22.7.2008

IT

Gazzetta ufficiale dell'Unione europea

L 193/7

---

DECISIONE DELLA COMMISSIONE

del 3 giugno 2008

recante adozione di norme d’attuazione relative al responsabile della protezione dei dati ai sensi dell’articolo 24, paragrafo 8, del regolamento (CE) n. 45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati

(2008/597/CE)

LA COMMISSIONE DELLE COMUNITÀ EUROPEE,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (1), in particolare l’articolo 24, paragrafo 8, e l’allegato,

considerando quanto segue:

(1)	Il regolamento (CE) n. 45/2001 (in appresso «il regolamento»), enuncia principi e norme applicabili a tutte le istituzioni e a tutti gli organismi comunitari e prevede che ogni istituzione e ogni organismo della Comunità nominino un responsabile della protezione dei dati personali.

(2)

L’articolo 24, paragrafo 8 del regolamento stabilisce che altre norme d’attuazione relative al responsabile della protezione dei dati siano adottate da ogni istituzione od organismo della Comunità nel rispetto delle disposizioni che figurano nell’allegato. Tali norme d’attuazione potranno in particolare riguardare le funzioni, gli obblighi e le competenze del responsabile della protezione dei dati.

(3)

La decisione C(2002) 510 della Commissione (2) del 18 febbraio 2002 istituisce la carica di responsabile della protezione dei dati per la Commissione e affida a quest’ultimo il compito di proporre norme d’attuazione supplementari previa consultazione delle direzioni generali e in base alle loro esigenze ed esperienze,

DECIDE:

SEZIONE 1

DISPOSIZIONI GENERALI

Articolo 1

Definizioni

Ai fini della presente decisione e ferme restando le definizioni di cui al regolamento si intende per:

—	«coordinatore per la protezione dei dati»: membro del personale di una direzione generale o di un servizio, nominato dal direttore generale per coordinare tutti gli aspetti della protezione dei dati personali all’interno della direzione generale,

—	«responsabile del trattamento», quale definito all’articolo 2, lettera d), e menzionato all’articolo 25, paragrafo 2, lettera a), del regolamento: il funzionario responsabile dell’unità organizzativa che ha determinato le finalità e gli strumenti del trattamento di dati personali.

Articolo 2

Campo d’applicazione

La presente decisione definisce le norme e le procedure per lo svolgimento della funzione di responsabile della protezione dei dati all’interno della Commissione, ai sensi dell’articolo 24, paragrafo 8, del regolamento. Non si applica alle attività della Commissione dirette all’elaborazione delle politiche di tutela delle persone in relazione al trattamento dei dati personali.

SEZIONE 2

RESPONSABILE DELLA PROTEZIONE DEI DATI

Articolo 3

Nomina e status

1.   La Commissione nomina il responsabile della protezione dei dati (3) e ne dà comunicazione al garante europeo della protezione dei dati.

2.   Il mandato del responsabile della protezione dei dati è di cinque anni, rinnovabile una volta.

3.   Il responsabile della protezione dei dati agisce in maniera indipendente in relazione all’applicazione interna delle disposizioni del regolamento, e non può ricevere alcuna istruzione per quanto riguarda l’esercizio delle sue funzioni.

4.   Il responsabile della protezione dei dati è scelto fra il personale della Commissione conformemente alle procedure applicabili. Oltre ai requisiti previsti all’articolo 24, paragrafo 2, del regolamento, deve possedere una conoscenza approfondita dei servizi della Commissione, della loro struttura e delle norme e procedure amministrative, e una buona conoscenza dei sistemi, dei principi e delle metodologie utilizzati nel campo della protezione dei dati e dell’informazione. Deve essere capace di discernimento e agire in maniera obiettiva e imparziale, come prevede lo Statuto dei funzionari.

5.   Ai sensi del regolamento la Commissione può destituire il responsabile della protezione dei dati, ma solo con il consenso del garante europeo della protezione dei dati, se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni. Spetta alla Commissione, su proposta del Segretario generale in accordo col direttore generale del personale e dell’amministrazione, stabilire che il responsabile della protezione dei dati non soddisfa più le condizioni richieste per assolvere i suoi obblighi.

6.   Ferme restando le disposizioni applicabili del regolamento, il responsabile della protezione dei dati e il suo personale sono soggetti alla normativa relativa ai funzionari delle Comunità europee.

Articolo 4

Funzioni

1.   Ferme restando le funzioni di cui all’articolo 24 del regolamento e al suo allegato, il responsabile della protezione dei dati contribuisce alla creazione di una cultura della protezione dei dati personali in seno alla Commissione, con un lavoro di sensibilizzazione generale a tali questioni e mantenendo un giusto equilibrio fra il principio della protezione dei dati personali e quello della trasparenza.

2.   Il responsabile della protezione dei dati tiene un inventario di tutte le operazioni di trattamento di dati personali effettuate dalla Commissione. In tale inventario i coordinatori per la protezione dei dati inseriscono, per le rispettive DG, tutti i trattamenti soggetti a notifica, indicando anche il responsabile del trattamento. Il responsabile della protezione dei dati aiuta quest’ultimo a valutare il rischio delle operazioni di cui deve rispondere e controlla l’applicazione del regolamento alla Commissione, in particolare attraverso una relazione annuale sulla situazione in materia di protezione dei dati.

3.   Il responsabile della protezione dei dati organizza e presiede le riunioni periodiche della rete dei coordinatori per la protezione dei dati.

4.   Il responsabile della protezione dei dati rende accessibile, sui siti Internet interni ed esterni della Commissione, il registro dei trattamenti di cui all’articolo 26 del regolamento.

5.   Il responsabile della protezione dei dati può formulare raccomandazioni e consigliare la Commissione e i responsabili del trattamento in merito all’applicazione delle disposizioni sulla protezione dei dati. Può inoltre, su richiesta o di propria iniziativa, svolgere indagini sulle questioni e sui fatti direttamente collegati con l’esercizio delle sue funzioni e riferire alla persona che lo ha incaricato dell’indagine, conformemente alla procedura di cui all’articolo 13. Se il richiedente è una persona fisica, o agisce per conto di una persona fisica, il responsabile della protezione dei dati deve, nella misura del possibile, garantire la riservatezza della richiesta, a meno che l’interessato non acconsenta esplicitamente a che sia trattata in modo diverso.

6.   Il trattamento di dati personali da parte dei comitati del personale rientra nel mandato del responsabile della protezione dei dati della Commissione. Ai fini dell’articolo 6, quando sorgono questioni relative a operazioni di trattamento da parte di un comitato del personale, il responsabile della protezione dei dati fornisce ogni informazione al presidente del comitato del personale interessato, e non già al segretario generale.

7.   Ferma restando l’indipendenza del responsabile della protezione dei dati, il Segretario generale può chiedere, a nome della Commissione, che rappresenti l’istituzione per tutte le questioni relative alla protezione dei dati e che finanche partecipi a comitati e organismi competenti a livello internazionale.

Articolo 5

Obblighi

1.   Oltre alle funzioni generali di cui è incaricato, il responsabile della protezione dei dati:

a)

presenta alla Commissione una relazione annuale sulla situazione in materia di protezione dei dati indirizzata al segretario generale e al direttore generale del personale e dell’amministrazione, che sarà discussa in una sede appropriata, ad esempio la riunione periodica dei direttori generali. La relazione è resa accessibile al personale della Commissione;

b)	collabora, nell’esercizio delle sue funzioni, con i responsabili della protezione dei dati delle altre istituzioni e degli altri organismi, in particolare scambiando esperienza e migliori prassi.

2.   Per i trattamenti di dati personali di sua competenza, il responsabile della protezione dei dati agisce come responsabile del trattamento.

Articolo 6

Competenze

Nell’espletare i suoi obblighi e le sue funzioni, e ferme restando le competenze conferitegli dal regolamento, il responsabile della protezione dei dati può:

a)	chiedere pareri al servizio giuridico della Commissione;

b)	in caso di controversie sull’interpretazione o sul’applicazione del regolamento, informare l’autorità gerarchica competente e il segretario generale prima di riferire al garante europeo della protezione dei dati;

c)

segnalare al segretario generale eventuali casi di inosservanza: — da parte di un membro del personale, degli obblighi previsti dal regolamento, — da parte dei responsabili del trattamento, delle norme di controllo interno della Commissione più specificamente collegate agli obblighi previsti dal regolamento, e proporre l’avvio di un’indagine amministrativa che può eventualmente sfociare nell’applicazione dell’articolo 49 del regolamento;

d)	indagare sulle questioni e sui fatti direttamente collegati con l’esercizio delle sue funzioni, applicando i principi che regolamentano le inchieste e gli audit alla Commissione e la procedura di cui all’articolo 13;

e)	avere accesso in qualsiasi momento ai dati oggetto del trattamento e a tutti gli uffici, alle installazioni per il trattamento dei dati e ai supporti di dati.

Articolo 7

Risorse

La Commissione conferisce al responsabile della protezione dei dati le risorse necessarie all’esercizio delle sue funzioni.

SEZIONE 3

NORME E PROCEDURE

Articolo 8

Informazione

1.   Ogniqualvolta i servizi della Commissione esaminano una questione con implicazioni sulla protezione dei dati, il servizio capofila ne informa il responsabile della protezione dei dati senza indugio, e al più tardi prima di prendere una decisione.

2.   Ogniqualvolta la Commissione consulta e informa il garante europeo della protezione dei dati ai sensi dei pertinenti articoli del regolamento, in particolare l’articolo 28, paragrafi 1 e 2, il responsabile della protezione dei dati ne è informato, così come è informato dei contatti diretti fra i responsabili del trattamento della Commissione e il garante europeo della protezione dei dati ai sensi dei rilevanti articoli del regolamento.

3.   Il responsabile della protezione dei dati è informato dal servizio capofila o, se del caso, dal Servizio giuridico, dei pareri e delle posizioni del Servizio giuridico che interessino direttamente l’applicazione interna delle disposizioni del regolamento, e dei pareri sull’interpretazione o sull’applicazione di altri atti giuridici riguardanti la protezione dei dati personali e il loro trattamento, specie in relazione alla consultazione interservizi, e l’accesso all’informazione.

Articolo 9

Responsabili del trattamento

1.   Ferme restando le disposizioni del regolamento relative ai loro obblighi, i responsabili del trattamento:

a)	notificano senza indugio al responsabile della protezione dei dati tutti i trattamenti esistenti non ancora notificati;

b)	consultano) se del caso) il responsabile della protezione dei dati sulla conformità dei trattamenti, in particolare in caso di dubbi;

c)	collaborano con il responsabile della protezione dei dati all’inventario dei trattamenti esistenti di dati personali presso la direzione generale.

2.   Il responsabile del trattamento può delegare parte delle sue funzioni ad altre persone che agiscono in qualità di responsabili delegati del trattamento sotto la sua autorità e responsabilità.

Articolo 10

Incaricati del trattamento

Gli incaricati del trattamento della Commissione — il cui compito è elaborare dati personali per conto dei responsabili del trattamento — agiscono soltanto su istruzione del responsabile del trattamento in base a un accordo scritto, e trattano i dati nel rigoroso rispetto del regolamento e di ogni altra normativa applicabile in materia di protezione dei dati. Un accordo scritto fra unità organizzative della Commissione è considerato equivalente a un atto giuridico vincolante ai sensi dell’articolo 23, paragrafo 2 del regolamento.

Con incaricati esterni sono stipulati contratti formali che devono contenere gli specifici requisiti elencati all’articolo 23, paragrafo 2 del regolamento.

Articolo 11

Notificazioni

Per trasmettere le notificazioni al responsabile della protezione dei dati i responsabili del trattamento utilizzano il sistema online della Commissione, accessibile dal sito web del responsabile della protezione dei dati sul sito Intranet della Commissione.

Per semplici operazioni di trattamento di dati personali non sensibili il sistema propone una notificazione semplificata.

Articolo 12

Registro

Il registro elettronico dei trattamenti della Commissione, di cui all’articolo 4, paragrafo 4, è accessibile dal sito web del responsabile della protezione dei dati sull’Intranet della Commissione per tutto il personale delle istituzioni e degli organismi comunitari, e dal sito web Europa per chiunque abbia accesso a Internet. Le persone prive di collegamento a Internet possono chiedere estratti del registro scrivendo al responsabile della protezione dei dati, che risponderà entro 10 giorni lavorativi.

Articolo 13

Procedura d’indagine

1.   La richiesta di indagine di cui all’articolo 4, paragrafo 5 è rivolta al responsabile della protezione dei dati per iscritto. Entro 15 giorni dal ricevimento della richiesta il responsabile della protezione dei dati invia una conferma di ricevimento alla persona che lo ha incaricato dell’indagine e verifica se occorra garantire la riservatezza della richiesta. In caso di palese abuso del diritto di richiedere un’indagine, il responsabile della protezione dei dati non è tenuto a riferire al richiedente.

2.   Il responsabile della protezione dei dati chiede una dichiarazione scritta sulla questione al responsabile del trattamento dei dati interessati, che gli risponde entro 15 giorni lavorativi. Il responsabile della protezione dei dati può chiedere di ricevere dal responsabile del trattamento e/o da altre parti, sempre entro 15 giorni, informazioni complementari. Se del caso, può chiedere un parere sulla questione al Servizio giuridico, che glielo fornisce entro 30 giorni lavorativi.

3.   Il responsabile della protezione dei dati riferisce alla persona che lo ha incaricato dell’indagine entro tre mesi dal ricevimento della richiesta. Tale termine può essere sospeso finché il responsabile della protezione dei dati non abbia ottenuto le informazioni complementari eventualmente richieste.

4.   Nessuno può subire pregiudizio per una questione portata all’attenzione del responsabile della protezione dei dati e riguardante un’asserita violazione delle disposizioni del regolamento.

Articolo 14

Coordinatori per la protezione dei dati

1.   In ogni direzione generale o servizio il direttore generale o il capo servizio nominano un coordinatore per la protezione dei dati. Stipulando un accordo scritto, più direzioni generali, servizi o uffici possono decidere, per ragioni di coerenza od efficienza, di nominare un coordinatore per la protezione dei dati comune o di condividere i servizi di un coordinatore già nominato.

2.   La funzione di coordinatore per la protezione dei dati può essere combinata, se del caso, con altre funzioni. Per acquisire le competenze necessarie all’esercizio delle sue funzioni il coordinatore per la protezione dei dati deve seguire un’apposita formazione obbligatoria entro sei mesi dalla nomina.

3.   La durata del mandato di coordinatore per la protezione dei dati non è limitata. Il coordinatore per la protezione dei dati è scelto, al livello gerarchico appropriato, in base alla sua elevata etica professionale, alla sua conoscenza ed esperienza del funzionamento della sua direzione generale, e alla sua motivazione per tale carica, e deve conoscere i principi di funzionamento dei sistemi d’informazione.

4.   Fermi restando i doveri del responsabile della protezione dei dati, il coordinatore per la protezione dei dati:

a)

stila un inventario dei trattamenti effettuati dalla direzione generale, lo tiene aggiornato e contribuisce a determinare un livello di rischio appropriato per ogni trattamento; si avvale del sistema online di gestione dell’inventario per i coordinatori della protezione dei dati, appositamente predisposto sul sito web del responsabile della protezione dei dati, accessibile dall’Intranet della Commissione;

b)	aiuta il direttore generale o il capo servizio a identificare i rispettivi responsabili del trattamento;

c)	ha il diritto di ottenere le informazioni necessarie ed appropriate dai responsabili del trattamento, ma non ha per questo accesso ai dati personali trattati sotto la loro responsabilità.

5.   Fermi restando i doveri del responsabile del trattamento, il coordinatore per la protezione dei dati:

a)	aiuta i responsabili del trattamento ad adempiere ai loro obblighi giuridici;

b)	aiuta i responsabili del trattamento nella notifica dei trattamenti;

c)	inserisce le notificazioni semplificate nel sistema di notificazione online del responsabile della protezione dei dati.

6.   Il coordinatore per la protezione dei dati partecipa alle riunioni periodiche della rete dei coordinatori per la protezione dei dati, presiedute dal responsabile della protezione dei dati, per garantire una coerente applicazione ed interpretazione del regolamento alla Commissione e per discutere questioni di comune interesse.

7.   Nell’esercizio delle sue funzioni il coordinatore per la protezione dei dati può chiedere al responsabile della protezione dei dati raccomandazioni, consulenze o pareri.

Articolo 15

Amministrazione e gestione

1.   Il responsabile per la protezione dei dati afferisce amministrativamente al segretariato generale e le sue attività sono integrate nel processo di gestione e di elaborazione del bilancio sulla base delle attività (attività 7 del segretariato generale — relazioni con la società civile — trasparenza ed informazione). In tale contesto, il responsabile per la protezione dei dati partecipa alla preparazione del piano di gestione annuale e del progetto preliminare di bilancio del segretariato generale.

2.   Il responsabile della protezione dei dati è il valutatore per il personale del suo segretariato e il responsabile aggiunto per la protezione dei dati. Il segretario generale aggiunto è il vidimatore.

3.   Il responsabile della protezione dei dati partecipa se del caso al coordinamento della gestione del segretariato generale.

SEZIONE 4

DISPOSIZIONI FINALI

Articolo 16

Entrata in vigore

La presente decisione entra in vigore il 3 giugno 2008.

---

(1)  GU L 8 del 12.1.2001, pag. 1.

(2)  Non ancora pubblicata nella Gazzetta Ufficiale.

(3)  L’uso del maschile per convenzione nel testo non pregiudica ovviamente la possibilità che la carica possa essere ricoperta sia da un uomo che da una donna.

---