Soggetti

Shape 5 Live Search

logo

Il regolamento europeo non prevede espressamente la figura dell'incaricato, ma non ne esclude la nomina, facendo riferimento a persone autorizzate al trattamento dei dati sotto l'autorità diretta del titolare o del responsabile (art. 4, n. 10 GDPR). 

Incaricato, o autorizzato, è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. Questo indica che se in teoria è possibile che un incaricato sia un soggetto esterno all'azienda, nella pratica risulterebbe difficile. L'autorizzato può operare alle dipendenze del titolare, ma anche del responsabile se nominato. Ovviamente gli autorizzati possono essere organizzati con diversi livelli di delega. 

 

Designazione e istruzioni operative

Il regolamento europeo non prevede l'obbligo di nomina o designazione espressa, ma è fondamentale fornire agli autorizzati le istruzioni operative (art. 29 GDPR), compreso gli obblighi inerenti le misure di sicurezza, e che sia fornita loro la necessaria formazione. In caso contrario, infatti, anche in presenza di formali designazioni, queste sarebbero del tutto prive di valore. 

La designazione degli autorizzati può avvenire anche con unico atto per più persone. L'eventuale designazione non necessita di firma per accettazione, anche se è utile una firma per presa visione, quale prova della conoscenza dell'incarico e delle istruzioni fornite. 

L'autorizzato deve, ovviamente, attenersi strettamente alle istruzioni ricevute. 

La normativa non prevede requisiti quantitativi per essere considerati autorizzati, per cui anche la semplice presa visione di un dato personale (es. il magazziniere che consulta la bolla di consegna, il portantino che trasporta il malato e la cartella sanitaria) si qualifica come trattamento. Ugualmente, non rileva la circostanza che l'incarico sia a pagamento o gratuito, e nemmeno se il collaboratore è esterno (es. il lavoratore chiamato a riparare il computer che, ovviamente, può accedere ai dati ivi contenuti) invece che inquadrato nell'azienda. 

In alcuni casi può sorgere il dubbio se designare un incaricato oppure nominare un responsabile. In genere ci si può orientare verso la nomina di responsabile quando, con riferimento alla quantità di dati e alla criticità degli stessi, appare necessaria una maggiore responsabilizzazione del soggetto, anche in ragione della maggiore autonomia operativa che può essergli concessa in via di una sua particolare specializzazione. L'incaricato, invece, è un mero esecutore di compiti. 
Per fare qualche esempio, colui il quale elabora le paghe generalmente va designato responsabile, mentre chi si occupa della manutenzione e dell'assistenza del sistema informatico sarà incaricato. Se però la manutenzione viene affidata ad un'azienda, che manda all'occorrenza diversi soggetti, è preferibile nominare l'azienda stessa quale responsabile esterno, in modo che non occorra nominare caso per caso incaricati le persone inviate per le operazioni.