Il Mediatore europeo

visto

(1)  il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (il «regolamento»)^[1], e in particolare l’article 45, paragrafo 3;

(2) il documento di sintesi del Garante europeo della protezione dei dati (il «GEPD») sul ruolo dei responsabili della protezione dei dati delle istituzioni e degli organi dell’UE,

HA ADOTTATO LA SEGUENTE DECISIONE:

Articolo 1 Designazione del responsabile della protezione dei dati (RPD)

1. Il Mediatore europeo designa un responsabile della protezione dei dati (in appresso, l’«RDP») all’interno dell’organico del Mediatore europeo in funzione delle qualità personali e professionali, in particolare della conoscenza specialistica della normativa e della prassi in materia di protezione dei dati e della capacità di assolvere i relativi compiti. Previa consultazione dell’RPD, può essere designato un vice RPD^[2]. L’RPD può essere coadiuvato da personale ausiliario.

2. Il mandato dell’RPD ha durata quinquennale ed è rinnovabile.

3. I dati di contatto dell’RPD sono comunicati al GEPD e pubblicati sul sito web del Mediatore europeo.

4. L’RPD che non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni può essere destituito dal Mediatore solo con il consenso del GEPD. Il Mediatore europeo accerta che l’RPD non soddisfa più tali condizioni su proposta del segretario generale. Al fine di ottenere il consenso del GEPD a tale destituzione a norma dell’articolo 44, paragrafo 8, del regolamento, il GEPD è consultato per iscritto. Una copia di tale consenso è trasmessa all’RPD.

Articolo 2 Status dell’RPD

1. L’RPD riferisce al segretario generale del Mediatore europeo.

2. Fatte salve le disposizioni di cui al paragrafo 1, l’RPD agisce in maniera indipendente. All’RPD non è permesso ricevere alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti e non può essere rimosso o penalizzato per l’adempimento di tali compiti.

3. Il Mediatore europeo garantisce che:

(a) l’RPD sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati;

(b) l’RPD disponga del tempo e delle risorse necessari per assolvere i propri compiti e per mantenere la propria conoscenza specialistica;

(c) non vi sia conflitto di interessi tra i compiti e le funzioni dell’RPD in quanto tale e qualsiasi altro compito e funzione ufficiale possa svolgere.

4. L’RPD e il suo personale sono tenuti al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione.

Articolo 3 Compiti, funzioni e competenze dell’RPD

1. L’RPD informa e fornisce consulenza al Mediatore europeo in merito agli obblighi derivanti dal regolamento nonché da altre disposizioni dell’Unione in materia di protezione dei dati.

2. L’RPD assicura in modo indipendente l’applicazione interna del regolamento e sorveglia l’osservanza dello stesso regolamento, di altre disposizioni dell’Unione applicabili relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.

3. L’RPD garantisce che gli interessati siano informati dei propri diritti e obblighi ai sensi del regolamento.

4. L’RPD fornisce, se richiesto, un parere in merito alla necessità di:

(a) notificare al GEPD e/o comunicare all’interessato una violazione di dati personali,

(b) effettuare una valutazione d’impatto sulla protezione dei dati, monitorarne i risultati e consultare il GEPD in caso di dubbi sulla necessità di una valutazione d’impatto sulla protezione dei dati e

(c) procedere a una consultazione preventiva del GEPD e consultarlo in caso di dubbi sulla necessità di detta consultazione preventiva.

5. L’RPD risponde alle richieste del GEPD e, nell’ambito delle sue competenze, coopera e si consulta con il GEPD su richiesta di quest’ultimo o di propria iniziativa.

6. L’RPD garantisce che i trattamenti di cui il Mediatore europeo è il titolare non arrechino pregiudizio ai diritti e alle libertà degli interessati.

7. L’RPD tiene un registro centrale dei trattamenti e delle violazioni di dati personali sotto la responsabilità del Mediatore europeo. L’RPD garantisce che il registro dei trattamenti sia accessibile al pubblico, anche per via elettronica. Su richiesta, i registri dei trattamenti effettuati dal Mediatore europeo sono messi a disposizione del GEPD.

8. Il Mediatore europeo, il comitato del personale e qualsiasi persona fisica possono consultare l’RPD, senza seguire la via gerarchica, su qualsiasi aspetto riguardante l’interpretazione o l’applicazione del regolamento, nella misura in cui riguarda le attività di trattamento dei dati di cui è titolare il Mediatore europeo. Per quanto possibile, l’RPD fornisce informazioni comprensibili senza conoscenze specialistiche.

9. L’RPD può formulare raccomandazioni al Mediatore europeo per il miglioramento concreto della protezione dei dati e fornire consulenza in merito all’applicazione delle disposizioni sulla protezione dei dati alle attività di trattamento di cui il Mediatore è il titolare.

10. L’RPD può, di propria iniziativa o a richiesta del Mediatore europeo, del segretario generale, del comitato del personale o di qualsiasi persona fisica, indagare sulle questioni e sui fatti direttamente collegati con l’esercizio delle sue funzioni di cui viene a conoscenza e riferire in merito alla persona che lo ha incaricato dell’indagine o al Mediatore europeo. Tali indagini rispettano il principio di equità e il diritto delle persone interessate di esprimere il loro parere su fatti che le riguardano.

11. Gli interessati possono contattare l’RPD per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti.

12. Nessuno deve subire pregiudizio per una questione portata all’attenzione dell’RPD e riguardante un’asserita violazione delle disposizioni del regolamento.

13. Nell’esercizio delle sue funzioni, l’RPD ha accesso in qualsiasi momento ai dati oggetto delle operazioni di trattamento e a tutti gli uffici, installazioni per il trattamento dei dati e ai supporti di dati.

14. Nell’esercizio delle sue funzioni relative al trattamento effettuato da un’altra istituzione od organo dell’Unione a nome del Mediatore europeo, l’RPD può cooperare con il responsabile della protezione dei dati dell’istituzione o dell’organo interessato.

Articolo 4 Entrata in vigore

La presente decisione entra in vigore il giorno della sua adozione.

Fatto a Strasburgo, il 9.10.2019

Emily O’Reilly

[1] GU L 295 del 2018, pag. 39.

[2] Se il vice RPD è designato secondo tale procedura, per «RPD» si intende sia il RPD sia il suo vice.