La figura del “soggetto designato” per compiti e funzioni relative al trattamento dati personali è stata introdotto dal decreto legislativo 101/2018 Gdpr.
Qui il legislatore nell’ambito della propria delega ha abrogato espressamente le disposizioni del Codice Privacy (d.lgs. 196/2003 – «Codice») incompatibili con le disposizioni contenute nel GDPR, e dunque, con riferimento ai ruoli, gli art 4 , 28,29 e 30 ed ha introdotto un’ulteriore definizione: il cosiddetto “soggetto designato” di cui all’art 2-quaterdecies il cui titolo recita “Attribuzione di funzioni e compiti a soggetti designati” e nel quale si riporta testualmente:
- Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
- Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità.
Funzioni e compiti del soggetto designato
Tale disposizione, si legge nella relazione illustrativa al decreto, “prevede il potere di Titolare e Responsabile, di delegare compiti e funzioni a persone fisiche che operano sotto la loro autorità e che, a tal fine, dovranno essere espressamente designati. Tale disposizione permette di mantenere le funzioni e i compiti assegnati a figure interne all’organizzazione che, ai sensi del previgente codice in materia di protezione dei dati ma in contrasto con il regolamento, potevano essere definiti, a seconda dei casi, Responsabili o Incaricati.”
Le scelte delle aziende
L’impresa o l’ente pubblico può quindi redigere delle specifiche deleghe singole o per tipologie di autorizzati/designati, delimitando l’ambito del trattamento al quale si è autorizzati, consentendo, in ottica di “accountability”, di dare seguito agli adempimenti organizzativi interni alla struttura dei titolari del trattamento che possono conferire autorizzazioni/istruzioni privacy alle figure organizzative di vario livello ed essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR.
Tali assunti non devono e non possono, quindi, portare l’interprete a ritenere, rischiando di entrare in contrasto con il GDPR, reintrodotta la vecchia figura del Responsabile del trattamento cosiddetto “interno” così come prevista dal vecchio art 29 del Codice Privacy, figura tra le altre circostanze “facoltativa”, dovendosi ermeneuticamente ritenere, a parere di chi scrive, che la novella dell’art 2 . quaterdecies rappresenti una disciplina di carattere ricognitivo tout court.
Bisogna tenere conto che l’allocazione dei ruoli, nell’ambito delle organizzazioni, rappresenta uno degli aspetti più delicati nella complessiva applicazione della disciplina sulla tutela dei dati personali.
La riflessione giuridica, in questi anni, ha raggiunto prima dell’avvento del GDPR, un certo grado di uniforme classificazione dei ruoli di Titolare, Responsabile ed Incaricato e questo grazie anche ad una serie di provvedimenti della nostra Autorità Garante e ai contributi del WP 29 (opinion 1/2010 o opinion 5/2012).
Il Responsabile del trattamento dei dati interno
Per quanto riguarda in particolare la figura del Responsabile del trattamento dei dati il legislatore italiano nel vecchio codice aveva operato una scelta, oggi del tutto superata, che prevedeva la figura del Responsabile del trattamento dei dati cosiddetto “interno” giustificandone la ratio per quelle particolari situazioni, che il WP 29 nell’opinion 1 del 2010 richiama, nelle quali le società e gli organismi individuano una specifica persona fisica per garantire il rispetto dei principi di protezione dei dati o per trattare dati personali e tale persona agisce per conto della persona giuridica (società od organismo pubblico) .
Si trattava quindi, evidenzia il WP, specialmente per le strutture grosse e complesse, di una questione fondamentale di “governance della protezione dei dati”, che garantiva al tempo stesso una chiara responsabilità della persona fisica che rappresenta la società e concrete responsabilità funzionali all’interno della struttura.
Sempre con riguardo alla nozione di Responsabile del trattamento il GDPR, partendo dalla previsione della direttiva n. 46/95/CE, ha chiarito ulteriormente il ruolo, posto anche il ricorso allo strumento negoziale e ai suoi elementi obbligatori di cui all’art 28 del GDPR (“Responsabile del trattamento”), imponendo obblighi di conformità direttamente rivolti ai responsabili del trattamento dei dati che comportano gravi sanzioni a loro carico, qualora non risultino conformi alle norme. Si pensi tra gli altri ad esempio all’obbligo di riservatezza dei dipendenti e collaboratori (art 28.3.b), all’obbligo di assistenza, di cancellazione o di restituzione dei dati (art 28.3.h) e a ciò si aggiunga l’esposizione al rischio per la responsabilità solidale del danno causato da una violazione del regolamento (Art. 82.1).
Tutti obblighi che possono essere ricondotti ed applicabili esclusivamente ad un Responsabile del trattamento cosiddetto“esterno”.
L’Incaricato del trattamento
Diversa considerazione deve invece essere fatta per la figura dell’Incaricato del trattamento ex art 30 del vecchio codice (D.Lgs. 196/2003) che è una figura non presente in nessuna delle altre legislazioni degli Stati membri dell’Unione e che non era prevista nemmeno dalla direttiva 95/46/CE del 1995 né dal GDPR.
L’introduzione nella legge italiana della figura autonoma dell’Incaricato del trattamento invece, è stata il risultato di una scelta del nostro legislatore e lo stesso Garante nelle proprie faq illustrative del GDPR evidenzia che “Pur non prevedendo espressamente la figura dell´Incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l´autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento).”.
Continua il Garante confermando che “Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di Titolari e Responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che Titolari e Responsabili del trattamento possano mantenere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante”
Il GDPR, prevede dunque ai sensi dell’art 29 “Trattamento sotto l’Autorità del titolare o del Responsabile” che, chiunque agisca sotto l’autorità del titolare o del responsabile e che abbia accesso a dati personali non possa trattarli se non è istruito da questi ultimi, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Con riguardo a detti soggetti, dunque, con l’espressione “persone autorizzate al trattamento dei dati personali sotto l’Autorità diretta del titolare o del responsabile” ci si riferisce sostanzialmente a dipendenti o collaboratori e, pertanto, non vi è dubbio che essi appaiano le figure sostanzialmente analoghe o comunque molto aderenti di “Incaricato del trattamento” ai sensi del vecchio Codice Privacy anche se il regolamento in realtà non conferisce ad esse un inquadramento formale.
