Designati, incaricati e soggetti autorizzati. Cosa cambia e come impiegarli nell’adeguamento alla nuova privacy.

  • -

Designati, incaricati e soggetti autorizzati. Cosa cambia e come impiegarli nell’adeguamento alla nuova privacy.

Dal 25 maggio è entrato in vigore per tutti gli Stati membri il nuovo Regolamento Europeo 679/2016, relativo alla protezione delle persone fisiche, con riguardo al trattamento e alla libera circolazione dei dati personali (GDPR-General Data Protection Regulation). Ciò ha portato alla necessità di un decreto legislativo che armonizzasse e abrogasse ove necessario la normativa nazionale vigente (D.L. 196/2003).

Il decreto legislativo 101/2018 sostituisce il precedente decreto legislativo 196/2003 e integra e completa il GDPR secondo le normative già in vigore nel nostro Paese.

Vogliamo dissipare oggi, alcuni dubbi in capo alle figure che tratteranno i dati.

Fatti salvi il titolare ed il responsabile del trattamento dei dati sensibili, soggetti ben chiari e definiti nel panorama del regolamento, le altre figure, ad una prima lettura della normativa, vagano in un limbo poco definito di funzioni e responsabilità, ma in realtà non è così.

Il D.L. 196/2003 all’art. 4 definiva “incaricati” le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. Il Regolamento 679/2016 non prevede una tale definizione, ma ricorda che nessuno può accedere ai dati se non espressamente autorizzato dal titolare o dal responsabile del trattamento.

In linea con il principio di accountability, quindi, lascia al titolare o al responsabile l’onere di definire al meglio le figure dei soggetti autorizzati, di nominarli con atto chiaro e contenente le istruzioni sugli obblighi e le responsabilità in capo al soggetto autorizzato. Il GDPR prevede inoltre che tutti i soggetti autorizzati siano formati sulle norme relative la privacy e le eventuali altre regole aziendali relative al trattamento dei dati. Non è previsto che tale nomina sia documentata, ma ai fini di un eventuale ispezione, è auspicabile che venga fatta con atto scritto e che sia verificabile anche la comunicazione al soggetto.

Anche la figura del “Responsabile interno del trattamento” inteso come “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali” non viene definita nel Regolamento Europeo, ma, in Italia, in quanto definita genericamente nel D.L. 196/2003, molte istituzioni pubbliche e aziende con assetti organizzativi più strutturati, hanno individuato negli anni precedenti questi soggetti identificandone in taluni casi più di uno, definendone specifici ruoli di responsabilità in altrettante aree aziendali. In questo caso con il D.L. 101/2018, per evitare di stravolgere l’assetto organizzativo delle aziende che in base alla precedente normativa avevano nominato i responsabili interni e per evitare che, a causa dell’eliminazione dell’incarico, gli oneri in termini di incarichi e gli onori in termini di retribuzione tornassero in capo ai titolari o responsabili del trattamento,  è stato stabilito che il titolare o il responsabile sotto la proprio responsabilità e nell’ambito del proprio assetto organizzativo possano prevedere che specifici compiti e funzioni connesse al trattamento dei dati personali siano attribuite a persone fisiche, espressamente designate, che operano sotto la loro autorità.

Quindi grazie all’articolo 2 quaterdecies del D.L. 101/2018 il titolare/responsabile del trattamento potrà mantenere il proprio assetto organizzativo aggiornando le nomine in relazione alle nuove norme. Potrà inoltre utilizzare i termini identificativi quali “incaricato del trattamento” o “responsabile interno del trattamento” o, a suo piacimento, crearne di nuovi prestando attenzione solamente che nell’atto della nomina siano ben chiari gli obblighi e le responsabilità in capo al nominato.