1. Introduzione

La Commissione europea si impegna a proteggere i dati personali e a rispettare la privacy di ciascuno. La Commissione europea raccoglie dati personali e li sottopone a ulteriore trattamento conformemente al regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001.

Scopo di questa informativa è spiegare i motivi per cui vengono trattati i tuoi dati personali, il modo in cui sono raccolti, gestiti, protetti i dati personali di tutti, quale uso è fatto delle informazioni ricavate e quali sono i tuoi diritti al riguardo. Più oltre troverai i dati di contatto del titolare del trattamento, cui potrai rivolgerti per esercitare i tuoi diritti, del responsabile della protezione dei dati e del Garante europeo della protezione dei dati.

La presente informativa sulla privacy riguarda il trattamento dei dati personali da parte della Commissione europea nelle domande iniziali e di conferma di accesso ai documenti presentate a norma del regolamento (CE) n. 1049/2001. Il trattamento è svolto dall'unità "Trasparenza, gestione documentale e accesso ai documenti" presso il Segretariato generale (responsabile orizzontale del trattamento dei dati per conto della Commissione europea) e dalle unità incaricate di trattare le domande iniziali di accesso ai documenti presso i servizi competenti della Commissione (responsabili de facto del trattamento dei dati per conto della Commissione europea).

2. Perché e come vengono trattati i dati personali?

Finalità del trattamento dei dati: la Commissione europea raccoglie e utilizza i dati personali per poter trattare le richieste di accesso ai documenti presentate ai sensi del regolamento (CE) n. 1049/2001 entro i termini di legge prescritti e per redigere una relazione statistica annuale, come previsto dall'articolo 17, paragrafo 1, del suddetto regolamento. I dati personali possono essere trattati al fine di dar seguito a un'indagine del Mediatore europeo o in caso di procedimenti giudiziari.

I tuoi dati personali non saranno utilizzati per un processo decisionale automatizzato, compresa la profilazione.

3. Quali sono le basi giuridiche che disciplinano il trattamento dei dati personali?

La Commissione europea tratta i tuoi dati personali perché:

  • il trattamento è necessario per l'esecuzione di un compito svolto nell'interesse pubblico (articolo 5, paragrafo 1, lettera a), del regolamento (UE) n. 2018/1725) e
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetta la Commissione europea (articolo 5, paragrafo 1, lettera b), del regolamento (UE) 2018/1725).

Inoltre, il trattamento dei dati personali non obbligatori forniti nella richiesta di accesso ai documenti (cfr. sezione 4) si basa sul tuo consenso (articolo 5, paragrafo 1, lettera d), del regolamento (UE) 2018/1725).

Il trattamento a norma dell'articolo 5, paragrafo 1, lettere a) e b), deve essere basato sul diritto dell'Unione, segnatamente sull'articolo 15, paragrafo 3, del trattato sul funzionamento dell'Unione europea e sul regolamento (CE) n. 1049/2001.

4. Quali dati vengono raccolti e trattati?

I dati personali raccolti e successivamente trattati sono:

a) dati personali forniti dal richiedente tramite il modulo online:

  • dati obbligatori: nome e cognome, recapiti (e-mail e indirizzo postale, paese di residenza), oggetto della richiesta (può contenere dati personali nel caso in cui si riferisca a una persona fisica identificata o identificabile);
  • dati facoltativi: altri recapiti (numeri di telefono e di fax), categoria e organizzazione;

b) dati personali forniti dal richiedente nella domanda presentata in un formato elettronico diverso o cartaceo;

c) dati personali contenuti nei documenti richiesti, qualora siano resi pubblici ai sensi del regolamento (CE) n. 1049/2001, nonché nella risposta alla domanda e nella corrispondenza intercorsa con il richiedente.

d) in caso di ragionevoli dubbi circa l'identità della persona fisica che presenta la domanda, la Commissione europea può chiedere al richiedente di fornire una copia di un documento di identificazione (ad esempio il passaporto o la carta d'identità) al fine di verificare la sua identità, nelle seguenti circostanze eccezionali:

  • se i documenti oggetto della domanda contengono i dati personali del richiedente e al richiedente è consentito l'accesso individuale a tali documenti;
  • se vi sono motivi legittimi per ritenere che il diritto di accesso derivante dal regolamento (CE) n. 1049/2001 sia utilizzato impropriamente dal richiedente in questione.

Il documento di identificazione deve contenere il nome del richiedente e, se del caso, il suo indirizzo; tutti gli altri dati, come la foto o le caratteristiche personali, possono essere occultati.

5. Per quanto tempo sono conservati i dati personali?

La Commissione europea conserva i dati personali solo per il tempo necessario a realizzare gli obiettivi per cui sono stati raccolti o per il loro successivo trattamento, vale a dire un periodo non superiore ai cinque anni dopo la chiusura del fascicolo.

Nella fase iniziale un fascicolo è considerato chiuso dopo che la decisione iniziale della Commissione europea è divenuta definitiva (non è stata presentata domanda di conferma), a meno che un seguito non sia richiesto da un'indagine del Mediatore europeo.

In questo caso, un fascicolo è considerato chiuso se il Mediatore europeo ha chiuso la sua indagine in merito alla denuncia senza la necessità di ulteriori azioni da parte della Commissione europea per quanto riguarda la domanda di accesso ai documenti.

Nella fase di conferma un fascicolo è considerato chiuso dopo che la decisione di conferma della Commissione europea è divenuta definitiva e precisamente quando:

  • il termine per impugnare la decisione presso i tribunali dell'UE è trascorso; oppure
  • la Corte di giustizia ha confermato la validità della decisione di conferma; oppure
  • la Commissione europea ha completato le misure di follow-up stabilite dalla Corte nella sua sentenza.

Nonostante la decisione di conferma sia definitiva, un fascicolo non è considerato chiuso in caso di indagine del Mediatore europeo che richieda ulteriori azioni. In questo caso, un fascicolo è considerato chiuso se il Mediatore europeo ha chiuso la sua indagine in merito alla denuncia senza la necessità di ulteriori azioni da parte della Commissione per quanto riguarda la domanda di accesso ai documenti.

Questo "periodo di conservazione amministrativa" di cinque anni si basa sulla politica di conservazione dei documenti e fascicoli della Commissione europea (compresi i dati personali ivi contenuti) disciplinata dall’elenco comune di conservazione a livello della Commissione per i fascicoli della Commissione europea SEC(2019)900. Si tratta di un documento normativo in forma di lista che fissa i periodi di conservazione per i diversi tipi di documenti della Commissione europea. Tale elenco è stato comunicato al Garante europeo della protezione dei dati.

Il "periodo di conservazione amministrativa" indica il periodo durante il quale i servizi della Commissione europea devono conservare un fascicolo in funzione della sua utilità ai fini amministrativi e degli obblighi statutari e giuridici. Il periodo decorre a partire dall'archiviazione del fascicolo.

Conformemente all’elenco comune di conservazione a livello della Commissione, al termine del "periodo di conservazione amministrativa" i fascicoli relativi alle richieste di accesso ai documenti (e i dati personali ivi contenuti) possono essere trasmessi agli archivi storici della Commissione europea ai fini di documentazione storica (per le operazioni di trattamento dei dati riguardanti gli archivi storici consultare le notifiche DPO-1530.4 ARES-NOMCOM. ARES (Advanced Records System) et NOMCOM (Nomenclature Commune), DPO-3871-3 Notification for the digital archival repository and ARCHISscanning e DPO-2806-5 Gestion des dossiers papier structurés par nom de personnes et transférés aux Archives Historiques).

L'uso delle informazioni contenute nel documento di identificazione di un richiedente (si veda la precedente sezione 4) è rigorosamente limitato: i dati saranno utilizzati esclusivamente per verificare l'identità del richiedente e non saranno conservati oltre il tempo necessario a tale scopo.

6. Come proteggiamo i dati personali?

Tutti i dati in formato elettronico (e-mail, documenti, insiemi di dati caricati, ecc.) vengono archiviati sui server della Commissione europea o dei suoi contraenti. Le loro operazioni sono conformi alla decisione della Commissione (UE, Euratom) 2017/46, del 10 gennaio 2017, sulla sicurezza dei sistemi di comunicazione e informazione della Commissione europea.

I contraenti della Commissione europea sono tenuti al rispetto di una specifica clausola contrattuale ogniqualvolta trattano dati personali per conto della Commissione europea, e degli obblighi di riservatezza derivanti dal recepimento del regolamento generale sulla protezione dei dati negli Stati membri dell'UE.

Per proteggere i dati personali, la Commissione europea ha preso una serie di misure tecniche e organizzative. Tra le misure tecniche figurano interventi mirati alla sicurezza online e a contrastare il rischio di perdita o modifica dei dati o di accesso non autorizzato, tenendo conto dei rischi che presentano il trattamento e la natura dei dati trattati. Le misure organizzative includono il fatto di limitare l'accesso ai dati personali esclusivamente alle persone autorizzate con legittima necessità di sapere ai fini del trattamento specifico.

7. Chi ha accesso ai dati personali e a chi sono divulgati?

L'accesso ai dati personali è consentito al personale autorizzato della Commissione europea incaricato del trattamento e in base al principio della "necessità di sapere". Tale personale è tenuto a rispettare le norme di legge e altri eventuali accordi in materia di riservatezza.

I dati personali indicati nei documenti richiesti possono essere divulgati al pubblico a seguito di una valutazione a norma del regolamento (CE) n. 1049/2001, in combinato disposto con l'articolo 9 del regolamento (UE) 2018/1725. Se risiedi al di fuori dell'UE e la Commissione europea ti consente l'accesso a determinati documenti, i dati personali contenuti in tali documenti ti saranno comunicati soltanto se il trasferimento soddisfa le condizioni di cui al capo V del regolamento (UE) 2018/1725 relativo ai trasferimenti di dati personali verso paesi terzi od organizzazioni internazionali.

Le informazioni personali raccolte sugli utenti che richiedono l'accesso ai documenti non vengono trasmesse a terzi se non

  • in virtù di obblighi giuridici e
  • al fine di trasmettere decisioni della Commissione europea in materia di accesso ai documenti per posta raccomandata tramite il responsabile del trattamento DHL International (con sede in Belgio) (per maggiori informazioni si veda la notifica "DPO-1258 Traitement du courrier" dell'Ufficio per le infrastrutture e la logistica della Commissione europea a Bruxelles).

A norma dell'articolo 3, punto (13), del regolamento (UE) 2018/1725, le autorità pubbliche che possono ricevere dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o di uno Stato membro non sono considerate destinatari. L'ulteriore trattamento di tali dati da parte di queste autorità pubbliche deve essere conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.

Le decisioni della Commissione europea a norma del regolamento (CE) n. 1049/2001 sulle domande di conferma sono adottate mediante Decide (il sistema di informazione a sostegno del processo decisionale della Commissione) e sono rese disponibili sul sistema (non pubblico) VISTA della Commissione europea. Per le informazioni relative al trattamento dei dati personali attraverso Decide e VISTA si vedano i rispettivi registri delle operazioni di trattamento "DPR-EC-00107.1 Decide (information system supporting the Commission decision-making process)" e "DPR-EC-00914.1 VISTA system".

8. Quali sono i tuoi diritti e come puoi esercitarli?

I tuoi diritti di "interessato" sono specificati al capo III (articoli da 14 a 25) del regolamento (UE) 2018/1725. Ai fini di questo trattamento specifico, puoi esercitare i seguenti diritti:

  • diritto di accesso ai dati personali (articolo 17 del regolamento (UE) 2018/1725)
  • diritto di rettifica dei dati personali qualora siano imprecisi o incompleti (articolo 18 del regolamento (UE) 2018/1725)
  • se del caso, diritto di limitare il trattamento dei dati personali (articolo 20 del regolamento (UE) 2018/1725) e diritto alla portabilità dei dati (articolo 22 del regolamento (UE) 2018/1725), e
  • fintanto che non sia ancora stata emessa una risposta alla richiesta di accesso ai documenti, diritto alla cancellazione dei dati personali (articolo 19 del regolamento (UE) 2018/1725) e diritto di opporsi al trattamento dei dati personali per motivi inerenti alla tua situazione particolare (articolo 23 del regolamento (UE) 2018/1725). L'esercizio di questi due diritti comporta la decadenza della relativa richiesta di accesso ai documenti.

Se il trattamento dei dati personali è basato sul tuo consenso (in particolare per quanto riguarda i dati personali non obbligatori come descritto ai precedenti punti 3 e 4), puoi revocare tale consenso in qualsiasi momento dandone notifica al titolare del trattamento. La revoca del consenso non pregiudicherà la liceità del trattamento effettuato prima della revoca.

Puoi esercitare i tuoi diritti contattando il titolare del trattamento dei dati o, in caso di conflitto, il responsabile della protezione dei dati. Se necessario, puoi rivolgerti anche al Garante europeo della protezione dei dati. I loro recapiti sono indicati alla sezione "Contatti".

Se desideri esercitare i tuoi diritti in relazione a uno o più trattamenti specifici, ti preghiamo di darne descrizione (numero di riferimento del registro, come specificato nella sezione 9 "Dove trovare informazioni più dettagliate" sotto) nella tua richiesta.

Le richieste di accesso ai dati personali saranno trattate entro un mese. Eventuali altre richieste di cui sopra saranno evase entro 15 giorni lavorativi dal ricevimento della richiesta da parte del titolare del trattamento dei dati.

9. Contatti

  • Il responsabile (orizzontale) del trattamento dei dati:

Se desideri esercitare i tuoi diritti a norma del regolamento (UE) 2018/1725, se hai osservazioni, domande o questioni che ti preoccupano oppure se desideri proporre reclamo in merito alla raccolta e all'uso dei tuoi dati personali, puoi contattare il titolare del trattamento.

  • Segretariato generale
  • Unità C.1 - Trasparenza, gestione documentale e accesso ai documenti
  • Indirizzo e-mail: Sg-acc-doc@ec.europa.eu
  • Responsabile della protezione dei dati della Commissione europea:

Per le questioni riguardanti il trattamento dei dati personali a norma del regolamento (UE) 2018/1725 è possibile contattare il responsabile della protezione dei dati (DATA-PROTECTION-OFFICER@ec.europa.eu).

  • Garante europeo della protezione dei dati

Hai il diritto di presentare un reclamo al Garante europeo della protezione dei dati (edps@edps.europa.eu) se ritieni che siano stati violati i diritti di cui godi a norma del regolamento (UE) 2018/1725, a seguito di trattamento dei tuoi dati personali a cura del titolare del trattamento.

10. Dove trovare informazioni più dettagliate

Il responsabile della protezione dei dati della Commissione europea pubblica il registro di tutti i trattamenti di dati personali effettuati dalla Commissione che sono stati documentati e gli sono stati notificati. Il registro è accessibile al seguente link: http://ec.europa.eu/dpo-register.

Questo specifico trattamento è stato inserito nel registro pubblico del responsabile della protezione dei dati con il seguente numero di registro: DPR-EC-00793.