1.   La presente decisione stabilisce le norme e le procedure per l’applicazione del regolamento (UE) 2018/1725 da parte del Consiglio e del segretariato generale del Consiglio (SGC), nonché le ulteriori norme di attuazione relative al responsabile della protezione dei dati del Consiglio (RPD).

2.   La presente decisione stabilisce le norme che il Consiglio e l’SGC devono rispettare, in relazione ai compiti di controllo, indagine, revisione e consultazione dell’RPD, quando informano gli interessati del trattamento dei loro dati personali conformemente agli articoli 14, 15 e 16 del regolamento (UE) 2018/1725.

3.   La presente decisione stabilisce le condizioni alle quali il Consiglio e l’SGC, in relazione alle attività di controllo, indagine, revisione e consultazione dell’RPD, possono limitare l’applicazione dell’articolo 4, degli articoli da 14 a 17 e degli articoli 19, 20 e 35 del regolamento (UE) 2018/1725 conformemente all’articolo 25, paragrafo 1, lettere c), g) e h), di tale regolamento.

4.   La presente decisione si applica al trattamento dei dati personali da parte del Consiglio e dell’SGC ai fini dei compiti del responsabile della protezione dei dati di cui all’articolo 45 del regolamento (UE) 2018/1725, o in relazione a tali compiti.

1.   Il segretario generale del Consiglio designa l’RPD fra il personale dell’SGC e ne comunica il nome al garante europeo della protezione dei dati («GEPD»), conformemente all’articolo 43 del regolamento (UE) 2018/1725.

2.   L’RPD è selezionato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 45 del regolamento (UE) 2018/1725. L’RPD ha inoltre una buona conoscenza dell’SGC, della sua struttura e delle sue norme e procedure amministrative. Ai fini dello svolgimento dei suoi compiti, l’RPD è esonerato da qualsiasi altro compito in seno all’SGC.

3.   L’RPD è designato per un periodo di cinque anni e il suo mandato è rinnovabile.

4.   L’RPD e il relativo personale dipendono direttamente dal segretario generale del Consiglio e gli riferiscono direttamente.

5.   Nell’esecuzione dei suoi compiti, l’RPD agisce in modo indipendente e non riceve istruzioni dal segretario generale del Consiglio, dai titolari del trattamento delegati o dai titolari del trattamento operativi, o da chiunque altro, istruzioni riguardo all’applicazione interna delle disposizioni del regolamento (UE) 2018/1725 o alla sua cooperazione con il GEPD.

6.   Il Consiglio e l’SGC sostengono l’RPD nell’esecuzione dei compiti di cui all’articolo 45 del regolamento (UE) 2018/1725 fornendogli le risorse necessarie per assolvere tali compiti e fornire l’accesso ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

7.   L’RPD non è rimosso o penalizzato per l’adempimento dei propri compiti; può essere rimosso solo in conformità dell’articolo 44, paragrafo 8, del regolamento (UE) 2018/1725. Al fine di ottenere il consenso del GEPD a tale destituzione a norma di tale articolo, il GEPD è consultato per iscritto. Una copia di tale consenso è trasmessa all’RPD.

8.   L’SGC, in particolare i titolari del trattamento delegati e i titolari del trattamento operativi, si assicurano che l’RPD sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

1.   L’RPD svolge tutti i compiti previsti all’articolo 45 del regolamento (UE) 2018/1725. In particolare, l’RPD deve:

L’RPD può essere consultato dal segretario generale, dai pertinenti responsabili del trattamento, dal comitato del personale e da qualsiasi persona, senza seguire la via gerarchica, su qualsiasi aspetto riguardante l’applicazione o l’attuazione del regolamento (UE) 2018/1725.

2.   L’RPD tiene le registrazioni delle attività di trattamento in un registro disponibile al pubblico conformemente all’articolo 12.

3.   L’RPD tiene inoltre un registro interno delle violazioni dei dati personali ai sensi dell’articolo 3, punto 16, del regolamento (UE) 2018/1725.

4.   L’RPD fornisce consulenza al titolare del trattamento delegato, se richiesto, in merito all’applicazione di una limitazione all’applicazione degli articoli da 14 a 22, 35 e 36, nonché dell’articolo 4 del regolamento (UE) 2018/1725.

5.   L’RPD organizza e presiede le riunioni periodiche dei coordinatori per la protezione dei dati.

6.   L’RPD presenta al segretario generale del Consiglio una relazione annuale sulla propria attività e la rende accessibile al personale dell’SGC.

7.   L’RPD coopera con i responsabili della protezione dei dati designati dalle altre istituzioni e dagli altri organi dell’Unione e partecipa regolarmente alle riunioni convocate dal GEPD o dai responsabili della protezione dei dati delle altre istituzioni e degli altri organi dell’Unione al fine di facilitare una buona cooperazione, in particolare mediante lo scambio di esperienze e migliori pratiche.

8.   L’RPD è considerato il titolare del trattamento delegato per i trattamenti effettuati nell’esecuzione dei suoi compiti.

1.   I titolari del trattamento coinvolgono l’RPD nella pianificazione e nella discussione di un’attività che comprenda il trattamento dei dati personali. L’RPD è informato di qualsiasi trattamento e di qualsiasi modifica sostanziale di un trattamento in corso.

2.   L’RPD è informato dei progetti di note interne e decisioni dell’SGC direttamente connesse all’applicazione interna del regolamento (UE) 2018/1725.

3.   L’RPD è informato di tutti i contatti con parti esterne relativi all’applicazione interna del regolamento (UE) 2018/1725 e di qualsiasi interazione con il GEPD, in particolare qualora quest’ultimo sia consultato o informato a norma degli articoli 40 e 41 di detto regolamento.

4.   L’RPD è consultato sui progetti di accordi tra contitolari del trattamento e sui progetti di clausole contrattuali sulla protezione dei dati o di altri atti giuridici qualora i dati personali siano trattati da un responsabile del trattamento.

1.   Ai titolari del trattamento delegati spetta assicurare che tutti i trattamenti sotto il loro controllo siano conformi al regolamento (UE) 2018/1725.

2.   In particolare, i titolari del trattamento delegati:

3.   I titolari del trattamento delegati garantiscono che l’RPD sia coinvolto tempestivamente in tutte le questioni relative ai dati personali e predispongono disposizioni adeguate per garantire che il coordinatore per la protezione dei dati sia adeguatamente coinvolto in tutte le questioni relative alla protezione dei dati nella propria direzione generale o in un altro servizio dell’SGC.

4.   I titolari del trattamento delegati garantiscono che siano in atto opportune misure tecniche e organizzative per dimostrare che le attività di trattamento sono conformi al regolamento (UE) 2018/1725 e impartiscono istruzioni adeguate al personale dell’SGC per garantire sia la riservatezza del trattamento sia un livello di sicurezza appropriato in relazione ai rischi che il trattamento comporta. Possono consultare l’RPD per selezionare tali misure.

5.   I titolari del trattamento delegati riferiscono all’RPD in merito al trattamento di qualsiasi richiesta ricevuta da un interessato per l’esercizio dei suoi diritti e assistono l’RPD e il GEPD nell’esercizio delle rispettive funzioni, in particolare rispondendo alle loro richieste entro 30 giorni.

6.   I titolari del trattamento delegati sono responsabili dell’applicazione di una limitazione all’applicazione degli articoli da 14 a 22, 35 e 36 del regolamento (UE) 2018/1725, nonché dell’articolo 4 di tale regolamento conformemente alle pertinenti norme interne. I titolari del trattamento delegati coinvolgono l’RPD in tutta la procedura nell’applicazione di tale limitazione.

7.   I titolari del trattamento delegati garantiscono che, qualora effettuino trattamenti congiuntamente con altre direzioni generali o servizi dell’SGC o qualora tali direzioni generali o servizi dell’SGC effettuino una parte del loro trattamento, siano in vigore accordi interni con tali direzioni generali o servizi.

Gli accordi di cui al primo comma determinano le responsabilità dei titolari del trattamento delegati e delle altre direzioni generali o degli altri servizi dell’SGC in merito all’adempimento degli obblighi di protezione dei dati. In particolare, tali accordi identificano il titolare del trattamento delegato che determina i mezzi e le finalità del trattamento nonché il titolare del trattamento operativo del trattamento, e, se del caso, le persone o le entità che devono assistere il titolare del trattamento operativo, tra l’altro, fornendo informazioni in caso di violazioni dei dati o nel soddisfare i diritti degli interessati.

1.   I titolari del trattamento operativo assistono il titolare del trattamento delegato nel garantire il rispetto del regolamento (UE) 2018/1725 per quanto riguarda i trattamenti di cui è responsabile e fungono da punto di contatto principale per gli interessati.

2.   In particolare, i titolari del trattamento operativi:

3.   I titolari del trattamento operativi informano senza ingiustificato ritardo l’RPD in caso di violazione dei dati personali e gli forniscono tutte le informazioni necessarie per consentirgli di garantire che il Consiglio rispetti gli obblighi relativi alle violazioni dei dati personali di cui agli articoli 34 e 35 del regolamento (UE) 2018/1725.

4.   In coordinamento con il titolare del trattamento delegato e l’RPD, i titolari del trattamento operativi informano il GEPD in caso di violazioni di dati personali, se del caso. Informano altresì gli interessati, se del caso.

5.   I titolari del trattamento operativi assicurano che il coordinatore per la protezione dei dati sia tenuto al corrente di tutte le questioni relative alla protezione dei dati.

6.   I titolari del trattamento operativi valutano il rischio per i diritti e le libertà dell’interessato connessi ai trattamenti di cui sono responsabili e, se del caso, effettuano una valutazione d’impatto sulla protezione dei dati. I titolari del trattamento operativi chiedono il parere dell’RPD allorquando svolgono tali valutazioni d’impatto e sulla necessità di una consultazione preventiva ai sensi degli articoli 39 e 40 del regolamento (UE) 2018/1725.

7.   I titolari del trattamento operativi svolgono, su richiesta del titolare del trattamento delegato, qualsiasi altro compito rientrante nell’ambito di applicazione della presente decisione.

1.   Ogni direzione generale o altro servizio dell’SGC, in consultazione con l’RPD, nomina uno o più coordinatori per la protezione dei dati al fine di assistere il titolare del trattamento delegato e i titolari del trattamento operativi nella propria direzione generale o in un altro servizio dell’SGC in tutti gli aspetti della protezione dei dati personali.

2.   I coordinatori per la protezione dei dati sono scelti in base alla loro conoscenza ed esperienza del funzionamento della rispettiva direzione generale o in un altro servizio dell’SGC, all’idoneità per tale carica, alle competenze riguardanti la protezione dei dati, alla conoscenza dei principi di funzionamento dei sistemi d’informazione e alle competenze comunicative. Entro sei mesi dalla loro nomina, i nuovi coordinatori per la protezione dei dati completano una formazione per acquisire le competenze necessarie per il loro ruolo. Sono dispensati da tale requisito di formazione i coordinatori per la protezione dei dati che hanno precedentemente lavorato quale persona di contatto in un’altra direzione generale o in un altro servizio dell’SGC nei due anni precedenti la propria nomina.

3.   La funzione di coordinatore per la protezione dei dati rientra nella descrizione delle mansioni di ciascun membro del personale dell’SGC nominato quale persona di contatto. Le responsabilità e i risultati ottenuti sono indicati nel rapporto di valutazione annuale.

4.   I coordinatori per la protezione dei dati sono coinvolti in maniera appropriata e tempestiva in tutte le questioni relative alla protezione dei dati nella loro direzione generale o in un altro servizio dell’SGC e svolgono le loro funzioni in stretta cooperazione con l’RPD.

5.   I coordinatori per la protezione dei dati hanno il diritto di ottenere dai responsabili del trattamento e dal personale le informazioni adeguate e necessarie per l’esecuzione dei loro compiti all’interno della loro direzione generale o di un altro servizio dell’SGC. Ciò non include l’accesso ai dati personali trattati sotto la responsabilità del titolare del trattamento delegato. I coordinatori per la protezione dei dati accedono ai dati personali solo se necessario per lo svolgimento dei loro compiti.

6.   I coordinatori per la protezione dei dati sensibilizzano alle questioni legate alla protezione dei dati e assistono i titolari del trattamento delegati della loro direzione generale o di un altro servizio dell’SGC nell’adempimento dei loro obblighi, specialmente per quanto riguarda:

7.   I coordinatori per la protezione dei dati assistono i titolari del trattamento operativi della loro direzione generale o di un altro servizio dell’SGC nell’adempimento dei loro obblighi, specialmente per quanto riguarda:

1.   L’RPD tiene un registro dei trattamenti e assicura che il registro sia accessibile dal proprio sito web sull’intranet dell’SGC e dal sito web del Consiglio.

2.   Il titolare del trattamento operativo notifica all’RPD qualsiasi trattamento e presenta le registrazioni delle attività di trattamento e la relativa informativa sulla privacy mediante un formulario disponibile sul sito intranet dell’SGC (nell’ambito di «Protezione dei dati»). La notificazione è trasmessa all’RPD per via elettronica. Previa consultazione dell’RPD, il titolare del trattamento delegato conferma la registrazione e la relativa informativa sulla privacy e l’RPD li pubblica nel registro.

3.   La registrazione contiene tutte le informazioni di cui all’articolo 31 del regolamento (UE) 2018/1725. Tuttavia, in via eccezionale, le informazioni iscritte dall’RPD nel registro possono essere limitate a quanto è necessario per salvaguardare la sicurezza di un determinato trattamento. L’RPD è informato tempestivamente dal titolare del trattamento operativo di ogni modifica relativa a tali informazioni.

1.   In caso di violazione dei dati personali, il titolare del trattamento delegato o il titolare del trattamento operativo chiede l’assistenza del coordinatore per la protezione dei dati e informa l’RPD dell’incidente senza indebito ritardo fornendo tutte le informazioni necessarie affinché possa garantire che il Consiglio rispetti gli obblighi in materia di notifica e comunicazione di una violazione dei dati personali a norma degli articoli 34 e 35 del regolamento (UE) 2018/1725.

2.   L’RPD istituisce e tiene un registro interno delle violazioni dei dati personali. I titolari del trattamento delegati e i titolari del trattamento operativi forniscono le informazioni necessarie da introdurre nel registro.

3.   I titolari del trattamento delegati e i titolari del trattamento operativi preparano la notifica al GEPD in consultazione con l’RPD, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

1.   L’RPD può, di propria iniziativa o su richiesta del titolare del trattamento delegato, del titolare del trattamento operativo, del responsabile del trattamento, del comitato del personale o di qualsiasi persona fisica, indagare sulle questioni e sui fatti collegati con i suoi compiti e riferire in merito alla persona che lo ha incaricato dell’indagine o al titolare del trattamento delegato, al titolare del trattamento operativo o al responsabile del trattamento.

2.   Le richieste di indagine sono trasmesse per iscritto all’RPD. In caso di palese abuso del diritto a chiedere un’indagine, per esempio qualora la stessa persona fisica abbia presentato di recente una richiesta identica, l’RPD non è tenuto a rispondere al richiedente.

3.   Entro quindici giorni dal ricevimento di una richiesta di indagine, l’RPD trasmette un avviso di ricevimento alla persona che ha presentato la richiesta e verifica se la richiesta debba essere trattata in maniera riservata.

4.   L’RPD chiede al titolare del trattamento delegato che è responsabile del trattamento dei dati in questione che è il soggetto della richiesta d’indagine di fornire una relazione al riguardo. Il titolare del trattamento delegato risponde all’RPD entro quindici giorni. L’RPD può chiedere informazioni complementari al titolare del trattamento delegato, al titolare del trattamento operativo, al responsabile del trattamento o ad altri servizi pertinenti dell’SGC. Se del caso, può chiedere un parere sulla questione al servizio giuridico del Consiglio. Le informazioni o il parere richiesti sono forniti all’RPD entro trenta giorni.

5.   L’RPD risponde alla persona che ha presentato la richiesta d’indagine entro tre mesi dal ricevimento della stessa. Tale termine può essere sospeso finché l’RPD non abbia ottenuto tutte le informazioni necessarie eventualmente richieste.

6.   Nessuno può subire pregiudizio per una questione portata all’attenzione dell’RPD e riguardante un’asserita violazione del regolamento (UE) 2018/1725.

1.   I diritti degli interessati di cui agli articoli da 14 a 24 del regolamento (UE) 2018/1725 possono essere esercitati solo dall’interessato o dal suo rappresentante debitamente autorizzato.

2.   L’interessato trasmette le richieste per iscritto al titolare del trattamento operativo, con copia all’RPD. Se necessario, l’RPD assiste l’interessato nell’individuare il pertinente titolare del trattamento operativo. La richiesta può essere presentata in formato elettronico e contiene:

3.   Il titolare del trattamento operativo trasmette all’interessato un avviso di ricevimento entro cinque giorni lavorativi dalla registrazione della richiesta. Chiede i chiarimenti necessari se la richiesta è poco chiara o incompleta. I termini applicabili a norma dell’articolo 14, paragrafi 3 e 4, del regolamento (UE) 2018/1725 non iniziano a decorrere fino a che non siano stati forniti i chiarimenti necessari.

4.   Il titolare del trattamento operativo verifica l’identità dell’interessato conformemente all’articolo 14, paragrafo 6, del regolamento (UE) 2018/1725. Mentre l’identità viene verificata, i termini applicabili a norma dell’articolo 14, paragrafi 3 e 4, di tale regolamento non inizia a decorrere.

5.   Il titolare del trattamento operativo dà seguito all’interessato o motiva per iscritto le ragioni del rifiuto totale o parziale entro i termini di cui all’articolo 14, paragrafi 3 e 4, del regolamento (UE) 2018/1725.

6.   In caso di richiesta altamente complessa, irregolarità o palese abuso da parte dell’interessato nell’esercizio dei suoi diritti, qualora il trattamento di una richiesta possa presentare un rischio per i diritti e le libertà di altri interessati o qualora l’interessato sostenga che il trattamento è illecito, il titolare del trattamento operativo consulta l’RPD.

1.   Qualora eserciti le sue funzioni in relazione ai diritti degli interessati a norma del regolamento (UE) 2018/1725, il Consiglio o l’SGC valuta se si applichi una delle eccezioni stabilite in tale regolamento.

2.   Fatti salvi gli articoli da 18 a 22 della presente decisione, il Consiglio o l’SGC può limitare, conformemente all’articolo 25, paragrafo 1, lettere c), g) e h), del regolamento (UE) 2018/1725, l’applicazione degli articoli da 14 a 17 e degli articoli 19, 20 e 35 di tale regolamento, nonché il principio di trasparenza di cui all’articolo 4, paragrafo 1, lettera a), di tale regolamento nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi di cui agli articoli da 14 a 17 e agli articoli 19 e 20 di tale regolamento, qualora l’esercizio di tali diritti e obblighi rischi di pregiudicare l’esecuzione dei compiti del responsabile della protezione dei dati, per esempio rivelandone gli strumenti e i metodi di indagine o revisione, o di ledere i diritti e le libertà di altri interessati.

3.   Fatti salvi gli articoli da 18 a 22 della presente decisione, il Consiglio o l’SGC può limitare i diritti e gli obblighi di cui al paragrafo 2 in relazione ai dati personali che il responsabile della protezione dei dati ha ottenuto dalle direzioni generali o dai servizi dell’SGC o da altre istituzioni od organi dell’Unione. Il Consiglio o l’SGC può procedere in tal senso quando l’esercizio di detti diritti e obblighi potrebbe essere limitato da tali direzioni generali o da tali servizi dell’SGC o altre istituzioni o altri organi sulla base di altri atti di cui all’articolo 25 del regolamento (UE) 2018/1725 o conformemente al capo IX di detto regolamento oppure conformemente al regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio (10) o al regolamento (UE) 2017/1939 del Consiglio (11).

Prima di applicare le limitazioni nei casi di cui al primo comma, il Consiglio o l’SGC consulta l’istituzione o l’organo pertinente dell’Unione, a meno che non risulti evidente che l’applicazione di una limitazione è prevista da uno degli atti di cui al suddetto comma.

4.   Qualsiasi limitazione dei diritti e degli obblighi di cui al paragrafo 2è necessaria e proporzionata, tenuto conto dei rischi per i diritti e le libertà degli interessati.

1.   L’SGC pubblica sul sito web del Consiglio informative sulla protezione dei dati per informare gli interessati riguardo ai compiti del responsabile della protezione dei dati che comportano il trattamento dei loro dati personali.

2.   L’SGC informa individualmente, nella forma appropriata, qualsiasi persona fisica esso consideri una persona interessata dai compiti del responsabile della protezione dei dati.

3.   Qualora limiti in tutto o in parte la comunicazione agli interessati delle informazioni di cui al paragrafo 2 del presente articolo, l’SGC registra i motivi della limitazione e conserva la registrazione in un registro conformemente all’articolo 21.

1.   Se limita, in tutto o in parte, il diritto di accesso ai dati personali degli interessati, il diritto alla cancellazione o il diritto di limitazione del trattamento di cui, rispettivamente, agli articoli 17, 19 e 20 del regolamento (UE) 2018/1725, il Consiglio o l’SGC informa l’interessato, nella risposta a una richiesta di accesso, cancellazione o limitazione del trattamento, della limitazione applicata e dei suoi principali motivi, nonché della possibilità di proporre reclamo al GEPD o ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.

2.   La comunicazione delle informazioni sui motivi della limitazione di cui al paragrafo 1 può essere rinviata, omessa o negata fintantoché sussiste il rischio di compromettere la finalità della limitazione stessa. Il Consiglio fornisce tali informazioni all’interessato non appena non sussista più il rischio di compromettere tale finalità.

3.   L’SGC registra i motivi della limitazione e conserva la registrazione in un registro conformemente all’articolo 21.

1.   L’SGC registra i motivi di qualsiasi limitazione applicata a norma della presente decisione, compresa una valutazione caso per caso della relativa necessità e proporzionalità, tenuto conto degli elementi pertinenti di cui all’articolo 25, paragrafo 2, del regolamento (UE) 2018/1725.

A tal fine la registrazione indica in che modo l’esercizio di uno dei diritti di cui agli articoli da 14 a 17, 19, 20 e 35 di tale regolamento, o del principio di trasparenza di cui al suo articolo 4, paragrafo 1, lettera a), rischia di pregiudicare le attività dell’RDP a norma della presente decisione o le limitazioni applicate ai sensi dell’articolo 17, paragrafi 2 o 3, della presente decisione, o di ledere i diritti e le libertà di altri interessati.

2.   La registrazione e, ove applicabile, i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base sono conservati in un registro. Su richiesta, questi sono messi a disposizione del garante europeo della protezione dei dati.

1.   Le limitazioni di cui agli articoli 18, 19 e 20 continuano ad applicarsi finché sussistono i motivi che le giustificano.

2.   Qualora i motivi della limitazione di cui agli articoli 18 e 20 non siano più applicabili, l’SGC revoca la limitazione e spiega i motivi della limitazione all’interessato. Nel contempo l’SGC informa l’interessato della possibilità di proporre in qualsiasi momento reclamo al garante europeo della protezione dei dati o ricorso giurisdizionale dinanzi alla Corte di giustizia dell’Unione europea.

3.   L’SGC riesamina l’applicazione delle limitazioni di cui agli articoli 18 e 20 ogni sei mesi dopo la loro adozione e comunque all’atto dell’espletamento della pertinente funzione del responsabile della protezione dei dati. Una volta espletata tale funzione, l’SGC valuta su base annuale la necessità di mantenere eventuali limitazioni o rinvii.

1.   Qualora altre direzioni generali o altri servizi dell’SGC concludano che i diritti dell’interessato debbano essere limitati a norma della presente decisione, ne informano il responsabile della protezione dei dati. Inoltre forniscono al responsabile della protezione dei dati l’accesso al registro e a tutti i documenti contenenti gli elementi di fatto e di diritto che ne costituiscono la base. Il coinvolgimento dell’RPD nell’applicazione delle limitazioni è documentato in dettaglio.

2.   Il responsabile della protezione dei dati può invitare il titolare del trattamento delegato interessato a riesaminare l’applicazione delle limitazioni. Il titolare del trattamento delegato interessato informa per iscritto il responsabile della protezione dei dati in merito all’esito del riesame richiesto.