pubblica o un organismo pubblico. Il rappresentante dovrebbe agire per conto del titolare del trattamento o del
responsabile del trattamento e può essere interpellato da qualsiasi autorità di controllo. Il rappresentante
dovrebbe essere esplicitamente designato mediante mandato scritto del titolare del trattamento o del responsabile
del trattamento ad agire per conto di questi ultimi con riguardo agli obblighi che a questi derivano dal presente
regolamento. La designazione di tale rappresentante non incide sulla responsabilità generale del titolare del
trattamento o del responsabile del trattamento ai sensi del presente regolamento. Tale rappresentante dovrebbe
svolgere i suoi compiti nel rispetto del mandato conferitogli dal titolare del trattamento o dal responsabile del
trattamento, anche per quanto riguarda la cooperazione con le autorità di controllo competenti per qualsiasi
misura adottata al fine di garantire il rispetto del presente regolamento. Il rappresentante designato dovrebbe
essere oggetto di misure attuative in caso di inadempienza da parte del titolare del trattamento o del responsabile
del trattamento.
(81) Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il
responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di
trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a
responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specia
listica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del
presente regolamento, anche per la sicurezza del trattamento. L'applicazione da parte del responsabile del
trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere
utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento.
L'esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un
contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri che vincoli il responsabile
del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento,
la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei
compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del
rischio in relazione ai diritti e alle libertà dell'interessato. Il titolare del trattamento e il responsabile del
trattamento possono scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate
direttamente dalla Commissione oppure da un'autorità di controllo in conformità del meccanismo di coerenza e
successivamente dalla Commissione. Dopo il completamento del trattamento per conto del titolare del
trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i
dati personali salvo che il diritto dell'Unione o degli Stati membri cui è soggetto il responsabile del trattamento
prescriva la conservazione dei dati personali.
(82) Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del
trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe
necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l'autorità di
controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti
trattamenti.
(83) Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del
trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure
per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza,
inclusa la riservatezza, tenuto conto dello stato dell'arte e dei costi di attuazione rispetto ai rischi che presentano i
trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è
opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione
accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati a dati personali trasmessi,
conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o
immateriale.
(84) Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per
i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento
di una valutazione d'impatto sulla protezione dei dati per determinare, in particolare, l'origine, la natura, la
particolarità e la gravità di tale rischio. L'esito della valutazione dovrebbe essere preso in considerazione nella
determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il
presente regolamento. Laddove la valutazione d'impatto sulla protezione dei dati indichi che i trattamenti
presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in
termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l'autorità di
controllo.
(85) Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici,
materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o
limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non
autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali
protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica
4.5.2016
L 119/16
Gazzetta ufficiale dell'Unione europea
IT