Disposizioni del regolamento interno dell'Eurojust relative al trattamento e alla protezione dei dati personali

(Pubblicato sulla GU dell'Unione europea C68 del 19 marzo 2005)

TITOLO I
DEFINIZIONI

Articolo 1
Definizioni

Ai fini delle presenti disposizioni e di qualunque altro testo adottato in applicazione delle stesse, s'intende per:

a) "decisione Eurojust": la decisione del Consiglio, del 28 febbraio 2002, che istituisce l'Eurojust per rafforzare la lotta contro le forme gravi di criminalità, modificata dalla decisione del Consiglio del 18 giugno 2003;

b) "collegio": il collegio dell'Eurojust di cui all'articolo 10 della decisione Eurojust;

c) "membro nazionale": il membro nazionale distaccato presso l'Eurojust da ciascuno Stato membro, conformemente all'articolo 2, paragrafo 1 della decisione Eurojust;

d) "assistente": una persona che può assistere ciascun membro nazionale, conformemente all'articolo 2, paragrafo 2 della decisione Eurojust;

e) "personale dell'Eurojust": il direttore amministrativo di cui all'articolo 29 della decisione Eurojust e il personale di cui all'articolo 30 della medesima decisione;

f) "delegato alla protezione dei dati": la persona designata ai sensi dell'articolo 17 della decisione Eurojust;

g) "autorità di controllo comune": l'organismo indipendente istituito ai sensi dell'articolo 23 della decisione Eurojust;

h) "dati personali": qualsiasi informazione concernente una persona fisica identificata o identificabile (in prosieguo "interessato"); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero d'identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;

i) "trattamento di dati personali" (in prosieguo "trattamento"): qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione o la modifica, l'estrazione, la consultazione, l'impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, l'allineamento o l'interconnessione, nonché il blocco, la cancellazione o la distruzione;

j) "archivio di dati personali" (in prosieguo "archivio"): qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

k) "responsabile del trattamento:" la persona che, singolarmente o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da leggi o regolamenti nazionali o europei, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati da leggi nazionali o europee;

l) "incaricato del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

m) "terzi": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che non sia l'interessato, il responsabile del trattamento, l'incaricato del trattamento o le persone autorizzate all'elaborazione dei dati sotto l'autorità diretta di questi ultimi; e

n) "destinatario": la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si tratti o meno di terzi.

TITOLO II
CAMPO D'APPLICAZIONE E STRUTTURA

Articolo 2
Campo d'applicazione

1. Il presente regolamento interno si applica al trattamento di dati personali da parte dell'Eurojust, interamente o parzialmente automatizzato, nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi conformemente alla decisione Eurojust.

2. Le presenti disposizioni si applicano a tutte le informazioni raccolte e ulteriormente trattate dall'Eurojust, ossia alle informazioni da esso redatte, ricevute o detenute, riguardanti questioni inerenti a politiche, attività e decisioni di competenza dell'Eurojust.

3. Le presenti disposizioni non si applicano alle informazioni trasmesse ad un membro nazionale dell'Eurojust esclusivamente nel quadro dei suoi poteri giudiziari, quali definiti all'articolo 9, paragrafo 3 della decisione Eurojust.

Articolo 3
Struttura

1. Tutti i dati personali sono considerati connessi a casi specifici o non connessi a casi specifici. I dati personali sono considerati connessi a casi specifici se sono collegati alle funzioni operative dell'Eurojust definite agli articoli 5, 6 e 7 della decisione Eurojust.

2. I dati connessi a casi specifici sono trattati in conformità dei titoli III e IV. I dati non connessi a casi specifici sono trattati in conformità dei titoli III e V.

TITOLO III
PRINCIPI CHE SI APPLICANO IN GENERALE ALL'EUROJUST

Articolo 4
Diritto alla tutela della vita privata e alla protezione dei dati

L'Eurojust agisce nel pieno rispetto dei diritti umani e delle libertà fondamentali degli individui e, in particolare, del loro diritto alla vita privata con riguardo al trattamento dei loro dati personali, indipendentemente dalla nazionalità o dal luogo di residenza.

Articolo 5
Principi di legalità e correttezza, proporzionalità e necessità del trattamento

1. I dati personali devono essere elaborati in modo equo e conforme alla legge.

2. L'Eurojust sottopone a trattamento unicamente i dati personali che risultano necessari, adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono raccolti o successivamente trattati.

3. L'Eurojust definisce le proprie operazioni e i propri sistemi di trattamento con l'obiettivo di raccogliere e trattare ulteriormente solo i dati personali che risultano necessari ai sensi del paragrafo 2. In particolare ci si avvarrà, per quanto possibile, della possibilità di utilizzare pseudonimi e rendere anonimi i dati, tenendo conto della finalità del trattamento e della ragionevolezza dello sforzo richiesto.

Articolo 6
Qualità dei dati

1. L'Eurojust provvede affinché i dati personali siano esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati.

2. I dati personali devono essere conservati in una forma che consenta l'identificazione degli interessati per un periodo che non deve superare quello necessario per gli scopi per i quali i dati sono stati raccolti o per i quali vengono successivamente trattati, conformemente all'articolo 5, paragrafo 2.

Articolo 7
Sicurezza dei dati

1. Conformemente all'articolo 22 della decisione Eurojust e alle presenti disposizioni, l'Eurojust mette a punto le misure tecniche e le disposizioni organizzative necessarie alla protezione dei dati personali contro la distruzione accidentale o illecita, la perdita accidentale o la diffusione, l'alterazione e l'accesso non autorizzati o contro qualsiasi altra forma di trattamento non autorizzato. In particolare, si deve provvedere affinché soltanto le persone all'uopo autorizzate possano avere accesso a tali dati.

2. Tutte le misure adottate sono proporzionali ai rischi che il trattamento comporta e alla natura dei dati trattati.

3. L'Eurojust elabora una politica globale in materia di sicurezza conformemente all'articolo 22, paragrafo 2 della decisione Eurojust e alle presenti disposizioni. Tale politica tiene pienamente conto della sensibilità dei lavori svolti dall'unità di cooperazione giudiziaria e comprende disposizioni relative alla classificazione dei documenti, alla procedura di autorizzazione prevista per il personale dell'Eurojust e alle azioni da intraprendere in caso di violazioni della sicurezza. L'autorità di controllo comune è consultata in ordine alla politica dell'Eurojust in materia di sicurezza.

4. Tutti i responsabili dell'Eurojust sono adeguatamente informati in merito alla politica dell'Eurojust in materia di sicurezza e sono tenuti ad avvalersi delle misure tecniche e organizzative a disposizione in linea con i requisiti applicabili in materia di protezione dei dati e di sicurezza.

Articolo 8
Diritto all'informazione degli interessati

1. Fatte salve le disposizioni speciali di cui al titolo IV inerenti a dati connessi a casi specifici e di cui al titolo V inerenti a dati non connessi a casi specifici, gli interessati devono disporre delle informazioni riguardo le finalità del trattamento e l'identità del responsabile del trattamento, i destinatari o le categorie di destinatari, l'esistenza di diritti di accesso e di rettifica in merito ai dati che riguardano l'interessato, eventuali informazioni supplementari quali il fondamento giuridico del trattamento cui sono destinati i dati, i limiti di tempo per la conservazione dei dati, il diritto di rivolgersi in qualsiasi momento all'autorità di controllo comune nella misura in cui tali informazioni supplementari siano necessarie, considerate le circostanze specifiche del trattamento dei dati, per garantire un corretto trattamento dei dati dell'interessato.

2. Queste informazioni devono essere fornite al più tardi all'atto della raccolta dei dati presso l'interessato o, qualora i dati siano ottenuti da terzi, al momento della registrazione dei dati personali, ovvero, qualora ne sia prevista la comunicazione a terzi, entro la prima comunicazione dei dati stessi, oppure, nei casi di cui al capo II del titolo IV delle presenti disposizioni, nel momento in cui le finalità del trattamento, le indagini o le azioni penali a livello nazionale e i diritti e le libertà dei terzi non rischiano di essere compromessi.

Articolo 9
Diritti degli interessati in materia di accesso, rettifica, blocco e cancellazione

1. L'interessato ha diritto di accesso, rettifica, blocco e, nel caso, cancellazione. L'Eurojust definisce, se necessario in collaborazione con le rispettive autorità nazionali competenti, le procedure per agevolare l'esercizio di tali diritti da parte degli interessati.

2. Il delegato alla protezione dei dati garantisce che gli interessati siano informati dei propri diritti su loro richiesta.

Articolo 10
Riservatezza del trattamento

Conformemente all'articolo 25 della decisione Eurojust, tutte le persone che lavorano presso o con l'Eurojust sono rigorosamente tenute all'obbligo della riservatezza. L'Eurojust adotta tutte le misure necessarie a garantire il rispetto di tale obbligo e a provvedere affinché le violazioni siano immediatamente comunicate al delegato alla protezione dei dati e al capo del servizio sicurezza, che provvederanno a prendere i provvedimenti del caso.

Articolo 11
Incaricati interni del trattamento dei dati

Una persona che agisce in quanto incaricato del trattamento presso l'Eurojust, con accesso a dati personali, effettua il trattamento degli stessi solo su istruzione del responsabile del trattamento, salvo che la legislazione nazionale o comunitaria lo richieda.

Articolo 12
Domande, richieste di informazioni e denunce da parte del personale dell'Eurojust

1. Ai fini dell'articolo 17, paragrafi 2 e 4 della decisione Eurojust, il delegato alla protezione dei dati fornisce, su richiesta, informazioni al personale dell'Eurojust in merito alle attività di trattamento dei dati svolte presso tale istituzione. Il delegato alla protezione dei dati dà seguito alle domande, e alle richieste d'informazione o alle denunce relative a presunte violazioni delle disposizioni della decisione Eurojust, delle presenti disposizioni o di altre che disciplinano il trattamento dei dati personali da parte dell'Eurojust. Nessuno deve subire pregiudizio per aver portato all'attenzione del delegato alla protezione dei dati una presunta violazione delle disposizioni che disciplinano il trattamento dei dati personali.

2. Tutte le persone che lavorano presso l'Eurojust collaborano con il collegio, i membri nazionali, il delegato alla protezione dei dati e l'autorità di controllo comune nel quadro di domande, indagini, ispezioni o altre attività relative alla protezione dei dati.

TITOLO IV
DISPOSIZIONI PER LE OPERAZIONI DI TRATTAMENTO DEI DATI CONNESSE A CASI SPECIFICI

CAPO I
Condizioni di legittimità del trattamento dei dati personali

Articolo 13
Dati personali trattati nel contesto di attività connesse a casi specifici

1. Nel contesto di attività connesse a casi specifici, e nella misura in cui sia necessario per raggiungere i suoi obiettivi, l'Eurojust tratta dati personali avvalendosi di procedimenti automatizzati o di casellari manuali strutturati conformemente agli articoli 14, 15 e 16 della decisione Eurojust.

2. Il membro nazionale o i membri nazionali che trattano dati personali connessi a casi specifici determinano le finalità e i procedimenti del trattamento e sono pertanto considerati responsabili del trattamento o, nel caso, co-responsabili del trattamento dei dati.

Articolo 14
Legittimità ed equità del trattamento

È possibile raccogliere e trattare ulteriormente dati personali nel contesto di attività connesse a casi specifici, nella misura in cui è necessario per l'esecuzione delle funzioni dell'Eurojust per rafforzare la lotta contro le forme gravi di criminalità.

Articolo 15
Limitazione delle finalità

I dati personali trattati dall'Eurojust nel quadro di indagini e di azioni penali non sono trattati in alcun caso per altre finalità.

Articolo 16
Qualità dei dati

1. Quando l'Eurojust riceve informazioni da uno Stato membro o da una parte esterna nel quadro di un'indagine o di un'azione penale, non è responsabile della correttezza delle informazioni ma provvede, fin dal momento della ricezione, affinché si prendano i provvedimenti opportuni per mantenere aggiornate le informazioni.

2. Se l'Eurojust rileva imprecisioni nei dati in questione, ne informa i terzi che hanno trasmesso le informazioni e le rettifica.

Articolo 17
Categorie speciali di dati

1. L'Eurojust adotta misure tecniche adeguate per garantire che il delegato alla protezione dei dati sia automaticamente informato dei casi eccezionali in cui ci si avvale dell'articolo 15, paragrafo 4 della decisione Eurojust. Il sistema di gestione dei casi assicura che tali dati non siano compresi nell'indice di cui all'articolo 16, paragrafo 1 della decisione Eurojust.

2. Quando tali dati si riferiscono a testimoni o a vittime ai sensi dell'articolo 15, paragrafo 2 della decisione Eurojust, il sistema di gestione dei casi non registra tali informazioni a meno che non vi sia una decisione motivata del Collegio.

Articolo 18
Trattamento di categorie di dati personali ai sensi dell'articolo 15, paragrafo 3 della decisione Eurojust

1. L'Eurojust adotta misure tecniche adeguate per garantire che il delegato alla protezione dei dati sia automaticamente informato dei casi eccezionali in cui, per un periodo di tempo limitato, ci si avvale dell'articolo 15, paragrafo 3 della decisione Eurojust.

2. Quando tali dati riguardano testimoni o vittime ai sensi dell'articolo 15, paragrafo 2 della decisione Eurojust, il sistema di gestione dei casi non registra queste informazioni salvo in caso di decisione documentata presa congiuntamente da almeno due membri nazionali.

CAPO II
Diritti degli interessati

Articolo 19
Diritto degli interessati all'informazione

1. Nel contesto dell'attività operativa dell'Eurojust, gli interessati sono informati del trattamento dei dati a partire dal momento in cui risulta evidente che la trasmissione di tali informazioni all'interessato non comprometterebbe:

a) lo svolgimento delle funzioni dell'Eurojust nel rafforzamento della lotta contro le forme gravi di criminalità;

b) le indagini nazionali o le azioni penali cui contribuisce l'Eurojust;

c) una funzione di controllo, d'ispezione o di regolamentazione connessa, anche occasionalmente, all'esercizio di pubblici poteri nei casi di cui alle lettere a) e b);

d) i diritti e le libertà di terzi.

2. Il ricorso ai casi enumerati al paragrafo 1 è registrato nell'archivio di lavoro temporaneo relativo al caso, con la menzione della base della decisione presa dal membro o dai membri nazionali responsabili del caso in questione.

Articolo 20
Diritto dell'interessato di accesso ai dati

Chiunque ha diritto di accedere ai dati personali che lo riguardano

trattati dall'Eurojust, alle condizioni previste dall'articolo

19 della decisione Eurojust.

Articolo 21
Procedura relativa all'esercizio dei diritti dell'interessato

1. Coloro che desiderino esercitare i loro diritti in qualità di interessati possono farne richiesta all'Eurojust direttamente o tramite l'autorità designata a tal fine nello Stato membro di loro scelta, che trasmette la richiesta all'Eurojust.

2. Le richieste di esercizio dei diritti sono trattate dal membro o dai membri nazionali competenti per la richiesta, che forniscono copia della richiesta al delegato alla protezione dei dati perché la registri.

3. Il membro o i membri nazionali competenti per la richiesta effettuano le verifiche necessarie ed informano il delegato alla protezione dei dati della decisione presa riguardo al caso specifico. Detta decisione tiene debito conto delle presenti disposizioni e della legislazione applicabile alla richiesta come stabilito dall'articolo 19, paragrafo 3 della decisione Eurojust, dei motivi del diniego di cui all'articolo 19, paragrafo 4 della decisione Eurojust e delle consultazioni con le autorità competenti incaricate dell'applicazione della legge che hanno luogo prima che venga presa una decisione, come stabilito dall'articolo 19, paragrafo 9 della decisione Eurojust.

4. Qualora il caso lo richieda, il delegato alla protezione dei dati effettua ulteriori verifiche nel sistema di gestione dei casi ed informa il membro o i membri nazionali competenti di qualsiasi informazione pertinente cui pervenga tramite tali verifiche. Il membro o i membri nazionali competenti possono, in base alle informazioni fornite dal delegato alla protezione dei dati, decidere di riconsiderare la decisione iniziale.

5. Il delegato alla protezione dei dati comunica all'interessato la decisione finale presa dal membro o dai membri nazionali competenti, ai sensi dell'articolo 19, paragrafo 6 della decisione Eurojust e lo informa della possibilità di ricorrere dinanzi all'autorità di controllo comune qualora non sia soddisfatto della risposta data dall'Eurojust.

6. La richiesta è oggetto di un trattamento completo nei tre mesi successivi alla ricezione. L'interessato può adire l'autorità di controllo comune qualora non abbia ricevuto risposta alla sua richiesta entro i suddetti termini.

7. Nei casi in cui la richiesta sia stata ricevuta tramite un'autorità nazionale, il membro nazionale o i membri nazionali competenti provvedono ad informare detta autorità del fatto che il delegato alla protezione dei dati ha fornito una risposta all'interessato.

8. L'Eurojust mette a punto procedure di cooperazione con le autorità nazionali che si occupano dei diritti degli interessati al fine di assicurare la corretta e tempestiva trasmissione delle richieste all'Eurojust.

Articolo 22
Informazioni a terzi

In seguito alla rettifica, al blocco o alla cancellazione dei dati personali connessi a casi specifici L'Eurojust mette a punto misure tecniche appropriate per garantire che, nei casi in cui procede alla rettifica, al blocco o alla cancellazione di dati personali in seguito ad una richiesta, venga prodotto automaticamente un elenco dei fornitori e dei destinatari dei dati in questione. A norma dell'articolo 20, paragrafo 5 della decisione Eurojust, il responsabile del trattamento si assicura che tutti coloro che figurano nell'elenco siano informati delle modifiche apportate ai dati personali.

CAPO III
Questioni relative alla sicurezza dei dati

Articolo 23
Sistema di gestione automatizzata dei casi

1. L'Eurojust mette a punto un sistema di gestione automatizzata dei casi dotato di un sistema di archiviazione cui fanno ricorso i membri nazionali quando si occupano di attività connesse a casi specifici. Il sistema di gestione automatizzata dei dati comprende gli archivi di lavoro temporanei e l'indice come definiti nell'articolo 16 della decisione Eurojust e svolge funzioni quali la gestione dei casi, la descrizione del flusso di dati, il controllo incrociato delle informazioni e la sicurezza.

2. Il sistema di gestione dei casi è approvato dal collegio previa consultazione del delegato alla protezione dei dati, dell'autorità di controllo comune e del personale competente dell'Eurojust e tiene pienamente conto dei requisiti di cui all'articolo 22 e di ogni altra disposizione pertinente della decisione Eurojust.

3. Il sistema di gestione dei casi consente ai membri nazionali di determinare lo scopo e gli obiettivi specifici che hanno portato all'apertura di un archivio di lavoro temporaneo, nel quadro delle funzioni di cui agli articoli 5, 6 e 7 della decisione Eurojust.

Articolo 24
Archivi di lavoro temporanei e indice

1. Conformemente all'articolo 14, paragrafo 4 e all'articolo 16 della decisione Eurojust, quest'ultimo istituisce un indice dei dati relativi alle indagini e archivi di lavoro temporanei contenenti anche dati personali. Sia l'indice che gli archivi di lavoro temporanei formano parte del sistema di gestione dei casi di cui all'articolo 23 e rispettano le restrizioni al trattamento dei dati personali di cui all'articolo 15 della decisione Eurojust.

2. I membri nazionali sono responsabili della creazione di nuovi archivi di lavoro temporanei connessi ai casi che stanno trattando. Il sistema di gestione dei casi attribuisce automaticamente un numero di riferimento (identificatore) a ciascun nuovo archivio di lavoro temporaneo creato.

3. L'Eurojust mette a punto un sistema di gestione automatizzata dei casi che consente ai membri nazionali di tenere i dati personali da essi trattati in un archivio di lavoro temporaneo riservato o di dare accesso a tale archivio o a parte di esso ad altri membri nazionali che si intervengono nel trattamento del caso cui l'archivio si riferisce. Il sistema di gestione dei casi consente loro di definire i dati specifici, di carattere personale o meno, cui intendono dare accesso ad altri membri nazionali, assistenti o membri autorizzati del personale che intervengono nel trattamento del caso e di selezionare le informazioni che desiderano introdurre nell'indice, conformemente agli articoli 14 e 15 della decisione Eurojust, assicurando che nell'indice siano inseriti perlomeno i seguenti dati: riferimento all'archivio di lavoro temporaneo; tipi di reato; Stati membri; organizzazioni e organismi internazionali e/o autorità di Stati terzi interessate; coinvolgimento della Commissione europea o di organi ed entità dell'Unione europea; obiettivi /lo stato del caso in questione (aperto/chiuso).

4. Quando un membro nazionale dà accesso ad un archivio di lavoro temporaneo o parte di esso ad uno o più membri nazionali interessati, il sistema di gestione dei casi assicura che gli utenti autorizzati abbiano accesso alle parti pertinenti dell'archivio, ma non possano modificare i dati introdotti dall'autore originale. Gli utenti autorizzati possono tuttavia aggiungere informazioni pertinenti alle parti nuove degli archivi di lavoro temporanei. Analogamente, le informazioni contenute nell'indice possono essere lette da tutti gli utenti del sistema autorizzati, ma possono essere modificate solo dall'autore originale.

5. Con questo sistema il delegato alla protezione dei dati viene automaticamente informato della creazione di ciascun nuovo archivio contenente dati personali e, in particolare, dei casi eccezionali in cui viene fatto ricorso all'articolo 15, paragrafo 3 della decisione Eurojust. Il sistema di gestione dei casi contrassegna tali dati in modo da ricordare alla persona che li ha introdotti nel sistema l'obbligo di mantenerveli per un periodo di tempo limitato. Quando i dati in questione riguardano testimoni o vittime ai sensi dell'articolo 15, paragrafo 2 della decisione Eurojust, il sistema non registra tali informazioni, salvo in caso di decisione documentata presa congiuntamente da almeno due membri nazionali.

6. Il sistema di gestione dei casi informa automaticamente il delegato alla protezione dei dati dei casi eccezionali in cui viene fatto ricorso all'articolo 15, paragrafo 4 della decisione Eurojust. Quando tali dati riguardano testimoni o vittime ai sensi dell'articolo 15, paragrafo 2 della decisione Eurojust, il sistema non registra tali informazioni, salvo in caso di decisione documentata presa dal collegio.

7. Il sistema di gestione dei dati assicura che solo i dati personali di cui all'articolo 15, paragrafo 1, lettere da a) a i) e lettera k) e all'articolo 15, paragrafo 2 della decisione Eurojust siano registrati nell'indice.

8. Le informazioni contenute nell'indice devono essere sufficienti per lo svolgimento delle funzioni dell'Eurojust e, in particolare, per il soddisfacimento degli obiettivi di cui all'articolo 16, paragrafo 1 della decisione Eurojust.

Articolo 25
Fascicoli di registrazione e audit trails

1. L'Eurojust mette a punto misure tecniche adeguate per garantire che si tenga traccia di tutte le operazioni relative al trattamento dei dati personali. Il sistema di gestione dei casi provvederà in particolare ad assicurare che la trasmissione e la ricezione dei dati personali siano registrate conformemente all'articolo 17, paragrafo 2, lettera b), della decisione Eurojust ai fini dell'articolo 19, paragrafo 3, della medesima decisione. Tale registrazione garantisce, a norma dell'articolo 22 della decisione Eurojust, che sia possibile verificare e determinare a quali organi sono trasmessi i dati e quali dati personali sono stati inseriti in sistemi automatizzati di trattamento dati, quando sono stati inseriti e da chi.

2. Il delegato alla protezione dei dati passa periodicamente in rassegna queste registrazioni in modo da poter assistere i membri nazionali e il collegio in materia di dati personali e procede alle indagini necessarie in caso di irregolarità. All'occorrenza, il delegato alla protezione dei dati informa il collegio e l'autorità di controllo comune, secondo la procedura di cui all'articolo 17, paragrafo 4, della decisione Eurojust, di eventuali violazioni rilevate in base alle suddette registrazioni. Il delegato alla protezione dei dati assicura che, se del caso, il direttore amministrativo sia informato per consentirgli di prendere le misure necessarie in seno all'amministrazione.

3. Il delegato alla protezione dei dati dà pieno accesso all'autorità di controllo comune alle registrazioni di cui al paragrafo 1, se gli viene chiesto.

Articolo 26
Autorizzazione d'accesso ai dati personali

1. L'Eurojust prende misure tecniche adeguate e provvede a disposizioni organizzative per garantire che soltanto i membri nazionali, i rispettivi assistenti e il personale autorizzato dell'Eurojust abbiano accesso ai dati personali trattati dall'Eurojust ai fini del conseguimento degli obiettivi dell'Eurojust nel quadro delle sue attività operative.

2. Tali misure tengono conto delle finalità per le quali i dati sono stati raccolti e successivamente trattati, dello stato dell'arte, del livello di sicurezza richiesto dalla natura sensibile delle attività svolte dall'Eurojust e dei requisiti imposti dall'articolo 22 della decisione Eurojust.

3. Ciascun membro nazionale dell'Eurojust documenta e informa il delegato alla protezione dei dati in merito alla politica di accesso che ha autorizzato nell'ambito del suo ufficio nazionale riguardo ai file connessi ai casi specifici. In particolare, i membri nazionali assicurano che vengano adottate ed osservate appropriate disposizioni organizzative e che vengano utilizzate in modo corretto le misure tecniche ed organizzative messe a disposizione dall'Eurojust.

4. Il collegio può autorizzare altro personale dell'Eurojust ad avere accesso ai file connessi ai casi specifici ove necessario per lo svolgimento dei compiti dell'Eurojust.

Articolo 27
Controlli

1. Il delegato alla protezione dei dati controlla la legittimità ed il rispetto delle disposizioni della decisione Eurojust, del presente regolamento interno e di ogni altra disposizione concernente il trattamento dei dati personali applicabile all'Eurojust. A tal fine, il delegato alla protezione dei dati assiste i membri nazionali per quanto riguarda le questioni relative alla protezione dei dati e svolge indagini annuali sul rispetto delle norme summenzionate nell'ambito dell'Eurojust. Il delegato alla protezione dei dati riferisce al collegio e all'autorità di controllo comune sui risultati di tali indagini nonché su ogni altro sviluppo pertinente per quanto riguarda l'Eurojust. Il delegato alla protezione dei dati assicura che, se del caso, il direttore amministrativo venga informato, affinché possa prendere le misure necessarie in seno all'amministrazione.

2. L'autorità di controllo comune effettua i controlli a norma dell'articolo 23, paragrafo 7 della decisione Eurojust.

CAPO IV
Trasmissione di dati verso terzi o altre organizzazioni

Articolo 28
Trasmissione di dati verso terzi o altre organizzazioni

1. L'Eurojust si sforzerà di porre in essere accordi di cooperazione contenenti disposizioni adeguate riguardanti lo scambio di dati personali con tutti i partner con i quali hanno periodicamente luogo scambi di dati.

2. Fatti salvi i casi in cui tali accordi di cooperazione esistono già, l'Eurojust trasmette dati personali a un paese terzo o a soggetti di cui all'articolo 27, paragrafo 1 della decisione Eurojust solo se formano oggetto della convenzione del Consiglio d'Europa sulla protezione delle persone per quanto riguarda l'elaborazione automatica dei dati a carattere personale, firmata a Strasburgo il 28 gennaio 1981 o se è assicurato un livello di protezione adeguato.

3. La decisione riguardante i trasferimenti a soggetti che non sono parti della convenzione del Consiglio d'Europa del 28 gennaio 1981 è presa dal membro nazionale interessato (dai membri nazionali interessati) sulla base della valutazione riguardante l'adeguatezza del livello di protezione, effettuata dal delegato alla protezione dei dati. L'adeguatezza del livello di protezione è valutata alla luce di tutte le circostanze per ciascun trasferimento o categoria di trasferimento. In particolare, la valutazione risulterà dall'esame degli elementi seguenti; tipo dei dati, scopo perseguito e durata del trattamento per il quale sono trasferiti dati, paese d'origine e paese di destinazione finale, norme generali e settoriali del diritto applicabile nello stato o nell'organizzazione in questione, norme professionali e di sicurezza ivi applicabili, nonché esistenza di garanzie sufficienti da parte del destinatario del trasferimento. Tali garanzie possono in particolare risultare da accordi scritti che vincolano il responsabile del controllo della parte che effettua il trasferimento e il destinatario che non è soggetto alla competenza giurisdizionale di una parte della Convenzione. Gli accordi in questione devono contenere gli elementi pertinenti in materia di protezione dei dati. Nei casi in cui la valutazione del livello di protezione solleva difficoltà, il delegato alla protezione dei dati consulta l'autorità di controllo comune prima di procedere a una valutazione per quanto riguarda un trasferimento specifico.

4. Tuttavia, anche se non sono rispettate le condizioni di cui ai paragrafi precedenti, un membro nazionale può, nelle circostanze eccezionali di cui all'articolo 27, paragrafo 6 della decisione Eurojust, trasferire dati a un paese terzo al solo scopo di prendere misure urgenti per far fronte a pericoli gravi e imminenti che minacciano una persona o la pubblica sicurezza. Il membro nazionale registra tale trasferimento eccezionale nell'archivio di lavoro temporaneo relativo al caso in questione, indicando i motivi di tale comunicazione, e informa della comunicazione il responsabile della protezione dei dati. Quest'ultimo si accerta che i trasferimenti siano effettuati solo in casi eccezionali e urgenti.

CAPO V
Termine per la conservazione dei dati personali

Articolo 29
Termine per la conservazione dei dati personali

1. L'Eurojust mette in atto misure tecniche appropriate per garantire che siano osservati i termini per la conservazione dei dati personali di cui all'articolo 21 della decisione Eurojust.

2. Il sistema di gestione dei casi deve in particolare assicurare che l'esigenza di conservare dati in un archivio di lavoro temporaneo sia esaminata tre anni dopo il loro inserimento. Tale esame deve essere adeguatamente documentato nel sistema, compresa la motivazione per qualsiasi decisione presa, e il risultato è automaticamente comunicato al delegato alla protezione dei dati.

3. Il sistema di gestione dei casi segnala in particolare i dati registrati per un periodo di tempo limitato in conformità dell'articolo 15, paragrafo 3 della decisione Eurojust. Per queste categorie di dati viene effettuato ogni tre mesi un esame dell'esigenza di conservare i dati; tale esame è documentato nel modo indicato nei paragrafi 1 e 2.

4. Il responsabile del trattamento consulta, se necessario, il collegio e il delegato alla protezione dei dati per quanto riguarda le decisioni relative alla conservazione dei dati per un periodo più lungo in seguito a un esame del caso.

TITOLO V
NORME PER LE OPERAZIONI DI TRATTAMENTO NON CONNESSE A CASI SPECIFICI

CAPO I
Principi generali

Articolo 30
Liceità ed equità del trattamento

I dati personali devono essere trattati in modo equo e conforme alla legge. In particolare, i dati personali possono essere trattati solo se:

a) è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento; oppure

b) è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali prese su richiesta dello stesso; oppure

c) l'interessato ha manifestato il proprio consenso in maniera inequivocabile; oppure

d) è necessario per la salvaguardia degli interessi vitali dell'interessato;

oppure

e) è necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento, a condizione che non prevalgano l'interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell'articolo 4 delle presenti disposizioni

Articolo 31
Limitazione delle finalità

1. I dati personali devono essere trattati per perseguire uno scopo lecito specifico e ben definito e possono essere successivamente trattati ulteriormente solo se ciò non è incompatibile con lo scopo originale del trattamento.

2. I dati personali raccolti allo scopo esclusivo di garantire la sicurezza o il controllo e la gestione dei sistemi o del trattamento non possono essere impiegati per altri fini, ad eccezione delle attività volte a prevenire, indagare, accertare e perseguire reati gravi.

Articolo 32
Trattamento di categorie particolari di dati

1. È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, come pure trattare dati relativi alla salute e alla vita sessuale o a condanne penali per fini non connessi con il caso in questione.

2. Tale divieto non si applica se:

a) l'interessato ha dato il proprio consenso esplicito a tale trattamento,

oppure

b) il trattamento in questione è necessario per assolvere agli obblighi legali ed esercitare i diritti specifici del responsabile del trattamento, quali gli obblighi in materia fiscale o in materia di diritto del lavoro applicabili al responsabile del trattamento o, se necessario, se ed in quanto esso sia autorizzato dal delegato alla protezione dei dati con adeguate misure di salvaguardia, oppure

c) il trattamento in questione è necessario per salvaguardare un interesse vitale dell'interessato o di un'altra persona, qualora l'interessato si trovi nell'incapacità fisica o giuridica di dare il proprio consenso, oppure

d) il trattamento riguarda dati resi manifestamente pubblici dall'interessato o è necessario per accertare, esercitare o difendere un diritto in via giudiziale.

3. I dati di cui al paragrafo 1 sono trattati solo allo scopo per il quale sono stati originariamente raccolti.

Articolo 33
Eccezioni al diritto all'informazione dell'interessato

1. Nel contesto delle funzioni non operative dell'Eurojust, sono possibili eccezioni al principio generale dell'informazione dell'interessato qualora informando l'interessato si pregiudicherebbe:

a) un importante interesse economico o finanziario di uno Stato membro o dell'Unione europea, oppure

b) la protezione dell'interessato o dei diritti e delle libertà di altri o

c) la sicurezza nazionale, la pubblica sicurezza o la difesa degli Stati membri.

2. Il delegato alla protezione dei dati è informato dei casi in cui venga fatto ricorso a tali eccezioni.

Articolo 34
Notificazione al delegato alla protezione dei dati

1. Prima di eseguire uno o più trattamenti dei dati, destinati al conseguimento di una o più finalità correlate, il responsabile del trattamento ne informa il delegato alla protezione dei dati.

2. Le informazioni da fornire includono:

a) il nome del responsabile del trattamento e l'indicazione dei servizi di un'istituzione o un organismo incaricati del trattamento di dati personali per una particolare finalità;

b) la finalità o le finalità del trattamento;

c) una descrizione della categoria o delle categorie di interessati e dei pertinenti dati o categorie di dati;

d) il fondamento giuridico del trattamento al quale sono destinati i dati;

e) i destinatari o le categorie di destinatari ai quali possono essere comunicati i dati e;

f) una descrizione generale che consenta una prima valutazione dell'adeguatezza delle misure di sicurezza adottate.

3. Il delegato alla protezione dei dati deve essere informato senza indugio di ogni modifica pertinente relativa alle informazioni di cui al paragrafo 2.

Articolo 35
Registro

1. Ogni delegato alla protezione dei dati tiene un registro dei trattamenti notificati a norma delle precedenti disposizioni.

2. Il registro riporta almeno le informazioni di cui all'articolo 34, paragrafo 2, lettere da a) a f).

3. Il delegato alla protezione dei dati fornisce all'autorità di controllo comune qualsiasi informazione contenuta nel registro, ove richiesto.

Articolo 36
Trattamento di dati personali per conto del responsabile del trattamento

1. Quando il trattamento viene eseguito da un incaricato esterno per conto del responsabile del trattamento, questi sceglie un incaricato che fornisca adeguate garanzie in rapporto alle misure tecniche e organizzative di sicurezza previste dall'articolo 22 della decisione Eurojust e da qualsiasi altro documento pertinente e si assicura che tali misure vengano osservate.

2. Il trattamento eseguito da un incaricato esterno è disciplinato da un contratto o da un atto giuridico che vincoli l'incaricato del trattamento al responsabile del trattamento e disponga in particolare che:

a) l'incaricato del trattamento agisca soltanto su istruzioni del responsabile del trattamento; e

b) anche l'incaricato del trattamento sia soggetto agli obblighi di riservatezza e di sicurezza di cui alla decisione Eurojust e al presente regolamento interno, a meno che, a norma dell'articolo 16 o dell'articolo 17, paragrafo 3, secondo trattino, della direttiva 95/46/CE, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati 1, l'incaricato del trattamento non sia già soggetto agli obblighi di riservatezza e di sicurezza previsti dalla legislazione nazionale di uno degli Stati membri.

3. A fini probatori, le clausole del contratto o le disposizioni dell'atto giuridico inerenti alla protezione dei dati e gli obblighi relativi alle misure di riservatezza e di sicurezza sono stipulati per iscritto o in altra forma equivalente.

Articolo 37
Decisioni individuali automatiche

L'interessato ha il diritto di non essere sottoposto a una decisione che produca effetti giuridici o abbia effetti significativi nei suoi confronti basata solo su un trattamento automatizzato di dati per valutare taluni aspetti personali che lo riguardano, quali il rendimento professionale, l'affidabilità o il comportamento, salvo che la decisione sia espressamente autorizzata dalla normativa nazionale o europea o, se necessario, dal delegato alla protezione dei dati. In entrambi i casi sono adottate misure volte a salvaguardare i legittimi interessi dell'interessato, ad esempio facendo in modo che questi possa esprimere il proprio parere o possa capire la logica del trattamento.

CAPO II
Regolamentazione interna concernente la protezione dei dati personali e la tutela della vita privata nell'ambito delle reti interne di telecomunicazioni

Articolo 38
Campo d'applicazione

1. Fatti salvi i precedenti articoli, al trattamento di dati personali connesso con l'uso e la gestione di reti o terminali di telecomunicazione che funzionano sotto il controllo dell'Eurojust si applicano le disposizioni del presente capitolo.

2. Ai fini delle disposizioni del presente capitolo, per "utente" s'intende qualsiasi persona fisica che si serve di una rete o di un terminale di telecomunicazione che funzionano sotto il controllo dell'Eurojust.

Articolo 39
Sicurezza

1. L'Eurojust adotta appropriate misure di natura tecnica ed organizzativa per garantire un uso sicuro delle reti e dei terminali di telecomunicazioni (computer, server, hardware e software), all'occorrenza in collaborazione con i fornitori di servizi di telecomunicazioni accessibili al pubblico o con i fornitori di reti di telecomunicazioni pubbliche. Tenuto conto delle possibilità tecniche più recenti e dei costi da sostenere per la loro realizzazione, le suddette misure devono assicurare un livello di sicurezza adeguato al rischio esistente.

2. Qualora sussistano particolari rischi di violazioni della sicurezza della rete e dei terminali, l'Eurojust informa gli utenti in merito a tali rischi ed alle possibilità di contromisure e di mezzi di comunicazione alternativi.

Articolo 40
Riservatezza delle comunicazioni

L'Eurojust garantisce la riservatezza delle comunicazioni effettuate tramite le reti e i terminali di telecomunicazioni nel rispetto del diritto comunitario.

Articolo 41
Dati relativi al traffico delle comunicazioni e alla fatturazione

1. I dati sul traffico delle comunicazioni relativi agli utenti, che sono trattati per stabilire le chiamate ed altri collegamenti sulla rete di telecomunicazioni, sono cancellati o resi anonimi contestualmente alla cessazione della chiamata o di altro collegamento.

2. Le deroghe a questo principio generale (come la necessità di conservare alcuni dati relativi al traffico laddove siano connessi con il processo di registrazione (log) necessario per taluni file o al fine di fatturare chiamate private) sono ammesse soltanto se previste dalla regolamentazione interna adottata dall'Eurojust previa consultazione del delegato alla protezione dei dati. Qualora il delegato alla protezione dei dati non giudichi tali deroghe legittime o adeguate, è consultata l'autorità di controllo comune.

3. I trattamenti dei dati pertinenti al traffico delle comunicazioni e alla fatturazione devono essere effettuati unicamente da persone incaricate di gestire la fatturazione, il traffico o il bilancio.

Articolo 42
Elenchi di utenti

1. I dati personali contenuti in elenchi cartacei o elettronici di utenti e l'accesso a detti elenchi sono limitati allo stretto necessario ai fini specifici degli elenchi.

2. Tali elenchi sono accessibili unicamente agli utenti dell'Eurojust, per uso prettamente interno o in altri elenchi interistituzionali ritenuti appropriati.

CAPO III
Disposizioni specifiche

Articolo 43
Disposizioni supplementari

Se necessario, l'Eurojust elabora nuove disposizioni sul trattamento dei dati personali in operazioni connesse a casi specifici. Dette disposizioni sono notificate all'autorità di controllo comune e pubblicate in manuali interni separati.

TITOLO VI
ALTRE DISPOSIZIONI

Articolo 44
Revisione delle presenti disposizioni del regolamento interno

1. Le presenti disposizioni del regolamento interno formano oggetto di revisioni periodiche volte a valutare se sono necessarie modifiche. Dette disposizioni sono modificate secondo la medesima procedura che la decisione Eurojust prevede per l'approvazione del regolamento interno.

2. Il delegato alla protezione dei dati informa il presidente del collegio e l'autorità di controllo comune laddove ritenga che sia necessario modificare il presente regolamento interno.

3. L'autorità di controllo comune sottopone al collegio qualsiasi proposta o raccomandazione riguardante le modifiche al presente regolamento interno.

Articolo 45
Entrata in vigore e pubblicazione

1. Le presenti disposizioni del regolamento interno entrano in vigore il giorno successivo all'approvazione definitiva da parte del Consiglio.

2. Esse sono pubblicate nella Gazzetta ufficiale dell'Unione europea.

NOTE
1 GU L 281 del 23.11.1995, pag. 31.