1. Qualora il trattamento debba essere effettuato per conto del responsabile del trattamento, questi sceglie un incaricato del trattamento che presenti garanzie sufficienti per mettere in atto misure e procedure tecniche e organizzative adeguate in modo tale che il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti dell’interessato, con particolare riguardo alle misure di sicurezza tecnica e organizzative in relazione ai trattamenti da effettuare, e si assicura del rispetto di tali misure.
2. L’esecuzione dei trattamenti su commissione è disciplinata da un contratto o altro atto giuridico che vincoli l’incaricato del trattamento al responsabile del trattamento e che preveda segnatamente che l’incaricato del trattamento:
3. Il responsabile del trattamento e l’incaricato del trattamento documentano per iscritto le istruzioni del responsabile del trattamento e gli obblighi dell’incaricato del trattamento di cui al paragrafo 2.
4. L’incaricato del trattamento che tratta i dati personali diversamente da quanto indicato nelle istruzioni del responsabile del trattamento è considerato responsabile del trattamento per tale trattamento ed è soggetto alle norme sui corresponsabili del trattamento di cui all’articolo 24.
5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le responsabilità, gli obblighi e i compiti dell’incaricato del trattamento conformemente al paragrafo 1, e le condizioni che consentono di facilitare il trattamento dei dati personali all’interno di un gruppo di imprese, in particolare ai fini del controllo e della rendicontazione.