Una delle figure chiave in azienda ai sensi del GDPR è sicuramente il soggetto autorizzato (o designato) al trattamento dei dati personali. Vediamo nel dettaglio di cosa si tratta e come regolare il rapporto tra titolare del trattamento e soggetto autorizzato.

Chi è il soggetto autorizzato?

Il soggetto autorizzato al trattamento dei dati è una figura di estrema rilevanza nell’organigramma privacy di qualsiasi organizzazione dal momento che, sotto la diretta autorità del Titolare, rappresenta chi, dietro previa autorizzazione, effettua materialmente le operazioni di trattamento sui dati personali.

La definizione legislativa di “soggetti autorizzati” è riportata nel Codice Privacy così come modificato dal D. lgs 101/2018, invece, il quale ha introdotto (art. 2 quaterdecies) tale figura, ossi una persona fisica che opera sotto l’autorità e responsabilità del titolare del trattamento, al quale possono essere delegati specifici compiti e funzioni.

Come si individua il soggetto autorizzato?

All’interno di ogni organizzazione, dunque, è necessario comprendere chi, tra i propri dipendenti o collaboratori, debba ricevere l’atto di incarico.

Ricordandoci che per “trattamento di dati personali” si intende (ai sensi dell’art. 4, comma 1, lett. a), “qualunque operazione” relativa “la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati“, chiunque raccolga, registri, salvi, consulti, modifichi o cancelli dati personali, compiendo un operazione di trattamento, deve essere pertanto autorizzato.

Verrebbe da pensare che solo chi regolarmente registra dati, o li elabora, o li monitora, per via del proprio impiego, sia destinato alla nomina a soggetto autorizzato; tuttavia, è sufficiente che un soggetto possa, nell’ambito delle proprie mansioni, consultare anche un solo dato personale perché si renda necessaria la nomina.

Modalità di nomina e definizione dell’ambito di trattamento

Per poter (far) trattare i dati in qualità di soggetti autorizzati è consigliabile il conferimento di una legittimazione espressa da parte del titolare del trattamento, al quale rimane comunque in capo l’obbligo di fornire agli autorizzati le istruzioni operative (ex art. 29 GDPR), informare su gli obblighi inerenti le misure di sicurezza, e erogare la necessaria formazione. In caso contrario, infatti, anche in presenza di formali designazioni, queste sarebbero del tutto prive di valore.

All’interno dell’atto di nomina, il titolare deve informare il soggetto autorizzato circa le attività che può compiere sui dati (per il perseguimento di determinate e specifiche finalità) e pare altresì opportuno che l’indicazione di ogni trattamento consentito fosse corredata dall’elencazione delle banche dati alle quali si autorizza l’accesso per il compimento dell’attività, specificando ove possibile la tipologia dei dati in esse contenuti (dati personali comuni, sensibili o giudiziari) in modo che l’autorizzato sia consapevole dell’attenzione e delle diverse procedure che ogni tipologia di dato comporta.

Vuoi verificare che le nomine ad autorizzato al trattamento che hai consegnato siano formalmente corrette? Scrivici per un consulto all’indirizzo privacy@studiopederzoli.it.