3 luglio 2020
Decisione (UE) 3 luglio 2020, n. 2020/969
Decisione (UE) 2020/969 della Commissione del 3 luglio 2020 che stabilisce norme di attuazione riguardanti il responsabile della protezione dei dati, le limitazioni dei diritti degli interessati e l’applicazione del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, e che abroga la decisione 2008/597/CE della Commissione.
(Decisione 03/07/2020, n. 2020/969, pubblicata in G.U.U.E. 6 luglio 2020, n. L 213)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 249, paragrafo 1,
visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE, in particolare l’articolo 45, paragrafo 3,
considerando quanto segue:
(1) Per assicurare il corretto funzionamento dell’ufficio del responsabile della protezione dei dati della Commissione, è necessario stabilire in dettaglio i compiti, gli obblighi e i poteri del responsabile della protezione dei dati.
(2) Il regolamento (UE) 2018/1725 assegna chiare responsabilità ai titolari del trattamento, in particolare nei confronti degli interessati. Onde garantire che la Commissione, in qualità di titolare del trattamento, agisca in modo uniforme e trasparente per quanto riguarda le sue responsabilità, dovrebbero essere disposte norme che permettano di identificare chi, presso il servizio o i servizi della Commissione, è responsabile di un trattamento svolto per conto della Commissione. A tale riguardo è opportuno introdurre la nozione di titolare del trattamento delegato, per indicare precisamente le responsabilità delle entità della Commissione, in particolare per quanto concerne le decisioni individuali relative ai diritti degli interessati. È inoltre opportuno introdurre la nozione di titolare del trattamento operativo, che, sotto la responsabilità del titolare del trattamento delegato, è incaricato di garantire nella pratica l’osservanza delle norme e di esaminare le richieste degli interessati riguardo a un trattamento. La nomina di un titolare del trattamento operativo non impedisce di ricorrere nella pratica a un punto di contatto, ad esempio nella forma di una casella di posta elettronica funzionale a cui possono essere inviate le richieste degli interessati.
(3) In alcuni casi, più servizi della Commissione possono effettuare congiuntamente un trattamento per assolvere alle proprie funzioni. In tali circostanze dovrebbero garantire l’esistenza di accordi interni per determinare in modo trasparente le rispettive responsabilità ai sensi del regolamento (UE) 2018/1725, in particolare le responsabilità nei confronti degli interessati e relativamente alla notifica al Garante europeo della protezione dei dati e alla tenuta dei registri.
(4) Onde facilitare l’esercizio delle responsabilità dei titolari del trattamento delegati, ogni servizio della Commissione dovrebbe nominare un coordinatore per la protezione dei dati. Il coordinatore per la protezione dei dati dovrebbe partecipare alla rete dei coordinatori per la protezione dei dati della Commissione per garantire un’attuazione e un’interpretazione coerenti del regolamento (UE) 2018/1725 in seno alla Commissione e per discutere questioni di interesse comune.
(5) Per quanto riguarda il compito di attribuzione delle responsabilità ai sensi dell’articolo 45, paragrafo 1, lettera b), del regolamento (UE) 2018/1725, il responsabile della protezione dei dati dovrebbe emanare orientamenti supplementari sulla funzione del coordinatore per la protezione dei dati.
(6) La Commissione tratta diverse categorie di dati personali nel quadro delle attività di controllo, indagine, revisione e consulenza del responsabile della protezione dei dati. Tratta in particolare i dati identificativi, i dati di contatto, i dati professionali e i dati sul ruolo svolto nella vicenda oggetto dell’indagine. Tali dati sono conservati per cinque anni dopo la chiusura delle attività conformemente all’elenco comune della Commissione per la conservazione delle pratiche.
(7) In alcune circostanze è necessario conciliare i diritti degli interessati ai sensi del regolamento (UE) 2018/1725 con la necessità, per la Commissione, dello svolgimento delle attività di controllo, indagine, revisione o consulenza del responsabile della protezione dei dati, con la necessità di riservatezza degli scambi di informazioni con altri servizi della Commissione, così come con il pieno rispetto dei diritti e delle libertà fondamentali di altri interessati. A tal fine l’articolo 25, paragrafo 1, del regolamento (UE) 2018/1725 offre alla Commissione la possibilità di limitare l’applicazione degli articoli da 14 a 17 e degli articoli 19, 20 e 35, nonché del principio di trasparenza di cui all’articolo 4, paragrafo 1, lettera a), nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 17 e agli articoli 19 e 20 di tale regolamento.
(8) Al fine di garantire la riservatezza e l’efficacia dei compiti di controllo, indagine, revisione o consulenza del responsabile della protezione dei dati nel rispetto del livello di protezione dei dati personali a norma del regolamento (UE) 2018/1725, è necessario adottare norme interne secondo le quali il responsabile della protezione dei dati può limitare i diritti degli interessati conformemente all’articolo 25 di tale regolamento.
(9) Le norme interne dovrebbero applicarsi a tutti i trattamenti di dati effettuati dalla Commissione nello svolgimento dei compiti di controllo, indagine, revisione o consulenza del responsabile della protezione dei dati. Dovrebbero applicarsi ai trattamenti eseguiti prima dell’avvio di un’indagine o di una revisione, durante un’indagine o una revisione, e durante il controllo del seguito dato agli esiti di un’indagine o una revisione. Dette norme dovrebbero altresì applicarsi ai trattamenti rientranti nei compiti connessi alla funzione di indagine o di revisione del responsabile della protezione dei dati, come i procedimenti legati a reclami svolti dal responsabile della protezione dei dati. Dovrebbero infine applicarsi al controllo da parte del responsabile della protezione dei dati e alle sue consultazioni, quando questi coopera e fornisce assistenza ai servizi della Commissione al di fuori delle sue revisioni e indagini amministrative.
(10) Ai fini dell’osservanza degli articoli 14, 15 e 16 del regolamento (UE) 2018/1725, la Commissione dovrebbe informare tutte le persone fisiche in merito ai compiti di controllo, indagine, revisione o consulenza del responsabile della protezione dei dati che implicano il trattamento dei loro dati personali, e in merito ai loro diritti ai sensi del regolamento (UE) 2018/1725. La Commissione dovrebbe informare tali persone in modo trasparente e coerente, con informative sulla protezione dei dati pubblicate sul proprio sito web, e dovrebbe altresì informare ogni persona interessata da un’attività di controllo, indagine, revisione o consulenza del responsabile della protezione dei dati.
(11) In determinate circostanze è possibile che la Commissione debba limitare la comunicazione di informazioni agli interessati e l’applicazione di altri loro diritti. Questo per tutelare i compiti di controllo, indagine, revisione o consulenza del responsabile della protezione dei dati, le indagini e i procedimenti correlati di altri servizi della Commissione, gli strumenti e i metodi delle indagini e delle revisioni del responsabile della protezione dei dati, così come i diritti di altre persone collegati ai compiti del responsabile della protezione dei dati.
(12) In alcuni casi comunicare agli interessati informazioni particolari o rivelare l’esistenza di un’attività di controllo, indagine, revisione o consulenza del responsabile della protezione dei dati potrebbe ostacolare del tutto o compromettere seriamente la finalità del trattamento e la capacità del responsabile della protezione dei dati di svolgere tale attività.
(13) La Commissione dovrebbe inoltre proteggere l’identità degli informatori, che non dovrebbero subire ripercussioni negative come conseguenza della loro cooperazione con il responsabile della protezione dei dati.
(14) Per tali ragioni la Commissione potrebbe dover applicare, ai trattamenti dei dati eseguiti nel quadro dei compiti di controllo, indagine, revisione o consulenza del responsabile della protezione dei dati di cui all’articolo 45 del regolamento (UE) 2018/1725, delle limitazioni sulla base dei motivi di cui all’articolo 25, paragrafo 1, lettere c), g) e h) dello stesso regolamento.
(15) Allo scopo di mantenere una cooperazione efficace è inoltre possibile che la Commissione debba applicare limitazioni ai diritti degli interessati per proteggere le informazioni contenenti dati personali provenienti da altri servizi della Commissione, istituzioni od organismi dell’Unione. A questo scopo il responsabile della protezione dei dati dovrebbe consultare tali servizi, istituzioni od organismi sui motivi pertinenti delle limitazioni e sulla loro necessità e proporzionalità.
(16) Nel quadro dei compiti di controllo, indagine, revisione o consulenza, il responsabile della protezione dei dati scambia informazioni, compresi dati personali, con altri servizi della Commissione. Pertanto, tutti i servizi della Commissione che trattano dati personali nel quadro di un trattamento da parte del responsabile della protezione dei dati nello svolgimento dei suoi compiti dovrebbero applicare le norme di cui alla presente decisione nell’intento di proteggere tali trattamenti eseguiti dal responsabile della protezione dei dati. In tali circostanze i servizi della Commissione interessati dovrebbero quindi consultare il responsabile della protezione dei dati in merito ai pertinenti motivi delle limitazioni e alla loro necessità e proporzionalità al fine di garantirne un’applicazione coerente.
(17) Il responsabile della protezione dei dati e, se del caso, gli altri servizi della Commissione, dovrebbero gestire tutte le limitazioni in modo trasparente e registrare ogni applicazione delle limitazioni nel corrispondente sistema di registrazione.
(18) A norma dell’articolo 25, paragrafo 8, del regolamento (UE) 2018/1725, i titolari del trattamento possono rinviare la comunicazione all’interessato di informazioni relative ai motivi dell’applicazione di una limitazione o astenersi da tale comunicazione qualora ciò comprometta in qualsiasi modo la finalità di tale limitazione. In particolare, qualora si applichi una limitazione ai diritti di cui agli articoli 16 e 35, la relativa notifica ne comprometterebbe la finalità. Al fine di garantire che il diritto dell’interessato ad essere informato conformemente agli articoli 16 e 35 del regolamento (UE) 2018/1725 sia limitato solo durante il periodo in cui permangono i motivi per il rinvio della comunicazione, la Commissione dovrebbe riesaminare periodicamente la propria posizione.
(19) Qualora sia applicata una limitazione di altri diritti degli interessati, il responsabile della protezione dei dati dovrebbe valutare caso per caso se la comunicazione della limitazione ne comprometta la finalità.
(20) Il responsabile della protezione dei dati dovrebbe effettuare un riesame indipendente dell’applicazione delle limitazioni imposte sulla base della presente decisione da altri servizi della Commissione, al fine di garantire l’osservanza della presente decisione.
(21) È opportuno che qualsiasi limitazione applicata sulla base della presente decisione sia necessaria e proporzionata, tenuto conto dei rischi per i diritti e le libertà degli interessati.
(22) Conformemente all’articolo 41, paragrafi 1 e 2, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati è stato informato e consultato e ha espresso un parere il 16 settembre 2019.
(23) La decisione 2008/597/CE della Commissione stabilisce norme di attuazione relative al responsabile della protezione dei dati ai sensi del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio. Il regolamento (UE) 2018/1725 ha abrogato il regolamento (CE) n. 45/2001 con decorrenza dall’11 dicembre 2019. Per garantire che al responsabile della protezione dei dati si applichi un solo insieme di norme di attuazione è opportuno abrogare anche la decisione 2008/597/CE,
HA ADOTTATO LA PRESENTE DECISIONE:
CAPO 1
DISPOSIZIONI GENERALI
Articolo 1
Oggetto e ambito di applicazione
1. La presente decisione stabilisce le norme e le procedure per l’applicazione del regolamento (UE) 2018/1725 da parte della Commissione nonché le norme di attuazione relative al responsabile della protezione dei dati per la Commissione.
2. La presente decisione stabilisce anche le norme che la Commissione deve rispettare, in relazione ai compiti di controllo, indagine, revisione e consulenza del responsabile della protezione dei dati, per informare gli interessati del trattamento dei loro dati personali conformemente agli articoli 14, 15 e 16 del regolamento (UE) 2018/1725.
3. La presente decisione stabilisce inoltre le condizioni alle quali la Commissione, in relazione ai compiti di controllo, indagine, revisione e consulenza del responsabile della protezione dei dati, può limitare l’applicazione dell’articolo 4, degli articoli da 14 a 17 e degli articoli 19, 20 e 35 del regolamento (UE) 2018/1725 conformemente all’articolo 25, paragrafo 1, lettere c), g) e h), di tale regolamento.
4. La presente decisione si applica al trattamento dei dati personali da parte della Commissione ai fini dei compiti del responsabile della protezione dei dati di cui all’articolo 45 del regolamento (UE) 2018/1725, in particolare i compiti di controllo, indagine, revisione e consulenza, o in relazione a tali compiti.
Articolo 2
Titolarità del trattamento
Ai fini della presente decisione la Commissione è considerata il titolare del trattamento ai sensi dell’articolo 3, punto 8, del regolamento (UE) 2018/1725.
Articolo 3
Definizioni
Ai fini della presente decisione si applicano le seguenti definizioni:
(1) «responsabile della protezione dei dati»: la persona designata dalla Commissione ai sensi dell’articolo 43 del regolamento (UE) 2018/1725;
(2) «compiti del responsabile della protezione dei dati»: i compiti del responsabile della protezione dei dati di cui all’articolo 45 del regolamento (UE) 2018/1725, in particolare i compiti di controllo, indagine, revisione e consulenza;
(3) «coordinatore per la protezione dei dati»: il membro del personale della Commissione nominato da una direzione generale o da un servizio della Commissione per fornire consulenza e assistenza a tale direzione generale o servizio in tutti gli aspetti della protezione dei dati personali;
(4) «titolare del trattamento delegato»: la persona a capo di una direzione generale, di un servizio o di un gabinetto, che effettua un trattamento per conto della Commissione nell’adempimento dei compiti di tale direzione generale, servizio o gabinetto;
(5) «titolare del trattamento operativo»: il membro del personale della Commissione con funzioni dirigenziali intermedie o alte, designato dal titolare del trattamento delegato per garantire la tenuta di un registro dei trattamenti e fungere da punto di contatto principale per gli interessati in relazione a tali trattamenti;
(6) «accordo interno»: qualsiasi accordo fra due o più direzioni generali o servizi per definire le rispettive responsabilità e coordinare la tenuta di un registro dei trattamenti che effettuano congiuntamente o qualora una o più direzioni generali o servizi effettuino una parte del trattamento del titolare del trattamento delegato;
(7) «informatore»: chi porta all’attenzione del responsabile della protezione dei dati una presunta violazione delle disposizioni del regolamento (UE) 2018/1725 o chiede che il responsabile della protezione dei dati indaghi su questioni e fatti che sono direttamente collegati con i suoi compiti e che tale persona porta alla sua conoscenza.
CAPO 2
RESPONSABILE DELLA PROTEZIONE DEI DATI E COORDINATORE PER LA PROTEZIONE DEI DATI
Articolo 4
Designazione e carica
Il responsabile della protezione dei dati è scelto fra il personale della Commissione sulla base delle sue qualità professionali, compresa una conoscenza approfondita dei servizi della Commissione, della loro struttura e delle loro norme e procedure amministrative.
Articolo 5
Compiti e obblighi
1. Il responsabile della protezione dei dati contribuisce alla creazione di una cultura della protezione dei dati personali in seno alla Commissione, basata sulla valutazione dei rischi e sulla responsabilizzazione.
2. Il responsabile della protezione dei dati controlla l’applicazione del regolamento (UE) 2018/1725 in seno alla Commissione, tra l’altro stabilendo ed eseguendo annualmente un programma di lavoro relativo a ispezioni e revisioni.
3. Il responsabile della protezione dei dati organizza e presiede le riunioni periodiche dei coordinatori per la protezione dei dati.
4. Il responsabile della protezione dei dati tiene le registrazioni delle attività di trattamento della Commissione in un registro centrale accessibile al pubblico.
Il responsabile della protezione dei dati tiene inoltre un registro interno della Commissione sulle violazioni dei dati personali ai sensi dell’articolo 3, punto 16, del regolamento (UE) 2018/1725.
5. Nell’esercizio delle sue funzioni il responsabile della protezione dei dati coopera con i responsabili della protezione dei dati designati dalle altre istituzioni e dagli altri organi dell’Unione.
6. In relazione ai suoi trattamenti, il responsabile della protezione dei dati è considerato il titolare del trattamento delegato ai fini delle decisioni individuali riguardanti i diritti degli interessati ai sensi del regolamento (UE) 2018/1725.
Articolo 6
Poteri
Nell’espletare i suoi compiti, il responsabile della protezione dei dati:
a) ha accesso, ove necessario per lo svolgimento dei suoi compiti, ai dati oggetto del trattamento e a tutti gli uffici, alle installazioni per il trattamento dei dati e ai supporti di dati;
b) può chiedere pareri al servizio giuridico della Commissione;
c) può, in caso di conflitto con il titolare del trattamento delegato, il titolare del trattamento operativo o il responsabile del trattamento sull’interpretazione o sull’applicazione del regolamento (UE) 2018/1725, informare il titolare del trattamento delegato competente e il segretario generale;
d) può assegnare fascicoli alle direzioni generali o ai servizi della Commissione interessati affinché sia dato un adeguato seguito;
e) può, su richiesta o di propria iniziativa, svolgere indagini sulle questioni e sui fatti direttamente collegati con i suoi compiti conformemente alla procedura di cui all’articolo 11;
f) può, nel formulare raccomandazioni e fornire consulenza:
i) chiedere al titolare del trattamento delegato o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti che gli derivano dal regolamento (UE) 2018/1725;
ii) rivolgere avvertimenti al titolare del trattamento delegato o al responsabile del trattamento quando un trattamento viola le disposizioni del regolamento (UE) 2018/1725, e chiedere loro di conformare i trattamenti a tali disposizioni, se del caso, in una determinata maniera ed entro un determinato termine;
iii) chiedere al titolare del trattamento delegato o al responsabile del trattamento di sospendere i flussi di dati verso un destinatario in uno Stato membro o in un paese terzo o verso un’organizzazione internazionale;
iv) chiedere al titolare del trattamento delegato o al responsabile del trattamento di riferirgli entro un termine stabilito sul seguito dato a una raccomandazione o a un consiglio da esso formulato;
g) può portare all’attenzione del segretario generale eventuali casi di inosservanza, da parte di un titolare del trattamento delegato, di un titolare del trattamento operativo o di un responsabile del trattamento, delle misure adottate ai sensi dell’articolo 6, lettera f);
h) è responsabile delle decisioni iniziali sulle richieste di accesso a documenti detenuti dal suo ufficio ai sensi del regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio.
Articolo 7
Coordinatori per la protezione dei dati
1. Il titolare del trattamento delegato nomina un coordinatore per la protezione dei dati e, se del caso, uno o più coordinatori aggiunti per la protezione dei dati nella direzione generale o nel servizio sotto la sua responsabilità. Due o più titolari del trattamento delegati possono, per ragioni di coerenza o efficienza, decidere di nominare un coordinatore per la protezione dei dati comune o un coordinatore aggiunto per la protezione dei dati comune, oppure decidere di condividere i servizi di un coordinatore per la protezione dei dati o di un coordinatore aggiunto per la protezione dei dati già nominati. I titolari del trattamento delegati interessati registrano per iscritto il loro accordo a tale riguardo.
2. Il coordinatore per la protezione dei dati nominato da una direzione generale o da un servizio è competente anche per il gabinetto responsabile di tale direzione generale o servizio. Il coordinatore per la protezione dei dati nominato per il segretariato generale è competente per il gabinetto del presidente e per i gabinetti per i quali il segretariato generale è l’unico servizio di supporto. Qualora un gabinetto sia responsabile per più direzioni generali o servizi, i titolari del trattamento delegati decidono quali dei loro rispettivi coordinatori per la protezione dei dati debbano essere competenti per tale gabinetto.
3. Il responsabile della protezione dei dati, il personale della direzione generale o del servizio competente e il gabinetto competente sono informati di ogni nuova nomina di un coordinatore per la protezione dei dati.
Entro sei mesi dalla nomina, i nuovi coordinatori per la protezione dei dati completano una formazione per acquisire le competenze necessarie per il loro ruolo. Sono dispensati da tale requisito di formazione i coordinatori per la protezione dei dati che hanno precedentemente ricoperto un posto di coordinatore per la protezione dei dati in un’altra direzione generale o in un altro servizio, o che sono Stati membri del personale del responsabile della protezione dei dati nei due anni precedenti la nomina a coordinatori per la protezione dei dati.
4. I titolari del trattamento delegati prendono le disposizioni opportune per garantire che il coordinatore per la protezione dei dati sia coinvolto in maniera appropriata e tempestiva in tutte le questioni relative alla protezione dei dati nella loro direzione generale o nel loro servizio, e che, su richiesta del coordinatore per la protezione dei dati, i suoi pareri siano portati alla loro attenzione.
5. I coordinatori per la protezione dei dati sono scelti in base alla loro conoscenza ed esperienza del funzionamento della rispettiva direzione generale o servizio, alla motivazione per tale carica, alle competenze riguardanti la protezione dei dati, alla conoscenza dei principi di funzionamento dei sistemi d’informazione e alle competenze comunicative.
6. La funzione di coordinatore per la protezione dei dati può essere combinata con altre funzioni. Il titolare del trattamento delegato garantisce che tali funzioni siano compatibili con quella di coordinatore per la protezione dei dati
7. La funzione di coordinatore per la protezione dei dati rientra nella descrizione delle mansioni di ciascun membro del personale nominato a tale carica. Le responsabilità e i risultati ottenuti sono indicati nel rapporto di valutazione annuale.
8. Il coordinatore per la protezione dei dati funge da punto di contatto fra il titolare del trattamento delegato, il titolare del trattamento operativo e il responsabile del trattamento, e il responsabile della protezione dei dati.
9. I coordinatori per la protezione dei dati hanno il diritto di ottenere qualsiasi informazione, nella loro direzione generale o nel loro servizio, necessaria per lo svolgimento dei loro compiti. I coordinatori per la protezione dei dati accedono ai dati personali solo se necessario per lo svolgimento dei loro compiti.
10. Il coordinatore per la protezione dei dati tiene registri delle richieste presentate dagli interessati alla direzione generale, al servizio o al gabinetto e ne fornisce statistiche anonimizzate, specificando il numero delle richieste e il numero delle richieste respinte in tutto o in parte. Il responsabile della protezione dei dati specifica le categorie di richieste di cui sono tenute statistiche. Il responsabile della protezione dei dati può specificare quali ulteriori dettagli vadano forniti.
Il coordinatore per la protezione dei dati tiene statistiche anonimizzate delle violazioni di dati personali gestite dalla direzione generale, dal servizio o dal gabinetto, specificando il numero totale di tali violazioni, il numero di tali violazioni notificate al Garante europeo della protezione dei dati e il numero di tali violazioni comunicate agli interessati.
11. Il coordinatore per la protezione dei dati sensibilizza il personale della sua direzione generale o del suo servizio alle questioni legate alla protezione dei dati e consiglia e assiste i titolari del trattamento delegati e i titolari del trattamento operativi nell’adempimento dei loro obblighi, specialmente per quanto riguarda:
a) l’attuazione dei principi generali del regolamento (UE) 2018/1725;
b) la documentazione dei trattamenti;
c) la presentazione, al responsabile della protezione dei dati, delle registrazioni dei trattamenti dei titolari del trattamento delegati ai sensi dell’articolo 10;
d) la preparazione delle informative sulla privacy.
12. Il coordinatore per la protezione dei dati partecipa alle riunioni e, ove necessario, ai gruppi di lavoro dei coordinatori per la protezione dei dati.
13. Il responsabile della protezione dei dati emana orientamenti supplementari sulle responsabilità e sulle funzioni del coordinatore per la protezione dei dati.
CAPO 3
TITOLARI DEL TRATTAMENTO
Articolo 8
Titolari del trattamento delegati e titolari del trattamento operativi
1. I titolari del trattamento delegati agiscono per conto della Commissione in qualità di titolare del trattamento ai fini dell’applicazione del regolamento (UE) 2018/1725.
2. I titolari del trattamento delegati e i titolari del trattamento operativi:
a) possono consultare il responsabile della protezione dei dati, tramite il coordinatore per la protezione dei dati, sulla conformità dei trattamenti, in particolare in caso di dubbi;
b) riferiscono al responsabile della protezione dei dati, tramite il coordinatore per la protezione dei dati, sul trattamento di qualsiasi richiesta ricevuta da un interessato ai fini dell’esercizio dei suoi diritti.
3. Il titolare del trattamento delegato:
a) designa un titolare del trattamento operativo che lo assista nel garantire l’osservanza del regolamento (UE) 2018/1725, in particolare nei confronti degli interessati;
b) garantisce che, qualora effettui trattamenti congiuntamente con altre direzioni generali o servizi o qualora tali direzioni generali o servizi effettuino una parte del suo trattamento, siano in vigore accordi interni con tali direzioni generali o servizi.
Gli accordi di cui al precedente comma determinano le rispettive responsabilità in merito all’adempimento degli obblighi di protezione dei dati. In particolare, identificano il titolare del trattamento delegato che determina i mezzi e le finalità del trattamento nonché il titolare del trattamento operativo del trattamento, e, se del caso, la persona e/o le entità che assistono il titolare del trattamento operativo, tra l’altro, fornendo informazioni in caso di violazioni dei dati o per soddisfare i diritti degli interessati.
4. Il titolare del trattamento operativo:
a) riceve e tratta tutte le richieste degli interessati;
b) notifica al Garante europeo della protezione dei dati qualsiasi violazione dei dati personali;
c) informa il coordinatore per la protezione dei dati e il responsabile della protezione dei dati in caso di violazione dei dati personali e, se del caso, ne dà notifica all’interessato;
d) garantisce che il coordinatore per la protezione dei dati sia tenuto al corrente di tutte le questioni relative alla protezione dei dati, in particolare le richieste degli interessati;
e) svolge, su richiesta del titolare del trattamento delegato, qualsiasi altro compito rientrante nell’ambito di applicazione della presente decisione.
CAPO 4
ALTRI OBBLIGHI E PROCEDURE
Articolo 9
Attività di informazione
Il titolare del trattamento delegato, in cooperazione con il coordinatore per la protezione dei dati, informa il responsabile della protezione dei dati quando consulta o informa il Garante europeo della protezione dei dati conformemente al regolamento (UE) 2018/1725, in particolare ai sensi degli articoli 40 e 41 di tale regolamento. Inoltre, il titolare del trattamento delegato, il titolare del trattamento operativo o il coordinatore per la protezione dei dati informa il responsabile della protezione dei dati di ogni altra interazione diretta con il Garante europeo della protezione dei dati relativa all’attuazione del regolamento (UE) 2018/1725.
Articolo 10
Registro
1. Il responsabile della protezione dei dati assicura che il registro dei trattamenti della Commissione sia accessibile dal proprio sito web sul sito Intranet della Commissione e dal proprio sito web sul sito web Europa.
2. I titolari del trattamento delegati notificano al responsabile della protezione dei dati, tramite il loro coordinatore per la protezione dei dati, le registrazioni dei loro trattamenti utilizzando il sistema di notifica online della Commissione, accessibile dal sito web del responsabile della protezione dei dati sul sito Intranet della Commissione.
Articolo 11
Procedura di indagine
1. La richiesta di indagine di cui all’articolo 6, lettera e), è rivolta al responsabile della protezione dei dati per iscritto. Entro 15 giorni lavorativi dal ricevimento, il responsabile della protezione dei dati invia una conferma di ricevimento alla persona che lo ha incaricato dell’indagine e verifica se occorra garantire la riservatezza della richiesta, a meno che l’interessato non acconsenta esplicitamente a che sia trattata in modo diverso. In caso di palese abuso del diritto di richiedere un’indagine, il responsabile della protezione dei dati non è tenuto a riferire al richiedente.
2. Il responsabile della protezione dei dati chiede una dichiarazione scritta sulla questione al titolare del trattamento delegato competente per il trattamento dei dati in questione. Il titolare del trattamento delegato risponde al responsabile della protezione dei dati entro 15 giorni lavorativi. Il responsabile della protezione dei dati può chiedere informazioni complementari al titolare del trattamento delegato, al responsabile del trattamento o ad altre parti entro 15 giorni lavorativi.
3. Il responsabile della protezione dei dati riferisce alla persona che lo ha incaricato dell’indagine entro tre mesi dal ricevimento della richiesta. Tale termine può essere sospeso finché il responsabile della protezione dei dati non abbia ottenuto tutte le informazioni complementari eventualmente richieste.
4. Nessuno può subire pregiudizio per una questione portata all’attenzione del responsabile della protezione dei dati e riguardante un’asserita violazione delle disposizioni del regolamento (UE) 2018/1725.
Articolo 12
Amministrazione e gestione
1. Il responsabile della protezione dei dati afferisce amministrativamente al segretariato generale. In tale contesto, il responsabile della protezione dei dati partecipa alla preparazione del piano di gestione annuale e del progetto preliminare di bilancio del segretariato generale.
2. Il responsabile della protezione dei dati è il valutatore per il personale dell’ufficio per la protezione dei dati. Il segretario generale aggiunto è il vidimatore. Il responsabile della protezione dei dati partecipa se del caso al coordinamento della gestione del segretariato generale.
CAPO 5
LIMITAZIONE DEI DIRITTI DELL’INTERESSATO
Articolo 13
Eccezioni e limitazioni applicabili
1. Qualora eserciti le sue funzioni in relazione ai diritti degli interessati a norma del regolamento (UE) 2018/1725, la Commissione valuta se si applichi una delle eccezioni stabilite in tale regolamento.
2. Fatti salvi gli articoli da 14 a 18 della presente decisione, la Commissione può limitare l’applicazione degli articoli da 14 a 17 e degli articoli 19, 20 e 35 del regolamento (UE) 2018/1725, nonché il principio di trasparenza di cui all’articolo 4, paragrafo 1, lettera a), di tale regolamento nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 17 e agli articoli 19 e 20 del regolamento (UE) 2018/1725, qualora l’esercizio di tali diritti e obblighi rischi di pregiudicare gli obiettivi dei compiti del responsabile della protezione dei dati, ad esempio rivelandone gli strumenti e i metodi di indagine o revisione, o di ledere i diritti e le libertà di altri interessati conformemente all’articolo 25, paragrafo 1, lettere c), g) e h).
3. Fatti salvi gli articoli da 14 a 18 della presente decisione, la Commissione può limitare i diritti e gli obblighi di cui al paragrafo 2 del presente articolo in relazione ai dati personali che il responsabile della protezione dei dati ha ottenuto dai servizi della Commissione o da altre istituzioni e organi dell’Unione. La Commissione può precedere in tal senso quando l’esercizio di detti diritti e obblighi potrebbe essere limitato da tali servizi della Commissione o altre istituzioni o organi dell’Unione sulla base di altri atti di cui all’articolo 25 del regolamento (UE) 2018/1725 o conformemente al capo IX di detto regolamento oppure conformemente al regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio o al regolamento (UE) 2017/1939 del Consiglio.
Prima di applicare le limitazioni nei casi di cui al primo comma, la Commissione consulta l’istituzione o gli organi pertinenti dell’Unione, a meno che non le risulti evidente che l’applicazione di una limitazione è prevista da uno degli atti di cui al suddetto comma.
4. Qualsiasi limitazione all’applicazione di diritti e obblighi ai sensi del paragrafo 2 è necessaria e proporzionata, tenuto conto dei rischi per i diritti e le libertà degli interessati.
Articolo 14
Comunicazione di informazioni agli interessati
1. La Commissione pubblica sul suo sito web informative sulla protezione dei dati per informare tutti gli interessati riguardo ai compiti del responsabile della protezione dei dati che comportano il trattamento dei loro dati personali.
2. La Commissione informa individualmente, nella forma appropriata, chiunque essa consideri una persona interessata dai compiti del responsabile della protezione dei dati o un informatore.
3. Qualora limiti in tutto o in parte la comunicazione agli interessati delle informazioni di cui al paragrafo 2, la Commissione registra i motivi della limitazione e conserva la registrazione in un registro conformemente all’articolo 17.
Articolo 15
Diritto di accesso degli interessati, diritto alla cancellazione e diritto di limitazione del trattamento
1. Se limita, in tutto o in parte, il diritto di accesso ai dati personali degli interessati, il diritto alla cancellazione o il diritto di limitazione del trattamento di cui, rispettivamente, agli articoli 17, 19 e 20 del regolamento (UE) 2018/1725, la Commissione informa l’interessato, nella risposta alla richiesta di accesso, cancellazione o limitazione del trattamento, della limitazione applicata e dei suoi principali motivi, nonché della possibilità di proporre reclamo al Garante europeo della protezione dei dati o ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.
2. La comunicazione delle informazioni sui motivi della limitazione di cui al paragrafo 1 può essere rinviata, omessa o negata fintantoché sussiste il rischio di compromettere la finalità della limitazione stessa.
3. La Commissione registra i motivi della limitazione e conserva la registrazione in un registro conformemente all’articolo 17.
4. Qualora il diritto di accesso sia limitato in tutto o in parte, l’interessato è autorizzato a esercitare il suo diritto di accesso tramite il Garante europeo della protezione dei dati, conformemente all’articolo 25, paragrafi 6, 7 e 8, del regolamento (UE) 2018/1725.
Articolo 16
Comunicazione di una violazione dei dati personali all’interessato
Qualora limiti la comunicazione all’interessato di una violazione dei dati personali ai sensi dell’articolo 35 del regolamento (UE) 2018/1725, la Commissione registra i motivi della limitazione e conserva la registrazione in un registro conformemente all’articolo 17 della presente decisione.
Articolo 17
Registrazione delle limitazioni
1. La Commissione registra i motivi di qualsiasi limitazione applicata a norma della presente decisione, compresa una valutazione caso per caso della relativa necessità e proporzionalità, tenuto conto degli elementi pertinenti di cui all’articolo 25, paragrafo 2, del regolamento (UE) 2018/1725.
A tal fine la registrazione indica in che modo l’esercizio del diritto rischia di pregiudicare l’obiettivo dei compiti del responsabile della protezione dei dati a norma della presente decisione o le limitazioni applicate ai sensi dell’articolo 2, paragrafi 2 o 3, o di ledere i diritti e le libertà di altri interessati.
2. La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, questi sono messi a disposizione del Garante europeo della protezione dei dati.
Articolo 18
Durata delle limitazioni
1. Le limitazioni di cui agli articoli 14, 15 e 16 continuano ad applicarsi finché sussistono i motivi che le giustificano.
2. Qualora i motivi della limitazione di cui all’articolo 14 o 16 non siano più applicabili, la Commissione revoca la limitazione e spiega i motivi della limitazione all’interessato. Nel contempo la Commissione informa l’interessato della possibilità di proporre in qualsiasi momento reclamo al Garante europeo della protezione dei dati o ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.
3. La Commissione riesamina l’applicazione delle limitazioni di cui agli articoli 14 e 16 ogni sei mesi dopo l’adozione e comunque all’atto della chiusura della pertinente attività del responsabile della protezione dei dati. Successivamente la Commissione valuta su base annuale la necessità di mantenere eventuali limitazioni o rinvii.
Articolo 19
Riesame da parte del responsabile della protezione dei dati
1. Qualora altri servizi della Commissione concludano che i diritti dell’interessato debbano essere limitati a norma della presente decisione, ne informano il responsabile della protezione dei dati. Inoltre forniscono al responsabile della protezione dei dati l’accesso al registro e a tutti i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base.
2. Il responsabile della protezione dei dati può invitare il titolare del trattamento delegato del servizio della Commissione interessato a riesaminare l’applicazione delle limitazioni. Il titolare del trattamento delegato del servizio della Commissione interessato informa per iscritto il responsabile della protezione dei dati in merito all’esito del riesame richiesto.
CAPO 6
DISPOSIZIONI FINALI
Articolo 20
Abrogazione
La decisione 2008/597/CE è abrogata.
Articolo 21
Entrata in vigore
La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Fatto a Bruxelles, il 3 luglio 2020
Per la Commissione
La presidente
Ursula VON DER LEYEN