REGOLAMENTO DELEGATO (UE) 2021/2222 DELLA COMMISSIONE, 30 settembre 2021
G.U.U.E. 15 dicembre 2021, n. L 448
Regolamento che integra il regolamento (UE) 2019/818 del Parlamento europeo e del Consiglio con le modalità di funzionamento dell'archivio centrale di relazioni e statistiche.
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 4 gennaio 2022
Applicabile dal: 4 gennaio 2022
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) 2019/818 del Parlamento europeo e del Consiglio, del 20 maggio 2019, che istituisce un quadro per l'interoperabilità tra i sistemi di informazione dell'UE nel settore della cooperazione di polizia e giudiziaria, asilo e migrazione, e che modifica i regolamenti (UE) 2018/1726, (UE) 2018/1862 e (UE) 2019/816 (1), in particolare l'articolo 39, paragrafo 5,
considerando quanto segue:
1) Il regolamento (UE) 2019/818, unitamente al regolamento (UE) 2019/817 del Parlamento europeo e del Consiglio (2), istituisce un quadro per garantire l'interoperabilità tra i sistemi di informazione dell'UE nel settore delle frontiere, dei visti, della cooperazione di polizia e giudiziaria, dell'asilo e della migrazione.
2) Tale quadro comprende una serie di componenti e strumenti a sostegno dell'interoperabilità, tra cui un archivio centrale di relazioni e statistiche («archivio centrale»). L'archivio centrale conserva i dati anonimizzati estratti dai sistemi di informazione dell'UE sottostanti, dal servizio comune di confronto biometrico, dall'archivio comune di dati di identità e dal rilevatore di identità multiple, al fine di fornire dati statistici intersistemici e relazioni analitiche a scopi strategici, operativi e di qualità dei dati.
3) L'Agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia («eu-LISA») è responsabile di istituire, attuare e ospitare l'archivio centrale e di provvedere alla sua gestione operativa.
4) Per consentire all'archivio centrale di fornire dati statistici intersistemici, è necessario stabilire le sue modalità di funzionamento, comprese le garanzie specifiche per il trattamento dei dati personali e le norme di sicurezza.
5) Al fine di rendere impossibile l'identificazione delle persone fisiche a partire dai dati statistici contenuti nell'archivio centrale, eu-LISA dovrebbe sviluppare uno strumento di anonimizzazione dei dati nell'ambito della sua architettura. Il processo di anonimizzazione dovrebbe essere automatizzato.
6) L'accesso, controllato e sicuro, dovrebbe essere concesso unicamente al personale autorizzato delle autorità competenti, delle istituzioni e delle agenzie dell'Unione, affinché possa consultare i dati e le statistiche contenuti nell'archivio centrale. A tal fine, eu-LISA dovrebbe sviluppare uno strumento di reportistica nell'ambito della sua architettura. Il personale di eu-LISA non dovrebbe avere accesso diretto ai dati personali conservati nei sistemi di informazione dell'UE o nelle componenti dell'interoperabilità.
7) Per tenere traccia delle corrispondenze incrociate di fascicoli di identità all'interno dei, o tra i, relativi sistemi di informazione dell'UE a fini statistici pertinenti, l'archivio centrale dovrebbe conservare un numero di riferimento univoco. Non dovrebbe essere possibile utilizzare tale numero per recuperare informazioni dai fascicoli di identità.
8) La soluzione tecnica che ospita l'archivio centrale dovrebbe essere attuata presso il sito tecnico di eu-LISA e presso il sito di riserva, al fine di garantirne la disponibilità in qualsiasi momento.
9) Dato che il regolamento (UE) 2019/818 si basa sull'acquis di Schengen, a norma dell'articolo 4 del protocollo n. 22 sulla posizione della Danimarca, allegato al trattato sull'Unione europea e al trattato sul funzionamento dell'Unione europea, la Danimarca ha notificato il recepimento di tale regolamento nel proprio diritto interno. Essa è pertanto vincolata dal presente regolamento.
10) Il presente regolamento costituisce uno sviluppo delle disposizioni dell'acquis di Schengen a cui l'Irlanda non partecipa (3); l'Irlanda non partecipa pertanto alla sua adozione, non è da esso vincolata né è soggetta alla sua applicazione.
11) Per quanto riguarda l'Islanda e la Norvegia, il presente regolamento costituisce, ai sensi dell'accordo concluso dal Consiglio dell'Unione europea con la Repubblica d'Islanda e il Regno di Norvegia sulla loro associazione all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (4), uno sviluppo delle disposizioni dell'acquis di Schengen che rientrano nel settore di cui all'articolo 1, lettera A, della decisione 1999/437/CE del Consiglio (5).
12) Per quanto riguarda la Svizzera, il presente regolamento costituisce, ai sensi dell'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione di quest'ultima all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (6), uno sviluppo delle disposizioni dell'acquis di Schengen che rientrano nel settore di cui all'articolo 1, lettera A, della decisione 1999/437/CE, in combinato disposto con l'articolo 3 della decisione 2008/146/CE del Consiglio (7).
13) Per quanto riguarda il Liechtenstein, il presente regolamento costituisce, ai sensi del protocollo tra l'Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull'adesione del Principato del Liechtenstein all'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (8), uno sviluppo delle disposizioni dell'acquis di Schengen che rientrano nel settore di cui all'articolo 1, lettera A, della decisione 1999/437/CE, in combinato disposto con l'articolo 3 della decisione 2011/350/UE del Consiglio (9).
14) Per quanto riguarda Cipro, la Bulgaria, la Romania e la Croazia, il presente regolamento costituisce un atto basato sull'acquis di Schengen o a esso altrimenti connesso ai sensi, rispettivamente, dell'articolo 3, paragrafo 1, dell'atto di adesione del 2003, dell'articolo 4, paragrafo 1, dell'atto di adesione del 2005 e dell'articolo 4, paragrafo 1, dell'atto di adesione del 2011.
15) Il Garante europeo della protezione dei dati è stato consultato conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (10) e ha espresso un parere il 17 giugno 2021,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 135 del 22.5.2019.
Regolamento (UE) 2019/817 del Parlamento europeo e del Consiglio, del 20 maggio 2019, che istituisce un quadro per l'interoperabilità tra i sistemi di informazione dell'UE nel settore delle frontiere e dei visti e che modifica i regolamenti (CE) n. 767/2008, (UE) n. 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 e (UE) 2018/1861 del Parlamento europeo e del Consiglio e le decisioni 2004/512/CE e 2008/633/GAI del Consiglio (GU L 135 del 22.5.2019).
Il presente regolamento non rientra nell'ambito di applicazione delle misure previste dalla decisione 2002/192/CE del Consiglio, del 28 febbraio 2002, riguardante la richiesta dell'Irlanda di partecipare ad alcune disposizioni dell'acquis di Schengen (GU L 64 del 7.3.2002).
GU L 176 del 10.7.1999.
Decisione 1999/437/CE del Consiglio, del 17 maggio 1999, relativa a talune modalità di applicazione dell'accordo concluso dal Consiglio dell'Unione europea con la Repubblica d'Islanda e il Regno di Norvegia sull'associazione di questi due Stati all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (GU L 176 del 10.7.1999).
GU L 53 del 27.2.2008.
Decisione 2008/146/CE del Consiglio, del 28 gennaio 2008, relativa alla conclusione, a nome della Comunità europea, dell'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera, riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (GU L 53 del 27.2.2008).
GU L 160 del 18.6.2011.
Decisione 2011/350/UE del Consiglio, del 7 marzo 2011, sulla conclusione, a nome dell'Unione europea, del protocollo tra l'Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull'adesione del Principato del Liechtenstein all'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen, con particolare riguardo alla soppressione dei controlli alle frontiere interne e alla circolazione delle persone (GU L 160 del 18.6.2011).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018).
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) «dati statistici»: i dati resi anonimi e utilizzati unicamente al fine di elaborare relazioni statistiche a norma dei regolamenti (UE) 2017/2226 (1), (UE) 2018/1240 (2), (UE) 2018/1860 (3), (UE) 2018/1861 (4), (UE) 2018/1862 (5) e (UE) 2019/816 (6) del Parlamento europeo e del Consiglio;
2) «relazioni (statistiche)»: una raccolta organizzata di dati statistici, prodotta dall'archivio centrale in modo automatizzato secondo una serie di regole prestabilite e conservata nell'archivio centrale;
3) «relazioni personalizzabili»: relazioni statistiche estratte sulla base di dati statistici contenuti nell'archivio centrale secondo regole specifiche stabilite ad hoc da un utente, e conservate nell'archivio centrale;
4) «dati di identità critici»: uno qualsiasi dei seguenti dati, o una loro combinazione, da cui possono essere identificate le persone fisiche:
a) nome, cognome, «alias» di qualsiasi persona i cui dati possono essere conservati in un sistema di informazione dell'UE;
b) numero del documento di viaggio:
c) indirizzo (via, numero civico);
d) telefono, indirizzo IP;
e) indirizzi di posta elettronica;
f) dati biometrici.
Regolamento (UE) 2017/2226 del Parlamento europeo e del Consiglio, del 30 novembre 2017, che istituisce un sistema di ingressi/uscite (EES) per la registrazione dei dati di ingresso e di uscita e dei dati relativi al respingimento dei cittadini di paesi terzi che attraversano le frontiere esterne degli Stati membri e che determina le condizioni di accesso al sistema di ingressi/uscite a fini di contrasto e che modifica la Convenzione di applicazione dell'accordo di Schengen e i regolamenti (CE) n. 767/2008 e (UE) n. 1077/2011 (GU L 327 del 9.12.2017).
Regolamento (UE) 2018/1240 del Parlamento europeo e del Consiglio, del 12 settembre 2018, che istituisce un sistema europeo di informazione e autorizzazione ai viaggi (ETIAS) e che modifica i regolamenti (UE) n. 1077/2011, (UE) n. 515/2014, (UE) 2016/399, (UE) 2016/1624 e (UE) 2017/2226 (GU L 236 del 19.9.2018).
Regolamento (UE) 2018/1860 del Parlamento europeo e del Consiglio, del 28 novembre 2018, relativo all'uso del sistema d'informazione Schengen per il rimpatrio di cittadini di paesi terzi il cui soggiorno è irregolare (GU L 312 del 7.12.2018).
Regolamento (UE) 2018/1861 del Parlamento europeo e del Consiglio, del 28 novembre 2018, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen (SIS) nel settore delle verifiche di frontiera, che modifica la convenzione di applicazione dell'accordo di Schengen e abroga il regolamento (CE) n. 1987/2006 (GU L 312 del 7.12.2018).
Regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio, del 28 novembre 2018, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen (SIS) nel settore della cooperazione di polizia e della cooperazione giudiziaria in materia penale, che modifica e abroga la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (CE) n. 1986/2006 del Parlamento europeo e del Consiglio e la decisione 2010/261/UE della Commissione (GU L 312 del 7.12.2018).
Regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio, del 17 aprile 2019, che istituisce un sistema centralizzato per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi e apolidi (ECRIS-TCN) e integrare e sostenere il sistema europeo di informazione sui casellari giudiziali, e che modifica il regolamento (UE) 2018/1726 (GU L 135 del 22.5.2019).
Informazioni contenute nell'archivio centrale
1. I dati di cui all'articolo 39, paragrafo 2, del regolamento (UE) 2019/818 sono messi a disposizione e conservati nell'archivio centrale conformemente al presente regolamento.
2. L'archivio centrale contiene dati statistici, comprese relazioni sull'uso del sistema ai fini del monitoraggio del funzionamento delle componenti dell'interoperabilità di cui all'articolo 62 del regolamento (UE) 2019/818.
3. L'archivio centrale contiene relazioni tecniche per garantire il monitoraggio da parte di eu-LISA dello sviluppo e del funzionamento delle componenti dell'interoperabilità conformemente all'articolo 74, paragrafo 1, del regolamento (UE) 2019/818.
4. L'archivio centrale conserva un numero di riferimento univoco che consente di tenere traccia delle corrispondenze incrociate di fascicoli di identità all'interno dei, o tra i, relativi sistemi di informazione dell'UE a fini statistici. Non è possibile utilizzare tale numero di riferimento per recuperare i fascicoli di identità sottostanti.
5. L'archivio centrale consente al personale debitamente autorizzato delle autorità competenti di cui all'articolo 39, paragrafo 2, del regolamento (UE) 2019/818 di ottenere quanto segue:
a) relazioni a norma dell'articolo 74 del regolamento (UE) 2018/1862, contenenti le seguenti statistiche sulle registrazioni conservate nel sistema d'informazione Schengen:
i) statistiche giornaliere, mensili e annuali relative al numero di registrazioni per categoria di segnalazione, sia per ciascuno Stato membro sia su base aggregata, a norma dell'articolo 74, paragrafo 3, di detto regolamento;
ii) relazioni annuali relative al numero di riscontri positivi (hit) per categoria di segnalazione, al numero di interrogazioni del sistema d'informazione Schengen e al numero di accessi al sistema d'informazione Schengen per l'inserimento, l'aggiornamento o la cancellazione di una segnalazione, sia per ciascuno Stato membro sia su base aggregata, a norma dell'articolo 74, paragrafo 3, di detto regolamento;
iii) su richiesta della Commissione, specifiche relazioni statistiche aggiuntive, periodiche o ad hoc, sulle prestazioni del sistema d'informazione Schengen, sull'uso del sistema d'informazione Schengen e sullo scambio di informazioni supplementari, a norma dell'articolo 74, paragrafo 6, secondo comma, di detto regolamento;
iv) su richiesta dell'Agenzia europea della guardia di frontiera e costiera, specifiche relazioni statistiche aggiuntive, periodiche o ad hoc, ai fini dello svolgimento di analisi di rischio e valutazioni della vulnerabilità, a norma dell'articolo 74, paragrafo 6, secondo comma, di detto regolamento;
v) relazioni e statistiche ai fini della manutenzione tecnica, delle relazioni, delle relazioni sulla qualità dei dati, e delle statistiche, a norma dell'articolo 74, paragrafo 2, di detto regolamento;
vi) relazioni sulla qualità dei dati a norma dell'articolo 15, paragrafo 4, di detto regolamento.
b) relazioni a norma dell'articolo 32 del regolamento (UE) 2019/816, contenenti le seguenti statistiche sulle registrazioni conservate nel sistema europeo di informazione sui casellari giudiziali riguardo ai cittadini di paesi terzi (ECRIS-TCN) e sull'attuazione di riferimento ECRIS:
i) dati statistici e relazioni personalizzabili riguardanti la registrazione, la conservazione e lo scambio delle informazioni estratte dai casellari giudiziali tramite il sistema europeo di informazione sui casellari giudiziali riguardo ai cittadini di paesi terzi;
ii) relazioni e statistiche ai fini della manutenzione tecnica, delle relazioni sulla qualità dei dati, e delle statistiche, a norma dell'articolo 32, paragrafo 3, di detto regolamento.
6. Le relazioni tecniche di cui al paragrafo 2 contengono statistiche riguardanti l'uso del sistema, la disponibilità, gli incidenti, la capacità operativa, l'esattezza dei dati biometrici, la qualità dei dati e, se del caso, le operazioni pendenti.
7. L'utente può personalizzare le relazioni di attività prodotte dall'archivio centrale, in modo da filtrare o raggruppare i dati, tramite lo strumento di reportistica messo a disposizione insieme all'archivio centrale.
8. E' messo a disposizione un catalogo di relazioni. Le richieste di nuove relazioni o le modifiche alle relazioni esistenti seguono la politica di gestione delle modifiche di eu-LISA.
Archivio di dati e strumento di reportistica
1. L'archivio centrale usa una soluzione tecnica che ospita i dati estratti dai sistemi di informazione dell'UE sottostanti e dalle componenti dell'interoperabilità.
2. La soluzione tecnica contiene uno strumento di reportistica configurato in modo da creare, conservare ed eseguire le relazioni e le relazioni personalizzabili di cui all'articolo 2.
3. Lo strumento di reportistica consente la generazione di relazioni di attività e relazioni tecniche, e il loro recupero da parte dell'utente.
4. Lo strumento di reportistica consente la fornitura di dati statistici intersistemici e di relazioni analitiche a fini strategici, operativi e di qualità dei dati, ove previsto dal diritto dell'Unione.
5. Tutte le relazioni sono gestite nell'ambito della soluzione tecnica. Le opportune misure di sicurezza e integrità sono attuate nella soluzione tecnica, al fine di soddisfare i requisiti del piano di sicurezza di cui all'articolo 42, paragrafo 3, del regolamento (UE) 2019/818.
6. La soluzione tecnica è realizzata sul sito tecnico di eu-LISA e sul sito di riserva.
Estrazione dei dati
L'archivio centrale ottiene dai sistemi di informazione dell'UE copie in sola lettura dei dati di cui all'articolo 39, paragrafo 2, e all'articolo 62, paragrafi 1, 2 e 3, del regolamento (UE) 2019/818 al fine di elaborare le statistiche e le relazioni di cui agli articoli 39 e 62 di detto regolamento. I dati sono ottenuti periodicamente e almeno una volta al giorno, mediante estrazione unidirezionale.
Strumento di anonimizzazione dei dati
1. I dati estratti dai sistemi di informazione dell'UE sottostanti e dalle componenti dell'interoperabilità sono resi anonimi mediante uno strumento di anonimizzazione dei dati. Solo i dati anonimizzati sono conservati nell'archivio centrale.
2. Lo strumento di anonimizzazione dei dati identifica i dati di identità critici presenti nei sistemi di informazione dell'UE e li rende anonimi tramite un processo automatizzato prima che i dati statistici siano conservati nell'archivio centrale. Il processo di anonimizzazione è irreversibile.
Accesso
1. L'accesso all'archivio centrale da parte del personale debitamente autorizzato è concesso e gestito conformemente all'articolo 74 del regolamento (UE) 2018/1862 e all'articolo 32 del regolamento (UE) 2019/816.
2. L'archivio centrale è accessibile agli Stati membri, alla Commissione e alle agenzie dell'Unione, conformemente ai rispettivi diritti di accesso a norma del diritto dell'Unione, tramite una connessione di rete protetta (TESTA).
3. Soltanto il personale debitamente autorizzato delle autorità competenti in conformità con l'articolo 39, paragrafo 2, e l'articolo 62, paragrafi da 1 a 5, del regolamento (UE) 2019/818 è abilitato ad accedere allo strumento di cui all'articolo 3, paragrafo 2, del presente regolamento.
4. Le autorità competenti accedono all'archivio centrale mediante profili di utente. eu-LISA conserva un elenco dei profili di utente. Un'autorità può avere vari profili, a seconda dei suoi diritti di accesso.
5. L'accesso all'archivio centrale è registrato. Le informazioni registrate comprendono almeno:
a) la marcatura temporale;
b) l'autorità;
c) il tipo di relazione in questione.
6. I log che consentono l'identificazione degli utenti che hanno avuto accesso all'archivio centrale sono conservati a livello nazionale e dalla Commissione, dall'Agenzia europea della guardia di frontiera e costiera e da Europol. eu-LISA conserva il log di tutte le operazioni di accesso. I log sono conservati nell'archivio centrale per un anno, dopo di che sono cancellati automaticamente.
7. Eventuali ruoli contrastanti all'interno dell'archivio centrale sono identificati e l'accesso è concesso in base ai seguenti principi:
a) «necessità di conoscere»;
b) accesso con privilegio minimo;
c) separazione delle funzioni.
8. Le relazioni sulla qualità dei dati pubblicate a norma dell'articolo 15, paragrafo 4, del regolamento (UE) 2018/1862 comprendono uno strumento che consente agli Stati membri di fornire a eu-LISA un feedback riguardante la correzione dei problemi incontrati.
Responsabile del trattamento
Ai fini dell'anonimizzazione dei dati personali a norma dell'articolo 5, eu-LISA è il responsabile del trattamento ai sensi dell'articolo 3, punto 12, del regolamento (UE) 2018/1725.
Altri aspetti relativi alla protezione dei dati e alla sicurezza
1. I dati conservati nell'archivio centrale sono consultati unicamente ai fini dell'elaborazione di relazioni e statistiche.
2. eu-LISA attua le misure di sicurezza necessarie per garantire l'integrità dei dati nell'archivio centrale. Qualsiasi modifica dei dati deve essere tracciabile a fini di audit.
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile negli Stati membri conformemente ai trattati.
Fatto a Bruxelles, il 30 settembre 2021
Per la Commissione
La presidente
URSULA VON DER LEYEN