vistoil regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18dicembre 2000, concernente la tutela delle persone fisiche in relazione altrattamento dei dati personali da parte delle istituzioni e degli organismidell'Unione, nonché la libera circolazione di tali dati (1)L'articolo 8 della Carta dei diritti fondamentali e l'articolo 16 del Trattatosul funzionamento dell'Unione europea stabiliscono che il rispetto delle normerelative alla protezione delle persone fisiche con riguardo al trattamento deidati di carattere personale che le riguardano da parte delle istituzioni, degliorganismi, degli uffici e delle agenzie dell'Unione è soggetto al controllo diun'autorità indipendente. (2)Il regolamento (CE) n. 45/2001 stabilisce l'istituzione di un'autoritàindipendente, denominata Garante europeo della protezione dei dati, incaricatadi garantire il rispetto dei diritti e delle libertà fondamentali delle personefisiche, segnatamente del diritto alla vita privata, riguardo al trattamentodei dati personali da parte delle istituzioni e degli organismi dell'Unione. (3)Il regolamento (CE) n. 45/2001 stabilisce inoltre gli obblighi e le competenzedel Garante europeo della protezione dei dati, nonché la nomina del Garanteeuropeo della protezione dei dati e di un Garante aggiunto. (4)Il regolamento (CE) n. 45/2001 stabilisce altresì che il Garante europeo dellaprotezione dei dati è assistito da un segretariato e prescrive una serie didisposizioni riguardanti sia il personale che le questioni fiscali. (5)La decisione n. 1247/2002/CE del Parlamento europeo, del Consiglio e dellaCommissione, del 1° luglio 2002, relativa allo statuto e alle condizionigenerali d'esercizio delle funzioni di Garante europeo della protezione deidati, stabilisce una serie di disposizioni supplementari sull'argomento (6)Altre disposizioni del diritto dell'Unione stabiliscono ulteriori obblighi ecompetenze del Garante europeo della protezione dei dati,
Articolo 1: esercizio di funzioni e competenze IlGarante europeo della protezione dei dati esercita le funzioni e le competenzeistituite dal regolamento (CE) n. 45/2001 e da altre disposizioni del dirittodell'Unione.
Articolo 2: definizioni Aifini del presente regolamento interno, s'intende per: (a)"il regolamento": il regolamento (CE) n. 45/2001; (b)"l'istituzione": un'istituzione, un organismo, un ufficio o un'agenziadell'Unione soggetta/o al regolamento (CE) n. 45/2001; (c)"il GEPD": il Garante europeo della protezione dei dati quale istituzione; (d)"il garante": salvo se diversamente specificato, le persone che esercitano lefunzioni di Garante europeo della protezione dei dati e di Garante aggiunto; (e)"provvedimento amministrativo": una decisione o qualsiasi altro attodell'amministrazione dell'Unione di applicazione generale riguardante iltrattamento di dati personali effettuato dall'istituzione.
CAPITOLO II Istituzione e segretariato
Articolo 3: indipendenza, buona governance e buonacondotta amministrativa 1.Ai sensi dell'articolo 44 del regolamento, il garante esercita le sue funzioniin piena indipendenza. 2.Il garante assicura il corretto funzionamento dei servizi disponibili perl'esercizio delle funzioni di cui all'articolo 1, tenendo conto dei princìpidella buona governance, della buona condotta amministrativa e della buonagestione.
Articolo 4: ruoli del Garante europeo dellaprotezione dei dati e del Garante aggiunto 1.Il Garante europeo della protezione dei dati e il Garante aggiunto, in qualitàdi membri dell'istituzione, sono responsabili dell'adozione di strategie,politiche e decisioni, e collaborano nell'esercizio delle funzioni di cuiall'articolo 1. Il Garante aggiunto esercita tali funzioni in caso di assenza oimpedimento del Garante europeo della protezione dei dati e viceversa. 2.Il Garante europeo della protezione dei dati e il Garante aggiunto mirano araggiungere un consenso su strategie e politiche generali e su altre questioniimportanti, comprese quelle connesse al segretariato. Qualora non possa essereraggiunto un consenso e in caso di urgenza, la decisione spetta al garante. 3.Il Garante europeo della protezione dei dati, agendo in stretta collaborazionecon il Garante aggiunto, decide la ripartizione del lavoro tra loro, stabilendoaltresì a chi dei due spetta la responsabilità primaria della preparazione edell'adozione delle decisioni, nonché del seguito da dare ad esse, e prevede ladelega delle funzioni al Garante aggiunto, ove necessario.
1.Ai sensi dell'articolo 43, paragrafo 4, del regolamento, il garante è assistitoda un segretariato, le cui funzioni e i cui metodi di lavoro sono definiti dalgarante. 2.Il garante può delegare talune funzioni a singoli membri del personale, con lapossibilità di sostituzione da parte di altri membri del personale. 3.Il garante istituisce una serie di unità e settori che formano il segretariatoal fine di contribuire alla preparazione e all'esercizio delle funzioni di cuiall'articolo 1. Ogni unità/settore è guidata/o da un capo unità o da un caposettore.
Articolo 6: direttore 1.Il segretariato è guidato da un direttore, che adotta tutte le misure atte agarantire il corretto funzionamento del segretariato e l'uso efficiente dellerisorse, compresa la sostituzione del direttore in caso di assenza oimpedimento. 2.Il direttore ha la responsabilità di: (a)preparare e attuare strategie e politiche; (b)contribuire alla loro valutazione e al loro sviluppo; (c)coordinare e pianificare le attività, misurare i risultati e rappresentarel'istituzione nelle relazioni con altre istituzioni e organismi, ovenecessario.
Articolo 7: consiglio di amministrazione 1.Il consiglio di amministrazione è costituito dal Garante europeo dellaprotezione dei dati, dal Garante aggiunto e dal direttore. Il consiglio diamministrazione si riunisce a intervalli regolari, di norma una volta allasettimana, per discutere politiche e strategie generali e altre questioniimportanti e contribuire al buon coordinamento delle attività pertinenti. 2.Il direttore assicura il corretto funzionamento del segretariato del consigliodi amministrazione.
Articolo 8: riunione con il direttore Ildirettore si riunisce a intervalli regolari, di norma una volta alla settimana,con i capi unità e i capi settore al fine di garantire il coordinamento e lapianificazione delle attività, nonché la preparazione e l'attuazione distrategie e politiche. Il direttore garantisce il corretto funzionamento delsegretariato della riunione del direttore.
Articolo 9: autorità investita del potere di nomina 1.Il direttore esercita i poteri conferiti all'autorità che ha il potere dinomina, ai sensi dell'articolo 2 dello statuto dei funzionari delle Comunitàeuropee, e quelli conferiti all'autorità abilitata a concludere i contratti diassunzione a norma dell'articolo 6 del regime applicabile agli altri agentidelle Comunità europee, nonché tutti gli altri relativi poteri derivanti daaltre decisioni amministrative sia interne al GEPD, sia di carattereinteristituzionale, salvo disposizioni diverse previste dalla decisione delgarante relativa all'esercizio dei poteri conferiti all'autorità che ha ilpotere di nomina e all'autorità abilitata a sottoscrivere i contratti diassunzione. 2.Il direttore può delegare l'esercizio dei poteri di cui al paragrafo 1 alfunzionario responsabile della gestione delle risorse umane.
1.Le funzioni di ordinatore sono esercitate dal garante. Le funzioni diordinatore delegato e di ordinatore sottodelegato sono esercitate dalle personenominate nella Carta dei compiti e delle responsabilità degli ordinatoridelegati e nella Carta dei compiti e delle responsabilità degli ordinatorisottodelegati. 2.Il contabile della Commissione europea è il contabile del GEPD.
CAPITOLO III Delega e supplenza
Articolo 11: deleghe 1.Il garante può delegare al direttore il potere di adottare e firmare il testodefinitivo di qualsiasi decisione o parere di cui sia già stato definito ilcontenuto sostanziale. 2.Qualora i poteri siano stati delegati al direttore ai sensi del paragrafo 1, ildirettore può subdelegare la facoltà di esercitare tali poteri in sua assenzaal capo unità o al capo settore interessato. 3.I paragrafi 1 e 2 si applicano fatte salve le norme sulle deleghe relative aipoteri attribuiti all'autorità investita del potere di nomina e su quelle inmateria finanziaria di cui agli articoli 9 e 10.
Articolo 12: supplenza 1.Qualora siano assenti o abbiano un impedimento, il direttore sostituisce, ovenecessario, il Garante europeo della protezione dei dati o il Garante aggiuntoin caso di urgenze durante tale assenza o impedimento. 2.Qualora il direttore abbia un impedimento o il suo posto sia vacante e non siastato designato un funzionario dal garante, le funzioni di direttore sonoesercitate dal capo unità/capo settore presente di grado più elevato e, aparità di grado, dal capo unità/capo settore con maggiore anzianità nel gradoe, in caso di pari anzianità, da quello più vecchio. 3.Ove non siano presenti un capo unità o un capo settore e non sia statodesignato un funzionario, la supplenza viene esercitata dal funzionariopresente presso quella determinata unità o quel determinato settore di gradopiù elevato e, a parità di grado, dal funzionario con maggiore anzianità nelgrado e, in caso di pari anzianità, dal funzionario più vecchio. 4.Ove qualsiasi altro superiore gerarchico abbia un impedimento o il suo postosia vacante, supplisce un funzionario designato dal direttore, di concerto conil garante. In assenza di siffatta designazione, la supplenza viene esercitatadal funzionario presente presso quella determinata unità o quel determinatosettore di grado più elevato e, a parità di grado, con maggiore anzianità nelgrado e, in caso di pari anzianità, da quello più vecchio. 5.I paragrafi da 1 a 4 si applicano fatte salve le norme sulle deleghe relativeai poteri attribuiti all'autorità investita del potere di nomina e a quelli inmateria finanziaria di cui agli articoli 9 e 10.
Articolo 13: piano di gestione annuale 1.Conformemente ai princìpi di buona amministrazione e di sana gestionefinanziaria, il Garante europeo della protezione dei dati stabilisce ogni announ piano di gestione annuale, che traduce la strategia a lungo termine del GEPDin obiettivi generali e specifici. Due volte l'anno vengono definiti e misuratiindicatori e obiettivi prestazionali al fine di monitorare e rilevare irisultati raggiunti. 2.Un'analisi dei rischi delle attività previste del GEPD è integrata nel piano digestione annuale, che comprende i rischi individuati e piani di attenuazionedei rischi.
Articolo 14: relazione annuale 1.Ai sensi dell'articolo 48 del regolamento, il GEPD presenta al Parlamentoeuropeo, al Consiglio e alla Commissione una relazione annuale sulle attività("relazione annuale") e la trasmette alle altre istituzioni. 2.La relazione annuale è presentata e pubblicata sul sito web del GEPDentro il 1° luglio dell'anno successivo. 3.Il GEPD esamina le osservazioni formulate dalle altre istituzioni di cui alparagrafo 1 ai sensi dell'articolo 48, paragrafo 2, del regolamento in vistadell'eventuale successiva discussione della relazione in seno al Parlamentoeuropeo.
CAPITOLO V Procedure specifiche
Sezione 1 Disposizioni generali
Articolo 15: princìpi guida e valori fondamentali 1.Il GEPD agisce nell'interesse pubblico in qualità di organismo esperto,indipendente, affidabile e autorevole nel settore della protezione dei dati, allivello dell'Unione. Gli interventi del GEPD si basano su imparzialità,integrità, trasparenza e pragmatismo. 2.Il GEPD si impegna costruttivamente con le parti interessate al fine digarantire il giusto equilibrio tra protezione dei dati e vita privata e altriinteressi e politiche. 3.Il controllo delle istituzioni si basa sul principio secondo cui laresponsabilità del rispetto delle norme spetta essenzialmente ai responsabilidel trattamento stessi.
Articolo 16: politica sulle attività IlGEPD adotta documenti strategici al fine di definire gli elementi principalidella propria politica su attività specifiche, qualora ciò sia pertinente perfornire orientamenti sulla posizione del GEPD in relazione a un'attivitàspecifica. I documenti strategici sono aggiornati periodicamente.
Articolo 17: controllo del rispetto del regolamento IlGEPD svolge esercizi di controllo periodici al fine di garantire un'adeguatavisione d'insieme del rispetto della protezione dei dati all'interno delleistituzioni. Tali 6 esercizipossono essere generali o più mirati, basati sulle conoscenze ed esperienzematurate nell'esercizio delle attività di controllo.
Articolo 18: applicazione della legge IlGEPD applica gli obblighi in materia di protezione dei dati avvalendosi deipoteri attribuitigli dall'articolo 47 del regolamento. Tali poteri sonoesercitati appieno qualora si verifichino casi gravi, intenzionali o ripetutidi inadempimento.
Sezione 2 Controlli preventivi
Articolo 19: richiesta di controllo preventivo 1.Ai sensi dell'articolo 27 del regolamento, i trattamenti che possono presentarerischi specifici per i diritti e le libertà degli interessati, per la loronatura, oggetto o finalità sono soggetti a controllo preventivo da parte delGEPD previa notificazione da parte del responsabile della protezione dei datidi un'istituzione. 2.Qualora sussistano dubbi circa la necessità di un controllo preventivo, il GEPDstabilisce, su richiesta del responsabile della protezione dei dati, se iltrattamento presenta rischi specifici o meno e, in caso affermativo, invita ilresponsabile della protezione dei dati a notificare il trattamento diconseguenza. 3.Qualora il trattamento non presenti rischi specifici, il GEPD può nondimenorivolgere talune raccomandazioni all'istituzione. 4.Le notifiche di controllo preventivo vengono inviate tramite posta elettronicaal segretariato del Garante europeo della protezione dei dati utilizzando ilmodulo standard del GEPD. 5.Al modulo di notifica può essere allegata ogni altra informazione pertinenterelativa al trattamento notificato.
Articolo 20: pareri sui controlli preventivi 1.Il GEPD adotta un parere in cui vengono presentate le pertinenti ragioni econclusioni del controllo preventivo. 2.Se il trattamento notificato comporta una possibile violazione di unadisposizione del regolamento, il GEPD formula ove necessario proposte perevitare tale violazione. Articolo 21: termini e sospensioni per l'adozionedel parere sul controllo preventivo 1.Ai sensi dell'articolo 27, paragrafo 4, del regolamento, il GEPD emette ilparere sul controllo preventivo entro due mesi dal ricevimento dellanotificazione. Il GEPD può richiedere le ulteriori informazioni ritenutenecessarie. Il periodo di due mesi può essere sospeso fino a quando il GEPD nonabbia ricevuto le informazioni richieste. Se la complessità del fascicolo lorichiede, il termine di due mesi può essere prorogato una volta per altri duemesi. 2.La mancata adozione di un parere entro il termine di due mesi, eventualmenteprorogato, equivale a un parere favorevole. 3.La data di partenza per il calcolo del termine è il giorno successivo alla dataalla quale è stato ricevuto il modulo di notifica. Articolo 22: termini e sospensioni 1.Prima dell'adozione di un parere, il GEPD trasmette un progetto di parereall'istituzione per ricevere un riscontro su aspetti pratici e inesattezzemateriali. L'istituzione fornisce il proprio riscontro entro dieci giorni dalricevimento del progetto di parere. Tale periodo può essere prorogato surichiesta motivata del responsabile del trattamento. La richiesta di riscontrosospende il periodo di cui all'articolo 21, paragrafo 1. In caso di mancatoricevimento di un riscontro entro il termine previsto, il GEPD procede all'adozionedel parere. 2.Il GEPD concede all'istituzione tre mesi a decorrere dalla data di adozione delparere per fornire informazioni sull'attuazione delle raccomandazioni formulatenel parere. A tali informazioni viene dato seguito da parte del GEPD.
Articolo 23: registro dei controlli preventivi 1.Ai sensi dell'articolo 27, paragrafo 5, del regolamento, il GEPD tiene unregistro di tutti i trattamenti che sono stati notificati a norma dell'articolo27 del regolamento. 2.Il registro esclude qualsiasi riferimento alle misure di sicurezza. Contiene uncollegamento al parere del GEPD e informazioni sui termini per la comunicazionedelle informazioni da parte dell'istituzione a norma dell'articolo 22,paragrafo 2. Il registro è disponibile sul sito web del GEPD.
Sezione 3 Consultazione amministrativa
Articolo 24: consultazione amministrativa 1.Ai sensi dell'articolo 28, paragrafo 1, del regolamento, le istituzioniinformano il GEPD al momento di elaborare provvedimenti amministrativi in temadi trattamento di dati personali. 2.Ai sensi dell'articolo 46, lettera d), del regolamento, il GEPD consiglia leistituzioni, su richiesta, in ordine a qualsiasi argomento relativo altrattamento di dati personali, in particolare prima che esse adottino regolamentazioniinterne relative alla tutela dei diritti e delle libertà fondamentali riguardoal trattamento di dati personali. 3.In linea di principio, il GEPD prende in considerazione solo le richieste diconsultazione che sono state previamente sottoposte al responsabile dellaprotezione dei dati dell'istituzione interessata. Articolo 25: pareri 1.In linea di principio, il GEPD emette un parere entro due mesi dal ricevimentodella richiesta di consultazione. Il GEPD può richiedere le ulterioriinformazioni ritenute necessarie. Il periodo di due mesi può essere sospesofino a quando il GEPD non abbia ricevuto le informazioni richieste. 2.Il GEPD concede all'istituzione tre mesi a decorrere dalla data di adozione delparere per fornire informazioni sull'attuazione delle raccomandazioni formulatenel parere. A tali informazioni viene dato seguito da parte del GEPD.
Articolo 26: portata della consultazione 1.Conformemente all'articolo 41 e all'articolo 28, paragrafo 2, del regolamento,il GEPD fornisce pareri su proposte legislative basate sui trattati o su altriatti e documenti, quali: (a)decisioni prese nel quadro della politica estera e di sicurezza comune; (b)atti delegati e di esecuzione; (c)documenti riguardanti accordi con paesi terzi e organizzazioni internazionali; (d)iniziative legislative intraprese dagli Stati membri a norma dei trattati; (e)iniziative per il rafforzamento della cooperazione; (f)atti non vincolanti come raccomandazioni e comunicazioni sulla tutela deidiritti e delle libertà delle persone in relazione al trattamento di datipersonali. IlGEPD fornisce il proprio parere dopo essere stato consultato dalla Commissioneai sensi dell'articolo 28, paragrafo 2, del regolamento, in seguito aun'eventuale altra richiesta pervenuta da un'istituzione o di propriainiziativa. 2.Le istituzioni interessate possono consultare il GEPD in tutte le fasi delprocesso legislativo.
Articolo 27: consultazione informale 1.Come concordato con la Commissione, il GEPD deve essere consultato prima che ilcollegio dei commissari prenda la decisione definitiva di adottare una misura,una proposta legislativa o un documento strategico. In seguito a taleconsultazione, il GEPD fornisce al servizio responsabile della Commissioneosservazioni informali su un progetto di proposta o su un documento correlato. 2.Le osservazioni informali fornite a norma del paragrafo 1 rispettano laconfidenzialità del processo decisionale interno della Commissione, fatte salvele disposizioni applicabili a norma dei trattati e del diritto derivato. IlGEPD si impegna a rispettare, per quanto ragionevole e possibile, i terminiproposti dai servizi della Commissione.
Articolo 28: pareri legislativi e osservazioni formali 1.La consulenza fornita dal GEPD su una proposta legislativa o su un documentocorrelato può assumere la forma di un parere, di osservazioni informali o diqualsiasi altro strumento ritenuto appropriato. 2.Un parere del GEPD analizza gli aspetti inerenti alla protezione dei dati diuna proposta o di un documento correlato. In linea di principio, viene emessoentro tre mesi dall'adozione della proposta o del documento correlato. 3.Una sintesi del parere è pubblicata nella Gazzetta ufficiale dell'Unioneeuropea (serie C), mentre la versione integrale è pubblicata sul sito webdel GEPD. 4.Le osservazioni formali del GEPD si concentrano su aspetti specifici di unaproposta o di un documento correlato. In linea di principio, tali osservazionivengono emesse entro due mesi dall'adozione del documento e pubblicate sul sitoweb del GEPD.
1.Il GEPD pubblica le priorità annuali sul suo sito web. 2.Il GEPD pubblica tre volte l'anno sul suo sito web un inventario delleproposte legislative e dei documenti correlati su cui intende fornire unparere. L'inventario classifica tali documenti secondo il loro grado dipriorità. 3.L'inventario è basato sul programma di lavoro annuale della Commissione e suisuoi allegati aggiornati, nonché su qualsiasi altra informazione pertinentedisponibile.
Articolo 30: seguito di pareri legislativi eosservazioni formali 1.Il GEPD segue attivamente gli sviluppi in seno al Parlamento europeo, alConsiglio e alla Commissione dopo avere fornito il proprio parere. 2.Il garante è disponibile a presentare e discutere oralmente il parere del GEPDin una riunione con il legislatore o a fornire qualsiasi altro contributorichiesto. 3.Qualora siano apportate modifiche sostanziali a una misura legislativa indiscussione, il GEPD può valutare l'opportunità di presentare un ulterioreparere, ulteriori osservazioni o qualsiasi altro strumento ritenutoappropriato.
Sezione 5 Reclami
Articolo 31: reclami 1.Ai sensi dell'articolo 46, lettera a), del regolamento, il GEPD tratta ireclami, compie gli opportuni accertamenti e ne comunica l'esito agliinteressati entro un termine ragionevole. 2.I reclami presentati al GEPD non interrompono i termini per i ricorsi neiprocedimenti giurisdizionali o amministrativi paralleli
Articolo 32: presentazione di un reclamo 1.Nel reclamo figura l'identità della persona che lo presenta. 2.Il reclamo è presentato per iscritto in qualsiasi lingua ufficiale dell'Unionee contiene tutte le informazioni necessarie a comprenderne l'oggetto. 3.In linea di principio un reclamo deve essere presentato entro due anni adecorrere dalla data in cui l'autore del reclamo è venuto a conoscenza deifatti che lo giustificano. 4.Qualora sia stato presentato al Mediatore europeo un reclamo riguardante lemedesime circostanze di fatto, il GEPD ne esamina l'ammissibilità alla lucedelle disposizioni del protocollo di intesa concluso tra il Garante europeodella protezione dei dati e il Mediatore europeo
Articolo 33: gestione dei reclami 1.Il GEPD sceglie la forma e gli strumenti più opportuni per gestire un reclamotenendo conto: (a)della natura e gravità della presunta violazione delle norme sulla protezionedei dati; (c)della potenziale importanza generale del caso, anche in relazione agli altriinteressi pubblici e/o privati coinvolti; (d)della probabilità di accertare che la violazione denunciata sia stata realmentecommessa; (e)della data esatta in cui sono avvenuti i fatti, di qualsiasi comportamento chenon produca più effetti, dell'eliminazione di questi effetti o di una garanziaadeguata della loro eliminazione. 2.Le azioni del GEPD possono consistere in particolare in richieste scritte voltea fornire informazioni, colloqui con le persone interessate, ispezioni in locoo analisi forense dei dispositivi pertinenti. 3.Il GEPD divulga il contenuto di un reclamo e rivela l'identità del suo autoresolo nella misura necessaria al corretto svolgimento dell'indagine. Durante edopo l'indagine, il GEPD non divulga a terzi alcun documento relativo alreclamo, compresa la decisione finale, a meno che gli interessati acconsentanoa detta divulgazione o il GEPD sia giuridicamente tenuto ad agire in tal senso. 4.Il GEPD pubblica informazioni sull'autore del reclamo solo in una forma che nonconsenta di individuare l'autore o altri interessati coinvolti.
Articolo 34: esito dei reclami 1.Il GEPD comunica quanto prima all'autore l'esito di un reclamo, nonché ilprovvedimento adottato. 2.Qualora un reclamo sia giudicato inammissibile o il suo esame sia terminato, ilGEPD, se del caso, consiglia all'autore di rivolgersi a un'altra autorità. 3.Ai sensi dell'articolo 32, paragrafo 2, del regolamento, la mancata rispostadel GEPD entro sei mesi equivale a una decisione di rigetto del reclamo.
Articolo 35: revisione e ricorsi giurisdizionali 1.L'autore del reclamo e l'istituzione interessata possono chiedere per iscrittoal GEPD di rivedere la decisione su un reclamo. 2.La richiesta di revisione deve essere presentata entro un mese dalla data diricevimento della decisione ed essere limitata a nuovi elementi o argomentigiuridici che non sono stati presi in considerazione dal GEPD. 3.Indipendentemente dalla possibilità di chiedere al GEPD di rivedere ladecisione su un reclamo, tale decisione può essere impugnata dinanzi alla Cortedi giustizia dell'Unione europea conformemente alle condizioni stabiliteall'articolo 263 del trattato sul funzionamento dell'Unione europea.
Sezione 6 Ispezioni e visite
Articolo 36: ispezioni 1.Il GEPD decide di effettuare un'ispezione qualora la verifica in loco siaritenuta necessaria per l'esercizio delle funzioni di controllo o per ilrispetto di un obbligo giuridico. 2.Lo svolgimento di un'ispezione è comunicato per iscritto all'istituzioneinteressata quattro settimane prima della data prevista per l'ispezione. Lacomunicazione descrive lo scopo e la portata dell'ispezione, stabilisce la datadell'ispezione e fissa il termine ultimo entro il quale l'istituzione puòchiedere una revisione della data e deve fornire al GEPD tutte le informazioninecessarie. 3.Il GEPD formula quindi una decisione su un'ispezione, stabilendo lo scopo, laportata, la data o le date nonché l'ora e il luogo o i luoghi dell'ispezione edefinendo la base giuridica per le attività di ispezione. La decisione ècorredata dei mandati per tutti i membri del personale che partecipanoall'ispezione. 4.I membri del personale che effettuano un'ispezione raccolgono tutte le provedocumentali in maniera selettiva e proporzionata. Tutte le prove documentalisono adeguatamente protette. 5.Il contenuto dei colloqui svolti e delle informazioni ottenute nel corso diun'ispezione è trascritto, analogamente alla procedura seguita, in un verbaleche viene trasmesso all'istituzione per osservazioni. Qualora non pervenganoosservazioni entro un termine stabilito, il verbale si considera approvato. Alverbale è allegato un elenco delle prove documentali raccolte durantel'ispezione. 6.Il GEPD illustra in una relazione di ispezione le conclusioni raggiunte nelcorso di un'ispezione. Alla relazione, contenente tutte le misure che devonoessere intraprese dall'istituzione ispezionata, viene dato seguito da parte delGEPD.
Articolo 37: visite 1.Le visite sono effettuate dal GEPD allo scopo di ottenere l'impegno dell'altadirigenza di un'istituzione a promuovere il rispetto del regolamento. 2.La decisione di effettuare una visita si basa in linea di principio su unamancanza di impegno a rispettare il regolamento, nonché su una mancanza dicomunicazione o di sensibilizzazione. 3.Ove opportuno, una visita si conclude con un accordo su un calendario ("tabelladi marcia") nel cui ambito i dirigenti dell'istituzione si impegnano arispettare gli obblighi specifici previsti dal regolamento entro un terminestabilito. Al calendario concordato viene dato seguito dal GEPD.
Sezione 7 Osservazione delle tecnologie
Articolo 38: tecnologia e ricerca 1.Ai sensi dell'articolo 46, lettera e), del regolamento, il GEPD seguel'evoluzione delle tecnologie dell'informazione e della comunicazione.Nell'esercizio di tale funzione, il GEPD intende individuare le tendenzeemergenti con un potenziale impatto sulla protezione dei dati, stabilendocontatti con le parti interessate, svolgendo attività di sensibilizzazione supossibili aspetti della protezione dei dati e fornendo consulenza sul modo diintegrare le preoccupazioni in materia di protezione dei dati in progettipertinenti, promuovendo i princìpi della tutela della vita privata fin dallaprogettazione ("privacy by design") e della tutela della vita privata perimpostazione predefinita ("privacy by default") e, se necessario, adattando lemetodologie di controllo all'evoluzione tecnologica. 2.Il GEPD contribuisce ai programmi quadro dell'Unione, partecipando ai comitaticonsultivi per la ricerca, assistendo la Commissione nel processo divalutazione delle proposte o altro, ove opportuno. Sezione 8 Procedimenti giudiziari
Articolo 39: ricorsi contro le istituzioni Aisensi dell'articolo 47, paragrafo 1, lettera h), del regolamento, il GEPD puòadire la Corte di giustizia dell'Unione europea alle condizioni previste daltrattato. Il GEPD esercita tale potere, se necessario, in caso sia diinosservanza del regolamento da parte di un'istituzione, sia di mancataeffettiva attuazione della successiva azione di esecuzione adottata dal GEPD aisensi dell'articolo 47 del regolamento.
Articolo 40: ricorsi contro le decisioni del GEPD Aisensi dell'articolo 32, paragrafo 3, del regolamento, avverso le decisioni delGEPD può essere proposto ricorso dinanzi alla Corte di giustizia dell'Unioneeuropea.
Articolo 41: interventi 1.Ai sensi dell'articolo 47, paragrafo 1, lettera i), del regolamento, il GEPDpuò intervenire nelle cause dinanzi alla Corte di giustizia dell'Unioneeuropea. 2.Il GEPD presenta istanza di intervento nei procedimenti se la controversia haun'importanza generale dal punto di vista della protezione dei dati o se ilGEPD è risultato direttamente coinvolto nei fatti della controversianell'esercizio delle funzioni di controllo. 3.Altri elementi che possono influenzare la decisione di presentare istanza diintervento sono l'eventualità che la questione riguardante la protezione deidati costituisca una parte sostanziale della controversia e la probabilità cheun intervento del GEPD apporti valore ai procedimenti. 4.A meno che esistano valide ragioni per non intervenire, il GEPD presentaistanza di intervento qualora sia formalmente invitato ad agire in tal sensodalla Corte.
CAPITOLO VI Responsabili della protezione dei dati
Articolo 42: collaborazione con i responsabili dellaprotezione dei dati 1.Il GEPD collabora con i responsabili della protezione dei dati siabilateralmente, sia partecipando alle riunioni organizzate dalla rete deiresponsabili della protezione dei dati. 2.Il GEPD fornisce sostegno e consulenza ai responsabili della protezione deidati, laddove necessario per l'esercizio delle loro funzioni.
Articolo 43: registro dei responsabili dellaprotezione dei dati nominati Aisensi dell'articolo 24, paragrafo 5, del regolamento, il GEPD tiene un registrodelle nomine dei responsabili della protezione dei dati di cui ha ricevutonotifica. Il registro contiene, in particolare, informazioni sulla durata delmandato di ciascun responsabile della protezione dei dati.
Articolo 44: collaborazione con le autorità prepostealla protezione dei dati 1.Ai sensi dell'articolo 46, lettera f), punto i), del regolamento, il GEPDcollabora con le autorità nazionali responsabili della protezione dei dati ealtri organi di controllo se e in quanto ciò risulti necessario perl'adempimento dei rispettivi obblighi. 2.La collaborazione comprende: (a)lo scambio di tutte le informazioni pertinenti, quali le informazioniriguardanti le migliori pratiche, nonché le richieste di esercitare i propripoteri rivolte alle autorità competenti e le risposte a dette richieste daparte di tali autorità; (b)lo sviluppo e il mantenimento di contatti con i relativi membri e il pertinentepersonale delle autorità; (c)la cooperazione con le autorità e gli organismi di controllo comuni istituite iai sensi della normativa dell'Unione, compresa, se del caso, la partecipazionealle riunioni di tali autorità e organismi, al fine di garantire una prassicoerente.
Articolo 45: gruppo di lavoro "articolo 29" 1.Ai sensi dell'articolo 46, lettera g), del regolamento, il GEPD partecipa alleattività del gruppo di lavoro istituito dall'articolo 29 della direttiva95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativaalla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonché alla libera circolazione di tali dati 2.Il GEPD contribuisce attivamente alle discussioni e alla stesura dei documentipubblicati dal gruppo di lavoro volti a fornire un'interpretazione comune dellalegislazione in materia di protezione dei dati e a offrire consulenzaqualificata alla Commissione europea. In tali circostanze, il GEPD presenta, sedel caso, la prospettiva dell'Unione. 3.Il GEPD partecipa regolarmente alle riunioni plenarie e dei sottogruppi delgruppo di lavoro. 4.Il GEPD promuove regolari scambi di opinioni sulle rispettive priorità, sepossibile almeno una volta l'anno, con il presidente del gruppo di lavoro, alfine di instaurare una buona collaborazione nella pratica.
Articolo 46: controllo coordinato dei sistemi ditecnologie dell'informazione su larga scala 1.Il GEPD partecipa al controllo coordinato dei sistemi di tecnologiadell'informazione su larga scala con le autorità nazionali di controllo, comeprevisto dalla normativa dell'Unione. 2.Il GEPD organizza riunioni di coordinamento e svolge le funzioni disegretariato dei gruppi di coordinamento. 3.Il GEPD collabora con le singole autorità nazionali di controllo nella misuranecessaria e in funzione delle loro priorità, al fine di garantire un controllocoordinato delle parti nazionali e centrali dei sistemi di tecnologiedell'informazione su larga scala.
Articolo 47: cooperazione internazionale 1.Il GEPD partecipa alla conferenza annuale di primavera dei commissari europeiin materia di protezione dei dati, alla conferenza internazionale annuale deicommissari in materia di protezione dei dati e della vita privata e al gruppodi lavoro internazionale sulla protezione dei dati nel settore delletelecomunicazioni. 2.Il GEPD partecipa alla pertinenti reti internazionali per l'applicazione delledisposizioni in materia di tutela della vita privata. 3.Il GEPD organizza seminari periodici con i rappresentanti delle organizzazioniinternazionali al fine di condividere le buone prassi e sviluppare una culturadi protezione dei dati all'interno di tali organizzazioni. 4.Il GEPD promuove la cooperazione e il dialogo a livello internazionale conaltre parti interessate di paesi terzi.
CAPITOLO VIII Amministrazione
Articolo 48: sicurezza 1.Ai sensi dell'articolo 45 del regolamento, durante e dopo il mandato il garantee i membri del personale sono tenuti al segreto professionale in merito alleinformazioni riservate cui hanno avuto accesso durante l'esercizio delle lorofunzioni. 2.Il GEPD nomina uno o più membri del personale con competenze specifiche inmateria di sicurezza, riguardanti i vari settori di attività. I membri nominatisono responsabili in particolare di questioni di sicurezza relative alpersonale, della sicurezza fisica e della sicurezza delle tecnologiedell'informazione. Qualora lo ritengano necessario al fine di evitare rischi disicurezza per il GEPD, i membri del personale così nominati riferisconodirettamente al direttore.
Articolo 49: comitato direttivo sulle tecnologiedell'informazione Èistituito un comitato direttivo sulle tecnologie dell'informazione volto afornire consulenza al consiglio di amministrazione sulle implicazioni dellatecnologia dell'informazione per la sicurezza e lo sviluppo interno del GEPD.
Articolo 50: gestione della qualità IlGEPD predispone gli opportuni meccanismi per assicurare un'adeguata gestionedella qualità, come norme di controllo interno, una relazione annuale sulle attivitàe un sistema di gestione dei rischi.
Articolo 51: responsabile della protezione dei dati Aisensi dell'articolo 24 del regolamento, il GEPD nomina un responsabile dellaprotezione dei dati che riferisce direttamente al direttore.
1.Il GEPD svolge attività di sensibilizzazione in merito alla protezione dei datie informa gli interessati dell'esistenza e del contenuto dei loro diritti. Atal fine, il GEPD si avvale di una serie di strumenti di comunicazione (adesempio sito web, newsletter, mezzi di comunicazione sociale edeventi di sensibilizzazione), intrattiene contatti con le parti interessate (adesempio tramite visite di studio presso i propri uffici, risposte a richiestedi informazioni) e partecipa a eventi pubblici, incontri e conferenze. 2.Il GEPD informa i mezzi di comunicazione sui principali eventi connessi allaprotezione dei dati, nonché su pubblicazioni o pareri importanti, mediantecomunicati stampa, interviste e conferenze stampa.
Articolo 53: documentazione 1.Vengono conservate registrazioni accurate e autentiche di tutte le attività delGEPD che garantiscono una fonte di prova affidabile e giuridicamenteverificabile delle decisioni e delle azioni adottate. 2.I documenti connessi ad attività specifiche sono raggruppati in fascicoli. Èpossibile accedere ai fascicoli, organizzati secondo un ordinamento logico inbase al tipo di attività, tramite un titolario di classificazione istituito dalGEPD. 3.Tipologie di fascicoli differenti sono conservate per un determinato periodo inbase a termini di conservazione stabiliti dal GEPD. Allo scadere del periodo diconservazione, i fascicoli sono valutati e archiviati conformemente allapolitica di archiviazione adottata dal GEPD.
Articolo 54: divulgazione attiva dei documenti 1.In linea di principio, tutti i principali documenti strategici, orientamentitematici, pareri legislativi, osservazioni formali, memorie di udienze ditribunali e pareri sui controlli preventivi sono pubblicati sul sito web delGEPD. 2.I pareri formulati a seguito di una consultazione amministrativa sonopubblicati sul sito web del GEPD qualora rivestano un'importanza dicarattere generale, contengano una nuova interpretazione o applicazione dellanormativa o riguardino l'impatto delle nuove tecnologie sui diritti degliinteressati.
Articolo 55: pubblicazione nella Gazzetta ufficiale Sonopubblicati nella Gazzetta ufficiale dell'Unione europea: (a)sintesi di pareri legislativi di cui all'articolo 28, paragrafo 3; (b)decisioni e pareri del GEPD, o loro sintesi, di cui all'articolo 9, paragrafo7, all'articolo 10, paragrafo 2, lettera b), all'articolo 10, paragrafi 4, 5 e6, all'articolo 12, paragrafo 2, all'articolo 19 e all'articolo 37, paragrafo2, del regolamento; (c)altri documenti ritenuti pertinenti dal GEPD.
Articolo 56: accesso del pubblico ai documenti Ilpubblico ha accesso ai documenti custoditi dal GEPD conformemente ai princìpistabiliti dal regolamento (CE) n. 1049/2001 relativo all'accesso del pubblicoai documenti del Parlamento europeo, del Consiglio e della Commissione.
1.L'autenticazione delle decisioni avviene mediante firma della versione inlingua originale da parte del garante. 2.La firma può essere autografa o elettronica.
Articolo 58: lingue e lingue di lavoro 1.La lingua dei procedimenti avviati dal GEPD è una delle lingue menzionateall'articolo 55, paragrafo 1, del trattato sull'Unione europea. In caso direclamo, la lingua è quella dell'atto di reclamo. 2.Relazioni, pareri, atti e altri documenti, destinati a loro volta a esserepubblicati sul sito web del GEPD, sono redatti almeno in inglese, francese etedesco.
Articolo 59: personale 1.I membri del personale del GEPD sono assunti in conformità e nell'osservanzadello statuto dei funzionari e del regime applicabile agli altri agenti delleComunità europee. 2.Al fine di accrescere la cooperazione con le autorità nazionali, in particolarecon le autorità nazionali preposte alla protezione dei dati, è attuato unprogramma per il distacco del personale presso il GEPD. 3.Al fine di permettere ai neolaureati di acquisire esperienza pratica sulfunzionamento del GEPD e dell'Unione in generale, è attuato un programma ditirocinio. 4.Al fine di soddisfare esigenze provvisorie è possibile assumere personaleinterinale e altri collaboratori esterni.
Articolo 60: comitato del personale 1.Un comitato del personale che rappresenta il personale del GEPD vienetempestivamente consultato su progetti di decisione relativi all'applicazionedello statuto dei funzionari delle Comunità europee e può essere consultato suqualsiasi altra questione di interesse generale riguardante il personale. Ilcomitato del personale è informato di tutte le questioni che riguardanol'esercizio delle sue funzioni ed emette i propri pareri entro 15 giorni adecorrere dalla data in cui è stato consultato. 2.Il comitato del personale contribuisce al buon funzionamento del GEPDformulando proposte su questioni organizzative e condizioni di lavoro. 3.Il comitato del personale è composto di tre membri e di tre supplenti ed elettoper un periodo di due anni dall'assemblea generale.
Articolo 61: cooperazione amministrativa con altreistituzioni 1.Il direttore, in qualità di capo del segretariato, rappresenta il GEPD nellevarie sedi interistituzionali e può delegare tale rappresentanza ai funzionariresponsabili delle risorse umane, del bilancio e dell'amministrazione. 2.Considerate le dimensioni del GEPD rispetto alle altre istituzioni, nonché aifini di una corretta gestione e di una sana economia di bilancio, il GEPDpersegue attivamente laconclusione di accordi di cooperazione, protocolli di intesa e accordi diservizio con altre istituzioni.
CAPITOLO IX Disposizioni finali
Articolo 62: entrata in vigore Ilpresente regolamento interno entra in vigore il giorno successivo alla suasottoscrizione ed è pubblicato nella Gazzetta ufficiale dell'Unione europea. Fattoa Bruxelles, il 17 dicembre 2012 PeterHUSTINX Garanteeuropeo della protezione dei dati
1GU L 8 del 12.1.2001, pag. 1. 2GU L 183 del 12.7.2002, pag. 1. 3GU C 27 del 7.2.2007, pag. 1. 4GU L 281 del 23.11.1995, pag. 31.
|