DOMANDA
Gli incaricati al trattamento dati, ad esempio personale HR, IT, Sicurezza e via dicendo, devono ricevere una nomina formale dal titolare al trattamento dati per poter processare i dati personali dei dipendenti o può essere considerato implicito nelle mansioni che svolgono?
RISPOSTA
L’approccio sostanziale e non formalistico del GDPR, richiede che chiunque operi sotto l’autorità del titolare o del responsabile del trattamento sia debitamente istruito nelle operazioni di trattamento a lui attribuite. Tali istruzioni non sono implicitamente rimandabili da parte del titolare o dal responsabile del trattamento a mansionari, organigrammi o contratti, al contrario devono essere chiaramente impartite.
L’istruzione attraverso un apposito atto formale avviene spesso e per prassi consolidata da vecchio Codice Privacy. Non è un approccio errato e fornisce le istruzioni per il trattamento dei dati in qualità di autorizzato, delimitandone il campo di operatività, ivi incluse le banche dati a cui egli ha accesso. Tale modalità può essere utilizzata per implementare una logica di controllo del sistema di gestione dei dati personali, ovvero per avere contezza di “chi-fa-cosa” in termini di trattamento.
È da sottolineare però che, nonostante la prassi della nomina ad autorizzato al trattamento, il GDPR e il Codice Privacy novellato non specificano le modalità con la quale impartire le suddette istruzioni. Esse sono lasciate al titolare o al responsabile del trattamento, senza necessità di un c.d. atto formale, purché ciò avvenga.
RIFERIMENTI UTILI:
Artt. 24, 25, 28, 29, e 32 del GDPR
Art. 2-quaterdecies del D.lgs. 101/2018
Mandate i vostri quesiti ai nostri esperti
Quesiti privacy: info@dpocc.it
