REGOLAMENTO DI ESECUZIONE (UE) 2024/3084 DELLA COMMISSIONE, 4 dicembre 2024
G.U.U.E. 6 dicembre 2024, Serie L
Regolamento sul funzionamento del sistema di informazione in applicazione del regolamento (UE) 2023/1115 del Parlamento europeo e del Consiglio relativo alla messa a disposizione sul mercato dell'Unione e all'esportazione dall'Unione di determinate materie prime e determinati prodotti associati alla deforestazione e al degrado forestale.
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 9 dicembre 2024
Applicabile dal: 9 dicembre 2024
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) 2023/1115 del Parlamento europeo e del Consiglio, del 31 maggio 2023, relativo alla messa a disposizione sul mercato dell'Unione e all'esportazione dall'Unione di determinate materie prime e determinati prodotti associati alla deforestazione e al degrado forestale e che abroga il regolamento (UE) n. 995/2010 (1), in particolare l'articolo 33,
considerando quanto segue:
1) Il regolamento (UE) 2023/1115 stabilisce norme per ridurre al minimo il contributo dell'Unione alla deforestazione e al degrado forestale. A tal fine impone obblighi di dovuta diligenza agli operatori e ai commercianti che immettono sul mercato dell'Unione, vi mettono a disposizione o esportano da esso determinate materie prime e determinati prodotti. Quando nel presente regolamento si fa riferimento agli operatori si dovrebbero intendere anche i commercianti non PMI che mettono a disposizione sul mercato i prodotti interessati se le disposizioni del presente regolamento sono generalmente applicabili a questa categoria di operatori conformemente agli obblighi che incombono a essa a norma del regolamento (UE) 2023/1115, in particolare l'articolo 5, paragrafo 1.
2) Mettendo a disposizione le dichiarazioni di dovuta diligenza gli operatori assumono ufficialmente la responsabilità della conformità dei prodotti che intendono immettere sul mercato o esportare.
3) E' necessario sviluppare un sistema di informazione a cui possano accedere gli operatori e i commercianti e, se del caso, i loro mandatari, le autorità competenti e le autorità doganali, per adempiere ai rispettivi obblighi a norma del regolamento (UE) 2023/1115. E' auspicabile che il sistema di informazione agevoli il trasferimento delle informazioni tra le autorità competenti e le autorità doganali degli Stati membri.
4) Il sistema di informazione dovrebbe essere un'applicazione software, basata sulla piattaforma TRACES istituita dal regolamento (UE) 2017/625 del Parlamento europeo e del Consiglio (2), e dovrebbe essere sviluppata e gestita dalla Commissione.
5) E' pertanto necessario stabilire le modalità pratiche e operative del funzionamento del sistema di informazione in modo da favorire l'attuazione e l'esecuzione efficaci e armonizzate del regolamento (UE) 2023/1115.
6) Per superare le barriere linguistiche il sistema di informazione dovrebbe essere disponibile in tutte le lingue ufficiali dell'Unione. A tal fine è opportuno che la Commissione traduca l'interfaccia utente del sistema di informazione in tutte le lingue ufficiali dell'Unione.
7) E' possibile che gli operatori, i commercianti, le autorità competenti, le autorità doganali e la Commissione, per adempiere agli obblighi e svolgere i compiti che incombono loro a norma del regolamento (UE) 2023/1115, debbano scambiarsi informazioni che potrebbero contenere dati personali. Tale scambio di informazioni dovrebbe essere conforme alle norme in materia di protezione dei dati personali stabilite dai regolamenti (UE) 2016/679 (3) e (UE) 2018/1725 (4) del Parlamento europeo e del Consiglio. Di conseguenza lo scambio dei dati personali necessari per adempiere agli obblighi e svolgere i compiti stabiliti dal regolamento (UE) 2023/1115 rientra nell'ambito del trattamento lecito dei dati a norma dell'articolo 5, paragrafo 1, lettera a), del regolamento (UE) 2018/1725 e dell'articolo 6, paragrafo 1, lettera e), del regolamento (UE) 2016/679.
8) Il sistema di informazione dovrebbe essere usato per aiutare gli operatori, i commercianti e le autorità competenti a presentare e accedere alle informazioni necessarie sui prodotti immessi o messi a disposizione sul mercato, o esportati. I dati personali scambiati attraverso il sistema di informazione dovrebbero essere trattati solo per adempiere agli obblighi e svolgere i compiti stabiliti dal regolamento (UE) 2023/1115. Se nell'uso del sistema di informazione i dati personali sono trattati allo scopo di adempiere agli obblighi e svolgere i compiti stabiliti dal regolamento (UE) 2023/1115, è opportuno che gli operatori e i commercianti e, se del caso, i loro mandatari, le autorità competenti e le autorità doganali siano titolari del trattamento ai sensi del regolamento (UE) 2016/679 e che la Commissione sia titolare del trattamento ai sensi del regolamento (UE) 2018/1725 per le rispettive attività di trattamento. Le autorità competenti e le autorità doganali dovrebbero essere contitolari del trattamento ai sensi del regolamento (UE) 2016/679 per le attività di trattamento associate ai compiti da esse svolte cooperando in applicazione dell'articolo 21 del regolamento (UE) 2023/1115.
9) Il trattamento, la trasmissione, la conservazione e altri trattamenti dei dati personali delle persone fisiche dovrebbero essere effettuati nel sistema di informazione, ai fini dell'adempimento degli obblighi e dello svolgimento dei compiti stabiliti dal regolamento (UE) 2023/1115.
10) Il sistema di informazione dovrebbe trattare i dati personali nella misura strettamente necessaria ai fini dell'adempimento degli obblighi stabiliti dal regolamento (UE) 2023/1115. Il sistema di informazione dovrebbe trattare esclusivamente le categorie di dati personali enumerate all'articolo 12, paragrafo 2, del presente regolamento di esecuzione.
11) E' opportuno che il sistema di informazione non conservi i dati personali trasmessi dai suoi utilizzatori in una forma che consenta di identificare gli interessati per un periodo superiore a quanto strettamente necessario a conseguire le finalità per le quali tali dati sono trattati. Detto periodo dovrebbe essere di dieci anni dalla data di presentazione della dichiarazione di dovuta diligenza per mezzo del sistema di informazione, tenendo conto dei processi manifatturieri per un lasso di tempo prolungato così da consentire agli operatori e ai commercianti e, se del caso, ai loro mandatari di fare riferimento a dichiarazioni di dovuta diligenza esistenti in applicazione dell'articolo 33, paragrafo 2, lettera c), del regolamento (UE) 2023/1115 nonché di ottemperare all'obbligo di accertare che sia stata esercitata la dovuta diligenza relativa ai prodotti interessati contenuti nei prodotti interessati o fabbricati a partire da essi, conformemente all'articolo 4, paragrafo 9, del regolamento (UE) 2023/1115. Ove necessario affinché i partecipanti al sistema di informazione possano adempiere alle loro responsabilità e ai loro obblighi individuali di cui al regolamento (UE) 2023/1115, dovrebbe essere consentito conservare e trattare i dati personali per periodi più lunghi.
12) La Commissione dovrebbe rendere accessibili al pubblico le serie di dati anonimizzate del sistema di informazione in un formato aperto leggibile meccanicamente, in linea con la politica dell'Unione in materia di apertura dei dati, presentate sotto forma di serie di dati opportunamente aggregate e anonimizzate cui accedere sul sito web della Commissione.
13) In virtù dei principi della protezione fin dalla progettazione e per impostazione predefinita, il sistema di informazione dovrebbe essere sviluppato e progettato nel rispetto delle prescrizioni della normativa in materia di protezione dei dati, in particolare alla luce delle restrizioni imposte all'accesso ai dati personali scambiati al suo interno. Il sistema di informazione dovrebbe dunque offrire un livello di protezione e di sicurezza molto più elevato rispetto ad altri mezzi per lo scambio di informazioni come il telefono, la posta ordinaria o la posta elettronica.
14) La Commissione dovrebbe fornire e gestire il software e l'infrastruttura informatica del sistema di informazione, garantirne l'affidabilità, la sicurezza, la disponibilità, la manutenzione e il funzionamento ed essere coinvolta nella prestazione di formazione e assistenza tecnica ai partecipanti e agli utilizzatori del sistema di informazione. Il sistema di informazione dovrebbe consentire uno scambio efficace dei dati con i sistemi e le fonti di dati dei servizi della Commissione.
15) Gli Stati membri dovrebbero poter adeguare le loro funzioni e responsabilità correlate al sistema di informazione affinché riflettano le loro strutture amministrative interne, e attuare nel sistema di informazione uno specifico tipo di lavoro o ordine delle fasi in un determinato processo di lavoro nel rispetto degli obblighi che incombono loro in virtù del capo 3 del regolamento (UE) 2023/1115.
16) Per agevolare l'attuazione efficace del regolamento (UE) 2023/1115, le autorità competenti dovrebbero poter compiere nel sistema di informazione operazioni intese ad assicurare la conformità con il regolamento, tra le quali definire il profilo di rischio per il piano dei controlli di cui all'articolo 16, paragrafo 5, del regolamento (UE) 2023/1115, registrare i risultati dei controlli su operatori e commercianti, sospendere il rilascio dei numeri di riferimento assegnati alle dichiarazioni di dovuta diligenza e, in caso di mancata conformità non rettificabile, respingere le dichiarazioni di dovuta diligenza. In applicazione dell'articolo 16, paragrafo 1, del regolamento (UE) 2023/1115, che prevede che le autorità competenti effettuino controlli nel proprio territorio, queste dovrebbero poter compiere operazioni inerenti alle dichiarazioni di dovuta diligenza per le quali l'utilizzatore del sistema di informazione fornisce informazioni sullo Stato membro in cui un prodotto entra nel mercato dell'Unione, ne esce o vi è messo a disposizione. In assenza di tali informazioni, le autorità competenti dovrebbero poter compiere operazioni inerenti alle dichiarazioni di dovuta diligenza degli utilizzatori del sistema di informazione che sono stabiliti nel loro Stato membro o associati a esso.
17) Le informazioni che l'autorità competente, l'autorità doganale, la Commissione o un'altra autorità competente cui è stato concesso l'accesso al sistema di informazione ha ricevuto attraverso lo stesso da un'altra autorità competente, da un'altra autorità doganale, dalla Commissione o da un'altra autorità analoga non dovrebbero essere private del loro valore probatorio nell'ambito di procedimenti penali, civili o amministrativi a norma del diritto dell'UE e nazionale pertinente per il solo motivo che provengono da un altro Stato membro o che sono pervenute per via elettronica. Tali informazioni dovrebbero essere trattate dall'utilizzatore del sistema di informazione alla stregua di documenti analoghi provenienti dal suo Stato membro.
18) E' opportuno poter trattare il nome e i recapiti degli utilizzatori del sistema di informazione necessari per adempiere agli obblighi e raggiungere gli obiettivi del regolamento (UE) 2023/1115 e del presente regolamento, ivi compresi il monitoraggio dell'uso del sistema di informazione da parte degli amministratori e degli utilizzatori del sistema, le iniziative di comunicazione, formazione e sensibilizzazione e la raccolta di informazioni in relazione all'ambito di applicazione del regolamento (UE) 2023/1115, o l'assistenza reciproca a norma del medesimo regolamento.
19) Al fine di garantire un monitoraggio e una rendicontazione efficaci sul funzionamento del sistema di informazione, le autorità competenti, le autorità doganali o le altre autorità competenti cui è stato concesso l'accesso al sistema di informazione dovrebbero mettere a disposizione della Commissione le informazioni ad essa necessarie per adempiere ai propri obblighi a norma del regolamento (UE) 2023/1115 e del presente regolamento.
20) E' opportuno che gli interessati siano informati in merito al trattamento dei loro dati personali nel sistema di informazione e ai diritti di cui godono in conformità dei regolamenti (UE) 2016/679 e (UE) 2018/1725, in particolare il diritto di accedere ai dati che li riguardano e il diritto alla rettifica dei dati errati e alla cancellazione di quelli trattati illegalmente.
21) L'utilizzatore del sistema di informazione, in qualità di titolare del trattamento per quanto riguarda le attività di trattamento dei dati che esso svolge nell'ambito di applicazione del regolamento (UE) 2023/1115, dovrebbe garantire che gli interessati possano esercitare i loro diritti conformemente ai regolamenti (UE) 2016/679 e (UE) 2018/1725. A tal fine dovrebbe essere istituito, tra l'altro, un processo per testare, analizzare e valutare periodicamente l'efficacia delle misure tecniche e organizzative volte a garantire la sicurezza del trattamento.
22) L'attuazione del presente regolamento e le prestazioni del sistema di informazione dovrebbero essere monitorate nell'ambito della relazione sul funzionamento del sistema di informazione sulla base dei dati statistici del sistema stesso e di qualsiasi altro dato pertinente. La Commissione dovrebbe trasmettere la relazione al Parlamento europeo, al Consiglio e al Garante europeo della protezione dei dati. La relazione dovrebbe anche riguardare aspetti relativi alla protezione dei dati personali all'interno del sistema di informazione, compresa la sicurezza dei dati.
23) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 5 novembre 2024.
24) Le misure di cui al presente regolamento sono conformi al parere del comitato dell'Unione europea per il regolamento sui prodotti a deforestazione zero,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 150 del 9.6.2023, ELI: http://data.europa.eu/eli/reg/2023/1115/oj.
Regolamento (UE) 2017/625 del Parlamento europeo e del Consiglio, del 15 marzo 2017, relativo ai controlli ufficiali e alle altre attività ufficiali effettuati per garantire l'applicazione della legislazione sugli alimenti e sui mangimi, delle norme sulla salute e sul benessere degli animali, sulla sanità delle piante nonché sui prodotti fitosanitari, recante modifica dei regolamenti (CE) n. 999/2001, (CE) n. 396/2005, (CE) n. 1069/2009, (CE) n. 1107/2009, (UE) n. 1151/2012, (UE) n. 652/2014, (UE) 2016/429 e (UE) 2016/2031 del Parlamento europeo e del Consiglio, dei regolamenti (CE) n. 1/2005 e (CE) n. 1099/2009 del Consiglio e delle direttive 98/58/CE, 1999/74/CE, 2007/43/CE, 2008/119/CE e 2008/120/CE del Consiglio, e che abroga i regolamenti (CE) n. 854/2004 e (CE) n. 882/2004 del Parlamento europeo e del Consiglio, le direttive 89/608/CEE, 89/662/CEE, 90/425/CEE, 91/496/CEE, 96/23/CE, 96/93/CE e 97/78/CE del Consiglio e la decisione 92/438/CEE del Consiglio (regolamento sui controlli ufficiali) (GU L 95 del 7.4.2017, ELI: http://data.europa.eu/eli/reg/2017/625/oj).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GU L 119 del 4.5.2016, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Oggetto
Il presente regolamento stabilisce le norme sul funzionamento del sistema di informazione, comprese le norme in materia di protezione dei dati personali e scambio di dati con altri sistemi informatici.
Introduzione e uso del sistema di informazione
1. La Commissione:
a) sviluppa il sistema di informazione come modulo indipendente della piattaforma TRACES;
b) provvede al funzionamento, alla manutenzione, al supporto e a qualsiasi aggiornamento o sviluppo necessario del sistema di informazione.
2. Il sistema di informazione è usato dagli operatori e dai commercianti e, se del caso, dai loro mandatari per presentare e gestire le dichiarazioni di dovuta diligenza e per verificare la validità dei numeri di riferimento, ed è usato dalle autorità competenti, dalle autorità doganali e dalla Commissione per accedere alle dichiarazioni di dovuta diligenza e compiere operazioni ad esse inerenti, tra cui scambiarsi informazioni contenenti dati personali sull'attuazione e sull'esecuzione del regolamento (UE) 2023/1115. Tale scambio di informazioni deve essere conforme alle norme in materia di protezione dei dati personali di cui ai regolamenti (UE) 2016/679 e (UE) 2018/1725.
3. Nel sistema di informazione le dichiarazioni di dovuta diligenza sono assegnate alle autorità competenti come segue:
a) se l'utilizzatore del sistema di informazione fornisce informazioni che indicano lo Stato membro nel quale il prodotto interessato entra nel mercato dell'Unione o ne esce, oppure, in assenza di tali informazioni, nel quale il prodotto interessato è immesso o messo a disposizione sul mercato, la dichiarazione di dovuta diligenza è assegnata alle autorità competenti di tale Stato membro;
b) in assenza delle informazioni di cui alla lettera a), la dichiarazione di dovuta diligenza è assegnata alle autorità competenti dello Stati membro in cui è stabilito l'utilizzatore del sistema di informazione. Se l'utilizzatore del sistema di informazione è stabilito al di fuori dell'Unione, la dichiarazione di dovuta diligenza è assegnata alle autorità competenti dello Stato membro a cui l'utilizzatore risulta associato in base all'identificativo che ha fornito al momento della registrazione nel sistema di informazione.
Definizioni
Ai fini del presente regolamento, oltre alle definizioni di cui all'articolo 2 del regolamento (UE) 2023/1115, all'articolo 4 del regolamento (UE) 2016/679 e all'articolo 3 del regolamento (UE) 2018/1725, si applicano le definizioni seguenti:
a) «sistema di informazione»: il sistema di informazione istituito e mantenuto dalla Commissione in applicazione all'articolo 33 del regolamento (UE) 2023/1115;
b) «partecipante al sistema di informazione»: l'autorità competente e l'autorità doganale in applicazione del regolamento (UE) 2023/1115, e la Commissione, nello svolgimento dei compiti a esse conferiti dal regolamento (UE) 2023/1115;
c) «utilizzatore del sistema di informazione»: l'operatore e il commerciante, e se del caso il rispettivo mandatario, in applicazione del regolamento (UE) 2023/1115, che è identificato da una registrazione individuale in EU Login, il servizio di autenticazione della Commissione europea;
d) «dichiarazione di dovuta diligenza»: la dichiarazione di dovuta diligenza presentata dall'utilizzatore del sistema di informazione in applicazione del regolamento (UE) 2023/1115;
e) «numero di riferimento»: numero di riferimento assegnato dal sistema di informazione alla dichiarazione di dovuta diligenza presentata dall'utilizzatore del sistema di informazione in applicazione del regolamento (UE) 2023/1115;
f) «numero di verifica»: numero di sicurezza attribuito dal sistema di informazione alla dichiarazione di dovuta diligenza presentata dall'utilizzatore del sistema di informazione per garantire una maggiore sicurezza dei dati contenuti nella dichiarazione;
g) «definizione del profilo di rischio»: identificazione dei rischi di non conformità dei prodotti che rientrano nell'ambito di applicazione del regolamento (UE) 2023/1115 all'interno del sistema di informazione, in base ai criteri di rischio, al fine di attribuire a ogni dichiarazione di dovuta diligenza presentata nel sistema di informazione, anche dopo eventuali rettifiche, uno status di rischio che rispecchi i rischi individuati.
Presentazione delle dichiarazioni di dovuta diligenza
1. Gli utilizzatori del sistema di informazione presentano e gestiscono le dichiarazioni di dovuta diligenza dei prodotti nel sistema di informazione tranne nel caso in cui queste sono rese disponibili attraverso l'interfaccia elettronica di cui all'articolo 28, paragrafo 2, del regolamento (UE) 2023/1115.
2. Se il prodotto contiene o è stato fabbricato utilizzando legno, gli utilizzatori del sistema di informazione inseriscono nella dichiarazione di dovuta diligenza i nomi comuni e i nomi scientifici completi delle specie di legno contenute nel prodotto o con cui il prodotto è stato fabbricato.
Modifica e ritiro delle dichiarazioni di dovuta diligenza
1. Il sistema di informazione consente agli utilizzatori di modificare o ritirare le dichiarazioni di dovuta diligenza nelle 72 ore successive alla messa a disposizione nel sistema di informazione del numero di riferimento per la dichiarazione di dovuta diligenza.
2. La dichiarazione di dovuta diligenza non può essere modificata o ritirata entro il termine stabilito al paragrafo 1 dopo che è stata utilizzata come riferimento in una dichiarazione di dovuta diligenza presentata dallo stesso o da un altro utilizzatore del sistema di informazione.
3. L'utilizzatore del sistema di informazione non può modificare o ritirare la dichiarazione di dovuta diligenza a partire dal momento in cui:
a) ha ricevuto la notifica dell'intenzione di svolgimento di un controllo riguardo la dichiarazione di dovuta diligenza o il prodotto che vi è associato, e per il periodo del controllo;
b) il prodotto è stato immesso o messo a disposizione sul mercato dell'Unione in applicazione del regolamento (UE) 2023/1115;
c) il numero di riferimento della dichiarazione di dovuta diligenza è stato fornito o messo a disposizione delle autorità doganali prima dell'immissione in libera pratica o dell'esportazione del prodotto che entra nel mercato o ne esce nell'ambito delle procedure stabilite al capo 4 del regolamento (UE) 2023/1115.
4. Fatti salvi i paragrafi 2 e 3, su richiesta individuale e motivata dell'utilizzatore del sistema di informazione, le autorità competenti possono prorogare il termine di cui al paragrafo 1 dopo la sua scadenza. La proroga non supera gli otto giorni di calendario. La richiesta è dettata da motivazioni che sfuggono al controllo dell'utilizzatore del sistema di informazione, il quale, nella richiesta motivata, dichiara che il paragrafo 3 del presente articolo non è applicabile. La proroga è possibile anche retroattivamente dopo la scadenza del termine di cui al paragrafo 1.
5. La dichiarazione di dovuta diligenza modificata è soggetta alla definizione del profilo di rischio stabilita all'articolo 6. La definizione del profilo di rischio si applica all'intera dichiarazione di dovuta diligenza modificata.
Definizione del profilo di rischio
1. Il sistema di informazione consente alle autorità competenti di individuare all'interno del sistema le situazioni in cui i prodotti interessati presentano un rischio di non conformità così elevato da richiedere un intervento immediato prima che siano immessi o messi a disposizione sul mercato o esportati, a norma dell'articolo 17 del regolamento (UE) 2023/1115, e di ottenere informazioni utili a individuare i controlli da effettuare e a svolgere i compiti loro conferiti a norma del capo 3 del regolamento (UE) 2023/1115.
2. Ai fini del paragrafo 1, il sistema di informazione consente alle autorità competenti di predisporre al suo interno profili di rischio a sostegno della scelta informata degli operatori, dei commercianti o dei prodotti associati alle dichiarazioni di dovuta diligenza su cui effettuare i controlli. I profili di rischio si basano tra l'altro sui criteri di rischio stabiliti nei piani annuali dei controlli in applicazione dell'articolo 16, paragrafo 5, del regolamento (UE) 2023/1115, che seguono l'approccio basato sul rischio di cui al paragrafo 3 del medesimo articolo.
3. Quando è introdotta nel sistema di informazione, la dichiarazione di dovuta diligenza è automaticamente sottoposta alla definizione elettronica del profilo di rischio, in seguito alla quale il sistema le attribuisce uno status di rischio.
4. Le autorità competenti possono riesaminare la dichiarazione di dovuta diligenza in qualsiasi momento dopo la sua presentazione per determinare se il prodotto interessato sia conforme all'articolo 3 del regolamento (UE) 2023/1115. In base all'esito del riesame possono attribuire alla dichiarazione di dovuta diligenza un nuovo status di rischio. Se l'autorità competente attribuisce alla dichiarazione di dovuta diligenza un nuovo status di rischio, questo prevale su quello assegnato a norma del paragrafo 3 del presente articolo.
Assegnazione e messa a disposizione dei numeri di riferimento
1. Dopo avere concluso la determinazione dei profili di rischio di cui all'articolo 6, il sistema di informazione assegna senza indebito ritardo alla dichiarazione di dovuta diligenza presentata dall'utilizzatore del sistema di informazione un numero di riferimento e un numero di verifica.
2. Il numero di riferimento e il numero di verifica sono messi a disposizione dell'utilizzatore del sistema di informazione una volta determinato il profilo di rischio di cui all'articolo 6.
3. Il sistema di informazione consente alle autorità competenti di posticipare la messa a disposizione del numero di riferimento per accertarsi che il prodotto interessato sia conforme all'articolo 3 del regolamento (UE) 2023/1115 e, in particolare, che la situazione di cui all'articolo 6, paragrafo 1, del presente regolamento non sia applicabile al prodotto. Il posticipo è il più breve possibile e non supera il periodo stabilito all'articolo 17, paragrafo 3, del regolamento (UE) 2023/1115. Esso può essere prorogato ulteriormente a discrezione dell'autorità competente.
Respingimento della dichiarazione di dovuta diligenza
1. Al fine di impedire che un prodotto non conforme al regolamento (UE) 2023/1115 sia immesso o messo disposizione sul mercato o esportato, conformemente all'articolo 17 di detto regolamento, l'autorità competente può respingere una dichiarazione di dovuta diligenza, a meno che il relativo numero di riferimento non sia già a disposizione dell'utilizzatore del sistema di informazione.
2. Il prodotto interessato dalla dichiarazione di dovuta diligenza respinta non è considerato oggetto di una dichiarazione di dovuta diligenza come prescritto dall'articolo 3, lettera c), del regolamento (UE) 2023/1115.
3. Il respingimento è fatto constare nel sistema di informazione attribuendo alla dichiarazione di dovuta diligenza uno status specifico.
Funzioni e responsabilità della Commissione
Oltre ai compiti di cui all'articolo 2, paragrafo 1, alla Commissione spetta eseguire i compiti seguenti in relazione al sistema di informazione:
a) fornire conoscenze, formazione e supporto, compresa l'assistenza tecnica, ai partecipanti e agli utilizzatori del sistema di informazione riguardo all'uso del sistema;
b) dare accesso al sistema ai partecipanti al sistema di informazione designati da ciascuno Stato membro;
c) dare accesso al sistema agli utilizzatori del sistema di informazione, che sono sotto la supervisione delle autorità competenti;
d) trattare i dati personali nel sistema di informazione, se prescritto dal presente regolamento o ai fini dell'attuazione e dell'esecuzione del regolamento (UE) 2023/1115;
e) offrire servizi web che consentano agli utilizzatori del sistema di informazione di presentare e gestire nel sistema in modo automatizzato le dichiarazioni di dovuta diligenza;
f) offrire servizi web che consentano alle autorità competenti degli Stati membri di compiere in modo automatizzato nel sistema di informazione le operazioni inerenti alle dichiarazioni di dovuta diligenza;
g) offrire l'interfaccia elettronica in applicazione dell'articolo 28 del regolamento (UE) 2023/1115;
h) sospendere e revocare l'accesso degli utilizzatori del sistema di informazione su richiesta delle autorità competenti dello Stato membro in cui l'utilizzatore è stabilito o, in caso di utilizzatori stabiliti al di fuori dell'Unione, delle autorità competenti dello Stato membro a cui l'utilizzatore risulta associato in base all'identificativo che ha fornito al momento della registrazione nel sistema di informazione.
Diritti di accesso degli utilizzatori del sistema di informazione
1. L'accesso al sistema di informazione è consentito solo ai suoi utilizzatori registrati.
2. L'autenticazione per accedere al sistema di informazione è fatta per mezzo di EU Login, il servizio di autenticazione della Commissione europea.
3. Gli utilizzatori del sistema di informazione hanno accesso alle informazioni contenute nel sistema che essi stessi vi hanno introdotto o alle quali hanno ottenuto l'accesso da altri utilizzatori del sistema mediante i numeri di riferimento e i numeri di verifica delle dichiarazioni di dovuta diligenza associate.
Diritti di accesso dei partecipanti al sistema di informazione
1. La Commissione ha accesso a tutti i dati, informazioni e documenti nel sistema di informazione necessari alla stesura di relazioni e allo sviluppo, al funzionamento e alla manutenzione del sistema.
2. La Commissione concede e può revocare i diritti di accesso ai partecipanti al sistema di informazione in caso di modifica delle competenze conformemente all'articolo 14, paragrafo 2, del regolamento (UE) 2023/1115.
3. L'autenticazione per accedere al sistema di informazione è fatta per mezzo di EU Login, il servizio di autenticazione della Commissione europea.
4. I partecipanti al sistema di informazione predispongono mezzi adeguati al fine di garantire che gli utilizzatori individuali che rappresentano partecipanti al sistema di informazione nel sistema stesso possano accedere ai dati personali trattati nel sistema di informazione solo se strettamente necessario per l'attuazione e l'esecuzione del regolamento (UE) 2023/1115.
5. I partecipanti al sistema di informazione hanno accesso a tutte le informazioni presenti nel sistema che sono necessarie ai fini dell'adempimento dei loro obblighi e dello svolgimento dei loro compiti a norma del regolamento (UE) 2023/1115.
Trattamento dei dati personali nel sistema di informazione
1. La trasmissione, la conservazione e altri trattamenti dei dati personali all'interno del sistema di informazione possono essere effettuati solo se necessari e proporzionati e unicamente per le finalità seguenti:
a) sostegno alla comunicazione tra i partecipanti al sistema di informazione riguardo all'attuazione e all'esecuzione del regolamento (UE) 2023/1115;
b) gestione dei casi da parte dei partecipanti al sistema di informazione nello svolgimento delle loro attività legate all'attuazione e all'esecuzione del regolamento (UE) 2023/1115;
c) trasformazione commerciale e tecnica dei dati di cui al presente regolamento, se necessaria per consentire lo scambio e l'uso delle informazioni indicati alle lettere a) e b).
2. All'interno del sistema di informazione è possibile trattare unicamente le seguenti categorie di dati personali:
a) dati identificativi; nome e cognome, identificativo univoco compreso il numero di registrazione e identificazione degli operatori economici (EORI), in conformità all'articolo 9 del regolamento (UE) n. 952/2013 del Parlamento europeo e del Consiglio (1), se applicabile;
b) recapiti professionali: indirizzo postale e di posta elettronica, paese di residenza o paese della sede legale, numero di telefono e di fax, se del caso;
c) ruolo dell'utilizzatore del sistema di informazione;
d) dati sulla geolocalizzazione ai sensi dell'articolo 2, punto 28, del regolamento (UE) 2023/1115, se consentono di identificare persone fisiche;
e) autenticazione dell'utilizzatore e dati per l'accesso al sistema di informazione: indirizzo IP e nome utilizzatore.
3. Il sistema di informazione conserva le categorie di dati personali enumerati al paragrafo 2 che sono stati trattati ai fini dell'attuazione e dell'esecuzione del regolamento (UE) 2023/1115.
4. I dati di cui al paragrafo 2 sono conservati utilizzando infrastrutture informatiche situate nello Spazio economico europeo.
5. I dati personali contenuti nelle dichiarazioni di dovuta diligenza sono conservati nel sistema di informazione per un periodo non superiore a dieci anni dalla data di presentazione della dichiarazione nel sistema. La Commissione può estendere ulteriormente il periodo di conservazione su richiesta individuale dell'utilizzatore del sistema di informazione o del partecipante al sistema di informazione ove necessario affinché questi possa adempiere alle proprie responsabilità e ai propri obblighi a norma del regolamento (UE) 2023/1115.
6. Fatte salve le attività di trattamento dei dati di cui all'articolo 14 del presente regolamento, ogni partecipante al sistema di informazione è un titolare distinto del trattamento ai sensi dei regolamenti (UE) 2016/679 e (UE) 2018/1725 per quanto riguarda le attività di trattamento dei dati da esso svolte.
7. Le autorità nazionali di vigilanza e il Garante europeo della protezione dei dati, ciascuno nei limiti delle proprie competenze, assicurano il controllo coordinato del sistema di informazione e del suo uso da parte dei partecipanti e degli utilizzatori conformemente all'articolo 62 del regolamento (UE) 2018/1725.
Regolamento (UE) n. 952/2013 del Parlamento europeo e del Consiglio, del 9 ottobre 2013, che istituisce il codice doganale dell'Unione (rifusione) (GU L 269 del 10.10.2013, ELI: http://data.europa.eu/eli/reg/2013/952/oj).
Trattamento dei dati personali da parte della Commissione
1. La Commissione è titolare del trattamento ai sensi dell'articolo 3, punto 8, del regolamento (UE) 2018/1725 per quanto riguarda il trattamento dei dati personali degli utilizzatori del sistema di informazione, compreso il trattamento dei dati personali all'atto della registrazione degli utilizzatori nel sistema.
2. Se nell'uso del sistema di informazione tratta i dati personali per conto di altri partecipanti al sistema allo scopo di scambiare informazioni a norma dell'articolo 27 del regolamento (UE) 2023/1115, la Commissione è considerata un responsabile del trattamento ai sensi dell'articolo 3, punto 12, del regolamento (UE) 2018/1725.
3. La Commissione è un responsabile del trattamento ai sensi dell'articolo 3, punto 12, del regolamento (UE) 2018/1725 per quanto riguarda i dati personali trattati per le indagini congiunte effettuate in applicazione dell'articolo 21 del regolamento (UE) 2023/1115 nell'ambito dell'attuazione e dell'esecuzione dello stesso.
Contitolarità nel sistema di informazione
Le autorità competenti e le autorità doganali ai sensi del regolamento (UE) 2023/1115 che cooperano all'attuazione e all'esecuzione a norma dell'articolo 21 di detto regolamento sono contitolari del trattamento, ai sensi dell'articolo 26, paragrafo 1, del regolamento (UE) 2016/679, per la trasmissione, la conservazione e altri trattamenti dei dati personali nel sistema di informazione nel contesto di tale particolare cooperazione. Ove richiesto dall'articolo 26, paragrafo 1, del regolamento (UE) 2016/679, i titolari del trattamento determinano mediante un accordo interno le rispettive responsabilità in merito all'osservanza degli obblighi derivanti da detto regolamento.
Sicurezza
1. La Commissione predispone le misure più avanzate necessarie per garantire la sicurezza dei dati personali trattati nel sistema di informazione, fra cui un adeguato controllo dell'accesso ai dati e un piano di sicurezza, che è tenuto aggiornato.
2. La Commissione predispone le misure più avanzate necessarie in caso di incidente di sicurezza, adotta misure correttive e garantisce che sia possibile verificare quali dati personali sono stati trattati nel sistema di informazione, quando, da chi e a quale scopo.
3. La Commissione informa le autorità competenti delle misure di cui ai paragrafi 1 e 2.
Riservatezza
1. Lo Stato membro e la Commissione applicano le proprie norme in materia di segreto professionale o impongono altri obblighi di riservatezza equivalenti riguardo al sistema di informazione in conformità del diritto nazionale o dell'Unione.
2. Il partecipante al sistema di informazione garantisce che le persone che operano sotto la sua autorità si attengano alle richieste di trattamento riservato delle informazioni scambiate nel sistema formulate da altri partecipanti al sistema.
Traduzione
1. La Commissione mette a disposizione il sistema di informazione in tutte le lingue ufficiali dell'Unione.
2. Il partecipante del sistema di informazione può produrre e usare, per eseguire qualsiasi compito conferitogli a norma del regolamento (UE) 2023/1115, qualsiasi informazione, documento, constatazione, dichiarazione o copia conforme che ha ricevuto all'interno del sistema di informazione, sulla stessa base di informazioni analoghe ottenute nel proprio paese, per fini compatibili con quelli per i quali i dati sono stati originariamente raccolti e in conformità del diritto dell'UE e nazionale.
Spese
1. Le spese sostenute per l'istituzione, la manutenzione e il funzionamento del sistema di informazione sono a carico della Commissione.
2. Le spese associate al sistema di informazione a livello di Stato membro, comprese le risorse umane necessarie per la formazione, la promozione, l'assistenza tecnica nonché per l'uso del sistema a livello nazionale e gli eventuali adeguamenti necessari delle reti e dei sistemi di informazione nazionali, sono a carico dello Stato membro che le sostiene.
Entrata in vigore
Il presente regolamento entra in vigore il terzo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 4 dicembre 2024
Per la Commissione
La presidente
URSULA VON DER LEYEN