1
INTRODUZIONE
La protezione dei dati personali è un settore in cui si pongono sempre maggiori sfide alle quali
fare fronte. A livello di Unione Europea ogni Stato membro è dotato di una propria legislazione in
materia di privacy e tutela dei dati personali ed il legislatore comunitario, a sua volta, ha adottato
vari strumenti normativi per regolamentare tale settore. La continua evoluzione tecnologica,
tuttavia, richiede un adeguamento della legislazione vigente e risposte a problemi nuovi che si
pongono man mano.
Il 25 gennaio 2012 la Commissione Europea ha presentato una Proposta di Regolamento
concernente la tutela dei dati personali. Tra le novità presenti in tale Proposta vi è l’obbligo, per le
aziende di grandi dimensioni e per tutte le pubbliche amministrazioni degli Stati Membri, di
nominare un Data Protection Officer.
Oggetto di questa analisi è la figura del Data Protection Officer; si metterà a fuoco dove e
quando ha avuto origine, quale percorso evolutivo e normativo ha seguito, quali sono i vari livelli ai
quali opera (nazionale e comunitario) e si inquadrerà il ruolo del DPO rispetto all’attuale quadro
normativo.
A livello generale si può dire che il Data Protection Officer può essere considerato come una
sorta di garante della protezione dei dati interno all’ente presso cui opera e, quindi, è un soggetto
che può rendere la tutela dei dati maggiormente capillare rispetto a quanto sarebbe in sua assenza.
L’introduzione di un DPO all’interno di un ente consentirebbe di avere un nuovo punto di contatto,
oltre che per l’Autorità nazionale di controllo, anche per i soggetti interessati del trattamento dei
dati, che godrebbero di maggiore sicurezza. Inoltre il DPO è qualificato come un “professionista
della privacy” e quindi sarebbe decisamente utile come consulente in materia all’interno dell’ente
presso cui opera.
Tutti questi aspetti saranno analizzati nel corso della trattazione. In particolare il Capitolo I si
occupa di definire e commentare brevemente le fonti europee in cui è presente il Data Protection
2
Officer ed altresì documenti che non sono fonti del diritto, ma che trattano di questa figura. Nel
Capitolo II verrà analizzata la figura del DPO negli ordinamenti nazionali ed emergerà che prima di
essere introdotto dal legislatore comunitario il DPO era già esistente in alcune realtà, facendo capire
che la scelta è stata dettata da esperienze precise. Nel Capitolo III verrà trattato il ruolo del Data
Protection Officer all’interno delle istituzioni comunitarie, come disciplinato dalla normativa di
riferimento, e si evince che l’UE ha scelto di adottare tale figura all’interno dei propri enti prima di
proporne l’obbligatorietà agli Stati Membri.
Nel Capitolo IV verrà analizzata la Proposta di Regolamento con particolare riferimento agli articoli
dedicati al Data Protection Officer, verranno posti in evidenza i profili di criticità espressi dal
Garante Europeo della Protezione dei Dati e dall’Article 29 Working Party ed infine si cercherà di
tracciare un profilo di questa figura in sé e rispetto alla normativa attualmente vigente. Il Capitolo V
è dedicato alla definizione di quelli che sono i rapporti tra il Data Protection Officer e le altre figure
attualmente operanti nel panorama di tutela dei dati personali.
Ritengo sia importante affermare che il Data Protection Officer è una figura, allo stato attuale,
assente dall’ordinamento italiano, ma, se il Regolamento proposto il 25 gennaio 2012 dovesse
entrare in vigore, tutti gli enti pubblici e le aziende con più di 250 dipendenti dovrebbero nominarla.
Anche per questo motivo definirne bene il profilo e le funzioni affidategli dalla normativa
comunitaria e comprendere il percorso evolutivo del Data Protection Officer può rivelarsi
particolarmente utile.
3
CAPITOLO I
IL DATA PROTECTION OFFICER NELLE FONTI EUROPEE
Il quadro giuridico europeo in tema di protezione dei dati personali appare piuttosto articolato e
contenuto in vari atti aventi natura, efficacia e portata differenti.
Prendendo come riferimento gli aspetti più tecnici inerenti il trattamento dei dati personali, i
soggetti che se ne occupano e le forme di tutela contro le possibili violazioni, è necessario volgere
lo sguardo alle fonti europee di diritto derivato.
Il legislatore europeo ha scelto più volte il ricorso a Direttive in materia di protezione dei dati
personali.
La “direttiva” è un atto che vincola gli Stati membri al raggiungimento dei risultati per i quali è
stata emanata, lasciando a questi la scelta dei mezzi giuridici più idonei; essa può venire indirizzata
ad uno o più Stati. La scelta di questo strumento quindi consente al legislatore europeo di ottenere il
risultato previsto lasciando, tuttavia, ai vari legislatori nazionali una certa autonomia
1
nella scelta
degli strumenti considerati più idonei e nella predisposizione di soluzioni aggiuntive. In riferimento
alla protezione dei dati personali ad esempio ricordiamo la Direttiva 95/46/CE, la 2002/58/CE e la
2006/24/CE.
1.1 La Direttiva 95/46/CE e la prima idea di un “Data Protection Official”
La “Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa
alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera
circolazione di tali dati” costituisce il testo di riferimento, a livello europeo, in materia di protezione
dei dati personali. Essa definisce un quadro normativo, volto a stabilire un equilibrio fra un livello
1
Va sottolineato, tuttavia, che maggiore sarà lo spazio lasciato al legislatore nazionale quanto più astratta e generica
sarà la direttiva. Da una direttiva molto dettagliata infatti residua uno scarso campo d’azione allo Stato membro.
4
elevato di tutela della vita privata delle persone e la libera circolazione dei dati personali all’interno
dell’Unione europea. A tal fine, la Direttiva fissa limiti precisi per la raccolta e l’utilizzazione dei
dati personali e chiede a ciascuno Stato membro di istituire un organismo nazionale indipendente
incaricato della protezione di tali dati.
Inoltre la Direttiva introduce e disciplina, definendone caratteristiche e compiti, le figure
operanti nel trattamento dei dati personali: il “soggetto interessato”
2
(articolo 2, lettera a), vale a
dire colui i cui dati sono trattati; il “responsabile del trattamento”
3
dei dati (articolo 2 lettera d),
che è una persona fisica o giuridica avente il compito di determinare le finalità e gli strumenti del
trattamento di dati personali; l’“incaricato del trattamento”
4
(articolo 2 lettera e), persona fisica o
giuridica che elabora i dati per conto del responsabile ed infine il “destinatario dei dati”
5
(articolo 2
lettera g), in altre parole l’ente pubblico o privato che riceve i dati personali dell’interessato.
L’articolo 18 paragrafo 1 della Direttiva
6
si occupa dell’“Obbligo di notificazione all’autorità di
controllo”. Esso stabilisce che gli Stati membri prevedano un obbligo di notificazione a carico del
2
Traduzione inglese: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML
Directive 95/46/EC of the European Parliament and of the Council, art 2 (Definitions): “Personal data” shall mean any
information relating to an identified or identifiable natural person ('data subject');
Traduzione francese: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML
Directive 95/46/CE du Parlement européen et du Conseil, art 2 (Définitions): “Données à Caractère Personnel” toute
information concernant une personne physique identifiée ou identifiable (personne concernée);
3
Traduzione inglese: “Controller”: shall mean the natural or legal person, public authority, agency or any other body
which alone or jointly with others determines the purposes and means of the processing of personal data; where the
purposes and means of processing are determined by national or Community laws or regulations, the controller or the
specific criteria for his nomination may be designated by national or Community law;
Traduzione francese: “Rensponsable du Traitement”: la personne physique ou morale, l'autorité publique, le service ou
tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de
données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions
législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques
pour le désigner peuvent être fixés par le droit national ou communautaire;
4
Traduzione inglese: “Processor”: shall mean a natural or legal person, public authority, agency or any other body
which processes personal data on behalf of the controller;
Traduzione francese: “Sous – Traitement”: la personne physique ou morale, l'autorité publique, le service ou tout autre
organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
5
Traduzione inglese: “Recipient”: shall mean a natural or legal person, public authority, agency or any other body to
whom data are disclosed, whether a third party or not; however, authorities which may receive data in the framework of
a particular inquiry shall not be regarded as recipients;
Traduzione francese: “Destinataire”: la personne physique ou morale, l'autorité publique, le service ou tout autre
organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de
recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées
comme des destinataires.
6
Direttiva 95/46/CE, art 18 paragrafo 1: “Gli Stati membri prevedono un obbligo di notificazione a carico del
responsabile del trattamento, od eventualmente del suo rappresentante, presso l’autorità di controllo di cui all’articolo
5
responsabile del trattamento dei dati verso l’autorità indipendente di controllo, prima di procedere
ad un trattamento. Il procedimento è, dunque, il seguente: il responsabile, prima di effettuare uno o
più trattamenti di dati deve notificare finalità e metodo dell’operazione al Garante e,
successivamente, consentirà all’incaricato di elaborare i dati.
Il paragrafo 2 dell’art 18 si occupa delle eccezioni, ossia dei casi nei quali l’obbligo di notifica
assume caratteri diversi rispetto al procedimento descritto nel paragrafo 1.
“Gli Stati membri possono prevedere una semplificazione o l’esonero dall’obbligo di
notificazione soltanto nei casi ed alle condizioni seguenti:
- qualora si tratti di categorie di trattamento che, in considerazione dei dati oggetto di
trattamento, non siano tali da recare pregiudizio ai diritti ed alle libertà della persona
interessata, essi precisano le finalità dei trattamenti, i dati o le categorie dei dati trattati, la
categoria o le categorie di persone interessate, i destinatari o le categorie di destinatari cui
sono comunicati i dati e il periodo di conservazione dei dati, e/o
- qualora il responsabile del trattamento designi, conformemente alla legislazione
nazionale applicabile, un incaricato della protezione dei dati, a cui è demandato in
particolare:
o di assicurare in maniera indipendente l’applicazione interna delle disposizioni
nazionali di attuazione della presente direttiva;
o di tenere un registro dei trattamenti effettuati dal responsabile del trattamento
(…)”
Compare dunque, per la prima volta, in una fonte europea la figura qui nominata “incaricato
della protezione dei dati”, e nella traduzione inglese “data protection official”
7
. Rispetto al Data
30, prima di procedere alla realizzazione di un trattamento, o di un insieme di trattamenti, interamente o parzialmente
automatizzato, destinato al conseguimento di una o più finalità correlate”.
7
Traduzione inglese: Directive 95/46/EC, art 18, paragraph 2: “(…) where the controller, in compliance with the
national law which governs him, appoints a personal data protection official(…)”
6
Protection Officer (DPO), che verrà disciplinato nel Regolamento 2001/45/CE, l’incaricato della
protezione dei dati (ex art 18, paragrafo 2 Dir 95/46/CE) ne costituisce un’anticipazione ed una
prima previsione. Il compito, o meglio, la possibilità di designare un incaricato della protezione è
rimessa agli Stati membri, quindi non è un obbligo né per essi, né tanto meno per le istituzioni
europee. Un dato notevole è che solamente 5 paesi membri hanno adottato questo sistema di
notificazione alternativo: Germania, Paesi Bassi, Svezia, Lussemburgo e Francia.
La legislazione successiva, come il Regolamento 2001/45/CE, ha poi dato un notevole peso a
questa figura menzionata solamente in un articolo dedicato alla notificazione, rendendola
obbligatoria nelle istituzioni ed organismi europei e poi proponendone l’obbligatorietà anche a
soggetti nazionali.
1.2 La Relazione della Commissione sull’applicazione della Direttiva 95/46/CE
Il 15 marzo 2003 la Commissione Europea ha pubblicato una relazione intitolata “Prima
relazione sull'applicazione della direttiva sulla tutela dei dati 95/46/CE”
8
.
La relazione è stata estesa in virtù della previsione normativa contenuta nell’articolo 33 della
Direttiva 95/46/CE che stabilisce: “La Commissione presenta periodicamente al Consiglio e al
Parlamento europeo, per la prima volta entro tre anni dalla data di cui all'articolo 32, paragrafo 1,
una relazione sull'applicazione della presente direttiva, accompagnata, se del caso, dalle opportune
proposte di modifica”
9
. I termini si sono prolungati per i ritardi negli adempimenti da parte degli
Stati membri.
Traduzione francese : Directive 95/46/CE, art 18, paragraphe 2 : “(…)lorsque le responsable du traitement désigne,
conformément au droit national auquel il est soumis, un détaché à la protection des données à caractère personnel
chargé notamment (…).”
8
COM(2003) 265 definitivo.
9
Direttiva 95/46/CE, articolo 32, paragrafo 1: “Gli Stati membri mettono in vigore le disposizioni legislative,
regolamentari ed amministrative necessarie per conformarsi alla presente direttiva al più tardi alla scadenza del terzo
anno successivo alla sua adozione”.
7
La Commissione ha condotto un'approfondita analisi dell'attuazione della Direttiva nei quindici
Stati membri sulla base delle informazioni raccolte mediante consultazioni e con la collaborazione
degli Stati membri e delle Autorità nazionali di controllo.
Dall’analisi è emerso che esistono numerose divergenze tra le normative nazionali attuative
della Direttiva, senza considerare i ritardi negli adempimenti, e la Commissione afferma che:
“molte delle divergenze osservate rappresentano tuttavia un ostacolo a un sistema flessibile e
semplificato di regolamentazione e costituiscono pertanto motivo di preoccupazione (ad esempio le
differenze per quanto riguarda gli obblighi di notifica o le condizioni dei trasferimenti
internazionali).”
Proprio in riferimento agli obblighi di notifica nella relazione è indicato che: “Da più parti è
stata sostenuta la necessità di una semplificazione e di un ravvicinamento delle disposizioni adottate
dagli Stati membri per quanto riguarda la notificazione delle attività di trattamento da parte dei
responsabili del trattamento” e la Commissione, nel condividere tale opinione, afferma che: “la
direttiva già offre agli Stati membri la possibilità di prevedere ampie esenzioni all'obbligo di
notificazione nel caso in cui il rischio sia limitato o il responsabile del trattamento abbia designato
un incaricato della protezione dei dati” e prosegue sostenendo che: “Tali deroghe consentono una
sufficiente flessibilità pur senza inficiare il livello di protezione assicurata. Sfortunatamente alcuni
Stati membri non si sono avvalsi di tali possibilità”.
La Commissione dunque evidenzia il valore delle attuali previsioni per la semplificazione, tra le
quali la nomina di un Data Protection Official (Direttiva 95/46/CE, articolo 18 paragrafo 2) e
consiglia agli Stati membri di attuare le misure previste dalla Direttiva per la semplificazione della
procedura di notifica all’Autorità di controllo: “La Commissione europea condivide in larga misura
le critiche espresse nel corso della revisione dai responsabili del trattamento in merito alle
divergenze nei contenuti dei loro obblighi di notificazione. La Commissione raccomanda un ricorso
8
più ampio alle deroghe e, in particolare, alla possibilità contemplata al paragrafo 2 dell'articolo
18 della direttiva, ossia la designazione di un incaricato della protezione dei dati che esonera
dall'obbligo di notificazione”.
In merito alla semplificazione la commissione fa appello all’Article 29 Data Protection
Working Party affinché elabori proposte e contribuisca ad una attuazione uniforme della Direttiva
95/46/CE.
I.2.1 Il Report del 2005 dell’Article 29 Data Protection Working Party
L’Article 29 Data Protection Working Party è stato istituito in virtù dell’articolo 29
10
della
Direttiva 95/46/CE. È l’organo consultivo indipendente dell’UE per la protezione dei dati personali
e della vita privata. I suoi compiti sono fissati all’articolo 30
11
della Direttiva 95/46/CE e
all’articolo 15
12
della Direttiva 2002/58/CE.
10
Direttiva 95/46/CE, articolo 29: “è istituito il Gruppo per la tutela delle persone con riguardo al trattamento dei dati
personali, in appresso demonimato «il gruppo»”.
11
Direttiva 95/46/CE, articolo 30: “Il gruppo ha i seguenti compiti:
a) esaminare ogni questione attinente all'applicazione delle norme nazionali di attuazione della presente direttiva per
contribuire alla loro applicazione omogenea;
b) formulare, ad uso della Commissione, un parere sul livello di tutela nella Comunità e nei paesi terzi;
c) consigliare la Commissione in merito a ogni progetto di modifica della presente direttiva, ogni progetto di misure
addizionali o specifiche da prendere ai fini della tutela dei diritti e delle libertà delle persone fisiche con riguardo al
trattamento di dati personali, nonché in merito a qualsiasi altro progetto di misure comunitarie che incidano su tali diritti
e libertà;
d) formulare un parere sui codici di condotta elaborati a livello comunitario.
2. Il gruppo, qualora constati che tra le legislazioni o prassi degli Stati membri si manifestano divergenze che possano
pregiudicare l'equivalenza della tutela delle persone in materia di trattamento dei dati personali nella Comunità, ne
informa la Commissione.
3. Il gruppo può formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardante la tutela delle
persone nei confronti del trattamento di dati personali nella Comunità (…)”
12
Direttiva 2002/58/CE, articolo 15: “Il gruppo per la tutela delle persone con riguardo al trattamento dei dati
personali, istituito dall’articolo 29 della direttiva 95/46/CE, svolge i compiti di cui all’articolo 30 della direttiva stessa
anche per quanto concerne materie disciplinate dalla presente direttiva, segnatamente la tutela dei diritti e delle
Libertà fondamentali e degli interessi legittimi nel settore delle comunicazioni elettroniche.”
9
Il 18 gennaio 2005 l’Article 29 Data Protection Working Party adotta il “Report on the
obligation to notify the national supervisory authorities, the best use of exceptions and
simplification and the role of the data protection officers in the European Union”
13
.
Tale report costituisce una risposta all’appello della Commissione europea contenuto nella
“Prima relazione sull'applicazione della direttiva sulla tutela dei dati 95/46/CE”. Nella relazione
della Commissione è infatti scritto che: “La Commissione fa appello al gruppo «Articolo 29»
affinché contribuisca a un'applicazione più uniforme della Direttiva, avanzando proposte intese a
semplificare in maniera sostanziale gli obblighi in materia di notificazione negli Stati membri e a
istituire meccanismi di cooperazione per facilitare le notificazioni da parte delle multinazionali con
stabilimenti in diversi Stati membri. Tali proposte potrebbero includere la richiesta di modifiche
alla legislazione nazionale”.
L’Article 29 Working Party analizza il tema della semplificazione nei vari Stati membri
rilevando una applicazione piuttosto difforme delle previsioni di semplificazione della Direttiva
95/46/CE. In merito alla figura del Data Protection Officer ne raccomanda un più ampio utilizzo da
parte degli Stati, sostenendo che un maggiore utilizzo dei DPOs in sostituzione dell’obbligo di
notifica, almeno in alcuni settori delle aziende e nelle grandi organizzazioni pubbliche, può essere
utile, alla luce delle positive esperienze riscontrate negli Stati membri in cui tale figura è stata
introdotta oppure era già esistente. Il report prosegue ricordando che la nomina di un DPO non
elimina né il dovere d’informare l’autorità di controllo quando le informazioni sono necessarie né
l’obbligo di notifica per il controllo preventivo dei trattamenti che presentano rischi specifici.
L’Article 29 Working Party conclude sostenendo che in caso si valuti l’ipotesi di
“generalizzare” la previsione del DPO è bene guardare alle esperienze degli Stati membri in cui
essa è esistente.
13
ARTICLE 29 WORKING PARTY, “Report on the obligation to notify the national supervisory authorities, the best
use of exceptions and simplification and the role of the data protection officers in the European Union”. 18 Gennaio
2005. (WP 106) (10211/05/EN)
10
I.3 Il Regolamento 2001/45/CE del Parlamento Europeo e del Consiglio
Nel dicembre del 2000 il Parlamento europeo ed il Consiglio europeo hanno emanato il
Regolamento 2001/45/CE concernente la tutela delle persone fisiche in relazione al trattamento dei
dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di
tali dati.
Posto che il “regolamento” è uno strumento di portata generale ed astratta, è immediatamente
esecutivo, non necessitando di recepimento da parte degli Stati membri e, per lo stesso motivo, in
grado di garantire una maggiore armonizzazione a livello dell’intera Unione Europea. Appare
dunque chiaro che l’utilizzo di un tale strumento legislativo risponde al preciso scopo di evitare
disomogeneità nei vari ordinamenti ed, inoltre, accorciarne i tempi di applicazione.
La base giuridica di tale atto legislativo è costituita, in particolare, dall’art 286 del Trattato della
Comunità Europea il quale prevede che “gli atti comunitari sulla protezione delle persone fisiche
con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati si
applichino alle istituzioni e agli organismi comunitari”.
Lo scopo dunque è quello di creare un sistema di tutela dei dati personali, con controlli e
sanzioni per i trasgressori, per tutte le istituzioni e gli organismi comunitari. Essi sono per primi
sottoposti a questa disciplina.
Nel Regolamento 2001/45/CE, accanto alla figura del Responsabile del trattamento dei dati, si
prevede la figura del “Responsabile della protezione dei dati
14
”.
Se nella Direttiva 95/46/CE sono disciplinate le altre figure legate al trattamento dei dati: il
titolare del trattamento, il responsabile del trattamento, l’incaricato del trattamento e gli organismi
di controllo, delle quali si tratterà successivamente, e compare solo a livello eventuale, come detto
14
Regolamento 2001/45/CE, sezione 8.
Nella traduzione italiana: “incaricato della protezione dei dati” (Direttiva 95/46/CE, articolo 18 paragrafo 2) è diventato
“responsabile della protezione dei dati” (Regolamento CE 45/2001, articolo 24).
Nella traduzione francese: “Détaché à la protection des données”(Direttiva 95/46/CE) è diventato "Délégué à la
protection des données" (Regolamento 2001/45/CE, art 24).
11
nel precedente paragrafo, una figura embrionale del DPO, nel Regolamento 2001/45/CE viene
disciplinata la nuova figura del Data Protection Officer. Si nota un cambio di terminologia: nella
Direttiva 95/46/CE, in inglese si parla nell’articolo 18 paragrafo 2 di “Data Protection Official”,
mentre nel Regolamento 2001/45/CE, nell’art 24 di “Data Protection Officer”.
Al DPO sono dedicati tre articoli. L’art 24
15
ne disciplina la nomina ed il mandato, dunque i
compiti e le competenze, oltre a sancirne l’indipendenza e sancisce: “1. Ogni istituzione ed
organismo della Comunità nomina almeno un responsabile della protezione dei dati personali con il
mandato di:
a) garantire che i responsabili del trattamento e gli interessati siano informati dei propri diritti
ed obblighi ai sensi del presente regolamento;
b) rispondere alle richieste del garante europeo della protezione dei dati e, nell'ambito delle sue
competenze, cooperare con il garante europeo della protezione dei dati su richiesta di quest'ultimo
o di propria iniziativa;
c) garantire in maniera indipendente che le disposizioni del presente regolamento vengano
applicate all'interno dell'istituzione o organismo di cui fa parte;
d) tenere il registro delle operazioni effettuate dal responsabile del trattamento, riportandovi le
informazioni di cui all'articolo 25, paragrafo 2;
15
Regolamento 2001/45/CE, art 24 paragrafo 2: “ Il responsabile della protezione dei dati è scelto in funzione delle sue
qualità personali e professionali e, in particolare, delle sue conoscenze specifiche in materia di protezione dei dati”;
paragrafo 3:“La scelta del responsabile della protezione dei dati non deve dar luogo a un possibile conflitto di interessi
tra la sua funzione di responsabile ed altre eventuali funzioni di ufficio, in particolare nell'ambito dell'applicazione delle
disposizioni del presente regolamento”;
paragrafo 4: “Il responsabile della protezione dei dati è nominato per un periodo da due a cinque anni. Il suo mandato è
rinnovabile; la durata complessiva del mandato non può superare i dieci anni. Può essere destituito dalle sue funzioni di
responsabile della protezione dei dati dall'istituzione o organismo comunitario che lo ha nominato solo con il consenso
del garante europeo della protezione dei dati, se non soddisfa più le condizioni richieste per l'esercizio delle sue
funzioni”.
paragrafo 5: “La nomina del responsabile della protezione dei dati è comunicata al garante europeo della protezione dei
dati dall'istituzione o dall'organismo comunitario che lo ha nominato”
paragrafo 6: “Il responsabile della protezione dei dati ottiene dall'istituzione o dall'organismo comunitario che lo ha
nominato il personale e le risorse necessarie all'esercizio delle sue funzioni.”
paragrafo 7: “Il responsabile della protezione dei dati non può ricevere alcuna istruzione per quanto riguarda l'eserc izio
delle sue funzioni”.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
