EUR-Lex El acceso al Derecho de la Unión Europea
Este documento es un extracto de la web EUR-Lex
Documento 02024R0982-20240405
Texto consolidado: Regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio, del 13 marzo 2024, sulla consultazione e lo scambio automatizzati di dati per la cooperazione di polizia e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (regolamento Prüm II)
Regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio, del 13 marzo 2024, sulla consultazione e lo scambio automatizzati di dati per la cooperazione di polizia e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (regolamento Prüm II)
Vigente
)
02024R0982 — IT — 05.04.2024 — 000.001
Il presente testo è un semplice strumento di documentazione e non produce alcun effetto giuridico. Le istituzioni dell’Unione non assumono alcuna responsabilità per i suoi contenuti. Le versioni facenti fede degli atti pertinenti, compresi i loro preamboli, sono quelle pubblicate nella Gazzetta ufficiale dell’Unione europea e disponibili in EUR-Lex. Tali testi ufficiali sono direttamente accessibili attraverso i link inseriti nel presente documento
REGOLAMENTO (UE) 2024/982 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 13 marzo 2024 (GU L 982 del 5.4.2024, pag. 1) |
Rettificato da:
REGOLAMENTO (UE) 2024/982 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 13 marzo 2024
sulla consultazione e lo scambio automatizzati di dati per la cooperazione di polizia e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (regolamento «Prüm II»)
CAPO 1
Disposizioni generali
Articolo 1
Oggetto
Il presente regolamento istituisce un quadro per la ricerca e lo scambio di informazioni tra le autorità competenti degli Stati membri (quadro Prüm II) stabilendo:
le condizioni e le procedure per la consultazione automatizzata di profili DNA, dati dattiloscopici, determinati dati di immatricolazione dei veicoli, immagini del volto e dati degli archivi di polizia; e
le norme relative allo scambio di dati di base a seguito di una corrispondenza confermata relativa a dati biometrici.
Articolo 2
Finalità
L’obiettivo del quadro Prüm II è di intensificare la cooperazione transfrontaliera nelle materie disciplinate dalla parte III, titolo V, capi 4 e 5, del trattato sul funzionamento dell’Unione europea, in particolare facilitando lo scambio di informazioni tra autorità competenti degli Stati membri, nel pieno rispetto dei diritti fondamentali delle persone fisiche, tra cui il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali, conformemente alla Carta dei diritti fondamentali dell’Unione europea.
L’obiettivo del quadro Prüm II è altresì di consentire alle autorità competenti degli Stati membri la ricerca di persone scomparse nel quadro di indagini penali o per motivi umanitari e l’identificazione di resti umani, conformemente all’articolo 29, a condizione che tali autorità siano state abilitate ad effettuare tali ricerche e tali identificazioni a norma del diritto nazionale.
Articolo 3
Ambito di applicazione
Il presente regolamento si applica alle banche dati istituite in conformità del diritto nazionale e utilizzate per il trasferimento automatizzato di: profili DNA, dati dattiloscopici, determinati dati di immatricolazione dei veicoli, immagini del volto e dati degli archivi di polizia e, conformemente, a seconda dei casi, alla direttiva (UE) 2016/680 o ai regolamenti (UE) 2018/1725, (UE) 2016/794 o (UE) 2016/679.
Articolo 4
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
«loci» (singolare «locus»): posizioni del DNA che contengono caratteristiche identificative di un campione di DNA umano analizzato;
«profilo DNA»: un codice alfanumerico che rappresenta una serie di loci o la particolare struttura molecolare nei vari loci;
«dati indicizzati sul DNA»: il profilo DNA e il numero di riferimento di cui all’articolo 7;
«profilo DNA identificato»: il profilo DNA di una persona identificata;
«profilo DNA non identificato»: il profilo DNA rilevato nel corso delle indagini penali e appartenente a una persona non ancora identificata, compreso il profilo DNA ottenuto da tracce;
«dati dattiloscopici»: immagini delle impronte digitali, immagini delle impronte digitali latenti, immagini delle impronte palmari, immagini delle impronte palmari latenti e modelli di tali immagini (minutiae codificate), che sono conservati e trattati in una banca dati automatizzata;
«dati indicizzati dattiloscopici»: i dati dattiloscopici e il numero di riferimento di cui all’articolo 12;
«dati dattiloscopici non identificati»: dati dattiloscopici raccolti nel corso delle indagini penali e appartenenti a una persona non ancora identificata, compresi dati dattiloscopici ottenuti da tracce;
«dati dattiloscopici identificati»: i dati dattiloscopici di una persona identificata;
«singolo caso»: un singolo fascicolo relativo alla prevenzione, all’accertamento o all’indagine di un reato, alla ricerca di una persona scomparsa o all’identificazione di resti umani non identificati;
«immagine del volto»: un’immagine digitalizzata del volto;
«dati indicizzati sull’immagine del volto»: l’immagine del volto e il numero di riferimento di cui all’articolo 21;
«immagine del volto non identificata»: un’immagine del volto raccolta nel corso di un’indagine penale e appartenente a una persona non ancora identificata, compresa un’immagine del volto ottenuta da tracce;
«immagine del volto identificata»: l’immagine del volto di una persona identificata;
«dati biometrici»: profili DNA, dati dattiloscopici o immagini del volto;
«dati alfanumerici»: i dati rappresentati da lettere, cifre, caratteri speciali, spazi e segni di punteggiatura;
«corrispondenza»: la coincidenza risultante da un confronto automatizzato tra dati personali registrati conservati in una banca dati;
«candidato»: i dati rispetto ai quali è stata verificata una corrispondenza;
«Stato membro richiedente»: uno Stato membro che effettua una consultazione tramite il quadro Prüm II;
«Stato membro richiesto»: uno Stato membro le cui banche dati sono consultate dallo Stato membro richiedente tramite il quadro Prüm II;
«dati degli archivi di polizia»: i dati anagrafici di persone indagate e condannate disponibili nelle banche dati nazionali istituite a fini di prevenzione, accertamento e indagine di reati;
«pseudonimizzazione»: la pseudonimizzazione quale definita all’articolo 3, punto 5, della direttiva (UE) 2016/680;
«sospetto»: una persona quale definita all'articolo 6, lettera a), della direttiva (UE) 2016/680;
«dati personali»: i dati personali quali definiti all’articolo 3, punto 1, della direttiva (UE) 2016/680;
«dati Europol»: qualsiasi dato personale operativo trattato da Europol a norma del regolamento (UE) 2016/794;
«autorità competente»: qualsiasi autorità pubblica competente in materia di prevenzione, indagine o accertamento di reati, o qualsiasi altro organismo o soggetto incaricato dal diritto di uno Stato membro di esercitare l’autorità pubblica e i pubblici poteri per le finalità di prevenzione, indagine o accertamento di reati;
«autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro a norma dell’articolo 41 della direttiva (UE) 2016/680;
«SIENA»: l’applicazione di rete per lo scambio sicuro di informazioni, gestita e sviluppata da Europol in conformità del regolamento (UE) 2016/794;
«incidente»: un incidente quale definito all’articolo 6, punto 6, della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio ( 1 ).
«incidente significativo»: qualsiasi incidente, salvo se tale incidente presenta un impatto limitato ed è probabile che sia già adeguatamente compreso in termini di metodo o tecnologia;
«minaccia informatica significativa»: una minaccia informatica caratterizzata dalla possibilità, dalla capacità e dalla finalità di causare un incidente significativo;
«vulnerabilità significativa»: una vulnerabilità che, se sfruttata, porterà probabilmente a un incidente significativo.
CAPO 2
Scambio di dati
Articolo 5
Dati indicizzati sul DNA
I dati indicizzati sul DNA non contengono alcun dato aggiuntivo che consenta l’identificazione diretta di una persona fisica.
I profili DNA non identificati sono riconoscibili come tali.
Articolo 6
Consultazione automatizzata dei profili DNA
Articolo 7
Numeri di riferimento per i profili DNA
I numeri di riferimento per i profili DNA sono costituiti da una combinazione degli elementi seguenti:
un numero di riferimento che consenta agli Stati membri, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni dalle loro banche dati nazionali del DNA al fine di trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente all’articolo 47, oppure a Europol conformemente all’articolo 49, paragrafo 6;
un numero di riferimento che consenta a Europol, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni ai fini dell’articolo 48, paragrafo 1, del presente regolamento per trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente al regolamento (UE) 2016/794;
un codice indicante lo Stato membro che detiene il profilo DNA;
un codice indicante se il tipo di profilo DNA sia un profilo DNA identificato o un profilo DNA non identificato.
Articolo 8
Principi applicati allo scambio di profili DNA
Articolo 9
Norme per le domande e le risposte concernenti i profili DNA
La domanda di consultazione automatizzata contiene unicamente le informazioni seguenti:
il codice dello Stato membro richiedente;
la data, l’ora e il numero di riferimento della domanda;
i dati indicizzati sul DNA;
se i tipi di profili DNA trasmessi siano profili DNA non identificati o profili DNA identificati.
Una risposta a una domanda di cui al paragrafo 1 contiene soltanto le informazioni seguenti:
l’indicazione della presenza di una o più corrispondenze, o della mancanza di corrispondenze;
la data, l’ora e il numero di riferimento della domanda;
la data, l’ora e il numero di riferimento della risposta;
i codici dello Stato membro richiedente e dello Stato membro richiesto;
i numeri di riferimento dei profili DNA dello Stato membro richiedente e dello Stato membro richiesto;
se i profili DNA trasmessi siano profili DNA non identificati o profili DNA identificati;
i profili DNA per i quali è stata riscontrata una corrispondenza.
Articolo 10
Dati indicizzati dattiloscopici
Articolo 11
Consultazione automatizzata di dati dattiloscopici
Le consultazioni di cui al primo comma sono svolte solo nel contesto di ciascun singolo caso e nel rispetto del diritto nazionale dello Stato membro richiedente.
Articolo 12
Numeri di riferimento per i dati dattiloscopici
I numeri di riferimento per i dati dattiloscopici sono costituiti da una combinazione degli elementi seguenti:
un numero di riferimento che consenta agli Stati membri, in caso di corrispondenza, di estrarre dati ulteriori e altre informazioni dalle loro banche dati di cui all’articolo 10 al fine di trasmetterli a uno, ad alcuni o a tutti gli Stati membri conformemente all’articolo 47 oppure a Europol conformemente all’articolo 49, paragrafo 6;
un numero di riferimento che consenta a Europol, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni ai fini dell’articolo 48, paragrafo 1, del presente regolamento per trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente al regolamento (UE) 2016/794;
un codice indicante lo Stato membro che detiene i dati dattiloscopici.
Articolo 13
Principi applicati allo scambio di dati dattiloscopici
Articolo 14
Capacità di consultazione per i dati dattiloscopici
Gli Stati membri informano gli altri Stati membri, la Commissione, eu-Lisa ed Europol in merito alle loro capacità massime di consultazione giornaliere per i dati dattiloscopici identificati e non identificati. Europol informa gli Stati membri, la Commissione, eu-Lisa in merito alle loro capacità massime di consultazione giornaliere per i dati dattiloscopici identificati e non identificati. Gli Stati membri o da Europol possono incrementare tali capacità di consultazione in modo temporaneo o permanente in qualsiasi momento, anche in caso di urgenza. Se uno Stato membro aumenta tali capacità massime di consultazione, comunica agli altri Stati membri, alla Commissione, a eu-LISA e a Europol, le nuove capacità massime di consultazione. Se Europol aumenta tali capacità massime di consultazione, notifica agli altri Stati membri, alla Commissione, a eu-LISA le nuove capacità massime di consultazione
Articolo 15
Norme sulle domande e sulle risposte concernenti i dati dattiloscopici
Una domanda di consultazione automatizzata comprende soltanto le informazioni seguenti:
il codice dello Stato membro richiedente;
la data, l’ora e il numero di riferimento della domanda;
i numeri di riferimento dei dati dattiloscopici.
Una risposta a una domanda di cui al paragrafo 1 contiene soltanto le informazioni seguenti:
l’indicazione della presenza di una o più corrispondenze, o della mancanza di corrispondenze;
la data, l’ora e il numero di riferimento della domanda;
la data, l’ora e il numero di riferimento della risposta;
i codici dello Stato membro richiedente e dello Stato membro richiesto;
i numeri di riferimento dei dati dattiloscopici dello Stato membro richiedente e dello Stato membro richiesto;
i dati dattiloscopici per i quali è stata riscontrata una corrispondenza.
Articolo 16
Consultazione automatizzata di dati di immatricolazione dei veicoli
Ai fini della prevenzione, dell’indagine e dell’accertamento di reati, gli Stati membri consentono ai punti di contatto nazionali di altri Stati membri ed a Europol l’accesso ai seguenti dati nazionali di immatricolazione dei veicoli, per condurre consultazioni automatizzate nel contesto di ciascun singolo caso:
dati relativi ai proprietari o ai possessori di veicoli;
dati relativi ai veicoli.
Le consultazioni di cui al paragrafo 1 sono effettuate soltanto con i dati seguenti:
un numero completo di telaio;
un numero completo di immatricolazione; o
se autorizzate dalla legislazione nazionale dello Stato membro richiesto, i dati relativi al proprietario o al possessore del veicolo.
Le ricerche di cui al paragrafo 1 effettuate sulla base dei dati relativi al proprietario o al possessore del veicolo sono effettuate solo in caso di persone indagate o condannate. Ai fini di tali ricerche sono utilizzati tutti i dati identificativi seguenti:
se il proprietario o il possessore del veicolo è una persona fisica:
il nome o i nomi della persona fisica;
il cognome o i cognomi della persona fisica; e
la data di nascita della persona fisica;
se il proprietario o il possessore del veicolo è una persona giuridica, il nome di tale persona giuridica.
Articolo 17
Principi applicati alla consultazione automatizzata di dati di immatricolazione dei veicoli
Articolo 18
Conservazione delle registrazioni
Ciascuno Stato membro ed Europol conservano le registrazioni di tutti i trattamenti di dati riguardanti i dati di immatricolazione dei veicoli. Tali registrazioni comprendono gli elementi seguenti:
se sia stato uno Stato membro o Europol ad avviare la domanda di interrogazione; qualora sia stato uno Stato membro ad avviare la domanda di interrogazione, lo Stato membro in questione;
la data e l’ora della domanda;
la data e l’ora della risposta;
le banche dati nazionali a cui è stata inviata la domanda di interrogazione;
le banche dati nazionali che hanno fornito una risposta positiva.
Articolo 19
Dati indicizzati sulle immagini del volto
Articolo 20
Consultazione automatizzata di immagini del volto
Le consultazioni di cui al primo comma sono svolte solo nel contesto di ciascun singolo caso e nel rispetto del diritto nazionale dello Stato membro richiedente.
È vietata la profilazione di cui all’articolo 11, paragrafo 3, della direttiva (UE) 2016/680.
Articolo 21
Numeri di riferimento per le immagini del volto
I numeri di riferimento per le immagini del volto sono costituiti dalla combinazione degli elementi seguenti:
un numero di riferimento che consenta agli Stati membri, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni dalle loro banche dati di cui all’articolo 19 al fine di trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente all’articolo 47 o a Europol conformemente all’articolo 49, paragrafo 6;
un numero di riferimento che consenta a Europol, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni per i fini di cui all’articolo 48, paragrafo 1, del presente regolamento al fine di trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente al regolamento (UE) 2016/794;
un codice indicante lo Stato membro che detiene le immagini del volto.
Articolo 22
Principi riguardanti lo scambio di immagini del volto
Articolo 23
Capacità di consultazione per le immagini del volto
Gli Stati membri informano gli altri Stati membri, la Commissione, eu-LISA ed Europol, sulle loro capacità massime di consultazione giornaliere di immagini del volto identificate e non identificate. Europol informa gli Stati membri, la Commissione ed eu-LISA sulle proprie capacità massime di consultazione giornaliere di immagini del volto identificate e non identificate. Gli Stati membri o Europol possono incrementare tali capacità di consultazione in modo temporaneo o permanente in qualsiasi momento, anche in caso di urgenza. Qualora uno Stato membro aumenti tali capacità massime di consultazione, comunica agli altri Stati membri, alla Commissione, a eu-LISA e a Europol le nuove capacità massime di consultazione. Qualora Europol aumenti tali capacità massime di consultazione, comunica agli Stati membri, alla Commissione e a eu-LISA le nuove capacità massime di consultazione
Articolo 24
Norme sulle domande e sulle risposte concernenti le immagini del volto
Una domanda di consultazione automatizzata di immagini del volto comprende soltanto le informazioni seguenti:
il codice dello Stato membro richiedente;
la data, l’ora e il numero di riferimento della domanda;
le immagini del volto e i dati di riferimento.
La risposta alla domanda di cui al paragrafo 1 contiene soltanto le informazioni seguenti:
l’indicazione della presenza di una o più corrispondenze, o della mancanza di corrispondenze;
la data, l’ora e il numero di riferimento della domanda;
la data, l’ora e il numero di riferimento della risposta;
i codici dello Stato membro richiedente e dello Stato membro richiesto;
i numeri di riferimento delle immagini del volto dello Stato membro richiedente e dello Stato membro richiesto;
le immagini del volto per le quali è stata riscontrata una corrispondenza.
Dati degli archivi di polizia
Articolo 25
Dati degli archivi di polizia
►C1 Gli Stati membri possono decidere di partecipare allo scambio automatizzato di dati di archivi di polizia. Ai fini di tali scambi, gli Stati membri partecipanti garantiscono la disponibilità di indici degli archivi di polizia nazionali contenenti serie di dati anagrafici di persone sospettate e condannate desunti dalle banche dati nazionali istituite a fini di prevenzione, accertamento e indagine di reati. Tali serie di dati contengono solo i dati seguenti se del caso e nella misura in cui sono disponibili: ◄
nome o nomi;
cognome o cognomi;
alias e nome o nomi usati in precedenza;
data di nascita;
cittadinanza o cittadinanze;
paese di nascita;
genere.
Articolo 26
Consultazione automatizzata di indici degli archivi di polizia nazionali
Ai fini della prevenzione, dell’accertamento e dell’indagine di reati punibili con una pena detentiva massima di almeno un anno ai sensi della legge dello Stato membro richiedente, gli Stati membri partecipanti allo scambio automatizzato di dati degli archivi di polizia consentono ai punti di contatto nazionali degli altri Stati membri partecipanti e ad Europol di accedere ai dati dei rispettivi indici dei casellari giudiziali nazionali per effettuare consultazioni automatizzate
Le consultazioni di cui al primo paragrafo sono svolte solo nel contesto di ciascun singolo caso e nel rispetto del diritto nazionale dello Stato membro richiedente.
Articolo 27
Numeri di riferimento per i dati degli archivi di polizia
I numeri di riferimento per i dati degli archivi di polizia sono costituiti dalla combinazione degli elementi seguenti:
un numero di riferimento che consenta agli Stati membri, in caso di corrispondenza, di estrarre dati anagrafici e altre informazioni dai loro indici degli archivi di polizia nazionali di cui all'articolo 25 al fine di trasmetterli a uno, ad alcuni o a tutti gli Stati membri conformemente all'articolo 44;
un codice indicante lo Stato membro che detiene i dati degli archivi di polizia.
Articolo 28
Norme sulle domande e sulle risposte concernenti i dati degli archivi di polizia
La risposta alla domanda di cui al paragrafo 1 contiene soltanto le informazioni seguenti:
l’indicazione del numero di corrispondenze;
la data, l’ora e il numero di riferimento della domanda;
la data, l’ora e il numero di riferimento della risposta;
i codici dello Stato membro richiedente e dello Stato membro richiesto;
i numeri di riferimento dei dati degli archivi di polizia dello Stato membro richiedente e dello Stato membro richiesto.
Articolo 29
Persone scomparse e resti umani non identificati
Qualora un’autorità nazionale sia stata autorizzata da misure legislative nazionali di cui al paragrafo 2, essa può effettuare consultazioni automatizzate attraverso il quadro Prüm II esclusivamente allo scopo di:
cercare persone scomparse nell’ambito di indagini penali o per motivi umanitari;
identificare resti umani.
Articolo 30
Punti di contatto nazionali
Ciascuno Stato membro designa uno o più punti di contatto nazionali ai fini di cui agli articoli 6, 11, 16, 20 e 26.
Articolo 31
Misure di attuazione
La Commissione adotta atti di esecuzione per specificare le modalità tecniche per gli Stati membri riguardo alle procedure di cui agli articoli 6, 11, 16, 20 e 26. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.
Articolo 32
Disponibilità dello scambio automatizzato di dati a livello nazionale
I punti di contatto nazionali, conformemente al diritto dell’Unione e nazionale applicabile, concordano a titolo temporaneo sistemi alternativi di scambio di informazioni conformemente al diritto dell’Unione e nazionale applicabile da utilizzare nei casi in cui non sia disponibile lo scambio automatizzato di dati.
Articolo 33
Giustificazione per il trattamento dei dati
Europol conserva registrazione delle giustificazioni delle interrogazioni che formula.
Le giustificazioni di cui al paragrafo 1 contengono:
la finalità dell’interrogazione, compreso un riferimento al caso specifico o all’indagine specifica e, ove applicabile, al reato;
l'indicazione dell'eventualità che l'interrogazione riguardi un sospetto, una persona condannata per un reato, una vittima di reato, una persona scomparsa o resti umani non identificati;
l’indicazione dell’eventualità che l’interrogazione intenda identificare una persona od ottenere maggiori dati su una persona nota.
Articolo 34
Uso del formato universale dei messaggi
CAPO 3
Architettura
Articolo 35
Router
Il router è costituito da:
un’infrastruttura centrale, che comprende uno strumento di ricerca per l’interrogazione simultanea delle banche dati nazionali di cui agli articoli 5, 10 e 19, e dei dati Europol;
un canale di comunicazione sicuro tra l’infrastruttura centrale, le autorità competenti autorizzate a usare il router a norma dell’articolo 36 ed Europol;
un’infrastruttura di comunicazione sicura tra l’infrastruttura centrale e il portale di ricerca europeo, istituito dall’articolo 6 del regolamento (UE) 2019/817 e dall’articolo 6 del regolamento (UE) 2019/818 ai fini dell’articolo 39.
Articolo 36
Uso del router
L’uso del router è riservato alle autorità competenti degli Stati membri che sono autorizzate ad avere accesso e a scambiare profili DNA, dati dattiloscopici e immagini del volto conformemente al presente regolamento, nonché a Europol, a norma del presente regolamento e del regolamento (UE) 2016/794.
Articolo 37
Procedimenti
Articolo 38
Controllo della qualità
Lo Stato membro richiesto verifica senza ritardo la qualità dei dati trasmessi con una procedura automatizzata.
Lo Stato membro richiesto informa senza ritardo lo Stato membro richiedente tramite il router qualora i dati risultino non idonei per un confronto automatizzato.
Articolo 39
Interoperabilità tra il router e l’archivio comune di dati di identità ai fini dell’accesso da parte delle autorità di contrasto
Le interrogazioni simultanee delle banche dati degli Stati membri, dei dati Europol e dell'archivio comune di dati di identità sono avviate soltanto qualora vi siano motivi ragionevoli per ritenere che i dati relativi a un sospetto, all'autore di un reato o a una vittima di un reato di terrorismo o di altri reati gravi quali definiti rispettivamente all'articolo 4, punti 21) e 22), del regolamento (UE) 2019/817 e all'articolo 4, punti 21) e 22), del regolamento (UE) 2019/818, siano conservati nell'archivio comune di dati di identità.
Articolo 40
Conservazione delle registrazioni
eu-LISA conserva le registrazioni di tutti i trattamenti di dati effettuati nel router. Tali registrazioni comprendono gli elementi seguenti:
se sia stato uno Stato membro o Europol ad avviare la domanda di interrogazione; qualora sia stato uno Stato membro ad avviare la domanda di interrogazione, lo Stato membro in questione;
la data e l’ora della domanda;
la data e l’ora della risposta;
le banche dati nazionali o i dati Europol a cui è stata inviata la domanda di interrogazione;
le banche dati nazionali o i dati Europol che hanno fornito una risposta;
ove applicabile, il fatto che è stata effettuata un’interrogazione simultanea dell’archivio comune di dati di identità.
Europol conserva le registrazioni delle interrogazioni effettuate dal proprio personale debitamente autorizzato.
Articolo 41
Procedure di notifica in caso di impossibilità tecnica dell’uso del router
Articolo 42
EPRIS
EPRIS è costituito da:
un'infrastruttura decentrata negli Stati membri, comprendente uno strumento di consultazione che consenta l'interrogazione simultanea degli indici degli archivi di polizia nazionali, sulla base delle banche dati nazionali;
un'infrastruttura centrale a sostegno dello strumento di consultazione che consenta l'interrogazione simultanea degli indici degli archivi di polizia nazionali;
un canale di comunicazione sicuro tra l’infrastruttura centrale, gli Stati membri ed Europol.
Articolo 43
Uso di EPRIS
Ai fini della consultazione degli indici degli archivi di polizia nazionali tramite EPRIS, è necessario utilizzare almeno due delle serie di dati seguenti:
nome o nomi;
cognome o cognomi;
data di nascita.
Laddove disponibile si può utilizzare anche la serie di dati seguente:
alias e nome o nomi usati in precedenza;
cittadinanza o cittadinanze;
paese di nascita;
genere.
Articolo 44
Procedimenti
EPRIS invia la domanda di interrogazione agli indici degli archivi di polizia nazionali degli Stati membri con i dati presentati dallo Stato membro richiedente o da Europol e conformemente al presente regolamento.
Articolo 45
Conservazione delle registrazioni
Ogni Stato membro partecipante ed Europol conserva le registrazioni di tutti i trattamenti di dati in EPRIS. Tali registrazioni comprendono gli elementi seguenti:
se sia stato uno Stato membro o Europol ad avviare la domanda di interrogazione; qualora sia stato uno Stato membro ad avviare la domanda, lo Stato membro in questione;
la data e l’ora della domanda;
la data e l’ora della risposta;
le banche dati nazionali a cui è stata inviata la domanda di interrogazione;
le banche dati nazionali che hanno fornito una risposta.
Articolo 46
Procedure di notifica in caso di impossibilità tecnica dell’uso di EPRIS
CAPO 4
Scambio di dati a seguito di una corrispondenza
Articolo 47
Scambio di dati di base
Una serie di dati di base è rinviata tramite il router entro 48 ore da quando sono soddisfatte tutte le condizioni seguenti:
le procedure di cui agli articoli 6, 11 o 20 mostrano una corrispondenza tra i dati utilizzati per la consultazione e i dati conservati nella banca dati dello Stato membro o degli Stati membri richiesti;
la corrispondenza di cui alla lettera a) del presente paragrafo è stata confermata manualmente da parte di un membro qualificato del personale dello Stato membro richiedente di cui all’articolo 6, paragrafo 6, all’articolo 11, paragrafo 2, e all’articolo 20, paragrafo 2, o, in caso di profili DNA di cui all’articolo 6, paragrafo 7, dello Stato membro o degli Stati membri richiesti;
una descrizione dei fatti e un’indicazione del reato sottostante sono state trasmesse, utilizzando la tabella comune delle categorie di reati stabilita in un atto di esecuzione da adottare a norma dell’articolo 11 ter, paragrafo 1, lettera a), della decisione quadro 2009/315/GAI, da parte dello Stato membro richiedente o, in caso di profili DNA di cui all’articolo 6, paragrafo 7, dello Stato membro o dagli Stati membri richiesti, al fine di valutare la proporzionalità della richiesta, compresa la gravità del reato per il quale è stata effettuata una consultazione, conformemente al diritto nazionale dello Stato membro che fornisce la serie di dati di base.
Se la corrispondenza confermata riguarda dati identificati di una persona, l’insieme di dati di base di cui al paragrafo 1 contiene i seguenti dati, nella misura in cui sono disponibili:
nome o nomi;
cognome o cognomi;
alias e nome o nomi usati in precedenza;
data di nascita;
cittadinanza o cittadinanze;
luogo e paese di nascita;
sesso;
la data e il luogo in cui i dati biometrici sono stati acquisiti;
il reato per il quale i dati biometrici sono stati acquisiti;
il numero del fascicolo d’indagine;
l'autorità competente per il fascicolo d’indagine.
Se la corrispondenza confermata riguarda dati o tracce non identificati, l’insieme di dati di base di cui al paragrafo 1 contiene i seguenti dati, nella misura in cui sono disponibili:
la data e il luogo in cui i dati biometrici sono stati acquisiti;
il reato per il quale i dati biometrici sono stati acquisiti;
il numero del fascicolo d’indagine;
l'autorità competente per il fascicolo d’indagine.
CAPO 5
Europol
Articolo 48
Accesso da parte degli Stati membri ai dati biometrici forniti da paesi terzi e conservati da Europol
Articolo 49
Accesso da parte di Europol ai dati conservati nelle banche dati degli Stati membri tramite l’uso di dati forniti da paesi terzi
Lo Stato membro richiesto decide entro 48 ore se rinviare una serie di dati di base tramite il router a decorrere da quando sono soddisfatte tutte le condizioni seguenti:
una corrispondenza di cui al primo comma è stata manualmente confermata da parte di un membro qualificato del personale di Europol;
una descrizione dei fatti e un’indicazione del reato sottostante sono state trasmesse, utilizzando la tabella comune delle categorie di reati stabiliti in un atto di esecuzione da adottare a norma dell’articolo 11 ter, paragrafo 1, lettera a), della decisione quadro 2009/315/GAI, da parte di Europol, al fine di valutare la proporzionalità della richiesta, compresa la gravità del reato per il quale è stata effettuata una consultazione, conformemente al diritto nazionale dello Stato membro che fornisce l’insieme di dati di base;
il nome del paese terzo che ha fornito i dati è stato trasmesso.
Se, in base alla legislazione nazionale, uno Stato membro può fornire una serie particolare di dati di base solo previa autorizzazione giudiziaria, tale Stato membro può derogare ai termini stabiliti nel secondo comma nella misura necessaria all’ottenimento di tale autorizzazione.
Se la corrispondenza confermata riguarda dati identificati di una persona, l’insieme di dati di base di cui al secondo comma contiene, nella misura del possibile, i dati seguenti:
nome o nomi;
cognome o cognomi;
alias e nome o nomi usati in precedenza;
data di nascita;
cittadinanza o cittadinanze;
luogo e paese di nascita;
genere;
la data e il luogo in cui i dati biometrici sono stati acquisiti;
il reato per il quale i dati biometrici sono stati acquisiti;
il numero del fascicolo d’indagine;
l'autorità competente per il fascicolo d’indagine.
Se la corrispondenza confermata riguarda dati o tracce non identificati di una persona, l’insieme di dati di base di cui al secondo comma contiene i dati seguenti, nella misura in cui sono disponibili:
la data e il luogo in cui i dati biometrici sono stati acquisiti;
il reato per il quale i dati biometrici sono stati acquisiti;
il numero del fascicolo d’indagine;
l'autorità competente per il fascicolo d’indagine.
Il rinvio dei dati di base da parte dello Stato membro richiesto è soggetta alla decisione di un essere umano.
CAPO 6
Protezione dei dati
Articolo 50
Finalità del trattamento dei dati
Il trattamento dei dati trasmessi da uno Stato membro o da Europol a norma degli articoli 6, 11, 16, 20 o 26 è autorizzato esclusivamente ove necessario allo scopo di:
stabilire se esista una corrispondenza tra i profili DNA, i dati dattiloscopici, i dati di immatricolazione dei veicoli, le immagini del volto o i dati degli archivi di polizia oggetto del confronto;
scambiare una serie di dati di base conformemente all’articolo 47;
predisporre e introdurre una domanda di assistenza legale da parte delle autorità di polizia o giudiziarie in caso di corrispondenza tra i dati;
conservare registrazioni a norma degli articoli 18, 40 e 45.
Articolo 51
Esattezza, pertinenza e conservazione dei dati
I dati che non avrebbero dovuto essere trasmessi o ricevuti sono cancellati. I dati lecitamente trasmessi e ricevuti sono cancellati:
se non sono o non sono più necessari per le finalità per le quali sono stati trasmessi;
al termine del periodo massimo di conservazione dei dati a norma del diritto nazionale dello Stato membro che ha fornito i dati, qualora quest’ultimo abbia indicato tale periodo massimo allo Stato membro che ha ricevuto i dati o a Europol all’atto della trasmissione; o
dopo la scadenza del periodo massimo di conservazione dei dati di cui al regolamento (UE) 2016/794.
Il trattamento di dati è soggetto a limitazione, e i dati non sono cancellati, quando vi sono motivi di ritenere che la loro cancellazione pregiudicherebbe gli interessi dell’interessato. Qualora il trattamento di dati è stato limitato, essi sono trattati solo per le finalità che ne hanno impedito la cancellazione.
Articolo 52
Responsabile del trattamento
Articolo 53
Sicurezza del trattamento
In particolare eu-LISA adotta le misure necessarie in merito al router ed Europol adotta le misure necessarie in merito ad EPRIS, al fine di:
proteggere fisicamente i dati, tra l’altro mediante l’elaborazione di piani di emergenza per la protezione delle infrastrutture critiche;
negare alle persone non autorizzate l’accesso alle attrezzature e alle strutture utilizzate per il trattamento di dati;
impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate;
impedire che i dati siano inseriti senza autorizzazione e che sia presa visione senza autorizzazione dei dati personali registrati, o che gli stessi siano modificati o cancellati senza autorizzazione;
impedire che i dati siano trattati, copiati, modificati o cancellati senza autorizzazione;
impedire che persone non autorizzate usino sistemi di trattamento automatizzato di dati servendosi di attrezzature per la comunicazione di dati;
garantire, tramite identità di utente individuali ed esclusivamente con modalità di accesso riservato che le persone autorizzate ad accedere al router o ad EPRIS, a seconda dei casi, abbiano accesso solo ai dati previsti dalla loro autorizzazione di accesso;
garantire che sia possibile verificare e stabilire a quali organismi possono essere trasmessi dati personali mediante attrezzature di comunicazione di dati;
garantire che sia possibile verificare e stabilire quali dati sono stati trattati nel router o in EPRIS, a seconda dei casi, e quando, da chi e per quale finalità sono stati trattati;
impedire, in particolare mediante tecniche appropriate di cifratura, che, all’atto della trasmissione di dati personali dal router o da EPRIS, a seconda dei casi, o verso gli stessi ovvero durante il trasporto dei supporti di dati, tali dati personali possano essere letti, copiati, modificati o cancellati senza autorizzazione;
garantire che, in caso di interruzione, i sistemi installati possano essere ripristinati;
garantire l’affidabilità, accertandosi che eventuali anomalie nel funzionamento del router o dell’EPRIS, a seconda dei casi, siano adeguatamente segnalate;
monitorare l’efficacia delle misure di sicurezza di cui al presente paragrafo e adottare le necessarie misure organizzative relative al monitoraggio interno per garantire l’osservanza del presente regolamento e valutare le misure di sicurezza alla luce dei nuovi sviluppi tecnologici.
Le misure necessarie di cui al primo comma comprendono un piano di sicurezza, un piano di continuità operativa e un piano di ripristino in caso di disastro.
Articolo 54
Incidenti di sicurezza
Fatto salvo l’articolo 92 del regolamento (UE) 2018/1725, qualora si verifichi un incidente di sicurezza in relazione all’infrastruttura centrale del router, eu-LISA notifica al servizio per la cibersicurezza delle istituzioni, degli organi e degli organismi dell’Unione (CERT-UE) senza indebito ritardo, e in ogni caso entro 24 ore da quando ne viene a conoscenza, minacce informatiche significative, vulnerabilità significative e incidenti significativi. Dettagli tecnici adeguati e di pronta utilizzazione, concernenti minacce, vulnerabilità e incidenti a livello informatico, che consentono misure proattive di indagine, risposta a incidenti o mitigazione sono comunicati a CERT-UE senza indebito ritardo.
Fatti salvi l’articolo 34 del regolamento (UE) 2016/794 e l’articolo 92 del regolamento (UE) 2018/1725, qualora si verifichi un incidente di sicurezza in relazione all’infrastruttura centrale di EPRIS, Europol notifica a CERT-UE senza indebito ritardo, e in ogni caso entro 24 ore da quando ne viene a conoscenza, minacce informatiche significative, vulnerabilità significative e incidenti significativi. Dettagli tecnici adeguati e di pronta utilizzazione, concernenti minacce, vulnerabilità e incidenti a livello informatico, che consentono misure proattive di indagine, risposta a incidenti o mitigazione sono comunicati a CERT-UE senza indebito ritardo.
Articolo 55
Verifica interna
Articolo 56
Sanzioni
Gli Stati membri provvedono affinché qualsiasi uso improprio, trattamento o scambio di dati in contrasto con il presente regolamento sia punibile ai sensi del diritto nazionale. Le sanzioni previste sono effettive, proporzionate e dissuasive.
Articolo 57
Responsabilità
Se l’inosservanza degli obblighi del presente regolamento da parte di uno Stato membro o, nell’effettuare interrogazioni a norma dell’articolo 49, di Europol, arreca danni al router o ad EPRIS, tale Stato membro o Europol è responsabile di tale danno, a meno che e nella misura in cui eu-LISA, Europol o un altro Stato membro vincolato dal presente regolamento abbia omesso di adottare provvedimenti ragionevolmente idonei a prevenire il danno o ridurne al minimo l’impatto.
Articolo 58
Audit del Garante europeo della protezione dei dati
Articolo 59
Cooperazione tra le autorità di vigilanza e il Garante europeo della protezione dei dati
Articolo 60
Trasferimento di dati personali a paesi terzi e ad organizzazioni internazionali
Uno Stato membro trasferisce dati personali ottenuti a norma del presente regolamento a un paese terzo o a un’organizzazione internazionale in conformità del capo V della direttiva (UE) 2016/680 e se lo Stato membro richiesto ha concesso la propria autorizzazione prima del trasferimento.
Europol trasferisce soli i dati personali ottenuti a norma del presente regolamento a un paese terzo o un’organizzazione internazionale se sono soddisfatte le condizioni di cui all’articolo 25 del regolamento (UE) 2016/794 e se lo Stato membro richiesto ha concesso la propria autorizzazione prima del trasferimento.
Articolo 61
Relazione con altri atti giuridici in materia di protezione dei dati
Qualsiasi trattamento di dati personali ai fini del presente regolamento è effettuato in conformità del presente capo e della direttiva (UE) 2016/680 o dei regolamenti (UE) 2018/1725, (UE) 2016/794 o (UE) 2016/679, a seconda dei casi.
CAPO 7
Responsabilità
Articolo 62
Responsabilità di dovuta diligenza
Gli Stati membri ed Europol valutano con la dovuta diligenza se lo scambio automatizzato di dati rientra nelle finalità del quadro Prüm II di cui all’articolo 2 e se rispetta le condizioni in esso fissate, in particolare per quanto riguarda i diritti fondamentali.
Articolo 63
Formazione
Il personale autorizzato delle autorità competenti degli Stati membri, delle autorità di vigilanza e di Europol, ricevono, se del caso, risorse e una formazione adeguate, in particolare in materia di protezione dei dati e di accurata revisione delle corrispondenze, al fine di svolgere le funzioni conformemente al presente regolamento.
Articolo 64
Responsabilità degli Stati membri
Ogni Stato membro è competente per quanto segue:
la connessione all’infrastruttura del router;
l’integrazione dei sistemi e delle proprie infrastrutture nazionali esistenti con il router;
l’organizzazione, la gestione, il funzionamento e la manutenzione della sua infrastruttura nazionale esistente e della sua connessione al router;
la connessione all’infrastruttura di EPRIS;
l’integrazione dei sistemi e delle proprie infrastrutture nazionali esistenti con EPRIS;
l’organizzazione, la gestione, il funzionamento e la manutenzione della sua infrastruttura nazionale esistente e della sua connessione a EPRIS;
la gestione dell’accesso e le modalità di accesso al router da parte del proprio personale debitamente autorizzato delle autorità competenti a norma del presente regolamento, nonché la creazione e l’aggiornamento periodico di un elenco di tale personale con le relative qualifiche;
la gestione dell’accesso e le modalità di accesso a EPRIS da parte del proprio personale debitamente autorizzato delle autorità competenti a norma del presente regolamento, nonché la creazione e l’aggiornamento periodico di un elenco di tale personale con le relative qualifiche;
la gestione dell’accesso e le modalità di accesso a EUCARIS da parte del proprio personale debitamente autorizzato delle autorità competenti a norma del presente regolamento, nonché la creazione e l’aggiornamento periodico di un elenco di tale personale con le relative qualifiche;
la conferma manuale da parte di personale qualificato di una corrispondenza di cui all’articolo 6, paragrafo 6, all’articolo 6, paragrafo 7, all’articolo 11, paragrafo 2, e all’articolo 20, paragrafo 2;
la garanzia della disponibilità dei dati necessari per lo scambio di dati di cui agli articoli 5, 10, 16, 19 e 25;
lo scambio di informazioni di cui agli articoli 6, 11, 16, 20 e 26;
la rettifica, l’aggiornamento o la cancellazione dei dati ricevuti da uno Stato membro richiesto entro 48 ore dalla notifica da parte dello Stato membro richiesto del fatto che i dati trasmessi erano inesatti, non più aggiornati o sono stati trasmessi illecitamente;
la conformità ai requisiti di qualità dei dati stabiliti nel presente regolamento.
Articolo 65
Responsabilità di Europol
Europol è responsabile della gestione tecnica di EPRIS. La gestione tecnica di EPRIS consiste nell’insieme dei compiti e delle soluzioni tecniche necessari per garantire il funzionamento dell’infrastruttura centrale di EPRIS e la fornitura ininterrotta di servizi agli Stati membri 24 ore su 24 e 7 giorni su 7 a norma del presente regolamento. Essa comprende la manutenzione e gli adeguamenti tecnici necessari per garantire che EPRIS funzioni a un livello di qualità tecnica soddisfacente, specialmente per quanto riguarda i tempi di risposta per la presentazione delle domande alle banche dati nazionali, conformemente alle specifiche tecniche.
Articolo 66
Responsabilità di eu-LISA in fase di progettazione e sviluppo del router
Ogni mese il consiglio di gestione del programma presenta relazioni scritte al consiglio di amministrazione di eu-LISA sui progressi del progetto. Il consiglio di gestione del programma non ha potere decisionale, né mandato di rappresentare i membri del consiglio di amministrazione di eu-LISA.
Il gruppo consultivo sull’interoperabilità di cui all’articolo 78 si riunisce regolarmente fino all’entrata in funzione del router. Dopo ciascuna riunione, esso riferisce al consiglio di gestione del programma. Esso fornisce la consulenza tecnica a sostegno delle attività del consiglio di gestione del programma e monitora lo stato di preparazione degli Stati membri.
Articolo 67
Responsabilità di eu-LISA in seguito all'entrata in funzione del router
La gestione tecnica del router consiste nell’insieme dei compiti e delle soluzioni tecniche necessari per garantire il funzionamento del router e la fornitura ininterrotta di servizi agli Stati membri e a Europol 24 ore su 24 e 7 giorni su 7 a norma del presente regolamento. Essa comprende la manutenzione e gli adeguamenti tecnici necessari per garantire che il router funzioni a un livello di qualità tecnica soddisfacente, specialmente per quanto riguarda la disponibilità e i tempi di risposta per la presentazione di domande alle banche dati nazionali e ai dati Europol, conformemente alle specifiche tecniche.
Il router è sviluppato e gestito in maniera tale da garantire un accesso rapido, efficiente e controllato, la disponibilità completa e ininterrotta del router e un tempo di risposta in linea con le esigenze operative delle autorità competenti degli Stati membri e di Europol.
eu-LISA non ha accesso a nessuno dei dati personali trattati tramite il router.
CAPO 8
Modifiche di altri strumenti vigenti
Articolo 68
Modifiche delle decisioni del Consiglio 2008/615/GAI e 2008/616/GAI
Articolo 69
Modifiche del regolamento (EU) 2018/1726
Il regolamento (UE) 2018/1726 è così modificato:
è inserito il seguente articolo:
«Articolo 8 quinquies
Compiti relativi al router Prüm II
Con riguardo al router Prüm II, l’Agenzia svolge i compiti relativi che le sono conferiti da tale regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio ( *1 ).
all’articolo 17, paragrafo 3, il secondo comma è sostituito dal seguente:
«I compiti relativi allo sviluppo e alla gestione operativa di cui all’articolo 1, paragrafi 4 e 5, agli articoli da 3 a 8, e agli articoli 8 quinquies, 9 e 11 sono svolti nel sito tecnico di Strasburgo (Francia).»;
all’articolo 19, il paragrafo 1 è così modificato:
è inserita la lettera seguente:
adotta relazioni sulla situazione dello sviluppo del router Prüm II in conformità dell’articolo 80, paragrafo 2 del regolamento (UE) 2024/982.»;
la lettera ff) è sostituita dalla seguente:
adotta relazioni sul funzionamento tecnico di quanto segue:
il VIS in conformità dell’articolo 50, paragrafo 3, del regolamento (CE) n. 767/2008 e dell’articolo 17, paragrafo 3, della decisione 2008/633/GAI;
l’EES in conformità dell’articolo 72, paragrafo 4, del regolamento (UE) 2017/2226;
l’ETIAS in conformità dell’articolo 92, paragrafo 4, del regolamento (UE) 2018/1240;
l’ECRIS-TCN e dell’implementazione di riferimento ECRIS in conformità dell’articolo 36, paragrafo 8, del regolamento (UE) 2019/816;
le componenti dell’interoperabilità in conformità dell’articolo 78, paragrafo 3, del regolamento (UE) 2019/817 e dell’articolo 74, paragrafo 3, del regolamento (UE) 2019/818;
il sistema e-CODEX in conformità dell’articolo 16, paragrafo 1, del regolamento (UE) 2022/850;
la piattaforma di collaborazione per le SIC in conformità dell’articolo 26, paragrafo 6, del regolamento (UE) 2023/969;
il router Prüm II in conformità dell’articolo 80, paragrafo 5, del regolamento (UE) 2024/982;
la lettera hh) è sostituita dalla seguente:
adotta osservazioni formali sulle relazioni del Garante europeo della protezione dei dati relative ai suoi controlli in conformità dell’articolo 56, paragrafo 2, del regolamento (UE) 2018/1861, dell’articolo 42, paragrafo 2, del regolamento (CE) n. 767/2008, dell’articolo 31, paragrafo 2, del regolamento (UE) n. 603/2013, dell’articolo 56, paragrafo 2, del regolamento (UE) 2017/2226, dell’articolo 67 del regolamento (UE) 2018/1240, dell’articolo 29, paragrafo 2, del regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio e dell’articolo 52 dei regolamenti (UE) 2019/817 e (UE) 2019/818 e dell’articolo 58, paragrafo 1, del regolamento (UE) 2024/982 e assicura un adeguato seguito a tali controlli;».
Articolo 70
Modifiche del regolamento (EU) 2019/817
All’articolo 6, paragrafo 2, del regolamento (UE) 2019/817 è aggiunta la lettera seguente:
un’infrastruttura di comunicazione sicura tra l’ESP e il router istituito dal regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio ( *4 ).
Articolo 71
Modifiche del regolamento (EU) 2019/818
Il regolamento (UE) 2019/818 è così modificato:
all’articolo 6, paragrafo 2, è aggiunta la lettera seguente:
un’infrastruttura di comunicazione sicura tra l’ESP e il router istituito dal regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio ( *5 ).
all’articolo 39, i paragrafi 1 e 2 sono sostituiti dai seguenti:
.
CAPO 9
Disposizioni finali
Articolo 72
Relazioni e statistiche
Ove necessario, il personale debitamente autorizzato delle autorità competenti degli Stati membri, della Commissione, di eu-LISA e di Europol ha accesso ai seguenti dati relativi al router, unicamente per elaborare relazioni e statistiche:
numero di interrogazioni presentate da ciascuno Stato membro e da Europol per ciascuna categoria di dati;
numero di interrogazioni di ciascuna banca dati connessa;
numero di corrispondenze rispetto alla banca dati di ciascuno Stato membro per ciascuna categoria di dati;
numero di corrispondenze rispetto ai dati Europol per ciascuna categoria di dati;
numero di corrispondenze confermate in relazione alle quali sono stati scambiati dati di base;
numero di corrispondenze confermate in relazione alle quali non sono stati scambiati dati di base;
numero di interrogazioni dell’archivio comune di dati di identità tramite il router; e
numero di corrispondenze per ciascun tipo come segue:
dati identificati (persona) - dati non identificati (traccia);
dati non identificati (traccia) - dati identificati (persona);
dati non identificati (traccia) - dati non identificati (traccia);
dati identificati (persona) - dati non identificati (persona).
I dati di cui al primo comma non consentono l’identificazione di persone fisiche.
Il personale debitamente autorizzato delle autorità competenti degli Stati membri, della Commissione e di Europol ha accesso ai seguenti dati relativi ad EUCARIS, unicamente per elaborare relazioni e statistiche:
numero di interrogazioni presentate da ciascuno Stato membro e numero di interrogazioni presentate da Europol;
numero di interrogazioni di ciascuna banca dati connessa; e
numero di corrispondenze rispetto alla banca dati di ciascuno Stato membro.
I dati di cui al primo comma non consentono l’identificazione di persone fisiche.
Il personale debitamente autorizzato delle autorità competenti degli Stati membri, della Commissione e di Europol ha accesso ai seguenti dati relativi ad EPRIS, unicamente per elaborare relazioni e statistiche:
numero di interrogazioni presentate da ciascuno Stato membro e numero di interrogazioni presentate da Europol;
numero di interrogazioni di ciascun indice connesso; e
numero di corrispondenze rispetto alla banca dati di ciascuno Stato membro.
I dati di cui al primo comma non consentono l’identificazione di persone fisiche.
Articolo 73
Spese
Sono escluse le spese seguenti:
l’ufficio di gestione di progetto degli Stati membri (riunioni, missioni, uffici);
l’hosting dei sistemi informatici nazionali (spazio, implementazione, elettricità, impianti di raffreddamento);
la gestione di sistemi IT nazionali (operatori e contratti di assistenza);
la progettazione, lo sviluppo, l’implementazione, il funzionamento e la manutenzione di reti di comunicazione nazionali.
Articolo 74
Comunicazioni
Articolo 75
Entrata in funzione
La Commissione fissa, mediante atto di esecuzione, la data a decorrere dalla quale gli Stati membri ed Europol possono iniziare ad utilizzare il router una volta che siano soddisfatte le condizioni seguenti:
sono state adottate le misure di cui all’articolo 5, paragrafo 3, all’articolo 8, paragrafi 2 e 3, all’articolo 13, paragrafi 2 e 3, all’articolo 17, paragrafo 3, all’articolo 22, paragrafi 2 e 3, all’articolo 31 e all’articolo 37, paragrafo 6;
eu-LISA ha dichiarato il positivo completamento di un collaudo generale del router che ha effettuato in cooperazione con le autorità competenti degli Stati membri ed Europol.
La Commissione stabilisce, tramite l’atto di esecuzione di cui al primo comma, la data a decorrere dalla quale gli Stati membri ed Europol devono iniziare a utilizzare il router. Tale data è fissata un anno dopo la data di cui al primo comma.
La Commissione può rinviare al massimo di un anno la data a decorrere dalla quale gli Stati membri ed Europol devono iniziare a utilizzare il router qualora una valutazione dell’attuazione del router abbia dimostrato la necessità di tale rinvio.
La Commissione fissa, mediante atto di esecuzione, la data a decorrere dalla quale gli Stati membri ed Europol devono iniziare ad utilizzare EPRIS una volta che siano soddisfatte le condizioni seguenti:
sono state adottate le misure di cui all’articolo 44, paragrafo 6;
Europol ha dichiarato il positivo completamento di un collaudo generale di EPRIS che ha effettuato in cooperazione con le autorità competenti degli Stati membri.
La Commissione fissa, mediante atto di esecuzione, la data a decorrere dalla quale Europol deve mettere a disposizione degli Stati membri i dati biometrici provenienti da paesi terzi a norma dell’articolo 48 una volta che siano soddisfatte le condizioni seguenti:
il router è in funzione;
Europol ha dichiarato il positivo completamento di un collaudo generale della connessione che ha effettuato in cooperazione con le autorità competenti degli Stati membri ed eu-LISA.
La Commissione fissa, mediante atto di esecuzione, la data a decorrere dalla quale Europol deve avere accesso ai dati conservati nelle banche dati degli Stati membri a norma dell’articolo 49 una volta che siano soddisfatte le condizioni seguenti:
il router è in funzione;
Europol ha dichiarato il positivo completamento di un collaudo generale della connessione che ha effettuato in cooperazione con le autorità competenti degli Stati membri ed eu-LISA.
Articolo 76
Disposizioni transitorie e deroghe
Articolo 77
Procedura di comitato
Articolo 78
Gruppo consultivo sull’interoperabilità
Le competenze del gruppo consultivo sull’interoperabilità istituito dall’articolo 75 del regolamento (UE) 2019/817 e dall’articolo 71 del regolamento (UE) 2019/818 sono estese al router. Tale gruppo consultivo sull’interoperabilità fornisce ad eu-LISA la competenza tecnica relativa al router, in particolare nel contesto della preparazione del programma di lavoro annuale e della relazione annuale di attività.
Articolo 79
Manuale pratico
La Commissione, in stretta cooperazione con gli Stati membri, eu-LISA. Europol e l’Agenzia dell’Unione europea per i diritti fondamentali, mette a disposizione un manuale pratico per l’attuazione e la gestione del presente regolamento. Il manuale pratico fornisce orientamenti tecnici e operativi, raccomandazioni e migliori prassi. La Commissione adotta il manuale pratico sotto forma di raccomandazione prima dell’entrata in funzione del router e di EPRIS. La Commissione aggiorna il manuale pratico periodicamente e laddove necessario.
Articolo 80
Monitoraggio e valutazione
Europol provvede affinché siano istituite procedure per monitorare lo sviluppo di EPRIS rispetto agli obiettivi relativi alla pianificazione e alle spese, nonché per monitorare il suo funzionamento rispetto agli obiettivi prefissati in termini di risultati tecnici, di rapporto costi/benefici, di sicurezza e di qualità del servizio.
Una volta che lo sviluppo del router è completato, eu-LISA presenta al Parlamento europeo e al Consiglio una relazione che illustra nel dettaglio il modo in cui sono stati conseguiti gli obiettivi, in particolare quelli relativi alla pianificazione e alle spese e che giustifica eventuali scostamenti.
Una volta che lo sviluppo di EPRIS è completato, Europol presenta al Parlamento europeo e al Consiglio una relazione che illustra nel dettaglio il modo in cui sono stati conseguiti gli obiettivi, in particolare quelli relativi alla pianificazione e alle spese e che giustifica eventuali scostamenti.
Un anno dopo l’entrata in funzione del router e successivamente ogni due anni, la Commissione presenta una relazione che valuti l’uso delle immagini del volto a norma del presente regolamento.
La relazione di cui al primo e al secondo comma comprende quanto segue:
una valutazione dell’applicazione del presente regolamento, compreso il suo uso da parte di ciascuno Stato membro e di Europol;
un’analisi dei risultati conseguiti in relazione agli obiettivi del presente regolamento e della sua incidenza sui diritti fondamentali;
l’incidenza, l’efficacia e l’efficienza del quadro Prüm II e delle sue prassi di lavoro alla luce dei suoi obiettivi, del suo mandato e dei suoi compiti;
una valutazione della sicurezza del quadro Prüm II.
La Commissione trasmette tali relazioni di valutazione al Parlamento europeo, al Consiglio, al Garante europeo della protezione dei dati e all’Agenzia dell’Unione europea per i diritti fondamentali.
Articolo 81
Entrata in vigore e applicabilità
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile negli Stati membri conformemente ai trattati.
( 1 ) Direttiva (EU) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80).
( 2 ) GU L 56 del 4.3.1968, pag. 1.
( *1 ) Regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio, del 24 marzo 2024, sullo scambio automatizzato di dati per la cooperazione di polizia («Prüm II») e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (GU L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj)»;
( *2 ) Regolamento (UE) 2018/1861 del Parlamento europeo e del Consiglio, del 28 novembre 2018, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen (SIS) nel settore delle verifiche di frontiera, che modifica la convenzione di applicazione dell’accordo di Schengen e abroga il regolamento (CE) n. 1987/2006 (GU L 312 del 7.12.2018, pag. 14).
( *3 ) Regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio, del 28 novembre 2018, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen (SIS) nel settore della cooperazione di polizia e della cooperazione giudiziaria in materia penale, che modifica e abroga la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (CE) n. 1986/2006 del Parlamento europeo e del Consiglio e la decisione 2010/261/UE della Commissione (GU L 312 del 7.12.2018, pag. 56).»;
( *4 ) Regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio, del 13 marzo 2024, sulla ricerca e sullo scambio automatizzati di dati per la cooperazione di polizia e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (regolamento «Prüm II») (GU L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj).».
( *5 ) Regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio, del 13 marzo 2024, sulla consultazione e sullo scambio automatizzati di dati per la cooperazione di polizia e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (regolamento «Prüm II») (GU L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj)»;