazioni internazionali, i casi di consultazione preventiva del GEPD, e l’esercizio dei poteri stabiliti al paragrafo 3 del presente articolo.»;
41)
l’articolo 44 è così modificato:
a)
il paragrafo 2 è sostituito dal seguente:
«2. Nei casi di cui al paragrafo 1, è assicurato il controllo coordinato a norma dell’articolo 62 del regolamento (UE) 2018/1725. Il GEPD si avvale delle competenze e dell’esperienza delle autorità di controllo nazionali nell’espletamento delle sue funzioni di cui all’articolo 43, paragrafo 2, del presente regolamento.
Tenuto debito conto dei principi di sussidiarietà e proporzionalità, nello svolgimento di ispezioni congiunte con il GEPD, i membri e il personale delle autorità di controllo nazionali hanno poteri equivalenti a quelli indicati all’articolo 43, paragrafo 4, del presente regolamento e sono vincolati da un obbligo equivalente a quello di cui all’articolo 43, paragrafo 6, del presente regolamento.»;
b)
il paragrafo 4 è sostituito dal seguente:
«4. In casi riguardanti i dati provenienti da uno o più Stati membri, compresi i casi di cui all’articolo 47, paragrafo 2, il GEPD consulta le autorità di controllo nazionali interessate. Il GEPD non decide in merito agli ulteriori provvedimenti da adottare prima che tali autorità di controllo nazionali non gli abbiano comunicato il proprio parere, entro un termine specificato dal Garante, non inferiore a un mese e non superiore a tre mesi a decorrere da quando il GEPD consulta le autorità di controllo nazionali interessate. Il GEPD tiene nella massima considerazione le rispettive posizioni delle autorità di controllo nazionali interessate. Qualora non intenda seguire la posizione di un’autorità di controllo nazionale, il GEPD la informa in merito, giustifica la propria decisione e sottopone la questione all’esame del comitato europeo per la protezione dei dati.»;
42)
gli articoli 45 e 46 sono soppressi;
43)
l’articolo 47 è così modificato:
a)
il paragrafo 1 è sostituito dal seguente:
«1. L’interessato che ritenga che il trattamento dei dati personali che lo riguardano da parte di Europol non sia conforme al presente regolamento o al regolamento (UE) 2018/1725 ha il diritto di proporre reclamo al GEPD.»;
b)
al paragrafo 2, la prima frase è sostituita dalla seguente:
«2. Se il reclamo riguarda una decisione di cui all’articolo 36 o 37 del presente regolamento o all’articolo 81 o 82 del regolamento (UE) 2018/1725, il GEPD consulta l’autorità di controllo nazionale dello Stato membro che ha fornito i dati o dello Stato membro direttamente interessato.»;
c)
è aggiunto il paragrafo seguente:
«5. Il GEPD informa l’interessato dello stato e dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 48.»;
44)
l’articolo 50 è sostituito dal seguente:
«Articolo 50
Diritto al risarcimento
1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere un risarcimento a norma dell’articolo 65 del regolamento (UE) 2018/1725 e d dell’articolo 56 della direttiva (UE) 2016/680.
2. Qualsiasi controversia tra Europol e uno Stato membro in merito alla responsabilità finale del risarcimento riconosciuto a una persona che abbia subito un danno materiale o immateriale ai sensi del paragrafo 1 del presente articolo è sottoposta al consiglio di amministrazione. Il consiglio di amministrazione decide su tale responsabilità deliberando a maggioranza dei due terzi dei suoi membri, fatto salvo il diritto di impugnare tale decisione a norma dell’articolo 263 TFUE.»;
45)
l’articolo 51 è così modificato:
a)
il paragrafo 3 è modificato come segue:
i)
la lettera d) è sostituita dalla seguente:
«d)
la relazione annuale di attività consolidata sulle attività di Europol, di cui all’articolo 11, paragrafo 1, lettera c), comprese le informazioni pertinenti sulle attività di Europol e sui risultati ottenuti nel trattamento di serie di dati ampie, senza divulgare alcun dettaglio operativo e fatte salve le indagini in corso;»;
ii)
sono aggiunte le lettere seguenti:
«f)
informazioni annuali a norma dell’articolo 26, paragrafo 11, sui dati personali scambiati con parti private a norma degli articoli 26, 26 bis e 26 ter, compresi una valutazione dell’efficacia della cooperazione, esempi specifici di casi che dimostrano il motivo per cui tali richieste fossero necessarie e proporzionate per permettere ad Europol di conseguire i suoi obiettivi e svolgere i suoi compiti e, per quanto riguarda gli scambi di dati personali a norma dell’articolo 26 ter, il numero di minori identificati a seguito di tali scambi nella misura in cui tali informazioni siano a disposizione di Europol;
g)
informazioni annuali sul numero di casi in cui Europol ha dovuto trattare dati personali di interessati che non riguardano le categorie di interessati di cui all’allegato II per sostenere gli Stati membri in un’indagine penale specifica in corso conformemente all’articolo 18 bis, unitamente a informazioni sulla durata e sui risultati del trattamento, compresi esempi di tali casi che dimostrano il motivo per cui il trattamento di tali dati fosse necessario e proporzionato;
h)
informazioni annuali sui trasferimenti di dati personali a paesi terzi e organizzazioni internazionali a norma dell’articolo 25, paragrafo 1 o 4 bis, ripartite per base giuridica, e sul numero di casi in cui il direttore esecutivo ha autorizzato, a norma dell’articolo 25, paragrafo 5, il trasferimento o le categorie di trasferimenti di dati personali relativi a un’indagine penale specifica in corso a paesi terzi o organizzazioni internazionali, comprese informazioni sui paesi interessati e sulla durata dell’autorizzazione;
i)
informazioni annuali sul numero di casi in cui Europol ha proposto la possibilità di inserire segnalazioni di informazioni a norma dell’articolo 4, paragrafo 1, lettera t), compresi esempi specifici di casi che dimostrano il motivo per cui è stato proposto l’inserimento di tali segnalazioni;
j)
informazioni annuali sul numero di progetti di ricerca e innovazione intrapresi, comprese le informazioni sulle finalità di tali progetti, sulle categorie di dati personali trattati, sulle garanzie supplementari utilizzate, compresa la minimizzazione dei dati, sulle esigenze di contrasto che tali progetti intendono affrontare e sui risultati di tali progetti;
k)
informazioni annuali sul numero di casi in cui Europol ha fatto ricorso al trattamento temporaneo a norma dell’articolo 18, paragrafo 6 bis, e, se del caso, sul numero di casi in cui il termine per il trattamento è stato prorogato;
l)
informazioni annuali sul numero e sul tipo di casi in cui sono state trattate categorie particolari di dati personali a norma dell’articolo 30, paragrafo 2.
Gli esempi di cui alle lettere f) e i) sono resi anonimi per quanto riguarda i dati personali.
Gli esempi di cui alla lettera g) sono resi anonimi per quanto riguarda i dati personali, senza divulgare alcun dettaglio operativo e fatte salve eventuali indagini in corso.»;
b)
il paragrafo 5 è sostituito dal seguente:
«5. Il gruppo di controllo parlamentare congiunto può redigere conclusioni sintetiche sul monitoraggio politico delle attività di Europol, tra cui raccomandazioni specifiche non vincolanti destinate a Europol, e presentarle al Parlamento europeo e ai parlamenti nazionali. Il Parlamento europeo trasmette tali conclusioni, a titolo informativo, al Consiglio, alla Commissione e a Europol.»;
46)
è inserito l’articolo seguente:
«Articolo 52 bis
Forum consultivo
1. Il gruppo di controllo parlamentare congiunto istituisce un forum consultivo che lo assiste, su richiesta, nelle questioni legate ai diritti fondamentali fornendogli una consulenza indipendente.
Il gruppo di controllo parlamentare congiunto e il direttore esecutivo possono consultare il forum consultivo in merito a qualsiasi questione attinente ai diritti fondamentali.
2. Il gruppo di controllo parlamentare congiunto decide in merito alla composizione del forum consultivo, ai suoi metodi di lavoro e alle modalità di trasmissione delle informazioni al forum consultivo.»;
47)
all’articolo 58, il paragrafo 9 è sostituito dal seguente:
«9. Ai progetti riguardanti gli immobili che possono avere implicazioni significative per il bilancio di Europol si applica il regolamento delegato (UE) 2019/715.»;
48)
L’articolo 60 è così modificato:
a)
il paragrafo 4 è sostituito dal seguente:
«4. Al ricevimento delle osservazioni formulate dalla Corte dei conti sui conti provvisori di Europol per l’anno N ai sensi dell’articolo 246 del regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio (*14), il contabile di Europol stabilisce i conti definitivi di Europol per tale anno. Il direttore esecutivo presenta tali conti definitivi al consiglio di amministrazione per un parere.
(*14) Regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio, del 18 luglio 2018, che stabilisce le regole finanziarie applicabili al bilancio generale dell’Unione, che modifica i regolamenti (UE) n. 1296/2013, (UE) n. 1301/2013, (UE) n. 1303/2013, (UE) n. 1304/2013, (UE) n. 1309/2013, (UE) n. 1316/2013, (UE) n. 223/2014, (UE) n. 283/2014 e la decisione n. 541/2014/UE e abroga il regolamento (UE, Euratom) n. 966/2012 (GU L 193 del 30.7.2018, pag. 1).»;"
b)
il paragrafo 9 è sostituito dal seguente:
«9. Su richiesta del Parlamento europeo, il direttore esecutivo presenta, a norma dall’articolo 106, paragrafo 3, del regolamento delegato (UE) 2019/715, tutte le informazioni necessarie per il corretto svolgimento della procedura di discarico per l’anno N.»;
49)
l’articolo 61 è sostituito dal seguente:
«Articolo 61
Regole finanziarie
1. Le regole finanziarie applicabili a Europol sono adottate dal consiglio di amministrazione, previa consultazione della Commissione. Si discostano dal regolamento delegato (UE) 2019/715 solo per esigenze specifiche di funzionamento di Europol e previo accordo della Commissione.
2. Europol può assegnare sovvenzioni connesse al conseguimento dei suoi obiettivi e allo svolgimento dei suoi compiti.
3. Europol può assegnare sovvenzioni senza invito a presentare proposte agli Stati membri ai fini dello svolgimento di attività che rientrano nei suoi obiettivi e compiti.
4. Ove debitamente giustificato per fini operativi, previa autorizzazione del consiglio di amministrazione, il sostegno finanziario può coprire la totalità dei costi di investimento per attrezzature e infrastrutture.
Le regole finanziarie di cui al paragrafo 1, possono specificare i criteri in base ai quali il sostegno finanziario può coprire la totalità dei costi di cui al primo domma del presente paragrafo.
5. Per quanto concerne il sostegno finanziario alle attività delle squadre investigative comuni, Europol ed Eurojust stabiliscono congiuntamente le norme e le condizioni in base alle quali le domande sono trattate.»;
50)
l’articolo 68 è così modificato:
a)
il paragrafo 1 è sostituito dal seguente:
«1. Entro il 29 giugno 2027 e successivamente ogni cinque anni, la Commissione esegue una valutazione per stabilire, in particolare, l’impatto, l’efficacia e l’efficienza di Europol e delle sue prassi di lavoro. Tale valutazione può riguardare, in particolare, l’eventuale necessità di modificare la struttura, il funzionamento, la sfera d’azione e i compiti di Europol e le implicazioni finanziarie di tale modifica.»;
b)
è aggiunto il paragrafo seguente:
«3. Entro il 29 giugno 2025, la Commissione presenta al Parlamento europeo e al Consiglio una relazione in cui soppesa e valuta l’impatto operativo dell’attuazione dei compiti di cui al presente regolamento, con particolare riferimento all’articolo 4, paragrafo 1, lettera t), all’articolo 18, paragrafo 2, lettera e), all’articolo 18, paragrafo 6 bis), e agli articoli 18 bis, 26, 26 bis e 26 ter per quanto riguarda gli obiettivi di Europol. La relazione valuta l’impatto di tali compiti sui diritti e sulle libertà fondamentali previsti dalla Carta. Fornisce inoltre un’analisi dei costi-benefici della proroga dei compiti di Europol.»;
51)
sono inseriti gli articoli seguenti:
«Articolo 74 bis
Disposizioni transitorie relative al trattamento dei dati personali a sostegno di un’indagine penale in corso
1. Qualora uno Stato membro, l’EPPO o Eurojust abbia fornito a Europol dati personali che non riguardano le categorie di interessati elencate nell’allegato II prima del 28 giugno 2022 Europol può trattare tali dati personali conformemente all’articolo 18 bis se:
a)
lo Stato membro interessato, l’EPPO o Eurojust informa Europol entro il 29 settembre 2022, di essere autorizzato a trattare tali dati personali, conformemente alle norme e garanzie procedurali applicabili ai sensi del diritto dell’Unione o nazionale, nell’indagine penale in corso per la quale ha chiesto il sostegno di Europol quando ha inizialmente fornito i dati;
b)
lo Stato membro in questione, l’EPPO o Eurojust chiede che Europol, entro il 29 settembre 2022, sostenga per l’indagine penale in corso di cui alla lettera a); e
c)
Europol valuta, conformemente all’articolo 18 bis, paragrafo 1, lettera b), che non è possibile sostenere l’indagine penale in corso di cui alla lettera a) del presente paragrafo senza trattare dati personali non conformi all’articolo 18, paragrafo 5.
La valutazione di cui al primo comma, lettera c), del presente paragrafo è registrata e trasmessa per conoscenza al GEPD quando Europol cessa di sostenere la relativa indagine penale specifica.
2. Qualora uno Stato membro, l’EPPO o Eurojust non soddisfi uno o più dei requisiti di cui al paragrafo 1, lettere a) e b), del presente articolo, per i dati personali che non riguardano le categorie di interessati elencate nell’allegato II forniti a Europol prima del 28 giugno 2022, o qualora uno Stato membro, l’EPPO o Eurojust non soddisfi il paragrafo 1, lettera c), del presente articolo, Europol non tratta tali dati personali conformemente all’articolo 18 bis, ma, fatti salvi l’articolo 18, paragrafo 5, e l’articolo 74 ter, cancella tali dati personali entro il 29 ottobre 2022.
3. Qualora un paese terzo di cui all’articolo 18 bis, paragrafo 6, abbia fornito a Europol dati personali che non riguardano le categorie di interessati elencate nell’allegato II prima del 28 giugno 2022, Europol può trattare tali dati personali conformemente all’articolo 18 bis, paragrafo 6, se:
a)
il paese terzo ha fornito i dati personali a sostegno di un’indagine penale specifica in uno o più Stati membri che sia sostenuta da Europol;
b)
il paese terzo ha ottenuto i dati nel contesto di un’indagine penale conformemente alle norme e garanzie procedurali applicabili ai sensi del proprio diritto penale nazionale;
c)
il paese terzo informa Europol, entro il 29 settembre 2022 di essere autorizzato a trattare tali dati personali nell’indagine penale nell’ambito della quale ha ottenuto i dati;
d)
Europol valuta, conformemente all’articolo 18 bis, paragrafo 1, lettera b), che non è possibile sostenere l’indagine penale di cui alla lettera a) del presente paragrafo senza trattare dati personali che non siano conformi all’articolo 18, paragrafo 5 e tale valutazione è registrata e trasmessa per conoscenza al GEPD quando Europol cessa di sostenere la relativa indagine penale specifica; e
e)
Europol verifica, conformemente all’articolo 18 bis, paragrafo 6, che la quantità di dati personali non sia manifestamente sproporzionata rispetto all’indagine penale specifica, di cui al presente paragrafo, lettera a), in uno o più Stati membri sostenuta da Europol.
4. Qualora un paese terzo non soddisfi il requisito di cui al paragrafo 3, lettera c), del presente articolo, relativamente ai dati personali che non riguardano le categorie di interessati elencate nell’allegato II forniti a Europol prima del 28 giugno 2022, o qualora non sia soddisfatto nessuno degli altri requisiti di cui al paragrafo 3, del presente articolo, Europol non tratta tali dati personali conformemente all’articolo 18 bis, paragrafo 6, ma, fatti salvi l’articolo 18, paragrafo 5, e l’articolo 74 ter, cancella tali dati personali entro il 29 ottobre 2022
5. Qualora uno Stato membro, l’EPPO o Eurojust abbia fornito a Europol dati personali che non riguardano le categorie di interessati elencate nell’allegato II prima del 28 giugno 2022, può chiedere a Europol, entro il 29 settembre 2022, di conservare tali dati e i risultati del loro trattamento da parte di Europol ove ciò sia necessario per garantire la veridicità, l’affidabilità e la tracciabilità del processo di intelligence criminale. Europol conserva i dati personali che non riguardano le categorie di interessati elencate nell’allegato II mantenendo una separazione funzionale dagli altri dati e li tratta unicamente al fine di garantire la veridicità, l’affidabilità e la tracciabilità del processo di intelligence criminale e solo fintantoché è in corso il procedimento giudiziario relativo all’indagine penale per cui tali dati sono stati forniti.
6. Qualora Europol abbia ricevuto dati personali che non riguardano le categorie di interessati di cui all’allegato II prima del 28 giugno 2022, Europol non conserva tali dati al fine di garantire la veridicità, l’affidabilità e la tracciabilità del processo di intelligence criminale, salvo richiesta in conformità del paragrafo 5. In mancanza di tale richiesta, Europol cancella tali dati personali entro il 29 ottobre 2022.
Articolo 74 ter
Disposizioni transitorie relative al trattamento dei dati personali detenuti da Europol
Fatto salvo l’articolo 74 bis, per i dati personali che ha ricevuto prima del 28 giugno 2022, Europol può verificare se tali dati personali corrispondono a una delle categorie di interessati di cui all’allegato II. A tal fine, Europol può effettuare un’analisi preliminare di tali dati personali per un periodo lungo fino a 18 mesi dalla data del ricevimento iniziale dei dati o, in casi giustificati, e previa autorizzazione del GEPD, per un periodo più lungo.
La durata massima del trattamento dei dati di cui al primo comma è di tre anni a decorrere dal giorno del ricevimento dei dati da parte di Europol.».
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg:2022:991:oj#art-1