Sicurezza sul lavoro: il trattamento dei dati personali nell’ambito dell’Eu-Osha

Sicurezza sul lavoro: il trattamento dei dati personali nell’ambito dell’Eu-Osha è al centro della decisione 2019/15 del Consiglio di amministrazione dell’agenzia europea per la sicurezza e la salute sul lavoro dell’11 dicembre 2019 (in G.U.C.E. L del 31 agosto 2020, n. 282).

Ti occupi di sicurezza sul lavoro? Clicca qui

Il provvedimento fornisce, tra gli altri:

• l'indicazione precisa del titolare del trattamento e le garanzie predisposte per prevenire violazioni, sottrazioni o divulgazioni di dati non autorizzate ;
• i casi di limitazione alla diffusione delle informazioni (ad esempio per salvaguardare la sicurezza nazionale, la sicurezza pubblica o la difesa degli Stati membri);
• la comunicazione di informazioni agli interessati;
• i diritti di accesso degli interessati, ma anche di rettifica, cancellazione e limitazione del trattamento.

Non sei ancora abbonato ad Ambiente&Sicurezza? Clicca qui

Decisione 2019/15 del consiglio di amministrazione dell’agenzia europea per la sicurezza e la salute sul lavoro dell’11 dicembre 2019 sulle norme interne relative alle limitazioni di determinati diritti degli interessati in relazione al trattamento dei dati personali nell’ambito del funzionamento dell’EU-OSHA

(in G.U.C.E. L del 31 agosto 2020, n. 282)

IL CONSIGLIO DI AMMINISTRAZIONE DELL’AGENZIA EUROPEA PER LA SICUREZZA E LA SALUTE SUL LAVORO

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE ^[1]GU L 295 del 21.11.2018, pag. 39., in particolare l’articolo 25,

visto il regolamento (UE) 2019/126 del Parlamento europeo e del Consiglio, del 16 gennaio 2019, che istituisce l’Agenzia europea per la sicurezza e la salute sul lavoro (EU-OSHA) e che abroga il regolamento (CE) n. 2062/94 del Consiglio^[2]GU L 30 del 31.1.2019, pag. 58.,

visto il regolamento interno del Consiglio di amministrazione dell’EU-OSHA,

visto il parere del Garante europeo della protezione dei dati (GEPD) del 17 ottobre 2019 e gli orientamenti del GEPD sull’articolo 25 del nuovo regolamento e le norme interne,

considerando che:

(1) L’EU-OSHA svolge le proprie attività in conformità del regolamento (UE) 2019/126.

(2) Conformemente all’articolo 25, paragrafo 1, del regolamento (UE) 2018/1725, le limitazioni nell’applicazione degli articoli da 14 a 21, degli articoli 35 e 36, nonché dell’articolo 4 del regolamento, nella misura in cui le sue disposizioni corrispondono ai diritti e ai doveri previsti dagli articoli da 14 a 21, dovrebbero basarsi sulle norme interne che saranno adottate dall’Agenzia, laddove non si basino su atti giuridici adottati in base ai trattati.

(3) Tali norme interne, comprese le relative disposizioni sulla valutazione della necessità e della proporzionalità di una limitazione, non dovrebbero applicarsi qualora un atto giuridico adottato sulla base dei trattati preveda una limitazione dei diritti degli interessati.

(4) Quando l’Agenzia esercita le sue funzioni rispetto ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, deve considerare se siano applicabili le deroghe previste in tale regolamento.

(5) Nell’ambito delle proprie funzioni amministrative l’Agenzia può condurre indagini amministrative e procedimenti disciplinari, avviare attività preliminari riguardanti i casi di potenziali irregolarità segnalate all’Ufficio europeo per la lotta antifrode (OLAF), trattare denunce di irregolarità, gestire procedure (formali e informali) di prevenzione delle molestie nonché reclami interni ed esterni, effettuare audit interni, condurre indagini svolte dal responsabile della protezione dei dati (RPD), in linea con l’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, e indagini interne sulla sicurezza (informatica). L’Agenzia può altresì gestire le richieste di accesso alla cartella clinica dei membri del personale. L’Agenzia tratta diverse categorie di dati personali, tra cui dati controllati (dati oggettivi quali dati d’identificazione, recapiti, dati professionali, aspetti amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico) e/o dati non controllati (dati «soggettivi» riguardanti il caso quali motivazione, dati comportamentali, valutazioni, dati su comportamenti e prestazioni e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività).

(6) L’Agenzia, rappresentata dal suo direttore esecutivo, agisce in qualità di titolare del trattamento, indipendentemente dalle ulteriori deleghe di tale ruolo all’interno della stessa per riflettere le responsabilità operative delle specifiche attività di trattamento dei dati personali.

(7) I dati personali sono conservati in modo sicuro in formato elettronico o cartaceo, impedendo l’accesso illecito o il trasferimento degli stessi a persone che non hanno necessità di venirne a conoscenza. Le cartelle cliniche sono conservate dal medico del fornitore esterno di servizi usato dall’Agenzia. I dati personali trattati sono conservati solo per il periodo di tempo necessario e opportuno per le finalità del trattamento come specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla riservatezza o nei registri dell’Agenzia.

(8) Le norme interne dovrebbero applicarsi a tutti i trattamenti dei dati svolti dall’Agenzia nell’ambito di indagini amministrative, procedimenti disciplinari, attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, denunce di irregolarità, procedure (formali e informali) per casi di molestia, reclami interni ed esterni, audit interni, indagini svolte dal responsabile della protezione dei dati, conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, e indagini sulla sicurezza (informatica) gestite internamente o mediante intervento esterno (ad esempio CERT-UE), nonché nell’ambito della gestione delle richieste di accesso alle cartelle cliniche.

(9) Tali norme interne dovrebbero applicarsi ai trattamenti dei dati svolti anteriormente all’avvio delle procedure di cui sopra, nel corso del loro svolgimento e durante il monitoraggio del controllo dei loro risultati. Dovrebbero essere comprese altresì l’assistenza e la cooperazione fornite dall’Agenzia alle autorità nazionali e alle organizzazioni internazionali al di fuori delle proprie indagini amministrative.

(10) Nei casi in cui si applichino tali regole interne, l’Agenzia deve fornire giustificazioni che spieghino il motivo per cui tali limitazioni siano strettamente necessarie e proporzionate in una società democratica e rispettino l’essenza dei diritti e delle libertà fondamentali.

(11) In tale ambito, l’Agenzia è tenuta a rispettare, nella misura più ampia possibile, i diritti fondamentali degli interessati durante i citati procedimenti, in particolare quelli che riguardano il diritto alla comunicazione di informazioni, all’accesso e alla rettifica, il diritto di cancellazione e limitazione del trattamento, il diritto di comunicazione di una violazione dei dati personali all’interessato o il diritto alla riservatezza delle comunicazioni sanciti nel regolamento (UE) 2018/1725.

(12) Tuttavia, l’Agenzia può essere costretta a limitare la comunicazione di informazioni all’interessato e altri suoi diritti per proteggere, in particolare, le proprie indagini, le indagini e i procedimenti di altre autorità pubbliche, nonché i diritti di altre persone coinvolte nelle sue indagini o in altre procedure.

(13) L’Agenzia può quindi limitare la comunicazione di informazioni allo scopo di proteggere l’indagine e i diritti e le libertà fondamentali degli altri interessati.

(14) L’Agenzia dovrebbe monitorare periodicamente che le condizioni che giustificano la limitazione continuino ad applicarsi e revocare la limitazione non appena cessino di sussistere.

(15) Il titolare del trattamento dovrebbe informare il responsabile della protezione dei dati al momento del rinvio e durante le revisioni,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Scopo e ambito di applicazione

1. La presente decisione stabilisce le norme relative alle condizioni alle quali l’Agenzia, nel quadro delle sue procedure stabilite al paragrafo 2, può limitare l’applicazione dei diritti sanciti negli articoli da 14 a 21 e negli articoli 35 e 36, nonché nell’articolo 4, in base all’articolo 25 del regolamento (UE) 2018/1725.
2. Nell’ambito del funzionamento amministrativo dell’Agenzia, la decisione si applica ai trattamenti dei dati personali svolti dalla stessa ai fini di: condurre indagini amministrative, procedimenti disciplinari e attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF, trattare denunce di irregolarità, procedure (formali e informali) di molestie e reclami interni ed esterni, effettuare audit interni, indagini svolte dal responsabile della protezione dei dati conformemente all’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725, nonché indagini sulla sicurezza (informatica) gestite internamente o mediante intervento esterno (ad esempio CERT-UE), procedere nell’ambito di cause di diritto civile e gestire richieste di accesso alle cartelle cliniche.

3. Le categorie di dati interessate sono i dati controllati (dati «oggettivi» quali dati d’identificazione, recapiti, dati professionali, aspetti amministrativi, dati ricevuti da fonti specifiche, comunicazioni elettroniche e dati sul traffico) e/o dati non controllati (dati «soggettivi» riguardanti il caso quali motivazione, dati comportamentali, valutazioni, dati su comportamenti e prestazioni e dati relativi o presentati in relazione all’oggetto del procedimento o dell’attività).

4. Quando l’Agenzia esercita le sue funzioni rispetto ai diritti degli interessati ai sensi del regolamento (UE) 2018/1725, deve considerare se siano applicabili le deroghe previste in tale regolamento.

5. Fatte salve le condizioni di cui alla presente decisione, le limitazioni si possono applicare ai seguenti diritti: comunicazione di informazioni agli interessati, diritto di accesso, rettifica, cancellazione e limitazione del trattamento, comunicazione di una violazione dei dati personali all’interessato o riservatezza delle comunicazioni.

Articolo 2

Indicazione precisa del titolare del trattamento e garanzie

1. Le garanzie predisposte per prevenire violazioni, sottrazioni o divulgazioni di dati non autorizzate sono le seguenti:

a) i documenti cartacei sono tenuti in armadi sicuri e accessibili soltanto al personale autorizzato;

b) tutti i dati elettronici sono memorizzati in un’applicazione informatica sicura conformemente agli standard di sicurezza dell’Agenzia e in specifiche cartelle elettroniche accessibili unicamente al personale autorizzato. Sono disposti appropriati livelli di accesso su base individuale;

c) la banca dati è protetta da password nell’ambito di un sistema di accesso SSO (Single Sign On) ed è collegata automaticamente all’ID dell’utente e alla password. La sostituzione degli utenti è rigorosamente vietata. I registri elettronici sono conservati in maniera sicura per tutelare la riservatezza e la segretezza dei dati contenuti;

d) il medico del fornitore esterno di servizi, che conserva le cartelle cliniche, è vincolato da clausole contrattuali specifiche sulla riservatezza e sul trattamento dei dati personali;

e) tutte le persone che hanno accesso ai dati hanno l’obbligo della riservatezza.

2. Il titolare del trattamento è l’Agenzia, rappresentata dal suo direttore esecutivo, il quale può delegare la funzione di titolare. Gli interessati sono informati in merito ai titolari del trattamento delegati mediante comunicazioni sulla protezione dei dati o registri pubblicati nel sito Internet e/o sull’Intranet dell’Agenzia.

3. Il periodo di conservazione dei dati personali di cui all’articolo 1, paragrafo 3, non deve essere più lungo di quanto necessario e opportuno per le finalità del trattamento. In ogni caso, esso non deve superare il periodo di conservazione specificato nelle comunicazioni sulla protezione dei dati, nelle informative sulla riservatezza o nei registri di cui all’articolo 5, paragrafo 1.

4. Qualora l’Ufficio consideri di applicare una limitazione, viene valutato il rischio per i diritti e le libertà dell’interessato, in particolare rispetto al rischio per i diritti e le libertà degli altri interessati e a quello di annullare gli effetti delle indagini o delle procedure dell’Agenzia, ad esempio distruggendo elementi di prova. I rischi per i diritti e le libertà dell’interessato riguardano principalmente, ma non esclusivamente, quelli legati alla reputazione e i rischi per il diritto di difesa e il diritto di essere ascoltato.

Articolo 3

Limitazioni

1. Eventuali limitazioni sono applicate dall’Agenzia esclusivamente per salvaguardare:
a) la sicurezza nazionale, la sicurezza pubblica o la difesa degli Stati membri;
b) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione contro minacce alla sicurezza pubblica;
c) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare gli obiettivi della politica estera e di sicurezza comune dell’Unione o un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;
d) la sicurezza interna delle istituzioni e degli organismi dell’Unione, comprese le relative reti di comunicazione elettronica;
e) la prevenzione, l’indagine, l’accertamento e il perseguimento delle violazioni della deontologia delle professioni regolamentate;
f) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a) a c);
g) la tutela dell’interessato o dei diritti e delle libertà altrui;
h) l’esecuzione delle azioni di diritto civile.

2. Come applicazione specifica delle finalità descritte nel precedente paragrafo 1, l’Agenzia può applicare limitazioni riguardanti i dati personali scambiati con i servizi della Commissione o altre istituzioni, organi e organismi dell’Unione, autorità competenti degli Stati membri o paesi terzi o organizzazioni internazionali rispettivamente nei seguenti casi:
a) quando l’esercizio di tali diritti e doveri potrebbe essere limitato dai servizi della Commissione o da altre istituzioni, organi e organismi dell’Unione in virtù di altri atti giuridici previsti dall’articolo 25 del regolamento (UE) 2018/1725, conformemente al capo IX di detto regolamento oppure sulla base degli atti costitutivi di altre istituzioni, organi e organismi dell’Unione;
b) quando l’esercizio di tali diritti e doveri potrebbe essere limitato dalle autorità competenti degli Stati membri sulla base degli atti di cui all’articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio^[3]Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).o a norma delle disposizioni nazionali di recepimento dell’articolo 13, paragrafo 3, dell’articolo 15, paragrafo 3, o dell’articolo 16, paragrafo 3, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio^[4]Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).;
c) quando l’esercizio di tali diritti e doveri potrebbe compromettere la cooperazione tra l’Agenzia e i paesi terzi o le organizzazioni internazionali nell’esercizio delle sue funzioni.

Prima di applicare limitazioni nei casi di cui al primo comma, lettere a) e b), l’Agenzia consulta i servizi della Commissione, le istituzioni, gli organi e gli organismi pertinenti dell’Unione o le autorità competenti degli Stati membri, a meno che all’Agenzia non risulti evidente che l’applicazione di una limitazione è prevista in virtù di uno degli atti di cui alle summenzionate lettere.

3. Le eventuali limitazioni sono necessarie e proporzionate tenuto conto dei rischi per i diritti e le libertà degli interessati e rispettano l’essenza dei diritti e delle libertà fondamentali in una società democratica.

4. Se si considera l’applicazione di limitazioni, si effettua una verifica della necessità e della proporzionalità sulla base delle presenti norme. Tale procedura è documentata in ogni caso mediante una nota di valutazione interna.

5. Le limitazioni sono revocate non appena le condizioni che le giustificano cessino di sussistere. In particolare, laddove si ritenga che l’esercizio del diritto ristretto non annullerebbe più l’effetto della limitazione imposta né lederebbe i diritti e le libertà degli altri interessati.

Articolo 4

Revisione da parte del responsabile della protezione dei dati

1. L’Agenzia informa senza indebito ritardo il proprio responsabile della protezione dei dati (RPD) ogniqualvolta il titolare del trattamento limiti l’applicazione dei diritti degli interessati o estenda la limitazione a norma della presente decisione. Il titolare del trattamento fornisce all’RPD l’accesso al registro che contiene la valutazione della necessità e della proporzionalità della limitazione e documenta in detto registro la data in cui ha informato il responsabile della protezione dei dati.

2. L’RPD può chiedere al titolare del trattamento di riesaminare l’applicazione delle limitazioni. Il titolare del trattamento informa per iscritto il proprio RPD circa l’esito del riesame richiesto.

3. Il titolare del trattamento informa l’RPD quando la limitazione cessa di sussistere.

Articolo 5

Comunicazione di informazioni agli interessati

1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto all’informazione può essere limitato dal titolare del trattamento nell’ambito dei seguenti trattamenti:
a) svolgimento di indagini amministrative e procedimenti disciplinari;
b) attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF;
c) procedure in materia di denunce di irregolarità;
d) procedure (formali e informali) in casi di molestia;
e) trattamento di reclami interni ed esterni;
f) audit interni;
g) indagini svolte dal responsabile della protezione dei dati, in linea con l’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725;
h) indagini sulla sicurezza (informatica) gestite internamente o mediante intervento esterno (ad esempio CERT-UE).

Nelle comunicazioni sulla protezione dei dati, nelle informative sulla riservatezza e nei registri, ai sensi dell’articolo 31 del regolamento (UE) 2018/1725, pubblicati sul proprio sito internet e/o sull’intranet, che informano gli interessati sui loro diritti nel quadro di una determinata procedura, l’Agenzia include informazioni riguardanti le potenziali limitazioni di questi diritti. Tali informazioni riguardano i diritti che possono essere limitati, le ragioni e la durata potenziale della limitazione.

2. Fatte salve le disposizioni di cui al paragrafo 3, se proporzionato, l’Agenzia informa anche singolarmente tutti i soggetti considerati interessati nella specifica operazione di trattamento dei loro diritti riguardanti le limitazioni attuali o future senza indebito ritardo e in forma scritta.

3. Qualora l’Agenzia limiti, in tutto o in parte, la comunicazione di informazioni agli interessati di cui al paragrafo 2, essa registra le ragioni di tale limitazione e il motivo giuridico conformemente all’articolo 3 della presente decisione, inclusa la valutazione della necessità e della proporzionalità della limitazione.

La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati.

4. La limitazione di cui al paragrafo 3 continua ad applicarsi finché permangono i motivi che la giustificano.

Qualora i motivi della limitazione non siano più applicabili, l’Agenzia fornisce all’interessato le informazioni sulle ragioni principali alla base dell’applicazione di una limitazione. Nel contempo, l’Agenzia informa l’interessato in merito alla possibilità di presentare in qualsiasi momento reclamo al Garante europeo della protezione dei dati o un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.

L’Agenzia riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’inchiesta, della procedura o dell’indagine pertinente. Successivamente, il titolare del trattamento valuta la necessità di mantenere eventuali limitazioni ogni sei mesi.

Articolo 6

Diritto di accesso degli interessati

1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto di accesso può essere limitato dal titolare del trattamento, laddove necessario e proporzionato, nel contesto dei seguenti trattamenti:
a) svolgimento di indagini amministrative e procedimenti disciplinari;
b) attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF;
c) procedure in materia di denunce di irregolarità;
d) procedure (formali e informali) in casi di molestia;
e) trattamento di reclami interni ed esterni;
f) audit interni;
g) indagini svolte dal responsabile della protezione dei dati, in linea con l’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725;
h) indagini sulla sicurezza (informatica) gestite internamente o mediante intervento esterno (ad esempio CERT-UE).
i) gestione delle richieste di accesso alla propria cartella clinica.

Qualora, a norma dell’articolo 17 del regolamento (UE) 2018/1725, gli interessati chiedano l’accesso ai propri dati personali trattati nell’ambito di uno o più casi specifici o di particolari trattamenti, l’Agenzia limita la propria valutazione della richiesta esclusivamente a tali dati personali.

2. Qualora l’Agenzia limiti, integralmente o in parte, il diritto di accesso di cui all’articolo 17 del regolamento (UE) 2018/1725, essa procede nel modo seguente:
a) informa l’interessato, nella propria risposta alla richiesta, in merito alla limitazione applicata e ai principali motivi della stessa, come pure alla possibilità di presentare reclamo al Garante europeo della protezione dei dati o di proporre un ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea;
b) registra in una nota di valutazione interna i motivi della limitazione, compresa una valutazione della relativa necessità, proporzionalità e durata.

Le limitazioni imposte in merito all’accesso alla propria cartella clinica riguardano esclusivamente l’accesso diretto in relazione ai dati medici personali di natura psicologica e psichiatrica, laddove l’accesso a tali dati costituisce un rischio potenziale per le informazioni mediche dell’interessato. Tale limitazione deve essere proporzionata a quanto strettamente necessario per proteggere i dati dell’interessato. L’accesso a tali informazioni è consentito tramite l’intermediazione di un medico scelto dall’interessato. A tale medico è dato accesso a tutte le informazioni e potere discrezionale di decidere in che modo e quale accesso fornire ai dati dell’interessato.

La comunicazione di informazioni di cui alla lettera a) può essere rinviata, omessa o negata qualora annulli l’effetto della limitazione in conformità dell’articolo 25, paragrafo 8, del regolamento (UE) 2018/1725.

L’Agenzia riesamina l’applicazione della limitazione ogni sei mesi dalla sua adozione e all’atto della chiusura dell’indagine pertinente. Successivamente, il titolare del trattamento valuta la necessità di mantenere eventuali limitazioni ogni sei mesi.

3. La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, essi sono messi a disposizione del Garante europeo della protezione dei dati.

Articolo 7

Diritto di rettifica, cancellazione e limitazione del trattamento

1. In casi debitamente giustificati e alle condizioni stabilite in questa decisione, il diritto di rettifica, cancellazione e limitazione può essere limitato dal titolare del trattamento, laddove necessario e proporzionato, nel contesto dei seguenti trattamenti:
a) svolgimento di indagini amministrative e procedimenti disciplinari;
b) attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF;
c) procedure in materia di denunce di irregolarità;
d) procedure (formali e informali) in casi di molestia;
e) trattamento di reclami interni ed esterni;
f) audit interni;
g) indagini svolte dal responsabile della protezione dei dati, in linea con l’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725;
h) indagini sulla sicurezza (informatica) gestite internamente o mediante intervento esterno (ad esempio CERT-UE).
2. Qualora l’Agenzia limiti, integralmente o in parte, l’applicazione del diritto di rettifica, cancellazione o limitazione del trattamento di cui all’articolo 18, all’articolo 19, paragrafo 1, e all’articolo 20, paragrafo 1, del regolamento (UE) 2018/1725, essa adotta le misure di cui all’articolo 6, paragrafo 2, della presente decisione e conserva la registrazione in un registro in conformità dell’articolo 6, paragrafo 3, della stessa.

Articolo 8

Comunicazione di una violazione dei dati personali all’interessato e riservatezza delle comunicazioni elettroniche

1. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, la comunicazione di una violazione dei dati personali può essere limitata dal titolare del trattamento, laddove necessario e proporzionato, nel contesto dei seguenti trattamenti:
a) svolgimento di indagini amministrative e procedimenti disciplinari;
b) attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF;
c) procedure in materia di denunce di irregolarità;
d) procedure (formali e informali) in casi di molestia;
e) trattamento di reclami interni ed esterni;
f) audit interni;
g) indagini svolte dal responsabile della protezione dei dati, in linea con l’articolo 45, paragrafo 2, del regolamento (UE) 2018/1725;
h) indagini sulla sicurezza (informatica) gestite internamente o mediante intervento esterno (ad esempio CERT-UE).
2. In casi debitamente giustificati e alle condizioni stabilite nella presente decisione, il diritto alla riservatezza delle comunicazioni elettroniche può essere limitato dal titolare del trattamento, laddove necessario e appropriato, nel contesto dei seguenti trattamenti:
a) svolgimento di indagini amministrative e procedimenti disciplinari;
b) attività preliminari riguardanti casi di potenziali irregolarità segnalate all’OLAF;
c) procedure in materia di denunce di irregolarità;
d) procedure formali in casi di molestia;
e) trattamento di reclami interni ed esterni;
f) indagini sulla sicurezza (informatica) gestite internamente o mediante intervento esterno (ad esempio CERT-UE).
3. Laddove l’Agenzia limiti la comunicazione delle violazioni dei dati personali agli interessati o la riservatezza delle comunicazioni elettroniche di cui agli articoli 35 e 36 del regolamento (UE) 2018/1725, essa annota e registra i motivi della limitazione conformemente all’articolo 5, paragrafo 3, della presente decisione. Si applica l’articolo 5, paragrafo 4, della presente decisione.

Articolo 9

Entrata in vigore

La presente decisione entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.