di Monia Vasta - Il legislatore con il D.Lgs n. 101/2018, ha introdotto la figura facoltativa del "soggetto designato", abrogando espressamente le disposizioni del Codice Privacy (d.lgs. 196/2003 - «Codice») incompatibili con le disposizioni contenute nel GDPR, e con riferimento ai ruoli, gli artt. 4, 28, 29 e 30.
- Chi è il soggetto designato
- Come si nomina il soggetto designato
- I compiti del soggetto designato
- Soggetto designato e responsabile del trattamento dei dati
Chi è il soggetto designato
[Torna su]
Ai sensi dell'art 2-quaterdecies - "Attribuzione di funzioni e compiti a soggetti designati" (Capo IV) - il legislatore ha statuito che:
- il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
- Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità.
Tale disposizione "prevede il potere di Titolare e Responsabile, di delegare compiti e funzioni a persone fisiche che operano sotto la loro autorità e che, a tal fine, dovranno essere espressamente designati. Tale disposizione permette di mantenere le funzioni e i compiti assegnati a figure interne all'organizzazione che, ai sensi del previgente codice in materia di protezione dei dati ma in contrasto con il regolamento, potevano essere definiti, a seconda dei casi, Responsabili o Incaricati".
Come si nomina il soggetto designato
[Torna su]
L'ente pubblico o l'azienda possono redigere delle deleghe/nomine (con compiti o funzioni specifiche) singole o per tipologie di autorizzati/designati, delimitando l'ambito del trattamento al quale si è autorizzati, consentendo, di dare seguito agli adempimenti organizzativi interni alla struttura dei titolari del trattamento, i quali possono conferire autorizzazioni/istruzioni privacy alle figure organizzative di vario livello ed essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR.
I compiti del soggetto designato
[Torna su]
Nel momento in cui il designato viene identificato sulla base di uno specifico atto di attribuzione ed essere analitico, ad esso possono essere affidati tutta una serie di adempimenti tra cui:
· individuare gli incaricati del trattamento;
· fornire istruzioni operative;
· attuare gli obblighi di formazione ed acquisizione del consenso nei confronti degli interessati;
· predisporre la notificazione del data breach;
· garantire l'esercizio dei diritti dell'interessato, collaborare con il Garante per l'attuazione delle prescrizioni ed aggiornare il sistema di sicurezza idoneo. Ad esempio è possibile avere un designato solo per il "riscontro all'interessato" che provveda a riscontrare i reclami del Cliente;
· non può nominare altri designati ma può avvalersi di collaboratori d'ufficio.
Soggetto designato e responsabile del trattamento dei dati
[Torna su]
Tali elementi però, non devono e non possono, portare l'interprete a ritenere, rischiando di entrare in contrasto con il GDPR, reintrodotta la vecchia figura del Responsabile del trattamento cosiddetto "interno" così come prevista dal vecchio art. 29 del Codice Privacy, figura tra le altre circostanze "facoltativa", dovendosi ermeneuticamente ritenere, a parere di chi scrive, che la novella dell'art 2. quaterdecies rappresenti una disciplina di carattere ricognitivo tout court.
1) Responsabile del trattamento dei dati
Per quanto riguarda la figura del Responsabile del trattamento dei dati il legislatore italiano nel vecchio codice aveva operato una scelta, oggi del tutto superata, che prevedeva la figura del Responsabile del trattamento dei dati cosiddetto "interno" giustificandone la ratio per quelle particolari situazioni, che il WP 169 nell'opinion 1 del 2010 richiama, nelle quali le società e gli organismi individuano una specifica persona fisica per garantire il rispetto dei principi di protezione dei dati o per trattare dati personali e tale persona agisce per conto della persona giuridica (società od organismo pubblico) .
Si trattava quindi, evidenzia il WP, specialmente per le strutture grosse e complesse, di una questione fondamentale di "governance della protezione dei dati", che garantiva al tempo stesso una chiara responsabilità della persona fisica che rappresenta la società e concrete responsabilità funzionali all'interno della struttura.
Sempre con riguardo alla nozione di Responsabile del trattamento il GDPR, partendo dalla previsione della direttiva n. 46/95/CE, ha chiarito ulteriormente il ruolo, posto anche il ricorso allo strumento negoziale e ai suoi elementi obbligatori di cui all'art 28 del GDPR ("Responsabile del trattamento"), imponendo obblighi di conformità direttamente rivolti ai responsabili del trattamento dei dati che comportano gravi sanzioni a loro carico, qualora non risultino conformi alle norme. Si pensi tra gli altri ad esempio all'obbligo di riservatezza dei dipendenti e collaboratori (art 28.3.b), all'obbligo di assistenza, di cancellazione o di restituzione dei dati (art 28.3.h) e a ciò si aggiunga l'esposizione al rischio per la responsabilità solidale del danno causato da una violazione del regolamento (Art. 82.1).
Tutti obblighi che possono essere ricondotti ed applicabili esclusivamente ad un Responsabile del trattamento cosiddetto "esterno".
2) Incaricato del Trattamento
Diversa considerazione deve invece essere fatta per la figura dell'Incaricato del trattamento ex art. 30 del vecchio codice (D.Lgs. 196/2003) che è una figura non presente in nessuna delle altre legislazioni degli Stati membri dell'Unione e che non era prevista nemmeno dalla direttiva 95/46/CE del 1995 né dal GDPR.
La figura dell'incaricato nel Regolamento UE non è più espressamente prevista, o meglio è stata modificata la dicitura in autorizzato al trattamento del dato (ex art.2 - quaterdecies).
L'introduzione nella legge italiana della figura autonoma dell'Incaricato del trattamento invece, è stata il risultato di una scelta del nostro legislatore e lo stesso Garante nelle proprie faq illustrative del GDPR evidenzia che "Pur non prevedendo espressamente la figura dell'Incaricato' del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile" (si veda, in particolare, art. 4, n. 10, del regolamento).".
Continua il Garante confermando che "Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di "responsabilizzazione" di Titolari e Responsabili del trattamento che prevede l'adozione di misure atte a garantire proattivamente l'osservanza del regolamento nella sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che Titolari e Responsabili del trattamento possano mantenere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante"
Il Regolamento prevede per il titolare del trattamento l'obbligo di formare gli addetti autorizzati al trattamento dei dati.
Tale obbligo si compone di due aspetti: 1) l'ordine di servizio (istruzioni in materia di sicurezza art. 32); 2) fornire le necessarie informazioni per poter eseguire gli ordini nel rispetto del trattamento dei dati (obbligo di formazione del personale art. 39).