30 giugno 2022
Accordo tra l’Unione europea e la Nuova Zelanda sullo scambio di dati personali tra l’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) e le autorità della Nuova Zelanda competenti per la lotta contro le forme gravi di criminalità e il terrorismo - 30 giugno 2022 (Bruxelles)
L'Accordo tra l'Unione europea, da una parte, e la Nuova Zelanda, dall'altra, sullo scambio di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità della nuova zelanda competenti per la lotta contro le forme gravi di criminalità e il terrorismo, firmato a Bruxelles il 30 giugno 2022, è stato approvato a nome dell'Unione Europea con Decisione 14 febbraio 2023, n. 2023/368, pubblicata in G.U.U.E. 20 febbraio 2023, n. L 51.
(Accordo 30/06/2022, pubblicato in G.U.U.E. 20 febbraio 2023, n. L 51)
L'UNIONE EUROPEA, di seguito denominata anche «Unione» o «UE»,
e
LA NUOVA ZELANDA,
di seguito denominate congiuntamente «parti contraenti»,
CONSIDERANDO che consentendo lo scambio di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità competenti della Nuova Zelanda, il presente accordo creerà il quadro per una cooperazione operativa rafforzata tra l'Unione e la Nuova Zelanda nel settore dell'attività di contrasto, salvaguardando nel contempo i diritti umani e le libertà fondamentali di tutte le persone interessate, compresi il diritto alla vita privata e alla protezione dei dati,
CONSIDERANDO che il presente accordo lascia impregiudicate le intese di assistenza giudiziaria tra la Nuova Zelanda e gli Stati membri dell'Unione che consentono lo scambio di dati personali,
CONSIDERANDO che il presente accordo non impone alle autorità competenti alcun obbligo di trasferire dati personali e che la condivisione dei dati personali richiesti ai sensi del presente accordo rimane volontaria,
RICONOSCENDO che le parti contraenti applicano principi comparabili di proporzionalità e ragionevolezza. L'essenza comune di tali principi è l'esigenza di garantire un giusto equilibrio tra tutti gli interessi in questione, pubblici o privati, alla luce di tutte le circostanze del caso di specie. Tale bilanciamento coinvolge, da un lato, il diritto al rispetto della vita privata delle persone e altri diritti umani e interessi e, dall'altro, gli obiettivi legittimi che possono essere perseguiti, quali le finalità del trattamento dei dati personali previste dal presente accordo,
HANNO CONVENUTO QUANTO SEGUE:
CAPO I
DISPOSIZIONI GENERALI
ARTICOLO 1
Obiettivo
L'obiettivo del presente accordo è consentire il trasferimento di dati personali tra l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e le autorità competenti della Nuova Zelanda, al fine di sostenere e rafforzare l'azione delle autorità degli Stati membri dell'Unione e della Nuova Zelanda, nonché la loro cooperazione reciproca, in materia di prevenzione e lotta contro i reati, tra cui le forme gravi di criminalità e il terrorismo, assicurando nel contempo garanzie adeguate per quanto riguarda i diritti umani e le libertà fondamentali delle persone, compresi il diritto alla vita privata e alla protezione dei dati.
ARTICOLO 2
Definizioni
Ai fini del presente accordo si applicano le seguenti definizioni:
1) «parti contraenti»: l'Unione europea e la Nuova Zelanda;
2) «Europol»: l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto, istituita a norma del regolamento (UE) 2016/794 o di qualsiasi modifica dello stesso («regolamento Europol»);
3) «autorità competenti»: per la Nuova Zelanda, le autorità di contrasto interne responsabili, a norma del diritto nazionale neozelandese, della prevenzione e della lotta contro i reati elencati nell'allegato II («autorità competenti della Nuova Zelanda») e, per l'Unione, Europol;
4) «organismi dell’Unione»: le istituzioni, gli organi, le missioni, gli uffici e le agenzie istituite dal trattato sull’Unione europea («TUE») e dal trattato sul funzionamento dell’Unione europea («TFUE»), o sulla base dei medesimi, elencati nell'allegato III;
5) «reati»: le forme di criminalità elencate nell'allegato I e i reati connessi; i reati si considerano connessi alle forme di criminalità elencate nell'allegato I se sono commessi al fine di procurarsi i mezzi per perpetrare tali forme di criminalità o di agevolarle o perpetrarle, o al fine di assicurare l'impunità ai loro autori;
6) «dati personali»: qualsiasi informazione riguardante un interessato;
7) «interessato»: una persona fisica identificata o identificabile, laddove per persona identificabile si intende una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo on-line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
8) «dati genetici»: tutti i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di un individuo che forniscono informazioni univoche sulla sua fisiologia o salute, ottenuti in particolare dall'analisi di un suo campione biologico;
9) «trattamento»: qualsiasi operazione o insieme di operazioni compiute su dati personali o serie di dati personali, con o senza l'ausilio di processi automatizzati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o la combinazione, la limitazione dell'accesso, la cancellazione o la distruzione;
10) «violazione dei dati personali»: violazione di sicurezza che comporta in modo accidentale o illecito la distruzione, la perdita, la modifica, la comunicazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque trattati;
11) «autorità di controllo»: una o più autorità indipendenti interne che sono, singolarmente o cumulativamente, responsabili della protezione dei dati ai sensi dell'articolo 16 e che sono state notificate a norma di tale articolo; può trattarsi di autorità la cui responsabilità riguarda anche altri diritti umani;
12) «organizzazione internazionale»: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.
ARTICOLO 3
Finalità del trattamento dei dati personali
1. I dati personali richiesti e ricevuti ai sensi del presente accordo sono trattati unicamente a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, entro i limiti di cui all'articolo 4, paragrafo 5, e dei rispettivi mandati delle autorità competenti.
2. Al più tardi all'atto di trasferire i dati personali le autorità competenti indicano chiaramente la o le finalità specifiche per le quali i dati sono trasferiti. Per i trasferimenti a Europol, la o le finalità di tale trasferimento sono specificate in linea con la finalità o le finalità specifiche del trattamento stabilite nel mandato di Europol.
CAPO II
SCAMBIO DI INFORMAZIONI E PROTEZIONE DEI DATI
ARTICOLO 4
Principi generali di protezione dei dati
1. Ogni parte contraente provvede affinché i dati personali scambiati ai sensi del presente accordo siano:
a) trattati in modo lecito e corretto e unicamente per la o le finalità per le quali sono stati trasferiti a norma dell'articolo 3;
b) adeguati, pertinenti e limitati a quanto necessario rispetto alla o alle finalità per le quali sono trattati;
c) esatti e aggiornati; ogni parte contraente provvede affinché le proprie autorità competenti adottino tutte le misure ragionevoli per rettificare o cancellare senza ingiustificato ritardo i dati inesatti, tenendo conto delle finalità per le quali sono trattati;
d) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
e) trattati in modo tale da garantire un'adeguata sicurezza dei dati personali.
2. All'atto di trasferire i dati personali l'autorità competente che opera il trasferimento può indicare limitazioni di accesso o uso, in termini generali o specifici, anche per quanto concerne il trasferimento successivo, la cancellazione o la distruzione trascorso un dato periodo di tempo, ovvero l'ulteriore trattamento. Qualora la necessità di tali limitazioni si manifesti dopo che le informazioni sono state fornite, l'autorità competente che ha operato il trasferimento ne informa l'autorità ricevente.
3. Ogni parte contraente provvede affinché l'autorità competente ricevente rispetti le eventuali limitazioni di accesso o ulteriore uso dei dati personali indicate dall'autorità competente che opera il trasferimento conformemente al paragrafo 2.
4. Ogni parte contraente provvede affinché le proprie autorità competenti mettano in atto misure tecniche e organizzative adeguate in modo da poter dimostrare che il trattamento è conforme al presente accordo e che i diritti degli interessati sono tutelati.
5. Ogni parte contraente provvede affinché le proprie autorità competenti non trasferiscano i dati personali ottenuti in palese violazione dei diritti umani riconosciuti dalle norme di diritto internazionale vincolanti per le parti contraenti. Ogni parte contraente provvede affinché i dati personali ricevuti non siano utilizzati per chiedere, emettere o eseguire una pena di morte o qualsiasi forma di trattamento crudele o disumano.
6. Ogni parte contraente provvede affinché sia conservata una registrazione di tutti i trasferimenti di dati personali effettuati ai sensi del presente accordo e della o delle finalità di tali trasferimenti.
ARTICOLO 5
Categorie particolari di dati personali e diverse categorie di interessati
1. È vietato il trasferimento di dati personali relativi a vittime di reato, testimoni o altre persone che possono fornire informazioni riguardanti reati e a persone di età inferiore agli anni diciotto salvo se strettamente necessario nonché ragionevole e proporzionato in casi specifici per prevenire o combattere un reato.
2. Il trasferimento di dati personali che rivelino la razza, l'origine etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica, di dati relativi alla salute o alla vita sessuale o all'orientamento sessuale di una persona fisica è autorizzato solo se strettamente necessario nonché ragionevole e proporzionato in casi specifici per prevenire o combattere un reato e se tali dati, a eccezione dei dati biometrici, integrano altri dati personali.
3. Le parti contraenti provvedono affinché il trattamento dei dati personali di cui ai paragrafi 1 e 2 del presente articolo sia soggetto a garanzie adeguate contro i rischi specifici connessi, tra cui limitazioni di accesso, misure per la sicurezza dei dati ai sensi dell'articolo 15 e limitazioni ai trasferimenti successivi ai sensi dell'articolo 7.
ARTICOLO 6
Trattamento automatizzato dei dati personali
Le decisioni basate unicamente su un trattamento automatizzato dei dati personali scambiati, compresa la profilazione, senza intervento umano, che possono comportare conseguenze giuridiche negative per l'interessato o incidere significativamente sulla sua persona, sono vietate, salvo che siano autorizzate da disposizioni di legge per prevenire o combattere un reato e con garanzie adeguate per i diritti e le libertà dell'interessato, compreso almeno il diritto di ottenere l'intervento umano.
ARTICOLO 7
Trasferimento successivo dei dati personali ricevuti
1. La Nuova Zelanda provvede affinché le sue autorità competenti trasferiscano ad altre autorità della Nuova Zelanda i dati personali ricevuti ai sensi del presente accordo solo se:
a) Europol ha dato la propria autorizzazione esplicita preliminare;
b) la o le finalità del trasferimento successivo è la stessa della o delle finalità originarie del trasferimento da parte di Europol o, nei limiti di cui all'articolo 3, paragrafo 1, è direttamente connessa a tale o tali finalità originarie; e
c) il trasferimento successivo è soggetto alle stesse condizioni e garanzie che si applicano al trasferimento originario.
Fatto salvo l'articolo 4, paragrafo 2, l'autorizzazione preliminare non è necessaria se l'autorità ricevente è un'autorità competente della Nuova Zelanda. Lo stesso vale per la capacità di Europol di condividere dati personali con le autorità degli Stati membri dell'Unione responsabili della prevenzione e della lotta contro i reati e con gli organismi dell'Unione.
2. La Nuova Zelanda provvede affinché siano vietati i trasferimenti successivi dei dati personali ricevuti dalle sue autorità competenti ai sensi del presente accordo alle autorità di un paese terzo o a un'organizzazione internazionale, salvo che sussistano le seguenti condizioni:
a) il trasferimento riguarda dati personali diversi da quelli di cui all'articolo 5;
b) Europol ha dato la propria autorizzazione esplicita preliminare;
c) la o le finalità del trasferimento successivo è la stessa della o delle finalità originarie del trasferimento da parte di Europol; e
d) il trasferimento successivo è soggetto alle stesse condizioni e garanzie che si applicano al trasferimento originario.
3. Europol può concedere l'autorizzazione di cui al paragrafo 2, lettera b), del presente articolo per il trasferimento successivo all'autorità di un paese terzo o a un'organizzazione internazionale solo se e nella misura in cui sia in vigore una decisione di adeguatezza, un accordo internazionale che preveda garanzie adeguate per la tutela del diritto alla vita privata e dei diritti e delle libertà fondamentali delle persone, un accordo di cooperazione o qualsiasi altra base giuridica per il trasferimento di dati personali ai sensi del regolamento Europol che disciplini il trasferimento successivo.
4. L'Unione provvede affinché siano vietati i trasferimenti successivi dei dati personali ricevuti da Europol ai sensi del presente accordo agli organismi dell'Unione non elencati nell'allegato III, alle autorità di paesi terzi o a un'organizzazione internazionale, salvo che sussistano le seguenti condizioni:
a) il trasferimento riguarda dati personali diversi da quelli di cui all'articolo 5;
b) la Nuova Zelanda ha dato la propria autorizzazione esplicita preliminare;
c) la o le finalità del trasferimento successivo è la stessa della finalità originaria del trasferimento da parte della Nuova Zelanda; e
d) con tale paese terzo o organizzazione internazionale è in vigore una decisione di adeguatezza, un accordo internazionale che preveda garanzie adeguate per la tutela del diritto alla vita privata e dei diritti e delle libertà fondamentali delle persone o un accordo di cooperazione ai sensi del regolamento Europol o a meno che Europol sia in grado di far riferimento a qualsiasi altra base giuridica per il trasferimento di dati personali ai sensi del regolamento Europol.
ARTICOLO 8
Valutazione dell'affidabilità della fonte e dell'esattezza delle informazioni
1. Le autorità competenti indicano per quanto possibile, al più tardi al momento del trasferimento dei dati personali, l'affidabilità della fonte dell'informazione sulla base di uno o più dei seguenti criteri:
a) non sussistono dubbi circa l'autenticità, l'affidabilità o la competenza della fonte, oppure l'informazione è fornita da una fonte che, in passato, ha dimostrato di essere affidabile in tutti i casi;
b) l'informazione è pervenuta da una fonte che si è dimostrata affidabile nella maggior parte dei casi;
c) l'informazione è pervenuta da una fonte che non si è dimostrata affidabile nella maggior parte dei casi;
d) l'affidabilità della fonte non può essere valutata.
2. Le autorità competenti indicano per quanto possibile, al più tardi al momento del trasferimento dei dati personali, l'esattezza dell'informazione sulla base di uno o più dei seguenti criteri:
a) l'informazione è ritenuta sicura senza alcuna riserva al momento del trasferimento;
b) l'informazione è conosciuta personalmente dalla fonte, ma non conosciuta personalmente dall'agente che l'ha fornita;
c) l'informazione non è conosciuta personalmente dalla fonte, ma è avvalorata da altre informazioni già registrate;
d) l’informazione non è conosciuta personalmente dalla fonte e non può essere avallata.
3. Se, sulla base delle informazioni già in suo possesso, l'autorità competente ricevente giunge alla conclusione che la valutazione delle informazioni dall'autorità competente trasferente o della fonte fornita a norma dei paragrafi 1 e 2 deve essere rettificata, ne informa tale autorità e cerca di concordare una modifica da apportare alla valutazione. Senza tale accordo l'autorità ricevente competente non può modificare la valutazione delle informazioni ricevute o della loro fonte.
4. Se riceve informazioni non corredate di una valutazione, l'autorità competente cerca, per quanto possibile e se possibile di concerto con l'autorità competente che ha operato il trasferimento, di stabilire l'affidabilità della fonte o l'esattezza dell'informazione sulla base delle informazioni già in suo possesso.
5. Se non è possibile effettuare una valutazione affidabile, le informazioni, se del caso, sono valutate conformemente al paragrafo 1, lettera d), e al paragrafo 2, lettera d).
DIRITTI DELL'INTERESSATO
ARTICOLO 9
Diritto di accesso
1. Le parti contraenti provvedono affinché l'interessato abbia il diritto, a intervalli ragionevoli, di ottenere informazioni per sapere se i dati personali che lo riguardano sono trattati ai sensi del presente accordo e, in tal caso, di accedere almeno alle seguenti informazioni:
a) la conferma che i dati che lo riguardano siano o meno stati trattati;
b) informazioni relative almeno alla o alle finalità del trattamento, alle categorie di dati trattati e, se del caso, ai destinatari o alle categorie di destinatari a cui sono comunicati i dati;
c) l'esistenza del diritto di richiedere all'autorità competente la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali riguardanti l'interessato;
d) l'indicazione della base giuridica per il trattamento;
e) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se ciò non è possibile, i criteri utilizzati per determinare tale periodo;
f) la comunicazione in forma intelligibile dei dati personali oggetto del trattamento nonché di tutte le informazioni disponibili sulla loro origine.
2. Nei casi in cui è esercitato il diritto di accesso, la parte contraente trasferente è consultata su base non vincolante prima che sia adottata una decisione definitiva sulla richiesta di accesso.
3. Le parti contraenti possono prevedere che la comunicazione di informazioni in risposta a qualsiasi richiesta di cui al paragrafo 1 sia rinviata, rifiutata o limitata se e per il tempo in cui tale rinvio, rifiuto o limitazione costituisce una misura necessaria nonché ragionevole e proporzionata tenuto conto dei diritti fondamentali e degli interessi dell'interessato, per:
a) garantire che nessuna indagine e azione penale siano compromesse;
b) proteggere i diritti e le libertà di terzi; o
c) tutelare la sicurezza nazionale e l'ordine pubblico o prevenire attività criminali.
4. Le parti contraenti provvedono affinché l'autorità competente informi per iscritto l'interessato dell'eventuale rinvio, rifiuto o limitazione dell'accesso e dei motivi di tale rinvio, rifiuto o limitazione dell'accesso. Tali motivi possono essere omessi se e per il tempo in cui la loro comunicazione comprometterebbe la finalità del rinvio, del rifiuto o della limitazione di cui al paragrafo 3. L'autorità competente informa l'interessato della possibilità di proporre reclamo alle rispettive autorità di controllo e degli altri mezzi di ricorso disponibili previsti nei rispettivi quadri giuridici.
ARTICOLO 10
Diritto di rettifica, cancellazione e limitazione
1. Le parti contraenti provvedono affinché l'interessato abbia il diritto di chiedere alle autorità competenti di rettificare i dati personali inesatti che riguardano tale interessato e che sono stati trasferiti ai sensi del presente accordo. Tenuto conto della o delle finalità del trattamento, ciò include il diritto di ottenere l’integrazione dei dati personali incompleti trasferiti ai sensi del presente accordo.
2. La rettifica comprende la cancellazione dei dati personali che non sono più necessari per la o le finalità per le quali sono trattati.
3. Le parti contraenti possono prevedere che, anziché la cancellazione dei dati personali, sia limitato il trattamento di tali dati se sussistono fondati motivi di ritenere che tale cancellazione possa compromettere i legittimi interessi dell'interessato.
4. Le autorità competenti si informano reciprocamente delle misure adottate a norma dei paragrafi 1, 2 e 3. L'autorità competente ricevente rettifica, cancella o limita il trattamento conformemente all'azione intrapresa dall'autorità competente che opera il trasferimento.
5. Le parti contraenti provvedono affinché l'autorità competente che ha ricevuto una richiesta in conformità del paragrafo 1 o 2, senza ingiustificato ritardo e in ogni caso entro tre mesi dal ricevimento della richiesta, informi per iscritto l'interessato che i dati che lo riguardano sono stati rettificati, cancellati o che il trattamento degli stessi è stato limitato.
6. Le parti contraenti provvedono affinché l'autorità competente che ha ricevuto una richiesta, senza ingiustificato ritardo e in ogni caso entro tre mesi dal ricevimento della richiesta, informi per iscritto l'interessato dell'eventuale rifiuto di rettifica, cancellazione o limitazione del trattamento, dei motivi del rifiuto e della possibilità di proporre reclamo alle rispettive autorità di controllo e degli altri mezzi di ricorso disponibili previsti dai rispettivi quadri giuridici.
ARTICOLO 11
Notificazione di una violazione dei dati personali alle autorità interessate
1. Le parti contraenti provvedono affinché, in caso di violazione dei dati personali riguardante dati personali trasferiti ai sensi del presente accordo, le rispettive autorità competenti si notifichino reciprocamente e notifichino alle rispettive autorità di controllo, senza ritardo, la violazione dei dati personali e adottino misure per attenuarne i possibili effetti pregiudizievoli.
2. La notifica deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero di interessati in questione nonché le categorie e il numero di registrazioni dei dati personali in questione;
b) descrivere le probabili conseguenze della violazione dei dati personali;
c) descrivere le misure adottate o di cui si propone l'adozione da parte dell'autorità competente per porre rimedio alla violazione dei dati personali, comprese le misure adottate per attenuarne i possibili effetti pregiudizievoli.
3. Nella misura in cui non sia possibile fornire contestualmente tutte le informazioni richieste, queste possono essere fornite in fasi successive. Le informazioni mancanti sono fornite senza ulteriore ingiustificato ritardo.
4. Le parti contraenti provvedono affinché le rispettive autorità competenti documentino le violazioni dei dati personali riguardanti i dati personali trasferiti ai sensi del presente accordo, inclusi i fatti relativi alla violazione dei dati personali, i suoi effetti e le misure correttive adottate, consentendo in tal modo alle rispettive autorità di controllo di verificare la conformità con i requisiti di legge applicabili.
ARTICOLO 12
Comunicazione di una violazione dei dati personali all’interessato
1. Le parti contraenti provvedono affinché, qualora la violazione dei dati personali di cui all'articolo 11 sia suscettibile di produrre gravi effetti pregiudizievoli per i diritti e le libertà dell'interessato, le rispettive autorità competenti comunichino la violazione all'interessato senza ingiustificato ritardo.
2. La comunicazione all'interessato a norma del paragrafo 1 descrive, ove possibile, la natura della violazione dei dati personali, elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione e riporta l'identità e i recapiti del punto di contatto presso cui ottenere più informazioni.
3. Non è richiesta la comunicazione all'interessato a norma del paragrafo 1 se:
a) ai dati personali oggetto della violazione sono state applicate misure tecnologiche di protezione appropriate che rendano i dati incomprensibili a chiunque non sia autorizzato ad accedere a tali dati;
b) sono state successivamente adottate misure atte a far sì che i diritti e le libertà dell'interessato non rischino più di essere gravemente pregiudicati; o
c) la comunicazione all'interessato a norma del paragrafo 1 richiederebbe sforzi sproporzionati, in particolare a motivo del numero di casi in questione. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale l'interessato è informato con analoga efficacia.
4. La comunicazione all'interessato a norma del paragrafo 1 può essere rinviata, limitata o omessa se è probabile che tale comunicazione:
a) comprometta indagini, inchieste o procedimenti ufficiali o giudiziari;
b) comprometta la prevenzione, l'accertamento, l'indagine o il perseguimento di reati o l'esecuzione di sanzioni penali, l'ordine pubblico o la sicurezza nazionale;
c) comprometta i diritti e le libertà di terzi;
se ciò costituisce una misura necessaria, ragionevole e proporzionata tenuto debito conto dei legittimi interessi dell'interessato.
ARTICOLO 13
Conservazione, esame, rettifica e cancellazione dei dati personali
1. Le parti contraenti provvedono affinché siano stabiliti termini adeguati per la conservazione dei dati personali ricevuti ai sensi del presente accordo o per un riesame periodico della necessità di conservare i dati personali, in modo che i dati siano conservati solo per il tempo necessario al conseguimento della o delle finalità per la quale sono trasferiti.
2. In ogni caso, la necessità di un'ulteriore conservazione dei dati personali è esaminata entro tre anni dal trasferimento dei dati personali e, in assenza di una decisione motivata e documentata in merito all'ulteriore conservazione dei dati personali, i dati personali sono automaticamente cancellati dopo tre anni.
3. Se un'autorità competente ha motivo di ritenere che i dati personali da essa precedentemente trasferiti siano errati, inesatti o non aggiornati o che tali dati non avrebbero dovuto essere trasferiti, ne informa l'autorità competente ricevente, la quale rettifica o cancella tali dati e ne dà notifica all'autorità competente trasferente.
4. Se un'autorità competente ha motivo di ritenere che i dati personali precedentemente ricevuti siano errati, inesatti o non aggiornati o che tali dati non avrebbero dovuto essere trasferiti, ne informa l'autorità competente trasferente, la quale esprime la sua posizione al riguardo. Se l'autorità competente trasferente ritiene che i dati personali siano errati, inesatti o non aggiornati o che tali dati non avrebbero dovuto essere trasferiti, ne informa l'autorità competente ricevente, la quale rettifica o cancella tali dati e ne dà notifica all'autorità trasferente.
ARTICOLO 14
Registrazione e documentazione
1. Le parti contraenti provvedono affinché siano conservate le registrazioni e la documentazione della raccolta, della modifica, dell'accesso, della divulgazione, compresi i trasferimenti successivi, della combinazione o della cancellazione di dati personali.
2. Le registrazioni o la documentazione di cui al paragrafo 1 sono messe a disposizione della rispettiva autorità di controllo, su richiesta, ai fini della verifica della liceità del trattamento e del controllo interno e per garantire adeguatamente l'integrità e la sicurezza dei dati.
ARTICOLO 15
Sicurezza dei dati
1. Le parti contraenti garantiscono che siano messe in atto misure tecniche e organizzative per proteggere i dati personali scambiati ai sensi del presente accordo.
2. Per quanto riguarda il trattamento automatizzato, le parti contraenti garantiscono che siano messe in atto misure dirette a:
a) negare l'accesso alle attrezzature usate per il trattamento alle persone non autorizzate (controllo dell'accesso alle attrezzature);
b) impedire che i supporti di dati siano letti, copiati, modificati o rimossi senza autorizzazione (controllo dei supporti di dati);
c) impedire che siano introdotti, consultati, modificati o cancellati dati personali senza autorizzazione (controllo della conservazione);
d) impedire che persone non autorizzate usino sistemi di trattamento automatizzato servendosi di attrezzature per la comunicazione di dati (controllo degli utilizzatori);
e) garantire che le persone autorizzate a usare un sistema di trattamento automatizzato possano accedere esclusivamente ai dati personali cui si riferisce la loro autorizzazione d'accesso (controllo dell'accesso ai dati);
f) garantire che sia possibile verificare e accertare a quali organismi possono essere trasmessi o sono stati trasmessi i dati personali servendosi di attrezzature di trasmissione di dati (controllo della comunicazione);
g) garantire che sia possibile verificare e accertare quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato, in quale momento e la persona che li ha introdotti (controllo dell'introduzione);
h) garantire che sia possibile verificare e accertare quali dati personali sono stati consultati, da quale membro del personale e in quale momento (registro di accesso);
i) impedire che dati personali possano essere letti, copiati, modificati o cancellati senza autorizzazione durante il trasferimento dei dati o il trasporto di supporti di dati (controllo del trasporto);
j) garantire che in caso di guasto i sistemi installati possano essere ripristinati immediatamente (ripristino);
k) garantire che le funzioni del sistema non siano difettose, che eventuali errori di funzionamento siano segnalati immediatamente (affidabilità) e che i dati personali conservati non possano essere corrotti dal cattivo funzionamento del sistema (integrità).
ARTICOLO 16
Autorità di controllo
1. Ogni parte contraente provvede affinché vi sia un'autorità pubblica indipendente responsabile della protezione dei dati (autorità di controllo) incaricata di vigilare sugli aspetti che incidono sul diritto alla vita privata delle persone, comprese le norme interne pertinenti ai sensi del presente accordo, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche in relazione al trattamento dei dati personali. Le parti contraenti si notificano reciprocamente l'autorità che ciascuna di esse considera autorità di controllo.
2. Le parti contraenti provvedono affinché ogni autorità di controllo:
a) assolva i suoi compiti ed eserciti i suoi poteri in piena indipendenza; detta autorità agisce senza pressioni esterne e non sollecita né accetta istruzioni; i suoi membri hanno un mandato garantito, comprese garanzie contro la rimozione arbitraria;
b) disponga delle risorse umane, tecniche e finanziarie, dei locali e dell'infrastruttura necessari per l'efficace svolgimento dei suoi compiti ed esercizio dei suoi poteri;
c) disponga di effettivi poteri di indagine e intervento che le consentano di esercitare una vigilanza sugli organismi che controlla e di agire in sede giudiziaria;
d) sia competente a trattare i reclami di singoli individui in relazione all'uso dei loro dati personali da parte delle autorità competenti sotto il suo controllo.
ARTICOLO 17
Ricorso amministrativo e giudiziario
Gli interessati hanno diritto a un ricorso effettivo in sede amministrativa e giudiziaria in caso di violazione dei diritti e delle garanzie riconosciuti dal presente accordo derivante dal trattamento dei loro dati personali. Le parti contraenti si notificano reciprocamente la legislazione interna che ciascuna di esse considera legislazione che conferisce i diritti garantiti dal presente articolo.
CAPO III
CONTROVERSIE
ARTICOLO 18
Risoluzione delle controversie
In caso di controversia sull'interpretazione, applicazione o attuazione del presente accordo o su qualsiasi questione correlata i rappresentanti delle parti contraenti si consultano e avviano negoziati al fine di giungere a una soluzione reciprocamente accettabile.
ARTICOLO 19
Clausola di sospensione
1. In caso di violazione sostanziale o di mancato adempimento degli obblighi derivanti dal presente accordo, ciascuna parte contraente può sospenderlo temporaneamente, in parte o in tutto, mediante notificazione scritta per via diplomatica all'altra parte contraente. Tale notificazione scritta può essere effettuata solo dopo che le parti contraenti si sono impegnate in un ragionevole periodo di consultazione senza giungere a una soluzione, e la sospensione ha effetto decorsi venti giorni dalla data di ricezione della notifica. La sospensione può essere revocata dalla parte contraente che l'ha notificata, mediante notificazione scritta all’altra parte contraente. La sospensione è revocata non appena ricevuta tale notifica.
2. Nonostante la sospensione del presente accordo, i dati personali che rientrano nel suo ambito di applicazione e che sono stati trasferiti prima della sospensione del presente accordo continuano a essere trattati conformemente al presente accordo.
ARTICOLO 20
Denuncia
1. Il presente accordo può essere denunciato in qualsiasi momento da una delle parti contraenti mediante notificazione scritta per via diplomatica con preavviso di tre mesi.
2. I dati personali che rientrano nell'ambito di applicazione del presente accordo e che sono stati trasferiti prima della denuncia del presente accordo continuano a essere trattati conformemente al presente accordo al momento della sua denuncia.
3. In caso di denuncia del presente accordo le parti contraenti raggiungono un accordo sull'ulteriore uso e conservazione delle informazioni che sono già state scambiate tra loro.
CAPO IV
DISPOSIZIONI FINALI
ARTICOLO 21
Relazione con altri strumenti internazionali
1. Il presente accordo non pregiudica né incide o influisce in altro modo sulle disposizioni giuridiche relative allo scambio di informazioni previste da trattati di assistenza giudiziaria, altri accordi o intese di cooperazione o da rapporti di lavoro in materia di contrasto per lo scambio di informazioni tra la Nuova Zelanda e qualsiasi Stato membro dell'Unione.
2. Il presente accordo è integrato dall'accordo di lavoro che istituisce relazioni di cooperazione tra la polizia neozelandese e l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto.
ARTICOLO 22
Intesa amministrativa di attuazione
Le modalità della cooperazione tra le parti contraenti ai fini dell'attuazione del presente accordo sono oggetto di un'intesa amministrativa di attuazione conclusa tra Europol e le autorità competenti della Nuova Zelanda, conformemente al regolamento Europol.
ARTICOLO 23
Intesa amministrativa sulla riservatezza
Se necessario ai sensi del presente accordo, lo scambio di informazioni classificate UE è disciplinato da un'intesa amministrativa sulla riservatezza conclusa tra Europol e le autorità competenti della Nuova Zelanda.
ARTICOLO 24
Punto di contatto nazionale e ufficiali di collegamento
1. La Nuova Zelanda designa un punto di contatto nazionale che funge da punto di contatto centrale tra Europol e le autorità competenti della Nuova Zelanda. I compiti specifici del punto di contatto nazionale sono elencati nell'intesa amministrativa di attuazione di cui all'articolo 22. Il punto di contatto nazionale designato per la Nuova Zelanda è indicato nell'allegato IV.
2. Europol e la Nuova Zelanda rafforzano la cooperazione prevista dal presente accordo mediante l'invio di uno o più ufficiali di collegamento da parte della Nuova Zelanda. Europol può inviare uno o più ufficiali di collegamento in Nuova Zelanda.
ARTICOLO 25
Spese
Le parti contraenti provvedono affinché le autorità competenti sopportino le proprie spese derivanti dall'attuazione del presente accordo, salvo diversamente previsto nel presente accordo o stipulato nell'intesa amministrativa di attuazione di cui all'articolo 22.
ARTICOLO 26
Notificazione dell'attuazione
1. Ogni parte contraente provvede affinché le proprie autorità competenti rendano accessibile al pubblico un documento che delinea in modo comprensibile le disposizioni relative al trattamento dei dati personali trasferiti ai sensi del presente accordo, compresi i mezzi a disposizione degli interessati per l'esercizio dei loro diritti. Ciascuna parte contraente provvede affinché una copia di tale documento sia notificata all'altra parte contraente.
2. Qualora non esistano già, le autorità competenti adottano norme che specificano il modo in cui sarà garantito nella pratica il rispetto delle disposizioni relative al trattamento dei dati personali trasferiti ai sensi del presente accordo. Una copia di tali norme è notificata all'altra parte contraente e alle rispettive autorità di controllo.
ARTICOLO 27
Entrata in vigore e applicazione
1. Il presente accordo è approvato dalle parti contraenti secondo le rispettive procedure.
2. Il presente accordo entra in vigore alla data di ricevimento dell'ultima notifica scritta con cui le parti contraenti si sono notificate reciprocamente, per via diplomatica, l'avvenuto espletamento delle procedure di cui al paragrafo 1.
3. Il presente accordo è applicabile il primo giorno successivo alla data in cui sono soddisfatte tutte le seguenti condizioni:
a) l'intesa amministrativa di attuazione di cui all'articolo 22 è divenuta applicabile; e
b) le parti contraenti si sono notificate reciprocamente che gli obblighi previsti dal presente accordo sono stati attuati, inclusi quelli di cui all'articolo 26, e che tale notifica è stata accettata.
4. Le parti contraenti si scambiano notifiche scritte per via diplomatica che confermano il soddisfacimento delle condizioni di cui al paragrafo 3.
ARTICOLO 28
Modifiche e integrazioni
1. Il presente accordo può essere modificato per iscritto in qualsiasi momento, di comune accordo tra le parti contraenti, mediante notifica scritta scambiata per via diplomatica. Le modifiche del presente accordo entrano in vigore secondo la procedura giuridica di cui all'articolo 27, paragrafi 1 e 2.
2. Gli allegati del presente accordo possono essere aggiornati, se necessario, mediante scambio di note diplomatiche. Gli aggiornamenti entrano in vigore secondo la procedura giuridica di cui all'articolo 27, paragrafi 1 e 2.
3. Le parti contraenti avviano consultazioni in merito alla modifica del presente accordo o dei suoi allegati su richiesta di una delle parti contraenti.
ARTICOLO 29
Riesame e valutazione
1. Le parti contraenti riesaminano congiuntamente l'attuazione del presente accordo un anno dopo la sua entrata in vigore e successivamente a intervalli regolari, nonché su richiesta di una delle parti contraenti e decisione congiunta.
2. Le parti contraenti valutano congiuntamente il presente accordo quattro anni dopo la sua data di applicazione.
3. Le parti contraenti decidono in anticipo le modalità del riesame dell'attuazione del presente accordo e si comunicano reciprocamente la composizione dei rispettivi gruppi. I gruppi comprendono esperti in materia di protezione dei dati e attività di contrasto. Fatta salva la normativa applicabile, tutti i partecipanti al riesame rispettano la riservatezza delle discussioni e hanno le idonee autorizzazioni di sicurezza. Ai fini di qualsiasi riesame, l'Unione e la Nuova Zelanda garantiscono l'accesso alla documentazione, ai sistemi e al personale pertinenti.
ARTICOLO 30
Applicabilità territoriale
1. Il presente accordo si applica al territorio in cui e nella misura in cui si applicano il TUE e il TFUE e al territorio della Nuova Zelanda.
2. Il presente accordo si applica al territorio della Danimarca solo se l'Unione notifica per iscritto alla Nuova Zelanda che la Danimarca ha scelto di essere vincolata dal presente accordo.
3. Se, prima della data di applicazione del del presente accordo, l'Unione notifica alla Nuova Zelanda che il presente accordo si applicherà al territorio della Danimarca, il presente accordo si applica al territorio della Danimarca lo stesso giorno in cui si applica agli altri Stati membri dell'Unione.
4. Se, dopo l'entrata in vigore del presente accordo, l'Unione notifica alla Nuova Zelanda che il presente accordo si applica al territorio della Danimarca, il presente accordo si applica al territorio della Danimarca 30 giorni dopo la data di tale notifica.
ARTICOLO 31
Il presente accordo è redatto in duplice esemplare nelle lingue bulgara, ceca, croata, danese, estone, finlandese, francese, greca, inglese, irlandese, italiana, lettone, lituana, maltese, olandese, polacca, portoghese, rumena, slovacca, slovena, spagnola, svedese, tedesca e ungherese, ciascun testo facente ugualmente fede.
IN FEDE DI CHE i plenipotenziari sottoscritti, debitamente autorizzati a tal fine, hanno firmato il presente accordo.
Fatto a Bruxelles, addì trenta giugno duemilaventidue.