Trattamento sotto l’autorità del titolare o del responsabile (persone autorizzate al trattamento)
Chi sono le persone autorizzate al trattamento e quali obblighi si devono rispettare
Si tratta delle persone che agiscono sotto l’autorità del titolare o del responsabile e sono autorizzate a trattare i dati personali per quanto di loro competenza rispetto alle mansioni svolte. Devono essere vincolate al principio della confidenzialità o essere tenute a obbligo legale di riservatezza professionale.
Il GDPR non dispone rispetto a come designare le persone autorizzate al trattamento.
Il Codice Privacy, come modificato dal d. lgs 101/2018, dà ampia autonomia decisionale su come nominare le persone autorizzate al trattamento, proprio nell’ottica del principio di «accountability» del GDPR. Il titolare e il responsabile possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. È lo stesso titolare o responsabile a decidere le modalità più appropriate per autorizzare le persone che operano sotto la propria diretta autorità. Buona prassi, anche a livello di dimostrazione dell’attenzione posta ai requisiti del GDPR, nel predetto principio di «accountability», è utile la designazione scritta delle persone autorizzate al trattamento, con norme che richiamano alla confidenzialità e all’obbligo di applicare procedure interne stabilite per il rispetto dei requisiti del GDPR (es.: policy o disciplinare interno).
Può essere soltanto una persona fisica e chiunque, per qualsiasi finalità e prescindendo dal tipo di dati, esegua trattamenti, deve assumere il ruolo di persona autorizzata al trattamento.
Per approfondire, consulta le FAQ oppure contattatami.