EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32022Q0311(01)
Decision No 4/2022 of the Bureau of the Committee of the Regions of 25 January 2022 laying down internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the context of activities and procedures carried out by the Committee of the Regions
Decisione n. 4/2022 dell’Ufficio di presidenza del Comitato delle regioni del 25 gennaio 2022 recante norme interne relative alla limitazione di alcuni diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle attività e delle procedure svolte dal Comitato delle regioni
Decisione n. 4/2022 dell’Ufficio di presidenza del Comitato delle regioni del 25 gennaio 2022 recante norme interne relative alla limitazione di alcuni diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle attività e delle procedure svolte dal Comitato delle regioni
GU L 84 del 11.3.2022, p. 44–51
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
11.3.2022 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 84/44 |
DECISIONE n. 4/2022 DELL’UFFICIO DI PRESIDENZA DEL COMITATO DELLE REGIONI
del 25 gennaio 2022
recante norme interne relative alla limitazione di alcuni diritti degli interessati in relazione al trattamento dei dati personali nell’ambito delle attività e delle procedure svolte dal Comitato delle regioni
L’UFFICIO DI PRESIDENZA DEL COMITATO DELLE REGIONI,
Visto il trattato sul funzionamento dell’Unione europea (1), e in particolare l’articolo 306,
Visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (2) (in prosieguo «regolamento»), e in particolare l’articolo 25,
Visto il regolamento interno del Comitato europeo delle regioni (3), e in particolare l’articolo 37, lettera d),
Visto il parere D(2021) 0894 (fascicolo 2021-0345) del Garante europeo della protezione dei dati («GEPD») del 20 aprile 2021, consultato a norma dell’articolo 41, paragrafo 2, del regolamento,
Considerando quanto segue:
|
(1) |
A norma dell’articolo 3, paragrafo 1, del regolamento, qualsiasi informazione concernente una persona fisica identificata o identificabile («interessato») dovrebbe essere considerata un «dato personale». |
|
(2) |
Il regolamento si applica al Comitato delle regioni («Comitato»), così come a qualsiasi istituzione dell’Unione, per quanto riguarda il trattamento dei dati personali nell’ambito delle attività e delle procedure da esso svolte. |
|
(3) |
Titolare del trattamento ai sensi dell’articolo 3, paragrafo 8, del regolamento è il Comitato, che può delegare la responsabilità di determinare le finalità e i mezzi del trattamento dei dati personali. |
|
(4) |
A norma dell’articolo 45, paragrafo 3, del regolamento, l’Ufficio di presidenza del Comitato delle regioni («Ufficio di presidenza») ha adottato norme di attuazione (4) relative al regolamento e al responsabile della protezione dei dati del Comitato («RPD»). Conformemente a tali norme, il dipartimento (direzione, unità o settore) del segretariato generale del Comitato o la segreteria di uno dei gruppi politici del Comitato che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali dovrebbe, per quanto riguarda tali dati, agire a nome del Comitato in qualità di titolare del trattamento delegato. |
|
(5) |
Il Comitato e il Comitato economico e sociale europeo («CESE») condividono taluni servizi e risorse («servizi congiunti») nel quadro della cooperazione interistituzionale, e le norme interne applicabili in materia di limitazione dei diritti degli interessati in relazione al trattamento dei dati personali da parte dei servizi congiunti dovrebbero essere stabilite conformemente agli accordi conclusi a tal fine tra il Comitato e il CESE. |
|
(6) |
Per adempiere le funzioni del Comitato, i titolari del trattamento raccolgono e trattano informazioni e diverse categorie di dati personali, tra cui i dati identificativi di persone fisiche, recapiti, ruoli e compiti professionali, informazioni relative a comportamenti e prestazioni nell’ambito privato e professionale, nonché dati finanziari. A norma del regolamento, i titolari del trattamento sono pertanto tenuti a fornire agli interessati informazioni sulle attività di trattamento che svolgono e a rispettare i loro diritti in quanto interessati. |
|
(7) |
I titolari del trattamento potrebbero dover conciliare tali diritti con gli obiettivi degli accertamenti, delle indagini, delle verifiche, delle attività, degli audit e dei procedimenti svolti in seno al Comitato. Essi potrebbero anche dover trovare un punto di equilibrio tra i diritti di un interessato e i diritti e le libertà fondamentali di altri interessati. A tal fine, l’articolo 25, paragrafo 1, del regolamento offre ai titolari del trattamento la possibilità di limitare l’applicazione degli articoli 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 e 36 del regolamento, nonché dell’articolo 4 del regolamento, nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi di cui agli articoli da 14 a 22 del regolamento. |
|
(8) |
I titolari del trattamento dovrebbero applicare limitazioni solo a condizione che esse rispettino l’essenza dei diritti e delle libertà fondamentali, siano strettamente necessarie e costituiscano una misura proporzionata in una società democratica. |
|
(9) |
I titolari del trattamento dovrebbero motivare tali limitazioni e tenere un registro delle limitazioni che hanno applicato ai diritti degli interessati. |
|
(10) |
I titolari del trattamento dovrebbero revocare una limitazione non appena cessino di sussistere le condizioni che la giustificavano. Essi dovrebbero sottoporre tali condizioni ad una valutazione periodica. |
|
(11) |
Al fine di garantire la massima protezione dei diritti e delle libertà degli interessati, l’RPD dovrebbe essere consultato a tempo debito in merito a ogni limitazione eventualmente da applicare e verificarne la conformità alla presente decisione. |
|
(12) |
A meno che le limitazioni non siano previste da un atto giuridico adottato sulla base dei Trattati (5), è necessario adottare norme interne in base alle quali i titolari del trattamento siano autorizzati a limitare i diritti degli interessati. |
|
(13) |
La presente decisione non si applica nei casi in cui si applichi una delle eccezioni di cui agli articoli 15, paragrafo 4, e 16, paragrafo 5, del regolamento per quanto riguarda le informazioni da fornire all’interessato, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Oggetto, ambito di applicazione e definizioni
1. La presente decisione stabilisce norme generali relative alle condizioni alle quali, a norma dell’articolo 25, paragrafo 1, del regolamento, i titolari del trattamento possono limitare l’applicazione, a seconda dei casi, degli articoli 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 e 36 del regolamento, nonché dell’articolo 4 del medesimo regolamento, nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi di cui agli articoli da 14 a 22.
2. Ai fini della presente decisione si applicano le seguenti definizioni:
|
a) |
«dati personali»: qualsiasi informazione concernente un interessato trattata nello svolgimento di attività o procedure che non rientrano nell’ambito di applicazione della parte terza, titolo V, capi 4 o 5, del trattato sul funzionamento dell’Unione europea, diversa dai dati personali operativi ai sensi dell’articolo 3, paragrafo 2, del regolamento, |
|
b) |
«titolare del trattamento»: l’entità che, da sola o insieme ad altri, determina effettivamente le finalità e i mezzi del trattamento dei dati personali nel contesto delle attività e delle procedure svolte dal Comitato, indipendentemente dal fatto che la responsabilità di tale determinazione sia stata delegata. |
3. La presente decisione si applica al trattamento dei dati personali ai fini delle attività e delle procedure svolte dal Comitato. Essa non si applica qualora un atto giuridico adottato sulla base dei Trattati preveda una limitazione dei diritti degli interessati.
4. Titolare del trattamento ai sensi dell’articolo 3, paragrafo 8, del regolamento è il Comitato, che può delegare la responsabilità di determinare le finalità e i mezzi del trattamento dei dati personali.
5. Ai fini di ciascun trattamento, limitazione e rinvio, omissione o rifiuto di informazioni, il titolare del trattamento responsabile viene determinato conformemente alle decisioni, alle procedure e alle norme di attuazione interne pertinenti del Comitato.
Articolo 2
Eccezioni e deroghe
1. Prima di applicare qualsiasi limitazione a norma dell’articolo 3, paragrafo 1, i titolari del trattamento valutano se si applichi una delle eccezioni o deroghe previste dal regolamento, e in particolare quelle di cui agli articoli 15, paragrafo 4, 16, paragrafo 5, 19, paragrafo 3, 25, paragrafi 3 e 4, e 35, paragrafo 3, del regolamento.
2. L’applicazione di deroghe è soggetta a garanzie adeguate conformemente all’articolo 13 del regolamento e all’articolo 6 della presente decisione.
Articolo 3
Limitazioni
1. I titolari del trattamento possono limitare l’applicazione, a seconda dei casi, degli articoli 14, 15, 16, 17, 18, 19, 20, 21, 22, 35 e 36 del regolamento, nonché dell’articolo 4 del medesimo regolamento, nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi di cui agli articoli da 14 a 22 del regolamento, se l’esercizio dei loro diritti da parte degli interessati influirebbe negativamente sulla finalità o sull’esito di una o più attività o procedure svolte dal Comitato, e in particolare:
|
a) |
a norma dell’articolo 25, paragrafo 1, lettere b), c), f), g) e h), del regolamento, quando l’autorità che ha il potere di nomina e l’autorità abilitata a concludere i contratti di assunzione del Comitato («l’autorità che ha il potere di nomina») conducono procedure disciplinari, accertamenti amministrativi e indagini in relazione a questioni riguardanti il personale conformemente all’articolo 86 dello Statuto dei funzionari dell’Unione europea («Statuto») e dell’allegato IX dello Statuto, nonché degli articoli 50 bis e 119 del Regime applicabile agli altri agenti dell’Unione europea (6) («RAA»), nonché indagini nell’ambito di richieste di assistenza presentate a norma dell’articolo 24 dello Statuto e degli articoli 11 e 81 del RAA e riguardanti presunti casi di molestie ai sensi dell’articolo 12 bis dello Statuto, |
|
b) |
a norma dell’articolo 25, paragrafo 1, lettere b), c), f) e h), del regolamento, quando l’autorità che ha il potere di nomina esamina le domande e i reclami presentati dai funzionari e dagli altri agenti del Comitato («membri del personale») conformemente all’articolo 90 dello Statuto e agli articoli 46 e 117 del RAA, |
|
c) |
a norma dell’articolo 25, paragrafo 1, lettere c) e h), del regolamento, quando l’autorità che ha il potere di nomina attua la politica del Comitato in materia di risorse umane conducendo procedure di selezione (assunzione), valutazione e promozione, |
|
d) |
a norma dell’articolo 25, paragrafo 1, lettere c), f), g) e h), del regolamento, quando l’ordinatore del Comitato («ordinatore») dà esecuzione alla sezione del bilancio generale dell’Unione europea relativa al Comitato, espletando le procedure di attribuzione conformemente alle regole finanziarie applicabili al bilancio generale dell’Unione (7) («Regolamento finanziario» o «RF»), |
|
e) |
a norma dell’articolo 25, paragrafo 1, lettere b), c), f), g) e h), del regolamento, quando l’ordinatore effettua controlli e indagini sulla legalità delle transazioni finanziarie effettuate dal Comitato e al suo interno, sui diritti finanziari (8) dei membri e dei supplenti del Comitato («membri del Comitato») e sul finanziamento delle attività e degli eventi organizzati da solo o congiuntamente dal Comitato, e si occupa di irregolarità finanziarie commesse da un membro del personale ai sensi dell’articolo 93 RF, |
|
f) |
a norma dell’articolo 25, paragrafo 1, lettere b), c), f), g) e h) del regolamento, quando il Comitato fornisce informazioni e documenti all’Ufficio europeo per la lotta antifrode («OLAF»), su richiesta dell’OLAF o di propria iniziativa, notifica casi all’OLAF o tratta informazioni e documenti ricevuti dall’OLAF (9), |
|
g) |
a norma dell’articolo 25, paragrafo 1, lettere c), g) e h), del regolamento, quando il Comitato effettua audit interni ai fini degli articoli 118 e 119 RF e in relazione alle attività e alle procedure dei suoi servizi, |
|
h) |
a norma dell’articolo 25, paragrafo 1, lettere c), d) e h) del regolamento, quando il Comitato effettua valutazioni interne dei rischi e verifiche degli accessi, compresi controlli dei precedenti personali, attua misure di prevenzione e indagine in relazione a incidenti di sicurezza, compresi gli incidenti che coinvolgono membri del Comitato o membri del personale nonché quelli relativi alle infrastrutture e alle tecnologie dell’informazione e della comunicazione del Comitato, e conduce accertamenti di sicurezza e indagini ausiliarie, anche riguardo alle sue reti di comunicazione elettronica, di propria iniziativa o su richiesta di terzi, |
|
i) |
a norma dell’articolo 25, paragrafo 1, lettere c), d) e h), del regolamento, quando l’RPD, di propria iniziativa o su richiesta di terzi, svolge indagini su questioni e su fatti direttamente collegati con l’esercizio delle sue funzioni di cui è venuto a conoscenza, a norma dell’articolo 45, paragrafo 2, del regolamento, |
|
j) |
a norma dell’articolo 25, paragrafo 1, lettera h), del regolamento, quando i titolari del trattamento trattano dati personali ottenuti in una situazione in cui un membro del personale riferisce in buona fede elementi fattuali che indicano l’esistenza di possibili attività illecite, comprese le frodi e la corruzione, che ledono gli interessi dell’Unione («gravi irregolarità») o di una condotta in rapporto con l’esercizio di incarichi professionali che potrebbe costituire una grave mancanza agli obblighi dei membri del personale («colpa grave»), |
|
k) |
a norma dell’articolo 25, paragrafo 1, lettera h), del regolamento, quando i titolari del trattamento trattano dati personali ottenuti da consulenti di fiducia nel contesto della procedura informale per i casi di presunte molestie, |
|
l) |
a norma dell’articolo 25, paragrafo 1, lettera h), del regolamento, quando i titolari del trattamento trattano dati personali relativi alla salute («dati medici»), anche di natura psicologica o psichiatrica, di un membro del Comitato o di un membro del personale contenuti nel fascicolo medico dell’interessato conservato dal Comitato, |
|
m) |
a norma dell’articolo 25, paragrafo 1, lettera e), del regolamento, quando i titolari del trattamento trattano dati personali in documenti ottenuti dalle parti o dagli intervenienti nel contesto di procedimenti dinanzi alla Corte di giustizia dell’Unione europea («Corte di giustizia»), |
|
n) |
a norma dell’articolo 25, paragrafo 1, lettere b), c), d), g) e h), del regolamento, quando il Comitato fornisce assistenza ad altre istituzioni, organi e organismi dell’Unione, riceve da loro assistenza e collabora con loro nel contesto delle attività o procedure di cui al paragrafo 1, lettere da (a) a (m), e in conformità degli accordi sul livello dei servizi, dei protocolli d’intesa e degli accordi di cooperazione applicabili, |
|
o) |
a norma dell’articolo 25, paragrafo 1, lettere b), c), g) e h) del regolamento, quando il Comitato fornisce assistenza alle autorità degli Stati membri o di paesi terzi oppure ad organizzazioni internazionali, riceve da loro assistenza e collabora con loro, su loro richiesta o di propria iniziativa, |
|
p) |
a norma dell’articolo 25, paragrafo 1, lettere a), b), e) e f), del regolamento, quando il Comitato fornisce alle autorità degli Stati membri o di paesi terzi oppure ad organizzazioni internazionali le informazioni e i documenti richiesti nell’ambito di indagini. |
2. Le limitazioni di cui al paragrafo 1 possono riguardare dati personali oggettivi («dati controllati») e soggettivi («dati non controllati»), e in particolare, ma non solo, una o più delle seguenti categorie:
|
a) |
dati identificativi; |
|
b) |
recapiti; |
|
c) |
dati professionali (10); |
|
d) |
dati finanziari; |
|
e) |
dati di sorveglianza (11); |
|
f) |
dati relativi al traffico (12); |
|
g) |
dati sanitari (13); |
|
h) |
dati genetici (13); |
|
i) |
dati biometrici (13); |
|
j) |
dati relativi alla vita sessuale o all’orientamento sessuale di una persona fisica (13); |
|
k) |
dati che rivelano l’origine razziale o etnica, le convinzioni religiose o filosofiche, le opinioni o l’affiliazione politica, oppure l’appartenenza sindacale (13); |
|
l) |
dati che rivelano le prestazioni o i comportamenti delle persone fisiche che partecipano alle procedure di selezione (assunzione), di valutazione o di promozione (14); |
|
m) |
dati sulla presenza di persone fisiche; |
|
n) |
dati sulle attività esterne di persone fisiche; |
|
o) |
dati relativi a reati, presunti ed effettivi, condanne penali o provvedimenti di sicurezza; |
|
p) |
comunicazioni elettroniche; |
|
q) |
tutti gli altri dati relativi all’oggetto della pertinente attività o procedura che richiede il trattamento di tali dati. |
3. Qualsiasi limitazione rispetta l’essenza dei diritti e delle libertà fondamentali, è necessaria e proporzionata in una società democratica, e si limita a quanto strettamente necessario per conseguire il proprio obiettivo.
4. Qualsiasi limitazione, totale o parziale, dell’applicazione dell’articolo 36 del regolamento (Riservatezza delle comunicazioni elettroniche) a norma del paragrafo 1 è conforme al diritto applicabile dell’Unione in materia di riservatezza delle comunicazioni elettroniche (15).
5. I titolari del trattamento riesaminano periodicamente l’applicazione delle limitazioni di cui al paragrafo 1, almeno ogni sei mesi dalla loro rispettiva adozione, ma anche quando intervengano dei cambiamenti relativi ad elementi essenziali e decisivi del caso, nonché al completamento o alla cessazione dell’attività o della procedura che ha generato le limitazioni. Successivamente essi valutano la necessità di mantenere eventuali limitazioni su base annua.
6. Le limitazioni di cui al paragrafo 1 continuano ad applicarsi finché sussistono i motivi che le giustificano. Qualora cessino di sussistere i motivi della limitazione di cui al paragrafo 1, i titolari del trattamento revocano tale limitazione.
7. In sede di trattamento dei dati personali ricevuti da terzi nell’ambito dei compiti del Comitato, i titolari del trattamento consultano i terzi in questione in merito alle potenziali giustificazioni per l’imposizione di limitazioni e alla necessità e proporzionalità delle stesse, a meno che ciò non inciderebbe negativamente sulle attività o sulle procedure del Comitato.
Articolo 4
Valutazione della necessità e della proporzionalità
1. Prima di applicare eventuali limitazioni, i titolari del trattamento valutano caso per caso se le limitazioni in esame siano necessarie e proporzionate.
2. Ogniqualvolta valutino la necessità e la proporzionalità di una limitazione, i titolari del trattamento considerano i potenziali rischi per i diritti e le libertà degli interessati.
3. Le valutazioni dei rischi per i diritti e le libertà degli interessati derivanti dall’imposizione delle limitazioni, e in particolare il rischio che i loro dati personali possano essere ulteriormente trattati a loro insaputa e che sia loro impedito di esercitare i loro diritti a norma del regolamento, nonché i dettagli del periodo di applicazione di tali limitazioni, sono riportati nel registro delle attività di trattamento tenuto dai titolari del trattamento a norma dell’articolo 31, paragrafo 1, del regolamento. Tali elementi sono inoltre riportati in tutte le valutazioni d’impatto sulla protezione dei dati relative a tali limitazioni condotte a norma dell’articolo 39 del regolamento.
Articolo 5
Registrazione delle limitazioni e conservazione in un registro
1. Ogniqualvolta applichino delle limitazioni, i titolari del trattamento registrano:
|
a) |
i motivi dell’applicazione delle limitazioni; |
|
b) |
le basi su cui fonda l’applicazione delle limitazioni; |
|
c) |
in che modo l’esercizio dei diritti degli interessati inciderebbe negativamente sulla finalità o sull’esito di una o più attività o procedure svolte dal Comitato; |
|
d) |
l’esito della valutazione di cui all’articolo 4, paragrafo 1. |
2. I registri di cui al paragrafo 1 fanno parte del registro centrale di cui all’articolo 31, paragrafo 5, del regolamento e sono messi a disposizione del GEPD su richiesta.
3. Qualora i titolari del trattamento limitino l’applicazione dell’articolo 35 del regolamento (Comunicazione di una violazione dei dati personali all’interessato), il registro di cui al paragrafo 1 è incluso nella notifica al GEPD di cui all’articolo 34, paragrafo 1, del regolamento.
Articolo 6
Garanzie e periodo di conservazione
1. I titolari del trattamento mettono in atto garanzie per prevenire l’abuso e l’accesso illecito ai dati personali o il loro trasferimento, che potrebbero essere soggetti a limitazioni a norma dell’articolo 3, paragrafo 1. Tali garanzie, che includono misure tecniche e organizzative appropriate, sono descritte in dettaglio, ove necessario, nelle pertinenti decisioni, procedure e norme di attuazione interne del Comitato.
2. Le garanzie di cui al paragrafo 1 comprendono:
|
a) |
una definizione chiara dei ruoli, delle responsabilità e degli iter procedurali; |
|
b) |
se del caso, un ambiente elettronico sicuro che impedisca l’accesso illecito o accidentale ai dati elettronici o il loro trasferimento a persone non autorizzate; |
|
c) |
laddove necessario, la conservazione e il trattamento dei documenti cartacei in condizioni di sicurezza; |
|
d) |
il debito monitoraggio delle limitazioni e una revisione periodica della loro applicazione. |
3. I dati personali sono conservati conformemente alle norme applicabili del Comitato in materia di conservazione (16), che devono figurare nei registri tenuti dai titolari del trattamento a norma dell’articolo 31, paragrafo 1, del regolamento. Al termine del periodo di conservazione, i dati personali sono, a seconda dei casi, cancellati, resi anonimi in modo tale che l’interessato non sia o non sia più identificabile, o trasferiti negli archivi del Comitato a norma dell’articolo 13 del regolamento.
Articolo 7
Informazione degli interessati in merito alla limitazione dei loro diritti
1. Le comunicazioni sulla protezione dei dati pubblicate sul sito web pubblico del Comitato e sul suo intranet comprendono una sezione che fornisce agli interessati informazioni generali sulle potenziali limitazioni dei loro diritti nel contesto delle attività e delle procedure del Comitato che comportano il trattamento dei loro dati personali. Tale sezione indica specificamente i diritti che possono essere limitati, le basi su cui si fonda la possibilità di applicare limitazioni, la possibile durata di tali limitazioni e i mezzi di ricorso amministrativi e giuridici a disposizione degli interessati.
2. Ogniqualvolta applichino delle limitazioni, i titolari del trattamento informano direttamente ogni interessato, senza indebito ritardo e nel formato più appropriato, in merito a quanto segue:
|
a) |
eventuali limitazioni esistenti o previste dei loro diritti; |
|
b) |
i motivi principali su cui si basa l’applicazione della limitazione; |
|
c) |
il loro diritto di consultare l’RPD al fine di contestare la limitazione; |
|
d) |
il loro diritto di presentare un reclamo al GEPD; |
|
e) |
il loro diritto di proporre un ricorso giurisdizionale dinanzi alla Corte di giustizia. |
3. Fatto salvo il paragrafo 2, qualora i titolari del trattamento limitino, in casi eccezionali, l’applicazione dell’articolo 35 del regolamento (Comunicazione di una violazione dei dati personali all’interessato), essi comunicano la violazione all’interessato e forniscono le informazioni di cui al paragrafo 2, lettere (b), (d) e (e), non appena cessino di sussistere i motivi per limitare tale comunicazione.
4. Fatto salvo il paragrafo 2, qualora i titolari del trattamento limitino, in casi eccezionali, l’applicazione dell’articolo 36 del regolamento (Riservatezza delle comunicazioni elettroniche), essi forniscono le informazioni di cui al paragrafo 2 nella loro risposta a qualsiasi richiesta dell’interessato.
5. I titolari del trattamento possono rinviare, omettere o rifiutare la comunicazione delle informazioni di cui al paragrafo 2 («rinvio, omissione o rifiuto di informazioni») fintantoché essa annullerebbe l’effetto della limitazione. Essi forniscono all’interessato le informazioni di cui al paragrafo 2 non appena tale comunicazione non comprometterebbe più la limitazione.
6. Gli articoli 4 e 5 si applicano per analogia in ogni caso di rinvio, omissione o rifiuto di informazioni.
Articolo 8
Coinvolgimento del responsabile della protezione dei dati del Comitato
1. I titolari del trattamento informano per iscritto l’RPD, senza indebito ritardo, ogniqualvolta limitano i diritti di un interessato in virtù dell’articolo 3, paragrafo 1, effettuano i riesami periodici di cui all’articolo 3, paragrafo 5, revocano le limitazioni previste all’articolo 3, paragrafo 6, oppure rinviano, omettono o rifiutano la comunicazione delle informazioni di cui all’articolo 7, paragrafo 2, a norma dell’articolo 7, paragrafo 5. Su richiesta, l’RPD ha accesso ai relativi registri e a tutti i documenti contenenti gli elementi di fatto e di diritto che costituiscono la base della limitazione.
2. L’RPD può chiedere ai titolari del trattamento di riesaminare tutte le limitazioni esistenti nonché i rinvii, le omissioni o i rifiuti di informazioni e la relativa applicazione. L’RPD è informato per iscritto dell’esito del riesame richiesto.
3. Il coinvolgimento dell’RPD di cui ai paragrafi 1 e 2 in relazione all’applicazione di limitazioni e rinvii, omissioni o rifiuti di informazioni è debitamente documentato dai titolari del trattamento, comprese le informazioni condivise con l’RPD.
4. Su richiesta, l’RPD fornisce ai titolari del trattamento il proprio parere in merito alla determinazione delle loro responsabilità nel contesto di un accordo di contitolarità del trattamento a norma dell’articolo 28, paragrafo 1, del regolamento.
Articolo 9
Servizi congiunti
L’RPD coopera con il responsabile della protezione dei dati del CESE per quanto riguarda il trattamento dei dati personali da parte dei servizi congiunti al fine di garantire l’effettiva attuazione della presente decisione.
Articolo 10
Disposizioni finali
1. Se necessario, il segretario generale, a seconda dei casi, impartisce istruzioni o adotta misure di attuazione per precisare ulteriormente, e dare applicazione a, qualsiasi disposizione della presente decisione, in conformità di quest’ultima.
2. La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Fatto a Bruxelles, il 25 gennaio 2022
Per l’Ufficio di presidenza del Comitato delle regioni
Apostolos TZITZIKOSTAS
Presidente
(1) GU C 202 del 7.6.2016, pag. 47.
(2) GU L 295 del 21.11.2018, pag. 39.
(3) GU L 472 del 30.12.2021, pag. 1.
(4) Decisione n. 19/2020 dell’Ufficio di presidenza del Comitato delle regioni, del 9 ottobre 2020, che adotta norme di attuazione relative al regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati («decisione n. 19/2020»).
(5) Il trattato sull’Unione europea («TUE») (GU C 202 del 7.6.2016, pag. 13) e il trattato sul funzionamento dell’Unione europea («TFUE»).
(6) Allegato al regolamento n. 31 (CEE), n. 11 (CEEA) del Consiglio, relativo allo statuto dei funzionari e al regime applicabile agli altri agenti della Comunità economica europea e della Comunità europea dell’energia atomica (GU P 45 del 14.6.1962, pag. 1385), modificato dal regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio, del 29 febbraio 1968, che definisce lo statuto dei funzionari delle Comunità europee nonché il regime applicabile agli altri agenti di tali Comunità, ed istituisce speciali misure applicabili temporaneamente ai funzionari della Commissione (GU L 56 del 4.3.1968, pag. 1) e successivamente emendato, riformulato, integrato o altrimenti modificato.
(7) Regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio, del 18 luglio 2018, che stabilisce le regole finanziarie applicabili al bilancio generale dell’Unione, che modifica i regolamenti (UE) n. 1296/2013, (UE) n. 1301/2013, (UE) n. 1303/2013, (UE) n. 1304/2013, (UE) n. 1309/2013, (UE) n. 1316/2013, (UE) n. 223/2014, (UE) n. 283/2014 e la decisione n. 541/2014/UE e abroga il regolamento (UE, Euratom) n. 966/2012 (GU L 193 del 30.7.2018, pag. 1).
(8) Comprese, tra l’altro, le indennità per spese generali, le indennità per il personale, le indennità per attrezzature e impianti, le indennità di viaggio, di soggiorno e di riunione (a distanza) nonché altre indennità corrisposte a norma dell’articolo 238 RF.
(9) Il punto non si applica al trattamento di dati personali per i quali l’OLAF agisce in qualità di unico titolare del trattamento, e in particolare nei casi in cui l’OLAF tratta dati personali conservati nei locali del Comitato.
(10) Compresi, tra l’altro, i contratti di lavoro, i contratti di prestazione di servizi e i dati relativi alle missioni.
(11) Comprese, tra l’altro, le registrazioni audio e video e le registrazioni degli accessi e delle disconnessioni.
(12) Compresi, tra l’altro, i tempi di connessione e di disconnessione, l’accesso alle applicazioni interne e alle risorse basate sulle reti e l’uso di Internet.
(13) Nella misura in cui tali dati siano trattati a norma dell’articolo 10, paragrafo 2, del regolamento.
(14) Comprese, tra l’altro, prove scritte, registrazioni di discorsi, schede di valutazione nonché valutazioni, osservazioni o pareri dei valutatori.
(15) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).
(16) Decisione n. 129/2003 del segretario generale del Comitato delle regioni, del 17 giugno 2003, relativa alla gestione documentaria del Comitato delle regioni.