15.10.2013

IT

Gazzetta ufficiale dell'Unione europea

L 273/41

---

DECISIONE DEL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI

del 17 dicembre 2012

sull’adozione del regolamento interno

(2013/504/UE)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi della Comunità europea, nonché la libera circolazione di tali dati (1), in particolare l’articolo 46, lettera k),

considerando quanto segue:

(1)

L’articolo 8 della Carta dei diritti fondamentali e l’articolo 16 del Trattato sul funzionamento dell’Unione europea stabiliscono che il rispetto delle norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale che le riguardano da parte delle istituzioni, degli organismi, degli uffici e delle agenzie dell’Unione è soggetto al controllo di un’autorità indipendente.

(2)

Il regolamento (CE) n. 45/2001 stabilisce l’istituzione di un’autorità indipendente, denominata Garante europeo della protezione dei dati, incaricata di garantire il rispetto dei diritti e delle libertà fondamentali delle persone fisiche, segnatamente del diritto alla vita privata, riguardo al trattamento dei dati personali da parte delle istituzioni e degli organismi dell’Unione.

(3)	Il regolamento (CE) n. 45/2001 stabilisce inoltre gli obblighi e le competenze del Garante europeo della protezione dei dati, nonché la nomina del Garante europeo della protezione dei dati e di un Garante aggiunto.

(4)	Il regolamento (CE) n. 45/2001 stabilisce altresì che il Garante europeo della protezione dei dati è assistito da un segretariato e prescrive una serie di disposizioni riguardanti sia il personale che le questioni fiscali.

(5)

La decisione n. 1247/2002/CE del Parlamento europeo, del Consiglio e della Commissione, del 1o luglio 2002, relativa allo statuto e alle condizioni generali d’esercizio delle funzioni di Garante europeo della protezione dei dati, stabilisce una serie di disposizioni supplementari sull’argomento (2).

(6)	Altre disposizioni del diritto dell’Unione stabiliscono ulteriori obblighi e competenze del Garante europeo della protezione dei dati,

HA ADOTTATO IL PRESENTE REGOLAMENTO INTERNO:

CAPITOLO I

DISPOSIZIONI GENERALI

Articolo 1

Esercizio di funzioni e competenze

Il Garante europeo della protezione dei dati esercita le funzioni e le competenze istituite dal regolamento (CE) n. 45/2001 e da altre disposizioni del diritto dell’Unione.

Articolo 2

Definizioni

Ai fini del presente regolamento interno, s’intende per:

a)   «il regolamento»: il regolamento (CE) n. 45/2001;

b)   «l’istituzione»: un’istituzione, un organismo, un ufficio o un’agenzia dell’Unione soggetta/o al regolamento (CE) n. 45/2001;

c)   «il GEPD»: il Garante europeo della protezione dei dati quale istituzione;

d)   «il garante»: salvo se diversamente specificato, le persone che esercitano le funzioni di Garante europeo della protezione dei dati e di Garante aggiunto;

e)   «provvedimento amministrativo»: una decisione o qualsiasi altro atto dell’amministrazione dell’Unione di applicazione generale riguardante il trattamento di dati personali effettuato dall’istituzione.

CAPITOLO II

ISTITUZIONE E SEGRETARIATO

Articolo 3

Indipendenza, buona governance e buona condotta amministrativa

1.   Ai sensi dell’articolo 44 del regolamento, il garante esercita le sue funzioni in piena indipendenza.

2.   Il garante assicura il corretto funzionamento dei servizi disponibili per l’esercizio delle funzioni di cui all’articolo 1, tenendo conto dei principi della buona governance, della buona condotta amministrativa e della buona gestione.

Articolo 4

Ruoli del Garante europeo della protezione dei dati e del Garante aggiunto

1.   Il Garante europeo della protezione dei dati e il Garante aggiunto, in qualità di membri dell’istituzione, sono responsabili dell’adozione di strategie, politiche e decisioni, e collaborano nell’esercizio delle funzioni di cui all’articolo 1. Il Garante aggiunto esercita tali funzioni in caso di assenza o impedimento del Garante europeo della protezione dei dati e viceversa.

2.   Il Garante europeo della protezione dei dati e il Garante aggiunto mirano a raggiungere un consenso su strategie e politiche generali e su altre questioni importanti, comprese quelle connesse al segretariato. Qualora non possa essere raggiunto un consenso e in caso di urgenza, la decisione spetta al garante.

3.   Il Garante europeo della protezione dei dati, agendo in stretta collaborazione con il Garante aggiunto, decide la ripartizione del lavoro tra loro, stabilendo altresì a chi dei due spetta la responsabilità primaria della preparazione e dell’adozione delle decisioni, nonché del seguito da dare ad esse, e prevede la delega delle funzioni al Garante aggiunto, ove necessario.

Articolo 5

Segretariato

1.   Ai sensi dell’articolo 43, paragrafo 4, del regolamento, il garante è assistito da un segretariato, le cui funzioni e i cui metodi di lavoro sono definiti dal garante.

2.   Il garante può delegare talune funzioni a singoli membri del personale, con la possibilità di sostituzione da parte di altri membri del personale.

3.   Il garante istituisce una serie di unità e settori che formano il segretariato al fine di contribuire alla preparazione e all’esercizio delle funzioni di cui all’articolo 1. Ogni unità/settore è guidata/o da un capo unità o da un capo settore.

Articolo 6

Direttore

1.   Il segretariato è guidato da un direttore, che adotta tutte le misure atte a garantire il corretto funzionamento del segretariato e l’uso efficiente delle risorse, compresa la sostituzione del direttore in caso di assenza o impedimento.

2.   Il direttore ha la responsabilità di:

a)	preparare e attuare strategie e politiche;

b)	contribuire alla loro valutazione e al loro sviluppo;

c)	coordinare e pianificare le attività, misurare i risultati e rappresentare l’istituzione nelle relazioni con altre istituzioni e organismi, ove necessario.

Articolo 7

Consiglio di amministrazione

1.   Il consiglio di amministrazione è costituito dal Garante europeo della protezione dei dati, dal Garante aggiunto e dal direttore. Il consiglio di amministrazione si riunisce a intervalli regolari, di norma una volta alla settimana, per discutere politiche e strategie generali e altre questioni importanti e contribuire al buon coordinamento delle attività pertinenti.

2.   Il direttore assicura il corretto funzionamento del segretariato del consiglio di amministrazione.

Articolo 8

Riunione con il direttore

Il direttore si riunisce a intervalli regolari, di norma una volta alla settimana, con i capi unità e i capi settore al fine di garantire il coordinamento e la pianificazione delle attività, nonché la preparazione e l’attuazione di strategie e politiche. Il direttore garantisce il corretto funzionamento del segretariato della riunione del direttore.

Articolo 9

Autorità investita del potere di nomina

1.   Il direttore esercita i poteri conferiti all’autorità che ha il potere di nomina, ai sensi dell’articolo 2 dello statuto dei funzionari dell’Unione europea, e quelli conferiti all’autorità abilitata a concludere i contratti di assunzione a norma dell’articolo 6 del regime applicabile agli altri agenti dell’Unione europea, nonché tutti gli altri relativi poteri derivanti da altre decisioni amministrative sia interne al GEPD, sia di carattere interistituzionale, salvo disposizioni diverse previste dalla decisione del garante relativa all’esercizio dei poteri conferiti all’autorità che ha il potere di nomina e all’autorità abilitata a sottoscrivere i contratti di assunzione.

2.   Il direttore può delegare l’esercizio dei poteri di cui al paragrafo 1 al funzionario responsabile della gestione delle risorse umane.

Articolo 10

Ordinatore e contabile

1.   Le funzioni di ordinatore sono esercitate dal garante. Le funzioni di ordinatore delegato e di ordinatore sottodelegato sono esercitate dalle persone nominate nella Carta dei compiti e delle responsabilità degli ordinatori delegati e nella Carta dei compiti e delle responsabilità degli ordinatori sottodelegati.

2.   Il contabile della Commissione europea è il contabile del GEPD.

CAPITOLO III

DELEGA E SUPPLENZA

Articolo 11

Deleghe

1.   Il garante può delegare al direttore il potere di adottare e firmare il testo definitivo di qualsiasi decisione o parere di cui sia già stato definito il contenuto sostanziale.

2.   Qualora i poteri siano stati delegati al direttore ai sensi del paragrafo 1, il direttore può subdelegare la facoltà di esercitare tali poteri in sua assenza al capo unità o al capo settore interessato.

3.   I paragrafi 1 e 2 si applicano fatte salve le norme sulle deleghe relative ai poteri attribuiti all’autorità investita del potere di nomina e su quelle in materia finanziaria di cui agli articoli 9 e 10.

Articolo 12

Supplenza

1.   Qualora siano assenti o abbiano un impedimento, il direttore sostituisce, ove necessario, il Garante europeo della protezione dei dati o il Garante aggiunto in caso di urgenze durante tale assenza o impedimento.

2.   Qualora il direttore abbia un impedimento o il suo posto sia vacante e non sia stato designato un funzionario dal garante, le funzioni di direttore sono esercitate dal capo unità/capo settore presente di grado più elevato e, a parità di grado, dal capo unità/capo settore con maggiore anzianità nel grado e, in caso di pari anzianità, da quello più vecchio.

3.   Ove non siano presenti un capo unità o un capo settore e non sia stato designato un funzionario, la supplenza viene esercitata dal funzionario presente presso quella determinata unità o quel determinato settore di grado più elevato e, a parità di grado, dal funzionario con maggiore anzianità nel grado e, in caso di pari anzianità, dal funzionario più vecchio.

4.   Ove qualsiasi altro superiore gerarchico abbia un impedimento o il suo posto sia vacante, supplisce un funzionario designato dal direttore, di concerto con il garante. In assenza di siffatta designazione, la supplenza viene esercitata dal funzionario presente presso quella determinata unità o quel determinato settore di grado più elevato e, a parità di grado, con maggiore anzianità nel grado e, in caso di pari anzianità, da quello più vecchio.

5.   I paragrafi da 1 a 4 si applicano fatte salve le norme sulle deleghe relative ai poteri attribuiti all’autorità investita del potere di nomina e a quelli in materia finanziaria di cui agli articoli 9 e 10.

CAPITOLO IV

PIANIFICAZIONE

Articolo 13

Piano di gestione annuale

1.   Conformemente ai principi di buona amministrazione e di sana gestione finanziaria, il Garante europeo della protezione dei dati stabilisce ogni anno un piano di gestione annuale, che traduce la strategia a lungo termine del GEPD in obiettivi generali e specifici. Due volte l’anno vengono definiti e misurati indicatori e obiettivi prestazionali al fine di monitorare e rilevare i risultati raggiunti.

2.   Un’analisi dei rischi delle attività previste del GEPD è integrata nel piano di gestione annuale, che comprende i rischi individuati e i piani di attenuazione dei rischi.

Articolo 14

Relazione annuale

1.   Ai sensi dell’articolo 48 del regolamento, il GEPD presenta al Parlamento europeo, al Consiglio e alla Commissione una relazione annuale sulle attività («relazione annuale») e la trasmette alle altre istituzioni.

2.   La relazione annuale è presentata e pubblicata sul sito web del GEPD entro il 1o luglio dell’anno successivo.

3.   Il GEPD esamina le osservazioni formulate dalle altre istituzioni di cui al paragrafo 1 ai sensi dell’articolo 48, paragrafo 2, del regolamento in vista dell’eventuale successiva discussione della relazione in seno al Parlamento europeo.

CAPITOLO V

PROCEDURE SPECIFICHE

SEZIONE 1

Disposizioni generali

Articolo 15

Principi guida e valori fondamentali

1.   Il GEPD agisce nell’interesse pubblico in qualità di organismo esperto, indipendente, affidabile e autorevole nel settore della protezione dei dati, al livello dell’Unione. Gli interventi del GEPD si basano su imparzialità, integrità, trasparenza e pragmatismo.

2.   Il GEPD si impegna costruttivamente con le parti interessate al fine di garantire il giusto equilibrio tra protezione dei dati e vita privata e altri interessi e politiche.

3.   Il controllo delle istituzioni si basa sul principio secondo cui la responsabilità del rispetto delle norme spetta essenzialmente ai responsabili del trattamento stessi.

Articolo 16

Politica sulle attività

Il GEPD adotta documenti strategici al fine di definire gli elementi principali della propria politica su attività specifiche, qualora ciò sia pertinente per fornire orientamenti sulla posizione del GEPD in relazione a un’attività specifica. I documenti strategici sono aggiornati periodicamente.

Articolo 17

Controllo del rispetto del regolamento

Il GEPD svolge esercizi di controllo periodici al fine di garantire un’adeguata visione d’insieme del rispetto della protezione dei dati all’interno delle istituzioni. Tali esercizi possono essere generali o più mirati, basati sulle conoscenze ed esperienze maturate nell’esercizio delle attività di controllo.

Articolo 18

Applicazione della legge

Il GEPD applica gli obblighi in materia di protezione dei dati avvalendosi dei poteri attribuitigli dall’articolo 47 del regolamento. Tali poteri sono esercitati appieno qualora si verifichino casi gravi, intenzionali o ripetuti di inadempimento.

SEZIONE 2

Controlli preventivi

Articolo 19

Richiesta di controllo preventivo

1.   Ai sensi dell’articolo 27 del regolamento, i trattamenti che possono presentare rischi specifici per i diritti e le libertà degli interessati, per la loro natura, oggetto o finalità sono soggetti a controllo preventivo da parte del GEPD previa notificazione da parte del responsabile della protezione dei dati di un’istituzione.

2.   Qualora sussistano dubbi circa la necessità di un controllo preventivo, il GEPD stabilisce, su richiesta del responsabile della protezione dei dati, se il trattamento presenta rischi specifici o meno e, in caso affermativo, invita il responsabile della protezione dei dati a notificare il trattamento di conseguenza.

3.   Qualora il trattamento non presenti rischi specifici, il GEPD può nondimeno rivolgere talune raccomandazioni all’istituzione.

4.   Le notifiche di controllo preventivo vengono inviate tramite posta elettronica al segretariato del Garante europeo della protezione dei dati utilizzando il modulo standard del GEPD.

5.   Al modulo di notifica può essere allegata ogni altra informazione pertinente relativa al trattamento notificato.

Articolo 20

Pareri sui controlli preventivi

1.   Il GEPD adotta un parere in cui vengono presentate le pertinenti ragioni e conclusioni del controllo preventivo.

2.   Se il trattamento notificato comporta una possibile violazione di una disposizione del regolamento, il GEPD formula ove necessario proposte per evitare tale violazione.

Articolo 21

Termini e sospensioni per l’adozione del parere sul controllo preventivo

1.   Ai sensi dell’articolo 27, paragrafo 4, del regolamento, il GEPD emette il parere sul controllo preventivo entro due mesi dal ricevimento della notificazione. Il GEPD può richiedere le ulteriori informazioni ritenute necessarie. Il periodo di due mesi può essere sospeso fino a quando il GEPD non abbia ricevuto le informazioni richieste. Se la complessità del fascicolo lo richiede, il termine di due mesi può essere prorogato una volta per altri due mesi.

2.   La mancata adozione di un parere entro il termine di due mesi, eventualmente prorogato, equivale a un parere favorevole.

3.   La data di partenza per il calcolo del termine è il giorno successivo alla data alla quale è stato ricevuto il modulo di notifica.

4.   Se l’ultimo giorno utile coincide con una festività nazionale o con un altro giorno in cui i servizi del GEPD sono chiusi, il giorno lavorativo successivo è considerato il termine ultimo per l’adozione del parere.

Articolo 22

Termini e sospensioni

1.   Prima dell’adozione di un parere, il GEPD trasmette un progetto di parere all’istituzione per ricevere un riscontro su aspetti pratici e inesattezze materiali. L’istituzione fornisce il proprio riscontro entro dieci giorni dal ricevimento del progetto di parere. Tale periodo può essere prorogato su richiesta motivata del responsabile del trattamento. La richiesta di riscontro sospende il periodo di cui all’articolo 21, paragrafo 1. In caso di mancato ricevimento di un riscontro entro il termine previsto, il GEPD procede all’adozione del parere.

2.   Il GEPD concede all’istituzione tre mesi a decorrere dalla data di adozione del parere per fornire informazioni sull’attuazione delle raccomandazioni formulate nel parere. A tali informazioni viene dato seguito da parte del GEPD.

Articolo 23

Registro dei controlli preventivi

1.   Ai sensi dell’articolo 27, paragrafo 5, del regolamento, il GEPD tiene un registro di tutti i trattamenti che sono stati notificati a norma dell’articolo 27 del regolamento.

2.   Il registro esclude qualsiasi riferimento alle misure di sicurezza. Contiene un collegamento al parere del GEPD e informazioni sui termini per la comunicazione delle informazioni da parte dell’istituzione a norma dell’articolo 22, paragrafo 2. Il registro è disponibile sul sito web del GEPD.

SEZIONE 3

Consultazione amministrativa

Articolo 24

Consultazione amministrativa

1.   Ai sensi dell’articolo 28, paragrafo 1, del regolamento, le istituzioni informano il GEPD al momento di elaborare provvedimenti amministrativi in tema di trattamento di dati personali.

2.   Ai sensi dell’articolo 46, lettera d), del regolamento, il GEPD consiglia le istituzioni, su richiesta, in ordine a qualsiasi argomento relativo al trattamento di dati personali, in particolare prima che esse adottino regolamentazioni interne relative alla tutela dei diritti e delle libertà fondamentali riguardo al trattamento di dati personali.

3.   In linea di principio, il GEPD prende in considerazione solo le richieste di consultazione che sono state previamente sottoposte al responsabile della protezione dei dati dell’istituzione interessata.

Articolo 25

Pareri

1.   In linea di principio, il GEPD emette un parere entro due mesi dal ricevimento della richiesta di consultazione. Il GEPD può richiedere le ulteriori informazioni ritenute necessarie. Il periodo di due mesi può essere sospeso fino a quando il GEPD non abbia ricevuto le informazioni richieste.

2.   Il GEPD concede all’istituzione tre mesi a decorrere dalla data di adozione del parere per fornire informazioni sull’attuazione delle raccomandazioni formulate nel parere. A tali informazioni viene dato seguito da parte del GEPD.

SEZIONE 4

Consultazione legislativa e politica

Articolo 26

Portata della consultazione

1.   Conformemente all’articolo 41 e all’articolo 28, paragrafo 2, del regolamento, il GEPD fornisce pareri su proposte legislative basate sui trattati o su altri atti e documenti, quali:

a)	decisioni prese nel quadro della politica estera e di sicurezza comune;

b)	atti delegati e di esecuzione;

c)	documenti riguardanti accordi con paesi terzi e organizzazioni internazionali;

d)	iniziative legislative intraprese dagli Stati membri a norma dei trattati;

e)	iniziative per il rafforzamento della cooperazione;

f)	atti non vincolanti come raccomandazioni e comunicazioni sulla tutela dei diritti e delle libertà delle persone in relazione al trattamento di dati personali.

Il GEPD fornisce il proprio parere dopo essere stato consultato dalla Commissione ai sensi dell’articolo 28, paragrafo 2, del regolamento, in seguito a un’eventuale altra richiesta pervenuta da un’istituzione o di propria iniziativa.

2.   Le istituzioni interessate possono consultare il GEPD in tutte le fasi del processo legislativo.

Articolo 27

Consultazione informale

1.   Come concordato con la Commissione, il GEPD deve essere consultato prima che il collegio dei commissari prenda la decisione definitiva di adottare una misura, una proposta legislativa o un documento strategico. In seguito a tale consultazione, il GEPD fornisce al servizio responsabile della Commissione osservazioni informali su un progetto di proposta o su un documento correlato.

2.   Le osservazioni informali fornite a norma del paragrafo 1 rispettano la confidenzialità del processo decisionale interno della Commissione, fatte salve le disposizioni applicabili a norma dei trattati e del diritto derivato. Il GEPD si impegna a rispettare, per quanto ragionevole e possibile, i termini proposti dai servizi della Commissione.

Articolo 28

Pareri legislativi e osservazioni formali

1.   La consulenza fornita dal GEPD su una proposta legislativa o su un documento correlato può assumere la forma di un parere, di osservazioni informali o di qualsiasi altro strumento ritenuto appropriato.

2.   Un parere del GEPD analizza gli aspetti inerenti alla protezione dei dati di una proposta o di un documento correlato. In linea di principio, viene emesso entro tre mesi dall’adozione della proposta o del documento correlato.

3.   Una sintesi del parere è pubblicata nella Gazzetta ufficiale dell’Unione europea (serie C), mentre la versione integrale è pubblicata sul sito web del GEPD.

4.   Le osservazioni formali del GEPD si concentrano su aspetti specifici di una proposta o di un documento correlato. In linea di principio, tali osservazioni vengono emesse entro due mesi dall’adozione del documento e pubblicate sul sito web del GEPD.

Articolo 29

Priorità annuali e inventario

1.   Il GEPD pubblica le priorità annuali sul suo sito web.

2.   Il GEPD pubblica tre volte l’anno sul suo sito web un inventario delle proposte legislative e dei documenti correlati su cui intende fornire un parere. L’inventario classifica tali documenti secondo il loro grado di priorità.

3.   L’inventario è basato sul programma di lavoro annuale della Commissione e sui suoi allegati aggiornati, nonché su qualsiasi altra informazione pertinente disponibile.

Articolo 30

Seguito di pareri legislativi e osservazioni formali

1.   Il GEPD segue attivamente gli sviluppi in seno al Parlamento europeo, al Consiglio e alla Commissione dopo avere fornito il proprio parere.

2.   Il garante è disponibile a presentare e discutere oralmente il parere del GEPD in una riunione con il legislatore o a fornire qualsiasi altro contributo richiesto.

3.   Qualora siano apportate modifiche sostanziali a una misura legislativa in discussione, il GEPD può valutare l’opportunità di presentare un ulteriore parere, ulteriori osservazioni o qualsiasi altro strumento ritenuto appropriato.

SEZIONE 5

Reclami

Articolo 31

Reclami

1.   Ai sensi dell’articolo 46, lettera a), del regolamento, il GEPD tratta i reclami, compie gli opportuni accertamenti e ne comunica l’esito agli interessati entro un termine ragionevole.

2.   I reclami presentati al GEPD non interrompono i termini per i ricorsi nei procedimenti giurisdizionali o amministrativi paralleli.

Articolo 32

Presentazione di un reclamo

1.   Nel reclamo figura l’identità della persona che lo presenta.

2.   Il reclamo è presentato per iscritto in qualsiasi lingua ufficiale dell’Unione e contiene tutte le informazioni necessarie a comprenderne l’oggetto.

3.   In linea di principio un reclamo deve essere presentato entro due anni a decorrere dalla data in cui l’autore del reclamo è venuto a conoscenza dei fatti che lo giustificano.

4.   Qualora sia stato presentato al Mediatore europeo un reclamo riguardante le medesime circostanze di fatto, il GEPD ne esamina l’ammissibilità alla luce delle disposizioni del protocollo di intesa concluso tra il Garante europeo della protezione dei dati e il Mediatore europeo (3).

Articolo 33

Gestione dei reclami

1.   Il GEPD sceglie la forma e gli strumenti più opportuni per gestire un reclamo tenendo conto:

a)	della natura e gravità della presunta violazione delle norme sulla protezione dei dati;

b)	della rilevanza del pregiudizio che uno o più interessati hanno o possono aver subito a causa della violazione;

c)	della potenziale importanza generale del caso, anche in relazione agli altri interessi pubblici e/o privati coinvolti;

d)	della probabilità di accertare che la violazione denunciata sia stata realmente commessa;

e)	della data esatta in cui sono avvenuti i fatti, di qualsiasi comportamento che non produca più effetti, dell’eliminazione di questi effetti o di una garanzia adeguata della loro eliminazione.

2.   Le azioni del GEPD possono consistere in particolare in richieste scritte volte a fornire informazioni, colloqui con le persone interessate, ispezioni in loco o analisi forense dei dispositivi pertinenti.

3.   Il GEPD divulga il contenuto di un reclamo e rivela l’identità del suo autore solo nella misura necessaria al corretto svolgimento dell’indagine. Durante e dopo l’indagine, il GEPD non divulga a terzi alcun documento relativo al reclamo, compresa la decisione finale, a meno che gli interessati acconsentano a detta divulgazione o il GEPD sia giuridicamente tenuto ad agire in tal senso.

4.   Il GEPD pubblica informazioni sull’autore del reclamo solo in una forma che non consenta di individuare l’autore o altri interessati coinvolti.

Articolo 34

Esito dei reclami

1.   Il GEPD comunica quanto prima all’autore l’esito di un reclamo, nonché il provvedimento adottato.

2.   Qualora un reclamo sia giudicato inammissibile o il suo esame sia terminato, il GEPD, se del caso, consiglia all’autore di rivolgersi a un’altra autorità.

3.   Ai sensi dell’articolo 32, paragrafo 2, del regolamento, la mancata risposta del GEPD entro sei mesi equivale a una decisione di rigetto del reclamo.

Articolo 35

Revisione e ricorsi giurisdizionali

1.   L’autore del reclamo e l’istituzione interessata possono chiedere per iscritto al GEPD di rivedere la decisione su un reclamo.

2.   La richiesta di revisione deve essere presentata entro un mese dalla data di ricevimento della decisione ed essere limitata a nuovi elementi o argomenti giuridici che non sono stati presi in considerazione dal GEPD.

3.   Indipendentemente dalla possibilità di chiedere al GEPD di rivedere la decisione su un reclamo, tale decisione può essere impugnata dinanzi alla Corte di giustizia dell’Unione europea conformemente alle condizioni stabilite all’articolo 263 del trattato sul funzionamento dell’Unione europea.

SEZIONE 6

Ispezioni e visite

Articolo 36

Ispezioni

1.   Il GEPD decide di effettuare un’ispezione qualora la verifica in loco sia ritenuta necessaria per l’esercizio delle funzioni di controllo o per il rispetto di un obbligo giuridico.

2.   Lo svolgimento di un’ispezione è comunicato per iscritto all’istituzione interessata quattro settimane prima della data prevista per l’ispezione. La comunicazione descrive lo scopo e la portata dell’ispezione, stabilisce la data dell’ispezione e fissa il termine ultimo entro il quale l’istituzione può chiedere una revisione della data e deve fornire al GEPD tutte le informazioni necessarie.

3.   Il GEPD formula quindi una decisione su un’ispezione, stabilendo lo scopo, la portata, la data o le date nonché l’ora e il luogo o i luoghi dell’ispezione e definendo la base giuridica per le attività di ispezione. La decisione è corredata dei mandati per tutti i membri del personale che partecipano all’ispezione.

4.   I membri del personale che effettuano un’ispezione raccolgono tutte le prove documentali in maniera selettiva e proporzionata. Tutte le prove documentali sono adeguatamente protette.

5.   Il contenuto dei colloqui svolti e delle informazioni ottenute nel corso di un’ispezione è trascritto, analogamente alla procedura seguita, in un verbale che viene trasmesso all’istituzione per osservazioni. Qualora non pervengano osservazioni entro un termine stabilito, il verbale si considera approvato. Al verbale è allegato un elenco delle prove documentali raccolte durante l’ispezione.

6.   Il GEPD illustra in una relazione di ispezione le conclusioni raggiunte nel corso di un’ispezione. Alla relazione, contenente tutte le misure che devono essere intraprese dall’istituzione ispezionata, viene dato seguito da parte del GEPD.

Articolo 37

Visite

1.   Le visite sono effettuate dal GEPD allo scopo di ottenere l’impegno dell’alta dirigenza di un’istituzione a promuovere il rispetto del regolamento.

2.   La decisione di effettuare una visita si basa in linea di principio su una mancanza di impegno a rispettare il regolamento, nonché su una mancanza di comunicazione o di sensibilizzazione.

3.   Ove opportuno, una visita si conclude con un accordo su un calendario («tabella di marcia») nel cui ambito i dirigenti dell’istituzione si impegnano a rispettare gli obblighi specifici previsti dal regolamento entro un termine stabilito. Al calendario concordato viene dato seguito dal GEPD.

SEZIONE 7

Osservazione delle tecnologie

Articolo 38

Tecnologia e ricerca

1.   Ai sensi dell’articolo 46, lettera e), del regolamento, il GEPD segue l’evoluzione delle tecnologie dell’informazione e della comunicazione. Nell’esercizio di tale funzione, il GEPD intende individuare le tendenze emergenti con un potenziale impatto sulla protezione dei dati, stabilendo contatti con le parti interessate, svolgendo attività di sensibilizzazione su possibili aspetti della protezione dei dati e fornendo consulenza sul modo di integrare le preoccupazioni in materia di protezione dei dati in progetti pertinenti, promuovendo i principi della tutela della vita privata fin dalla progettazione («privacy by design») e della tutela della vita privata per impostazione predefinita («privacy by default») e, se necessario, adattando le metodologie di controllo all’evoluzione tecnologica.

2.   Il GEPD contribuisce ai programmi quadro dell’Unione, partecipando ai comitati consultivi per la ricerca, assistendo la Commissione nel processo di valutazione delle proposte o altro, ove opportuno.

3.   Il GEPD può decidere di contribuire a singole attività di ricerca, sviluppo tecnologico e dimostrazione finanziate dall’UE adottando un parere sull’attività, su richiesta o di propria iniziativa.

SEZIONE 8

Procedimenti giudiziari

Articolo 39

Ricorsi contro le istituzioni

Ai sensi dell’articolo 47, paragrafo 1, lettera h), del regolamento, il GEPD può adire la Corte di giustizia dell’Unione europea alle condizioni previste dal trattato. Il GEPD esercita tale potere, se necessario, in caso sia di inosservanza del regolamento da parte di un’istituzione, sia di mancata effettiva attuazione della successiva azione di esecuzione adottata dal GEPD ai sensi dell’articolo 47 del regolamento.

Articolo 40

Ricorsi contro le decisioni del GEPD

Ai sensi dell’articolo 32, paragrafo 3, del regolamento, avverso le decisioni del GEPD può essere proposto ricorso dinanzi alla Corte di giustizia dell’Unione europea.

Articolo 41

Interventi

1.   Ai sensi dell’articolo 47, paragrafo 1, lettera i), del regolamento, il GEPD può intervenire nelle cause dinanzi alla Corte di giustizia dell’Unione europea.

2.   Il GEPD presenta istanza di intervento nei procedimenti se la controversia ha un’importanza generale dal punto di vista della protezione dei dati o se il GEPD è risultato direttamente coinvolto nei fatti della controversia nell’esercizio delle funzioni di controllo.

3.   Altri elementi che possono influenzare la decisione di presentare istanza di intervento sono l’eventualità che la questione riguardante la protezione dei dati costituisca una parte sostanziale della controversia e la probabilità che un intervento del GEPD apporti valore ai procedimenti.

4.   A meno che esistano valide ragioni per non intervenire, il GEPD presenta istanza di intervento qualora sia formalmente invitato ad agire in tal senso dalla Corte.

CAPITOLO VI

RESPONSABILI DELLA PROTEZIONE DEI DATI

Articolo 42

Collaborazione con i responsabili della protezione dei dati

1.   Il GEPD collabora con i responsabili della protezione dei dati sia bilateralmente, sia partecipando alle riunioni organizzate dalla rete dei responsabili della protezione dei dati.

2.   Il GEPD fornisce sostegno e consulenza ai responsabili della protezione dei dati, laddove necessario per l’esercizio delle loro funzioni.

Articolo 43

Registro dei responsabili della protezione dei dati nominati

Ai sensi dell’articolo 24, paragrafo 5, del regolamento, il GEPD tiene un registro delle nomine dei responsabili della protezione dei dati di cui ha ricevuto notifica. Il registro contiene, in particolare, informazioni sulla durata del mandato di ciascun responsabile della protezione dei dati.

CAPITOLO VII

COLLABORAZIONE CON LE AUTORITÀ PREPOSTE ALLA PROTEZIONE DEI DATI

Articolo 44

Collaborazione con le autorità preposte alla protezione dei dati

1.   Ai sensi dell’articolo 46, lettera f), punto i), del regolamento, il GEPD collabora con le autorità nazionali responsabili della protezione dei dati e altri organi di controllo se e in quanto ciò risulti necessario per l’adempimento dei rispettivi obblighi.

2.   La collaborazione comprende:

a)	lo scambio di tutte le informazioni pertinenti, quali le informazioni riguardanti le migliori pratiche, nonché le richieste di esercitare i propri poteri rivolte alle autorità competenti e le risposte a dette richieste da parte di tali autorità;

b)	lo sviluppo e il mantenimento di contatti con i relativi membri e il pertinente personale delle autorità;

c)	la cooperazione con le autorità e gli organismi di controllo comuni istituite ai sensi della normativa dell’Unione, compresa, se del caso, la partecipazione alle riunioni di tali autorità e organismi, al fine di garantire una prassi coerente.

Articolo 45

Gruppo di lavoro «articolo 29»

1.   Ai sensi dell’articolo 46, lettera g), del regolamento, il GEPD partecipa alle attività del gruppo di lavoro istituito dall’articolo 29 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (4).

2.   Il GEPD contribuisce attivamente alle discussioni e alla stesura dei documenti pubblicati dal gruppo di lavoro volti a fornire un’interpretazione comune della legislazione in materia di protezione dei dati e a offrire consulenza qualificata alla Commissione europea. In tali circostanze, il GEPD presenta, se del caso, la prospettiva dell’Unione.

3.   Il GEPD partecipa regolarmente alle riunioni plenarie e dei sottogruppi del gruppo di lavoro.

4.   Il GEPD promuove regolari scambi di opinioni sulle rispettive priorità, se possibile almeno una volta l’anno, con il presidente del gruppo di lavoro, al fine di instaurare una buona collaborazione nella pratica.

Articolo 46

Controllo coordinato dei sistemi di tecnologie dell’informazione su larga scala

1.   Il GEPD partecipa al controllo coordinato dei sistemi di tecnologia dell’informazione su larga scala con le autorità nazionali di controllo, come previsto dalla normativa dell’Unione.

2.   Il GEPD organizza riunioni di coordinamento e svolge le funzioni di segretariato dei gruppi di coordinamento.

3.   Il GEPD collabora con le singole autorità nazionali di controllo nella misura necessaria e in funzione delle loro priorità, al fine di garantire un controllo coordinato delle parti nazionali e centrali dei sistemi di tecnologie dell’informazione su larga scala.

Articolo 47

Cooperazione internazionale

1.   Il GEPD partecipa alla conferenza annuale di primavera dei commissari europei in materia di protezione dei dati, alla conferenza internazionale annuale dei commissari in materia di protezione dei dati e della vita privata e al gruppo di lavoro internazionale sulla protezione dei dati nel settore delle telecomunicazioni.

2.   Il GEPD partecipa alla pertinenti reti internazionali per l’applicazione delle disposizioni in materia di tutela della vita privata.

3.   Il GEPD organizza seminari periodici con i rappresentanti delle organizzazioni internazionali al fine di condividere le buone prassi e sviluppare una cultura di protezione dei dati all’interno di tali organizzazioni.

4.   Il GEPD promuove la cooperazione e il dialogo a livello internazionale con altre parti interessate di paesi terzi.

CAPITOLO VIII

AMMINISTRAZIONE

Articolo 48

Sicurezza

1.   Ai sensi dell’articolo 45 del regolamento, durante e dopo il mandato il garante e i membri del personale sono tenuti al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso durante l’esercizio delle loro funzioni.

2.   Il GEPD nomina uno o più membri del personale con competenze specifiche in materia di sicurezza, riguardanti i vari settori di attività. I membri nominati sono responsabili in particolare di questioni di sicurezza relative al personale, della sicurezza fisica e della sicurezza delle tecnologie dell’informazione. Qualora lo ritengano necessario al fine di evitare rischi di sicurezza per il GEPD, i membri del personale così nominati riferiscono direttamente al direttore.

Articolo 49

Comitato direttivo sulle tecnologie dell’informazione

È istituito un comitato direttivo sulle tecnologie dell’informazione volto a fornire consulenza al consiglio di amministrazione sulle implicazioni della tecnologia dell’informazione per la sicurezza e lo sviluppo interno del GEPD.

Articolo 50

Gestione della qualità

Il GEPD predispone gli opportuni meccanismi per assicurare un’adeguata gestione della qualità, come norme di controllo interno, una relazione annuale sulle attività e un sistema di gestione dei rischi.

Articolo 51

Responsabile della protezione dei dati

Ai sensi dell’articolo 24 del regolamento, il GEPD nomina un responsabile della protezione dei dati che riferisce direttamente al direttore.

Articolo 52

Informazione al pubblico

1.   Il GEPD svolge attività di sensibilizzazione in merito alla protezione dei dati e informa gli interessati dell’esistenza e del contenuto dei loro diritti. A tal fine, il GEPD si avvale di una serie di strumenti di comunicazione (ad esempio sito web, newsletter, mezzi di comunicazione sociale ed eventi di sensibilizzazione), intrattiene contatti con le parti interessate (ad esempio tramite visite di studio presso i propri uffici, risposte a richieste di informazioni) e partecipa a eventi pubblici, incontri e conferenze.

2.   Il GEPD informa i mezzi di comunicazione sui principali eventi connessi alla protezione dei dati, nonché su pubblicazioni o pareri importanti, mediante comunicati stampa, interviste e conferenze stampa.

Articolo 53

Documentazione

1.   Vengono conservate registrazioni accurate e autentiche di tutte le attività del GEPD che garantiscono una fonte di prova affidabile e giuridicamente verificabile delle decisioni e delle azioni adottate.

2.   I documenti connessi ad attività specifiche sono raggruppati in fascicoli. È possibile accedere ai fascicoli, organizzati secondo un ordinamento logico in base al tipo di attività, tramite un titolario di classificazione istituito dal GEPD.

3.   Tipologie di fascicoli differenti sono conservate per un determinato periodo in base a termini di conservazione stabiliti dal GEPD. Allo scadere del periodo di conservazione, i fascicoli sono valutati e archiviati conformemente alla politica di archiviazione adottata dal GEPD.

Articolo 54

Divulgazione attiva dei documenti

1.   In linea di principio, tutti i principali documenti strategici, orientamenti tematici, pareri legislativi, osservazioni formali, memorie di udienze di tribunali e pareri sui controlli preventivi sono pubblicati sul sito web del GEPD.

2.   I pareri formulati a seguito di una consultazione amministrativa sono pubblicati sul sito web del GEPD qualora rivestano un’importanza di carattere generale, contengano una nuova interpretazione o applicazione della normativa o riguardino l’impatto delle nuove tecnologie sui diritti degli interessati.

Articolo 55

Pubblicazione nella Gazzetta ufficiale

Sono pubblicati nella Gazzetta ufficiale dell’Unione europea:

a)	sintesi di pareri legislativi di cui all’articolo 28, paragrafo 3;

b)	decisioni e pareri del GEPD, o loro sintesi, di cui all’articolo 9, paragrafo 7, all’articolo 10, paragrafo 2, lettera b), all’articolo 10, paragrafi 4, 5 e 6, all’articolo 12, paragrafo 2, all’articolo 19 e all’articolo 37, paragrafo 2, del regolamento;

c)	altri documenti ritenuti pertinenti dal GEPD.

Articolo 56

Accesso del pubblico ai documenti

Il pubblico ha accesso ai documenti custoditi dal GEPD conformemente ai principi stabiliti dal regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all’accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (5).

Articolo 57

Autenticazione delle decisioni

1.   L’autenticazione delle decisioni avviene mediante firma della versione in lingua originale da parte del garante.

2.   La firma può essere autografa o elettronica.

Articolo 58

Lingue e lingue di lavoro

1.   La lingua dei procedimenti avviati dal GEPD è una delle lingue menzionate all’articolo 55, paragrafo 1, del trattato sull’Unione europea. In caso di reclamo, la lingua è quella dell’atto di reclamo.

2.   Relazioni, pareri, atti e altri documenti, destinati a loro volta a essere pubblicati sul sito web del GEPD, sono redatti almeno in inglese, francese e tedesco.

Articolo 59

Personale

1.   I membri del personale del GEPD sono assunti in conformità e nell’osservanza dello statuto dei funzionari e del regime applicabile agli altri agenti dell’Unione europea.

2.   Al fine di accrescere la cooperazione con le autorità nazionali, in particolare con le autorità nazionali preposte alla protezione dei dati, è attuato un programma per il distacco del personale presso il GEPD.

3.   Al fine di permettere ai neolaureati di acquisire esperienza pratica sul funzionamento del GEPD e dell’Unione in generale, è attuato un programma di tirocinio.

4.   Al fine di soddisfare esigenze provvisorie è possibile assumere personale interinale e altri collaboratori esterni.

Articolo 60

Comitato del personale

1.   Un comitato del personale che rappresenta il personale del GEPD viene tempestivamente consultato su progetti di decisione relativi all’applicazione dello statuto dei funzionari dell’Unione europea e può essere consultato su qualsiasi altra questione di interesse generale riguardante il personale. Il comitato del personale è informato di tutte le questioni che riguardano l’esercizio delle sue funzioni ed emette i propri pareri entro 15 giorni a decorrere dalla data in cui è stato consultato.

2.   Il comitato del personale contribuisce al buon funzionamento del GEPD formulando proposte su questioni organizzative e condizioni di lavoro.

3.   Il comitato del personale è composto di tre membri e di tre supplenti ed eletto per un periodo di due anni dall’assemblea generale.

Articolo 61

Cooperazione amministrativa con altre istituzioni

1.   Il direttore, in qualità di capo del segretariato, rappresenta il GEPD nelle varie sedi interistituzionali e può delegare tale rappresentanza ai funzionari responsabili delle risorse umane, del bilancio e dell’amministrazione.

2.   Considerate le dimensioni del GEPD rispetto alle altre istituzioni, nonché ai fini di una corretta gestione e di una sana economia di bilancio, il GEPD persegue attivamente la conclusione di accordi di cooperazione, protocolli di intesa e accordi di servizio con altre istituzioni.

CAPITOLO IX

DISPOSIZIONI FINALI

Articolo 62

Entrata in vigore

Il presente regolamento interno entra in vigore il giorno successivo alla sua sottoscrizione ed è pubblicato nella Gazzetta ufficiale dell’Unione europea.

---

(1)  GU L 8 del 12.1.2001, pag. 1.

(2)  GU L 183 del 12.7.2002, pag. 1.

(3)  GU C 27 del 7.2.2007, pag. 1.

(4)  GU L 281 del 23.11.1995, pag. 31.

(5)  GU L 145 del 31.5.2001, pag. 43.

---