REGOLAMENTO DI ESECUZIONE (UE) 2024/607 DELLA COMMISSIONE, 15 febbraio 2024
G.U.U.E. 16 febbraio 2024, Serie L
Regolamento relativo alle modalità pratiche e operative per il funzionamento del sistema di condivisione delle informazioni di cui al regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio («regolamento sui servizi digitali»).
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 7 marzo 2024
Applicabile dal: 7 marzo 2024
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio, del 19 ottobre 2022, relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali) (1), in particolare l'articolo 85,
previa consultazione del comitato per i servizi digitali in conformità dell'articolo 88 del regolamento (UE) 2022/2065,
considerando quanto segue:
1) Il regolamento (UE) 2022/2065 mira a garantire uno spazio digitale sicuro per gli utenti, assicurando nel contempo il rispetto dei diritti fondamentali. A tal fine impone ai prestatori di servizi intermediari obblighi volti a prevenire la diffusione di contenuti illegali online e disciplina le politiche di moderazione dei contenuti di tali prestatori in relazione ai loro servizi. Affinché la vigilanza, le indagini, l'esecuzione e il monitoraggio del rispetto di tali obblighi da parte dei prestatori siano efficaci, sono necessari la cooperazione e uno scambio di informazioni continuo tra gli Stati membri e con la Commissione.
2) A tal fine l'articolo 85 del regolamento (UE) 2022/2065 impone alla Commissione di istituire e mantenere un sistema affidabile, sicuro e interoperabile di condivisione delle informazioni, di seguito denominato «AGORA», a sostegno delle comunicazioni tra i coordinatori dei servizi digitali, la Commissione e il comitato europeo per i servizi digitali («comitato»). L'accesso ad AGORA può essere concesso ad altre autorità competenti, ove necessario per svolgere i compiti loro conferiti in conformità del regolamento (UE) 2022/2065. I coordinatori dei servizi digitali, la Commissione e il comitato sono tenuti a utilizzare AGORA per tutte le comunicazioni effettuate a norma del regolamento (UE) 2022/2065.
3) AGORA è un'applicazione software accessibile via internet il cui sviluppo è affidato alla Commissione. AGORA fornisce un meccanismo di comunicazione volto ad agevolare lo scambio transfrontaliero di informazioni e l'assistenza reciproca tra i coordinatori dei servizi digitali, la Commissione e il comitato a norma del regolamento (UE) 2022/2065. In particolare, AGORA dovrebbe sostenere i coordinatori dei servizi digitali, la Commissione e il comitato nella gestione dello scambio di informazioni in relazione alla vigilanza, alle indagini, all'esecuzione e al monitoraggio a norma del regolamento (UE) 2022/2065 sulla base di procedure semplici e unificate.
4) Il presente regolamento stabilisce le modalità pratiche e operative per l'istituzione, il mantenimento e il funzionamento di AGORA ai fini della vigilanza, delle indagini, dell'esecuzione e del monitoraggio a norma del regolamento (UE) 2022/2065: tali modalità possono contemplare, tra l'altro, lo scambio individuale di informazioni, le procedure di notifica, i meccanismi di allerta, gli accordi di assistenza reciproca e la risoluzione dei problemi tra i coordinatori dei servizi digitali, la Commissione, il comitato e le altre autorità competenti cui è stato concesso l'accesso ad AGORA a norma del regolamento (UE) 2022/2065 («partecipanti ad AGORA»).
5) Data la rilevanza transfrontaliera e intersettoriale dei servizi intermediari, è necessario un elevato livello di coordinamento e cooperazione tra i diversi soggetti interessati per garantire la coerenza della vigilanza, delle indagini, dell'esecuzione e del monitoraggio a norma del regolamento (UE) 2022/2065 e la disponibilità a tal fine di informazioni pertinenti attraverso AGORA.
6) Allo scopo di superare le barriere linguistiche, AGORA dovrebbe essere disponibile in tutte le lingue ufficiali dell'Unione. A tal fine AGORA dovrebbe fornire gli strumenti di traduzione completamente automatizzati attualmente a disposizione della Commissione per la traduzione dei documenti e dei messaggi scambiati attraverso il sistema. La Commissione dovrebbe mettere tali strumenti a disposizione delle persone fisiche che operano sotto l'autorità dei coordinatori dei servizi digitali, della Commissione, del comitato o delle altre autorità competenti cui è stato concesso l'accesso ad AGORA («utenti di AGORA») e agli utenti di AGORA nominati amministratori dai coordinatori dei servizi digitali, dalla Commissione e dal comitato («amministratori di AGORA»). Gli strumenti di traduzione automatica dovrebbero essere compatibili con le prescrizioni in materia di sicurezza e riservatezza che si applicano allo scambio di informazioni all'interno di AGORA.
7) Per svolgere i loro compiti a norma del regolamento (UE) 2022/2065, è possibile che i coordinatori dei servizi digitali, la Commissione e il comitato debbano scambiarsi informazioni che possono includere dati personali. Tale scambio di informazioni dovrebbe essere conforme alle norme in materia di protezione dei dati personali di cui ai regolamenti del Parlamento europeo e del Consiglio (UE) 2016/679 (2) e (UE) 2018/1725 (3). Di conseguenza lo scambio dei dati personali necessari per ottemperare agli obblighi e svolgere i compiti di cui al regolamento (UE) 2022/2065 rientra nell'ambito del trattamento lecito dei dati a norma dell'articolo 5, lettera a), del regolamento (UE) 2018/1725 e dell'articolo 6, paragrafo 1, lettera e), del regolamento (UE) 2016/679.
8) AGORA dovrebbe essere lo strumento utilizzato per lo scambio di informazioni, compresi ove necessario dati personali, che si svolgerebbe altrimenti con altri mezzi, tra cui la posta ordinaria o la posta elettronica, in virtù di un obbligo giuridico imposto ai coordinatori dei servizi digitali, alla Commissione, al comitato e alle altre autorità competenti cui è stato concesso l'accesso ad AGORA a norma del regolamento (UE) 2022/2065. I dati personali scambiati attraverso AGORA dovrebbero essere trattati solo ai fini della vigilanza, delle indagini, dell'esecuzione e del monitoraggio a norma del regolamento (UE) 2022/2065. Qualora nell'ambito del funzionamento di AGORA siano trattati dati personali ai fini della condivisione, della richiesta e della consultazione di informazioni, della risposta a richieste di informazioni, dei deferimenti, della richiesta di interventi e della richiesta di assistenza, i coordinatori dei servizi digitali dovrebbero costituire titolari del trattamento distinti, ai sensi del regolamento (UE) 2016/679, per quanto riguarda le attività di trattamento da essi svolte.
9) Ciascun coordinatore dei servizi digitali può anche decidere di utilizzare AGORA per le proprie attività di gestione dei casi ai fini della vigilanza, delle indagini, dell'esecuzione e del monitoraggio a norma del regolamento (UE) 2022/2065. Qualora non debbano essere scambiati dati personali all'interno di AGORA ai fini della condivisione, della richiesta e della consultazione di informazioni, della risposta a richieste di informazioni, dei deferimenti, della richiesta di interventi e della richiesta di assistenza, ciascun coordinatore dei servizi digitali e, se del caso, ogni altra autorità competente cui è stato concesso l'accesso ad AGORA dovrebbero costituire l'unico titolare del trattamento, ai sensi del regolamento (UE) 2016/679 e del regolamento (UE) 2018/1725, per quanto riguarda le attività di trattamento dei dati svolte mediante AGORA.
10) La trasmissione, la conservazione e gli altri trattamenti di dati personali di persone fisiche dovrebbero essere effettuati all'interno di AGORA al fine di agevolare le comunicazioni tra i partecipanti ad AGORA nello svolgimento delle loro attività di gestione dei casi in relazione alla vigilanza, alle indagini, all'esecuzione e al monitoraggio a norma del regolamento (UE) 2022/2065.
11) AGORA dovrebbe trattare dati personali nella misura strettamente necessaria ai fini della vigilanza, delle indagini, dell'esecuzione e del monitoraggio a norma del regolamento (UE) 2022/2065. AGORA dovrebbe trattare dati personali quali dati identificativi (ad esempio nome, nickname, pseudonimo, data di nascita, luogo di nascita, nazionalità, documenti di identificazione e, ove necessario, altre caratteristiche che possono contribuire all'identificazione), dati di contatto (ad esempio indirizzo professionale e privato, indirizzo di posta elettronica e numero di telefono), dati relativi al coinvolgimento nel caso (ad esempio la posizione e la funzione della persona fisica in un'impresa e altri ruoli quali indagato, vittima, persona segnalante, informatore e testimone), dati relativi al caso (ad esempio documento, immagine, video, registrazione vocale, dichiarazione, parere e registrazione) e qualsiasi altra informazione ritenuta necessaria per conformarsi alle prescrizioni del regolamento (UE) 2022/2065.
12) In virtù dei principi della protezione dei dati fin dalla progettazione e per impostazione predefinita, AGORA dovrebbe essere sviluppato e progettato nel rispetto delle prescrizioni stabilite dalla normativa in materia di protezione dei dati, in particolare alla luce delle restrizioni imposte all'accesso ai dati personali scambiati all'interno di AGORA. AGORA dovrebbe dunque offrire un livello di protezione e di sicurezza molto più elevato rispetto ad altri mezzi per lo scambio di informazioni come il telefono, la posta ordinaria o la posta elettronica.
13) La Commissione dovrebbe fornire e gestire il software e l'infrastruttura informatica per AGORA, garantirne l'affidabilità, la sicurezza, la disponibilità, la manutenzione e il funzionamento ed essere coinvolta nella formazione degli amministratori di AGORA e degli utenti di AGORA e nella prestazione di assistenza tecnica agli stessi.
14) La competenza degli Stati membri di decidere quali autorità nazionali daranno esecuzione agli obblighi derivanti dal presente regolamento dovrebbe essere esercitata conformemente agli articoli 49 e 62 del regolamento (UE) 2022/2065. Gli Stati membri dovrebbero poter adeguare le funzioni e le responsabilità correlate ad AGORA affinché riflettano le loro strutture amministrative interne e implementare all'interno di AGORA uno specifico tipo di lavoro o uno specifico ordine delle fasi in un determinato processo di lavoro.
15) Ciascun coordinatore dei servizi digitali dovrebbe nominare e notificare alla Commissione almeno un amministratore di AGORA nel proprio Stato membro per le questioni relative ad AGORA. Ciascun coordinatore dei servizi digitali dovrebbe essere inoltre responsabile della nomina degli amministratori di AGORA delle rispettive autorità competenti cui è stato concesso l'accesso ad AGORA a norma del regolamento (UE) 2022/2065. Ciascun amministratore di AGORA dovrebbe registrare, concedere e revocare l'accesso ad AGORA dei propri utenti di AGORA. Ai fini di una cooperazione efficiente in materia di vigilanza, indagini, esecuzione e monitoraggio dei servizi che rientrano nell'ambito di applicazione del regolamento (UE) 2022/2065 attraverso AGORA, gli Stati membri dovrebbero provvedere affinché i rispettivi amministratori di AGORA e utenti di AGORA dispongano delle risorse necessarie per ottemperare ai loro obblighi conformemente all'articolo 50, paragrafo 1, del regolamento (UE) 2022/2065.
16) Le informazioni che un coordinatore dei servizi digitali, la Commissione, il comitato o un'altra autorità competente cui è stato concesso l'accesso ad AGORA ha ricevuto attraverso AGORA da un altro coordinatore dei servizi digitali, dalla Commissione, dal comitato o da un'altra autorità competente non dovrebbero essere private del loro valore probatorio nell'ambito di procedimenti penali, civili o amministrativi a norma del diritto dell'UE e nazionale pertinente per il solo motivo che provengono da un altro Stato membro o che sono pervenute per via elettronica, e dovrebbero essere trattate dal partecipante ad AGORA interessato allo stesso modo di documenti analoghi provenienti dal suo Stato membro.
17) E' opportuno rendere possibile il trattamento del nome e dei dati di contatto degli amministratori di AGORA e degli utenti di AGORA necessari per il conseguimento degli obiettivi del regolamento (UE) 2022/2065 e del presente regolamento, compresi il monitoraggio dell'uso di AGORA da parte degli amministratori di AGORA e degli utenti di AGORA, le iniziative di comunicazione, formazione e sensibilizzazione e la raccolta di informazioni in relazione alla vigilanza, alle indagini, all'esecuzione e al monitoraggio dei servizi che rientrano nell'ambito di applicazione del regolamento (UE) 2022/2065, o per l'assistenza reciproca tra detti soggetti.
18) Al fine di garantire un monitoraggio e una presentazione di relazioni efficaci sul funzionamento di AGORA, i coordinatori dei servizi digitali, il comitato e le altre autorità competenti cui è stato concesso l'accesso ad AGORA dovrebbero mettere le informazioni pertinenti a disposizione della Commissione.
19) E' opportuno che gli interessati siano informati in merito al trattamento dei loro dati personali nell'ambito di AGORA e ai diritti di cui godono, in particolare il diritto di accedere ai dati che li riguardano e il diritto alla rettifica dei dati errati e alla cancellazione dei dati trattati illegalmente, in conformità del regolamento (UE) 2016/679 e del regolamento (UE) 2018/1725.
20) Ciascun partecipante ad AGORA, in qualità di titolare del trattamento per quanto riguarda le attività di trattamento dei dati che esso svolge in relazione alla vigilanza, alle indagini, all'esecuzione e al monitoraggio dei servizi che rientrano nell'ambito di applicazione del regolamento (UE) 2022/2065, dovrebbe garantire che gli interessati possano esercitare i loro diritti conformemente al regolamento (UE) 2016/679 e al regolamento (UE) 2018/1725. A tal fine dovrebbe essere istituito, tra l'altro, un processo per testare, analizzare e valutare periodicamente l'efficacia delle misure tecniche e organizzative volte a garantire la sicurezza del trattamento.
21) L'attuazione del presente regolamento e le prestazioni di AGORA dovrebbero essere monitorate nell'ambito della relazione sul funzionamento di AGORA sulla base dei dati statistici forniti da AGORA e di qualsiasi altro dato pertinente. La Commissione dovrebbe trasmettere la relazione al Parlamento europeo, al Consiglio e al Garante europeo della protezione dei dati. Le prestazioni dei coordinatori dei servizi digitali, del comitato e delle altre autorità competenti cui è stato concesso l'accesso ad AGORA dovrebbero essere valutate, tra l'altro, sulla base dei tempi medi di risposta, al fine di garantire risposte efficienti e adeguate. La relazione dovrebbe riguardare anche aspetti relativi alla protezione dei dati personali all'interno di AGORA, compresa la sicurezza dei dati.
22) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 4 gennaio 2024,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 277 del 27.10.2022, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GU L 119 del 4.5.2016, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Oggetto e ambito di applicazione
Il presente regolamento stabilisce le modalità pratiche e operative per il funzionamento di un sistema affidabile e sicuro di condivisione delle informazioni, di seguito denominato «AGORA», ai fini della vigilanza, delle indagini, dell'esecuzione e del monitoraggio a norma del regolamento (UE) 2022/2065.
Sistema di condivisione delle informazioni
1. E' istituito il sistema di condivisione delle informazioni AGORA.
2. AGORA è un'applicazione software accessibile via internet e lo strumento utilizzato per lo scambio di informazioni, compresi ove necessario dati personali, che si svolgerebbe altrimenti con altri mezzi, tra cui la posta ordinaria o la posta elettronica.
3. AGORA è utilizzato per lo scambio di informazioni, compreso lo scambio di informazioni contenenti dati personali, tra i coordinatori dei servizi digitali, la Commissione e il comitato europeo per i servizi digitali («comitato»), nonché con le altre autorità competenti cui è concesso l'accesso ad AGORA per lo svolgimento dei compiti loro conferiti in conformità del regolamento (UE) 2022/2065, in relazione alla vigilanza, alle indagini, all'esecuzione e al monitoraggio di detto regolamento.
Definizioni
Ai fini del presente regolamento, oltre alle definizioni di cui all'articolo 3 e all'articolo 49, paragrafo 1, del regolamento (UE) 2022/2065, all'articolo 4 del regolamento (UE) 2016/679 e all'articolo 3 del regolamento (UE) 2018/1725, si applicano le definizioni seguenti:
a) «AGORA»: il sistema di condivisione delle informazioni istituito e mantenuto dalla Commissione a sostegno di tutte le comunicazioni effettuate a norma del regolamento (UE) 2022/2065 tra i partecipanti ad AGORA ai fini della vigilanza, delle indagini, dell'esecuzione e del monitoraggio a norma del regolamento (UE) 2022/2065;
b) «partecipante ad AGORA»: i coordinatori dei servizi digitali, la Commissione, il comitato o le altre autorità competenti cui è o può essere concesso l'accesso ad AGORA, ove necessario, per lo svolgimento dei compiti loro conferiti a norma del regolamento (UE) 2022/2065;
c) «utente di AGORA»: una persona fisica operante sotto l'autorità di un partecipante ad AGORA e registrata come tale in AGORA ai fini dello svolgimento dei compiti conferiti al partecipante ad AGORA dal regolamento (UE) 2022/2065;
d) «amministratore di AGORA»: un utente di AGORA nominato da un partecipante ad AGORA ai fini della gestione di AGORA per conto di tale partecipante.
Responsabilità della Commissione
1. La Commissione è responsabile dello svolgimento dei compiti seguenti in relazione ad AGORA:
a) rendere AGORA disponibile in tutte le lingue ufficiali dell'Unione e mantenere AGORA;
b) garantire l'affidabilità, la sicurezza, la disponibilità, la manutenzione e lo sviluppo del software e dell'infrastruttura informatica di AGORA;
c) mettere a disposizione strumenti di traduzione automatica per la traduzione dei documenti e dei messaggi scambiati attraverso AGORA;
d) fornire assistenza agli altri partecipanti ad AGORA in relazione all'uso di AGORA;
e) registrare almeno un amministratore di AGORA per conto di ciascun coordinatore dei servizi digitali e del comitato e concedere loro l'accesso ad AGORA;
f) nominare almeno un amministratore di AGORA;
g) effettuare operazioni di trattamento di dati personali all'interno di AGORA, ove previsto dal presente regolamento, ai fini della vigilanza, delle indagini, dell'esecuzione e del monitoraggio a norma del regolamento (UE) 2022/2065;
h) provvedere alla revisione e al monitoraggio ed elaborare le relazioni necessarie ai fini della revisione e del monitoraggio di AGORA a norma del regolamento (UE) 2022/2065;
i) mettere a disposizione degli amministratori di AGORA conoscenze, formazione e assistenza, compresa l'assistenza tecnica;
j) monitorare le prestazioni di tutti gli altri partecipanti ad AGORA a norma del presente regolamento, conformemente all'articolo 15.
2. Al fine di assistere la Commissione nello svolgimento dei compiti di cui al paragrafo 1, gli altri partecipanti ad AGORA le forniscono informazioni relative alle operazioni da essi effettuate all'interno di AGORA.
Trattamento dei dati personali da parte della Commissione
1. La Commissione è un responsabile del trattamento ai sensi dell'articolo 3, punto 12), del regolamento (UE) 2018/1725 per quanto riguarda il trattamento dei dati personali all'atto della registrazione degli amministratori di AGORA.
2. La Commissione è un titolare del trattamento distinto, ai sensi dell'articolo 3, punto 8), del regolamento (UE) 2018/1725, per quanto riguarda il trattamento dei dati personali dei propri amministratori di AGORA e utenti di AGORA.
3. Qualora la Commissione tratti dati personali nell'ambito del funzionamento di AGORA ai fini della condivisione, della richiesta e della consultazione di informazioni, della richiesta di interventi e della richiesta di assistenza, la Commissione è considerata un titolare del trattamento, ai sensi dell'articolo 3, punto 8), del regolamento (UE) 2018/1725, distinto dagli altri partecipanti ad AGORA per quanto riguarda le attività di trattamento di dati personali da essa svolte.
4. Qualora la Commissione tratti dati personali nell'ambito del funzionamento di AGORA per conto di altri partecipanti ad AGORA ai fini della condivisione, della richiesta e della consultazione di informazioni, della richiesta di interventi e della richiesta di assistenza, la Commissione è considerata un responsabile del trattamento ai sensi dell'articolo 3, punto 12), del regolamento (UE) 2018/1725.
5. Ai fini del presente regolamento, le responsabilità della Commissione in qualità di responsabile del trattamento per quanto riguarda le attività di trattamento dei dati svolte all'interno di AGORA dagli altri partecipanti ad AGORA sono definite conformemente all'allegato II.
Responsabilità dei coordinatori dei servizi digitali
1. Ciascun coordinatore dei servizi digitali nomina, per il proprio Stato membro, almeno un amministratore di AGORA.
2. Ciascun coordinatore dei servizi digitali ha la responsabilità di garantire che, in relazione allo svolgimento dei compiti conferitigli a norma del regolamento (UE) 2022/2065, solo gli utenti di AGORA autorizzati abbiano accesso ad AGORA.
3. Ciascun coordinatore dei servizi digitali informa senza ritardo la Commissione in merito all'amministratore di AGORA da esso nominato a norma del paragrafo 1. La Commissione condivide tali informazioni con gli altri coordinatori dei servizi digitali e con il comitato.
4. Ciascun coordinatore dei servizi digitali garantisce che siano adempiute le responsabilità dell'amministratore di AGORA di cui al presente regolamento.
5. I coordinatori dei servizi digitali sono titolari del trattamento distinti, ai sensi dell'articolo 4, paragrafo 7, del regolamento (UE) 2016/679, per quanto riguarda il trattamento dei dati personali all'atto della registrazione dei loro utenti di AGORA e della concessione dell'accesso ad AGORA agli stessi.
6. Qualora trattino dati personali nell'ambito del funzionamento di AGORA ai fini della condivisione, della richiesta e della consultazione di informazioni, della risposta a richieste di informazioni, dei deferimenti, della richiesta di interventi e della richiesta di assistenza, i coordinatori dei servizi digitali sono titolari del trattamento distinti, ai sensi del regolamento (UE) 2016/679, per quanto riguarda le attività di trattamento da essi svolte.
7. Qualora altre autorità competenti designate dagli Stati membri a norma dell'articolo 49, paragrafo 1, del regolamento (UE) 2022/2065, che non siano il coordinatore dei servizi digitali, trattino dati personali nell'ambito del funzionamento di AGORA, tali autorità sono titolari del trattamento distinti, ai sensi del regolamento (UE) 2016/679.
Responsabilità del comitato
1. Il comitato nomina un amministratore di AGORA. L'amministratore di AGORA partecipa al sostegno amministrativo e analitico fornito al comitato a norma dell'articolo 62, paragrafo 4, del regolamento (UE) 2022/2065.
2. Il comitato ha la responsabilità di garantire che solo gli utenti di AGORA autorizzati abbiano accesso ad AGORA.
3. Il comitato comunica senza ritardo alla Commissione l'identità del proprio amministratore di AGORA nominato a norma del paragrafo 1 e i compiti di cui è responsabile a norma dell'articolo 8 del presente regolamento. La Commissione condivide tali informazioni con i coordinatori dei servizi digitali.
Responsabilità degli amministratori di AGORA
Gli amministratori di AGORA sono responsabili di:
a) registrare gli utenti di AGORA e concedere e revocare l'accesso ad AGORA;
b) fungere da punto di contatto principale per la Commissione per quanto riguarda le questioni relative ad AGORA, anche fornendo informazioni su aspetti relativi alla protezione dei dati personali in conformità del presente regolamento, del regolamento (UE) 2016/679 e del regolamento (UE) 2018/1725;
c) mettere a disposizione degli utenti di AGORA da loro registrati conoscenze, formazione e assistenza, compresi l'assistenza tecnica e uno sportello di assistenza;
d) garantire la fornitura efficace di risposte adeguate da parte dei partecipanti ad AGORA.
Diritti di accesso dei partecipanti ad AGORA
1. I partecipanti ad AGORA concedono e revocano i diritti di accesso agli amministratori di AGORA di cui sono responsabili.
2. Solo gli amministratori di AGORA autorizzati e gli utenti di AGORA autorizzati hanno accesso ad AGORA.
3. I partecipanti ad AGORA predispongono mezzi adeguati per garantire che gli amministratori di AGORA e gli utenti di AGORA siano autorizzati ad accedere ai dati personali trattati all'interno di AGORA solo se strettamente necessario a fini di vigilanza, indagini, esecuzione e monitoraggio a norma del regolamento (UE) 2022/2065.
4. Qualora una procedura relativa alla vigilanza, alle indagini, all'esecuzione e al monitoraggio a norma del regolamento (UE) 2022/2065 comporti il trattamento di dati personali, solo gli amministratori di AGORA e gli utenti di AGORA che partecipano a tale procedura hanno accesso a tali dati personali.
Riservatezza
1. Ogni Stato membro e la Commissione applicano le proprie norme in materia di segreto professionale o impongono altri obblighi di riservatezza equivalenti ai propri amministratori di AGORA e utenti di AGORA in conformità del diritto nazionale o dell'Unione.
2. Ciascun partecipante ad AGORA garantisce che gli amministratori di AGORA e gli utenti di AGORA che operano sotto la sua autorità si attengano alle richieste di trattamento riservato delle informazioni scambiate all'interno di AGORA formulate da altri partecipanti ad AGORA.
Trattamento dei dati personali all'interno di AGORA
1. La trasmissione, la conservazione e gli altri trattamenti di dati personali all'interno di AGORA possono avvenire solo se necessario e proporzionato e unicamente per le finalità seguenti:
a) sostegno alle comunicazioni tra i partecipanti ad AGORA in relazione alla vigilanza, alle indagini, all'esecuzione e al monitoraggio a norma del regolamento (UE) 2022/2065;
b) gestione dei casi da parte dei partecipanti ad AGORA nello svolgimento delle loro attività in relazione alla vigilanza, alle indagini, all'esecuzione e al monitoraggio a norma del regolamento (UE) 2022/2065;
c) esecuzione delle trasformazioni commerciali e tecniche dei dati elencati nel presente regolamento, ove ciò sia necessario per consentire lo scambio di informazioni di cui alle lettere a) e b).
2. E' possibile trattare dati personali all'interno di AGORA unicamente in relazione alle categorie di interessati seguenti:
a) persone fisiche le cui informazioni personali sono contenute in documenti ottenuti in relazione alla vigilanza, alle indagini, all'esecuzione e al monitoraggio a norma del regolamento (UE) 2022/2065;
b) amministratori di AGORA e utenti di AGORA cui è concesso l'accesso ad AGORA.
3. E' possibile trattare dati personali all'interno di AGORA unicamente in relazione alle categorie di dati personali seguenti:
a) dati identificativi, dati di contatto, dati relativi al coinvolgimento nel caso, dati relativi al caso e qualsiasi altra informazione ritenuta necessaria per la vigilanza, le indagini, l'esecuzione e il monitoraggio a norma del regolamento (UE) 2022/2065;
b) nome, indirizzo, informazioni di contatto, numero di contatto e identificativo utente degli amministratori di AGORA e degli utenti di AGORA di cui al paragrafo 2, lettera b).
4. AGORA conserva le categorie di dati personali di cui all'articolo 11, paragrafo 3, del presente regolamento e i log che forniscono informazioni sul flusso e sui movimenti dei dati scambiati ai fini della vigilanza, delle indagini, dell'esecuzione e del monitoraggio a norma del regolamento (UE) 2022/2065.
5. La conservazione dei dati di cui al paragrafo 2 è effettuata utilizzando infrastrutture informatiche situate nello Spazio economico europeo.
6. Ogni partecipante ad AGORA provvede affinché gli interessati possano esercitare i loro diritti conformemente ai regolamenti (UE) 2016/679 e (UE) 2018/1725 ed è responsabile del rispetto di tali regolamenti in relazione alle attività di trattamento di dati personali svolte per suo conto.
7. Le autorità nazionali di vigilanza e il Garante europeo della protezione dei dati, ciascuno nell'ambito delle rispettive competenze, assicurano una vigilanza coordinata di AGORA e del suo utilizzo da parte degli amministratori di AGORA e degli utenti di AGORA.
Contitolarità del trattamento all'interno di AGORA
1. I coordinatori dei servizi digitali sono contitolari del trattamento a norma dell'articolo 26, paragrafo 1, del regolamento (UE) 2016/679 per quanto riguarda la trasmissione, la conservazione e gli altri trattamenti di dati personali effettuati all'interno di AGORA in relazione alle attività del comitato svolte nell'ambito della vigilanza, delle indagini, dell'esecuzione e del monitoraggio a norma del regolamento (UE) 2022/2065.
2. In caso di svolgimento di indagini comuni a norma dell'articolo 60 del regolamento (UE) 2022/2065 nell'ambito della vigilanza, delle indagini, dell'esecuzione e del monitoraggio a norma del regolamento (UE) 2022/2065, i coordinatori dei servizi digitali interessati sono contitolari del trattamento, ai sensi dell'articolo 26, paragrafo 1, del regolamento (UE) 2016/679, per quanto riguarda la trasmissione, la conservazione e gli altri trattamenti di dati personali effettuati all'interno di AGORA nell'ambito di una specifica indagine comune.
3. Ai fini dei paragrafi 1 e 2, le responsabilità sono ripartite tra i contitolari del trattamento conformemente all'allegato I.
4. La Commissione è un responsabile del trattamento, ai sensi dell'articolo 3, punto 12), del regolamento (UE) 2018/1725, per quanto riguarda il trattamento dei dati personali effettuato per conto dei coordinatori dei servizi digitali ai fini delle attività del comitato e per quanto riguarda le indagini comuni di cui all'articolo 60 del regolamento (UE) 2022/2065 effettuate nell'ambito della vigilanza, delle indagini, dell'esecuzione e del monitoraggio a norma del regolamento (UE) 2022/2065.
Sicurezza
1. La Commissione predispone le misure all'avanguardia necessarie per garantire la sicurezza dei dati personali trattati all'interno di AGORA, fra cui un adeguato controllo dell'accesso ai dati e un piano di sicurezza, che è tenuto aggiornato.
2. La Commissione predispone le misure all'avanguardia necessarie in caso di incidente di sicurezza, adotta misure correttive e garantisce che sia possibile verificare quali dati personali sono stati trattati all'interno di AGORA, quando, da chi e a quale scopo.
Traduzioni
1. La Commissione rende AGORA disponibile in tutte le lingue ufficiali dell'Unione e mette a disposizione degli utenti di AGORA strumenti di traduzione automatica per la traduzione dei documenti e dei messaggi scambiati all'interno di AGORA.
2. Un coordinatore dei servizi digitali o qualsiasi altra autorità competente cui è concesso l'accesso ad AGORA può produrre, in relazione all'esecuzione di qualsiasi compito conferitogli a norma del regolamento (UE) 2022/2065, qualsiasi informazione, documento, constatazione, dichiarazione o copia conforme che ha ricevuto all'interno di AGORA, sulla stessa base di informazioni analoghe ottenute nel proprio paese, per fini compatibili con quelli per i quali i dati sono stati originariamente raccolti e in conformità del diritto dell'UE e nazionale pertinente.
Monitoraggio e relazioni
1. La Commissione monitora regolarmente il funzionamento di AGORA e ne valuta periodicamente le prestazioni.
2. Entro il 17 febbraio 2027, e successivamente ogni tre anni, la Commissione presenta al Parlamento europeo, al Consiglio e al Garante europeo della protezione dei dati una relazione sull'attuazione del presente regolamento. La relazione contiene informazioni sul monitoraggio e la valutazione effettuati a norma del paragrafo 1 e sulle prestazioni dei partecipanti ad AGORA in relazione ad AGORA, al fine di garantire un'efficace condivisione delle informazioni e risposte adeguate. La relazione riguarda anche aspetti dell'attuazione relativi alla protezione dei dati personali all'interno di AGORA, compresa la sicurezza dei dati.
3. Ai fini dell'elaborazione della relazione di cui al paragrafo 2, i coordinatori dei servizi digitali, il comitato e le altre autorità competenti cui è concesso l'accesso ove necessario per lo svolgimento dei compiti loro conferiti a norma del regolamento (UE) 2022/2065 forniscono annualmente alla Commissione tutte le informazioni pertinenti all'applicazione del presente regolamento sotto forma di relazioni, anche per quanto riguarda l'applicazione delle prescrizioni in materia di protezione dei dati e sicurezza dei dati ivi stabilite.
Spese
1. Le spese sostenute per l'istituzione, la manutenzione e il funzionamento di AGORA sono coperte dai contributi annuali per le attività di vigilanza riscossi dalla Commissione a norma dell'articolo 43, paragrafo 2, del regolamento (UE) 2022/2065 e del regolamento delegato (UE) 2023/1127 della Commissione (1).
2. Le spese per le operazioni di AGORA a livello degli Stati membri, comprese le risorse umane necessarie per la formazione, la promozione, l'assistenza tecnica e le attività dello sportello di assistenza, nonché per l'amministrazione di AGORA a livello nazionale e gli eventuali adeguamenti necessari alle reti e ai sistemi di informazione nazionali sono a carico dello Stato membro che le sostiene.
Regolamento delegato (UE) 2023/1127 della Commissione, del 2 marzo 2023, che integra il regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio con le metodologie e le procedure dettagliate relative ai contributi per le attività di vigilanza addebitati dalla Commissione ai fornitori di piattaforme online di dimensioni molto grandi e di motori di ricerca online di dimensioni molto grandi (GU L 149 del 2.3.2023, ELI: http://data.europa.eu/eli/reg_del/2023/1127/oj).
Applicazione efficace
Gli Stati membri adottano tutte le misure necessarie a garantire l'applicazione efficace del presente regolamento da parte dei rispettivi partecipanti ad AGORA.
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 15 febbraio 2024
Per la Commissione
La presidente
URSULA VON DER LEYEN
ALLEGATO I
Responsabilità dei coordinatori dei servizi digitali in qualità di contitolari del trattamento per le attività di trattamento dei dati svolte nel contesto di AGORA per le indagini congiunte e per le attività del comitato
SEZIONE 1
Sottosezione 1
Ambito di applicazione dell'accordo di contitolarità del trattamento
1) L'accordo di contitolarità del trattamento seguente si applica ai coordinatori dei servizi digitali interessati quando svolgono indagini congiunte a norma dell'articolo 60 del regolamento (UE) 2022/2065.
2) L'accordo di contitolarità del trattamento seguente si applica ai coordinatori dei servizi digitali in qualità di membri del comitato per quanto riguarda le attività di trattamento dei dati personali del comitato a norma del regolamento (UE) 2022/2065, effettuate nel contesto della vigilanza, delle indagini, dell'esecuzione e del monitoraggio dei servizi nell'ambito di applicazione del regolamento (UE) 2022/2065.
Sottosezione 2
Ripartizione delle responsabilità
1) I contitolari del trattamento trattano i dati personali tramite AGORA.
2) I coordinatori dei servizi digitali sono i soli titolari del trattamento per quanto riguarda la raccolta, l'utilizzo, la divulgazione e qualsiasi altro trattamento di dati personali effettuati al di fuori di AGORA. I coordinatori dei servizi digitali sono inoltre i soli titolari del trattamento per quanto riguarda le attività di trattamento dei dati personali da essi svolte all'interno di AGORA a fini di vigilanza, indagini, esecuzione e monitoraggio dei servizi nell'ambito di applicazione del regolamento (UE) 2022/2065.
3) Ogni contitolare del trattamento è responsabile del trattamento dei dati personali all'interno di AGORA a norma degli articoli 5, 24 e 26 del regolamento (UE) 2016/679.
4) Ogni contitolare del trattamento istituisce un punto di contatto con una casella di posta elettronica funzionale per la comunicazione tra i contitolari del trattamento stessi e tra questi ultimi e il responsabile del trattamento.
5) Ogni contitolare del trattamento fornisce su richiesta agli altri contitolari del trattamento un'assistenza rapida ed efficiente nell'esecuzione del presente accordo, nel rispetto di tutti i requisiti applicabili del regolamento (UE) 2016/679 e delle altre norme applicabili in materia di protezione dei dati, compresi gli obblighi nei confronti della rispettiva autorità di controllo.
6) I contitolari del trattamento definiscono le modalità di lavoro attraverso le quali avviene il trattamento dei dati personali tramite AGORA e forniscono istruzioni concordate alla Commissione in qualità di responsabile del trattamento.
7) Le istruzioni al responsabile del trattamento sono inviate da uno qualsiasi dei punti di contatto dei contitolari del trattamento, d'intesa con gli altri contitolari del trattamento. Il contitolare del trattamento che fornisce le istruzioni le trasmette al responsabile del trattamento per iscritto e ne informa tutti gli altri contitolari del trattamento. Se la questione in esame è così urgente da non consentire una riunione dei contitolari del trattamento, è comunque possibile fornire istruzioni, che possono tuttavia essere revocate dai contitolari del trattamento. Tali istruzioni sono fornite per iscritto e tutti gli altri contitolari del trattamento ne sono informati all'atto della fornitura delle istruzioni.
8) Le modalità di lavoro tra contitolari del trattamento non precludono la competenza individuale di qualsiasi contitolare del trattamento di informare la rispettiva autorità di controllo competente a norma degli articoli 24 e 33 del regolamento (UE) 2016/679. Tale notifica non richiede il consenso degli altri contitolari del trattamento.
9) Le modalità di lavoro tra contitolari del trattamento non ostano a che qualsiasi contitolare del trattamento cooperi con la rispettiva autorità di controllo competente istituita a norma dei regolamenti (UE) 2016/679 e (UE) 2018/1725.
10) Solo le persone autorizzate da ciascun contitolare del trattamento accedono ai dati personali scambiati.
11) Ogni contitolare del trattamento tiene, sotto la propria responsabilità, un registro delle attività di trattamento. La contitolarità del trattamento è indicata in tale registro.
Sottosezione 3
Responsabilità e ruoli per la gestione delle richieste degli interessati e la loro informazione
1) Ogni titolare del trattamento fornisce informazioni alle persone fisiche i cui dati sono trattati nell'ambito di indagini congiunte e attività del comitato svolte nel contesto della vigilanza, delle indagini, dell'esecuzione e del monitoraggio dei servizi nell'ambito di applicazione del regolamento (UE) 2022/2065, conformemente all'articolo 14 del regolamento (UE) 2016/679, a meno che ciò non si riveli impossibile o comporti uno sforzo sproporzionato.
2) Ogni titolare del trattamento funge da punto di contatto per le persone fisiche di cui ha trattato i dati e gestisce le richieste presentate dagli interessati o dai loro rappresentanti nell'esercizio dei loro diritti in conformità al regolamento (UE) 2016/679. Un contitolare del trattamento che riceve da un interessato una richiesta relativa al trattamento effettuato da un altro contitolare del trattamento informa l'interessato dell'identità e dei dati di contatto del contitolare del trattamento competente. Se richiesto da un altro contitolare del trattamento, i contitolari del trattamento si forniscono assistenza reciproca nella gestione delle richieste degli interessati e si rispondono reciprocamente senza indebito ritardo e al più tardi entro un mese dalla ricezione di una richiesta di assistenza.
3) Ogni titolare del trattamento mette a disposizione degli interessati il contenuto del presente allegato.
SEZIONE 2
GESTIONE DEGLI INCIDENTI DI SICUREZZA, COMPRESE LE VIOLAZIONI DEI DATI PERSONALI
1) I contitolari del trattamento si forniscono assistenza reciproca nell'identificazione e nella gestione di eventuali incidenti di sicurezza connessi al trattamento all'interno di AGORA, comprese le violazioni dei dati personali.
2) I contitolari del trattamento, in particolare, si informano reciprocamente:
a) di eventuali rischi potenziali o effettivi per la disponibilità, la riservatezza e/o l'integrità dei dati personali oggetto di trattamento all'interno di AGORA;
b) di eventuali violazioni dei dati personali, delle probabili conseguenze delle violazioni dei dati personali e della valutazione del rischio per i diritti e le libertà delle persone fisiche, nonché delle misure adottate per porre rimedio alla violazione dei dati personali e per attenuare il rischio per i diritti e le libertà delle persone fisiche; e
c) di eventuali violazioni delle garanzie tecniche e/o organizzative del trattamento all'interno di AGORA.
3) I contitolari del trattamento comunicano alla Commissione, alle autorità di controllo competenti in materia di protezione dei dati e, ove prescritto, agli interessati eventuali violazioni dei dati personali in relazione alle operazioni di trattamento all'interno di AGORA in conformità agli articoli 33 e 34 del regolamento (UE) 2016/679 o a seguito della notifica da parte della Commissione.
4) Ogni titolare del trattamento mette in atto misure tecniche e organizzative adeguate intese a:
a) garantire e proteggere la disponibilità, l'integrità e la riservatezza dei dati personali oggetto di trattamento congiunto;
b) proteggere i dati personali in suo possesso da trattamenti, perdite, usi, comunicazioni, acquisizioni o accessi non autorizzati o illeciti; e
c) garantire che l'accesso ai dati personali non sia esteso o concesso a soggetti diversi dai destinatari o dal responsabile del trattamento.
SEZIONE 3
Valutazione d'impatto sulla protezione dei dati
Se un titolare del trattamento, per rispettare gli obblighi di cui agli articoli 35 e 36 del regolamento (UE) 2016/679, ha bisogno di informazioni da un altro titolare del trattamento o dal responsabile del trattamento, invia una richiesta specifica alla casella di posta elettronica funzionale di cui alla sezione 1, sottosezione 2, punto 4. Il destinatario della richiesta si adopera al meglio per fornire tali informazioni.
ALLEGATO II
Responsabilità della commissione in qualità di responsabile del trattamento per le attività di trattamento dei dati svolte nel contesto di AGORA dai coordinatori dei servizi digitali, da altre autorità nazionali e dal comitato
1) La Commissione:
a) istituisce e garantisce un'infrastruttura di comunicazione sicura e affidabile, AGORA, per conto dei coordinatori dei servizi digitali, di altre autorità nazionali e del comitato, che sostenga lo scambio di informazioni per indagini coordinate, meccanismi di coerenza e attività del comitato; e
b) tratta dati personali soltanto su istruzione documentata dei titolari e dei contitolari del trattamento, a meno che il trattamento non sia richiesto dal diritto dell'Unione o dello Stato membro; in tal caso, la Commissione informa i titolari e i contitolari del trattamento in merito a tale obbligo giuridico prima di svolgere l'attività di trattamento, a meno che la fornitura di tale informazione sia vietata a norma di legge per importanti motivi di interesse pubblico.
2) Per adempiere i propri obblighi in qualità di responsabile del trattamento per quanto riguarda i coordinatori dei servizi digitali, altre autorità nazionali e il comitato, la Commissione può ricorrere a terzi in qualità di sotto-responsabili del trattamento. In tal caso, i titolari e i contitolari del trattamento autorizzano la Commissione a ricorrere a sotto-responsabili del trattamento o a sostituirli, quando se ne presenta la necessità. La Commissione informa i titolari e i contitolari del trattamento di tale ricorso a sotto-responsabili del trattamento o della loro sostituzione, dando in tal modo ai titolari e ai contitolari del trattamento la possibilità di opporsi a tali modifiche. La Commissione si assicura che a detti sotto-responsabili si applichino gli stessi obblighi in materia di protezione dei dati di cui al presente regolamento.
3) Il trattamento da parte della Commissione comprende:
a) il controllo dell'autenticazione e dell'accesso per quanto riguarda tutti gli amministratori di AGORA e gli utenti di AGORA;
b) l'autorizzazione degli amministratori di AGORA e degli utenti di AGORA a creare, aggiornare e cancellare tutti i registri e le informazioni contenuti in AGORA;
c) la ricezione dei dati personali di cui all'articolo 12, paragrafo 3, del presente regolamento, caricati dagli utenti nazionali di AGORA e dagli amministratori di AGORA tramite la fornitura di un'interfaccia di programmazione delle applicazioni che consenta agli utenti nazionali di AGORA e agli amministratori di AGORA di caricare i dati pertinenti;
d) la conservazione dei dati personali in AGORA;
e) la messa a disposizione dei dati personali per l'accesso e il download da parte degli amministratori di AGORA e degli utenti di AGORA e per qualsiasi altra attività di trattamento dei dati necessaria;
f) la cancellazione dei dati personali alla data di scadenza o dietro istruzione del titolare del trattamento che li ha presentati;
g) la cancellazione di tutti i dati personali rimanenti dopo che è terminata la prestazione del servizio, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati personali.
4) La Commissione adotta tutte le misure di sicurezza fisiche, logiche e organizzative all'avanguardia per garantire il funzionamento di AGORA. A tal fine la Commissione:
a) designa un ente responsabile della gestione della sicurezza di AGORA, ne comunica i dati di contatto ai contitolari del trattamento e ne garantisce la disponibilità a reagire alle minacce alla sicurezza;
b) si assume la responsabilità della sicurezza di AGORA, anche effettuando periodicamente prove, valutazioni e analisi delle misure di sicurezza;
c) provvede affinché gli amministratori di AGORA e gli utenti di AGORA cui è concesso l'accesso ad AGORA siano assoggettati per contratto, professionalmente o per legge all'obbligo di riservatezza.
5) La Commissione adotta tutte le misure di sicurezza necessarie per evitare di compromettere il regolare funzionamento operativo di AGORA. Dette misure comprendono:
a) le procedure di valutazione del rischio finalizzate a individuare e stimare potenziali minacce ad AGORA;
b) una procedura di audit e revisione finalizzata a:
- verificare la corrispondenza tra le misure di sicurezza applicate e la politica di sicurezza applicabile;
- controllare periodicamente l'integrità dei file e dei parametri di sicurezza di AGORA e delle relative autorizzazioni concesse;
- rilevare violazioni della sicurezza e intrusioni in AGORA;
- apportare modifiche per ridurre le lacune di sicurezza esistenti in AGORA;
- definire le condizioni alle quali autorizzare, anche su richiesta dei titolari del trattamento, audit indipendenti, comprese ispezioni, e revisioni delle misure di sicurezza e contribuire all'esecuzione di tali audit e revisioni, fatto salvo il rispetto del protocollo (n. 7) del trattato sul funzionamento dell'Unione europea sui privilegi e sulle immunità dell'Unione europea;
c) la modifica della procedura di controllo per documentare, misurare l'impatto di una modifica prima della sua realizzazione e mantenere informati i titolari e i contitolari del trattamento in merito a eventuali modifiche in grado di avere effetti sulla comunicazione con AGORA e/o sulla sicurezza di quest'ultima;
d) l'elaborazione di una procedura per la manutenzione e la riparazione finalizzata a specificare le norme e le condizioni da rispettare in caso di manutenzione e/o riparazione di AGORA;
e) l'elaborazione di una procedura per gli incidenti di sicurezza finalizzata a definire il sistema di segnalazione e successione, informare senza indugio i titolari del trattamento interessati, informare senza indugio i titolari del trattamento affinché possano notificare le autorità nazionali di controllo della protezione dei dati in merito a qualsiasi violazione dei dati personali e definire un processo disciplinare per affrontare le violazioni della sicurezza in AGORA.
6) La Commissione adotta misure di sicurezza fisiche e/o logiche all'avanguardia per le strutture che ospitano AGORA e per i controlli dei dati e del relativo accesso in sicurezza. A tal fine la Commissione:
a) garantisce il rispetto della sicurezza fisica per stabilire specifici perimetri di sicurezza e consentire la rilevazione di violazioni in AGORA;
b) controlla l'accesso alle strutture di AGORA e tiene un registro dei visitatori di AGORA a fini di tracciabilità;
c) si assicura che i soggetti esterni a cui è consentito l'accesso ai locali siano scortati da personale debitamente autorizzato;
d) provvede affinché non possano essere aggiunte, sostituite o rimosse attrezzature senza la preventiva autorizzazione degli organismi responsabili designati;
e) controlla l'accesso da e verso AGORA;
f) garantisce che gli amministratori di AGORA e gli utenti di AGORA che accedono ad AGORA siano identificati e autenticati;
g) riesamina i diritti di autorizzazione relativi all'accesso ad AGORA in caso di violazione della sicurezza riguardante AGORA;
h) salvaguarda l'integrità delle informazioni trasmesse tramite AGORA;
i) applica misure tecniche e organizzative di sicurezza per impedire l'accesso non autorizzato ai dati personali in AGORA;
j) attua, ove necessario, misure per bloccare l'accesso non autorizzato ad AGORA (ossia il blocco di una località/di un indirizzo IP).
7) La Commissione:
a) adotta misure per proteggere il suo dominio, compresa l'interruzione delle connessioni, in caso di scostamento sostanziale rispetto ai principi e ai concetti in materia di qualità e di sicurezza;
b) prevede un piano di gestione dei rischi in relazione al suo settore di competenza;
c) monitora in tempo reale l'efficienza di tutte le componenti dei servizi di AGORA, produce statistiche periodiche e conserva i relativi registri;
d) fornisce supporto per AGORA in inglese agli amministratori di AGORA e agli utenti di AGORA;
e) assiste i titolari e i contitolari del trattamento con misure tecniche e organizzative adeguate al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III del regolamento (UE) 2016/679;
f) sostiene i titolari e i contitolari del trattamento fornendo informazioni su AGORA ai fini dell'attuazione degli obblighi di cui agli articoli 32, 33, 34, 35 e 36 del regolamento (UE) 2016/679;
g) garantisce che i dati trattati all'interno di AGORA siano incomprensibili a chiunque non sia autorizzato ad accedervi;
h) adotta tutte le misure pertinenti per impedire l'accesso non autorizzato ai dati personali trasmessi tramite AGORA;
i) adotta misure per agevolare la comunicazione tra i titolari e i contitolari del trattamento;
j) tiene un registro delle attività di trattamento svolte per conto dei titolari e dei contitolari del trattamento in conformità all'articolo 31, paragrafo 2, del regolamento (UE) 2018/1725.