Il decreto legislativo 101/2018, pubblicato sulla Gazzetta Ufficiale n. 205 del 4 settembre 2018, che adegua l’ordinamento italiano alla privacy europea (Regolamento 2016/679) introduce la figura del «designato per specifici compiti e funzioni» connessi al trattamento dei dati e risolve un po’ di problemi organizzativi. Proprio nell’assetto organizzativo trova posto, dunque, il designato per specifici compiti e funzioni.
Se ne occupa l’articolo 2-quaterdecies introdotto dal decreto 101/2018 nel codice della privacy (dlgs 196/2003). La norma ha colmato un vuoto aperto dal Regolamento Ue e lo ha fatto sostanzialmente recuperando i contenuti del codice della privacy. A dirci che si tratta di una conferma sostanziale del regime pregresso è la relazione illustrativa al decreto in esame.
Nella relazione si legge, infatti, che la disposizione in questione prevede il potere di titolare e responsabile, di delegare compiti e funzioni a persone fisiche che operano sotto la loro autorità e che, a tal fine, dovranno essere espressamente designati. Tale disposizione, prosegue la relazione illustrativa, permette di mantenere le funzioni e i compiti assegnati a figure interne all’organizzazione che, ai sensi del previgente codice in materia di protezione dei dati personali ma in contrasto con il regolamento, potevano essere definiti, a seconda dei casi, responsabili o incaricati.
Ricostruiamo, dunque, l’organigramma privacy di una azienda. L’azienda è il titolare del trattamento. Nell’assetto organizzativo aziendale ci possono essere «designati», che operano sotto l’autorità diretta del titolare del trattamento. C’è, poi, un altro livello e cioè quello delle persone autorizzate al trattamento che operano sotto la «diretta» autorità del titolare del trattamento.
La parte più significativa di questo impianto, la cui astrattezza deriva dal fatto che si deve applicare a tutti i settori pubblici e privati, è spiegata dalle parole della relazione. Riprendiamole: si possono, dunque, recuperare responsabili e incaricati; soprattutto è interessante la parte in cui si dice che possono essere recuperati i responsabili interni, anche se non si possono assolutamente chiamare così.
L’attenzione a non denominare nessuno «responsabile interno» nasce dal fatto che il regolamento Ue (articolo 28) scrive una disciplina dei responsabili che si attaglia solo ai responsabili esterni. Al di là di preoccupazioni, che a volte appaiono meramente nominalistiche, è importante che le imprese e le p.a. sappiano che hanno ora una base giuridica specifica per costruire un modello organizzativo articolato in figure apicali e in figure di base.
L’impresa può costituire funzioni privacy assegnando a queste funzioni un soggetto apicale; oppure l’impresa può attribuire specifici compiti siano assegnati a una persona fisica espressamente designata. La norma spiega che le persone devono espressamente designate e, quindi, ci vuole l’indicazione analitica dei compiti (così come prevedeva tra l’altro il codice della privacy). Il soggetto va designato, infatti, per specifici compiti e funzioni: l’atto di designazione non può essere generico, ma deve indicare con esattezza di quali adempimenti si deve occupare il designato.
La norma dice che le persone designate trovano posto nell’ambito dell’assetto organizzativo del titolare: la prassi si preoccuperà di chiarire se questo significhi che il designato sia solo una persona interna al titolare o se può anche essere un esterno (opzione non scartata dalla lettera della norma in esame). Il soggetto designato per specifici compiti non va chiamato «responsabile», anche per evitare confusione con il responsabile della protezione dei dati (detto anche Dpo, data protection officer). Il Dpo ha altri compiti: informa, consiglia e soprattutto sorveglia il titolare a riguardo dell’esatta applicazione delle norme sulla privacy.
L’articolo 2-quaterdecies parla anche degli autorizzati al trattamento. Il testo della norma sugli «autorizzati» ha una differente formulazione rispetto a quella sui «designati». Mentre per i «designati» si parla di «autorità» del titolare, al di sotto della quale i designati operano, per gli «autorizzati» di parla di «diretta autorità». Peraltro, poiché, la relazione informa del recupero degli «incaricati», figura chiave del codice della privacy, è ragionevole accostare gli «autorizzati» agli «incaricati».
A proposito degli autorizzati la norma dice che sta al titolare individuare le modalità più opportune per l’autorizzazione al trattamento. È consigliabile, comunque, scegliere una modalità che consenta di dimostrare l’avvenuta autorizzazione. Si consideri, inoltre, che bisogna anche lasciare traccia di avere dati istruzioni a riguardo del trattamento e delle misure di sicurezza.
Le caselle dell’organigramma privacy sono, pertanto, le seguenti: titolare del trattamento, designati per specifici compiti e funzioni, autorizzati al trattamento dei dati; collegato al titolare, senza passaggi intermedi, è il responsabile della protezione dei dati (che può essere interno o esterno); all’esterno del titolare si colloca il responsabile del trattamento.
Fonte: Italia Oggi dell’8 settembre 2018 – Articolo a cura di Antonio Ciccia Messina