Pubblicata nella Gazzetta Ufficiale dell’Unione Europea del 22 marzo 2024 la Decisione (UE) 2024/901 della Banca Centrale Europea che modifica la Decisione (UE) 2022/2359 sulle norme interne relative alle limitazioni dei diritti degli interessati, in relazione al funzionamento interno della Banca centrale europea.
A norma dell’art. 3, paragrafo 4, della Decisione (UE) 2022/2359 della BCE, la decisione di limitare i diritti di un interessato garantiti dalla normativa in materia di privacy, che deve essere adottata dal titolare del trattamento, a fini di tutela della privacy, è assunta al livello del capo o vicecapo dell’unità operativa pertinente nella quale è condotta la principale operazione di trattamento che coinvolge i dati personali.
Tale norma, tuttavia, non specifica in quali circostanze la decisione di limitare i diritti di un interessato debba essere adottata a livello del vicecapo.
La Decisione in commento chiarisce quindi che si tratta di casi in cui il capo dell’unità operativa pertinente non è disponibile (ad esempio, è in congedo annuale o per malattia), o ha un conflitto di interessi effettivo o percepito, o ha accesso a informazioni riservate rilevanti.
Inoltre, l’art. 3 menzionato non considera il caso di un’unità operativa priva di vicecapo: in tal caso, viene chiarito che qualora il capo dell’unità operativa pertinente non fosse disponibile, o avesse un conflitto di interessi effettivo o percepito, o avesse accesso a informazioni riservate rilevanti, la decisione di limitare i diritti di un interessato dovrebbe essere adottata al livello del superiore gerarchico competente a tal fine, in quelle circostanze.
Infine, la norma citata non specifica a quale livello debba essere adottata una decisione sulla limitazione dei diritti di un interessato nel caso in cui una funzione non sia assegnata a un’unità operativa: viene quindi chiarito che tale decisione dovrebbe essere adottata a livello del titolare della funzione nella quale è condotta la principale operazione di trattamento che coinvolge i dati personali.
Tale chiarimento riguarda, in particolare, la funzione di responsabile della protezione dei dati (Data Protection Officer) e la funzione dell’unità organizzativa principale per la governance e la trasformazione dei servizi.
