Questa settimana proponiamo un focus sui soggetti designati alla luce del nuovo quadro normativo introdotto dal D.lgs 101/2018.
Il Titolo IV della precedente versione del Codice della Privacy, rubricato “soggetti che effettuano il trattamento”, individuava le figure del titolare, del responsabile e dell’incaricato al trattamento. Quest’ultimo era definito dall’art. 30 come il soggetto che opera sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
L’art. 29 del GDPR richiede che chiunque agisca sotto l’autorità del Titolare, e che abbia accesso a dati personali, debba essere destinatario di istruzioni relative al trattamento dei dati stessi.
Con l’entrata in vigore del D.lgs. 101/2018, l’intero Titolo IV del Codice è stato abrogato.
Il Legislatore ha introdotto l’art. 2-quaterdecies relativo all’Attribuzione di funzioni e compiti a soggetti designati.
Sebbene il Regolamento Europeo faccia riferimento a “soggetti autorizzati”, la nuova formulazione del Codice della Privacy utilizza la locuzione “soggetti designati”.
Si tratta di una mera distinzione terminologica in quanto non sono rinvenibili differenze sostanziali tra le due figure. L’art. 2-quaterdecies del Codice recita: “Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”. A questo scopo, il comma 2 dello stesso articolo prevede che il titolare o il responsabile del trattamento individuino le modalità più opportune per autorizzare al trattamento le persone che operano sotto la propria autorità diretta.
Il soggetto designato al trattamento dei dati personali è una persona fisica e non giuridica. Solitamente è “interno” alla struttura organizzativa aziendale, dipendente o collaboratore del titolare del trattamento.
Già in precedenza, con riferimento alla figura dell’incaricato l’Autorità Garante nazionale aveva rimarcato la sua compatibilità con le previsioni del GDPR, attraverso la seguente nota: “Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di Titolari e Responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che Titolari e Responsabili del trattamento possano mantenere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante”.
Un ultimo cenno merita di essere fatto in ordine alle differenze tra il responsabile e il soggetto designato. Rispetto al primo, il soggetto designato gode di una minore autonomia operativa e, conseguentemente, di un minore grado di responsabilizzazione, essendo un mero esecutore di compiti.