L’art 2- quaterdeices del nuovo decreto legislativo 101/2018 introduce la definizione di “soggetto designato”, evidenziandone ruoli e funzioni, modificando così le interpretazioni di “soggetto incaricato” previste dal precedente codice privacy 196:2003, in quanto figura abrogata.
La figura del “soggetto designato” introdotta appunto dal decreto legislativo 101/2018 nell’art. 2 quaterdeices, definisce:
“Attribuzione di funzioni e compiti a soggetti designati” e nel quale i commi 1 e 2 definiscono:
- Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
- Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità.
Quali sono le funzioni ed i compiti del Soggetto Designato.
La disposizione di legge prevede che il Titolare o il Responsabile del trattamento possano delegare compiti e funzioni a persone fisiche che operano sotto la loro autorità e che, a tal fine, dovranno essere espressamente designati. Tale disposizione permette di mantenere le funzioni e i compiti assegnati a figure interne all’organizzazione che, ai sensi del previgente codice in materia di protezione dei dati ma in contrasto con il regolamento, potevano essere definiti, a seconda dei casi, Responsabili o Incaricati.
Le scelte delle aziende
L’impresa privata o l’ente pubblico può quindi redigere delle specifiche deleghe singole o per tipologie di soggetti autorizzati/designati, delimitando l’ambito del trattamento al quale si è autorizzati, consentendo, in ottica di “accountability”, di dare seguito agli adempimenti organizzativi interni alla struttura dei titolari del trattamento che possono conferire autorizzazioni/istruzioni privacy alle figure organizzative di vario livello ed essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR.
Questo non vuol dire reintroduzione della vecchia figura dell’incaricato al trattamento (ex art. 30 D.Lgs. 196:2003) o responsabile interno, bensì una novità ed aderenza totale ai requisiti del GDPR, tenendo inoltre conto che l’allocazione dei ruoli, all’interno delle organizzazioni, rappresenta uno degli aspetti più delicati nella complessiva applicazione della disciplina sulla tutela dei dati personali.
Il vecchio Responsabile del trattamento dei dati interno – visione superata.
Nella precedente dottrina del 196:2003 la figura del Responsabile del trattamento dei dati si era fatta una scelta, oggi del tutto superata, che prevedeva la figura del Responsabile del trattamento dei dati cosiddetto “interno” giustificandone le ragioni per quelle particolari situazioni nelle quali le società e gli organismi individuano una specifica persona fisica per garantire il rispetto dei principi di protezione dei dati o per trattare dati personali e tale persona agisce per conto della persona giuridica, società privata od organismo pubblico).
Si trattava quindi, e soprattutto per le organizzazioni complesse, di una questione fondamentale di “governance della protezione dei dati”, che garantiva al tempo stesso una chiara responsabilità della persona fisica che rappresenta la società e concrete responsabilità funzionali all’interno della struttura.
il GDPR – Regolamento 679:2016 ha poi chiarito ulteriormente la figura ed il ruolo del Responsabile del trattamento partendo dalla previsione della direttiva n. 46/95/CE, imponendo così obblighi di conformità direttamente rivolti ai responsabili del trattamento dei dati che comportano gravi sanzioni a loro carico, qualora non risultino conformi alle norme.
Si pensi tra gli altri ad esempio all’obbligo di riservatezza dei dipendenti e collaboratori (art 28.3.b), all’obbligo di assistenza, di cancellazione o di restituzione dei dati (art 28.3.h) e a ciò si aggiunga l’esposizione al rischio per la responsabilità solidale del danno causato da una violazione del regolamento (Art. 82.1).
Altra considerazione deve invece essere fatta per la figura dell’Incaricato del trattamento ex art 30 del vecchio codice (D.lgs. 196/2003) che è una figura non presente in nessuna delle altre legislazioni degli Stati membri dell’Unione e che non era prevista nemmeno dalla direttiva 95/46/CE del 1995 né dal GDPR.
Infatti la scelta di introdurre nella legge italiana la figura autonoma dell’Incaricato del trattamento dei dati (ex art. 30 Codice) è stata il risultato di una scelta del nostro legislatore e dello stesso Garante, evidenziando che “pur non prevedendo espressamente la figura dell'Incaricato del trattamento il GDPR non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l´autorità diretta del titolare o del responsabile”, si vedano in particolare gli art. 4 e 10 del regolamento 679:2016.
Il nostro Garante ha infatti sempre confermato che “Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di Titolari e Responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che Titolari e Responsabili del trattamento possano mantenere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante”
Infatti, il GDPR prevede nell’art 29 “Trattamento sotto l’Autorità del titolare o del Responsabile” che, “chiunque agisca sotto l’autorità del titolare o del responsabile e che abbia accesso a dati personali non possa trattarli se non è istruito da questi ultimi, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Utilizzando dunque l’espressione “persone autorizzate al trattamento dei dati personali sotto l’Autorità diretta del titolare o del responsabile” ci si riferisce sostanzialmente a dipendenti, collaboratori o delegati, e, pertanto, non vi è dubbio che essi appaiano le figure sostanzialmente analoghe o comunque molto aderenti di “Incaricato del trattamento” ai sensi del vecchio Codice Privacy anche se il regolamento in realtà non conferisce ad esse un inquadramento formale prendendo il nome di SOGGETTO DESIGNATO.
L’art 2- quaterdeices del nuovo decreto legislativo 101/2018 introduce la definizione di “soggetto designato”, evidenziandone ruoli e funzioni, modificando così le interpretazioni di “soggetto incaricato” previste dal precedente codice privacy 196:2003, in quanto figura abrogata.
La figura del “soggetto designato” introdotta appunto dal decreto legislativo 101/2018 nell’art. 2 quaterdeices, definisce:
“Attribuzione di funzioni e compiti a soggetti designati” e nel quale i commi 1 e 2 definiscono:
- Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
- Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità.
Quali sono le funzioni ed i compiti del Soggetto Designato.
La disposizione di legge prevede che il Titolare o il Responsabile del trattamento possano delegare compiti e funzioni a persone fisiche che operano sotto la loro autorità e che, a tal fine, dovranno essere espressamente designati. Tale disposizione permette di mantenere le funzioni e i compiti assegnati a figure interne all’organizzazione che, ai sensi del previgente codice in materia di protezione dei dati ma in contrasto con il regolamento, potevano essere definiti, a seconda dei casi, Responsabili o Incaricati.
Le scelte delle aziende
L’impresa privata o l’ente pubblico può quindi redigere delle specifiche deleghe singole o per tipologie di soggetti autorizzati/designati, delimitando l’ambito del trattamento al quale si è autorizzati, consentendo, in ottica di “accountability”, di dare seguito agli adempimenti organizzativi interni alla struttura dei titolari del trattamento che possono conferire autorizzazioni/istruzioni privacy alle figure organizzative di vario livello ed essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR.
Questo non vuol dire reintroduzione della vecchia figura dell’incaricato al trattamento (ex art. 30 D.Lgs. 196:2003) o responsabile interno, bensì una novità ed aderenza totale ai requisiti del GDPR, tenendo inoltre conto che l’allocazione dei ruoli, all’interno delle organizzazioni, rappresenta uno degli aspetti più delicati nella complessiva applicazione della disciplina sulla tutela dei dati personali.
Il vecchio Responsabile del trattamento dei dati interno – visione superata.
Nella precedente dottrina del 196:2003 la figura del Responsabile del trattamento dei dati si era fatta una scelta, oggi del tutto superata, che prevedeva la figura del Responsabile del trattamento dei dati cosiddetto “interno” giustificandone le ragioni per quelle particolari situazioni nelle quali le società e gli organismi individuano una specifica persona fisica per garantire il rispetto dei principi di protezione dei dati o per trattare dati personali e tale persona agisce per conto della persona giuridica, società privata od organismo pubblico).
Si trattava quindi, e soprattutto per le organizzazioni complesse, di una questione fondamentale di “governance della protezione dei dati”, che garantiva al tempo stesso una chiara responsabilità della persona fisica che rappresenta la società e concrete responsabilità funzionali all’interno della struttura.
il GDPR – Regolamento 679:2016 ha poi chiarito ulteriormente la figura ed il ruolo del Responsabile del trattamento partendo dalla previsione della direttiva n. 46/95/CE, imponendo così obblighi di conformità direttamente rivolti ai responsabili del trattamento dei dati che comportano gravi sanzioni a loro carico, qualora non risultino conformi alle norme.
Si pensi tra gli altri ad esempio all’obbligo di riservatezza dei dipendenti e collaboratori (art 28.3.b), all’obbligo di assistenza, di cancellazione o di restituzione dei dati (art 28.3.h) e a ciò si aggiunga l’esposizione al rischio per la responsabilità solidale del danno causato da una violazione del regolamento (Art. 82.1).
Altra considerazione deve invece essere fatta per la figura dell’Incaricato del trattamento ex art 30 del vecchio codice (D.lgs. 196/2003) che è una figura non presente in nessuna delle altre legislazioni degli Stati membri dell’Unione e che non era prevista nemmeno dalla direttiva 95/46/CE del 1995 né dal GDPR.
Infatti la scelta di introdurre nella legge italiana la figura autonoma dell’Incaricato del trattamento dei dati (ex art. 30 Codice) è stata il risultato di una scelta del nostro legislatore e dello stesso Garante, evidenziando che “pur non prevedendo espressamente la figura dell'Incaricato del trattamento il GDPR non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l´autorità diretta del titolare o del responsabile”, si vedano in particolare gli art. 4 e 10 del regolamento 679:2016.
Il nostro Garante ha infatti sempre confermato che “Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di Titolari e Responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che Titolari e Responsabili del trattamento possano mantenere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante”
Infatti, il GDPR prevede nell’art 29 “Trattamento sotto l’Autorità del titolare o del Responsabile” che, “chiunque agisca sotto l’autorità del titolare o del responsabile e che abbia accesso a dati personali non possa trattarli se non è istruito da questi ultimi, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Utilizzando dunque l’espressione “persone autorizzate al trattamento dei dati personali sotto l’Autorità diretta del titolare o del responsabile” ci si riferisce sostanzialmente a dipendenti, collaboratori o delegati, e, pertanto, non vi è dubbio che essi appaiano le figure sostanzialmente analoghe o comunque molto aderenti di “Incaricato del trattamento” ai sensi del vecchio Codice Privacy anche se il regolamento in realtà non conferisce ad esse un inquadramento formale prendendo il nome di SOGGETTO DESIGNATO.
e trova la versione più adatta alle tue esigenze
