Gazzetta ufficiale. 62 o anno Legislazione 22 novembre 2019

(1)

Sommario

II Atti non legislativi

ACCORDI INTERNAZIONALI

★ Decisione (UE) 2019/1934 del Consiglio del 18 marzo 2019 relativa alla firma, a nome dell’Unione europea e dei suoi Stati membri, del protocollo dell’accordo di cooperazione relativo a un sistema globale di navigazione satellitare civile (GNSS) tra la Comunità europea e i suoi Stati membri, da una parte, e la Repubblica di Corea, dall’altra, per tener conto dell’adesione della Repubblica di Bulgaria, della Repubblica di Croazia e della Romania all’Unione europea. . . 1

REGOLAMENTI

★ Regolamento delegato (UE) 2019/1935 della Commissione del 13 maggio 2019 recante modifica della direttiva (UE) 2016/97 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che adeguano gli importi di base in euro per l’assicurazione per la responsabilità professionale e per la capacità finanziaria degli intermediari assicurativi e riassicurativi (¹). . . 3

REGOLAMENTI INTERNI E DI PROCEDURA

★ Decisione del Comitato di Risoluzione Unico del 18 settembre 2019 su norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito di accertamenti amministrativi/procedimenti disciplinari/indagini/altro effettuati dal Comitato di risoluzione unico (SRB/ES/2019/32) . . . 5

★ Decisione del Comitato di Risoluzione Unico del 18 settembre 2019 sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito del procedimento informale della politica dell’SRB in materia di protezione della dignità della persona e prevenzione di molestie psicologiche e sessuali (SRB/ES/2019/33). . . 10

★ Decisione del Comitato di risoluzione unico del 18 settembre 2019 sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle indagini sugli incidenti di sicurezza interna effettuate dal Comitato di risoluzione unico (SRB/ES/2019/34). . . 14

IT

L 301 Gazzetta ufficiale

dell’Unione europea

62^oanno

Legislazione

22 novembre 2019 Edizione

in lingua italiana

Gli atti i cui titoli sono stampati in caratteri chiari appartengono alla gestione corrente. Essi sono adottati nel quadro della politica agricola e hanno generalmente una durata di validità limitata.

I titoli degli altri atti sono stampati in grassetto e preceduti da un asterisco.

(¹) Testo rilevante ai fini del SEE.

(2)

(3)

II

(Atti non legislativi)

ACCORDI INTERNAZIONALI

DECISIONE (UE) 2019/1934 DEL CONSIGLIO del 18 marzo 2019

relativa alla firma, a nome dell’Unione europea e dei suoi Stati membri, del protocollo dell’accordo di cooperazione relativo a un sistema globale di navigazione satellitare civile (GNSS) tra la Comunità europea e i suoi Stati membri, da una parte, e la Repubblica di Corea, dall’altra, per tener conto dell’adesione della Repubblica di Bulgaria, della Repubblica di Croazia e della Romania all’Unione

europea

IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 172, in combinato disposto con l’articolo 218, paragrafo 5,

visti gli atti di adesione della Repubblica di Bulgaria e della Romania (¹) e della Repubblica di Croazia (²), in particolare l’articolo 6, paragrafo 2,

vista la proposta della Commissione europea, considerando quanto segue:

(1) L’accordo di cooperazione relativo a un sistema globale di navigazione satellitare civile (GNSS) tra la Comunità europea e i suoi Stati membri, da una parte, e la Repubblica di Corea, dall’altra (³) («accordo»), è stato firmato il 9 settembre 2006 (⁴) ed è entrato in vigore il 1^oluglio 2016 (⁵).

(2) La Bulgaria e la Romania sono diventate Stati membri dell’Unione il 1^ogennaio 2007 e la Croazia il 1^oluglio 2013.

(3) A norma dell’articolo 6, paragrafo 2, degli atti di adesione della Bulgaria e della Romania e della Croazia, l’adesione all’accordo deve essere approvata tramite un protocollo dell’accordo stesso («protocollo»). A norma dell’articolo 6, paragrafo 2, di tali atti di adesione, a detta adesione deve essere applicata una procedura semplificata che prevede la conclusione di un protocollo da parte del Consiglio, che delibera all’unanimità a nome degli Stati membri, e del paese terzo interessato.

(4) Il 23 ottobre 2006 e il 14 settembre 2012 il Consiglio ha autorizzato la Commissione ad avviare negoziati con il paese terzo interessato ai fini della conclusione dei protocolli degli accordi internazionali conclusi dall’Unione e dai suoi Stati membri.

(5) I negoziati con la Repubblica di Corea si sono conclusi positivamente con lo scambio di note verbali.

(6) È opportuno che il protocollo sia firmato,

(¹) Atto relativo alle condizioni di adesione della Repubblica di Bulgaria e della Romania e agli adattamenti dei trattati sui quali si fonda l’Unione europea (GU L 157 del 21.6.2005, pag. 203).

(²) Atto relativo alle condizioni di adesione della Repubblica di Croazia e agli adattamenti del trattato sull’Unione europea, del trattato sul funzionamento dell’Unione europea e del trattato che istituisce la Comunità europea dell’energia atomica (GU L 112 del 24.4.2012, pag. 21).

(³) GU L 288 del 19.10.2006, pag. 31.

(⁴) Decisione 2006/700/CE del Consiglio, del 1^osettembre 2006, concernente la firma, a nome della Comunità, dell’accordo di cooperazione relativo a un sistema globale di navigazione satellitare civile (GNSS) tra la Comunità europea e i suoi Stati membri, da una parte, e la Repubblica di Corea, dall’altra (GU L 288 del 19.10.2006, pag. 30).

(⁵) Decisione (UE) 2016/944 del Consiglio, del 6 giugno 2016, concernente la conclusione dell’accordo di cooperazione relativo a un sistema globale di navigazione satellitare civile (GNSS) tra la Comunità europea e i suoi Stati membri, da una parte, e la Repubblica di Corea, dall’altra (GU L 157 del 15.6.2016, pag. 19).

(4)

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

La firma a nome dell’Unione e dei suoi Stati membri del protocollo dell’accordo di cooperazione relativo a un sistema globale di navigazione satellitare civile (GNSS) tra la Comunità europea e i suoi Stati membri, da una parte, e la Repubblica di Corea, dall’altra, per tener conto dell’adesione della Repubblica di Bulgaria, della Repubblica di Croazia e della Romania all’Unione europea è autorizzata, con riserva della conclusione di detto protocollo (⁶).

Articolo 2

Il presidente del Consiglio è autorizzato a designare la persona o le persone abilitate a firmare il protocollo a nome dell’Unione e dei suoi Stati membri.

Articolo 3 La presente decisione entra in vigore il giorno dell’adozione.

Fatto a Bruxelles, il 18 marzo 2019

Per il Consiglio Il presidente

P. DAEA

(⁶) Il testo del protocollo sarà pubblicato unitamente alla decisione relativa alla sua conclusione.

(5)

REGOLAMENTI

REGOLAMENTO DELEGATO (UE) 2019/1935 DELLA COMMISSIONE del 13 maggio 2019

recante modifica della direttiva (UE) 2016/97 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che adeguano gli importi di base in euro per l’assicurazione per la responsabilità professionale e per la capacità finanziaria degli intermediari

assicurativi e riassicurativi (Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

vista la direttiva (UE) 2016/97 del Parlamento europeo e del Consiglio, del 20 gennaio 2016, sulla distribuzione assicurativa (¹), in particolare l’articolo 10, paragrafo 7,

considerando quanto segue:

(1) L’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) è tenuta a rivedere periodicamente gli importi di base per l’assicurazione per la responsabilità professionale e per la capacità finanziaria degli intermediari assicurativi e riassicurativi per tenere conto delle variazioni dell’indice europeo dei prezzi al consumo, quale pubblicato da Eurostat. Nel periodo compreso tra il 1^ogennaio 2013 e il 31 dicembre 2017, l’indice europeo dei prezzi al consumo calcolato per l’Unione da Eurostat è aumentato del 4,03 %. Di conseguenza, gli importi di base summenzionati dovrebbero essere adeguati mediante un incremento pari a questa percentuale.

(2) La direttiva (UE) 2016/97 dovrebbe pertanto essere opportunamente modificata.

(3) Per consentire agli Stati membri di adeguare gli importi di base pertinenti nelle loro disposizioni nazionali e per concedere agli intermediari assicurativi e riassicurativi tempo sufficiente per adottare le necessarie misure di attuazione, l’applicazione del presente regolamento dovrebbe essere differita.

(4) Il presente regolamento si basa sui progetti di norme tecniche di regolamentazione che l’EIOPA ha presentato alla Commissione.

(5) L’EIOPA ha svolto consultazioni pubbliche aperte sui progetti di norme tecniche di regolamentazione su cui si basa il presente regolamento, ne ha analizzato i potenziali costi e benefici e ha richiesto il parere del gruppo delle parti interessate nel settore dell’assicurazione e della riassicurazione, istituito dall’articolo 37 del regolamento (UE) n. 1094/2010 del Parlamento europeo e del Consiglio (²),

HA ADOTTATO IL PRESENTE REGOLAMENTO:

Articolo 1

Modifiche della direttiva (UE) 2016/97 L’articolo 10 della direttiva (UE) 2016/97 è così modificato:

1) il paragrafo 4 è sostituito dal seguente:

«4. Gli intermediari assicurativi e riassicurativi devono essere in possesso di un’assicurazione per la responsabilità professionale valida in tutto il territorio dell’Unione o di analoga garanzia per i danni derivanti da negligenza nell’esercizio della loro professione per un importo di almeno 1 300 380 EUR per ciascun sinistro e di 1 924 560 EUR l’anno globalmente per tutti i sinistri, salvo che tale assicurazione o analoga garanzia sia già fornita dall’impresa di assicurazione, dall’impresa di riassicurazione o da altra impresa per conto della quale essi agiscono o sono autorizzati ad agire, ovvero tale impresa abbia assunto la piena responsabilità per i loro atti.»;

(¹) GU L 26 del 2.2.2016, pag. 19.

(²) Regolamento (UE) n. 1094/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l’Autorità europea di vigilanza (Autorità europea delle assicurazioni e delle pensioni aziendali e professionali), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/79/CE della Commissione (GU L 331 del 15.12.2010, pag. 48).

(6)

2) al paragrafo 6, secondo comma, la lettera b) è sostituita dalla seguente:

«b) norme secondo cui l’intermediario deve possedere in modo permanente una capacità finanziaria pari al 4 % della somma dei premi annuali incassati e comunque non inferiore a 19 510 EUR;».

Articolo 2

Entrata in vigore e data di applicazione

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea. Esso si applica a decorrere dal [PO: inserire la data corrispondente a 6 mesi dopo la data di entrata in vigore].

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 13 maggio 2019

Per la Commissione Il presidente Jean-Claude JUNCKER

(7)

REGOLAMENTI INTERNI E DI PROCEDURA

DECISIONE DEL COMITATO DI RISOLUZIONE UNICO del 18 settembre 2019

su norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito di accertamenti amministrativi/procedimenti disciplinari/

indagini/altro effettuati dal Comitato di risoluzione unico (SRB/ES/2019/32)

IL COMITATO DI RISOLUZIONE UNICO,

visto il regolamento (UE) n. 806/2014 del Parlamento europeo e del Consiglio, del 15 luglio 2014, che fissa norme e una procedura uniformi per la risoluzione degli enti creditizi e di talune imprese di investimento nel quadro del meccanismo di risoluzione unico e del Fondo di risoluzione unico e che modifica il regolamento (UE) n. 1093/2010 (¹), in particolare, l’articolo 42, l’articolo 43, paragrafo 5, l’articolo 50, paragrafo 3, l’articolo 56, paragrafi 1-3, l’articolo 61, l’articolo 63 e l’articolo 64,

visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla protezione delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (²),

vista la consultazione del Garante europeo della protezione dei dati,

considerando quanto segue:

(1) Il Comitato di risoluzione unico («SRB») svolge i compiti di un’autorità di risoluzione nell’ambito del meccanismo di risoluzione unico («SRM») conformemente al regolamento (UE) n. 806/2014. La missione dell’SRB è garantire una risoluzione ordinata delle banche in difficoltà con il minimo impatto sull’economia reale, sull’ordinamento finanziario e sulle finanze pubbliche degli Stati membri partecipanti e non solo.

(2) L’SRB può condurre indagini interne e/o accertamenti amministrativi d’ufficio o in seguito a informazioni riservate fornite dal personale dell’SRB nel quadro della procedura di denuncia di irregolarità. L’SRB può condurre procedimenti disciplinari conformemente all’allegato IX dello statuto dei funzionari dell’Unione europea e del regime applicabile agli altri agenti dell’Unione europea.

(3) Nel contesto di indagini interne e/o accertamenti amministrativi e/o procedimenti disciplinari, l’SRB può notificare i casi all’Ufficio di indagine e disciplina della Commissione (IDOC) e all’Ufficio europeo per la lotta antifrode (OLAF) conformemente alla decisione del consiglio di amministrazione presa nella sessione esecutiva del 6 novembre 2015, concernente i termini e le condizioni per le indagini interne in relazione alla prevenzione di frodi, corruzione e qualsiasi attività illegale deleteria per l’interesse delle Comunità (SRB/ES/2015/01).

(¹) GU L 225 del 30.7.2014, pag. 1.

(²) GU L 295 del 21.11.2018, pag. 39.

(8)

(4) L’SRB, qui rappresentato dal responsabile dell’etica e della conformità dell’SRB, rispettivamente dal responsabile della protezione dei dati dell’SRB, tratta diverse categorie di dati personali, in particolare dati identificativi, dati di contatto, dati professionali e agisce in qualità di titolare del trattamento dei dati. I dati personali sono conservati in un ambiente elettronico con copertura che impedisce l’accesso illecito o il trasferimento dei dati a persone che non hanno necessità di venirne a conoscenza. I dati personali trattati vengono conservati in conformità con le norme dell’SRB sulla conservazione dei documenti. Al termine del periodo di conservazione, le informazioni relative al caso, inclusi i dati personali, vengono trasferite negli archivi storici o cancellate in conformità al principio di minimizzazione e di accuratezza dei dati;

(5) Le norme interne dovrebbero applicarsi a tutte le operazioni di trattamento effettuate dall’SRB nella prestazione delle sue attività di prevenzione, indagine, accertamento e perseguimento di violazioni, tra l’altro, del codice etico dell’SRB e dello statuto dei funzionari.

(6) Le norme interne dovrebbero applicarsi alle operazioni di trattamento effettuate sia durante le indagini interne che esterne, nonché durante il monitoraggio del seguito dato all’esito di tali indagini. Le norme interne dovrebbero applicarsi alle operazioni di trattamento che fanno parte delle attività collegate alle funzioni del responsabile dell’etica e della conformità dell’SRB e, ove applicabile, al responsabile della protezione dei dati dell’SRB.

Dovrebbero essere comprese altresì l’assistenza e la cooperazione fornite dal responsabile dell’etica e della conformità dell’SRB, rispettivamente dal responsabile della protezione dei dati dell’SRB su richiesta, da e verso le autorità nazionali e le organizzazioni internazionali al di fuori delle proprie indagini amministrative.

(7) L’SRB deve fornire giustificazioni che spieghino il motivo per cui tali limitazioni siano strettamente necessarie e proporzionate in una società democratica e rispettino l’essenza dei diritti fondamentali e delle libertà.

(8) In questo quadro l’SRB è tenuto a rispettare, nella misura più ampia possibile, i diritti fondamentali degli interessati durante i citati procedimenti, in particolare quelli che riguardano il diritto di accesso e rettifica, il diritto alla cancellazione, alla portabilità dei dati ecc. sancito nel regolamento (UE) 2018/1725.

(9) Tuttavia, l’SRB può essere costretto a differire le informazioni all’interessato e altri suoi diritti per proteggere, in particolare, le proprie indagini, le indagini e i procedimenti di altre autorità pubbliche, tra cui l’IDOC e l’OLAF, e i diritti di altre persone coinvolte nelle sue indagini o in altre procedure, nonché per proteggere i suoi procedimenti disciplinari.

(10) L’SRB può quindi differire le informazioni allo scopo di proteggere le indagini e/o i procedimenti disciplinari.

(11) L’SRB dovrebbe revocare la limitazione non appena e nella misura in cui non si applicano più le condizioni che giustificano la limitazione.

(12) L’SRB dovrebbe monitorare le condizioni restrittive su base regolare, ogni sei mesi e rivedere ove necessario.

(13) L’SRB dovrebbe consultare l’RPD durante le revisioni.

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Oggetto e campo d’applicazione

1. La presente decisione stabilisce i regolamenti interni relativi alle condizioni alle quali l’SRB, nel quadro di indagini interne, accertamenti amministrativi e procedimenti disciplinari effettuati dal responsabile dell’etica e della conformità dell’SRB o di indagini effettuate dal responsabile della protezione dei dati dell’SRB ai sensi dell’articolo 45, paragrafo 2 del regolamento (UE) 2018/1725, può limitare l’applicazione dei diritti sanciti dagli articoli 14-21 e 35, nonché dall’articolo 4, a norma dell’articolo 25 del regolamento (UE) 2018/1725.

2. La presente decisione si applica all’operazione di trattamento di dati personali da parte dell’SRB al fine di condurre indagini interne, accertamenti amministrativi e procedimenti disciplinari. Per le operazioni di trattamento di dati personali da parte dell’SRB al fine di avviare, effettuare e chiudere il procedimento informale nel quadro della politica dell’SRB in materia di protezione della dignità della persona e prevenzione di molestie psicologiche e sessuali, si applica una decisione diversa relativa alla limitazione dei diritti (per riferimento: SRB/ES/2019/33)

(9)

3. Le categorie di dati interessate sono dati concreti [dettagli amministrativi, telefono, indirizzo privato, comunicazioni elettroniche e dati sul traffico (uso di applicazioni TIC, dati Internet)] e/o dati non controllati (perizie, apertura di indagini, relazioni su indagini preliminari) ecc.

4. Fatte salve le condizioni stabilite nella presente decisione, le limitazioni possono applicarsi ai seguenti diritti: diritti di accesso, rettifica, cancellazione e portabilità, diritti di informazione, riservatezza delle comunicazioni e principi del trattamento dei dati, a condizione che si riferiscano a un diritto.

Articolo 2

Specifiche del titolare del trattamento e garanzie

1. Le misure di salvaguardia in atto per evitare violazioni dei dati, perdite o divulgazione non autorizzata sono le seguenti: limitazione dei diritti di accesso alle cartelle elettroniche e alla cassetta postale funzionale per la presentazione di reclami, armadietti protetti con chiavi e formazione specifica delle persone che gestiscono le informazioni sulla riservatezza.

2. Il responsabile di queste operazioni di trattamento è l’SRB, qui rappresentato dal responsabile dell’etica e della conformità dell’SRB, rispettivamente dal responsabile della protezione dei dati dell’SRB.

3. I dati personali raccolti vengono archiviati e conservati conformemente alle norme dell’SRB sulla conservazione dei documenti. Il periodo di conservazione rispetta il principio di conservazione non più del necessario per l’adempimento della finalità dell’operazione di perfezionamento e, infine, per consentire controversie giudiziarie o amministrative.

Articolo 3

Limitazioni

1. In conformità all’articolo 25, paragrafo 1, del regolamento 2018/1725, qualsiasi limitazione si applica solo per salvaguardare:

— la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la relativa prevenzione;

— la sicurezza interna delle istituzioni e degli organi dell’Unione, inclusa quella delle loro reti di comunicazione elettronica;

— la salvaguardia dei procedimenti giudiziari;

— le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;

— la tutela dell’interessato o dei diritti e delle libertà altrui.

2. Qualsiasi limitazione deve essere necessaria e proporzionata in una società democratica e deve rispettare l’essenza dei diritti fondamentali e delle libertà.

3. Un test di necessità e proporzionalità deve essere effettuato in base ai presenti regolamenti interni. Deve essere documentato mediante una nota di valutazione interna da parte del responsabile dell’operazione di perfezionamento specifica a fini di rendicontabilità caso per caso.

4. Le limitazioni devono essere debitamente monitorate e una revisione periodica deve essere effettuata ogni sei mesi.

5. Le limitazioni sono revocate non appena le condizioni che le giustificano cessino di sussistere.

6. Il rischio per i diritti e le libertà dell’interessato è la limitazione temporanea dell’esercizio effettivo dei diritti dell’interessato, tra l’altro in materia di informazione, cancellazione o difesa, come garantito dal regolamento (UE) 2018/1725. Tali rischi devono essere presi in considerazione nell’ambito di applicazione del test di necessità e proporzionalità di cui al paragrafo 3 del presente articolo.

(10)

Articolo 4

Coinvolgimento da parte del responsabile della protezione dei dati

1. L’SRB, durante qualsiasi procedura di limitazione e senza indebito ritardo, informa il responsabile della protezione dei dati dell’SRB («l’RPD») ogni volta che limita l’applicazione dei diritti degli interessati conformemente alla presente decisione.

Fornisce accesso all’atto e alla valutazione della necessità e della proporzionalità della limitazione.

2. L’RPD può chiedere al titolare del trattamento di riesaminare l’applicazione della limitazione. L’SRB informa per iscritto il proprio RPD circa l’esito del riesame richiesto e quando la limitazione è stata revocata.

Articolo 5

Comunicazione di informazioni agli interessati

1. L’SRB include nelle comunicazioni sulla protezione dei dati pubblicate sul proprio sito intranet che informano gli interessati in merito ai loro diritti nel quadro di una determinata procedura, informazioni relative alla potenziale limitazione di tali diritti. Tali informazioni riguardano i diritti che possono essere limitati, le ragioni e la durata potenziale della limitazione.

2. Inoltre, l’SRB informa gli interessati individualmente dei loro diritti in merito alle limitazioni presenti o future senza indebito ritardo e in forma scritta, fatto salvo il paragrafo seguente.

3. Gli interessati sono informati sui principali motivi su cui si basa l’applicazione di una limitazione e sul loro diritto di presentare un reclamo dinanzi al Garante europeo della protezione dei dati.

Articolo 6

Diritto di accesso dell’interessato

1. Qualora, a norma dell’articolo 17 del regolamento (UE) 2018/1725, gli interessati chiedano l’accesso ai propri dati personali trattati nell’ambito di uno o più casi specifici o di una particolare operazione di trattamento, l’SRB limita la propria valutazione della richiesta esclusivamente a tali dati personali.

2. Allorché limiti, integralmente o in parte, il diritto di accesso di cui all’articolo 17 del regolamento (UE) 2018/1725, l’SRB procede nel modo seguente:

a) informa l’interessato, nella propria risposta alla richiesta, in merito alla limitazione applicata e ai principali motivi della stessa, come pure alla possibilità di presentare reclamo al Garante europeo della protezione dei dati o di proporre un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea;

b) registra i motivi della limitazione, compresa una valutazione della necessità e della proporzionalità della stessa; a tal fine, l’atto deve indicare in quale modo fornire l’accesso comprometterebbe lo scopo delle attività di indagine dell’SRB o delle limitazioni applicate ai sensi dell’articolo 2, paragrafo 3, o lederebbe i diritti e le libertà di altri interessati.

La comunicazione di informazioni di cui alla lettera a) può essere rinviata, omessa o negata in conformità all’articolo 25, paragrafo 8, del regolamento (UE) 2018/1725.

3. L’atto di cui al paragrafo 2, lettera b), e, se del caso, i documenti contenenti elementi fattuali e giuridici sottostanti devono essere registrati. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati. Si applica l’articolo 25, paragrafo 7, del regolamento (UE) 2018/1725.

Articolo 7

Diritto di rettifica, cancellazione e limitazione del trattamento

Qualora limiti, integralmente o in parte, l’applicazione del diritto di rettifica, cancellazione e limitazione di trattamento di cui all’articolo 18, all’articolo 19, paragrafo 1, e all’articolo 20, paragrafo 1, del regolamento (UE) 2018/1725, l’SRB adotta le misure di cui all’articolo 6, paragrafo 2, della presente decisione e conserva l’atto in un registro in conformità all’articolo 6, paragrafo 3, della stessa.

(11)

Articolo 8

Comunicazione di una violazione dei dati personali all’interessato

Laddove limiti la comunicazione delle violazioni dei dati personali agli interessati o la riservatezza delle comunicazioni elettroniche di cui all’articolo 35 del regolamento (UE) 2018/1725, l’SRB annota e registra i motivi della limitazione conformemente all’articolo 3, paragrafo 3, della presente decisione. Si applica l’articolo 3, paragrafo 4, della presente decisione.

Articolo 9 Entrata in vigore

La presente decisione entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Fatto a Bruxelles, il 18 settembre 2019

Per il Comitato di risoluzione unico Elke KÖNIG

Il presidente

(12)

sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito del procedimento informale della politica dell’SRB in materia di protezione della dignità della persona e prevenzione di molestie psicologiche e sessuali

(SRB/ES/2019/33)

visto il regolamento (UE) n. 806/2014 del Parlamento europeo e del Consiglio, del 15 luglio 2014, che fissa norme e una procedura uniformi per la risoluzione degli enti creditizi e di talune imprese di investimento nel quadro del meccanismo di risoluzione unico e del Fondo di risoluzione unico e che modifica il regolamento (UE) n. 1093/2010 (¹) in particolare, l’articolo 42, l’articolo 43, paragrafo 5, l’articolo 50, paragrafo 3, l’articolo 56, paragrafi 1-3, l’articolo 61, l’articolo 63 e l’articolo 64,

visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla protezione delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (²),

vista la consultazione del Garante europeo della protezione dei dati,

CONSIDERANDO QUANTO SEGUE:

(2) L’articolo 12 bis dello statuto dei funzionari dell’Unione europea e regime applicabile agli altri agenti dell’Unione europea condanna le molestie psicologiche e sessuali. La politica dell’SRB sulla protezione della dignità della persona e la prevenzione delle molestie sessuali e psicologiche definisce ulteriormente le disposizioni dell’articolo sopra menzionato promuovendo la cultura del rispetto e della protezione della dignità di tutto il personale dell’SRB.

Introduce inoltre procedure semplici ed efficaci per proteggere la dignità di ogni persona che lavora per l’Agenzia.

Nel quadro della politica, un membro del personale o qualsiasi altra persona che lavora per l’agenzia ai sensi della legislazione nazionale, può avviare un procedimento informale se si sente vittima di molestie sessuali o psicologiche cercando il supporto di un consulente di fiducia.

(3) L’autorità dell’SRB responsabile della gestione delle risorse umane notifica all’autorità dell’SRB responsabile per il controllo delle conformità tutti i casi ricorrenti che coinvolgono la stessa persona ai sensi dell’articolo 7.5 della politica dell’SRB in materia di protezione della dignità della persona e prevenzione di molestie psicologiche e sessuali. L’autorità responsabile per il controllo delle conformità informerà l’autorità che ha il potere di nomina, che, ove del caso, avvierà la procedura contemplata nell’allegato IX dello statuto dei funzionari.

(4) L’SRB, qui rappresentato dal suo coordinatore anti-molestie, tratta diverse categorie di dati personali, in particolare dati identificativi, dati di contatto, dati professionali. I dati personali sono conservati in un ambiente elettronico con copertura che impedisce l’accesso illecito o il trasferimento dei dati a persone che non hanno necessità di venirne a conoscenza. I dati personali trattati vengono conservati in conformità con le norme dell’SRB sulla conservazione dei documenti. Al termine del periodo di conservazione, le informazioni relative al caso, inclusi i dati personali, vengono trasferite negli archivi storici o cancellate in conformità al principio di minimizzazione e di accuratezza dei dati.

(¹) GU L 225 del 30.7.2014, pag. 1.

(²) GU L 295 del 21.11.2018, pag. 39.

(13)

(5) Le norme interne dovrebbero applicarsi a tutte le operazioni di trattamento effettuate dall’SRB nella prestazione delle sue attività di prevenzione di molestie psicologiche e sessuali, accertamento e perseguimento di violazioni, tra l’altro, del codice etico dell’SRB e dello statuto dei funzionari.

(6) Le norme interne dovrebbero applicarsi alle operazioni di trattamento effettuate sia durante il procedimento informale, sia durante il monitoraggio del seguito dato all’esito di tali procedimenti. Le norme interne dovrebbero applicarsi alle operazioni di trattamento che fanno parte delle attività collegate alle funzioni del responsabile dell’etica e della conformità dell’SRB. Dovrebbero essere comprese altresì l’assistenza e la cooperazione fornite dal responsabile dell’etica e della conformità dell’SRB alle autorità nazionali e alle organizzazioni internazionali al di fuori delle proprie indagini amministrative.

(8) In questo quadro l’SRB è tenuto a rispettare, nella misura più ampia possibile, i diritti fondamentali degli interessati durante le citate procedure, in particolare quelle che riguardano il diritto di accesso e rettifica, il diritto alla cancellazione, alla portabilità dei dati ecc. sancito nel regolamento (UE) 2018/1725.

(9) Tuttavia, l’SRB può essere obbligato a differire le informazioni all’interessato e altri suoi diritti per proteggere, in particolare i procedimenti informali in atto, e i diritti di altre persone coinvolte in procedimenti informali in atto o chiusi.

(10) L’SRB può quindi differire le informazioni ai fini di proteggere la presunta vittima e/o il procedimento informale e/o il centro di deposito dei trattamenti di dati nel contesto del procedimento informale.

(12) L’SRB dovrebbe monitorare le condizioni restrittive su base regolare, ogni sei mesi e rivedere ove necessario.

HA ADOTTATO LA PRESENTE DECISIONE

Articolo 1

Oggetto e campo d’applicazione

1. La presente decisione stabilisce norme interne relative alle condizioni alle quali l’SRB nell’ambito del procedimento informale della politica dell’SRB in materia di protezione della dignità della persona e prevenzione di molestie psicologiche e sessuali. L’SRB può limitare l’applicazione dei diritti sanciti dagli articoli 14-21, 35, nonché dall’articolo 4, a norma dell’articolo 25 del regolamento (UE) 2018/1725.

2. La presente decisione si applica al trattamento di dati personali da parte dell’SRB ai fini di avviare, effettuare e chiudere il procedimento informale nel quadro della politica dell’SRB in materia di protezione della dignità della persona e protezione di molestie psicologiche e sessuali. Per le operazioni di trattamento di dati personali da parte dell’SRB ai fini dello svolgimento di indagini interne, indagini amministrative e procedimenti disciplinari, si applica una diversa decisione relativa alla limitazione dei diritti (per riferimento: SRB/ES/2019/32).

3. Le categorie di dati interessati sono dati concreti (dettagli amministrativi, telefono, indirizzo privato, comunicazioni elettroniche e dati sul traffico e/o dati non controllati (perizie, apertura di indagini, relazioni su indagini preliminari) ecc.

(14)

Articolo 2

2. Il responsabile di questa operazione di trattamento è l’SRB, qui rappresentato dal coordinatore anti-molestie dell’SRB.

3. I dati personali raccolti vengono archiviati e conservati in conformità con le norme dell’SRB sulla conservazione dei documenti. Il periodo di conservazione rispetta il principio di conservazione non più del necessario per l’adempimento della finalità dell’operazione di perfezionamento e, infine, per consentire controversie giudiziarie o amministrative.

Articolo 3 Limitazioni

1. In conformità all’articolo 25, paragrafo 1, del regolamento (UE) 2018/1725, qualsiasi limitazione si applica solo per salvaguardare:

— la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;

— la tutela dell’interessato o dei diritti e delle libertà altrui;

— la prevenzione, l’indagine, l’accertamento e la risoluzione delle violazioni deontologiche.

3. Un test di necessità e proporzionalità deve essere effettuato in base alle presenti norme interne. Tale procedura è documentata mediante una nota di valutazione interna ed è effettuata caso per caso.

6. Il rischio per i diritti e le libertà dell’interessato è la limitazione provvisoria dell’esercizio effettivo dei diritti dell’interessato, tra l’altro in materia di informazione, cancellazione o difesa, come garantito dal regolamento (UE) 2018/1725.Tali rischi devono essere presi in considerazione nell’ambito di applicazione del test di necessità e proporzionalità di cui al paragrafo 3 del presente articolo.

Articolo 4

1. L’SRB, durante qualsiasi procedura di limitazione e senza indebito ritardo, informa il responsabile della protezione dei dati dell’SRB («l’RPD») ogni volta che limita l’applicazione dei diritti degli interessati conformemente alla presente decisione.

2. L’RPD può chiedere al titolare del trattamento di riesaminare l’applicazione della limitazione. L’SRB informa per iscritto il proprio RPD circa l’esito del riesame richiesto e quando la limitazione è stata revocata.

(15)

Articolo 5

1. L’SRB include, nelle comunicazioni sulla protezione dei dati pubblicate sul proprio sito intranet che informano gli interessati in merito ai loro diritti nel quadro di una determinata procedura, informazioni relative alla potenziale limitazione di tali diritti. Tali informazioni riguardano i diritti che possono essere limitati, le ragioni e la durata potenziale della limitazione.

Articolo 6

Diritto di accesso della persona interessata

1. Qualora, a norma dell’articolo 17 del regolamento (UE) 2018/1725, gli interessati chiedano l’accesso ai propri dati personali trattati nell’ambito di uno o più casi specifici o di una particolare operazione di trattamento, l’SRB limita la propria valutazione della richiesta esclusivamente a tali dati personali.

2. Allorché limita, integralmente o in parte, il diritto di accesso di cui all’articolo 17 del regolamento (UE) 2018/1725, l’SRB procede nel modo seguente:

b) registra i motivi della limitazione, compresa una valutazione della necessità e della proporzionalità della stessa; a tal fine, l’atto deve indicare in quale modo fornire l’accesso comprometterebbe la finalità delle attività di indagine dell’SRB o delle limitazioni applicate ai sensi dell’articolo 2, paragrafo 3, o lederebbe i diritti e le libertà di altri interessati.

3. L’atto di cui al paragrafo 2, lettera b), e, se del caso, i documenti contenenti elementi fattuali e giuridici sottostanti devono essere registrati. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati. Si applica l’articolo 25, paragrafo 7, del regolamento (UE) n. 2018/1725.

Articolo 7

Qualora limiti, integralmente o in parte, l’applicazione del diritto di rettifica, cancellazione e limitazione di trattamento di cui all’articolo 18, all’articolo 19, paragrafo 1, e all’articolo 20, paragrafo 1, del regolamento (UE) 2018/1725, l’SRB adotta le misure di cui all’articolo 6, paragrafo 2, della presente decisione e conserva l’atto in un registro in conformità dell’articolo 6, paragrafo 3, della stessa.

Articolo 8 Entrata in vigore

Il presidente

(16)

sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle indagini sugli incidenti di sicurezza interna

effettuate dal Comitato di risoluzione unico (SRB/ES/2019/34)

visto il regolamento (UE) n. 806/2014 del Parlamento europeo e del Consiglio, del 15 luglio 2014, che fissa norme e una procedura uniformi per la risoluzione degli enti creditizi e di talune imprese di investimento nel quadro del meccanismo di risoluzione unico e del Fondo di risoluzione unico e che modifica il regolamento (UE) n. 1093/2010 (¹), in particolare, l’articolo 42, l’articolo 43, paragrafo 5, l’articolo 50, paragrafo 3, l’articolo 56, paragrafi 1-3, l’articolo 61, l’articolo 63 e l’articolo 64,

visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla protezione delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n.

1247/2002/CE (²),

vista la consultazione del Garante europeo della protezione dei dati, CONSIDERANDO QUANTO SEGUE:

(2) L’SRB può elaborare i dati personali per i vari sistemi installati presso la sede dell’SRB (videosorveglianza, controllo d’accesso, registri dei visitatori). Queste informazioni sono rigorosamente raccolte per motivi di sicurezza (ad esempio per tenere traccia di quante persone si trovano nell’edificio a fini di evacuazione, in linea con le decisioni di sicurezza della Commissione europea), per prevenire, rilevare e documentare qualsiasi incidente di sicurezza che si verifichi all’interno degli edifici o delle aree circostanti.

(3) L’SRB, qui rappresentato dal capo unità Servizi amministrativi e TIC, tratta diverse categorie di dati personali, in particolare dati identificativi, dati di contatto, dati professionali. I dati personali sono conservati in un ambiente elettronico con copertura che impedisce l’accesso illecito o il trasferimento dei dati a persone che non hanno necessità di venirne a conoscenza. I dati personali trattati vengono conservati conformemente alle norme della Commissione europea sulla conservazione dei dati. Al termine del periodo di conservazione, le informazioni raccolte, compresi i dati personali, sono cancellate in conformità al periodo massimo concordato, ossia: registri dei visitatori: 6 mesi; sistema di videosorveglianza: 30 giorni; sistema di controllo degli accessi: 2 mesi.

(4) Le norme interne dovrebbero applicarsi a tutte le operazioni di trattamento effettuate dall’SRB nello svolgimento delle sue attività in materia di sicurezza, per la prevenzione, l’accertamento o l’indagine di incidenti di sicurezza, la protezione del personale dell’agenzia, della proprietà e delle informazioni e dei visitatori dell’SRB.

(5) Le norme interne dovrebbero applicarsi alle operazioni di trattamento effettuate durante le indagini sugli incidenti di sicurezza interna, nonché durante il monitoraggio del seguito dato all’esito di tali indagini. Le norme interne dovrebbero applicarsi alle operazioni di trattamento che fanno parte delle attività legate al settore Sicurezza/

Strutture dell’SRB. Dovrebbero essere comprese altresì l’assistenza e la cooperazione fornite dal settore Sicurezza/

Strutture dell’SRB alle autorità nazionali, alle forze dell’ordine belghe, all’OLAF, ai servizi di emergenza e alle organizzazioni internazionali al di fuori delle proprie indagini amministrative.

(¹) GU L 225 del 30.7.2014, pag. 1.

(²) GU L 295 del 21.11.2018, pag. 39.

(17)

(7) In questo quadro, l’SRB è tenuto a rispettare, nella misura più ampia possibile, i diritti fondamentali degli interessati durante le citate procedure, in particolare quelle che riguardano il diritto di accesso e rettifica, il diritto alla cancellazione, alla portabilità dei dati ecc., sancito nel regolamento (UE) 2018/1725.

(8) Tuttavia, l’SRB può essere obbligato a differire le informazioni all’interessato e altri suoi diritti per proteggere, in particolare le proprie indagini sugli incidenti di sicurezza che coinvolgono i dati dei sistemi di videosorveglianza o di controllo d’accesso.

(9) L’SRB può quindi differire le informazioni allo scopo di proteggere le indagini sugli incidenti di sicurezza.

(11) L’SRB dovrebbe monitorare le condizioni restrittive su base regolare, ogni sei mesi e rivederle ove necessario.

HA ADOTTATO LA PRESENTE DECISIONE

Articolo 1

Oggetto e ambito di applicazione

1. La presente decisione stabilisce le norme interne relative alle condizioni alle quali l’SRB, nell’ambito delle indagini sugli incidenti di sicurezza interna può limitare l’applicazione dei diritti sanciti dagli articoli 14-21, 35, nonché dall’articolo 4, a norma dell’articolo 25 del regolamento (UE) 2018/1725.

2. La presente decisione si applica a una o più operazioni di trattamento dei dati personali da parte dell’SRB ai fini di condurre indagini sugli incidenti di sicurezza interna, nonché durante il monitoraggio del seguito dato all’esito di tali indagini.

3. Le categorie di dati interessate sono dati concreti [dettagli amministrativi, telefono, indirizzo privato, comunicazioni elettroniche e dati sul traffico e/o dati non controllati (perizie, apertura di indagini, relazioni su indagini preliminari)]. ecc.

Articolo 2

2. Il responsabile di queste operazioni di trattamento è l’SRB, qui rappresentato dal capo unità Servizi amministrativi e TIC dell’SRB.

3. I dati personali raccolti vengono archiviati e conservati conformemente alle norme della Commissione europea sulla conservazione dei dati e alla legge belga del 21/03/2007 (che disciplina l’installazione e l’uso delle telecamere di sorveglianza). Il periodo di conservazione rispetta il principio in base a cui la conservazione non deve durare più del necessario per l’adempimento della finalità di trattamento dei dati e, infine, per consentire controversie giudiziarie o amministrative.

(18)

Articolo 3 Limitazioni

1. In conformità all’articolo 25, paragrafo 1, del regolamento (UE) 2018/1725, qualsiasi limitazione si applica solo per salvaguardare:

— la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;

— la sicurezza interna delle istituzioni e degli organi dell’Unione, inclusa quella delle loro reti di comunicazione elettronica;

— la salvaguardia dei procedimenti giudiziari;

— le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;

— la tutela dell’interessato o dei diritti e delle libertà altrui.

3. Un test di necessità e proporzionalità deve essere effettuato in base alle presenti norme interne. Tale procedura è documentata mediante una nota di valutazione interna ed è effettuata caso per caso.

6. Il rischio per i diritti e le libertà dell’interessato è la limitazione provvisoria dell’esercizio effettivo dei diritti dell’interessato, tra l’altro in materia di informazione, cancellazione o difesa, come garantito dal regolamento (UE) 2018/1725. Tali rischi devono essere presi in considerazione nell’ambito di applicazione del test di necessità e proporzionalità di cui al paragrafo 3 del presente articolo.

Articolo 4

1. L’SRB, durante la procedura di limitazione e senza indebito ritardo, informa il responsabile della protezione dei dati dell’SRB («l’RPD») ogni volta che limita l’applicazione dei diritti degli interessati conformemente alla presente decisione.

2. L’RPD può chiedere al titolare del trattamento di riesaminare l’applicazione della limitazione. L’SRB informa per iscritto il proprio RPD circa l’esito del riesame richiesto e quando la limitazione è revocata.

Articolo 5

1. L’SRB include, nelle comunicazioni sulla protezione dei dati pubblicati nella propria rete intranet e nel proprio sito web che informano gli interessati in merito ai loro diritti nel quadro di una determinata procedura, informazioni relative alla potenziale limitazione di tali diritti. Tali informazioni riguardano i diritti che possono essere limitati, le ragioni e la durata potenziale della limitazione.

(19)

Articolo 6

Diritto d’accesso dell’interessato

1. Qualora, a norma dell’articolo 17 del regolamento (UE) 2018/1725, gli interessati chiedano l’accesso ai propri dati personali trattati nell’ambito di uno o più casi specifici o di particolari trattamenti, l’SRB limita la propria valutazione della richiesta esclusivamente a tali dati personali.

2. Allorché limita, integralmente o in parte, il diritto di accesso di cui all’articolo 17 del regolamento (UE) 2018/1725, l’SRB procede nel modo seguente:

b) registra i motivi della limitazione, compresa una valutazione della necessità e della proporzionalità della stessa; a tal fine, l’atto deve indicare in quale modo fornire l’accesso comprometterebbe la finalità delle attività di indagine dell’SRB o delle limitazioni applicate a norma dell’articolo 2, paragrafo 3, oppure lederebbe i diritti e le libertà di altri interessati.

3. L’atto di cui al paragrafo 2, lettera b), e, se del caso, i documenti contenenti elementi fattuali e giuridici sottostanti devono essere registrati. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati. Si applica l’articolo 25, paragrafo 7, del regolamento (UE) n. 2018/1725.

Articolo 7

Qualora limiti, integralmente o in parte, l’applicazione del diritto di rettifica, cancellazione o limitazione di trattamento di cui all’articolo 18, all’articolo 19, paragrafo 1, e all’articolo 20, paragrafo 1, del regolamento (UE) 2018/1725, l’SRB adotta le misure di cui all’articolo 6, paragrafo 2, della presente decisione e conserva l’atto in un registro in conformità dell’articolo 6, paragrafo 3, della stessa.

Articolo 8

Comunicazione di una violazione dei dati personali all’interessato

Allorché limiti la comunicazione all’interessato di una violazione dei dati personali di cui all’articolo 35 del regolamento (UE) 2018/1725, l’SRB registra i motivi della limitazione e conserva la registrazione in un registro conformemente all’articolo 3, paragrafo 3, della presente decisione. Si applica l’articolo 3, paragrafo 4, della presente decisione.

Articolo 9 Entrata in vigore

Il presidente

(20)

(21)

(22)