L’Incaricato del trattamento
L’incaricato del trattamento è la persona fisica autorizzata dal titolare o dal responsabile a compiere operazioni di trattamento dei dati.
Il regolamento europeo non prevede espressamente la figura dell’incaricato, ma non ne esclude la nomina, facendo riferimento a persone autorizzate al trattamento dei dati sotto l’autorità diretta del titolare o del responsabile (art. 4).
Nomina e requisiti
L’incaricato è, in sintesi, colui che effettua materialmente le operazioni di trattamento sui dati personali. Può essere solo una persona fisica, e deve agire sotto la diretta autorità del titolare del trattamento. Questo ci indica che se in teoria è possibile che un incaricato sia un soggetto esterno all’azienda, nella pratica risulterebbe difficile.
E’ fondamentale tenere presente che in assenza della nomina di incaricati, qualsiasi operazione svolta dai dipendenti o collaboratori del titolare non sarà qualificata come un utilizzo interno dei dati, bensì come una comunicazione a terzi, con le problematiche del caso (in particolare occorre un consenso specifico). l’Autorità di controllo italiana ha precisato che la mancata designazione degli incaricati è una violazione dell’oblligo di applicazione delle misure minime di sicurezza, da cui deriva una sanzione amministrativa (ai sensi dell’art. 162 comma 2 bis del Codice per la protezione dei dati personali) ed una penale (art. 169 del Codice privacy che punisce chi, essendovi tenuto, omette di adottare le misure minime di sicurezza).
La normativa non prevede requisiti quantitativi, per cui anche la semplice presa visione di un dato personale (es. il magazziniere che consulta la bolla di consegna, il portantino che trasporta il malato e la cartella sanitaria) si qualifica come trattamento, e quindi necessita di un formale incarico perché non sia considerato illecito. Ugualmente, non rileva la circostanza che l’incarico sia a pagamento o gratuito, e nemmeno se il collaboratore è esterno (es. il lavoratore chiamato a riparare il computer che, ovviamente, può accedere ai dati ivi contenuti) invece che inquadrato nell’azienda.
La nomina dell’incaricato o degli incaricati (può avvenire anche con unico atto per più incaricati) deve avvenire con forma scritta, tramite atto nel quale sono indicati i nominativi e i compiti, compreso gli obblighi inerenti le misure di sicurezza. L’incaricato deve, ovviamente, attenersi streattamente alle istruzioni ricevute. La designazione non necessita di firma degli incaricati per accettazione, anche se è utile una presa visione quale prova della conoscenza dell’incarico.
In alcuni casi può sorgere il dubbio se designare un incaricato oppure nominare un responsabile. In genere ci si può orientare verso la nomina di responsabile quando, con riferimento alla quantità di dati e alla criticità degli stessi, appare necessaria una maggiore responsabilizzazione del soggetto, anche in ragione della maggiore autonomia operativa che può essergli concessa in via di una sua particolare specializzazione. L’incaricato, invece, è un mero esecutore di compiti.
Per fare qualche esempio, colui il quale elabora le paghe generalmente va designato responsabile, mentre chi si occupa della manutenzione e dell’assistenza del sistema informatico sarà incaricato. Se però si tratta di una azienda alla quale è affidata la manutenzione dei computer, che quindi manda all’occorrenza diversi soggetti, è preferibile nominare l’azienda stessa quale responsabile esterno, in modo che non occorra nominare caso per caso incaricati le persone inviate per le operazioni.