Il Regolamento europeo non prevede espressamente la figura dell'incaricato, ma non ne esclude la nomina, facendo riferimento a persone autorizzate al trattamento dei dati sotto l'autorità diretta del titolare o del responsabile (art. 4, n. 10 GDPR).
Il Codice Privacy novellato dal D. lgs 101/2018, invece, ha introdotto (art. 2 quaterdecies) espressamente la figura del soggetto designato, cioè quella persona fisica che opera sotto l'autorità e responsabilità del titolare del trattamento, al quale possono essere delegati specifici compiti e funzioni. Comunque sia definito, Incaricato, Designato o Autorizzato, questi è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. L'Autorizzato può operare alle dipendenze del Titolare, ma anche del Responsabile se nominato. Ovviamente gli Autorizzati possono essere organizzati con diversi livelli di delega.
Designazione e istruzioni operative
Il regolamento europeo non prevede l'obbligo di nomina o designazione espressa, ciò che davvero conta è fornire agli autorizzati le istruzioni operative (art. 29 GDPR), compreso gli obblighi inerenti le misure di sicurezza, e che sia fornita loro la necessaria formazione. In caso contrario, infatti, anche in presenza di formali designazioni, queste sarebbero del tutto prive di valore.
La designazione degli autorizzati può avvenire anche con unico atto per più persone. L'eventuale designazione non necessita di firma per accettazione, anche se è utile una firma per presa visione, quale prova della conoscenza dell'incarico e delle istruzioni fornite. L'autorizzato deve, ovviamente, attenersi strettamente alle istruzioni ricevute, e non deve avere alcuna autonomia, altrimenti assume il ruolo di responsabile.
La normativa non prevede requisiti quantitativi per essere considerati autorizzati, per cui anche la semplice presa visione di un dato personale (es. il magazziniere che consulta la bolla di consegna, il portantino che trasporta il malato e la cartella sanitaria) si qualifica come trattamento. Ugualmente, non rileva la circostanza che l'incarico sia a pagamento o gratuito, e nemmeno se il collaboratore è esterno (es. il lavoratore chiamato a riparare il computer che, ovviamente, può accedere ai dati ivi contenuti) invece che inquadrato nell'azienda.
Differenze tra Autorizzato e Responsabile
In alcuni casi può sorgere il dubbio se designare un autorizzato oppure nominare un responsabile. In genere ci si orienta verso la nomina di responsabile quando, con riferimento alla quantità di dati e alla criticità degli stessi, appare necessaria una maggiore responsabilizzazione del soggetto, anche in ragione della maggiore autonomia operativa che può essergli concessa in via di una sua particolare specializzazione. L'autorizzato, invece, è un mero esecutore di compiti.
Per fare qualche esempio, colui il quale elabora le paghe generalmente è "responsabile", mentre chi si occupa della manutenzione e dell'assistenza del sistema informatico sarà "autorizzato". Se però la manutenzione viene affidata ad un'azienda, che manda all'occorrenza diversi soggetti, è preferibile nominare l'azienda stessa quale responsabile, in modo che non occorra designare caso per caso quali "autorizzati" le persone inviate per le operazioni.