1.   Il GEPD opera nell’interesse del pubblico in qualità di esperto, nonché in qualità di organismo indipendente, affidabile, proattivo e autorevole nel settore della protezione della vita privata e dei dati personali.

2.   Il GEPD agisce in conformità del quadro etico del GEPD.

1.   Il GEPD pubblica periodicamente le proprie priorità strategiche e una relazione annuale.

2.   Il GEPD, in quanto titolare del trattamento dei dati, dà l’esempio nel rispetto del diritto applicabile sulla protezione dei dati personali.

3.   Il GEPD interagisce in modo aperto e trasparente con i mezzi di comunicazione e le parti interessate e illustra le proprie attività al pubblico in un linguaggio chiaro.

1.   Il GEPD utilizza mezzi amministrativi e tecnici all’avanguardia per massimizzare l’efficienza e l’efficacia nell’espletamento delle proprie funzioni, ivi incluse la comunicazione interna e l’appropriata delega delle funzioni.

2.   Il GEPD adotta meccanismi e strumenti appropriati per assicurare il massimo livello di gestione della qualità, come norme di controllo interno, un processo di gestione dei rischi e la relazione annuale sulle attività.

1.   Fatto salvo il protocollo di intesa tra il GEPD e l’EDPB del 25 maggio 2018, in particolare il punto VI, paragrafo 5, il direttore esercita i poteri conferiti all’autorità investita del potere di nomina a norma dell’articolo 2 dello statuto dei funzionari dell’Unione europea di cui al regolamento del Consiglio (CEE, Euratom, CECA) n. 259/68 (7) e quelli conferiti all’autorità abilitata a concludere i contratti di assunzione a norma dell’articolo 6 del regime applicabile agli altri agenti dell’Unione europea di cui al regolamento (CEE, Euratom, CECA) n. 259/68, nonché tutti gli altri relativi poteri derivanti da altre decisioni amministrative sia interne al GEPD, sia di carattere interistituzionale, salvo disposizioni diverse previste dalla decisione del Garante europeo della protezione dei dati relativa all’esercizio dei poteri conferiti all’autorità investita del potere di nomina e all’autorità abilitata a sottoscrivere i contratti di assunzione.

2.   Il direttore può delegare l’esercizio dei poteri di cui al paragrafo 1 al funzionario responsabile della gestione delle risorse umane.

3.   Il direttore è il responsabile delle segnalazioni per il responsabile della protezione dei dati, il responsabile della sicurezza a livello locale, il responsabile della sicurezza delle informazioni a livello locale, il responsabile della trasparenza, il responsabile del servizio giuridico, il responsabile dell’etica e il coordinatore dei controlli interni per i compiti relativi a tali funzioni.

4.   Il direttore assiste il Garante europeo della protezione dei dati per assicurare la coerenza e il coordinamento complessivo del GEPD e in ogni altro compito che gli/le è stato delegato dal Garante europeo della protezione dei dati.

5.   Il direttore può adottare le decisioni del GEPD sull’applicazione delle restrizioni basate sulle norme interne del GEPD che danno attuazione all’articolo 25 del regolamento.

1.   La riunione di gestione comprende il Garante europeo della protezione dei dati, il direttore e i capi unità e capi settore e assicura la supervisione strategica del lavoro del GEPD.

2.   Qualora la riunione di gestione riguardi questioni relative alle risorse umane, al bilancio, ad aspetti finanziari o amministrativi rilevanti per l’EDPB o per il segretariato dell’EDPB, vi partecipa anche il responsabile del segretariato dell’EDPB.

3.   La riunione di gestione è presieduta dal Garante europeo della protezione dei dati o, qualora questi non possa partecipare alla riunione, dal direttore. Di regola, la riunione di gestione si tiene una volta alla settimana.

4.   Il direttore assicura il corretto funzionamento del segretariato della riunione di gestione.

5.   Le riunioni non sono pubbliche. Le discussioni hanno carattere riservato.

1.   Il Garante europeo della protezione dei dati può delegare al direttore, ove appropriato e in conformità del regolamento, la competenza per l’adozione e la firma di decisioni legalmente vincolanti, di cui sia già stato definito il contenuto sostanziale dal Garante europeo della protezione dei dati.

2.   Il Garante europeo della protezione dei dati può altresì delegare, ove appropriato e in conformità del regolamento, al direttore o al capo unità o capo settore interessati, la competenza per l’adozione e la firma di altri documenti.

3.   Ove le competenze siano state delegate al direttore ai sensi dei paragrafi 1 o 2, il direttore può subdelegarle al capo unità o al capo settore interessati.

4.   Ove il Garante europeo della protezione dei dati abbia un impedimento o il suo posto sia vacante e nessun Garante europeo della protezione dei dati sia stato nominato, il direttore, ove appropriato e in conformità del regolamento, espleta le funzioni e i doveri del Garante europeo della protezione dei dati che sono necessari e urgenti al fine di assicurare la continuità operativa.

5.   Ove il direttore abbia un impedimento o il suo posto sia vacante e non sia stato designato alcun funzionario dal Garante europeo della protezione dei dati, le funzioni del direttore sono esercitate dal capo unità o capo settore con il grado più elevato o, a parità di grado, dal capo unità o capo settore con la maggiore anzianità nel grado o, in caso di pari anzianità, da quello più vecchio.

6.   Se non vi è alcun capo unità o capo settore disponibile a esercitare i doveri del direttore come specificato ai sensi del paragrafo 5 e nessun funzionario è stato designato dal Garante europeo della protezione dei dati, la supplenza viene esercitata dal funzionario con il grado più elevato o, a parità di grado, dal funzionario con la maggiore anzianità nel grado, o in caso di pari anzianità, da quello più vecchio.

7.   Ove qualsiasi altro superiore gerarchico abbia un impedimento e nessun funzionario sia stato designato dal Garante europeo della protezione dei dati, il direttore designa un funzionario, di concerto con il Garante europeo della protezione dei dati. In assenza di siffatta designazione da parte del direttore, la supplenza viene esercitata dal funzionario dell’unità o del settore interessati di grado più elevato o, a parità di grado, dal funzionario con la maggiore anzianità nel grado o, in caso di pari anzianità, da quello più vecchio.

8.   I paragrafi da 1 a 7 si applicano fatte salve le norme sulle deleghe relative ai poteri attribuiti all’autorità investita del potere di nomina o a quelli in materia finanziaria di cui agli articoli 9 e 12.

1.   Il Garante europeo della protezione dei dati delega le competenze dell’ordinatore al direttore ai sensi della carta delle funzioni e delle responsabilità in materia di bilancio e amministrazione del GEPD stabilita in conformità dell’articolo 72, paragrafo 2, del regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio (8).

2.   In materia di questioni di bilancio relative all’EDPB, l’ordinatore esercita la propria funzione in conformità del protocollo di intesa tra il GEPD e l’EDPB.

3.   La funzione di contabile del GEPD è espletata dal contabile della Commissione a norma della decisione del Garante europeo della protezione dei dati del 1o marzo 2017 (9).

1.   Il GEPD tiene un registro delle nomine di responsabili della protezione dei dati notificate al GEPD dalle istituzioni ai sensi del regolamento.

2.   L’elenco aggiornato dei responsabili della protezione dei dati delle istituzioni è pubblicato sul sito web del GEPD.

3.   Il GEPD fornisce orientamenti ai responsabili della protezione dei dati, in particolare partecipando alle riunioni organizzate dalla rete dei responsabili della protezione dei dati delle istituzioni.

1.   Il GEPD non tratta i reclami anonimi.

2.   Il GEPD tratta i reclami trasmessi in forma scritta, anche elettronica, in qualsiasi lingua ufficiale dell’Unione e contenenti i dettagli necessari a comprendere il reclamo.

3.   Qualora sia stato presentato al Mediatore europeo un reclamo riguardante le medesime circostanze di fatto, il GEPD ne esamina l’ammissibilità alla luce delle disposizioni del protocollo di intesa concluso tra il GEPD e il Mediatore europeo.

4.   Il GEPD decide come gestire un reclamo tenendo in considerazione:

5.   Ove appropriato, il GEPD facilita una composizione amichevole del reclamo.

6.   Il GEPD sospende l’indagine di un reclamo qualora sia pendente una sentenza di un tribunale o una decisione di un altro organo giudiziario o amministrativo sulla medesima questione.

7.   Il GEPD divulga l’identità del reclamante solo nella misura necessaria al corretto svolgimento dell’indagine. Il GEPD non divulga alcun documento relativo al reclamo, salvo stralci o sintesi anonimizzati della decisione finale, a meno che l’interessato acconsenta a detta divulgazione.

8.   Se reso necessario dalle circostanze del reclamo, il GEPD coopera con le autorità di sorveglianza competenti, incluse le competenti autorità di controllo nazionali che agiscono nell’ambito delle rispettive competenze.

1.   Il GEPD comunica quanto prima al reclamante l’esito di un reclamo, nonché il provvedimento adottato.

2.   Qualora un reclamo sia giudicato inammissibile o il suo esame sia cessato, il GEPD, se del caso, consiglia all’autore del reclamo di rivolgersi a un’altra autorità competente.

3.   Il GEPD può decidere di interrompere un’indagine su richiesta del reclamante. Ciò non impedisce al GEPD di indagare ulteriormente la questione oggetto del reclamo.

4.   Il GEPD può chiudere un’indagine nel caso in cui il reclamante non abbia fornito le informazioni richieste. Il GEPD informa poi il reclamante di tale decisione.

1.   Se il GEPD emette una decisione su un reclamo, il reclamante o l’istituzione interessata può richiedere al GEPD di rivedere la decisione. Una tale richiesta può essere effettuata entro un mese dalla decisione. Il GEPD procede alla revisione della decisione ove il reclamante o l’istituzione presentino nuovi elementi di fatto o argomenti giuridici.

2.   Una volta emessa la decisione su un reclamo, il GEPD informa il reclamante e l’istituzione interessata circa il loro diritto sia di richiedere una revisione della decisione, sia di impugnare la decisione dinanzi alla Corte di giustizia dell’Unione europea ai sensi dell’articolo 263 del trattato sul funzionamento dell’Unione europea.

3.   Se, a seguito di una richiesta di revisione della decisione su un reclamo, il GEPD emette una nuova decisione rivista, il GEPD informa il reclamante e l’istituzione interessata che possono impugnare la nuova decisione dinanzi alla Corte di giustizia dell’Unione europea ai sensi dell’articolo 263 del trattato sul funzionamento dell’Unione europea.

1.   Il GEPD fornisce una piattaforma sicura per la notifica di violazioni di dati personali da parte di un’istituzione e applica le misure di sicurezza per lo scambio di informazioni in materia di violazioni di dati personali.

2.   Alla ricezione della notifica il GEPD ne dà conferma all’istituzione interessata.

1.   In risposta a richieste della Commissione ai sensi dell’articolo 42, paragrafo 1, del regolamento, il GEPD formula pareri o commenti formali.

2.   I pareri sono pubblicati sul sito web del GEPD in tedesco, inglese e francese. Le sintesi dei pareri sono pubblicate nella Gazzetta ufficiale dell’Unione europea (serie C). I commenti formali sono pubblicati sul sito web del GEPD.

3.   Il GEPD può rifiutare di rispondere a una consultazione qualora non siano soddisfatte le condizioni di cui all’articolo 42 del regolamento, incluso ove non vi sia impatto sulla protezione dei diritti e delle libertà di individui con riguardo alla protezione dei dati.

4.   Qualora, nonostante i migliori sforzi, non sia possibile formulare un parere congiunto del GEPD e dell’EDPB ai sensi dell’articolo 42, paragrafo 2, del regolamento entro la scadenza prevista, il GEPD può formulare un parere sulla medesima questione.

5.   Qualora la Commissione accorci una scadenza applicabile a una consultazione legislativa ai sensi dell’articolo 42, paragrafo 3, del regolamento, il GEPD si adopera per rispettare la scadenza prevista per quanto ragionevole e possibile, tenendo conto in particolare della complessità della questione in oggetto, della lunghezza della documentazione e della completezza delle informazioni fornite dalla Commissione.

1.   Il GEPD può intervenire in cause dinanzi alla Corte di giustizia dell’Unione europea ai sensi dell’articolo 58, paragrafo 4, del regolamento, dell’articolo 43, paragrafo 3, lettera i), del regolamento (UE) 2016/794, dell’articolo 85, paragrafo 3, lettera g), del regolamento (UE) 2017/1939, e dell’articolo 40, paragrafo 3, lettera g), del regolamento (UE) 2018/1727.

2.   Nel decidere se presentare istanza di intervento o se accettare un invito della Corte di giustizia dell’Unione europea a intervenire, il GEPD può tenere in considerazione in particolare:

1.   Il GEPD coopera con le autorità di controllo nazionali e con l’autorità comune di controllo istituita dall’articolo 25 della decisione del Consiglio 2009/917/GAI (10) al fine di, in particolare:

2.   Ove rilevante, il GEPD partecipa alla mutua assistenza e a operazioni congiunte con le autorità di controllo nazionali, nell’ambito delle rispettive competenze quali stabilite dal regolamento, dal RGPD e da altri atti pertinenti del diritto dell’Unione.

3.   Il GEPD può partecipare dietro invito a un’indagine di un’autorità di controllo o invitare un’autorità di controllo a partecipare a un’indagine in conformità delle norme legali e procedurali applicabili alla parte che rivolge l’invito.

1.   Il GEPD promuove le migliori prassi, la convergenza e le sinergie in materia di protezione dei dati personali tra l’Unione europea e i paesi terzi e le organizzazioni internazionali, ivi incluso tramite la partecipazione in pertinenti reti ed eventi regionali e internazionali.

2.   Ove appropriato, il GEPD partecipa alla mutua assistenza in azioni di indagine e di esecuzione condotte da autorità di controllo di paesi terzi o organizzazioni internazionali.

1.   Il comitato del personale, che rappresenta il personale del GEPD, incluso il segretariato dell’EDPB, viene tempestivamente consultato su progetti di decisioni relative all’applicazione dello statuto dei funzionari dell’Unione europea e delle condizioni di impiego di altri agenti dell’Unione europea di cui al regolamento (CEE, Euratom, CECA) n. 259/68 e può essere consultato su qualsiasi altra questione di interesse generale riguardante il personale. Il comitato del personale è informato di tutte le questioni che riguardano l’esercizio delle sue funzioni ed emette i propri pareri entro 10 giorni lavorativi a decorrere dalla data in cui è stato consultato.

2.   Il comitato del personale contribuisce al buon funzionamento del GEPD, incluso del segretariato dell’EDPB, formulando proposte su questioni organizzative e condizioni di lavoro.

3.   Il comitato del personale è composto di tre membri e di tre supplenti ed è eletto per un periodo di due anni da tutto il personale del GEPD, incluso il segretariato dell’EDPB.

1.   Il GEPD nomina un responsabile della protezione dei dati (RPD).

2.   L’RPD è consultato, in particolare, quando il GEPD in qualità di titolare del trattamento intende applicare una restrizione basata sulle norme interne in applicazione dell’articolo 25 del regolamento.

3.   In conformità del punto IV, paragrafo 2, punto viii), del protocollo di intesa tra il GEPD e l’EDPB, quest’ultimo ha un RPD distinto. In conformità del punto IV, paragrafo 4, del protocollo di intesa tra il GEPD e l’EDPB, gli RPD del GEPD e dell’EDPB si incontrano regolarmente per accertarsi che le loro decisioni restino coerenti.

1.   Il GEPD rispetta il principio del multilinguismo, poiché la diversità culturale e linguistica è uno dei cardini e dei punti di forza dell’Unione europea. Il GEPD mira a trovare un equilibrio tra il principio del multilinguismo e l’obbligo di assicurare una solida gestione finanziaria e un risparmio per il bilancio dell’Unione europea, facendo quindi un uso pragmatico delle sue limitate risorse.

2.   Il GEPD risponde a chiunque lo interpelli in una delle lingue ufficiali dell’Unione europea, in merito a una questione che ricade nella sua sfera di competenza, nella stessa lingua utilizzata dal richiedente. Tutti i reclami, le richieste di informazioni e ogni altra richiesta possono essere inviati al GEPD in una qualsiasi delle lingue ufficiali dell’Unione europea e la risposta viene fornita nella stessa lingua.

3.   Il sito web del GEPD è disponibile in tedesco, inglese e francese. I documenti strategici del GEPD, quali la strategia per il mandato del Garante europeo della protezione dei dati, sono pubblicati in tedesco, inglese e francese.

1.   L’autenticazione delle decisioni del GEPD avviene mediante firma del Garante europeo della protezione dei dati o del direttore come previsto nella presente decisione. La firma può essere autografa o elettronica.

2.   In caso di delega o supplenza ai sensi dell’articolo 11, l’autenticazione delle decisioni avviene mediante firma della persona a cui è stata delegata la competenza o del supplente. La firma può essere autografa o elettronica.

1.   Con decisione del Garante europeo della protezione dei dati, il GEPD può adottare un sistema di lavoro da remoto per la totalità o una parte del suo personale. Tale decisione è comunicata al personale e pubblicata sui siti web del GEPD e dell’EDPB.

2.   Con decisione del Garante europeo della protezione dei dati, il GEPD può determinare le condizioni di validità dei documenti elettronici, delle procedure elettroniche e dei mezzi di trasmissione elettronica di documenti per le finalità del GEPD. Tale decisione è comunicata al personale e pubblicata sul sito web del GEPD.

3.   Il presidente dell’EDPB è consultato quando tali decisioni riguardano il segretariato dell’EDPB.