02024R0982-20240405

El acceso al Derecho de la Unión Europea

Idioma
- Mi EUR-Lex
- Iniciar sesión
- Registrarse
- Mis búsquedas recientes (0)

Este documento es un extracto de la web EUR-Lex

Consejos de búsqueda

¿Necesita más opciones de búsqueda? Utilice la Búsqueda avanzada

EUROPA
EUR-Lex Inicio
EUR-Lex - 02024R0982-20240405 - ES

Documento 02024R0982-20240405

Ayuda

Texto consolidado: Regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio, del 13 marzo 2024, sulla consultazione e lo scambio automatizzati di dati per la cooperazione di polizia e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (regolamento Prüm II)

Acceder al acto jurídico inicial

(

Estatuto jurídico del documento Vigente

)

ELI: http://data.europa.eu/eli/reg/2024/982/2024-04-05

HTML

PDF

El documento no está disponible en el idioma de su interfaz de usuario

02024R0982 — IT — 05.04.2024 — 000.001

Il presente testo è un semplice strumento di documentazione e non produce alcun effetto giuridico. Le istituzioni dell’Unione non assumono alcuna responsabilità per i suoi contenuti. Le versioni facenti fede degli atti pertinenti, compresi i loro preamboli, sono quelle pubblicate nella Gazzetta ufficiale dell’Unione europea e disponibili in EUR-Lex. Tali testi ufficiali sono direttamente accessibili attraverso i link inseriti nel presente documento

►B

REGOLAMENTO (UE) 2024/982 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 13 marzo 2024

sulla consultazione e lo scambio automatizzati di dati per la cooperazione di polizia e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (regolamento «Prüm II»)

(GU L 982 del 5.4.2024, pag. 1)

Rettificato da:

►C1	Rettifica, GU L 90251, 22.4.2024, pag. 1 (2024/982)

▼B

REGOLAMENTO (UE) 2024/982 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 13 marzo 2024

CAPO 1

Disposizioni generali

Articolo 1

Oggetto

Il presente regolamento istituisce un quadro per la ricerca e lo scambio di informazioni tra le autorità competenti degli Stati membri (quadro Prüm II) stabilendo:

▼C1

le condizioni e le procedure per la consultazione automatizzata di profili DNA, dati dattiloscopici, determinati dati di immatricolazione dei veicoli, immagini del volto e dati degli archivi di polizia; e

▼B

le norme relative allo scambio di dati di base a seguito di una corrispondenza confermata relativa a dati biometrici.

Articolo 2

Finalità

L’obiettivo del quadro Prüm II è di intensificare la cooperazione transfrontaliera nelle materie disciplinate dalla parte III, titolo V, capi 4 e 5, del trattato sul funzionamento dell’Unione europea, in particolare facilitando lo scambio di informazioni tra autorità competenti degli Stati membri, nel pieno rispetto dei diritti fondamentali delle persone fisiche, tra cui il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali, conformemente alla Carta dei diritti fondamentali dell’Unione europea.

L’obiettivo del quadro Prüm II è altresì di consentire alle autorità competenti degli Stati membri la ricerca di persone scomparse nel quadro di indagini penali o per motivi umanitari e l’identificazione di resti umani, conformemente all’articolo 29, a condizione che tali autorità siano state abilitate ad effettuare tali ricerche e tali identificazioni a norma del diritto nazionale.

Articolo 3

Ambito di applicazione

▼C1

Il presente regolamento si applica alle banche dati istituite in conformità del diritto nazionale e utilizzate per il trasferimento automatizzato di: profili DNA, dati dattiloscopici, determinati dati di immatricolazione dei veicoli, immagini del volto e dati degli archivi di polizia e, conformemente, a seconda dei casi, alla direttiva (UE) 2016/680 o ai regolamenti (UE) 2018/1725, (UE) 2016/794 o (UE) 2016/679.

▼B

Articolo 4

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

«loci» (singolare «locus»): posizioni del DNA che contengono caratteristiche identificative di un campione di DNA umano analizzato;

«profilo DNA»: un codice alfanumerico che rappresenta una serie di loci o la particolare struttura molecolare nei vari loci;

«dati indicizzati sul DNA»: il profilo DNA e il numero di riferimento di cui all’articolo 7;

«profilo DNA identificato»: il profilo DNA di una persona identificata;

«profilo DNA non identificato»: il profilo DNA rilevato nel corso delle indagini penali e appartenente a una persona non ancora identificata, compreso il profilo DNA ottenuto da tracce;

«dati dattiloscopici»: immagini delle impronte digitali, immagini delle impronte digitali latenti, immagini delle impronte palmari, immagini delle impronte palmari latenti e modelli di tali immagini (minutiae codificate), che sono conservati e trattati in una banca dati automatizzata;

«dati indicizzati dattiloscopici»: i dati dattiloscopici e il numero di riferimento di cui all’articolo 12;

«dati dattiloscopici non identificati»: dati dattiloscopici raccolti nel corso delle indagini penali e appartenenti a una persona non ancora identificata, compresi dati dattiloscopici ottenuti da tracce;

«dati dattiloscopici identificati»: i dati dattiloscopici di una persona identificata;

10)

«singolo caso»: un singolo fascicolo relativo alla prevenzione, all’accertamento o all’indagine di un reato, alla ricerca di una persona scomparsa o all’identificazione di resti umani non identificati;

11)

«immagine del volto»: un’immagine digitalizzata del volto;

12)

«dati indicizzati sull’immagine del volto»: l’immagine del volto e il numero di riferimento di cui all’articolo 21;

13)

«immagine del volto non identificata»: un’immagine del volto raccolta nel corso di un’indagine penale e appartenente a una persona non ancora identificata, compresa un’immagine del volto ottenuta da tracce;

14)

«immagine del volto identificata»: l’immagine del volto di una persona identificata;

15)

«dati biometrici»: profili DNA, dati dattiloscopici o immagini del volto;

16)

«dati alfanumerici»: i dati rappresentati da lettere, cifre, caratteri speciali, spazi e segni di punteggiatura;

17)

«corrispondenza»: la coincidenza risultante da un confronto automatizzato tra dati personali registrati conservati in una banca dati;

18)

«candidato»: i dati rispetto ai quali è stata verificata una corrispondenza;

19)

«Stato membro richiedente»: uno Stato membro che effettua una consultazione tramite il quadro Prüm II;

20)

«Stato membro richiesto»: uno Stato membro le cui banche dati sono consultate dallo Stato membro richiedente tramite il quadro Prüm II;

▼C1

21)

«dati degli archivi di polizia»: i dati anagrafici di persone indagate e condannate disponibili nelle banche dati nazionali istituite a fini di prevenzione, accertamento e indagine di reati;

▼B

22)

«pseudonimizzazione»: la pseudonimizzazione quale definita all’articolo 3, punto 5, della direttiva (UE) 2016/680;

▼C1

23)

«sospetto»: una persona quale definita all'articolo 6, lettera a), della direttiva (UE) 2016/680;

▼B

24)

«dati personali»: i dati personali quali definiti all’articolo 3, punto 1, della direttiva (UE) 2016/680;

25)

«dati Europol»: qualsiasi dato personale operativo trattato da Europol a norma del regolamento (UE) 2016/794;

26)

«autorità competente»: qualsiasi autorità pubblica competente in materia di prevenzione, indagine o accertamento di reati, o qualsiasi altro organismo o soggetto incaricato dal diritto di uno Stato membro di esercitare l’autorità pubblica e i pubblici poteri per le finalità di prevenzione, indagine o accertamento di reati;

27)

«autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro a norma dell’articolo 41 della direttiva (UE) 2016/680;

28)

«SIENA»: l’applicazione di rete per lo scambio sicuro di informazioni, gestita e sviluppata da Europol in conformità del regolamento (UE) 2016/794;

29)

«incidente»: un incidente quale definito all’articolo 6, punto 6, della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio ( 1 ).

30)

«incidente significativo»: qualsiasi incidente, salvo se tale incidente presenta un impatto limitato ed è probabile che sia già adeguatamente compreso in termini di metodo o tecnologia;

31)

«minaccia informatica significativa»: una minaccia informatica caratterizzata dalla possibilità, dalla capacità e dalla finalità di causare un incidente significativo;

32)

«vulnerabilità significativa»: una vulnerabilità che, se sfruttata, porterà probabilmente a un incidente significativo.

CAPO 2

Scambio di dati

Sezione 1

Profili DNA

Articolo 5

Dati indicizzati sul DNA

Gli Stati membri garantiscono che siano disponibili dati indicizzati sul DNA ottenuti dalle loro banche dati nazionali del DNA ai fini delle consultazioni automatizzate da parte di altri Stati membri e di Europol a norma del presente regolamento.

I dati indicizzati sul DNA non contengono alcun dato aggiuntivo che consenta l’identificazione diretta di una persona fisica.

I profili DNA non identificati sono riconoscibili come tali.

I dati indicizzati sul DNA sono trattati in conformità del presente regolamento e nel rispetto del diritto nazionale applicabile al trattamento di tali dati.

La Commissione adotta atti di esecuzione per specificare le caratteristiche identificative del profilo DNA da scambiare. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 6

Consultazione automatizzata dei profili DNA

Ai fini delle indagini penali, gli Stati membri, al momento della prima connessione al router tramite i loro punti di contatto nazionali, effettuano una consultazione automatizzata confrontando tutti i profili DNA conservati nelle loro banche dati del DNA con tutti i profili DNA conservati nelle banche dati del DNA di tutti gli altri Stati membri e con i dati Europol. Ogni Stato membro concorda bilateralmente con ogni atro Stato membro e con Europol le modalità di tali consultazioni automatizzate conformemente alle norme e alle procedure stabilite nel presente regolamento.

Ai fini delle indagini penali gli Stati membri effettuano, tramite i loro punti di contatto nazionali, consultazioni automatizzate confrontando tutti i nuovi profili DNA aggiunti nelle rispettive banche dati nazionali del DNA con tutti i profili DNA conservati nelle banche dati del DNA di tutti gli altri Stati membri e con i dati Europol.

Qualora le consultazioni di cui al paragrafo 2 non possa aver luogo, lo Stato membro interessato può concordare con ogni altro Stato membro e con Europol di effettuarle in una fase successiva confrontando i profili DNA con tutti i profili DNA conservati nelle banche dati del DNA di tutti gli altri Stati membri e con i dati Europol. Lo Stato membro interessato conviene bilateralmente con ogni altro Stato membro e con Europol ed Europol concorda le modalità di tali consultazioni automatizzate conformemente alle norme e alle procedure stabilite nel presente regolamento.

Le consultazioni di cui ai paragrafi 1, 2 e 3 sono svolte solo nel contesto di ciascun singolo caso e nel rispetto del diritto nazionale dello Stato membro richiedente.

Se una consultazione automatizzata rivela che un profilo DNA corrisponde a profili DNA archiviati nella o nelle banche dati consultate dello Stato membro richiesto, il punto di contatto nazionale dello Stato membro richiedente riceve in modo automatizzato i dati indicizzati sul DNA con cui è stata riscontrata una corrispondenza.

Il punto di contatto nazionale dello Stato membro richiedente può decidere di confermare una corrispondenza tra due profili DNA. Qualora decida di confermare una corrispondenza tra due profili DNA, ne informa lo Stato membro richiesto e assicura che almeno un membro del personale qualificato conduca un esame manuale per confermare tale corrispondenza con i dati indicizzati sul DNA ricevuti dallo Stato membro richiesto.

Se pertinente ai fini delle indagini penali, il punto di contatto nazionale dello Stato membro richiesto può decidere di confermare una corrispondenza tra due profili DNA. Qualora decida di confermare una corrispondenza tra due profili DNA, ne informa lo Stato membro richiedente e assicura che almeno un membro del personale qualificato conduca un esame manuale per confermare tale corrispondenza con i dati indicizzati sul DNA ricevuti dallo Stato membro richiedente.

Articolo 7

Numeri di riferimento per i profili DNA

I numeri di riferimento per i profili DNA sono costituiti da una combinazione degli elementi seguenti:

un numero di riferimento che consenta agli Stati membri, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni dalle loro banche dati nazionali del DNA al fine di trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente all’articolo 47, oppure a Europol conformemente all’articolo 49, paragrafo 6;

un numero di riferimento che consenta a Europol, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni ai fini dell’articolo 48, paragrafo 1, del presente regolamento per trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente al regolamento (UE) 2016/794;

un codice indicante lo Stato membro che detiene il profilo DNA;

un codice indicante se il tipo di profilo DNA sia un profilo DNA identificato o un profilo DNA non identificato.

Articolo 8

Principi applicati allo scambio di profili DNA

Gli Stati membri adottano misure appropriate, compresa la cifratura, per garantire la riservatezza e l’integrità dei dati indicizzati sul DNA trasmessi ad altri Stati membri o a Europol. Europol adotta misure appropriate, compresa la cifratura, per garantire la riservatezza e l’integrità dei dati indicizzati sul DNA trasmessi ad altri Stati membri.

Ogni Stato membro ed Europol provvedono affinché i profili DNA che trasmettono siano di qualità sufficiente per il confronto automatizzato. La Commissione stabilisce, tramite un atto di esecuzione, una norma minima di qualità per consentire il confronto dei profili DNA.

La Commissione adotta atti di esecuzione per specificare le applicabili norme europee o internazionali applicabili che gli Stati membri ed Europol devono utilizzare per lo scambio di dati indicizzati sul DNA.

Gli atti di esecuzione di cui ai paragrafi 2 e 3 del presente articolo sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 9

Norme per le domande e le risposte concernenti i profili DNA

La domanda di consultazione automatizzata contiene unicamente le informazioni seguenti:

il codice dello Stato membro richiedente;

la data, l’ora e il numero di riferimento della domanda;

i dati indicizzati sul DNA;

se i tipi di profili DNA trasmessi siano profili DNA non identificati o profili DNA identificati.

Una risposta a una domanda di cui al paragrafo 1 contiene soltanto le informazioni seguenti:

l’indicazione della presenza di una o più corrispondenze, o della mancanza di corrispondenze;

la data, l’ora e il numero di riferimento della domanda;

la data, l’ora e il numero di riferimento della risposta;

i codici dello Stato membro richiedente e dello Stato membro richiesto;

i numeri di riferimento dei profili DNA dello Stato membro richiedente e dello Stato membro richiesto;

se i profili DNA trasmessi siano profili DNA non identificati o profili DNA identificati;

i profili DNA per i quali è stata riscontrata una corrispondenza.

Una corrispondenza è notificata automaticamente soltanto se la consultazione automatizzata abbia evidenziato una corrispondenza di un numero minimo di loci. La Commissione adotta atti di esecuzione per specificare il numero minimo di loci a tal fine, secondo la procedura di cui all’articolo 77, paragrafo 2.

Se una consultazione con profili DNA non identificati produce una corrispondenza, ciascuno Stato membro richiesto che disponga di dati corrispondenti può inserire nella propria banca dati nazionale un contrassegno indicante che è stata riscontrata una corrispondenza per tale profilo DNA a seguito della consultazione effettuata da un altro Stato membro. Il contrassegno riporta il numero di riferimento del profilo DNA usato dallo Stato membro richiedente.

Gli Stati membri provvedono affinché le domande di cui al paragrafo 1 del presente articolo siano coerenti con le notifiche inviate a norma dell’articolo 74. Tali notifiche figurano nel manuale pratico di cui all’articolo 79.

Sezione 2

Dati dattiloscopici

Articolo 10

Dati indicizzati dattiloscopici

Gli Stati membri garantiscono che siano disponibili dati indicizzati dattiloscopici ottenuti dalle loro banche dati nazionali istituite per la prevenzione, l’indagine e l’accertamento di reati.

I dati indicizzati dattiloscopici non contengono alcun dato aggiuntivo che consenta l’identificazione diretta di una persona fisica.

I dati dattiloscopici non identificati sono riconoscibili come tali.

Articolo 11

Consultazione automatizzata di dati dattiloscopici

Ai fini della prevenzione, dell’indagine e dell’accertamento di reati, gli Stati membri autorizzano i punti di contatto nazionali degli altri Stati membri ed Europol ad accedere ai dati indicizzati dattiloscopici delle loro banche dati nazionali create a tal fine, per procedere a consultazioni automatizzate tramite il confronto dei dati indicizzati dattiloscopici.

Le consultazioni di cui al primo comma sono svolte solo nel contesto di ciascun singolo caso e nel rispetto del diritto nazionale dello Stato membro richiedente.

Il punto di contatto nazionale dello Stato membro richiedente può decidere di confermare una corrispondenza tra una serie di dati dattiloscopici. Qualora decida di confermare una corrispondenza fra due serie di dati dattiloscopici, ne informa lo Stato membro richiesto e assicura che almeno un membro del personale qualificato conduca un esame manuale per confermare la corrispondenza con i dati indicizzati dattiloscopici ricevuti dallo Stato membro richiesto.

Articolo 12

Numeri di riferimento per i dati dattiloscopici

I numeri di riferimento per i dati dattiloscopici sono costituiti da una combinazione degli elementi seguenti:

un numero di riferimento che consenta agli Stati membri, in caso di corrispondenza, di estrarre dati ulteriori e altre informazioni dalle loro banche dati di cui all’articolo 10 al fine di trasmetterli a uno, ad alcuni o a tutti gli Stati membri conformemente all’articolo 47 oppure a Europol conformemente all’articolo 49, paragrafo 6;

un codice indicante lo Stato membro che detiene i dati dattiloscopici.

Articolo 13

Principi applicati allo scambio di dati dattiloscopici

Gli Stati membri adottano misure appropriate, compresa la cifratura, per garantire la riservatezza e l’integrità dei dati dattiloscopici trasmessi agli altri Stati membri o a Europol. Europol adotta misure appropriate, compresa la cifratura, per garantire la riservatezza e l’integrità dei dati dattiloscopici trasmessi agli altri Stati membri.

Ciascuno Stato membro ed Europol garantiscono che i dati dattiloscopici da essi trasmessi siano di qualità sufficiente per il confronto automatizzato. La Commissione stabilisce tramite atti di esecuzione una norma minima di qualità per consentire il confronto dei dati dattiloscopici.

I dati dattiloscopici devono essere digitalizzati e trasmessi agli altri Stati membri o a Europol conformemente alle norme europee o internazionali. La Commissione adotta atti di esecuzione per specificare le pertinenti norme europee o internazionali applicabili che gli Stati membri ed Europol devono utilizzare per lo scambio di dati dattiloscopici.

Gli atti di esecuzione di cui ai paragrafi 2 e 3 del presente articolo sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 14

Capacità di consultazione per i dati dattiloscopici

Ogni Stato membro provvede affinché le proprie domande di consultazione non eccedano le capacità di consultazione specificate dallo Stato membro richiesto o da Europol, in modo da assicurare la disponibilità del sistema ed evitare di sovraccaricarlo. Allo stesso fine, Europol provvede affinché le proprie domande di consultazione non eccedano le capacità di consultazione specificate dallo Stato membro richiesto

Gli Stati membri informano gli altri Stati membri, la Commissione, eu-Lisa ed Europol in merito alle loro capacità massime di consultazione giornaliere per i dati dattiloscopici identificati e non identificati. Europol informa gli Stati membri, la Commissione, eu-Lisa in merito alle loro capacità massime di consultazione giornaliere per i dati dattiloscopici identificati e non identificati. Gli Stati membri o da Europol possono incrementare tali capacità di consultazione in modo temporaneo o permanente in qualsiasi momento, anche in caso di urgenza. Se uno Stato membro aumenta tali capacità massime di consultazione, comunica agli altri Stati membri, alla Commissione, a eu-LISA e a Europol, le nuove capacità massime di consultazione. Se Europol aumenta tali capacità massime di consultazione, notifica agli altri Stati membri, alla Commissione, a eu-LISA le nuove capacità massime di consultazione

La Commissione adotta atti di esecuzione per specificare il numero massimo di candidati accettati ai fini del confronto per ciascuna trasmissione e la distribuzione tra gli Stati membri delle capacità di consultazione inutilizzate, secondo la procedura di cui all’articolo 77, paragrafo 2.

Articolo 15

Norme sulle domande e sulle risposte concernenti i dati dattiloscopici

Una domanda di consultazione automatizzata comprende soltanto le informazioni seguenti:

il codice dello Stato membro richiedente;

la data, l’ora e il numero di riferimento della domanda;

i numeri di riferimento dei dati dattiloscopici.

Una risposta a una domanda di cui al paragrafo 1 contiene soltanto le informazioni seguenti:

l’indicazione della presenza di una o più corrispondenze, o della mancanza di corrispondenze;

la data, l’ora e il numero di riferimento della domanda;

la data, l’ora e il numero di riferimento della risposta;

i codici dello Stato membro richiedente e dello Stato membro richiesto;

i numeri di riferimento dei dati dattiloscopici dello Stato membro richiedente e dello Stato membro richiesto;

i dati dattiloscopici per i quali è stata riscontrata una corrispondenza.

Sezione 3

Dati di immatricolazione dei veicoli

Articolo 16

Consultazione automatizzata di dati di immatricolazione dei veicoli

Ai fini della prevenzione, dell’indagine e dell’accertamento di reati, gli Stati membri consentono ai punti di contatto nazionali di altri Stati membri ed a Europol l’accesso ai seguenti dati nazionali di immatricolazione dei veicoli, per condurre consultazioni automatizzate nel contesto di ciascun singolo caso:

dati relativi ai proprietari o ai possessori di veicoli;

dati relativi ai veicoli.

Le consultazioni di cui al paragrafo 1 sono effettuate soltanto con i dati seguenti:

un numero completo di telaio;

un numero completo di immatricolazione; o

se autorizzate dalla legislazione nazionale dello Stato membro richiesto, i dati relativi al proprietario o al possessore del veicolo.

Le ricerche di cui al paragrafo 1 effettuate sulla base dei dati relativi al proprietario o al possessore del veicolo sono effettuate solo in caso di persone indagate o condannate. Ai fini di tali ricerche sono utilizzati tutti i dati identificativi seguenti:

se il proprietario o il possessore del veicolo è una persona fisica:

il nome o i nomi della persona fisica;

ii)

il cognome o i cognomi della persona fisica; e

iii)

la data di nascita della persona fisica;

se il proprietario o il possessore del veicolo è una persona giuridica, il nome di tale persona giuridica.

Le consultazioni di cui al paragrafo 1 sono svolte solo nel rispetto del diritto nazionale dello Stato membro richiedente.

Articolo 17

Principi applicati alla consultazione automatizzata di dati di immatricolazione dei veicoli

Per la consultazione automatizzata di dati di immatricolazione dei veicoli, gli Stati membri utilizzano il sistema europeo d’informazione sui veicoli e le patenti di guida (EUCARIS).

Le informazioni scambiate tramite EUCARIS sono trasmesse in forma cifrata.

La Commissione adotta atti di esecuzione per specificare i dati di immatricolazione dei veicoli che possono essere scambiati e la procedura tecnica che consente a EUCARIS di consultare le banche dati degli Stati membri. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 18

Conservazione delle registrazioni

Ciascuno Stato membro conserva le registrazioni delle interrogazioni effettuate dal personale delle proprie autorità competenti debitamente autorizzato a scambiare dati di immatricolazione dei veicoli e le registrazioni delle interrogazioni richieste da altri Stati membri. Europol conserva le registrazioni delle interrogazioni effettuate dal proprio personale debitamente autorizzato.

Ciascuno Stato membro ed Europol conservano le registrazioni di tutti i trattamenti di dati riguardanti i dati di immatricolazione dei veicoli. Tali registrazioni comprendono gli elementi seguenti:

▼C1

se sia stato uno Stato membro o Europol ad avviare la domanda di interrogazione; qualora sia stato uno Stato membro ad avviare la domanda di interrogazione, lo Stato membro in questione;

▼B

la data e l’ora della domanda;

la data e l’ora della risposta;

le banche dati nazionali a cui è stata inviata la domanda di interrogazione;

le banche dati nazionali che hanno fornito una risposta positiva.

Le registrazioni di cui al paragrafo 1 sono utilizzate unicamente per la raccolta di statistiche e per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità di un’interrogazione e della liceità del trattamento dei dati, e per garantire la sicurezza e l’integrità degli stessi. Le registrazioni sono protette dall’accesso non autorizzato con misure adeguate e sono cancellate tre anni dopo la loro creazione. Qualora, tuttavia, siano necessarie per procedure di monitoraggio già avviate, sono cancellate quando le procedure di monitoraggio non necessitano più delle registrazioni.

Per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità di un’interrogazione e della liceità del trattamento dei dati, i titolari del trattamento hanno accesso alle registrazioni per la verifica interna di cui all’articolo 55.

Sezione 4

Immagini del volto

Articolo 19

Dati indicizzati sulle immagini del volto

▼C1

Gli Stati membri garantiscono che siano disponibili dati indicizzati sulle immagini del volto di sospetti, condannati e, ove consentito dalla legislazione nazionale, vittime, provenienti dalle loro banche dati nazionali istituite per la prevenzione, l'accertamento e l’indagine di reati.

▼B

I dati indicizzati sulle immagini del volto non contengono alcun dato aggiuntivo dal quale sia possibile identificare direttamente una persona.

Le immagini del volto non identificate sono riconoscibili come tali.

Articolo 20

Consultazione automatizzata di immagini del volto

Ai fini della prevenzione, dell’indagine e dell’accertamento di reati punibili con una pena detentiva massima di almeno un anno ai sensi della legge dello Stato membro richiedente, gli Stati membri consentono ai punti di contatto nazionali di altri Stati membri e ad Europol di accedere ai dati indicizzati delle immagini del volto conservate nelle loro banche dati nazionali per condurre consultazioni automatizzate.

Le consultazioni di cui al primo comma sono svolte solo nel contesto di ciascun singolo caso e nel rispetto del diritto nazionale dello Stato membro richiedente.

È vietata la profilazione di cui all’articolo 11, paragrafo 3, della direttiva (UE) 2016/680.

Il punto di contatto nazionale dello Stato membro richiedente può decidere di confermare una corrispondenza tra due immagini del volto. Qualora decisa di confermare una corrispondenza tra due immagini del volto, ne informa lo Stato membro richiesto e assicura che almeno un membro del personale qualificato conduca un esame manuale dell’elenco per confermare tale corrispondenza con i dati di riferimento delle immagini del volto ricevute dallo Stato membro richiesto.

Articolo 21

Numeri di riferimento per le immagini del volto

I numeri di riferimento per le immagini del volto sono costituiti dalla combinazione degli elementi seguenti:

un numero di riferimento che consenta agli Stati membri, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni dalle loro banche dati di cui all’articolo 19 al fine di trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente all’articolo 47 o a Europol conformemente all’articolo 49, paragrafo 6;

un numero di riferimento che consenta a Europol, in caso di corrispondenza, di estrarre ulteriori dati e altre informazioni per i fini di cui all’articolo 48, paragrafo 1, del presente regolamento al fine di trasmetterli a uno, ad alcuni o a tutti gli altri Stati membri conformemente al regolamento (UE) 2016/794;

un codice indicante lo Stato membro che detiene le immagini del volto.

Articolo 22

Principi riguardanti lo scambio di immagini del volto

Gli Stati membri adottano misure appropriate, compresa la cifratura, per garantire la riservatezza e l’integrità delle immagini del volto trasmesse agli altri Stati membri o a Europol. Europol adotta misure appropriate, compresa la cifratura, per garantire la riservatezza e l’integrità delle immagini del volto trasmesse agli Stati membri.

Ogni Stato membro ed Europol provvedono affinché le immagini del volto che trasmettono siano di qualità sufficiente per il confronto automatizzato. La Commissione stabilisce, tramite atti di esecuzione, una norma minima di qualità per consentire il confronto delle immagini del volto. Se la relazione di cui all’articolo 80, paragrafo 7, evidenzia un elevato rischio di false corrispondenze, la Commissione riesamina tali atti di esecuzione.

La Commissione adotta atti di esecuzione per specificare le pertinenti norme europee o internazionali che devono essere utilizzate dagli Stati membri e da Europol per lo scambio di immagini del volto.

Gli atti di esecuzione di cui ai paragrafi 2 e 3 del presente articolo sono adottati secondo la procedura d’esame cui all’articolo 77, paragrafo 2.

Articolo 23

Capacità di consultazione per le immagini del volto

Ogni Stato membro provvede affinché le proprie domande di consultazione non eccedano le capacità di consultazione specificate dallo Stato membro richiesto o da Europol, in modo da assicurare la disponibilità dei sistemi ed evitare di sovraccaricarli. Al medesimo fine, Europol provvede affinché le proprie domande di consultazione non eccedano le capacità di consultazione specificate dallo Stato membro richiesto.

Gli Stati membri informano gli altri Stati membri, la Commissione, eu-LISA ed Europol, sulle loro capacità massime di consultazione giornaliere di immagini del volto identificate e non identificate. Europol informa gli Stati membri, la Commissione ed eu-LISA sulle proprie capacità massime di consultazione giornaliere di immagini del volto identificate e non identificate. Gli Stati membri o Europol possono incrementare tali capacità di consultazione in modo temporaneo o permanente in qualsiasi momento, anche in caso di urgenza. Qualora uno Stato membro aumenti tali capacità massime di consultazione, comunica agli altri Stati membri, alla Commissione, a eu-LISA e a Europol le nuove capacità massime di consultazione. Qualora Europol aumenti tali capacità massime di consultazione, comunica agli Stati membri, alla Commissione e a eu-LISA le nuove capacità massime di consultazione

La Commissione adotta atti di esecuzione per specificare il numero massimo di candidati accettati ai fini del confronto per ciascuna trasmissione nonché la distribuzione tra gli Stati membri delle capacità di consultazione inutilizzate, secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 24

Norme sulle domande e sulle risposte concernenti le immagini del volto

Una domanda di consultazione automatizzata di immagini del volto comprende soltanto le informazioni seguenti:

il codice dello Stato membro richiedente;

la data, l’ora e il numero di riferimento della domanda;

le immagini del volto e i dati di riferimento.

La risposta alla domanda di cui al paragrafo 1 contiene soltanto le informazioni seguenti:

l’indicazione della presenza di una o più corrispondenze, o della mancanza di corrispondenze;

la data, l’ora e il numero di riferimento della domanda;

la data, l’ora e il numero di riferimento della risposta;

i codici dello Stato membro richiedente e dello Stato membro richiesto;

i numeri di riferimento delle immagini del volto dello Stato membro richiedente e dello Stato membro richiesto;

le immagini del volto per le quali è stata riscontrata una corrispondenza.

Sezione 5

▼C1

Dati degli archivi di polizia

▼B

Articolo 25

▼C1

Dati degli archivi di polizia

▼B

►C1 Gli Stati membri possono decidere di partecipare allo scambio automatizzato di dati di archivi di polizia. Ai fini di tali scambi, gli Stati membri partecipanti garantiscono la disponibilità di indici degli archivi di polizia nazionali contenenti serie di dati anagrafici di persone sospettate e condannate desunti dalle banche dati nazionali istituite a fini di prevenzione, accertamento e indagine di reati. Tali serie di dati contengono solo i dati seguenti se del caso e nella misura in cui sono disponibili: ◄

nome o nomi;

cognome o cognomi;

alias e nome o nomi usati in precedenza;

data di nascita;

cittadinanza o cittadinanze;

paese di nascita;

genere.

I dati di cui al paragrafo 1, lettere a), b) e c), sono pseudonimizzati.

Articolo 26

▼C1

Consultazione automatizzata di indici degli archivi di polizia nazionali

Ai fini della prevenzione, dell’accertamento e dell’indagine di reati punibili con una pena detentiva massima di almeno un anno ai sensi della legge dello Stato membro richiedente, gli Stati membri partecipanti allo scambio automatizzato di dati degli archivi di polizia consentono ai punti di contatto nazionali degli altri Stati membri partecipanti e ad Europol di accedere ai dati dei rispettivi indici dei casellari giudiziali nazionali per effettuare consultazioni automatizzate

▼B

Le consultazioni di cui al primo paragrafo sono svolte solo nel contesto di ciascun singolo caso e nel rispetto del diritto nazionale dello Stato membro richiedente.

Articolo 27

▼C1

Numeri di riferimento per i dati degli archivi di polizia

I numeri di riferimento per i dati degli archivi di polizia sono costituiti dalla combinazione degli elementi seguenti:

un numero di riferimento che consenta agli Stati membri, in caso di corrispondenza, di estrarre dati anagrafici e altre informazioni dai loro indici degli archivi di polizia nazionali di cui all'articolo 25 al fine di trasmetterli a uno, ad alcuni o a tutti gli Stati membri conformemente all'articolo 44;

un codice indicante lo Stato membro che detiene i dati degli archivi di polizia.

▼B

Articolo 28

▼C1

Norme sulle domande e sulle risposte concernenti i dati degli archivi di polizia

▼B

▼C1

Una domanda di consultazione automatizzata degli indici degli archivi di polizia nazionali comprende soltanto le informazioni seguenti:

▼B

il codice dello Stato membro richiedente;

la data, l’ora e il numero di riferimento della domanda;

i dati di cui all’articolo 25, se disponibili.

La risposta alla domanda di cui al paragrafo 1 contiene soltanto le informazioni seguenti:

l’indicazione del numero di corrispondenze;

la data, l’ora e il numero di riferimento della domanda;

la data, l’ora e il numero di riferimento della risposta;

i codici dello Stato membro richiedente e dello Stato membro richiesto;

▼C1

i numeri di riferimento dei dati degli archivi di polizia dello Stato membro richiedente e dello Stato membro richiesto.

▼B

Sezione 6

Disposizioni comuni

Articolo 29

Persone scomparse e resti umani non identificati

Qualora un’autorità nazionale sia stata autorizzata da misure legislative nazionali di cui al paragrafo 2, essa può effettuare consultazioni automatizzate attraverso il quadro Prüm II esclusivamente allo scopo di:

cercare persone scomparse nell’ambito di indagini penali o per motivi umanitari;

identificare resti umani.

Gli Stati membri che intendono avvalersi della possibilità di cui al paragrafo 1 designano, mediante misure legislative nazionali, le autorità nazionali competenti ai fini ivi stabiliti e stabiliscono le procedure, le condizioni e i criteri, compresi i motivi umanitari sulla base dei quali è permesso effettuare ricerche automatizzate di persone scomparse di cui al paragrafo 1, lettera a).

Articolo 30

Punti di contatto nazionali

Ciascuno Stato membro designa uno o più punti di contatto nazionali ai fini di cui agli articoli 6, 11, 16, 20 e 26.

Articolo 31

Misure di attuazione

La Commissione adotta atti di esecuzione per specificare le modalità tecniche per gli Stati membri riguardo alle procedure di cui agli articoli 6, 11, 16, 20 e 26. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 32

Disponibilità dello scambio automatizzato di dati a livello nazionale

▼C1

Gli Stati membri adottano tutte le misure necessarie per garantire che la consultazione automatizzata di profili DNA, dati dattiloscopici, determinati dati di immatricolazione dei veicoli, immagini del volto e dati degli archivi di polizia possa effettuarsi 24 ore su 24 e 7 giorni su 7.

▼B

I punti di contatto nazionali provvedono immediatamente a informarsi reciprocamente e a informare la Commissione, eu-LISA ed Europol per quanto concerne qualsiasi indisponibilità dello scambio automatizzato di dati, compresi, se del caso, eventuali guasti tecnici che causano tale indisponibilità.

I punti di contatto nazionali, conformemente al diritto dell’Unione e nazionale applicabile, concordano a titolo temporaneo sistemi alternativi di scambio di informazioni conformemente al diritto dell’Unione e nazionale applicabile da utilizzare nei casi in cui non sia disponibile lo scambio automatizzato di dati.

Qualora lo scambio automatizzato di dati non sia disponibile, i punti di contatto nazionali provvedono a ristabilirlo con ogni mezzo necessario e senza ritardo.

Articolo 33

Giustificazione per il trattamento dei dati

Ciascuno Stato membro conserva una registrazione delle giustificazioni delle interrogazioni formulate dalle sue autorità competenti.

Europol conserva registrazione delle giustificazioni delle interrogazioni che formula.

Le giustificazioni di cui al paragrafo 1 contengono:

la finalità dell’interrogazione, compreso un riferimento al caso specifico o all’indagine specifica e, ove applicabile, al reato;

▼C1

l'indicazione dell'eventualità che l'interrogazione riguardi un sospetto, una persona condannata per un reato, una vittima di reato, una persona scomparsa o resti umani non identificati;

▼B

l’indicazione dell’eventualità che l’interrogazione intenda identificare una persona od ottenere maggiori dati su una persona nota.

Le giustificazioni di cui al paragrafo 1 del presente articolo sono tracciabili nelle registrazioni di cui agli articoli 18, 40 e 45. Tali giustificazioni sono utilizzate unicamente per valutare se le consultazioni sono proporzionali e necessarie ai fini della prevenzione, dell’indagine e dell’accertamento di un reato e per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità dell’interrogazione e della liceità del trattamento dei dati, e per garantire la sicurezza e l’integrità degli stessi. Le giustificazioni sono protette dall’accesso non autorizzato con misure adeguate e sono cancellate tre anni dopo la loro creazione. Qualora, tuttavia, siano necessarie per procedure di monitoraggio già avviate, sono cancellate quando le procedure di monitoraggio non necessitano più di giustificazione.

Per valutare la proporzionalità e la necessità delle consultazioni ai fini della prevenzione, dell’indagine e dell’accertamento di un reato e per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità di un’interrogazione e della liceità del trattamento dei dati, i titolari del trattamento hanno accesso a tali giustificazioni per la verifica interna di cui all’articolo 55.

Articolo 34

Uso del formato universale dei messaggi

▼C1

Per lo sviluppo del router di cui all'articolo 35 del presente regolamento e dell’indice europeo dei dati degli archivi di polizia (EPRIS) è utilizzato, se applicabile, lo standard del formato universale dei messaggi (UMF) stabilito a norma dell'articolo 38 del regolamento (UE) 2019/818.

▼B

Qualsiasi scambio automatizzato di dati a norma del presente regolamento utilizza lo standard UMF per quanto possibile.

CAPO 3

Architettura

Sezione 1

Router

Articolo 35

Router

Viene istituito un router al fine di facilitare l’instaurazione di connessioni tra gli Stati membri e tra gli Stati membri ed Europol per l’interrogazione e l’estrazione dei dati biometrici e l’assegnazione di un punteggio alle relative corrispondenze, nonché per l’estrazione di dati alfanumerici, in conformità del presente regolamento.

Il router è costituito da:

un’infrastruttura centrale, che comprende uno strumento di ricerca per l’interrogazione simultanea delle banche dati nazionali di cui agli articoli 5, 10 e 19, e dei dati Europol;

un canale di comunicazione sicuro tra l’infrastruttura centrale, le autorità competenti autorizzate a usare il router a norma dell’articolo 36 ed Europol;

un’infrastruttura di comunicazione sicura tra l’infrastruttura centrale e il portale di ricerca europeo, istituito dall’articolo 6 del regolamento (UE) 2019/817 e dall’articolo 6 del regolamento (UE) 2019/818 ai fini dell’articolo 39.

Articolo 36

Uso del router

L’uso del router è riservato alle autorità competenti degli Stati membri che sono autorizzate ad avere accesso e a scambiare profili DNA, dati dattiloscopici e immagini del volto conformemente al presente regolamento, nonché a Europol, a norma del presente regolamento e del regolamento (UE) 2016/794.

Articolo 37

Procedimenti

Le autorità competenti autorizzate a usare il router conformemente all’articolo 36 o Europol presentano una domanda di interrogazione trasmettendo dati biometrici al router. Il router invia la domanda di interrogazione alle banche dati di tutti gli Stati membri o di Stati membri specifici e ai dati Europol simultaneamente ai dati presentati dall’utente conformemente ai suoi diritti di accesso.

Alla ricezione di una domanda di interrogazione dal router, ciascuno Stato membro richiesto interroga le proprie banche dati in modo automatizzato e senza ritardo. Alla ricezione di una domanda di interrogazione dal router, Europol interroga i dati Europol in modo automatizzato e senza ritardo.

Eventuali corrispondenze risultanti dalle interrogazioni di cui al paragrafo 2 sono rinviate al router in modo automatizzato. Lo Stato membro richiedente riceve una notifica automatizzata qualora non vi sia alcuna corrispondenza.

Il router classifica, qualora lo Stato membro richiedente decida e se del caso, le risposte confrontando i dati biometrici utilizzati per l’interrogazione e i dati biometrici forniti nelle risposte da parte dello Stato membro o degli Stati membri richiesti o di Europol.

Il router rinvia all’utente l’elenco dei dati biometrici per i quali è stata riscontrata una corrispondenza e le relative classifiche.

La Commissione adotta atti di esecuzione per specificare la procedura tecnica utilizzata dal router per interrogare le banche dati degli Stati membri e i dati Europol, il formato in cui il router risponde a tali richieste, nonché le norme tecniche per il confronto e la classificazione della corrispondenza tra dati biometrici. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 38

Controllo della qualità

Lo Stato membro richiesto verifica senza ritardo la qualità dei dati trasmessi con una procedura automatizzata.

Lo Stato membro richiesto informa senza ritardo lo Stato membro richiedente tramite il router qualora i dati risultino non idonei per un confronto automatizzato.

Articolo 39

Interoperabilità tra il router e l’archivio comune di dati di identità ai fini dell’accesso da parte delle autorità di contrasto

Qualora le autorità designate quali definite all’articolo 4, punto 20), del regolamento (UE) 2019/817 e all’articolo 4, punto 20), del regolamento (UE) 2019/818 sono autorizzate a usare il router conformemente all’articolo 36 del presente regolamento possono avviare un’interrogazione delle banche dati degli Stati membri e dei dati Europol simultaneamente a un’interrogazione dell’archivio comune di dati di identità, istituito dall’articolo 17 del regolamento (UE) 2019/817 e dall’articolo 17 del regolamento (UE) 2019/818, purché siano soddisfatte le condizioni pertinenti ai sensi del diritto dell’Unione e l’interrogazione sia avviata conformemente ai loro diritti di accesso. A tal fine il router interroga l’archivio comune di dati di identità tramite il portale di ricerca europeo.

Le interrogazioni rivolte all’archivio comune di dati di identità per fini di contrasto sono effettuate conformemente all’articolo 22 del regolamento (UE) 2019/817 e all’articolo 22 del regolamento (UE) 2019/818. Qualsiasi risultato derivante dalle interrogazioni viene trasmesso tramite il portale di ricerca europeo.

▼C1

Le interrogazioni simultanee delle banche dati degli Stati membri, dei dati Europol e dell'archivio comune di dati di identità sono avviate soltanto qualora vi siano motivi ragionevoli per ritenere che i dati relativi a un sospetto, all'autore di un reato o a una vittima di un reato di terrorismo o di altri reati gravi quali definiti rispettivamente all'articolo 4, punti 21) e 22), del regolamento (UE) 2019/817 e all'articolo 4, punti 21) e 22), del regolamento (UE) 2019/818, siano conservati nell'archivio comune di dati di identità.

▼B

Articolo 40

Conservazione delle registrazioni

eu-LISA conserva le registrazioni di tutti i trattamenti di dati effettuati nel router. Tali registrazioni comprendono gli elementi seguenti:

se sia stato uno Stato membro o Europol ad avviare la domanda di interrogazione; qualora sia stato uno Stato membro ad avviare la domanda di interrogazione, lo Stato membro in questione;

la data e l’ora della domanda;

la data e l’ora della risposta;

le banche dati nazionali o i dati Europol a cui è stata inviata la domanda di interrogazione;

le banche dati nazionali o i dati Europol che hanno fornito una risposta;

ove applicabile, il fatto che è stata effettuata un’interrogazione simultanea dell’archivio comune di dati di identità.

Ciascuno Stato membro conserva le registrazioni delle interrogazioni effettuate dal personale delle proprie autorità competenti debitamente autorizzato a usare il router, e le registrazioni delle interrogazioni richieste da altri Stati membri.

Europol conserva le registrazioni delle interrogazioni effettuate dal proprio personale debitamente autorizzato.

Le registrazioni di cui ai paragrafi 1 e 2 sono utilizzate unicamente per la raccolta di statistiche e per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità di un’interrogazione e della liceità del trattamento dei dati, e per garantire l’integrità e la sicurezza degli stessi. Le registrazioni sono protette dall’accesso non autorizzato con misure adeguate e sono cancellate tre anni dopo la loro creazione. Qualora, tuttavia, siano necessarie per procedure di monitoraggio già avviate, sono cancellate quando le procedure di monitoraggio non necessitano più delle registrazioni.

Articolo 41

Procedure di notifica in caso di impossibilità tecnica dell’uso del router

Qualora sia tecnicamente impossibile utilizzare il router per interrogare una o più banche dati nazionali o dati Europol a causa di un guasto del router, eu-LISA ne informa gli utilizzatori del router di cui all’articolo 36 in modo automatizzato. eu-LISA adotta misure adeguate per far fronte senza ritardo all’impossibilità tecnica di utilizzare il router.

Qualora sia tecnicamente impossibile usare il router per interrogare una o più banche dati nazionali a causa di un guasto dell’infrastruttura nazionale di uno Stato membro, quest’ultimo ne informa gli altri Stati membri, la Commissione, eu-LISA ed Europol in modo automatizzato. Lo Stato membro interessato adotta misure adeguate per affrontare senza ritardo l’impossibilità tecnica di utilizzare il router.

Qualora sia tecnicamente impossibile usare il router per interrogare i dati Europol a causa di un guasto dell’infrastruttura di Europol, Europol ne informa gli Stati membri, la Commissione ed eu-LISA e in modo automatizzato. Europol adotta misure adeguate per affrontare senza ritardo l’impossibilità tecnica di utilizzare il router.

Sezione 2

EPRIS

Articolo 42

EPRIS

▼C1

È istituito l'indice europeo degli archivi di polizia (European Police Record Index System – EPRIS). Per la consultazione automatizzata degli indici degli archivi di polizia nazionali di cui all'articolo 26, gli Stati membri ed Europol utilizzano EPRIS.

▼B

EPRIS è costituito da:

▼C1

un'infrastruttura decentrata negli Stati membri, comprendente uno strumento di consultazione che consenta l'interrogazione simultanea degli indici degli archivi di polizia nazionali, sulla base delle banche dati nazionali;

un'infrastruttura centrale a sostegno dello strumento di consultazione che consenta l'interrogazione simultanea degli indici degli archivi di polizia nazionali;

▼B

un canale di comunicazione sicuro tra l’infrastruttura centrale, gli Stati membri ed Europol.

Articolo 43

Uso di EPRIS

▼C1

Ai fini della consultazione degli indici degli archivi di polizia nazionali tramite EPRIS, è necessario utilizzare almeno due delle serie di dati seguenti:

▼B

nome o nomi;

cognome o cognomi;

data di nascita.

Laddove disponibile si può utilizzare anche la serie di dati seguente:

alias e nome o nomi usati in precedenza;

cittadinanza o cittadinanze;

paese di nascita;

genere.

I dati di cui al paragrafo 1, lettere a) e b), e al paragrafo 2, lettera a), utilizzati per le interrogazioni sono pseudonimizzati.

Articolo 44

Procedimenti

Qualora uno Stato membro o Europol presenta una domanda di interrogazione, fornisce i dati di cui all’articolo 43.

▼C1

EPRIS invia la domanda di interrogazione agli indici degli archivi di polizia nazionali degli Stati membri con i dati presentati dallo Stato membro richiedente o da Europol e conformemente al presente regolamento.

Previa ricezione di una domanda di interrogazione da EPRIS, ciascuno Stato membro interroga l'indice degli archivi di polizia nazionale in modo automatizzato e senza ritardo.

Eventuali corrispondenze risultanti dalle interrogazioni di cui al paragrafo 1 degli indici degli archivi di polizia di ciascuno Stato membro richiesto sono rinviate ad EPRIS in modo automatizzato.

L'elenco delle corrispondenze è rinviato da EPRIS allo Stato membro richiedente o a Europol in modo automatizzato. L'elenco delle corrispondenze indica la qualità della corrispondenza e lo Stato membro o gli Stati membri i cui indici degli archivi di polizia contengono i dati che hanno determinato la corrispondenza o le corrispondenze.

▼B

Previa ricezione dell’elenco delle corrispondenze, lo Stato membro richiedente decide quali sono le corrispondenze alle quali è necessario dare seguito e invia una domanda motivata di follow-up contenente i dati di cui agli articoli 25 e 27, e qualsiasi ulteriore informazione pertinente allo Stato membro o agli Stati membri richiesti tramite SIENA. Lo Stato membro o gli Stati membri richiesti trattano tali domande senza ritardo per decidere se condividere i dati conservati nella loro banca dati.

▼C1

La Commissione adotta atti di esecuzione per specificare la procedura tecnica di interrogazione da parte di EPRIS degli indici degli archivi di polizia degli Stati membri e il formato e il numero massimo delle risposte. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all'articolo 77, paragrafo 2.

▼B

Articolo 45

Conservazione delle registrazioni

Ogni Stato membro partecipante ed Europol conserva le registrazioni di tutti i trattamenti di dati in EPRIS. Tali registrazioni comprendono gli elementi seguenti:

se sia stato uno Stato membro o Europol ad avviare la domanda di interrogazione; qualora sia stato uno Stato membro ad avviare la domanda, lo Stato membro in questione;

la data e l’ora della domanda;

la data e l’ora della risposta;

le banche dati nazionali a cui è stata inviata la domanda di interrogazione;

le banche dati nazionali che hanno fornito una risposta.

Ciascuno Stato membro partecipante conserva le registrazioni delle domande di interrogazione effettuate dal personale delle proprie autorità competenti debitamente autorizzato a usare EPRIS. Europol conserva le registrazioni delle domande di interrogazione effettuate dal proprio personale debitamente autorizzato.

Le registrazioni di cui ai paragrafi 1 e 2 sono utilizzate unicamente per la raccolta di statistiche, per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità di un’interrogazione e della liceità del trattamento dei dati, e per garantire la sicurezza e l’integrità degli stessi. Le registrazioni sono protette dall’accesso non autorizzato con misure adeguate e sono cancellate tre anni dopo la loro creazione. Qualora, tuttavia, siano necessarie per procedure di monitoraggio già avviate, sono cancellate quando le procedure di monitoraggio non necessitano più delle registrazioni.

Articolo 46

Procedure di notifica in caso di impossibilità tecnica dell’uso di EPRIS

▼C1

Qualora sia tecnicamente impossibile usare EPRIS per interrogare uno o più indici degli archivi di polizia nazionali a causa di un guasto dell'infrastruttura di Europol, quest'ultima ne informa gli Stati membri in modo automatizzato. Europol adotta misure per affrontare senza ritardo l'impossibilità tecnica di utilizzare EPRIS.

Qualora sia tecnicamente impossibile usare EPRIS per interrogare uno o più indici degli archivi di polizia a causa di un guasto dell'infrastruttura nazionale di uno Stato membro, quest'ultimo ne informa gli altri Stati membri, la Commissione ed Europol in modo automatizzato. Gli Stati membri adottano misure per affrontare senza ritardo l'impossibilità tecnica di utilizzare EPRIS.

▼B

CAPO 4

Scambio di dati a seguito di una corrispondenza

Articolo 47

Scambio di dati di base

Una serie di dati di base è rinviata tramite il router entro 48 ore da quando sono soddisfatte tutte le condizioni seguenti:

le procedure di cui agli articoli 6, 11 o 20 mostrano una corrispondenza tra i dati utilizzati per la consultazione e i dati conservati nella banca dati dello Stato membro o degli Stati membri richiesti;

la corrispondenza di cui alla lettera a) del presente paragrafo è stata confermata manualmente da parte di un membro qualificato del personale dello Stato membro richiedente di cui all’articolo 6, paragrafo 6, all’articolo 11, paragrafo 2, e all’articolo 20, paragrafo 2, o, in caso di profili DNA di cui all’articolo 6, paragrafo 7, dello Stato membro o degli Stati membri richiesti;

una descrizione dei fatti e un’indicazione del reato sottostante sono state trasmesse, utilizzando la tabella comune delle categorie di reati stabilita in un atto di esecuzione da adottare a norma dell’articolo 11 ter, paragrafo 1, lettera a), della decisione quadro 2009/315/GAI, da parte dello Stato membro richiedente o, in caso di profili DNA di cui all’articolo 6, paragrafo 7, dello Stato membro o dagli Stati membri richiesti, al fine di valutare la proporzionalità della richiesta, compresa la gravità del reato per il quale è stata effettuata una consultazione, conformemente al diritto nazionale dello Stato membro che fornisce la serie di dati di base.

Se, in base alla legislazione nazionale, uno Stato membro può fornire una serie particolare di dati di base solo previa autorizzazione giudiziaria, tale Stato membro può derogare ai termini stabiliti nel paragrafo 1 nella misura necessaria all’ottenimento di tale autorizzazione.

La serie di dati di base di cui al paragrafo 1 del presente articolo è rinviata dallo Stato membro richiesto o, in caso di profili DNA di cui all’articolo 6, paragrafo 7, dallo Stato membro richiedente.

Se la corrispondenza confermata riguarda dati identificati di una persona, l’insieme di dati di base di cui al paragrafo 1 contiene i seguenti dati, nella misura in cui sono disponibili:

nome o nomi;

cognome o cognomi;

alias e nome o nomi usati in precedenza;

data di nascita;

cittadinanza o cittadinanze;

luogo e paese di nascita;

sesso;

la data e il luogo in cui i dati biometrici sono stati acquisiti;

il reato per il quale i dati biometrici sono stati acquisiti;

▼C1

il numero del fascicolo d’indagine;

l'autorità competente per il fascicolo d’indagine.

▼B

Se la corrispondenza confermata riguarda dati o tracce non identificati, l’insieme di dati di base di cui al paragrafo 1 contiene i seguenti dati, nella misura in cui sono disponibili:

la data e il luogo in cui i dati biometrici sono stati acquisiti;

il reato per il quale i dati biometrici sono stati acquisiti;

▼C1

il numero del fascicolo d’indagine;

l'autorità competente per il fascicolo d’indagine.

▼B

Il rinvio della serie di dati di base da parte dello Stato membro richiesto o, in caso di profili DNA di cui all’articolo 6, paragrafo 7, dallo Stato membro richiedente è soggetta alla decisione di un essere umano.

CAPO 5

Europol

Articolo 48

Accesso da parte degli Stati membri ai dati biometrici forniti da paesi terzi e conservati da Europol

A norma del regolamento (UE) 2016/794, gli Stati membri hanno accesso tramite il router ai dati biometrici forniti a Europol da paesi terzi per le finalità di cui all’articolo 18, paragrafo 2, lettere a), b) e c), del medesimo regolamento, e possono consultare tali dati tramite il router.

Qualora dalla consultazione di cui al paragrafo 1 emerga una corrispondenza tra i dati utilizzati per la consultazione e i dati forniti da un paese terzo e conservati da Europol, è dato seguito alla procedura conformemente al regolamento (UE) 2016/794.

Articolo 49

Accesso da parte di Europol ai dati conservati nelle banche dati degli Stati membri tramite l’uso di dati forniti da paesi terzi

Ove necessario ai fini del conseguimento degli obiettivi di cui all’articolo 3 del regolamento (UE) 2016/794, Europol, conformemente a detto regolamento e al presente regolamento, ha accesso ai dati conservati dagli Stati membri nelle banche dati nazionali.

Le interrogazioni di Europol effettuate usando i dati biometrici come criterio di ricerca sono svolte tramite il router.

Le interrogazioni di Europol effettuate usando i dati di immatricolazione dei veicoli come criterio di ricerca sono svolte tramite EUCARIS.

▼C1

Le interrogazioni di Europol effettuate usando i dati anagrafici di sospetti e condannati di cui all'articolo 25 come criterio di ricerca sono svolte utilizzando EPRIS.

▼B

Europol effettua le consultazioni con i dati forniti da paesi terzi a norma dei paragrafi da 1 a 4 del presente articolo soltanto quando necessario per l’espletamento dei suoi compiti ai fini dell’articolo 18, paragrafo 2, lettere a) e c), del regolamento (UE) 2016/794.

Se le procedure di cui agli articoli 6, 11 o 20 mostrano una corrispondenza tra i dati utilizzati per la consultazione e i dati conservati nella banca dati nazionale dello Stato membro o degli Stati membri richiesti, Europol informa soltanto lo Stato membro o gli Stati membri interessati.

Lo Stato membro richiesto decide entro 48 ore se rinviare una serie di dati di base tramite il router a decorrere da quando sono soddisfatte tutte le condizioni seguenti:

una corrispondenza di cui al primo comma è stata manualmente confermata da parte di un membro qualificato del personale di Europol;

una descrizione dei fatti e un’indicazione del reato sottostante sono state trasmesse, utilizzando la tabella comune delle categorie di reati stabiliti in un atto di esecuzione da adottare a norma dell’articolo 11 ter, paragrafo 1, lettera a), della decisione quadro 2009/315/GAI, da parte di Europol, al fine di valutare la proporzionalità della richiesta, compresa la gravità del reato per il quale è stata effettuata una consultazione, conformemente al diritto nazionale dello Stato membro che fornisce l’insieme di dati di base;

il nome del paese terzo che ha fornito i dati è stato trasmesso.

Se, in base alla legislazione nazionale, uno Stato membro può fornire una serie particolare di dati di base solo previa autorizzazione giudiziaria, tale Stato membro può derogare ai termini stabiliti nel secondo comma nella misura necessaria all’ottenimento di tale autorizzazione.

Se la corrispondenza confermata riguarda dati identificati di una persona, l’insieme di dati di base di cui al secondo comma contiene, nella misura del possibile, i dati seguenti:

nome o nomi;

cognome o cognomi;

alias e nome o nomi usati in precedenza;

data di nascita;

cittadinanza o cittadinanze;

luogo e paese di nascita;

genere;

la data e il luogo in cui i dati biometrici sono stati acquisiti;

il reato per il quale i dati biometrici sono stati acquisiti;

▼C1

il numero del fascicolo d’indagine;

l'autorità competente per il fascicolo d’indagine.

▼B

Se la corrispondenza confermata riguarda dati o tracce non identificati di una persona, l’insieme di dati di base di cui al secondo comma contiene i dati seguenti, nella misura in cui sono disponibili:

la data e il luogo in cui i dati biometrici sono stati acquisiti;

il reato per il quale i dati biometrici sono stati acquisiti;

▼C1

il numero del fascicolo d’indagine;

l'autorità competente per il fascicolo d’indagine.

▼B

Il rinvio dei dati di base da parte dello Stato membro richiesto è soggetta alla decisione di un essere umano.

L’utilizzo da parte di Europol delle informazioni ottenute da un’interrogazione effettuata a norma del presente articolo e dallo scambio di una serie di dati fondamentali a norma del paragrafo 6 è soggetto al consenso dello Stato membro nella cui banca dati è stata riscontrata la corrispondenza. Qualora lo Stato membro acconsenta all’uso di tali informazioni, il loro trattamento da parte di Europol è disciplinato dal regolamento (UE) 2016/794.

CAPO 6

Protezione dei dati

Articolo 50

Finalità del trattamento dei dati

Uno Stato membro o Europol può trattare i dati personali che ha ricevuto solamente ai fini per i quali i dati sono stati trasmessi dallo Stato membro che ha fornito i dati a norma del presente regolamento. Il trattamento per altri fini è consentito esclusivamente previa autorizzazione dello Stato membro che ha fornito i dati.

Il trattamento dei dati trasmessi da uno Stato membro o da Europol a norma degli articoli 6, 11, 16, 20 o 26 è autorizzato esclusivamente ove necessario allo scopo di:

▼C1

stabilire se esista una corrispondenza tra i profili DNA, i dati dattiloscopici, i dati di immatricolazione dei veicoli, le immagini del volto o i dati degli archivi di polizia oggetto del confronto;

▼B

scambiare una serie di dati di base conformemente all’articolo 47;

predisporre e introdurre una domanda di assistenza legale da parte delle autorità di polizia o giudiziarie in caso di corrispondenza tra i dati;

conservare registrazioni a norma degli articoli 18, 40 e 45.

Al termine della risposta automatizzata alle consultazioni, i dati ricevuti da uno Stato membro o da Europol sono immediatamente cancellati a meno che non sia necessario un ulteriore trattamento ai fini di cui al paragrafo 2 o a meno che tale trattamento non sia autorizzato a norma del paragrafo 1.

Prima di collegare le rispettive banche dati nazionali al router o a EPRIS, gli Stati membri effettuano una valutazione d’impatto sulla protezione dei dati di cui all’articolo 27 della direttiva (UE) 2016/680 e, se del caso, consultano l’autorità di controllo di cui all’articolo 28 di tale direttiva. L’autorità di controllo può avvalersi dei poteri di cui dispone a norma dell’articolo 47 di tale direttiva, conformemente all’articolo 28, paragrafo 5, di tale direttiva.

Articolo 51

Esattezza, pertinenza e conservazione dei dati

Gli Stati membri ed Europol assicurano l’esattezza e l’attualità dei dati personali trattati a norma del presente regolamento. Qualora uno Stato membro o Europol venga a conoscenza del fatto che sono stati forniti dati inesatti o non più aggiornati o dati che non avrebbero dovuto essere stati trasmessi, ne notifica lo Stato membro che ha ricevuto i dati o a Europol senza indebito ritardo. Tutti gli Stati membri interessati o Europol sono tenuti a rettificare o cancellare i dati di conseguenza senza indebito ritardo. Qualora lo Stato membro che ha ricevuto i dati o Europol abbia motivo di ritenere che i dati trasmessi siano inesatti o che debbano essere cancellati, ne informa lo Stato membro che ha fornito i dati senza indebito ritardo.

Gli Stati membri ed Europol predispongono misure adeguate per aggiornare i dati pertinenti ai fini del presente regolamento.

Qualora l’interessato contesti l’esattezza dei dati in possesso di uno Stato membro o di Europol, qualora lo Stato membro o Europol non sia in grado di accertarne l’esattezza in modo attendibile e qualora ciò sia richiesto dall’interessato, i dati in questione sono contrassegnati da un indicatore di validità («flag»). Nei casi in cui è apposto l’indicatore di validità, gli Stati membri o Europol possono toglierlo solo con il consenso dell’interessato o su decisione dell’organo giurisdizionale competente, dell’autorità di controllo o del Garante europeo della protezione dei dati, a seconda dei casi.

I dati che non avrebbero dovuto essere trasmessi o ricevuti sono cancellati. I dati lecitamente trasmessi e ricevuti sono cancellati:

se non sono o non sono più necessari per le finalità per le quali sono stati trasmessi;

al termine del periodo massimo di conservazione dei dati a norma del diritto nazionale dello Stato membro che ha fornito i dati, qualora quest’ultimo abbia indicato tale periodo massimo allo Stato membro che ha ricevuto i dati o a Europol all’atto della trasmissione; o

dopo la scadenza del periodo massimo di conservazione dei dati di cui al regolamento (UE) 2016/794.

Il trattamento di dati è soggetto a limitazione, e i dati non sono cancellati, quando vi sono motivi di ritenere che la loro cancellazione pregiudicherebbe gli interessi dell’interessato. Qualora il trattamento di dati è stato limitato, essi sono trattati solo per le finalità che ne hanno impedito la cancellazione.

Articolo 52

Responsabile del trattamento

eu-LISA è il responsabile del trattamento ai sensi dell’articolo 3, punto 12), del regolamento (UE) 2018/1725, per il trattamento dei dati personali tramite il router.

Europol è il responsabile ai sensi dell’articolo 3, punto 12), del regolamento (UE) 2018/1725 del trattamento dei dati personali tramite EPRIS.

Articolo 53

Sicurezza del trattamento

Le autorità competenti degli Stati membri, eu-LISA ed Europol garantiscono la sicurezza del trattamento dei dati personali ai sensi del presente regolamento. Le autorità competenti degli Stati membri, eu-LISA ed Europol cooperano nei compiti relativi alla sicurezza.

Fatto salvo l’articolo 33 del regolamento (UE) 2018/1725 e l’articolo 32 del regolamento (UE) 2016/794, eu-LISA ed Europol adottano le misure necessarie per garantire la sicurezza rispettivamente del router e di EPRIS e delle relative infrastrutture di comunicazione.

In particolare eu-LISA adotta le misure necessarie in merito al router ed Europol adotta le misure necessarie in merito ad EPRIS, al fine di:

proteggere fisicamente i dati, tra l’altro mediante l’elaborazione di piani di emergenza per la protezione delle infrastrutture critiche;

negare alle persone non autorizzate l’accesso alle attrezzature e alle strutture utilizzate per il trattamento di dati;

impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate;

impedire che i dati siano inseriti senza autorizzazione e che sia presa visione senza autorizzazione dei dati personali registrati, o che gli stessi siano modificati o cancellati senza autorizzazione;

impedire che i dati siano trattati, copiati, modificati o cancellati senza autorizzazione;

impedire che persone non autorizzate usino sistemi di trattamento automatizzato di dati servendosi di attrezzature per la comunicazione di dati;

garantire, tramite identità di utente individuali ed esclusivamente con modalità di accesso riservato che le persone autorizzate ad accedere al router o ad EPRIS, a seconda dei casi, abbiano accesso solo ai dati previsti dalla loro autorizzazione di accesso;

garantire che sia possibile verificare e stabilire a quali organismi possono essere trasmessi dati personali mediante attrezzature di comunicazione di dati;

garantire che sia possibile verificare e stabilire quali dati sono stati trattati nel router o in EPRIS, a seconda dei casi, e quando, da chi e per quale finalità sono stati trattati;

impedire, in particolare mediante tecniche appropriate di cifratura, che, all’atto della trasmissione di dati personali dal router o da EPRIS, a seconda dei casi, o verso gli stessi ovvero durante il trasporto dei supporti di dati, tali dati personali possano essere letti, copiati, modificati o cancellati senza autorizzazione;

garantire che, in caso di interruzione, i sistemi installati possano essere ripristinati;

garantire l’affidabilità, accertandosi che eventuali anomalie nel funzionamento del router o dell’EPRIS, a seconda dei casi, siano adeguatamente segnalate;

monitorare l’efficacia delle misure di sicurezza di cui al presente paragrafo e adottare le necessarie misure organizzative relative al monitoraggio interno per garantire l’osservanza del presente regolamento e valutare le misure di sicurezza alla luce dei nuovi sviluppi tecnologici.

Le misure necessarie di cui al primo comma comprendono un piano di sicurezza, un piano di continuità operativa e un piano di ripristino in caso di disastro.

Articolo 54

Incidenti di sicurezza

È considerato incidente di sicurezza l’evento che ha o può avere ripercussioni sulla sicurezza del router o di EPRIS e può causare danni o perdite ai dati ivi conservati, in particolare quando possono essere stati consultati dati senza autorizzazione o quando sono state o possono essere state compromesse la disponibilità, l’integrità e la riservatezza dei dati.

In caso di incidente di sicurezza riguardante il router, eu-LISA e gli Stati membri interessati o, se del caso, Europol cooperano fra loro al fine di garantire una risposta rapida, efficace e adeguata.

In caso di incidente di sicurezza riguardante EPRIS, gli Stati membri interessati ed Europol cooperano fra loro al fine di garantire una risposta rapida, efficace e adeguata.

Gli Stati membri notificano senza indebito ritardo alle rispettive autorità competenti qualsiasi incidente di sicurezza.

Fatto salvo l’articolo 92 del regolamento (UE) 2018/1725, qualora si verifichi un incidente di sicurezza in relazione all’infrastruttura centrale del router, eu-LISA notifica al servizio per la cibersicurezza delle istituzioni, degli organi e degli organismi dell’Unione (CERT-UE) senza indebito ritardo, e in ogni caso entro 24 ore da quando ne viene a conoscenza, minacce informatiche significative, vulnerabilità significative e incidenti significativi. Dettagli tecnici adeguati e di pronta utilizzazione, concernenti minacce, vulnerabilità e incidenti a livello informatico, che consentono misure proattive di indagine, risposta a incidenti o mitigazione sono comunicati a CERT-UE senza indebito ritardo.

Fatti salvi l’articolo 34 del regolamento (UE) 2016/794 e l’articolo 92 del regolamento (UE) 2018/1725, qualora si verifichi un incidente di sicurezza in relazione all’infrastruttura centrale di EPRIS, Europol notifica a CERT-UE senza indebito ritardo, e in ogni caso entro 24 ore da quando ne viene a conoscenza, minacce informatiche significative, vulnerabilità significative e incidenti significativi. Dettagli tecnici adeguati e di pronta utilizzazione, concernenti minacce, vulnerabilità e incidenti a livello informatico, che consentono misure proattive di indagine, risposta a incidenti o mitigazione sono comunicati a CERT-UE senza indebito ritardo.

Le informazioni su un incidente di sicurezza che abbia o possa avere ripercussioni sul funzionamento del router o sulla disponibilità, integrità e riservatezza dei dati sono fornite senza ritardo dagli Stati membri e dalle agenzie dell’Unione interessate agli Stati membri e ad Europol e registrate secondo il piano di gestione degli incidenti stabilito da eu-LISA.

Le informazioni su un incidente di sicurezza che abbia o possa avere ripercussioni sul funzionamento di EPRIS o sulla disponibilità, integrità e riservatezza dei dati sono fornite senza ritardo dagli Stati membri e dalle agenzie dell’Unione interessate agli Stati membri e registrate secondo il piano di gestione degli incidenti stabilito da Europol.

Articolo 55

Verifica interna

Gli Stati membri provvedono affinché ciascuna autorità abilitata a usare il quadro Prüm II adotti le misure necessarie per verificare la propria conformità al presente regolamento e cooperi, se necessario, con l’autorità di controllo. Europol adotta le misure necessarie per verificare la propria conformità al presente regolamento e coopera, se necessario, con il Garante europeo della protezione dei dati.

I titolari del trattamento attuano le misure necessarie per verificare efficacemente la conformità del trattamento di dati a norma del presente regolamento, anche verificando frequentemente le registrazioni di cui agli articoli 18, 40 e 45. Essi cooperano, laddove necessario e come opportuno, con le autorità di controllo o con il Garante europeo della protezione dei dati.

Articolo 56

Sanzioni

Gli Stati membri provvedono affinché qualsiasi uso improprio, trattamento o scambio di dati in contrasto con il presente regolamento sia punibile ai sensi del diritto nazionale. Le sanzioni previste sono effettive, proporzionate e dissuasive.

Articolo 57

Responsabilità

Se l’inosservanza degli obblighi del presente regolamento da parte di uno Stato membro o, nell’effettuare interrogazioni a norma dell’articolo 49, di Europol, arreca danni al router o ad EPRIS, tale Stato membro o Europol è responsabile di tale danno, a meno che e nella misura in cui eu-LISA, Europol o un altro Stato membro vincolato dal presente regolamento abbia omesso di adottare provvedimenti ragionevolmente idonei a prevenire il danno o ridurne al minimo l’impatto.

Articolo 58

Audit del Garante europeo della protezione dei dati

Il Garante europeo della protezione dei dati provvede affinché almeno ogni quattro anni sia svolto un audit delle operazioni di trattamento dei dati personali effettuate da eu-LISA e da Europol ai fini del presente regolamento conformemente ai pertinenti principi internazionali di audit. Una relazione su tale audit è trasmessa al Parlamento europeo, al Consiglio, alla Commissione, agli Stati membri e all’agenzia dell’Unione interessata, eu-LISA ed Europol hanno la possibilità di formulare osservazioni prima dell’adozione della relazione.

eu-LISA ed Europol forniscono al Garante europeo della protezione dei dati le informazioni da questo richieste, consentono al Garante europeo della protezione dei dati di accedere a tutti i documenti e alle loro registrazioni di cui agli articoli 40 e 45 e gli consentono di accedere in qualsiasi momento a tutti i loro locali. Il presente paragrafo non pregiudica i poteri del Garante europeo della protezione dei dati ai sensi dell’articolo 58 del regolamento (UE) 2018/1725 e, per quanto riguarda Europol, ai sensi dell’articolo 43, paragrafo 3, del regolamento (UE) 2016/794.

Articolo 59

Cooperazione tra le autorità di vigilanza e il Garante europeo della protezione dei dati

Le autorità di controllo e il Garante europeo della protezione dei dati, ciascuno nell’ambito delle proprie competenze, cooperano attivamente nell’ambito delle rispettive responsabilità per assicurare un controllo coordinato dell’applicazione del presente regolamento, in particolare se il Garante europeo della protezione dei dati o un’autorità di controllo constata notevoli differenze tra le pratiche degli Stati membri o trasferimenti potenzialmente illeciti nell’uso dei canali di comunicazione previsti dal quadro Prüm II.

Nei casi di cui al paragrafo 1 del presente articolo, è assicurato il controllo coordinato a norma dell’articolo 62 del regolamento (UE) 2018/1725.

Due anni dopo l’entrata in funzione del router e di EPRIS, e successivamente ogni due anni, il comitato europeo per la protezione dei dati trasmette al Parlamento europeo, al Consiglio, alla Commissione, a eu-LISA e a Europol una relazione sulle sue attività ai sensi del presente articolo. Tale relazione comprende un capitolo su ciascuno Stato membro redatto dall’autorità di controllo dello Stato membro interessato.

Articolo 60

Trasferimento di dati personali a paesi terzi e ad organizzazioni internazionali

Uno Stato membro trasferisce dati personali ottenuti a norma del presente regolamento a un paese terzo o a un’organizzazione internazionale in conformità del capo V della direttiva (UE) 2016/680 e se lo Stato membro richiesto ha concesso la propria autorizzazione prima del trasferimento.

Europol trasferisce soli i dati personali ottenuti a norma del presente regolamento a un paese terzo o un’organizzazione internazionale se sono soddisfatte le condizioni di cui all’articolo 25 del regolamento (UE) 2016/794 e se lo Stato membro richiesto ha concesso la propria autorizzazione prima del trasferimento.

Articolo 61

Relazione con altri atti giuridici in materia di protezione dei dati

Qualsiasi trattamento di dati personali ai fini del presente regolamento è effettuato in conformità del presente capo e della direttiva (UE) 2016/680 o dei regolamenti (UE) 2018/1725, (UE) 2016/794 o (UE) 2016/679, a seconda dei casi.

CAPO 7

▼C1

Responsabilità

▼B

Articolo 62

▼C1

Responsabilità di dovuta diligenza

▼B

Gli Stati membri ed Europol valutano con la dovuta diligenza se lo scambio automatizzato di dati rientra nelle finalità del quadro Prüm II di cui all’articolo 2 e se rispetta le condizioni in esso fissate, in particolare per quanto riguarda i diritti fondamentali.

Articolo 63

Formazione

Il personale autorizzato delle autorità competenti degli Stati membri, delle autorità di vigilanza e di Europol, ricevono, se del caso, risorse e una formazione adeguate, in particolare in materia di protezione dei dati e di accurata revisione delle corrispondenze, al fine di svolgere le funzioni conformemente al presente regolamento.

Articolo 64

▼C1

Responsabilità degli Stati membri

▼B

Ogni Stato membro è competente per quanto segue:

la connessione all’infrastruttura del router;

l’integrazione dei sistemi e delle proprie infrastrutture nazionali esistenti con il router;

l’organizzazione, la gestione, il funzionamento e la manutenzione della sua infrastruttura nazionale esistente e della sua connessione al router;

la connessione all’infrastruttura di EPRIS;

l’integrazione dei sistemi e delle proprie infrastrutture nazionali esistenti con EPRIS;

l’organizzazione, la gestione, il funzionamento e la manutenzione della sua infrastruttura nazionale esistente e della sua connessione a EPRIS;

la gestione dell’accesso e le modalità di accesso al router da parte del proprio personale debitamente autorizzato delle autorità competenti a norma del presente regolamento, nonché la creazione e l’aggiornamento periodico di un elenco di tale personale con le relative qualifiche;

la gestione dell’accesso e le modalità di accesso a EPRIS da parte del proprio personale debitamente autorizzato delle autorità competenti a norma del presente regolamento, nonché la creazione e l’aggiornamento periodico di un elenco di tale personale con le relative qualifiche;

la gestione dell’accesso e le modalità di accesso a EUCARIS da parte del proprio personale debitamente autorizzato delle autorità competenti a norma del presente regolamento, nonché la creazione e l’aggiornamento periodico di un elenco di tale personale con le relative qualifiche;

la conferma manuale da parte di personale qualificato di una corrispondenza di cui all’articolo 6, paragrafo 6, all’articolo 6, paragrafo 7, all’articolo 11, paragrafo 2, e all’articolo 20, paragrafo 2;

la garanzia della disponibilità dei dati necessari per lo scambio di dati di cui agli articoli 5, 10, 16, 19 e 25;

lo scambio di informazioni di cui agli articoli 6, 11, 16, 20 e 26;

la rettifica, l’aggiornamento o la cancellazione dei dati ricevuti da uno Stato membro richiesto entro 48 ore dalla notifica da parte dello Stato membro richiesto del fatto che i dati trasmessi erano inesatti, non più aggiornati o sono stati trasmessi illecitamente;

la conformità ai requisiti di qualità dei dati stabiliti nel presente regolamento.

Ogni Stato membro è responsabile della connessione delle proprie autorità competenti al router, ad EPRIS e ad EUCARIS.

Articolo 65

▼C1

Responsabilità di Europol

▼B

Europol è responsabile della gestione dell’accesso e delle modalità di accesso del proprio personale debitamente autorizzato al router, ad EPRIS e ad EUCARIS a norma del presente regolamento.

Europol è responsabile del trattamento delle interrogazioni di dati Europol da parte del router. Europol adegua di conseguenza i propri sistemi di informazione.

Europol è responsabile di qualsiasi adeguamento tecnico della propria infrastruttura necessario per stabilire la connessione al router e ad EUCARIS.

▼C1

Fatte salve le ricerche di Europol a norma dell'articolo 49, Europol non ha accesso ad alcun dato personale trattato tramite EPRIS.

▼B

Europol è responsabile dello sviluppo di EPRIS in cooperazione con gli Stati membri. EPRIS fornisce le funzionalità di cui agli articoli da 42 a 46.

Europol è responsabile della gestione tecnica di EPRIS. La gestione tecnica di EPRIS consiste nell’insieme dei compiti e delle soluzioni tecniche necessari per garantire il funzionamento dell’infrastruttura centrale di EPRIS e la fornitura ininterrotta di servizi agli Stati membri 24 ore su 24 e 7 giorni su 7 a norma del presente regolamento. Essa comprende la manutenzione e gli adeguamenti tecnici necessari per garantire che EPRIS funzioni a un livello di qualità tecnica soddisfacente, specialmente per quanto riguarda i tempi di risposta per la presentazione delle domande alle banche dati nazionali, conformemente alle specifiche tecniche.

Europol provvede alla formazione sull’uso tecnico di EPRIS.

Europol è responsabile delle procedure previste agli articoli 48 e 49.

Articolo 66

▼C1

Responsabilità di eu-LISA in fase di progettazione e sviluppo del router

▼B

eu-LISA garantisce che le infrastrutture centrali del router siano gestite conformemente al presente regolamento.

Il router è ospitato da eu-LISA nei suoi siti tecnici e fornisce le funzionalità di cui al presente regolamento nel rispetto delle condizioni di sicurezza, disponibilità, qualità e prestazione di cui all’articolo 67, paragrafo 1.

eu-LISA è responsabile dello sviluppo del router e degli eventuali adeguamenti tecnici necessari per il funzionamento del router.

eu-LISA non ha accesso a nessuno dei dati personali trattati tramite il router.

eu-LISA definisce la progettazione dell’architettura fisica del router, comprese le sue infrastrutture di comunicazione sicura e le specifiche tecniche, nonché la sua evoluzione per quanto concerne l’infrastruttura centrale e l’infrastruttura di comunicazione sicura. Il consiglio di amministrazione di eu-LISA approva tale progettazione, previo parere favorevole della Commissione. eu-LISA provvede anche agli adattamenti delle componenti dell’interoperabilità resi necessari dall’istituzione del router come previsto dal presente regolamento.

eu-LISA sviluppa e implementa il router non appena possibile dopo l’adozione da parte della Commissione delle misure di cui all’articolo 37, paragrafo 6. Tale sviluppo comporta l’elaborazione e l’applicazione delle specifiche tecniche, il collaudo e la gestione e il coordinamento generali del progetto.

Durante la fase di progettazione e sviluppo, il consiglio di gestione del programma di cui all’articolo 54 del regolamento (UE) 2019/817 e all’articolo 54 del regolamento (UE) 2019/818 si riunisce regolarmente. Esso garantisce l’adeguata gestione della fase di progettazione e sviluppo del router.

Ogni mese il consiglio di gestione del programma presenta relazioni scritte al consiglio di amministrazione di eu-LISA sui progressi del progetto. Il consiglio di gestione del programma non ha potere decisionale, né mandato di rappresentare i membri del consiglio di amministrazione di eu-LISA.

Il gruppo consultivo sull’interoperabilità di cui all’articolo 78 si riunisce regolarmente fino all’entrata in funzione del router. Dopo ciascuna riunione, esso riferisce al consiglio di gestione del programma. Esso fornisce la consulenza tecnica a sostegno delle attività del consiglio di gestione del programma e monitora lo stato di preparazione degli Stati membri.

Articolo 67

▼C1

Responsabilità di eu-LISA in seguito all'entrata in funzione del router

▼B

In seguito all’entrata in funzione del router, eu-LISA è responsabile della gestione tecnica dell’infrastruttura centrale del router, compresi la manutenzione e gli sviluppi tecnologici del router stesso. In cooperazione con gli Stati membri, provvede a che siano utilizzate, previa analisi costi/benefici, le migliori tecnologie disponibili. eu-LISA è inoltre responsabile della gestione tecnica dell’infrastruttura di comunicazione necessaria.

La gestione tecnica del router consiste nell’insieme dei compiti e delle soluzioni tecniche necessari per garantire il funzionamento del router e la fornitura ininterrotta di servizi agli Stati membri e a Europol 24 ore su 24 e 7 giorni su 7 a norma del presente regolamento. Essa comprende la manutenzione e gli adeguamenti tecnici necessari per garantire che il router funzioni a un livello di qualità tecnica soddisfacente, specialmente per quanto riguarda la disponibilità e i tempi di risposta per la presentazione di domande alle banche dati nazionali e ai dati Europol, conformemente alle specifiche tecniche.

Il router è sviluppato e gestito in maniera tale da garantire un accesso rapido, efficiente e controllato, la disponibilità completa e ininterrotta del router e un tempo di risposta in linea con le esigenze operative delle autorità competenti degli Stati membri e di Europol.

Fatto salvo l’articolo 17 dello statuto dei funzionari dell’Unione europea di cui al regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio ( 2 ), eu-LISA applica a tutti i membri del proprio personale che operano con i dati conservati nel router adeguate norme in materia di segreto professionale o altri obblighi di riservatezza equivalenti. Tale obbligo vincola il personale anche dopo che ha lasciato l’incarico o cessato di lavorare, ovvero portato a termine le proprie attività.

eu-LISA non ha accesso a nessuno dei dati personali trattati tramite il router.

eu-LISA svolge compiti relativi alla formazione sull’uso tecnico del router.

CAPO 8

Modifiche di altri strumenti vigenti

Articolo 68

Modifiche delle decisioni del Consiglio 2008/615/GAI e 2008/616/GAI

Nella decisione 2008/615/GAI, l’articolo 1, lettera a), gli articoli da 2 a 6 e il capo 2, sezioni 2 e 3, sono sostituiti per gli Stati membri vincolati dal presente regolamento a decorrere dalla data di applicazione delle disposizioni del presente regolamento relative al router di cui all’articolo 75, paragrafo 1. Di conseguenza l’articolo 1, lettera a), gli articoli da 2 a 6 e il capo 2, sezioni 2 e 3, della decisione 2008/615/GAI sono soppressi a decorrere dalla data di applicazione delle disposizioni del presente regolamento relative al router di cui all’articolo 75, paragrafo 1.

Nella decisione 2008/616/GAI, i capi da 2 a 5 e gli articoli 18, 20 e 21 sono sostituiti per gli Stati membri vincolati dal presente regolamento a decorrere dalla data di applicazione delle disposizioni del presente regolamento relative al router di cui all’articolo 75, paragrafo 1. Di conseguenza i capi da 2 a 5 e gli articoli 18, 20 e 21 della decisione 2008/616/GAI sono soppressi a decorrere dalla data di applicazione delle disposizioni del presente regolamento relative al router di cui all’articolo 75, paragrafo 1.

Articolo 69

Modifiche del regolamento (EU) 2018/1726

Il regolamento (UE) 2018/1726 è così modificato:

è inserito il seguente articolo:

«Articolo 8 quinquies

Compiti relativi al router Prüm II

Con riguardo al router Prüm II, l’Agenzia svolge i compiti relativi che le sono conferiti da tale regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio ( *1 ).

all’articolo 17, paragrafo 3, il secondo comma è sostituito dal seguente:

«I compiti relativi allo sviluppo e alla gestione operativa di cui all’articolo 1, paragrafi 4 e 5, agli articoli da 3 a 8, e agli articoli 8 quinquies, 9 e 11 sono svolti nel sito tecnico di Strasburgo (Francia).»;

all’articolo 19, il paragrafo 1 è così modificato:

è inserita la lettera seguente:

«ee ter)

adotta relazioni sulla situazione dello sviluppo del router Prüm II in conformità dell’articolo 80, paragrafo 2 del regolamento (UE) 2024/982.»;

la lettera ff) è sostituita dalla seguente:

«ff)

adotta relazioni sul funzionamento tecnico di quanto segue:

il SIS in conformità dell’articolo 60, paragrafo 7, del regolamento (UE) 2018/1861 del Parlamento europeo e del Consiglio ( *2 ) e dell’articolo 74, paragrafo 8, del regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio ( *3 );

ii)

il VIS in conformità dell’articolo 50, paragrafo 3, del regolamento (CE) n. 767/2008 e dell’articolo 17, paragrafo 3, della decisione 2008/633/GAI;

iii)

l’EES in conformità dell’articolo 72, paragrafo 4, del regolamento (UE) 2017/2226;

iv)

l’ETIAS in conformità dell’articolo 92, paragrafo 4, del regolamento (UE) 2018/1240;

l’ECRIS-TCN e dell’implementazione di riferimento ECRIS in conformità dell’articolo 36, paragrafo 8, del regolamento (UE) 2019/816;

vi)

le componenti dell’interoperabilità in conformità dell’articolo 78, paragrafo 3, del regolamento (UE) 2019/817 e dell’articolo 74, paragrafo 3, del regolamento (UE) 2019/818;

vii)

il sistema e-CODEX in conformità dell’articolo 16, paragrafo 1, del regolamento (UE) 2022/850;

viii)

la piattaforma di collaborazione per le SIC in conformità dell’articolo 26, paragrafo 6, del regolamento (UE) 2023/969;

ix)

il router Prüm II in conformità dell’articolo 80, paragrafo 5, del regolamento (UE) 2024/982;

la lettera hh) è sostituita dalla seguente:

«hh)

adotta osservazioni formali sulle relazioni del Garante europeo della protezione dei dati relative ai suoi controlli in conformità dell’articolo 56, paragrafo 2, del regolamento (UE) 2018/1861, dell’articolo 42, paragrafo 2, del regolamento (CE) n. 767/2008, dell’articolo 31, paragrafo 2, del regolamento (UE) n. 603/2013, dell’articolo 56, paragrafo 2, del regolamento (UE) 2017/2226, dell’articolo 67 del regolamento (UE) 2018/1240, dell’articolo 29, paragrafo 2, del regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio e dell’articolo 52 dei regolamenti (UE) 2019/817 e (UE) 2019/818 e dell’articolo 58, paragrafo 1, del regolamento (UE) 2024/982 e assicura un adeguato seguito a tali controlli;».

Articolo 70

Modifiche del regolamento (EU) 2019/817

All’articolo 6, paragrafo 2, del regolamento (UE) 2019/817 è aggiunta la lettera seguente:

«d)

un’infrastruttura di comunicazione sicura tra l’ESP e il router istituito dal regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio ( *4 ).

Articolo 71

Modifiche del regolamento (EU) 2019/818

Il regolamento (UE) 2019/818 è così modificato:

all’articolo 6, paragrafo 2, è aggiunta la lettera seguente:

«d)

un’infrastruttura di comunicazione sicura tra l’ESP e il router istituito dal regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio ( *5 ).

all’articolo 39, i paragrafi 1 e 2 sono sostituiti dai seguenti:

«1.

È istituito un archivio centrale di relazioni e statistiche (CRRS) al fine di sostenere gli obiettivi del SIS, dell’Eurodac e dell’ECRIS-TCN, in conformità dei rispettivi strumenti giuridici che disciplinano tali sistemi, e fornire dati statistici intersistemici e relazioni analitiche a scopi strategici, operativi e di qualità dei dati. Il CRRS sostiene anche gli obiettivi del regolamento (UE) 2024/982.

eu-LISA istituisce, attua e ospita nei suoi siti tecnici il CRRS contenenti, separati per logica dal sistema di informazione dell’UE, i dati e le statistiche di cui all’articolo 74 del regolamento (UE) 2018/1862 e all’articolo 32 del regolamento (UE) 2019/816. eu-LISA raccoglie anche dati e statistiche dal router di cui all’articolo 72, paragrafo 1, del regolamento (UE) 2024/982. L’accesso al CRRS è concesso mediante un accesso sicuro controllato e specifici profili di utente, unicamente ai fini dell’elaborazione di relazioni e statistiche, alle autorità di cui all’articolo 74 del regolamento (UE) 2018/1862, all’articolo 32 del regolamento (UE) 2019/816 e all’articolo 72, paragrafo 1, del regolamento (UE) 2024/982.»

CAPO 9

Disposizioni finali

Articolo 72

Relazioni e statistiche

Ove necessario, il personale debitamente autorizzato delle autorità competenti degli Stati membri, della Commissione, di eu-LISA e di Europol ha accesso ai seguenti dati relativi al router, unicamente per elaborare relazioni e statistiche:

numero di interrogazioni presentate da ciascuno Stato membro e da Europol per ciascuna categoria di dati;

numero di interrogazioni di ciascuna banca dati connessa;

numero di corrispondenze rispetto alla banca dati di ciascuno Stato membro per ciascuna categoria di dati;

numero di corrispondenze rispetto ai dati Europol per ciascuna categoria di dati;

numero di corrispondenze confermate in relazione alle quali sono stati scambiati dati di base;

numero di corrispondenze confermate in relazione alle quali non sono stati scambiati dati di base;

numero di interrogazioni dell’archivio comune di dati di identità tramite il router; e

numero di corrispondenze per ciascun tipo come segue:

dati identificati (persona) - dati non identificati (traccia);

ii)

dati non identificati (traccia) - dati identificati (persona);

iii)

dati non identificati (traccia) - dati non identificati (traccia);

iv)

dati identificati (persona) - dati non identificati (persona).

I dati di cui al primo comma non consentono l’identificazione di persone fisiche.

Il personale debitamente autorizzato delle autorità competenti degli Stati membri, della Commissione e di Europol ha accesso ai seguenti dati relativi ad EUCARIS, unicamente per elaborare relazioni e statistiche:

numero di interrogazioni presentate da ciascuno Stato membro e numero di interrogazioni presentate da Europol;

numero di interrogazioni di ciascuna banca dati connessa; e

numero di corrispondenze rispetto alla banca dati di ciascuno Stato membro.

I dati di cui al primo comma non consentono l’identificazione di persone fisiche.

Il personale debitamente autorizzato delle autorità competenti degli Stati membri, della Commissione e di Europol ha accesso ai seguenti dati relativi ad EPRIS, unicamente per elaborare relazioni e statistiche:

numero di interrogazioni presentate da ciascuno Stato membro e numero di interrogazioni presentate da Europol;

numero di interrogazioni di ciascun indice connesso; e

numero di corrispondenze rispetto alla banca dati di ciascuno Stato membro.

I dati di cui al primo comma non consentono l’identificazione di persone fisiche.

eu-LISA conserva i dati di cui al paragrafo 1 del presente articolo nell’archivio centrale per le relazioni e le statistiche stabilito a norma dell’articolo 39 del regolamento (UE) 2019/818. Europol conserva i dati di cui al paragrafo 3. Tali dati consentono alle autorità competenti degli Stati membri, alla Commissione, a eu-LISA e a Europol, di ottenere relazioni e statistiche personalizzabili per migliorare l’efficienza della cooperazione in materia di contrasto.

Articolo 73

Spese

Le spese sostenute per l’istituzione e il funzionamento del router e di EPRIS sono a carico del bilancio generale dell’Unione.

▼C1

Le spese sostenute in relazione all'integrazione delle infrastrutture nazionali esistenti e alle loro connessioni al router e ad EPRIS, nonché le spese sostenute in relazione alla creazione di banche dati nazionali di immagini del volto e indici degli archivi di polizia nazionali a fini di prevenzione, accertamento e indagine di reati sono a carico del bilancio generale dell'Unione

▼B

Sono escluse le spese seguenti:

l’ufficio di gestione di progetto degli Stati membri (riunioni, missioni, uffici);

l’hosting dei sistemi informatici nazionali (spazio, implementazione, elettricità, impianti di raffreddamento);

la gestione di sistemi IT nazionali (operatori e contratti di assistenza);

la progettazione, lo sviluppo, l’implementazione, il funzionamento e la manutenzione di reti di comunicazione nazionali.

Ciascuno Stato membro sostiene le spese derivanti dalla gestione, dall’utilizzo e dalla manutenzione di EUCARIS.

Ciascuno Stato membro sostiene le spese derivanti dalla gestione, dall’utilizzo e dalla manutenzione delle sue connessioni al router e ad EPRIS.

Articolo 74

Comunicazioni

Gli Stati membri comunicano a eu-LISA i nominativi delle autorità competenti di cui all’articolo 36. Tali autorità possono usare il router o accedervi.

eu-LISA comunica alla Commissione il positivo completamento dei collaudi di cui all’articolo 75, paragrafo 1, lettera b).

Europol comunica alla Commissione il positivo completamento dei collaudi di cui all’articolo 75, paragrafo 3, lettera b).

Ciascuno Stato membro comunica agli altri Stati membri, alla Commissione, a eu-LISA e a Europol il contenuto delle sue banche dati nazionali del DNA e le condizioni per le consultazioni automatizzate cui si applicano gli articoli 5 e 6.

Ciascuno Stato membro informa gli altri Stati membri, la Commissione, eu-LISA ed Europol del contenuto delle sue banche dati dattiloscopiche nazionali e delle condizioni per le consultazioni automatizzate cui si applicano gli articoli 10 e 11.

Ciascuno Stato membro comunica agli altri Stati membri, ala Commissione, a eu-LISA ed a Europol il contenuto delle sue banche dati nazionali di immagini del volto e delle condizioni per le consultazioni automatizzate cui si applicano gli articoli 19 e 20.

▼C1

Gli Stati membri che partecipano agli scambi automatizzati di archivi di polizia a norma degli articoli 25 e 26 comunicano agli altri Stati membri, alla Commissione e a Europol il contenuto dei loro indici degli archivi di polizia nazionali e delle banche dati nazionali utilizzate per stabilire tali indici e le condizioni per le consultazioni automatizzate.

▼B

Gli Stati membri notificano alla Commissione, ad eu-LISA e ad Europol il loro punto di contatto nazionale designato in conformità dell’articolo 30. La Commissione compila un elenco dei punti di contatto nazionali di cui è stata informata e lo mette a disposizione di tutti gli Stati membri.

Articolo 75

Entrata in funzione

La Commissione fissa, mediante atto di esecuzione, la data a decorrere dalla quale gli Stati membri ed Europol possono iniziare ad utilizzare il router una volta che siano soddisfatte le condizioni seguenti:

sono state adottate le misure di cui all’articolo 5, paragrafo 3, all’articolo 8, paragrafi 2 e 3, all’articolo 13, paragrafi 2 e 3, all’articolo 17, paragrafo 3, all’articolo 22, paragrafi 2 e 3, all’articolo 31 e all’articolo 37, paragrafo 6;

eu-LISA ha dichiarato il positivo completamento di un collaudo generale del router che ha effettuato in cooperazione con le autorità competenti degli Stati membri ed Europol.

La Commissione stabilisce, tramite l’atto di esecuzione di cui al primo comma, la data a decorrere dalla quale gli Stati membri ed Europol devono iniziare a utilizzare il router. Tale data è fissata un anno dopo la data di cui al primo comma.

La Commissione può rinviare al massimo di un anno la data a decorrere dalla quale gli Stati membri ed Europol devono iniziare a utilizzare il router qualora una valutazione dell’attuazione del router abbia dimostrato la necessità di tale rinvio.

Gli Stati membri provvedono affinché, due anni dopo l’entrata in funzione del router, le immagini del volto di cui all’articolo 19 siano disponibili ai fini della consultazione automatizzata delle immagini del volto di cui all’articolo 20.

La Commissione fissa, mediante atto di esecuzione, la data a decorrere dalla quale gli Stati membri ed Europol devono iniziare ad utilizzare EPRIS una volta che siano soddisfatte le condizioni seguenti:

sono state adottate le misure di cui all’articolo 44, paragrafo 6;

Europol ha dichiarato il positivo completamento di un collaudo generale di EPRIS che ha effettuato in cooperazione con le autorità competenti degli Stati membri.

La Commissione fissa, mediante atto di esecuzione, la data a decorrere dalla quale Europol deve mettere a disposizione degli Stati membri i dati biometrici provenienti da paesi terzi a norma dell’articolo 48 una volta che siano soddisfatte le condizioni seguenti:

il router è in funzione;

Europol ha dichiarato il positivo completamento di un collaudo generale della connessione che ha effettuato in cooperazione con le autorità competenti degli Stati membri ed eu-LISA.

La Commissione fissa, mediante atto di esecuzione, la data a decorrere dalla quale Europol deve avere accesso ai dati conservati nelle banche dati degli Stati membri a norma dell’articolo 49 una volta che siano soddisfatte le condizioni seguenti:

il router è in funzione;

Europol ha dichiarato il positivo completamento di un collaudo generale della connessione che ha effettuato in cooperazione con le autorità competenti degli Stati membri ed eu-LISA.

Gli atti di esecuzione di cui al presente articolo sono adottati secondo la procedura d’esame di cui all’articolo 77, paragrafo 2.

Articolo 76

Disposizioni transitorie e deroghe

Gli Stati membri e le agenzie dell’Unione iniziano ad applicare gli articoli da 19 a 22, l’articolo 47 e l’articolo 49, paragrafo 6, a decorrere dalla data fissata conformemente all’articolo 75, paragrafo 1, primo comma, fatta eccezione per gli Stati membri che non hanno iniziato a utilizzare il router.

Gli Stati membri e le agenzie dell’Unione iniziano ad applicare gli articoli da 25 a 28 e l’articolo 49, paragrafo 4, a decorrere dalla data fissata conformemente all’articolo 75, paragrafo 3.

Gli Stati membri e le agenzie dell’Unione iniziano ad applicare l’articolo 48 a decorrere dalla data fissata conformemente all’articolo 75, paragrafo 4.

Gli Stati membri e le agenzie dell’Unione iniziano ad applicare l’articolo 49, paragrafi 1, 2, 3, 5 e 7, a decorrere dalla data fissata conformemente all’articolo 75, paragrafo 5.

Articolo 77

Procedura di comitato

La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

Nei casi in cui è fatto riferimento al presente paragrafo, si applica l’articolo 5 del regolamento (UE) n. 182/2011. Qualora il comitato non esprima alcun parere, la Commissione non adotta il progetto di atto di esecuzione e si applica l’articolo 5, paragrafo 4, terzo comma, del regolamento (UE) n. 182/2011.

Articolo 78

Gruppo consultivo sull’interoperabilità

Le competenze del gruppo consultivo sull’interoperabilità istituito dall’articolo 75 del regolamento (UE) 2019/817 e dall’articolo 71 del regolamento (UE) 2019/818 sono estese al router. Tale gruppo consultivo sull’interoperabilità fornisce ad eu-LISA la competenza tecnica relativa al router, in particolare nel contesto della preparazione del programma di lavoro annuale e della relazione annuale di attività.

Articolo 79

Manuale pratico

La Commissione, in stretta cooperazione con gli Stati membri, eu-LISA. Europol e l’Agenzia dell’Unione europea per i diritti fondamentali, mette a disposizione un manuale pratico per l’attuazione e la gestione del presente regolamento. Il manuale pratico fornisce orientamenti tecnici e operativi, raccomandazioni e migliori prassi. La Commissione adotta il manuale pratico sotto forma di raccomandazione prima dell’entrata in funzione del router e di EPRIS. La Commissione aggiorna il manuale pratico periodicamente e laddove necessario.

Articolo 80

Monitoraggio e valutazione

eu-LISA provvede affinché siano istituite procedure per monitorare lo sviluppo del router rispetto agli obiettivi relativi alla pianificazione e alle spese, nonché per monitorare il suo funzionamento rispetto agli obiettivi prefissati in termini di risultati tecnici, di rapporto costi/benefici, di sicurezza e di qualità del servizio.

Europol provvede affinché siano istituite procedure per monitorare lo sviluppo di EPRIS rispetto agli obiettivi relativi alla pianificazione e alle spese, nonché per monitorare il suo funzionamento rispetto agli obiettivi prefissati in termini di risultati tecnici, di rapporto costi/benefici, di sicurezza e di qualità del servizio.

Entro il 26 aprile 2025 e successivamente ogni anno durante la fase di sviluppo del router, eu-LISA presenta al Parlamento europeo e al Consiglio una relazione sulla situazione dello sviluppo del router. Tali relazioni includono informazioni dettagliate sulle spese sostenute e informazioni sui rischi che possono incidere sulle spese complessive che sono a carico del bilancio generale dell’Unione a norma dell’articolo 73.

Una volta che lo sviluppo del router è completato, eu-LISA presenta al Parlamento europeo e al Consiglio una relazione che illustra nel dettaglio il modo in cui sono stati conseguiti gli obiettivi, in particolare quelli relativi alla pianificazione e alle spese e che giustifica eventuali scostamenti.

Entro il 26 aprile 2025 e successivamente ogni anno durante la fase di sviluppo di EPRIS, Europol presenta al Parlamento europeo e al Consiglio una relazione sullo stato di avanzamento dello sviluppo di EPRIS. Tali relazioni includono informazioni dettagliate sulle spese sostenute e informazioni sui rischi che potrebbero incidere sulle spese complessive che sono a carico del bilancio generale dell’Unione a norma dell’articolo 73.

Una volta che lo sviluppo di EPRIS è completato, Europol presenta al Parlamento europeo e al Consiglio una relazione che illustra nel dettaglio il modo in cui sono stati conseguiti gli obiettivi, in particolare quelli relativi alla pianificazione e alle spese e che giustifica eventuali scostamenti.

Ai fini della manutenzione tecnica, eu-LISA ha accesso alle informazioni necessarie riguardanti i trattamenti dei dati effettuati nel router. Ai fini della manutenzione tecnica, Europol ha accesso alle informazioni necessarie riguardanti i trattamenti dei dati effettuati in EPRIS.

Due anni dopo l’entrata in funzione del router, e successivamente ogni due anni, eu-LISA presenta al Parlamento europeo, al Consiglio e alla Commissione una relazione sul funzionamento tecnico del router, compresa la sua sicurezza.

Due anni dopo l’entrata in funzione di EPRIS, e successivamente ogni due anni, Europol presenta al Parlamento europeo, al Consiglio e alla Commissione una relazione sul funzionamento tecnico di EPRIS, compresa la sua sicurezza.

Tre anni dopo l’entrata in funzione del router e di EPRIS di cui all’articolo 75, e successivamente ogni quattro anni, la Commissione presenta una valutazione globale del quadro Prüm II.

Un anno dopo l’entrata in funzione del router e successivamente ogni due anni, la Commissione presenta una relazione che valuti l’uso delle immagini del volto a norma del presente regolamento.

La relazione di cui al primo e al secondo comma comprende quanto segue:

una valutazione dell’applicazione del presente regolamento, compreso il suo uso da parte di ciascuno Stato membro e di Europol;

un’analisi dei risultati conseguiti in relazione agli obiettivi del presente regolamento e della sua incidenza sui diritti fondamentali;

l’incidenza, l’efficacia e l’efficienza del quadro Prüm II e delle sue prassi di lavoro alla luce dei suoi obiettivi, del suo mandato e dei suoi compiti;

una valutazione della sicurezza del quadro Prüm II.

La Commissione trasmette tali relazioni di valutazione al Parlamento europeo, al Consiglio, al Garante europeo della protezione dei dati e all’Agenzia dell’Unione europea per i diritti fondamentali.

▼C1

Nelle relazioni di cui al primo comma del paragrafo 7, la Commissione presta una particolare attenzione alle nuove categorie di dati seguenti: le immagini del volto e i dati degli archivi di polizia. La Commissione include in tali relazioni l’uso da parte di ciascuno Stato membro e di Europol di tali nuove categorie di dati e il loro impatto, la loro efficacia e la loro efficienza. Per quanto riguarda le relazioni di cui al secondo comma del paragrafo 7, la Commissione presta una particolare attenzione al rischio di false corrispondenze e alla qualità dei dati.

▼B

Gli Stati membri ed Europol comunicano a eu-LISA e alla Commissione le informazioni necessarie per redigere le relazioni di cui ai paragrafi 2 e 5. Tali informazioni non mettono a repentaglio i metodi di lavoro né rivelano le fonti, sui membri del personale o sulle indagini delle autorità competenti degli Stati membri.

10.

Gli Stati membri comunicano alla Commissione e a Europol le informazioni necessarie per redigere le relazioni di cui ai paragrafi 3 e 6. Tali informazioni non mettono a repentaglio i metodi di lavoro né rivelano le fonti, sui membri del personale o sulle indagini delle autorità competenti degli Stati membri.

11.

Fatti salvi i requisiti di riservatezza, gli Stati membri, eu-LISA ed Europol comunicano alla Commissione le informazioni necessarie per redigere le relazioni di cui al paragrafo 7. Gli Stati membri comunicano altresì alla Commissione il numero di corrispondenze confermate rispetto alla banca dati di ciascuno Stato membro per ciascuna categoria e ciascun tipo di dati. Tali informazioni non mettono a repentaglio i metodi di lavoro né rivelano le fonti, sui membri del personale o sulle indagini delle autorità competenti degli Stati membri.

Articolo 81

Entrata in vigore e applicabilità

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile negli Stati membri conformemente ai trattati.

( 1 ) Direttiva (EU) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80).

( 2 ) GU L 56 del 4.3.1968, pag. 1.

( *1 ) Regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio, del 24 marzo 2024, sullo scambio automatizzato di dati per la cooperazione di polizia («Prüm II») e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (GU L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj)»;

( *2 ) Regolamento (UE) 2018/1861 del Parlamento europeo e del Consiglio, del 28 novembre 2018, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen (SIS) nel settore delle verifiche di frontiera, che modifica la convenzione di applicazione dell’accordo di Schengen e abroga il regolamento (CE) n. 1987/2006 (GU L 312 del 7.12.2018, pag. 14).

( *3 ) Regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio, del 28 novembre 2018, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen (SIS) nel settore della cooperazione di polizia e della cooperazione giudiziaria in materia penale, che modifica e abroga la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (CE) n. 1986/2006 del Parlamento europeo e del Consiglio e la decisione 2010/261/UE della Commissione (GU L 312 del 7.12.2018, pag. 56).»;

( *4 ) Regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio, del 13 marzo 2024, sulla ricerca e sullo scambio automatizzati di dati per la cooperazione di polizia e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (regolamento «Prüm II») (GU L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj).».

( *5 ) Regolamento (UE) 2024/982 del Parlamento europeo e del Consiglio, del 13 marzo 2024, sulla consultazione e sullo scambio automatizzati di dati per la cooperazione di polizia e che modifica le decisioni 2008/615/GAI e 2008/616/GAI del Consiglio e i regolamenti (UE) 2018/1726, (UE) 2019/817 e (UE) 2019/818 del Parlamento europeo e del Consiglio (regolamento «Prüm II») (GU L, 2024/982, 5.4.2024, ELI: http://data.europa.eu/eli/reg/2024/982/oj)»;

Arriba