Articolo 59 – Regolamento ETIAS (EU 1240/2018)
Sicurezza del trattamento
1. eu-LISA, l’unità centrale ETIAS e le unità nazionali ETIAS garantiscono la sicurezza del trattamento di dati personali a norma del presente regolamento. eu-LISA, l’unità centrale ETIAS e le unità nazionali ETIAS cooperano nei compiti relativi alla sicurezza dei dati.
2. Fatto salvo l’articolo 22 del regolamento (CE) n. 45/2001, eu-LISA adotta le misure necessarie per garantire la sicurezza del sistema d’informazione ETIAS.
3. Fatti salvi l’articolo 22 del regolamento (CE) n. 45/2001 e gli articoli 32 e 34 del regolamento (UE) 2016/679, eu-LISA, l’unità centrale ETIAS e le unità nazionali ETIAS adottano le misure necessarie, compresi un piano di sicurezza e un piano di continuità operativa e di ripristino in caso di disastro, al fine di:
| a) | proteggere fisicamente i dati, tra l’altro mediante l’elaborazione di piani di emergenza per la protezione delle infrastrutture critiche; |
| b) | negare alle persone non autorizzate l’accesso al servizio web sicuro, al servizio di posta elettronica, al servizio di account sicuro, al portale per i vettori, allo strumento di verifica per i richiedenti e allo strumento di consenso per i richiedenti; |
| c) | negare alle persone non autorizzate l’accesso alle attrezzature usate per il trattamento di dati e alle strutture nazionali conformemente alle finalità dell’ETIAS; |
| d) | impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate; |
| e) | impedire che i dati siano inseriti senza autorizzazione e che sia presa visione senza autorizzazione dei dati personali registrati, o che gli stessi siano modificati o cancellati senza autorizzazione; |
| f) | impedire che persone non autorizzate usino sistemi di trattamento automatizzato di dati servendosi di attrezzature per la comunicazione di dati; |
| g) | impedire che i dati siano trattati nel sistema centrale ETIAS senza autorizzazione e che i dati trattati nel sistema centrale ETIAS siano modificati o cancellati senza autorizzazione; |
| h) | provvedere affinché le persone autorizzate ad accedere al sistema d’informazione ETIAS abbiano accesso solo ai dati previsti dalla loro autorizzazione di accesso, tramite identità di utente individuali e uniche ed esclusivamente con modalità di accesso riservato; |
| i) | provvedere affinché tutte le autorità con diritto di accesso al sistema d’informazione ETIAS creino profili che descrivano le funzioni e le responsabilità delle persone autorizzate ad accedere ai dati e mettano tali profili a disposizione delle autorità di controllo; |
| j) | provvedere affinché sia possibile verificare e stabilire a quali organismi possono essere trasmessi dati personali mediante apparecchiature di comunicazione di dati; |
| k) | provvedere affinché sia possibile verificare e stabilire quali dati sono stati trattati nel sistema d’informazione ETIAS, quando, da chi e per quale scopo; |
| l) | impedire, in particolare mediante tecniche appropriate di cifratura, che, all’atto della trasmissione di dati personali dal sistema centrale ETIAS o verso il medesimo ovvero durante il trasporto dei supporti di dati, tali dati personali siano letti, copiati, modificati o cancellati senza autorizzazione; |
| m) | provvedere affinché, in caso di interruzione, i sistemi installati possano essere ripristinati; |
| n) | garantire l’affidabilità, accertandosi che eventuali anomalie nel funzionamento dell’ETIAS siano adeguatamente segnalate e che siano adottate le misure tecniche necessarie per assicurare che i dati personali possano essere recuperati in caso di danneggiamento a causa di un malfunzionamento dell’ETIAS; |
| o) | monitorare l’efficacia delle misure di sicurezza di cui al presente paragrafo e adottare le necessarie misure organizzative relative al monitoraggio interno per garantire l’osservanza del presente regolamento. |
4. La Commissione adotta, mediante atti di esecuzione, un piano di sicurezza tipo e un piano di continuità operativa e di ripristino in caso di disastro tipo. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 90, paragrafo 2. Il consiglio di amministrazione di eu-LISA, il consiglio di amministrazione dell’Agenzia europea della guardia di frontiera e costiera e gli Stati membri adottano i piani di sicurezza e i piani di continuità operativa e di ripristino in caso di disastro rispettivamente per eu-LISA, per l’unità centrale ETIAS e per le unità nazionali ETIAS. Essi utilizzano come base i piani tipo adottati dalla Commissione, adattati per quanto necessario.
5. eu-LISA informa il Parlamento europeo, il Consiglio e la Commissione nonché il Garante europeo della protezione dei dati, delle misure da essa adottate in conformità del presente articolo.
