REGOLAMENTO (UE) 2025/12 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO, 19 dicembre 2024
G.U.U.E. 8 gennaio 2025, Serie L
Regolamento sulla raccolta e sul trasferimento delle informazioni anticipate sui passeggeri al fine di migliorare e agevolare le verifiche alle frontiere esterne, che modifica i regolamenti (UE) 2018/1726 e (UE) 2019/817 e abroga la direttiva 2004/82/CE del Consiglio.
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 28 gennaio 2025
Applicabile dal: (vedi nota)
Nota:
Per l'applicabilità si veda l'articolo 46
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 77, paragrafo 2, lettere b) e d), e l'articolo 79, paragrafo 2, lettera c),
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo (1),
deliberando secondo la procedura legislativa ordinaria (2),
considerando quanto segue:
1) Le verifiche di frontiera sulle persone alle frontiere esterne contribuiscono notevolmente a garantire la sicurezza a lungo termine dell'Unione, dei suoi Stati membri e dei suoi cittadini e rimangono pertanto un'importante misura di salvaguardia, specialmente nello spazio senza controllo alle frontiere interne. Le verifiche di frontiera devono essere effettuate in conformità del regolamento (UE) 2016/399 del Parlamento europeo e del Consiglio (3), ove applicabili, al fine di contribuire a contrastare l'immigrazione illegale e a prevenire minacce per la sicurezza interna, l'ordine pubblico, la salute pubblica e le relazioni internazionali degli Stati membri. Tali verifiche di frontiera devono avvenire nel pieno rispetto della dignità umana e del pertinente diritto dell'Unione, compresa la Carta dei diritti fondamentali dell'Unione europea («Carta»).
2) L'uso dei dati dei passeggeri e delle informazioni di volo trasferiti prima dell'arrivo dei passeggeri, noti come informazioni anticipate sui passeggeri o dati API (advance passenger information), contribuisce ad accelerare le verifiche di frontiera necessarie durante il processo di attraversamento delle frontiere. Ai fini del presente regolamento tale processo riguarda, più specificamente, l'attraversamento delle frontiere tra un paese terzo o uno Stato membro a cui non si applica il presente regolamento e uno Stato membro a cui si applica il presente regolamento. L'uso dei dati API rafforza le verifiche di frontiera alle frontiere esterne lasciando tempo sufficiente per permettere lo svolgimento di verifiche dettagliate e approfondite su tutti i passeggeri, senza avere un effetto negativo sproporzionato sui viaggiatori in buona fede. E' quindi opportuno, nell'interesse dell'efficacia e dell'efficienza delle verifiche di frontiera alle frontiere esterne, stabilire un quadro giuridico adeguato affinché le autorità di frontiera degli Stati membri competenti presso tali valichi di frontiera esterni abbiano accesso ai dati API prima dell'arrivo dei passeggeri.
3) Il quadro giuridico esistente sui dati API, costituito dalla direttiva 2004/82/CE del Consiglio (4) e dalle disposizioni di diritto nazionale che la recepiscono, si è rivelato importante per migliorare le verifiche di frontiera, in particolare grazie all'istituzione di un contesto che permette agli Stati membri di introdurre misure che impongono ai vettori aerei obblighi di trasferimento dei dati API sui passeggeri trasportati nel loro territorio. Permangono tuttavia pratiche divergenti a livello nazionale. In particolare, i dati API non sono sistematicamente richiesti ai vettori aerei e questi sono soggetti a requisiti diversi per quanto riguarda il tipo di informazioni da raccogliere e le condizioni alle quali trasferire i dati API alle autorità di frontiera competenti. Oltre a comportare costi e complicazioni inutili per i vettori aerei, tali divergenze compromettono la possibilità di svolgere verifiche preliminari efficaci ed efficienti sulle persone che arrivano alle frontiere esterne.
4) E' necessario aggiornare e sostituire il quadro giuridico esistente per garantire che le norme sulla raccolta e sul trasferimento dei dati API al fine di migliorare e facilitare l'efficacia e l'efficienza delle verifiche di frontiera alle frontiere esterne e di contrastare l'immigrazione illegale siano chiare, armonizzate ed efficaci, in conformità delle disposizioni stabilite nel regolamento (UE) 2016/399 per gli Stati membri a cui esso si applica e del diritto nazionale nei casi in cui non si applica.
5) Per garantire un approccio il più possibile coerente a livello sia dell'Unione che internazionale e alla luce delle norme sulla raccolta dei dati API applicabili a livello internazionale, il quadro giuridico aggiornato istituito dal presente regolamento dovrebbe tenere conto delle pratiche concordate a livello internazionale con il settore aeronautico, come nel contesto dell'Organizzazione mondiale delle dogane, dell'Associazione internazionale del trasporto aereo e degli orientamenti dell'Organizzazione per l'aviazione civile internazionale (ICAO) sulle informazioni anticipate sui passeggeri.
6) La raccolta e il trasferimento dei dati API incidono sulla vita privata delle persone fisiche e comportano il trattamento dei loro dati personali. Per rispettare pienamente i loro diritti fondamentali, in particolare il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali, conformemente alla Carta, occorre stabilire limiti e garanzie adeguati. Per esempio, il trattamento dei dati API, specialmente quelli che costituiscono dati personali, dovrebbe rimanere strettamente limitato a quanto necessario e proporzionato per il conseguimento degli obiettivi perseguiti dal presente regolamento. Occorre inoltre garantire che il trattamento di tutti i dati API raccolti e trasferiti ai sensi del presente regolamento non comporti alcuna forma di discriminazione vietata dalla Carta.
7) Per conseguire tali obiettivi il presente regolamento dovrebbe applicarsi a tutti i vettori aerei che operano voli diretti verso l'Unione, come definiti nel presente regolamento, indipendentemente dal loro luogo di stabilimento, e che operano voli sia di linea che non di linea. La raccolta di dati da altre operazioni di aeromobili civili, quali le scuole di volo, i voli medici, i voli di emergenza e i voli militari, non rientra nell'ambito di applicazione del presente regolamento. Il presente regolamento lascia impregiudicata la raccolta di dati da tali voli secondo quanto previsto dal diritto nazionale compatibile con il diritto dell'Unione. La Commissione dovrebbe valutare la fattibilità di un sistema dell'Unione che obblighi gli operatori di voli privati a raccogliere e trasferire dati dei passeggeri dei trasporti aerei.
8) Gli obblighi dei vettori aerei di raccogliere e trasferire dati API a norma del presente regolamento dovrebbero includere tutti i passeggeri sui voli verso l'Unione, i passeggeri in transito la cui destinazione finale è al di fuori dell'Unione e qualsiasi membro dell'equipaggio non in servizio collocato su un volo da un vettore aereo nel quadro delle sue funzioni.
9) Ai fini dell'efficacia e della certezza del diritto è opportuno che siano elencate in modo chiaro ed esaustivo le informazioni, relative tanto al singolo passeggero quanto al volo preso da tale passeggero, che costituiscono congiuntamente i dati API da raccogliere e successivamente trasferire a norma del presente regolamento. A norma del presente regolamento e in conformità delle norme internazionali, le informazioni di volo dovrebbero comprendere informazioni sul posto a sedere e informazioni sul bagaglio, se disponibili, e informazioni sul valico di frontiera di ingresso nel territorio dello Stato membro interessato in tutti i casi contemplati dal presente regolamento. Qualora le informazioni sul bagaglio o sul posto a sedere siano disponibili in altri sistemi informatici di cui dispongono il vettore aereo, il gestore, il fornitore del sistema o l'autorità aeroportuale, i vettori aerei dovrebbero integrare tali informazioni nei dati API da trasmettere alle autorità di frontiera competenti. I dati API quali definiti e disciplinati nell'ambito del presente regolamento non includono i dati biometrici.
10) Al fine di consentire flessibilità e innovazione, è opportuno lasciare in linea di principio a ciascun vettore aereo il compito di determinare in che modo adempiere ai propri obblighi di raccolta dei dati API previsti dal presente regolamento, tenendo conto dei diversi tipi di vettore aereo quale definito nel presente regolamento e dei rispettivi modelli imprenditoriali, anche per quanto riguarda i tempi dell'accettazione e la cooperazione con gli aeroporti. Tuttavia, considerando che esistono soluzioni tecnologiche adeguate che consentono di raccogliere automaticamente determinati dati API garantendo al contempo che siano esatti, completi e aggiornati, e tenendo conto dei vantaggi dell'uso di tale tecnologia in termini di efficacia ed efficienza, è opportuno imporre ai vettori aerei di raccogliere tali dati API con mezzi automatizzati, ottenendo informazioni dai dati del documento di viaggio leggibili meccanicamente. Qualora l'uso di tali mezzi automatizzati non sia tecnicamente possibile in circostanze eccezionali, i vettori aerei dovrebbero in via eccezionale raccogliere i dati API manualmente, durante la procedura di accettazione online o in fase di accettazione in aeroporto, in modo tale da garantire il rispetto degli obblighi previsti dal presente regolamento.
11) La raccolta dei dati API con mezzi automatizzati dovrebbe essere strettamente limitata ai dati alfanumerici contenuti nel documento di viaggio e non dovrebbe comportare la raccolta di alcun dato biometrico da tale documento. Poiché la raccolta dei dati API è parte della procedura di accettazione, online o in aeroporto, il presente regolamento non prevede l'obbligo per i vettori aerei di controllare il documento di viaggio del passeggero al momento dell'imbarco. Il rispetto del presente regolamento non comporta per i passeggeri l'obbligo di portare con sé un documento di viaggio al momento dell'imbarco. Ciò dovrebbe lasciare impregiudicati gli obblighi derivanti da altri atti giuridici dell'Unione o dal diritto nazionale compatibile con il diritto dell'Unione.
12) La raccolta dei dati API dai documenti di viaggio dovrebbe essere altresì coerente con le norme dell'ICAO sui documenti di viaggio a lettura ottica, che sono state incorporate nel diritto dell'Unione mediante il regolamento (UE) 2019/1157 del Parlamento europeo e del Consiglio (5), il regolamento (CE) n. 2252/2004 del Consiglio (6) e la direttiva (UE) 2019/997 del Consiglio (7).
13) Le disposizioni di cui al presente regolamento e ai corrispondenti atti delegati e di esecuzione dovrebbero comportare un'attuazione uniforme del presente regolamento da parte dei vettori aerei, riducendo così al minimo i costi di interconnessione dei rispettivi sistemi. Per facilitare l'attuazione armonizzata di tali disposizioni da parte dei vettori aerei, in particolare per quanto riguarda la struttura, il formato e il protocollo di trasmissione dei dati, la Commissione, sulla base della sua collaborazione con le autorità di frontiera competenti, le altre autorità degli Stati membri, i vettori aerei e le agenzie competenti dell'Unione, dovrebbe garantire che il manuale pratico da essa elaborato fornisca tutti gli orientamenti e i chiarimenti necessari.
14) Al fine di migliorare la qualità dei dati API, il router istituito nell'ambito del presente regolamento dovrebbe verificare se i dati API che gli sono stati trasferiti dai vettori aerei rispettano i formati di dati supportati, inclusi i campi o i codici di dati standardizzati, sia in termini di contenuto che di struttura. Se dalla verifica emerge che i dati non rispettano quei formati di dati, il router ne dovrebbe informare immediatamente e in modo automatizzato il vettore aereo interessato.
15) E' importante che i sistemi automatizzati di raccolta dei dati e gli altri processi istituiti nell'ambito del presente regolamento non abbiano un impatto negativo sui dipendenti del settore dell'aviazione, cui devono essere offerte opportunità di miglioramento del livello delle competenze e di riqualificazione che aumenterebbero l'efficienza e l'affidabilità della raccolta e del trasferimento dei dati, nonché le condizioni di lavoro nel settore.
16) I passeggeri dovrebbero avere la possibilità di fornire autonomamente determinati dati API durante la procedura di accettazione online mediante mezzi automatizzati, ad esempio un'applicazione sicura sullo smartphone, su un computer o su una webcam del passeggero in grado di ottenere i dati del documento di viaggio leggibili meccanicamente. Ai passeggeri che non effettuano l'accettazione online i vettori aerei dovrebbero offrire la possibilità di presentare i necessari dati API leggibili meccanicamente in fase di accettazione all'aeroporto, grazie a un dispositivo self-service o al personale dei vettori aerei al banco d'accettazione. Fatta salva la libertà dei vettori aerei di fissare le tariffe aeree e di definire la propria politica commerciale, è importante che gli obblighi di cui al presente regolamento non comportino ostacoli sproporzionati per i passeggeri che non sono in grado di utilizzare mezzi online per fornire i dati API, quali tariffe supplementari per la fornitura dei dati API in aeroporto. Inoltre, il presente regolamento dovrebbe prevedere un periodo transitorio durante il quale ai passeggeri è data la possibilità di fornire manualmente i dati API durante la procedura di accettazione online. In tali casi, i vettori aerei dovrebbero utilizzare tecniche di verifica dei dati.
17) Al fine di garantire il rispetto dei diritti sanciti dalla Carta nonché di garantire opzioni di viaggio accessibili e inclusive, in particolare per i gruppi vulnerabili e le persone con disabilità, e conformemente ai diritti delle persone con disabilità e delle persone a mobilità ridotta nel trasporto aereo di cui al regolamento (CE) n. 1107/2006 del Parlamento europeo e del Consiglio (8), i vettori aerei, con il sostegno degli Stati membri, dovrebbero garantire che sia sempre disponibile un'opzione per la fornitura dei dati necessari da parte dei passeggeri in aeroporto.
18) Considerando i vantaggi offerti dall'uso di mezzi automatizzati per la raccolta dei dati API leggibili meccanicamente e la chiarezza derivante dai requisiti tecnici in materia, da adottare a norma del presente regolamento, i vettori aerei che decidono di utilizzare mezzi automatizzati per raccogliere le informazioni che sono tenuti a trasmettere a norma della direttiva 2004/82/CE dovrebbero avere la facoltà, ma non l'obbligo, di applicare tali requisiti, una volta adottati, in relazione all'uso di detti mezzi automatizzati, nella misura in cui tale direttiva sia applicabile e lo consenta. L'applicazione volontaria di queste specifiche conformemente alla direttiva 2004/82/CE dovrebbe intendersi tale da non incidere in alcun modo sugli obblighi dei vettori aerei e degli Stati membri ai sensi di tale direttiva.
19) Per garantire l'efficacia e l'efficienza delle verifiche preliminari effettuate dalle autorità di frontiera competenti, i dati API ad esse trasferiti dovrebbero contenere i dati dei passeggeri che si apprestano effettivamente ad attraversare le frontiere esterne, vale a dire che sono effettivamente a bordo dell'aeromobile, indipendentemente dal fatto che la destinazione finale del passeggero sia all'interno o all'esterno dell'Unione. I vettori aerei dovrebbero pertanto trasferire i dati API immediatamente dopo la chiusura del volo. Inoltre i dati API aiutano le autorità di frontiera competenti a distinguere i passeggeri legittimi dai passeggeri meritevoli di attenzione e che, in quanto tali, potrebbero richiedere verifiche supplementari, il che imporrebbe un ulteriore coordinamento e la preparazione di misure di follow-up da prendere all'arrivo. Ciò potrebbe verificarsi, ad esempio, nel caso di un numero imprevisto di passeggeri meritevoli di attenzione, i cui controlli fisici alle frontiere potrebbero incidere negativamente sulle verifiche di frontiera e allungare i tempi di attesa alle frontiere di altri passeggeri legittimi. Per dare alle autorità di frontiera competenti l'opportunità di predisporre misure adeguate e proporzionate alla frontiera, come il rafforzamento temporaneo o la riassegnazione del personale, in particolare laddove il tempo che intercorre tra la chiusura del volo e l'arrivo alle frontiere esterne è insufficiente per consentire a dette autorità di preparare la risposta più appropriata, è inoltre opportuno trasferire i dati API prima dell'imbarco, al momento dell'accettazione di ciascun passeggero.
20) Per evitare rischi di uso improprio e in linea con il principio di limitazione delle finalità, dovrebbe essere espressamente vietato alle autorità di frontiera competenti di trattare i dati API ricevuti a norma del presente regolamento per scopi diversi da quelli espressamente previsti dal presente regolamento e in conformità delle disposizioni del regolamento (UE) 2016/399 per gli Stati membri a cui tale regolamento si applica o, nei casi in cui tale regolamento non si applica, in conformità delle pertinenti disposizioni del diritto nazionale.
21) Per avere il tempo sufficiente a svolgere efficacemente le verifiche preliminari su tutti i passeggeri, compresi quelli che operano voli a lungo raggio o voli in coincidenza, e a verificare che i dati API raccolti e trasferiti dai vettori aerei siano accurati, completi e aggiornati e se necessario chiedere ai vettori aerei ulteriori chiarimenti, correzioni o integrazioni, al fine di assicurare che i dati API rimangano disponibili fino a quando tutti i passeggeri si sono effettivamente presentati al valico di frontiera, le autorità di frontiera competenti dovrebbero conservare i dati API ricevuti a norma del presente regolamento per un periodo di tempo determinato e limitato a quanto strettamente necessario a tali fini. In circostanze eccezionali in cui singoli passeggeri, dopo lo sbarco, non si presentano a un valico di frontiera entro tale periodo di tempo determinato, gli Stati membri dovrebbero avere la possibilità di consentire alle loro autorità di frontiera competenti di conservare i dati API di tali passeggeri fino a quando questi non si presentino a un valico di frontiera o al più tardi per un ulteriore periodo di tempo determinato. Qualora desiderino avvalersi di tale possibilità, gli Stati membri dovrebbero avere la responsabilità di predisporre i mezzi adeguati per identificare tali singoli passeggeri, al fine di garantire che la conservazione protratta dei loro dati API specifici rimanga limitata allo stretto necessario.
22) Per poter rispondere a richieste di ulteriori chiarimenti, correzioni o integrazioni da parte delle autorità di frontiera competenti, i vettori aerei dovrebbero conservare i dati API che hanno trasferito a norma del presente regolamento per lo stesso periodo di tempo determinato e strettamente necessario. Oltre a ciò, e al fine di migliorare l'esperienza di viaggio dei passeggeri legittimi, i vettori aerei dovrebbero poter conservare e utilizzare i dati API ove necessario per il normale svolgimento delle loro attività, in particolare per agevolare i viaggi, in conformità del diritto applicabile e in particolare del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (9).
23) Al fine di evitare che si verifichi una situazione in cui i vettori aerei debbano istituire e mantenere connessioni multiple con le autorità di frontiera competenti degli Stati membri per trasferire i dati API raccolti a norma del presente regolamento e quindi di ovviare alle inefficienze e ai rischi per la sicurezza che ne conseguirebbero, è opportuno prevedere un unico router, creato e gestito a livello dell'Unione in conformità del presente regolamento e del regolamento (UE) 2025/13 del Parlamento europeo e del Consiglio (10), che funga da punto di collegamento e distribuzione per tali trasferimenti. Nell'interesse dell'efficienza e dell'efficacia in termini di costi, il router dovrebbe avvalersi, per quanto tecnicamente possibile e nel pieno rispetto delle norme del presente regolamento e del regolamento (UE) 2025/13, di componenti tecnici di altri sistemi pertinenti creati in base al diritto dell'Unione, in particolare il servizio web di cui al regolamento (UE) 2017/2226 del Parlamento europeo e del Consiglio (11), il portale dei vettori di cui al regolamento (UE) 2018/1240 del Parlamento europeo e del Consiglio (12) e il portale dei vettori di cui al regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio (13). Al fine di ridurre l'impatto sui vettori aerei e garantire un approccio armonizzato nei loro confronti, l'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA), istituita dal regolamento (UE) 2018/1726 del Parlamento europeo e del Consiglio (14), dovrebbe progettare il router, per quanto possibile sul piano tecnico e operativo, in modo coerente e uniforme con gli obblighi imposti ai vettori aerei stabiliti dai regolamenti (CE) n. 767/2008, (UE) 2017/2226 e (UE) 2018/1240.
24) Al fine di migliorare l'efficienza della trasmissione dei dati sul traffico aereo e di sostenere il monitoraggio dei dati API trasmessi alle autorità di frontiera competenti, il router dovrebbe ricevere dati sul traffico aereo in tempo reale raccolti da altre organizzazioni, come l'Organizzazione europea per la sicurezza della navigazione aerea (Eurocontrol).
25) A norma del presente regolamento, il router dovrebbe trasmettere in modo automatizzato i dati API alle autorità di frontiera competenti, che dovrebbero essere determinate sulla base del valico di frontiera di ingresso nel territorio dello Stato membro indicato nei dati API in questione. Per agevolare il processo di distribuzione, ciascuno Stato membro dovrebbe indicare le autorità di frontiera competenti a ricevere i dati API trasmessi dal router. Gli Stati membri possono istituire un punto unico di ingresso dei dati in grado di ricevere i dati API dal router e di inoltrare tali dati immediatamente e in modo automatizzato alle autorità di frontiera competenti dello Stato membro interessato. Per garantire il corretto funzionamento del presente regolamento e a fini di trasparenza è opportuno che le informazioni sulle autorità di frontiera competenti siano rese pubbliche.
26) Il router dovrebbe servire unicamente ad agevolare il trasferimento dei dati API dai vettori aerei alle autorità di frontiera competenti ai sensi del presente regolamento e non dovrebbe costituire un archivio di dati API. Pertanto, per ridurre al minimo il rischio di accesso non autorizzato o di altri usi impropri e conformemente al principio della minimizzazione dei dati, non si dovrebbe procedere ad alcuna conservazione a meno che non sia strettamente necessaria ai fini tecnici connessi alla trasmissione e i dati API dovrebbero essere cancellati dal router immediatamente, definitivamente e in modo automatizzato appena completata la trasmissione.
27) Affinché i vettori aerei possano beneficiare quanto prima dei vantaggi offerti dall'uso del router sviluppato da eu-LISA a norma del presente regolamento e del regolamento (EU) 2025/13 e si abituino a usarlo, è opportuno che abbiano la facoltà, ma non l'obbligo, di ricorrere al router, per un periodo di transizione per trasferire le informazioni che sono tenuti a trasferire a norma della direttiva 2004/82/CE. Il periodo di transizione dovrebbe iniziare nel momento in cui il router entra in funzione e terminare quando cessano di applicarsi gli obblighi previsti da tale direttiva. Per garantire che tale uso volontario del router avvenga in modo responsabile, dovrebbe essere richiesto il previo consenso scritto dello Stato membro che deve ricevere le informazioni, su richiesta del vettore aereo e dopo che tale Stato membro abbia effettuato verifiche e ottenuto garanzie, se necessario. Analogamente, al fine di evitare che i vettori aerei inizino e interrompano ripetutamente l'uso del router, è opportuno che, una volta iniziato tale uso volontario, il vettore aereo sia tenuto a proseguirlo, a meno che non vi siano ragioni oggettive per interromperlo ai fini del trasferimento delle informazioni alle autorità competenti dello Stato membro interessato, ad esempio quando risulti che le informazioni non sono trasferite in modo lecito, sicuro, efficace e rapido. Ai fini della corretta applicazione della facoltà di uso volontario del router, tenendo debitamente conto dei diritti e degli interessi di tutte le parti coinvolte, è opportuno stabilire nel presente regolamento le norme necessarie in materia di consultazioni e di comunicazione delle informazioni. L'uso volontario del router in applicazione della direttiva 2004/82/CE previsto dal presente regolamento non dovrebbe intendersi tale da incidere in alcun modo sugli obblighi dei vettori aerei e degli Stati membri ai sensi di tale direttiva.
28) Il router da creare e gestire a norma del presente regolamento e del regolamento (UE) 2025/13 dovrebbe ridurre e semplificare le connessioni tecniche necessarie per trasferire i dati API a norma del presente regolamento, limitandole a un'unica connessione per vettore aereo e per autorità di frontiera competente. Pertanto il presente regolamento dovrebbe fare obbligo a ogni autorità di frontiera competente e ogni vettore aereo di stabilire una connessione con il router e di conseguire la necessaria integrazione con lo stesso, per garantire il corretto funzionamento del sistema di trasferimento dei dati API istituito dal presente regolamento. La progettazione e lo sviluppo del router da parte di eu-LISA dovrebbero consentire la connessione e l'integrazione efficaci ed efficienti dei sistemi e delle infrastrutture dei vettori aerei mediante la definizione di tutte le norme e di tutti i requisiti tecnici pertinenti. Per garantire il corretto funzionamento del sistema istituito dal presente regolamento è opportuno prevedere norme dettagliate. In fase di progettazione e sviluppo del router, eu-LISA dovrebbe garantire che i dati API trasferiti dai vettori aerei e trasmessi alle autorità di frontiera competenti siano criptati durante il transito.
29) Considerati gli interessi dell'Unione in gioco, tutti i costi sostenuti da eu-LISA per assolvere ai compiti relativi al router a norma del presente regolamento dovrebbero essere a carico del bilancio dell'Unione, compresi la progettazione e lo sviluppo del router, l'hosting e la gestione tecnica del router e la struttura di governance presso eu-LISA a sostegno della progettazione, dello sviluppo, dell'hosting e della gestione tecnica del router. Lo stesso potrebbe valere per i costi sostenuti dagli Stati membri in relazione alle loro connessioni e alla loro integrazione con il router e alla loro manutenzione a norma del presente regolamento, conformemente al diritto dell'Unione applicabile. E' importante che il bilancio dell'Unione fornisca un sostegno finanziario adeguato agli Stati membri per tali costi. A tal fine, il fabbisogno finanziario degli Stati membri dovrebbe essere sostenuto dal bilancio generale dell'Unione, conformemente alle norme di ammissibilità e ai tassi di cofinanziamento stabiliti dai pertinenti atti giuridici dell'Unione. Il contributo annuale dell'Unione assegnato a eu-LISA dovrebbe coprire i fabbisogni relativi all'hosting e alla gestione tecnica del router sulla base di una valutazione effettuata da eu-LISA. Il bilancio dell'Unione dovrebbe coprire anche il sostegno, come la formazione, offerto da eu-LISA ai vettori aerei e alle autorità di frontiera competenti per consentire un trasferimento e una trasmissione efficaci dei dati API attraverso il router. I costi sostenuti dalle autorità nazionali di controllo indipendenti in relazione ai compiti affidati loro a norma del presente regolamento dovrebbero essere a carico dei rispettivi Stati membri.
30) Non si può escludere che, a causa di circostanze eccezionali e nonostante l'adozione di tutte le misure ragionevoli a norma del presente regolamento, l'infrastruttura centrale o uno dei componenti tecnici del router o le infrastrutture di comunicazione che lo collegano alle autorità di frontiera competenti e ai vettori aerei non funzionino correttamente, con conseguente impossibilità tecnica per i vettori aerei di trasferire o per le autorità di frontiera competenti di ricevere i dati API. Data l'indisponibilità del router e il fatto che in generale non sarà ragionevolmente possibile per i vettori aerei trasferire i dati API interessati dal guasto in modo lecito, sicuro, efficace e rapido con mezzi alternativi, l'obbligo per i vettori aerei di trasferire tali dati API al router dovrebbe cessare di applicarsi fintanto che persiste l'impossibilità tecnica. Tuttavia, per garantire la disponibilità dei dati API necessari al fine di migliorare e facilitare l'efficacia e l'efficienza delle verifiche di frontiera alle frontiere esterne e di contrastare l'immigrazione illegale, i vettori aerei dovrebbero continuare a raccogliere e conservare i dati API in modo che possano essere trasferiti non appena sia stata risolta l'impossibilità tecnica. In tal caso le parti interessate dovrebbero informarsi immediatamente a vicenda e adottare immediatamente tutte le misure necessarie per porre rimedio all'impossibilità tecnica, al fine di ridurne al minimo la durata e le conseguenze negative. Tale disposizione dovrebbe lasciare impregiudicati l'obbligo imposto dal presente regolamento a tutte le parti interessate di garantire il corretto funzionamento del router e dei rispettivi sistemi e infrastrutture, nonché l'imposizione di sanzioni ai vettori aerei in caso di mancato rispetto di tali obblighi, anche quando applicano detta disposizione in casi ingiustificati. Per scoraggiare tali usi impropri e facilitare il controllo e, se necessario, l'imposizione di sanzioni, i vettori aerei che applicano detta disposizione in caso di guasti del proprio sistema e della propria infrastruttura dovrebbero riferire in merito all'autorità di controllo competente.
31) Qualora i vettori aerei mantengano collegamenti diretti con le autorità di frontiera competenti per il trasferimento dei dati API, tali collegamenti possono costituire mezzi adeguati, che garantiscono il necessario livello di sicurezza dei dati, per trasferire i dati API direttamente alle autorità di frontiera competenti in caso di impossibilità tecnica di utilizzare il router. In casi eccezionali di impossibilità tecnica di utilizzare il router, le autorità di frontiera competenti dovrebbero poter chiedere ai vettori aerei di utilizzare tali mezzi adeguati, il che non comporta l'obbligo per i vettori aerei di mantenere o introdurre tali collegamenti diretti o qualsiasi altro mezzo adeguato che garantisca il necessario livello di sicurezza dei dati per trasferire i dati API direttamente alle autorità di frontiera competenti. Il trasferimento eccezionale dei dati API con qualsiasi altro mezzo adeguato, come la posta elettronica cifrata o un portale web sicuro, ed escludendo l'uso di formati elettronici non standard, dovrebbe garantire il necessario livello di sicurezza, qualità e protezione dei dati. I dati API ricevuti dalle autorità di frontiera competenti mediante tali altri mezzi adeguati dovrebbero essere ulteriormente trattati in conformità delle norme e delle garanzie in materia di protezione dei dati di cui al regolamento (UE) 2016/399 e del diritto nazionale applicabile. A seguito della notifica da parte di eu-LISA che l'impossibilità tecnica è stata risolta e qualora sia confermato che la trasmissione dei dati API attraverso il router all'autorità di frontiera competente è stata completata, l'autorità di frontiera competente dovrebbe cancellare immediatamente i dati API ricevuti in precedenza mediante qualsiasi altro mezzo adeguato. Tale cancellazione non dovrebbe riguardare casi specifici in cui i dati API ricevuti dalle autorità di frontiera competenti mediante qualsiasi altro mezzo adeguato sono stati nel frattempo ulteriormente trattati in conformità del regolamento (UE) 2016/679 al fine specifico di migliorare e favorire l'efficacia e l'efficienza delle verifiche di frontiera alle frontiere esterne e di contrastare l'immigrazione illegale.
32) Per garantire il rispetto del diritto fondamentale alla protezione dei dati personali, il presente regolamento dovrebbe identificare il titolare del trattamento e il responsabile del trattamento e stabilire norme in materia di audit. Ai fini di un monitoraggio efficace, che garantisca un'adeguata protezione dei dati personali e riduca al minimo i rischi per la sicurezza, dovrebbero inoltre essere previste norme in materia di registrazione, sicurezza del trattamento e autocontrollo. Laddove riguardino il trattamento di dati personali, tali disposizioni dovrebbero essere in linea con gli atti giuridici dell'Unione di applicazione generale in materia di protezione dei dati personali, in particolare il regolamento (UE) 2016/679 e il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (15).
33) Lasciando impregiudicate le norme più specifiche stabilite nel presente regolamento per il trattamento dei dati personali, il regolamento (UE) 2016/679 dovrebbe applicarsi al trattamento dei dati personali da parte degli Stati membri e dei vettori aerei a norma del presente regolamento. Il regolamento (UE) 2018/1725 dovrebbe applicarsi al trattamento dei dati personali da parte di eu-LISA nell'esercizio delle sue responsabilità a norma del presente regolamento.
34) Tenuto conto del diritto dei passeggeri di essere informati in merito al trattamento dei loro dati personali, gli Stati membri dovrebbero provvedere affinché i passeggeri ricevano informazioni precise sulla raccolta dei dati API, sul trasferimento di tali dati alle autorità di frontiera competenti e sui loro diritti in qualità di interessati, che siano facilmente accessibili e comprensibili, al momento della prenotazione e dell'accettazione.
35) Gli audit della protezione dei dati personali per i quali sono responsabili gli Stati membri dovrebbero essere effettuati dalle autorità di controllo indipendenti di cui all'articolo 51 del regolamento (UE) 2016/679 o da un organismo di audit che l'autorità di controllo abbia incaricato di tale compito.
36) Le finalità delle operazioni di trattamento a norma del presente regolamento, vale a dire la trasmissione dei dati API dai vettori aerei alle autorità di frontiera competenti degli Stati membri tramite il router, sono intese ad assistere dette autorità nell'adempimento dei loro obblighi e compiti in materia di gestione delle frontiere connessi alla lotta contro l'immigrazione illegale. Pertanto gli Stati membri dovrebbero designare le autorità titolari per il trattamento dei dati nel router per la trasmissione dei dati dal router alle autorità di frontiera competenti e per il loro trattamento successivo per migliorare e agevolare le verifiche di frontiera alle frontiere esterne. Gli Stati membri dovrebbero comunicare tali autorità alla Commissione e a eu-LISA. Per il trattamento dei dati personali nel router, gli Stati membri dovrebbero essere contitolari del trattamento a norma dell'articolo 26 del regolamento (UE) 2016/679. I vettori aerei, a loro volta, dovrebbero essere titolari distinti del trattamento per quanto riguarda il trattamento dei dati API che costituiscono dati personali a norma del presente regolamento. Su tale base, sia i vettori aerei che le autorità di frontiera competenti dovrebbero essere titolari distinti del trattamento per quanto riguarda le operazioni di trattamento dei dati API a norma del presente regolamento. In quanto responsabile della progettazione, dello sviluppo, dell'hosting e della gestione tecnica del router, eu-LISA dovrebbe essere responsabile del trattamento dei dati API che costituiscono dati personali tramite il router, compresa la trasmissione dei dati dal router alle autorità di frontiera competenti e la loro conservazione nel router, nella misura in cui tale conservazione sia necessaria a fini tecnici.
37) E' opportuno prevedere che siano designate e abilitate autorità nazionali quali autorità nazionali di controllo delle API incaricate di monitorare l'applicazione delle norme del presente regolamento, così da garantire che siano effettivamente applicate dai vettori aerei. Gli Stati membri possono designare le loro autorità di frontiera competenti come autorità nazionali di controllo delle API. Le disposizioni del presente regolamento relative a tale monitoraggio, anche per quanto riguarda l'imposizione di sanzioni ove necessario, dovrebbero lasciare impregiudicati i compiti e i poteri delle autorità di controllo istituite a norma del regolamento (UE) 2016/679, anche in relazione al trattamento dei dati personali a norma del presente regolamento.
38) E' opportuno che gli Stati membri prevedano sanzioni effettive, proporzionate e dissuasive, che includano sanzioni pecuniarie e non pecuniarie, a carico dei vettori aerei che non si conformano agli obblighi di cui al presente regolamento, compresi quelli in materia di raccolta di dati API con mezzi automatizzati e di trasferimento dei dati conformemente ai tempi, ai formati e ai protocolli richiesti. In particolare, gli Stati membri dovrebbero garantire che la reiterata inosservanza, da parte dei vettori aerei in quanto persone giuridiche, dell'obbligo di trasferire i dati API al router a norma del presente regolamento sia soggetta a sanzioni pecuniarie proporzionate fino al 2 % del fatturato globale del vettore aereo dell'esercizio precedente. Inoltre, gli Stati membri dovrebbero poter applicare sanzioni, anche pecuniarie, ai vettori aerei per altre forme di inosservanza degli obblighi previsti dal presente regolamento.
39) Nel prevedere le norme relative alle sanzioni applicabili ai vettori aerei a norma del presente regolamento, gli Stati membri potrebbero tenere conto della fattibilità tecnica e operativa di garantire la completa accuratezza dei dati. Inoltre, quando sono imposte sanzioni, dovrebbero esserne stabiliti l'applicazione e il valore. Le autorità nazionali di controllo delle API potrebbero tenere conto delle azioni intraprese dal vettore aereo per attenuare il problema e del suo livello di cooperazione con le autorità nazionali.
40) Dovrebbe esistere un'unica struttura di governance ai fini del presente regolamento e del regolamento (UE) 2025/13. Al fine di consentire e promuovere la comunicazione tra i rappresentanti dei vettori aerei e i rappresentanti delle autorità degli Stati membri competenti a norma del presente regolamento e del regolamento (UE) 2025/13 per la trasmissione dei dati API dal router, dovrebbero essere istituiti due organismi appositi al più tardi due anni dopo l'entrata in funzione del router. Le questioni tecniche relative all'uso e al funzionamento del router dovrebbero essere discusse in seno al gruppo di contatto API-PNR, nel quale dovrebbero essere presenti anche rappresentanti di eu-LISA. Le questioni politiche, come quelle relative alle sanzioni, dovrebbero essere discusse in seno al gruppo di esperti API.
41) Poiché il presente regolamento prevede l'istituzione di nuove norme sulla raccolta e sul trasferimento dei dati API al fine di migliorare e facilitare l'efficacia e l'efficienza delle verifiche di frontiera alle frontiere esterne, è opportuno abrogare la direttiva 2004/82/CE.
42) Poiché il router dovrebbe essere progettato, sviluppato, ospitato e gestito tecnicamente da eu-LISA, è necessario modificare il regolamento (UE) 2018/1726 aggiungendo tale compito a quelli di eu-LISA. Al fine di conservare le relazioni e le statistiche del router nell'archivio centrale di relazioni e statistiche (CRRS), istituito dal regolamento (UE) 2019/817 del Parlamento europeo e del Consiglio (16), è necessario modificare tale regolamento. Al fine di sostenere l'applicazione del presente regolamento da parte dell'autorità nazionale di controllo delle API è necessario che le modifiche del regolamento (UE) 2019/817 includano disposizioni relative alle statistiche sull'accuratezza e sulla completezza dei dati API, ad esempio indicando se i dati sono stati raccolti con mezzi automatizzati. E' altresì importante raccogliere statistiche affidabili e utili sull'attuazione del presente regolamento al fine di sostenerne gli obiettivi e di fungere da base per le valutazioni a norma del presente regolamento. Tali statistiche non dovrebbero contenere dati personali. Pertanto, il CRRS dovrebbe fornire statistiche basate sui dati API solo ai fini dell'attuazione e di un efficace monitoraggio dell'applicazione del presente regolamento. I dati che il router trasmette automaticamente al CRRS a tal fine non dovrebbero consentire l'identificazione dei passeggeri interessati.
43) Al fine di aumentare la chiarezza e la certezza del diritto, contribuire a garantire la qualità dei dati, garantire l'uso responsabile dei mezzi automatizzati per la raccolta dei dati API leggibili meccanicamente a norma del presente regolamento e garantire la raccolta manuale dei dati API in circostanze eccezionali e durante il periodo transitorio, al fine di chiarire i requisiti tecnici applicabili ai vettori aerei e necessari per garantire che i dati API da essi raccolti a norma del presente regolamento siano trasferiti al router in modo sicuro, efficace e rapido e al fine di garantire che i dati inesatti, incompleti o non più aggiornati siano rettificati, integrati o aggiornati, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 del trattato sul funzionamento dell'Unione europea (TFUE) per porre termine al periodo transitorio per la raccolta manuale dei dati API; per adottare misure relative ai requisiti tecnici e alle norme operative che i vettori aerei dovrebbero rispettare in relazione all'uso di mezzi automatizzati di raccolta dei dati API leggibili meccanicamente a norma del presente regolamento, alla raccolta manuale dei dati API in circostanze eccezionali e alla raccolta dei dati API durante il periodo transitorio, compresi i requisiti di sicurezza dei dati; per stabilire norme dettagliate sui protocolli comuni e sui formati di dati supportati da utilizzare per il trasferimento criptato dei dati API da parte dei vettori aerei, compresi i requisiti di sicurezza dei dati; e per stabilire norme in materia di correzione, completamento e aggiornamento dei dati API. E' di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni con i pertinenti portatori di interessi, compresi i vettori aerei, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (17). In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati. Tenuto conto dello stato dell'arte, tali requisiti tecnici e norme operative potrebbero cambiare nel tempo.
44) E' opportuno attribuire alla Commissione competenze di esecuzione al fine di garantire condizioni uniformi di esecuzione del presente regolamento, in particolare per quanto concerne l'entrata in funzione del router, le norme tecniche e procedurali per le verifiche e le notifiche dei dati, le norme tecniche e procedurali per la trasmissione dei dati API dal router alle autorità di frontiera competenti che assicurino una trasmissione sicura, efficace e rapida che non incida più del necessario sul viaggio dei passeggeri e sui vettori aerei, e le connessioni e l'integrazione con il router delle autorità di frontiera competenti e dei vettori aerei, e al fine di specificare le responsabilità degli Stati membri in qualità di contitolari del trattamento, ad esempio per quanto riguarda l'identificazione e la gestione degli incidenti di sicurezza, comprese le violazioni dei dati personali, e il rapporto tra i contitolari del trattamento ed eu-LISA in qualità di responsabile del trattamento, compresa l'assistenza di eu-LISA ai titolari del trattamento con misure tecniche e organizzative adeguate, nella misura in cui sia possibile, per l'adempimento degli obblighi del titolare del trattamento di rispondere alle richieste di esercizio dei diritti dell'interessato. E' altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (18).
45) Tutte le parti interessate, in particolare i vettori aerei e le autorità di frontiera competenti, dovrebbero avere il tempo sufficiente per compiere i preparativi necessari a ottemperare ai rispettivi obblighi stabiliti dal presente regolamento, tenendo conto del fatto che alcuni di questi preparativi, come quelli relativi agli obblighi in materia di connessione e integrazione con il router, potranno essere ultimati solo dopo il completamento delle fasi di progettazione e sviluppo del router stesso e una volta che questo sarà entrato in funzione. Pertanto il presente regolamento dovrebbe applicarsi solo a decorrere da una data appropriata successiva alla data di entrata in funzione del router, specificata dalla Commissione in conformità del presente regolamento e del regolamento (UE) 2025/13. Tuttavia la Commissione dovrebbe potere adottare atti delegati e di esecuzione a norma del presente regolamento già da una data anteriore, in modo da garantire che il sistema istituito dal presente regolamento sia operativo non appena possibile.
46) Le fasi di progettazione e sviluppo del router previste dal presente regolamento e dal regolamento (UE) 2025/13 dovrebbero essere avviate e completate quanto prima in modo che il router possa entrare in funzione il prima possibile, il che richiederà anche l'adozione degli atti delegati e di esecuzione pertinenti previsti dal presente regolamento. Ai fini di uno sviluppo agevole ed efficace di tali fasi, dovrebbe essere istituito un apposito consiglio di gestione del programma con la funzione di supervisionare eu-LISA nello svolgimento dei suoi compiti durante tali fasi. Il consiglio di gestione del programma dovrebbe cessare di esistere due anni dopo l'entrata in funzione del router. E' inoltre opportuno istituire, in conformità del regolamento (UE) 2018/1726, un apposito organo consultivo, il gruppo consultivo API-PNR, con l'obiettivo di fornire consulenza a eu-LISA e al consiglio di gestione del programma sulle fasi di progettazione e di sviluppo del router, nonché a eu-LISA per quanto riguarda l'hosting e la gestione del router. Il consiglio di gestione del programma e il gruppo consultivo API-PNR dovrebbero essere istituiti e gestiti seguendo i modelli dei consigli di gestione del programma e dei gruppi consultivi esistenti.
47) Il presente regolamento dovrebbe essere oggetto di valutazioni periodiche per garantire il monitoraggio della sua effettiva applicazione. In particolare, la raccolta dei dati API non dovrebbe andare a scapito dell'esperienza di viaggio dei passeggeri legittimi. La Commissione dovrebbe pertanto includere, nelle sue relazioni di valutazione periodiche sull'applicazione del presente regolamento, una valutazione dell'impatto del presente regolamento sull'esperienza di viaggio dei passeggeri legittimi. La valutazione dovrebbe comprendere anche una valutazione della qualità dei dati inviati dal router, nonché delle prestazioni del router in riferimento alle autorità di frontiera competenti.
48) Dovrebbero essere forniti senza indugio anche i chiarimenti previsti dal presente regolamento in merito all'applicazione delle specifiche relative all'uso di mezzi automatizzati in applicazione della direttiva 2004/82/CE. Le disposizioni concernenti tali questioni dovrebbero pertanto applicarsi a decorrere dalla data di entrata in vigore del presente regolamento. Inoltre, al fine di consentire il prima possibile l'uso volontario del router, è opportuno che si applichino il prima possibile, ossia dall'entrata in funzione del router, le disposizioni relative a tale uso e altre disposizioni necessarie a garantire che tale uso avvenga in modo responsabile.
49) Dato che il presente regolamento richiede ulteriori adeguamenti e costi amministrativi da parte dei vettori aerei, l'onere normativo complessivo per il settore dell'aviazione dovrebbe essere oggetto di un attento riesame. In tale contesto, la relazione di valutazione del funzionamento del presente regolamento dovrebbe valutare in quale misura gli obiettivi del presente regolamento siano stati conseguiti e in quale misura quest'ultimo abbia inciso sulla competitività del settore.
50) Il presente regolamento non pregiudica le competenze degli Stati membri per quanto riguarda il diritto nazionale in materia di sicurezza nazionale, a condizione che tale diritto sia conforme al diritto dell'Unione.
51) Il presente regolamento non pregiudica la competenza degli Stati membri di raccogliere, ai sensi del loro diritto nazionale, i dati dei passeggeri da prestatori di servizi di trasporto diversi da quelli specificati nel presente regolamento, a condizione che tale diritto nazionale sia conforme al diritto dell'Unione.
52) Poiché gli obiettivi del presente regolamento, vale a dire migliorare e facilitare l'efficacia e l'efficienza delle verifiche di frontiera alle frontiere esterne e contrastare l'immigrazione illegale, riguardano questioni di natura intrinsecamente transfrontaliera, essi non possono essere conseguiti in misura sufficiente dai singoli Stati membri ma possono essere conseguiti meglio a livello di Unione. L'Unione può quindi intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea (TUE). Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.
53) A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca, allegato al TUE e al TFUE, la Danimarca non partecipa all'adozione del presente regolamento, non è da esso vincolata né è soggetta alla sua applicazione. Dato che il presente regolamento si basa sull'acquis di Schengen, la Danimarca decide, ai sensi dell'articolo 4 di tale protocollo, entro sei mesi dalla decisione del Consiglio sul presente regolamento, se intende recepirlo nel proprio diritto interno.
54) L'Irlanda partecipa al presente regolamento, ai sensi dell'articolo 5, paragrafo 1, del protocollo n. 19 sull'acquis di Schengen integrato nell'ambito dell'Unione europea, allegato al TUE e al TFUE, e dell'articolo 6, paragrafo 2, della decisione 2002/192/CE del Consiglio (19).
55) Per quanto riguarda l'Islanda e la Norvegia, il presente regolamento costituisce uno sviluppo delle disposizioni dell'acquis di Schengen ai sensi dell'accordo concluso dal Consiglio dell'Unione europea con la Repubblica d'Islanda e il Regno di Norvegia sulla loro associazione all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (20) che rientrano nel settore di cui all'articolo 1, lettera A, della decisione 1999/437/CE del Consiglio (21).
56) Per quanto riguarda la Svizzera, il presente regolamento costituisce uno sviluppo delle disposizioni dell'acquis di Schengen ai sensi dell'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione di quest'ultima all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (22) che rientrano nel settore di cui all'articolo 1, lettera A, della decisione 1999/437/CE del Consiglio, in combinato disposto con l'articolo 3 della decisione 2008/146/CE del Consiglio (23).
57) Per quanto riguarda il Liechtenstein, il presente regolamento costituisce uno sviluppo delle disposizioni dell'acquis di Schengen ai sensi del protocollo sottoscritto tra l'Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull'adesione del Principato del Liechtenstein all'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (24) che rientrano nel settore di cui all'articolo 1, lettera A, della decisione 1999/437/CE, in combinato disposto con l'articolo 3 della decisione 2011/350/UE del Consiglio (25).
58) Per quanto concerne Cipro, il presente regolamento costituisce un atto basato sull'acquis di Schengen o a esso altrimenti connesso ai sensi dell'articolo 3, paragrafo 1, dell'atto di adesione del 2003.
59) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere l'8 febbraio 2023 (26),
HANNO ADOTTATO IL PRESENTE REGOLAMENTO:
GU C 228 del 29.6.2023.
Posizione del Parlamento europeo del 25 aprile 2024 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 12 dicembre 2024.
Regolamento (UE) 2016/399 del Parlamento europeo e del Consiglio, del 9 marzo 2016, che istituisce un codice unionale relativo al regime di attraversamento delle frontiere da parte delle persone (codice frontiere Schengen) (GU L 77 del 23.3.2016).
Direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l'obbligo dei vettori di comunicare i dati relativi alle persone trasportate (GU L 261 del 6.8.2004).
Regolamento (UE) 2019/1157 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sul rafforzamento della sicurezza delle carte d'identità dei cittadini dell'Unione e dei titoli di soggiorno rilasciati ai cittadini dell'Unione e ai loro familiari che esercitano il diritto di libera circolazione (GU L 188 del 12.7.2019).
Regolamento (CE) n. 2252/2004 del Consiglio, del 13 dicembre 2004, relativo alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici dei passaporti e dei documenti di viaggio rilasciati dagli Stati membri (GU L 385 del 29.12.2004).
Direttiva (UE) 2019/997 del Consiglio, del 18 giugno 2019, che istituisce un documento di viaggio provvisorio dell'UE e abroga la decisione 96/409/PESC (GU L 163 del 20.6.2019).
Regolamento (CE) n. 1107/2006 del Parlamento europeo e del Consiglio, del 5 luglio 2006, relativo ai diritti delle persone con disabilità e delle persone a mobilità ridotta nel trasporto aereo (GU L 204 del 26.7.2006).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016).
Regolamento (UE) 2025/13 del Parlamento europeo e del Consiglio, del 19 dicembre 2024, sulla raccolta e sul trasferimento di informazioni anticipate sui passeggeri a fini di prevenzione, accertamento, indagine e azione penale riguardo ai reati di terrorismo e ai reati gravi, e che modifica il regolamento (UE) 2019/818 (GU L, 2025/13, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/13/oj).
Regolamento (UE) 2017/2226 del Parlamento europeo e del Consiglio, del 30 novembre 2017, che istituisce un sistema di ingressi/uscite (EES) per la registrazione dei dati di ingresso e di uscita e dei dati relativi al respingimento dei cittadini di paesi terzi che attraversano le frontiere esterne degli Stati membri e che determina le condizioni di accesso al sistema di ingressi/uscite a fini di contrasto e che modifica la Convenzione di applicazione dell'Accordo di Schengen e i regolamenti (CE) n. 767/2008 e (UE) n. 1077/2011 (GU L 327 del 9.12.2017).
Regolamento (EU) 2018/1240 del Parlamento europeo e del Consiglio, del 12 settembre 2018, che istituisce un sistema europeo di informazione e autorizzazione ai viaggi (ETIAS) e che modifica i regolamenti (UE) n. 1077/2011, (UE) n. 515/2014, (UE) 2016/399, (EU) 2016/1624 e (UE) 2017/2226 (GU L 236 del 19.9.2018).
Regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, concernente il sistema di informazione visti (VIS) e lo scambio di informazioni tra Stati membri sui visti per soggiorni di breve durata, sui visti per soggiorni di lunga durata e sui permessi di soggiorno (regolamento VIS) (GU L 218 del 13.8.2008).
Regolamento (UE) 2018/1726 del Parlamento europeo e del Consiglio, del 14 novembre 2018, relativo all'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA), che modifica il regolamento (CE) n. 1987/2006 e la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (UE) n. 1077/2011 (EU) No 1077/2011 (GU L 295 del 21.11.2018).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018).
Regolamento (UE) 2019/817 del Parlamento europeo e del Consiglio, del 20 maggio 2019, che istituisce un quadro per l'interoperabilità tra i sistemi di informazione dell'UE nel settore delle frontiere e dei visti e che modifica i regolamenti (CE) n. 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 e (UE) 2018/1861 del Parlamento europeo e del Consiglio e le decisioni 2004/512/CE e 2008/633/GAI del Consiglio (GU L 135 del 22.5.2019).
GU L 123 del 12.5.2016.
Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011).
Decisione 2002/192/CE del Consiglio, del 28 febbraio 2002, riguardante la richiesta dell'Irlanda di partecipare ad alcune disposizioni dell'acquis di Schengen (GU L 64 del 7.3.2002).
GU L 176 del 10.7.1999.
Decisione 1999/437/CE del Consiglio, del 17 maggio 1999, relativa a talune modalità di applicazione dell'accordo concluso dal Consiglio dell'Unione europea con la Repubblica d'Islanda e il Regno di Norvegia sull'associazione di questi due Stati all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (GU L 176 del 10.7.1999).
GU L 53 del 27.2.2008.
Decisione 2008/146/CE del Consiglio, del 28 gennaio 2008, relativa alla conclusione, a nome della Comunità europea, dell'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera, riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (GU L 53 del 27.2.2008).
GU L 160 del 18.6.2011.
Decisione 2011/350/UE del Consiglio, del 7 marzo 2011, sulla conclusione, a nome dell'Unione europea, del protocollo tra l'Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull'adesione del Principato del Liechtenstein all'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen, con particolare riguardo alla soppressione dei controlli alle frontiere interne e alla circolazione delle persone (GU L 160 del 18.6.2011).
GU C 84 del 7.3.2023.
Oggetto
Al fine di migliorare e facilitare l'efficacia e l'efficienza delle verifiche di frontiera alle frontiere esterne e di contrastare l'immigrazione illegale, il presente regolamento stabilisce norme riguardanti:
a) la raccolta di informazioni anticipate sui passeggeri (API) a cura dei vettori aerei;
b) il trasferimento dei dati API al router a cura dei vettori aerei;
c) la trasmissione dei dati API dal router alle autorità di frontiera competenti.
Il presente regolamento lascia impregiudicati i regolamenti (UE) 2016/679 e (UE) 2018/1725.
Ambito di applicazione
Il presente regolamento si applica ai vettori aerei che operano voli verso l'Unione.
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) «vettore aereo»: un vettore aereo quale definito all'articolo 3, punto 1), della direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio (1);
2) «verifiche di frontiera»: verifiche di frontiera quali definite all'articolo 2, punto 11), del regolamento (UE) 2016/399;
3) «voli verso l'Unione»: voli in provenienza dal territorio di un paese terzo o di uno Stato membro al quale non si applica il presente regolamento, con atterraggio previsto nel territorio di uno Stato membro o di Stati membri cui si applica il presente regolamento;
4) «valico di frontiera»: un valico di frontiera quale definito all'articolo 2, punto 8), del regolamento (UE) 2016/399;
5) «volo di linea»: un volo che opera con orario prestabilito, i cui biglietti possono essere acquistati dal pubblico;
6) «volo non di linea»: un volo che non opera con orario prestabilito e che non segue necessariamente una rotta regolare o prestabilita;
7) «autorità di frontiera competente»: l'autorità abilitata da uno Stato membro a procedere alle verifiche di frontiera e designata e notificata dallo Stato membro conformemente all'articolo 14, paragrafo 2;
8) «passeggero»: qualunque persona, esclusi i membri dell'equipaggio in servizio, trasportata o da trasportare in un aeromobile con il consenso del vettore aereo, consenso che risulta dalla registrazione di detta persona nell'elenco dei passeggeri;
9) «informazioni anticipate sui passeggeri» o «dati API»: i dati dei passeggeri e le informazioni di volo di cui all'articolo 4, paragrafi 2 e 3, rispettivamente;
10) «router»: il router di cui all'articolo 11 del presente regolamento e all'articolo 9 del regolamento (UE) 2025/13;
11) «dati personali»: i dati personali quali definiti all'articolo 4, punto 1), del regolamento (UE) 2016/679;
12) «dati sul traffico aereo in tempo reale»: le informazioni sul traffico aereo in entrata e in uscita di un aeroporto disciplinato dal presente regolamento.
Direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (GU L 119 del 4.5.2016).
Raccolta dei dati API a cura dei vettori aerei
1. I vettori aerei raccolgono i dati API di ciascun passeggero sui voli verso l'Unione da trasferire al router conformemente all'articolo 6. Qualora il volo sia operato in code-sharing tra vettori aerei, l'obbligo di trasferire i dati API spetta al vettore aereo che opera il volo.
2. I dati API consistono esclusivamente nei seguenti dati relativi a ciascun passeggero sul volo:
a) cognome; nome o nomi;
b) data di nascita, sesso e cittadinanza;
c) tipo e numero del documento di viaggio e codice a tre lettere del paese di rilascio del documento di viaggio;
d) data di scadenza della validità del documento di viaggio;
e) numero identificativo del codice di prenotazione (passenger name record – PNR) usato dal vettore aereo per localizzare un passeggero nel suo sistema d'informazione (PNR di identificazione della pratica);
f) informazioni sul posto a sedere corrispondenti al posto nell'aeromobile assegnato al passeggero, ove disponibili;
g) il numero o i numeri di etichetta del bagaglio e il numero e il peso dei bagagli imbarcati, ove tali informazioni siano disponibili;
h) un codice indicante il metodo utilizzato per raccogliere e convalidare i dati di cui alle lettere da a) a d).
3. I dati API consistono inoltre esclusivamente nelle seguenti informazioni di volo relative al volo di ciascun passeggero:
a) numero identificativo del volo o, qualora il volo sia operato in code-sharing tra più vettori aerei, numeri identificativi del volo, se disponibili, o altro mezzo chiaro e adeguato di identificazione del volo;
b) ove applicabile, valico di frontiera di ingresso nel territorio dello Stato membro;
c) codice dell'aeroporto di arrivo o, se è previsto che il volo atterri in uno o più aeroporti situati nel territorio di uno o più Stati membri ai quali si applica il presente regolamento, i codici degli aeroporti di scalo nei territori degli Stati membri interessati;
d) codice dell'aeroporto di partenza del volo;
e) codice dell'aeroporto del primo punto di imbarco, se disponibile;
f) data e ora locali di partenza;
g) data e ora locali di arrivo;
h) dati di contatto del vettore aereo;
i) formato utilizzato per il trasferimento dei dati API.
Mezzi di raccolta dei dati API
1. I vettori aerei raccolgono i dati API conformemente all'articolo 4 in modo da garantire che i dati API che trasferiscono conformemente all'articolo 6 siano esatti, completi e aggiornati.
2. I vettori aerei raccolgono i dati API di cui all'articolo 4, paragrafo 2, lettere da a) a d), ricorrendo a mezzi automatizzati per raccogliere i dati del documento di viaggio del passeggero interessato leggibili meccanicamente. La raccolta è conforme ai requisiti tecnici e alle norme operative dettagliati di cui al paragrafo 7 del presente articolo, una volta che tali norme siano state adottate e siano applicabili.
I vettori aerei che mettono a disposizione una procedura di accettazione online consentono ai passeggeri di fornire i dati API di cui all'articolo 4, paragrafo 2, lettere da a) a d), con mezzi automatizzati durante tale procedura. I vettori aerei mettono i passeggeri che non effettuano l'accettazione online in condizione di fornire tali dati API con mezzi automatizzati all'accettazione in aeroporto, con l'assistenza di un dispositivo self-service o del personale del vettore aereo allo sportello.
Se è tecnicamente impossibile usare mezzi automatizzati, i vettori aerei raccolgono in via eccezionale i dati API di cui all'articolo 4, paragrafo 2, lettere da a) a d), manualmente, nel corso dell'accettazione online o dell'accettazione in aeroporto, in modo tale da garantire il rispetto del paragrafo 1 del presente articolo.
3. I mezzi automatizzati usati dai vettori aerei per raccogliere i dati API conformemente al presente regolamento sono affidabili, sicuri e aggiornati. I vettori aerei provvedono affinché i dati API siano criptati durante il trasferimento dal passeggero al vettore aereo.
4. Durante un periodo transitorio, e in aggiunta ai mezzi automatizzati di cui al paragrafo 3, i vettori aerei fanno in modo che i passeggeri possano fornire i dati API manualmente nel corso dell'accettazione online. In tal caso i vettori aerei utilizzano tecniche di verifica dei dati per garantire la conformità al paragrafo 1.
5. Il periodo transitorio di cui al paragrafo 4 non pregiudica il diritto dei vettori aerei di verificare, in aeroporto prima dell'imbarco dell'aeromobile, i dati API raccolti nel corso dell'accettazione online al fine di garantire la conformità al paragrafo 1, conformemente al diritto dell'Unione applicabile.
6. Alla Commissione è conferito il potere di adottare, a partire da quattro anni dopo l'entrata in funzione del router di cui all'articolo 34 e sulla base di una valutazione della disponibilità e dell'accessibilità dei mezzi automatizzati di raccolta dei dati API, un atto delegato conformemente all'articolo 44 per porre fine al periodo transitorio di cui al paragrafo 4 del presente articolo.
7. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 44 per integrare il presente regolamento stabilendo requisiti tecnici e norme operative dettagliati per la raccolta dei dati API di cui all'articolo 4, paragrafo 2, lettere da a) a d), con mezzi automatizzati conformemente ai paragrafi 2 e 3 del presente articolo, e per la raccolta manuale dei dati API in circostanze eccezionali conformemente al paragrafo 2 del presente articolo e durante il periodo transitorio di cui al paragrafo 4 del presente articolo. Tali requisiti tecnici e norme operative comprendono requisiti di sicurezza dei dati e di utilizzo dei mezzi automatizzati più affidabili disponibili per raccogliere i dati di un documento di viaggio leggibili meccanicamente.
8. I vettori che usano mezzi automatizzati per raccogliere le informazioni di cui all'articolo 3, paragrafi 1 e 2, della direttiva 2004/82/CE sono autorizzati a farlo applicando i requisiti tecnici su tale uso di cui al paragrafo 7 del presente articolo, conformemente a detta direttiva.
Obblighi dei vettori aerei riguardo ai trasferimenti di dati API
1. I vettori aerei trasferiscono i dati API criptati al router con mezzi automatizzati ai fini della loro trasmissione alle autorità di frontiera competenti conformemente all'articolo 14. Il trasferimento dei dati API a cura dei vettori aerei è conforme alle norme dettagliate di cui al paragrafo 3 del presente articolo, una volta che tali norme siano state adottate e siano applicabili.
2. I vettori aerei trasferiscono i dati API:
a) di ciascun passeggero al momento dell'accettazione, ma non prima delle 48 ore precedenti l'orario di partenza del volo previsto; e
b) di tutti i passeggeri imbarcati immediatamente dopo la chiusura del volo, vale a dire una volta che i passeggeri sono saliti a bordo dell'aeromobile pronto per il decollo e l'imbarco o lo sbarco di passeggeri non è più possibile.
3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 44 per integrare il presente regolamento stabilendo le norme dettagliate necessarie sui protocolli comuni e sui formati di dati supportati da usare per il trasferimento criptato dei dati API al router di cui al paragrafo 1 del presente articolo, tra cui il trasferimento dei dati API al momento dell'accettazione e i requisiti per la sicurezza dei dati. Tali norme dettagliate assicurano che i vettori aerei trasferiscano i dati API utilizzando la stessa struttura e lo stesso contenuto.
Trattamento dei dati API a cura delle autorità di frontiera competenti
Le autorità di frontiera competenti trattano i dati API che ricevono in conformità del presente regolamento unicamente al fine di migliorare e facilitare l'efficacia e l'efficienza delle verifiche di frontiera alle frontiere esterne e di contrastare l'immigrazione illegale.
Le autorità di frontiera competenti non trattano i dati API in modo da determinare la profilazione delle persone di cui all'articolo 22 del regolamento (UE) 2016/679 o la discriminazione delle persone per i motivi elencati all'articolo 21 della Carta.
Periodo di conservazione e cancellazione dei dati API
1. I vettori aerei conservano, per un periodo di 48 ore dal momento del ricevimento da parte del router dei dati API ad esso trasferiti in conformità dell'articolo 6, paragrafo 2, lettere a) e b), i dati API che hanno raccolto a norma dell'articolo 4. Alla scadenza di tale periodo cancellano detti dati API immediatamente e definitivamente, fatta salva la possibilità per i vettori aerei di conservarli e utilizzarli ove necessario per il normale svolgimento della loro attività in conformità del diritto applicabile, e fatto salvo l'articolo 16, paragrafi 1 e 3.
2. Le autorità di frontiera competenti conservano, per un periodo di 48 ore dal momento del loro ricevimento, i dati API trasmessi loro conformemente all'articolo 14 in seguito al trasferimento di cui all'articolo 6, paragrafo 2, lettere a) e b). Alla scadenza di tale periodo cancellano detti dati API immediatamente e definitivamente.
In casi eccezionali, le autorità di frontiera competenti possono conservare i dati API per un ulteriore periodo massimo di 48 ore solo nella misura in cui tali dati API si riferiscano a passeggeri che non si sono presentati a un valico di frontiera durante il periodo di cui al primo comma.
Correzione, completamento e aggiornamento dei dati API
1. Se viene a conoscenza del fatto che i dati che conserva a norma del presente regolamento sono stati trattati illecitamente o non costituiscono dati API, il vettore aereo li cancella immediatamente e definitivamente. Se tali dati sono stati trasferiti al router, il vettore aereo informa immediatamente l'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA). Non appena riceve l'informazione, eu-LISA la comunica immediatamente all'autorità di frontiera competente che ha ricevuto i dati trasmessi tramite il router. L'autorità di frontiera competente cancella immediatamente e definitivamente tali dati.
2. Se viene a conoscenza del fatto che i dati che conserva a norma del presente regolamento sono inesatti, incompleti o non più aggiornati, il vettore aereo provvede immediatamente a rettificarli, integrarli o aggiornarli. Ciò non pregiudica la facoltà del vettore aereo di conservare e usare i dati ove necessario per il normale svolgimento della sua attività conformemente alla legge applicabile.
3. Se un vettore aereo, dopo il trasferimento dei dati API a norma dell'articolo 6, paragrafo 2, lettera a), ma prima del trasferimento a norma dell'articolo 6, paragrafo 2, lettera b), viene a conoscenza del fatto che i dati che ha trasferito sono inesatti, trasferisce immediatamente i dati API corretti al router.
4. Se un vettore aereo, dopo il trasferimento dei dati API a norma dell'articolo 6, paragrafo 2, lettera a) o b), viene a conoscenza del fatto che i dati che ha trasferito sono inesatti, incompleti o non più aggiornati, trasferisce immediatamente i dati API rettificati, integrati o aggiornati al router.
5. Se un'autorità di frontiera competente, dopo la trasmissione dei dati API a norma dell'articolo 14, viene a conoscenza del fatto che i dati sono inesatti, incompleti o non più aggiornati, li cancella immediatamente, a meno che non siano necessari per garantire il rispetto degli obblighi stabiliti dal presente regolamento.
6. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 44 per integrare il presente regolamento stabilendo le opportune norme dettagliate in materia di rettifica, integrazione e aggiornamento dei dati API ai sensi del presente articolo.
Diritti fondamentali
1. La raccolta e il trattamento di dati personali in conformità del presente regolamento e del regolamento (UE) 2025/13 da parte dei vettori aerei e delle autorità competenti non danno luogo a discriminazioni nei confronti delle persone per i motivi elencati all'articolo 21 della Carta dei diritti fondamentali dell'Unione europea («Carta»).
2. Il presente regolamento rispetta pienamente la dignità umana nonché i diritti fondamentali e i principi riconosciuti dalla Carta, incluso il diritto al rispetto della vita privata, all'asilo, alla protezione dei dati personali, alla libertà di circolazione e a mezzi di ricorso effettivi.
3. E' prestata particolare attenzione ai minori, alle persone anziane, alle persone con disabilità e alle persone vulnerabili. L'interesse superiore del minore costituisce una considerazione preminente nell'attuazione del presente regolamento.
Router
1. eu-LISA progetta, sviluppa, ospita e gestisce a livello tecnico, in conformità degli articoli 25 e 26, un router al fine di facilitare il trasferimento dei dati API criptati dai vettori aerei alle autorità di frontiera competenti a norma del presente regolamento.
2. Il router è costituito da:
a) un'infrastruttura centrale comprendente una serie di componenti tecnici che permettono il ricevimento e la trasmissione dei dati API criptati;
b) un canale di comunicazione sicuro tra l'infrastruttura centrale e le autorità di frontiera competenti e un canale di comunicazione sicuro tra l'infrastruttura centrale e i vettori aerei per il trasferimento e la trasmissione dei dati API e per le comunicazioni ad essi relative;
c) un canale sicuro per ricevere dati sul traffico aereo in tempo reale.
3. Fatto salvo l'articolo 12 del presente regolamento, il router condivide e riutilizza, se del caso e nella misura tecnicamente possibile, i componenti tecnici, compresi i componenti hardware e software, del servizio web di cui all'articolo 13 del regolamento (UE) 2017/2226, il portale per i vettori di cui all'articolo 6, paragrafo 2, lettera k), del regolamento (UE) 2018/1240 e il portale per i vettori di cui all'articolo 45 quater del regolamento (CE) n. 767/2008.
eu-LISA progetta il router, per quanto possibile sul piano tecnico e operativo, in modo coerente e uniforme con gli obblighi riguardanti i vettori aerei di cui ai regolamenti (CE) n. 767/2008, (UE) 2017/2226 e (UE) 2018/1240.
4. Il router estrae automaticamente e rende disponibili i dati, conformemente all'articolo 38 del presente regolamento, all'archivio centrale di relazioni e statistiche (CRRS) istituito dall'articolo 39 del regolamento (UE) 2019/817.
5. eu-LISA progetta e sviluppa il router in modo tale che, per qualsiasi trasferimento dei dati API dai vettori aerei al router conformemente all'articolo 6 e per qualsiasi trasmissione dei dati API dal router alle autorità di frontiera competenti conformemente all'articolo 14 e al CRRS conformemente all'articolo 38, paragrafo 2, i dati API siano sottoposti a cifratura da punto a punto durante il transito.
Uso esclusivo del router
Ai fini del presente regolamento, il router è usato soltanto:
a) dai vettori aerei per trasferire i dati API criptati in conformità del presente regolamento;
b) dalle autorità di frontiera competenti per ricevere i dati API criptati in conformità del presente regolamento.
Il presente articolo lascia impregiudicato l'articolo 10 del regolamento (UE) 2025/13.
Verifiche del formato e del trasferimento dei dati
1. Il router verifica, in modo automatizzato e sulla base dei dati sul traffico aereo in tempo reale, se il vettore aereo ha trasferito i dati API a norma dell'articolo 6, paragrafo 1.
2. Il router verifica immediatamente e in modo automatizzato se i dati API che gli sono stati trasferiti a norma dell'articolo 6, paragrafo 1, sono conformi alle norme dettagliate sui formati di dati supportati di cui all'articolo 6, paragrafo 3.
3. Qualora dalla verifica di cui al paragrafo 1 del presente articolo emerga che i dati non sono stati trasferiti dal vettore aereo o qualora la verifica di cui al paragrafo 2 del presente articolo stabilisca che i dati non sono conformi alle norme dettagliate sui formati di dati supportati, il router avvisa immediatamente e in modo automatizzato il vettore aereo interessato e le autorità di frontiera competenti degli Stati membri a cui i dati andavano trasmessi a norma dell'articolo 14, paragrafo 1. In questi casi il vettore aereo trasferisce immediatamente i dati API in conformità dell'articolo 6.
4. La Commissione adotta atti di esecuzione che specificano le norme tecniche e procedurali dettagliate necessarie per le verifiche e gli avvisi di cui ai paragrafi 1, 2 e 3 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 43, paragrafo 2.
Trasmissione dei dati API dal router alle autorità di frontiera competenti
1. In seguito alle verifiche del formato e del trasferimento dei dati di cui all'articolo 13, il router trasmette i dati API criptati ad esso trasferiti a norma dell'articolo 6 o dell'articolo 9, paragrafi 3 e 4, alle autorità di frontiera competenti dello Stato membro o, qualora si preveda che il volo atterri in uno o più aeroporti situati nel territorio di uno o più Stati membri a cui si applica il presente regolamento, alle autorità di frontiera competenti degli Stati membri di cui all'articolo 4, paragrafo 3, lettera c). Il router trasmette tali dati immediatamente e in maniera automatizzata, senza modificarne in alcun modo il contenuto e secondo le norme dettagliate di cui al paragrafo 5 del presente articolo, una volta che tali norme sono state adottate e sono applicabili.
Ai fini di tale trasmissione, eu-LISA istituisce e tiene aggiornata una tabella di corrispondenza tra i diversi aeroporti di origine e di destinazione e i paesi a cui appartengono.
2. Gli Stati membri designano le autorità di frontiera competenti autorizzate a ricevere i dati API trasmessi loro dal router in conformità del presente regolamento. Entro la data di applicazione del presente regolamento di cui all'articolo 46, secondo comma, notificano a eu-LISA e alla Commissione il nome e i dati di contatto delle autorità di frontiera competenti e, se necessario, notificano a eu-LISA e alla Commissione qualsiasi aggiornamento di tali informazioni.
Sulla base di tali notifiche e aggiornamenti, la Commissione compila e pubblica l'elenco delle autorità di frontiera competenti notificate, unitamente ai loro dati di contatto.
3. Gli Stati membri provvedono affinché le loro autorità di frontiera competenti, quando ricevono i dati API in conformità del paragrafo 1, confermino immediatamente e in maniera automatizzata la ricezione di tali dati nel router.
4. Gli Stati membri provvedono affinché solo il personale debitamente autorizzato e formato delle loro autorità di frontiera competenti, designate a norma del paragrafo 2, abbia accesso ai dati API trasmessi loro tramite il router. Essi adottano le norme a tal fine necessarie. Tali norme riguardano anche la creazione e l'aggiornamento periodico dell'elenco dei membri di tale personale, con le relative qualifiche.
5. La Commissione adotta atti di esecuzione che specificano le norme tecniche e procedurali dettagliate necessarie per la trasmissione dei dati API dal router di cui al paragrafo 1 del presente articolo, comprese le prescrizioni relative alla sicurezza dei dati. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 43, paragrafo 2.
Cancellazione dei dati API dal router
I dati API trasferiti al router a norma del presente regolamento sono conservati nel router solo per il tempo necessario a completare la trasmissione alle autorità di frontiera competenti conformemente al presente regolamento e sono cancellati dal router immediatamente definitivamente e in modo automatizzato una volta confermato, a norma dell'articolo 14, paragrafo 3, il completamento della trasmissione dei dati API alle autorità di frontiera competenti.
Azioni in caso di impossibilità tecnica di usare il router
1. Qualora, a causa di un guasto del router, sia tecnicamente impossibile utilizzarlo per trasmettere i dati API, eu-LISA ne informa immediatamente i vettori aerei e le autorità di frontiera competenti in maniera automatizzata. In tal caso eu-LISA adotta immediatamente misure per rimediare all'impossibilità tecnica di usare il router e, una volta risolto il problema, ne informa immediatamente i vettori aerei e le autorità di frontiera competenti.
Nel periodo che intercorre tra tali notifiche non si applicano l'articolo 6, paragrafo 1, e l'articolo 8, paragrafo 1, nella misura in cui l'impossibilità tecnica impedisce il trasferimento dei dati API al router. I vettori aerei conservano i dati API fino a quando l'impossibilità tecnica non sia stata risolta. Non appena risolta l'impossibilità tecnica, i vettori aerei trasferiscono i dati al router conformemente all'articolo 6, paragrafo 1.
Se i dati API sono ricevuti più di 96 ore dopo l'ora di partenza di cui all'articolo 4, paragrafo 3, lettera f), il router non trasmette i dati API alle autorità di frontiera competenti, bensì li cancella.
Qualora sia tecnicamente impossibile utilizzare il router e in casi eccezionali legati agli obiettivi del presente regolamento che rendono necessario che le autorità di frontiera competenti ricevano immediatamente i dati API durante l'impossibilità tecnica di utilizzare il router, le autorità di frontiera competenti possono chiedere ai vettori aerei di utilizzare qualsiasi altro mezzo appropriato che garantisca il necessario livello di sicurezza, qualità e protezione dei dati per trasferire i dati API direttamente alle autorità di frontiera competenti. Le autorità di frontiera competenti trattano i dati API ricevuti con qualsiasi altro mezzo appropriato conformemente alle norme e alle garanzie di cui al regolamento (UE) 2016/399 e al diritto nazionale applicabile.
A seguito della notifica da parte di eu-LISA che l'impossibilità tecnica è stata risolta e qualora sia confermato, conformemente all'articolo 14, paragrafo 3, che la trasmissione dei dati API tramite il router all'autorità di frontiera competente è stata completata, l'autorità di frontiera competente cancella immediatamente i dati API ricevuti mediante qualsiasi altro mezzo appropriato.
2. Qualora, a causa di un guasto dei sistemi o delle infrastrutture di uno Stato membro di cui all'articolo 23, sia tecnicamente impossibile utilizzare il router per trasmettere i dati API, le autorità di frontiera competenti di tale Stato membro ne informano immediatamente i vettori aerei, le autorità competenti degli altri Stati membri, eu-LISA e la Commissione in maniera automatizzata. In tal caso lo Stato membro interessato adotta immediatamente misure per rimediare all'impossibilità tecnica di usare il router e, una volta risolto il problema, ne informa immediatamente i vettori aerei, le autorità competenti degli altri Stati membri, eu-LISA e la Commissione. Il router conserva i dati API fino a quando l'impossibilità tecnica non sia stata risolta. Appena risolta l'impossibilità tecnica, il router trasmette i dati conformemente all'articolo 14, paragrafo 1.
Nel periodo che intercorre tra tali notifiche non si applicano l'articolo 6, paragrafo 1, e l'articolo 8, paragrafo 1, nella misura in cui l'impossibilità tecnica impedisce il trasferimento dei dati API al router. I vettori aerei conservano i dati API fino a quando l'impossibilità tecnica non sia stata risolta. Appena risolta l'impossibilità tecnica, i vettori aerei trasferiscono i dati al router conformemente all'articolo 6, paragrafo 1.
Se i dati API sono ricevuti più di 96 ore dopo l'ora di partenza di cui all'articolo 4, paragrafo 3, lettera f), il router non trasmette i dati API alle autorità di frontiera competenti, bensì li cancella.
Qualora sia tecnicamente impossibile utilizzare il router e in casi eccezionali legati agli obiettivi del presente regolamento che rendono necessario che le autorità di frontiera competenti ricevano immediatamente i dati API durante l'impossibilità tecnica di utilizzare il router, le autorità di frontiera competenti possono chiedere ai vettori aerei di utilizzare qualsiasi altro mezzo appropriato che garantisca il necessario livello di sicurezza, qualità e protezione dei dati per trasferire i dati API direttamente alle autorità di frontiera competenti. Le autorità di frontiera competenti trattano i dati API ricevuti con qualsiasi altro mezzo appropriato conformemente alle norme e alle garanzie di cui al regolamento (UE) 2016/399 e al diritto nazionale applicabile.
A seguito della notifica da parte eu-LISA che l'impossibilità tecnica è stata risolta e qualora sia confermato, conformemente all'articolo 14, paragrafo 3, che la trasmissione dei dati API tramite il router all'autorità di frontiera competente è stata completata, l'autorità di frontiera competente cancella immediatamente i dati API ricevuti mediante qualsiasi altro mezzo adeguato.
3. Qualora, a causa di un guasto dei sistemi o delle infrastrutture di un vettore aereo di cui all'articolo 24, sia tecnicamente impossibile utilizzare il router per trasferire i dati API, il vettore aereo ne informa immediatamente le autorità di frontiera competenti, eu-LISA e la Commissione in maniera automatizzata. In tal caso il vettore aereo adotta immediatamente misure per rimediare all'impossibilità tecnica di usare il router e, una volta risolto il problema, ne informa immediatamente eu-LISA e la Commissione.
Nel periodo che intercorre tra tali notifiche non si applicano l'articolo 6, paragrafo 1, e l'articolo 8, paragrafo 1, nella misura in cui l'impossibilità tecnica impedisce il trasferimento dei dati API al router. I vettori aerei conservano i dati API fino a quando l'impossibilità tecnica non sia stata risolta. Appena risolta l'impossibilità tecnica, i vettori aerei trasferiscono i dati al router conformemente all'articolo 6, paragrafo 1. Tuttavia, il router non trasmette i dati API alle autorità di frontiera competenti bensì li cancella se tali dati sono ricevuti più di 96 ore dopo l'ora di partenza di cui all'articolo 4, paragrafo 3, lettera f).
Qualora sia tecnicamente impossibile utilizzare il router e in casi eccezionali connessi agli obiettivi del presente regolamento che rendono necessario che le autorità di frontiera competenti ricevano immediatamente i dati API durante l'impossibilità tecnica di utilizzare il router, le autorità di frontiera competenti possono chiedere ai vettori aerei di utilizzare qualsiasi altro mezzo appropriato che garantisca il necessario livello di sicurezza, qualità e protezione dei dati per trasferire i dati API direttamente alle autorità di frontiera competenti. Le autorità di frontiera competenti trattano i dati API ricevuti con qualsiasi altro mezzo appropriato conformemente alle norme e alle garanzie di cui al regolamento (UE) 2016/399 e al diritto nazionale applicabile.
A seguito della notifica con cui eu-LISA informa che l'impossibilità tecnica è stata risolta e qualora sia confermato, conformemente all'articolo 14, paragrafo 3, che la trasmissione dei dati API attraverso il router all'autorità di frontiera competente è stata completata, l'autorità di frontiera competente cancella immediatamente i dati API ricevuti mediante qualsiasi altro mezzo adeguato.
Una volta risolta l'impossibilità tecnica, il vettore aereo interessato presenta senza ritardo all'autorità nazionale di controllo delle API di cui all'articolo 36 una relazione contenente tutti i dettagli necessari sull'impossibilità tecnica, compresi i motivi, la portata e le conseguenze, nonché le misure adottate per porvi rimedio.
Registrazioni
1. I vettori aerei creano registrazioni di tutte le operazioni di trattamento riguardanti i dati API a norma del presente regolamento effettuate con i mezzi automatizzati di cui all'articolo 5, paragrafo 2. Tali registrazioni riguardano la data, l'ora e il luogo di trasferimento dei dati API. Esse non contengono dati personali diversi dalle informazioni necessarie per identificare i membri del personale del vettore aereo.
2. eu-LISA conserva le registrazioni di tutte le operazioni di trattamento relative al trasferimento e alla trasmissione di dati API tramite il router a norma del presente regolamento. Le registrazioni riguardano:
a) il vettore aereo che ha trasferito i dati API al router;
b) le autorità di frontiera competenti a cui sono stati trasmessi i dati API tramite il router;
c) la data e l'ora del trasferimento o della trasmissione di cui alle lettere a) e b) e il luogo di tale trasferimento o trasmissione;
d) ogni accesso del personale di eu-LISA necessario per la manutenzione del router, di cui all'articolo 26, paragrafo 3;
e) ogni altra informazione relativa a tali operazioni di trattamento necessaria per monitorare la sicurezza e l'integrità dei dati API e la liceità di detti trattamenti.
Tali registrazioni non includono dati personali diversi dalle informazioni necessarie per identificare i membri del personale di eu-LISA di cui alla lettera d) del primo comma.
3. Le registrazioni di cui ai paragrafi 1 e 2 del presente articolo sono usate solo per garantire la sicurezza e l'integrità dei dati API e la liceità del trattamento, in particolare per quanto riguarda la conformità alle disposizioni del presente regolamento, compresi i procedimenti sanzionatori applicabili per violazione di tali disposizioni conformemente agli articoli 36 e 37.
4. I vettori aerei ed eu-LISA adottano misure adeguate per proteggere le registrazioni da essi create a norma, rispettivamente, dei paragrafi 1 e 2 dall'accesso non autorizzato e da altri rischi per la sicurezza.
5. L'autorità nazionale di controllo delle API di cui all'articolo 36 e le autorità di frontiera competenti hanno accesso alle registrazioni pertinenti di cui al paragrafo 1 del presente articolo se necessario per le finalità di cui al paragrafo 3 del presente articolo.
6. I vettori aerei ed eu-LISA conservano le registrazioni da essi create a norma, rispettivamente, dei paragrafi 1 e 2 per un anno dal momento della creazione. Alla scadenza di tale periodo cancellano le registrazioni immediatamente e definitivamente.
Tuttavia, se le registrazioni sono necessarie per le procedure volte a monitorare o garantire la sicurezza e l'integrità dei dati API o la liceità delle operazioni di trattamento di cui al paragrafo 3 e se tali procedure sono già iniziate alla scadenza del periodo di cui al primo comma del presente paragrafo, eu-LISA e i vettori aerei conservano le registrazioni per il tempo necessario a tali procedure. In tal caso, essi cancellano immediatamente le registrazioni quando non sono più necessarie per tali procedure.
Responsabilità in materia di protezione dei dati
1. I vettori aerei sono titolari del trattamento ai sensi dell'articolo 4, punto 7), del regolamento (UE) 2016/679, per il trattamento dei dati API che costituiscono dati personali in relazione alla loro raccolta e al loro trasferimento al router a norma del presente regolamento.
2. Ciascuno Stato membro designa un'autorità competente quale titolare del trattamento conformemente al presente articolo. Gli Stati membri informano la Commissione, eu-LISA e gli altri Stati membri in merito a tali autorità.
Tutte le autorità competenti designate dagli Stati membri sono contitolari del trattamento a norma dell'articolo 26 del regolamento (UE) 2016/679 ai fini del trattamento dei dati personali nel router.
3. eu-LISA è un responsabile del trattamento ai sensi dell'articolo 3, punto 12), del regolamento (UE) 2018/1725 ai fini del trattamento tramite il router dei dati API che costituiscono dati personali ai sensi del presente regolamento, comprese la trasmissione dei dati dal router alle autorità di frontiera competenti e la conservazione di tali dati nel router per motivi tecnici. eu-LISA garantisce che il router sia gestito conformemente al presente regolamento.
4. La Commissione adotta atti di esecuzione che stabiliscono le rispettive responsabilità dei contitolari del trattamento e i rispettivi obblighi tra i contitolari del trattamento e il responsabile del trattamento. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 43, paragrafo 2.
Informazioni destinate ai passeggeri
Conformemente all'articolo 13 del regolamento (UE) 2016/679, i vettori aerei forniscono ai passeggeri, in merito ai voli contemplati dal presente regolamento, informazioni sulle finalità della raccolta dei loro dati personali, sul tipo di dati personali raccolti, sui destinatari dei dati personali e sui mezzi per esercitare i loro diritti in qualità di interessati.
Tali informazioni sono comunicate ai passeggeri per iscritto e in un formato facilmente accessibile al momento della prenotazione e dell'accettazione, indipendentemente dai mezzi utilizzati per raccogliere i dati personali al momento dell'accettazione conformemente all'articolo 5.
Sicurezza
1. eu-LISA garantisce la sicurezza e la cifratura dei dati API, in particolare di quelli che costituiscono dati personali, che tratta a norma del presente regolamento. Le autorità di frontiera competenti e i vettori aerei garantiscono la sicurezza dei dati API, in particolare di quelli che costituiscono dati personali, che trattano a norma del presente regolamento. eu-LISA, le autorità di frontiera competenti e i vettori aerei cooperano, secondo le rispettive responsabilità e nel rispetto del diritto dell'Unione, per garantire tale sicurezza.
2. eu-LISA adotta le misure necessarie per garantire la sicurezza del router e dei dati API trasmessi tramite il router, in particolare di quelli che costituiscono dati personali, anche elaborando, attuando e aggiornando periodicamente un piano di sicurezza, un piano di continuità operativa e un piano di ripristino in caso di disastro, al fine di:
a) proteggere fisicamente il router, anche mediante l'elaborazione di piani di emergenza per la protezione dei componenti critici;
b) impedire, in particolare mediante tecniche appropriate di cifratura, il trattamento non autorizzato dei dati API, compreso l'accesso non autorizzato a tali dati e la loro copia, modifica o cancellazione, sia all'atto del loro trasferimento dal router e verso il medesimo, sia durante la loro conservazione sul router, ove necessaria per completare la trasmissione;
c) garantire che le persone autorizzate ad accedere al router abbiano accesso solo ai dati previsti dalla loro autorizzazione di accesso;
d) garantire che sia possibile verificare e accertare a quali autorità di frontiera competenti sono trasmessi i dati API tramite il router;
e) riferire adeguatamente al consiglio di amministrazione in merito a eventuali anomalie nel funzionamento del router;
f) monitorare l'efficacia delle misure di sicurezza richieste a norma del presente articolo e del regolamento (UE) 2018/1725, nonché valutare e aggiornare tali misure ove necessario alla luce degli sviluppi tecnologici o operativi.
Le misure di cui al primo comma del presente paragrafo non pregiudicano l'articolo 32 del regolamento (UE) 2016/679 né l'articolo 33 del regolamento (UE) 2018/1725.
Verifica interna
I vettori aerei e le autorità di frontiera competenti controllano l'ottemperanza ai rispettivi obblighi ai sensi del presente regolamento, in particolare per quanto riguarda il trattamento dei dati API che costituiscono dati personali. Per i vettori aerei, il controllo comprende la verifica frequente delle registrazioni di cui all'articolo 17, paragrafo 1.
Audit della protezione dei dati personali
1. Le autorità di controllo indipendenti di cui all'articolo 51 del regolamento (UE) 2016/679 svolgono, almeno ogni quattro anni, un audit delle operazioni di trattamento dei dati API che costituiscono dati personali effettuate dalle autorità di frontiera competenti ai fini del presente regolamento. Gli Stati membri provvedono affinché le proprie autorità di controllo indipendenti dispongano delle risorse e delle competenze sufficienti per assolvere ai compiti loro assegnati dal presente regolamento.
2. Il Garante europeo della protezione dei dati svolge almeno una volta l'anno un audit delle operazioni di trattamento dei dati API che costituiscono dati personali effettuate da eu-LISA ai fini del presente regolamento, conformemente ai pertinenti principi internazionali di audit. Una relazione su tale audit è trasmessa al Parlamento europeo, al Consiglio, alla Commissione, agli Stati membri e a eu-LISA. A eu-LISA è data la possibilità di presentare osservazioni prima dell'adozione della relazione.
3. Riguardo alle operazioni di trattamento di cui al paragrafo 2 del presente articolo, su richiesta eu-LISA fornisce al Garante europeo della protezione dei dati le informazioni da questo sollecitate e gli consente di accedere a tutti i documenti richiesti, alle registrazioni di cui all'articolo 17, paragrafo 2, e a tutti i suoi locali in qualsiasi momento.
Connessione delle autorità di frontiera competenti al router
1. Gli Stati membri provvedono affinché le loro autorità di frontiera competenti siano connesse al router. Essi provvedono affinché i sistemi e le infrastrutture delle autorità di frontiera competenti per ricevere e trattare ulteriormente i dati API trasferiti a norma del presente regolamento siano integrati con il router.
Gli Stati membri provvedono affinché la connessione e l'integrazione con il router consentano alle loro autorità di frontiera competenti di ricevere e trattare ulteriormente i dati API, nonché di scambiare qualsiasi comunicazione ad essi relativa, in modo lecito, sicuro, efficace e rapido.
2. La Commissione adotta atti di esecuzione che specificano le norme dettagliate necessarie per le connessioni e l'integrazione con il router di cui al paragrafo 1 del presente articolo, tra cui i requisiti per la sicurezza dei dati. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 43, paragrafo 2.
Connessione dei vettori aerei al router
1. I vettori aerei garantiscono la loro connessione al router. Essi provvedono affinché i loro sistemi e infrastrutture per il trasferimento dei dati API al router a norma del presente regolamento siano integrati con il router.
I vettori aerei provvedono affinché la connessione e l'integrazione con il router consentano loro di trasferire i dati API, nonché di scambiare tutte le comunicazioni ad essi relative, in modo lecito, sicuro, efficace e rapido. A tal fine, i vettori aerei effettuano prove del trasferimento dei dati API al router in cooperazione con eu-LISA a norma dell'articolo 27, paragrafo 3.
2. La Commissione adotta atti di esecuzione che specificano le norme dettagliate necessarie per le connessioni e l'integrazione con il router di cui al paragrafo 1 del presente articolo, tra cui i requisiti per la sicurezza dei dati. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 43, paragrafo 2.
Compiti di eu-LISA relativi alla progettazione e allo sviluppo del router
1. eu-LISA è responsabile della progettazione dell'architettura fisica del router, compresa la definizione delle sue specifiche tecniche.
2. eu-LISA è responsabile dello sviluppo del router, compresi gli eventuali adeguamenti tecnici necessari per il suo funzionamento.
Lo sviluppo del router comporta l'elaborazione e l'applicazione delle specifiche tecniche, il collaudo e la gestione e il coordinamento generale della fase di sviluppo.
3. eu-LISA garantisce che il router sia progettato e sviluppato in modo tale da fornire le funzionalità specificate nel presente regolamento ed entri in funzione non appena possibile dopo l'adozione da parte della Commissione degli atti di esecuzione e delegati di cui all'articolo 5, paragrafo 7, all'articolo 6, paragrafo 3, all'articolo 9, paragrafo 6, all'articolo 23, paragrafo 2, e all'articolo 24, paragrafo 2, del presente regolamento e dopo l'esecuzione di una valutazione d'impatto sulla protezione dei dati conformemente all'articolo 35 del regolamento (UE) 2016/679.
4. eu-LISA fornisce alle autorità di frontiera competenti, alle altre autorità competenti degli Stati membri e ai vettori aerei una serie di prove di conformità. La serie di prove di conformità comprende un ambiente di prova, un simulatore, serie di dati di prova e un piano di prova. La serie di prove di conformità consente il collaudo generale del router di cui al paragrafo 5 e rimane a disposizione una volta completato tale collaudo.
5. Quando ritiene completata la fase di sviluppo, eu-LISA effettua senza indebito ritardo un collaudo generale del router in cooperazione con le autorità di frontiera competenti e altre autorità competenti degli Stati membri e i vettori aerei, e ne comunica l'esito alla Commissione.
Compiti di eu-LISA relativi all'hosting e alla gestione tecnica del router
1. eu-LISA ospita il router nei suoi siti tecnici.
2. eu-LISA è responsabile della gestione tecnica del router, compresi la manutenzione e gli adeguamenti tecnici, in modo tale da garantire che i dati API siano trasmessi in modo sicuro, efficace e rapido tramite il router a norma del presente regolamento.
La gestione tecnica del router consiste nell'esecuzione dell'insieme dei compiti e nell'attuazione delle soluzioni tecniche necessari per il suo corretto funzionamento a norma del presente regolamento in modo ininterrotto, 24 ore su 24 e 7 giorni su 7. Comprende la manutenzione e gli adeguamenti tecnici necessari per garantire che il router funzioni a un livello di qualità tecnica soddisfacente, specialmente per quanto riguarda la disponibilità, l'esattezza e l'affidabilità della trasmissione dei dati API, conformemente alle specifiche tecniche e, per quanto possibile, in linea con le esigenze operative delle autorità di frontiera competenti e dei vettori aerei.
3. Il personale di eu-LISA non ha accesso ad alcun tipo di dati API trasmessi tramite il router. Tale divieto non impedisce tuttavia al personale di eu-LISA di avere accesso a tali dati nella misura strettamente necessaria per la manutenzione e la gestione tecnica del router.
4. Fatti salvi il paragrafo 3 del presente articolo e l'articolo 17 dello statuto dei funzionari dell'Unione europea di cui al regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio (1), eu-LISA applica ai membri del proprio personale che operano con i dati API trasmessi tramite il router adeguate norme in materia di segreto professionale o altri obblighi di riservatezza equivalenti. Tale obbligo vincola il personale anche dopo che ha lasciato l'incarico o cessato di lavorare, ovvero portato a termine le proprie attività.
GU L 56 del 4.3.1968.
Compiti di supporto di eu-LISA relativi al router
1. eu-LISA, su richiesta delle autorità di frontiera competenti, di altre autorità competenti degli Stati membri o di vettori aerei, impartisce loro una formazione sull'uso tecnico del router nonché sulla connessione al router e sull'integrazione con quest'ultimo.
2. eu-LISA fornisce supporto alle autorità di frontiera competenti per quanto riguarda il ricevimento dei dati API tramite il router a norma del presente regolamento, in particolare per quanto riguarda l'applicazione degli articoli 14 e 23.
3. A norma dell'articolo 24, paragrafo 1, e avvalendosi delle prove di conformità di cui all'articolo 25, paragrafo 4, eu-LISA effettua prove del trasferimento dei dati API al router in cooperazione con i vettori aerei.
Consiglio di gestione del programma
1. Entro il 28 gennaio 2025 il consiglio di amministrazione di eu-LISA istituisce un consiglio di gestione del programma. Questo è costituito da 10 membri:
a) sette membri nominati dal consiglio di amministrazione di eu-LISA tra i suoi membri o supplenti;
b) il presidente del gruppo consultivo API-PNR di cui all'articolo 29;
c) un membro del personale di eu-LISA nominato dal suo direttore esecutivo; e
d) un membro nominato dalla Commissione.
Per quanto riguarda la lettera a), i membri nominati dal consiglio di amministrazione di eu-LISA sono eletti solo tra i suoi membri o i suoi supplenti degli Stati membri cui si applica il presente regolamento.
2. Il consiglio di gestione del programma elabora il proprio regolamento interno che deve essere adottato dal consiglio di amministrazione di eu-LISA.
La presidenza è esercitata da uno Stato membro che è membro del consiglio di gestione del programma.
3. Il consiglio di gestione del programma sorveglia l'effettivo adempimento dei compiti di eu-LISA relativi alla progettazione e allo sviluppo del router conformemente all'articolo 25.
Su richiesta del consiglio di gestione del programma, eu-LISA fornisce informazioni dettagliate e aggiornate sulla progettazione e sullo sviluppo del router, comprese le risorse assegnate da eu-LISA.
4. Il consiglio di gestione del programma presenta periodicamente, almeno tre volte a trimestre, relazioni scritte sui progressi compiuti nella progettazione e nello sviluppo del router al consiglio di amministrazione di eu-LISA.
5. Il consiglio di gestione del programma non ha potere decisionale, né mandato di rappresentare il consiglio di amministrazione di eu-LISA o i suoi membri.
6. Il consiglio di gestione del programma cessa di esistere alla data di applicazione del presente regolamento di cui all'articolo 46, secondo comma.
Gruppo consultivo API-PNR
1. A partire dal 28 gennaio 2025, il gruppo consultivo API-PNR, istituito a norma dell'articolo 27, paragrafo 1, lettera d sexies), del regolamento (UE) 2018/1726, fornisce al consiglio di amministrazione di eu-LISA le competenze necessarie relative all'API-PNR, in particolare nel contesto della preparazione del suo programma di lavoro annuale e della sua relazione annuale di attività.
2. Ove disponibili, eu-LISA fornisce al gruppo consultivo API-PNR versioni, anche intermedie, delle specifiche tecniche e delle serie di prove di conformità di cui all'articolo 25, paragrafi 1, 2 e 4.
3. Il gruppo consultivo API-PNR svolge le seguenti funzioni:
a) fornisce consulenza a eu-LISA e al consiglio di gestione del programma in merito alla progettazione e allo sviluppo del router conformemente all'articolo 25;
b) fornisce consulenza a eu-LISA in merito all'hosting e alla gestione tecnica del router conformemente all'articolo 26;
c) fornisce il proprio parere al consiglio di gestione del programma, su sua richiesta, sui progressi della progettazione e dello sviluppo del router, compresi i progressi relativi alle specifiche tecniche e alle serie di prove di conformità di cui al paragrafo 2.
4. Il gruppo consultivo API-PNR non ha potere decisionale né mandato di rappresentare il consiglio di amministrazione di eu-LISA o i suoi membri.
Gruppo di contatto API-PNR
1. Entro la data di applicazione del presente regolamento di cui all'articolo 46, secondo comma, il consiglio di amministrazione di eu-LISA istituisce un gruppo di contatto API-PNR.
2. Il gruppo di contatto API-PNR consente la comunicazione tra le autorità competenti degli Stati membri e i vettori aerei su questioni tecniche relative ai rispettivi compiti e obblighi ai sensi del presente regolamento.
3. Il gruppo di contatto API-PNR è composto da rappresentanti delle autorità competenti degli Stati membri e dei vettori aerei, dal presidente del gruppo consultivo API-PNR e da esperti di eu-LISA.
4. Il consiglio di amministrazione di eu-LISA stabilisce il regolamento interno del gruppo di contatto API-PNR, previo parere del gruppo consultivo API-PNR.
5. Ove ritenuto necessario, il consiglio di amministrazione di eu-LISA può anche istituire sottogruppi del gruppo di contatto API-PNR per discutere specifiche questioni tecniche relative ai rispettivi compiti e obblighi delle autorità competenti degli Stati membri e dei vettori aerei a norma del presente regolamento.
6. Il gruppo di contatto API-PNR, compresi i suoi sottogruppi, non ha potere decisionale né mandato di rappresentare il consiglio di amministrazione di eu-LISA o i suoi membri.
Gruppo di esperti API
1. Entro la data di applicazione del presente regolamento di cui all'articolo 46, secondo comma, la Commissione istituisce un gruppo di esperti API conformemente alle norme orizzontali sulla creazione e il funzionamento dei gruppi di esperti della Commissione.
2. Il gruppo di esperti API consente la comunicazione tra le autorità competenti degli Stati membri e tra le autorità competenti degli Stati membri e i vettori aerei su questioni politiche relative ai rispettivi compiti e obblighi ai sensi del presente regolamento, anche in relazione alle sanzioni di cui all'articolo 37.
3. Il gruppo di esperti API è presieduto dalla Commissione e costituito conformemente alle norme orizzontali per la creazione e il funzionamento dei gruppi di esperti della Commissione. E' composto da rappresentanti delle autorità competenti degli Stati membri, da rappresentanti dei vettori aerei e da esperti di eu-LISA. Ove pertinente per lo svolgimento dei suoi compiti, il gruppo di esperti API può invitare i portatori di interessi pertinenti, in particolare rappresentanti del Parlamento europeo, del Garante europeo della protezione dei dati e delle autorità nazionali di controllo indipendenti, a partecipare ai suoi lavori.
4. Il gruppo di esperti API svolge i propri compiti nel rispetto del principio della trasparenza. La Commissione pubblica sul suo sito web i processi verbali delle riunioni del gruppo di esperti e altri documenti pertinenti.
Spese a carico di eu-LISA, del Garante europeo della protezione dei dati, delle autorità nazionali di controllo e degli Stati membri
1. Le spese sostenute da eu-LISA per l'istituzione e il funzionamento del router a norma del presente regolamento sono a carico del bilancio generale dell'Unione.
2. Le spese sostenute dagli Stati membri per l'attuazione del presente regolamento, in particolare per la connessione e l'integrazione con il router di cui all'articolo 23 sono a carico del bilancio generale dell'Unione, conformemente alle norme di ammissibilità e ai tassi di cofinanziamento stabiliti negli atti giuridici dell'Unione applicabili.
3. Le spese sostenute dal Garante europeo della protezione dei dati in relazione ai compiti affidatigli a norma del presente regolamento sono a carico del bilancio generale dell'Unione.
4. Le spese sostenute dalle autorità nazionali di controllo indipendenti in relazione ai compiti loro affidati a norma del presente regolamento sono a carico degli Stati membri.
Responsabilità relative al router
Lo Stato membro o il vettore aereo è responsabile di un danno arrecato al router conseguente all'inosservanza degli obblighi di cui al presente regolamento, come previsto dal diritto nazionale o dell'Unione applicabile, a meno che e nella misura in cui si dimostri che eu-LISA, un altro Stato membro o un altro vettore aereo abbia omesso di adottare provvedimenti ragionevolmente idonei a prevenire il danno o ridurne al minimo l'impatto.
Entrata in funzione del router
La Commissione determina senza indebito ritardo, mediante un atto di esecuzione, la data a partire dalla quale il router entra in funzione, una volta che eu-LISA le abbia comunicato il positivo completamento del collaudo generale del router di cui all'articolo 25, paragrafo 5. Tale atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 43, paragrafo 2.
La Commissione fissa la data di cui al primo comma entro 30 giorni dalla data di adozione dell'atto di esecuzione.
Uso volontario del router in applicazione della direttiva 2004/82/CE
1. I vettori aerei sono autorizzati a usare il router per trasmettere le informazioni di cui all'articolo 3, paragrafi 1 e 2, della direttiva 2004/82/CE a una o più delle autorità responsabili ivi indicate, conformemente a tale direttiva, a condizione che lo Stato membro interessato abbia acconsentito a tale uso e a decorrere da una data appropriata da esso stabilita. Tale Stato membro acconsente solo dopo aver accertato che, in particolare per quanto riguarda sia la connessione delle proprie autorità responsabili con il router sia quella del vettore aereo interessato, le informazioni possono essere trasmesse in modo lecito, sicuro, efficace e rapido.
2. Il vettore aereo che inizia a usare il router conformemente al paragrafo 1 del presente articolo continua a usarlo per trasmettere tali informazioni alle autorità responsabili dello Stato membro fino alla data di applicazione del presente regolamento di cui all'articolo 46, secondo comma. Tuttavia tale uso è interrotto, a decorrere da una data appropriata stabilita da tale Stato membro, qualora questo ritenga che sussistano ragioni oggettive che richiedono detta interruzione e ne abbia informato il vettore aereo.
3. Lo Stato membro in questione:
a) consulta eu-LISA prima di acconsentire all'uso volontario del router in conformità del paragrafo 1;
b) salvo in situazioni di urgenza debitamente giustificata, offre al vettore aereo interessato la possibilità di presentare osservazioni sulla sua intenzione di interrompere tale uso a norma del paragrafo 2 e, se del caso, consulta eu-LISA al riguardo;
c) informa immediatamente eu-LISA e la Commissione dell'accettazione e dell'eventuale interruzione di tale uso, fornendo tutte le informazioni necessarie, tra cui, a seconda dei casi, la data di inizio dell'uso e la data e i motivi dell'interruzione.
Autorità nazionale di controllo delle API
1. Gli Stati membri designano una o più autorità nazionali di controllo delle API incaricate di monitorare, nel loro territorio, l'applicazione delle disposizioni del presente regolamento da parte dei vettori aerei e di garantirne l'osservanza.
2. Gli Stati membri provvedono affinché le autorità nazionali di controllo delle API dispongano di tutti i mezzi e i poteri di indagine e di esecuzione necessari per svolgere i loro compiti a norma del presente regolamento, anche imponendo, se del caso, le sanzioni di cui all'articolo 37. Gli Stati membri provvedono affinché l'esercizio dei poteri conferiti all'autorità nazionale di controllo delle API sia soggetto a garanzie adeguate nel rispetto dei diritti fondamentali garantiti dal diritto dell'Unione.
3. Entro la data di applicazione del presente regolamento di cui all'articolo 46, secondo comma, gli Stati membri comunicano alla Commissione il nome e i dati di contatto delle autorità designate a norma del paragrafo 1 del presente articolo. Essi informano la Commissione senza ritardo di successivi cambiamenti o modifiche di quanto sopra.
4. Il presente articolo non pregiudica i poteri delle autorità di controllo di cui all'articolo 51 del regolamento (UE) 2016/679.
Sanzioni
1. Gli Stati membri stabiliscono le norme relative alle sanzioni applicabili in caso di violazione del presente regolamento e adottano tutte le misure necessarie per assicurarne l'applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive.
2. Gli Stati membri notificano tali norme e misure alla Commissione entro la data di applicazione del presente regolamento di cui all'articolo 46, secondo comma, e provvedono poi a dare immediata notifica delle eventuali modifiche successive.
3. Gli Stati membri provvedono a che, nel decidere se imporre una sanzione e nel determinarne il tipo e il livello, le autorità nazionali di controllo delle API tengano conto di tutte le circostanze pertinenti, che possono comprendere:
a) la natura, la gravità e la durata della violazione;
b) il grado di responsabilità del vettore aereo;
c) le precedenti infrazioni da parte del vettore aereo;
d) il livello generale di cooperazione del vettore aereo con le autorità competenti;
e) le dimensioni del vettore aereo, ad esempio il numero annuo di passeggeri trasportati;
f) se siano già state applicate sanzioni da altre autorità nazionali di controllo delle API allo stesso vettore aereo per la medesima violazione.
4. Gli Stati membri garantiscono che il reiterato mancato trasferimento dei dati API conformemente all'articolo 6, paragrafo 1, sia soggetto a sanzioni pecuniarie proporzionate fino al 2 % del fatturato globale del vettore aereo per l'esercizio precedente. Gli Stati membri provvedono affinché l'inosservanza di altri obblighi di cui al presente regolamento sia soggetta a sanzioni proporzionate, anche pecuniarie.
Statistiche
1. Al fine di sostenere l'attuazione e la verifica dell'applicazione del presente regolamento e sulla base delle informazioni statistiche di cui al paragrafo 5, eu-LISA pubblica ogni trimestre statistiche sul funzionamento del router e sull'osservanza, da parte dei vettori aerei, degli obblighi previsti dal presente regolamento. Tali statistiche non consentono l'identificazione delle persone fisiche.
2. Per le finalità di cui al paragrafo 1, il router trasmette automaticamente i dati elencati al paragrafo 5 al CRRS.
3. Ai fini dell'attuazione e della verifica dell'applicazione del presente regolamento, ogni anno eu-LISA compila i dati statistici in una relazione annuale relativa all'anno precedente. eu-LISA pubblica la relazione annuale e la trasmette al Parlamento europeo, al Consiglio, alla Commissione, al Garante europeo della protezione dei dati, all'Agenzia europea della guardia di frontiera e costiera e alle autorità nazionali di controllo delle API di cui all'articolo 36. La relazione annuale non divulga metodi di lavoro riservati né compromette le indagini delle autorità competenti degli Stati membri in corso.
4. Su richiesta della Commissione, eu-LISA le fornisce statistiche su aspetti specifici connessi all'attuazione del presente regolamento nonché le statistiche di cui al paragrafo 3.
5. Il CRRS fornisce a eu-LISA le seguenti informazioni statistiche necessarie ai fini delle relazioni di cui all'articolo 45 e dell'elaborazione di statistiche conformemente al presente articolo, senza che tali statistiche sui dati API consentano l'identificazione dei passeggeri interessati:
a) la cittadinanza, il sesso e l'anno di nascita del passeggero;
b) la data e il primo punto di imbarco, la data e l'aeroporto di partenza e la data e l'aeroporto di arrivo;
c) il tipo di documento di viaggio, il codice a tre lettere del paese di rilascio e la data di scadenza della validità del documento di viaggio;
d) il numero di passeggeri registrati sullo stesso volo;
e) il codice del vettore aereo che opera il volo;
f) se il volo è di linea o non di linea;
g) se i dati API sono stati trasferiti immediatamente dopo la chiusura del volo;
h) se i dati personali del passeggero sono esatti, completi e aggiornati;
i) i mezzi tecnici utilizzati per raccogliere i dati API.
6. Ai fini delle relazioni di cui all'articolo 45 e dell'elaborazione di statistiche conformemente al presente articolo, eu-LISA conserva i dati di cui al paragrafo 5 del presente articolo nel CRRS. Essa conserva tali dati per un periodo di cinque anni in conformità del paragrafo 2, assicurandosi nel contempo che i dati non consentano l'identificazione dei passeggeri interessati. Il CRRS fornisce al personale debitamente autorizzato delle autorità di frontiera competenti e di altre autorità competenti degli Stati membri relazioni e statistiche personalizzabili sui dati API di cui al paragrafo 5 del presente articolo ai fini dell'attuazione e della verifica dell'applicazione del presente regolamento.
7. L'utilizzo dei dati di cui al paragrafo 5 del presente articolo non comporta la profilazione delle persone di cui all'articolo 22 del regolamento (UE) 2016/679 né una discriminazione nei confronti delle persone per i motivi elencati all'articolo 21 della Carta. I dati di cui al paragrafo 5 del presente articolo non sono utilizzati per il confronto o la comparazione con dati personali o per la combinazione con dati personali.
8. Le procedure poste in essere da eu-LISA per monitorare lo sviluppo e il funzionamento del router di cui all'articolo 39, paragrafo 2, del regolamento (UE) 2019/817 comprendono la possibilità di produrre statistiche periodiche per assicurare tale monitoraggio.
Manuale pratico
La Commissione, in stretta cooperazione con le autorità competenti e altre autorità pertinenti degli Stati membri, i vettori aerei e gli organi e organismi competenti dell'Unione, redige e mette a disposizione del pubblico un manuale pratico contenente orientamenti, raccomandazioni e buone prassi per l'attuazione del presente regolamento, anche per quanto riguarda il rispetto dei diritti fondamentali e le sanzioni di cui all'articolo 37.
Il manuale pratico tiene conto degli altri manuali pertinenti.
La Commissione adotta il manuale pratico sotto forma di raccomandazione.
Abrogazione della direttiva 2004/82/CE
La direttiva 2004/82/CE è abrogata a decorrere dalla data di applicazione del presente regolamento di cui all'articolo 46, secondo comma.
Modifiche del regolamento (UE) 2018/1726
Il regolamento (UE) 2018/1726 è così modificato:
1) è inserito l'articolo seguente:
«Articolo 13 bis
Compiti relativi al router
Con riguardo ai regolamenti (UE) 2025/12 (*1) e (UE) 2025/13 (*2) del Parlamento europeo e del Consiglio, l'Agenzia svolge i compiti relativi al router che le sono conferiti da tali regolamenti.
_________________
(*1) Regolamento (UE) 2025/12 del Parlamento europeo e del Consiglio, del 19 dicembre 2024, sulla raccolta e sul trasferimento delle informazioni anticipate sui passeggeri al fine di migliorare e agevolare le verifiche alle frontiere esterne, che modifica i regolamenti (UE) 2018/1726 e (UE) 2019/817 e abroga la direttiva 2004/82/CE del Consiglio (GU L, 2025/12, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/12/oj)."
(*2) Regolamento (UE) 2025/13 del Parlamento europeo e del Consiglio, del 19 dicembre 2024, sulla raccolta e sul trasferimento di informazioni anticipate sui passeggeri a fini di prevenzione, accertamento, indagine e azione penale riguardo ai reati di terrorismo e ai reati gravi, e che modifica il regolamento (UE) 2019/818 (GU L, 2025/13, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/13/oj).»;"
2) all'articolo 17, il paragrafo 3 è sostituito dal seguente:
«3. L'Agenzia ha sede a Tallinn (Estonia).
I compiti relativi allo sviluppo e alla gestione operativa di cui all'articolo 1, paragrafi 4 e 5, agli articoli da 3 a 9 e agli articoli 11 e 13 bis sono svolti nel sito tecnico di Strasburgo (Francia).
Un sito di riserva in grado di assicurare il funzionamento di un sistema IT su larga scala in caso di guasto di tale sistema è installato a Sankt Johann im Pongau (Austria).»
;
3) all'articolo 19, il paragrafo 1 è così modificato:
a) è inserito il punto seguente:
«ee ter) adotta relazioni sulla situazione dello sviluppo del router in conformità dell'articolo 45, paragrafo 2 del regolamento (UE) 2025/12;»
;
b) al punto ff), il punto vi) è sostituito dal seguente:
«vi) delle componenti dell'interoperabilità in conformità dell'articolo 78, paragrafo 3, del regolamento (UE) 2019/817 e dell'articolo 74, paragrafo 3, del regolamento (UE) 2019/818, e del router in conformità dell'articolo 80, paragrafo 5, del regolamento (UE) 2024/982 e dell'articolo 45, paragrafo 5, del regolamento (UE) 2025/12;»
;
c) la lettera hh) è sostituita dalla seguente:
«hh) adotta osservazioni formali sulle relazioni del Garante europeo della protezione dei dati relative ai suoi controlli in conformità dell'articolo 56, paragrafo 2, del regolamento (UE) 2018/1861, dell'articolo 42, paragrafo 2, del regolamento (CE) n. 767/2008, dell'articolo 31, paragrafo 2, del regolamento (UE) n. 603/2013, dell'articolo 56, paragrafo 2, del regolamento (UE) 2017/2226, dell'articolo 67 del regolamento (UE) 2018/1240, dell'articolo 29, paragrafo 2, del regolamento (UE) 2019/816, dell'articolo 52 dei regolamenti (UE) 2019/817 e (UE) 2019/818, dell'articolo 58, paragrafo 1, del regolamento (UE) 2024/982 e dell'articolo 22, paragrafo 3, del regolamento (UE) 2025/12. e assicura adeguato seguito a tali controlli;»
;
4) all'articolo 27, paragrafo 1, è inserito il punto seguente:
«d sexies) gruppo consultivo API-PNR.».
Modifica del regolamento (UE) 2019/817
All'articolo 39 del regolamento (UE) 2019/817, i paragrafi 1 e 2 sono sostituiti dai seguenti:
«1. E' istituito un archivio centrale di relazioni e statistiche (CRRS) al fine di sostenere gli obiettivi dell'EES, del VIS, dell'ETIAS e del SIS, in conformità dei rispettivi strumenti giuridici che governano tali sistemi, e fornire dati statistici intersistemici e relazioni analitiche a scopi strategici, operativi e di qualità dei dati. Il CRRS sostiene inoltre gli obiettivi del regolamento (UE) 2025/12 del Parlamento europeo e del Consiglio (*3).
2. eu-LISA istituisce, attua e ospita nei suoi siti tecnici il CRRS contenente i dati e le statistiche di cui all'articolo 63 del regolamento (UE) 2017/2226, all'articolo 17 del regolamento (CE) n. 767/2008, all'articolo 84 del regolamento (UE) 2018/1240, all'articolo 60 del regolamento (UE) 2018/1861 e all'articolo 16 del regolamento (UE) 2018/1860, separati per logica dal sistema di informazione dell'UE. eu LISA raccoglie anche i dati e le statistiche dal router di cui all'articolo 38, paragrafo 1, del regolamento (UE) 2025/12. L'accesso al CRRS è concesso mediante un accesso controllato e sicuro e specifici profili di utente, unicamente a fini di elaborazione di relazioni e statistiche, alle autorità di cui all'articolo 63 del regolamento (UE) 2017/2226, all'articolo 17 del regolamento (CE) n. 767/2008, all'articolo 84 del regolamento (UE) 2018/1240, all'articolo 60 del regolamento (UE) 2018/1861 e all'articolo 45, paragrafo 2, del regolamento (UE) 2025/12.
_________________
(*3) Regolamento (UE) 2025/12 del Parlamento europeo e del Consiglio, del 19 dicembre 2024, sulla raccolta e sul trasferimento delle informazioni anticipate sui passeggeri al fine di migliorare e agevolare le verifiche alle frontiere esterne, che modifica i regolamenti (UE) 2018/1726 e (UE) 2019/817 e abroga la direttiva 2004/82/CE del Consiglio (GU L, 2025/12, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/12/oj).».
Procedura di comitato
1. La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.
2. Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011. Qualora il comitato non esprima alcun parere, la Commissione non adotta il progetto di atto di esecuzione e si applica l'articolo 5, paragrafo 4, terzo comma, del regolamento (UE) n. 182/2011.
Esercizio della delega
1. Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.
2. Il potere di adottare atti delegati di cui all'articolo 5, paragrafi 6 e 7, all'articolo 6, paragrafo 3, e all'articolo 9, paragrafo 6, è conferito alla Commissione per un periodo di cinque anni a decorrere dal 28 gennaio 2025. La Commissione elabora una relazione sulla delega di potere al più tardi nove mesi prima della scadenza del periodo di cinque anni. La delega di potere è tacitamente prorogata per periodi di identica durata, a meno che il Parlamento europeo o il Consiglio non si oppongano a tale proroga al più tardi tre mesi prima della scadenza di ciascun periodo.
Per quanto riguarda un atto delegato adottato a norma dell'articolo 5, paragrafo 6, se il Parlamento europeo o il Consiglio hanno sollevato obiezioni a norma del paragrafo 6 del presente articolo, essi non possono opporsi alla proroga tacita di cui al primo comma del presente paragrafo.
3. La delega di potere di cui all'articolo 5, paragrafo 7, all'articolo 6, paragrafo 3, e all'articolo 9, paragrafo 6, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.
4. Prima dell'adozione dell'atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016.
5. Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.
6. L'atto delegato adottato ai sensi dell'articolo 5, paragrafi 6 o 7, dell'articolo 6, paragrafo 3, o dell'articolo 9, paragrafo 6, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.
Monitoraggio e valutazione
1. eu-LISA provvede affinché siano istituite procedure per monitorare lo sviluppo del router rispetto agli obiettivi relativi alla pianificazione e ai costi, nonché per monitorare il funzionamento del router rispetto agli obiettivi prefissati in termini di risultati tecnici, di rapporto costi/benefici, di sicurezza e di qualità del servizio.
2. Entro il 29 gennaio 2026 e successivamente ogni anno durante la fase di sviluppo del router, eu-LISA elabora una relazione sullo stato di sviluppo del router e la presenta al Parlamento europeo e al Consiglio. La relazione include informazioni dettagliate sui costi sostenuti e sui rischi che possono incidere sulle spese complessive che sono a carico del bilancio generale dell'Unione a norma dell'articolo 32.
3. Una volta entrato in funzione il router, eu-LISA elabora e presenta al Parlamento europeo e al Consiglio una relazione che illustra nel dettaglio il modo in cui sono stati conseguiti gli obiettivi, in particolare quelli relativi alla pianificazione e ai costi, giustificando eventuali scostamenti.
4. Entro il 29 gennaio 2029 e successivamente ogni quattro anni, la Commissione elabora una relazione contenente una valutazione globale del presente regolamento, anche sulla necessità e il valore aggiunto della raccolta dei dati API, comprendente una valutazione di quanto segue:
a) l'applicazione del presente regolamento;
b) la misura in cui il presente regolamento ha conseguito i suoi obiettivi;
c) l'impatto del presente regolamento sui diritti fondamentali tutelati dal diritto dell'Unione;
d) l'impatto del presente regolamento sull'esperienza di viaggio dei passeggeri legittimi;
e) l'impatto del presente regolamento sulla competitività del settore dell'aviazione e gli oneri a carico delle imprese;
f) la qualità dei dati trasmessi dal router alle autorità di frontiera competenti;
g) le prestazioni del router nei confronti delle autorità di frontiera competenti.
Ai fini della lettera e) del primo comma, la relazione della Commissione esamina inoltre l'interazione del presente regolamento con altri pertinenti atti legislativi dell'Unione, in particolare i regolamenti (CE) n. 767/2008, (UE) 2017/2226 e (UE) 2018/1240, al fine di valutare l'impatto complessivo sui vettori aerei degli obblighi di comunicazione correlati, individuare le disposizioni che potrebbero essere aggiornate e semplificate, se del caso, per attenuare l'onere che grava sui vettori aerei e prendere in considerazione le azioni e le misure che potrebbero essere adottate per ridurre la pressione sui costi totali per i vettori aerei.
5. La Commissione presenta la relazione di valutazione al Parlamento europeo, al Consiglio, al Garante europeo della protezione dei dati e all'Agenzia dell'Unione europea per i diritti fondamentali. Se del caso, alla luce della valutazione condotta, la Commissione presenta al Parlamento europeo e al Consiglio una proposta legislativa intesa a modificare il presente regolamento.
6. Gli Stati membri e i vettori aerei comunicano a eu-LISA e alla Commissione, su richiesta, le informazioni necessarie per redigere le relazioni di cui ai paragrafi 2, 3 e 4, quali i dati personali relativi ai risultati delle verifiche preliminari nei sistemi di informazione dell'Unione e nelle banche dati nazionali effettuate alle frontiere esterne usando i dati API. In particolare, gli Stati membri forniscono informazioni quantitative e qualitative in merito alla raccolta dei dati API da un punto di vista operativo. Le informazioni fornite non includono dati personali. Gli Stati membri possono astenersi dal fornire tali informazioni se necessario, e nella debita misura, per non divulgare metodi di lavoro riservati o non compromettere le indagini delle autorità di frontiera competenti in corso. La Commissione garantisce che tutte le informazioni riservate comunicate siano adeguatamente protette.
Entrata in vigore e applicazione
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Esso si applica a decorrere da due anni dopo l'entrata in funzione del router, specificata dalla Commissione conformemente all'articolo 34.
Tuttavia:
a) l'articolo 5, paragrafi 7 e 8, l'articolo 6, paragrafo 3, l'articolo 9, paragrafo 6, l'articolo 13, paragrafo 4, l'articolo 14, paragrafo 5, l'articolo 18, paragrafo 4, l'articolo 23, paragrafo 2, l'articolo 24, paragrafo 2, gli articoli 25, 28 e 29, l'articolo 32, paragrafo 1, e gli articoli 34, 43 e 44 si applicano a decorrere dal 28 gennaio 2025;
b) l'articolo 5, paragrafo 6, gli articoli 12 e 15, l'articolo 17, paragrafi 1, 3 e 4, l'articolo 18, paragrafi 1, 2 e 3, e gli articoli 19, 20, 26, 27, 33 e 35 si applicano a decorrere dalla data di entrata in funzione del router, determinata dalla Commissione conformemente all'articolo 34.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile negli Stati membri conformemente ai trattati.
Fatto a Bruxelles, il 19 dicembre 2024
Per il Parlamento europeo
La presidente
R. METSOLA
Per il Consiglio
Il presidente
BO'KA J.