I soggetti che trattano dati personali
di Andrea Broglia - componente del D&L NET Scarica in PDFIl personale dipendente in azienda
E’ ormai noto come il Regolamento Europeo in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali nr. 679/2016 abbia posto al centro del proprio sistema regolatorio la responsabilizzazione degli operatori economici: già l’art. 5, p. 2, in tema di principi statuisce in modo estremamente chiaro che il titolare del trattamento è competente in relazione al necessario rispetto di tali principi ed “è in grado di comprovarlo.”
La governance aziendale, anche in tema di sicurezza, conosce da tempo policy, regolamenti e procedure che, da un lato, sono certamente tese a formare, istruire e preparare le persone che lavorano in azienda ma, dall’altro, servono anche a documentare la consapevolezza e il concreto adeguamento normativo[1].
E’ evidente che, in generale, in un’azienda, il personale dipendente che a vario titolo ponga in essere operazioni di trattamento di dati personali debba, in qualche modo, essere “inquadrato” nell’ambito di ruoli e funzioni che consentano, anche nell’ottica dell’accountability, di dare conto delle scelte effettuate dal titolare.
Mentre l’art. 4, c. 1, lett. h) del Codice Privacy del 2003, oggi abrogato a seguito delle disposizioni contenute nel D.Lgs. 101/2018, contemplava espressamente la presenza e insieme la necessità di individuare, autorizzare e istruire gli “incaricati”, ossia le “persone fisiche autorizzate a compiere operazioni di trattamento”, la formulazione dell’art. 29 del Reg. Europeo nr. 679/2016, a mente del quale “il responsabile o chiunque agisca sotto la sua autorità o sotto quella del titolare … che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso … salvo lo richieda il diritto dell’unione o degli Stati membri”, aveva fatto sorgere alcuni dubbi sulla compatibilità della menzionata figura degli “incaricati” con il nuovo testo europeo[2].
Tuttavia, proprio la lettura del menzionato art. 29 porta a ritenere che chiunque possa accedere ai dati personali (trattati dal titolare o dal responsabile) debba essere specificamente autorizzato e, come subito vedremo, adeguatamente istruito.
L’art. 32, 4., in tema di sicurezza del trattamento, conferma infatti a chiare lettere che il titolare e il responsabile del trattamento devono far ‘sì “che chiunque agisca sotto la loro autorità e abbia accesso ai dati personali non tratti tali dati se non è istruito in tal senso…”.
[1] Si veda G. Ziccardi, GDPR e set di istruzioni per i soggetti che trattano dati: l’uso degli strumenti informatici, la gestione di possibili data breach e la protezione dal phishing, in Diritto di Internet, 1/2019, pagg. 223 e ss., Pacini Giuridica.
[2] V. A. D’Ottavio, Ruoli e funzioni privacy principali ai sensi del regolamento: Cap. VI, in Circolazione e Protezione dei Dati personali, tra Libertà e Regole del Mercato, Commentario al Reg. Eu n. 679/206, a cura di R. Panetta, Giuffré Francis Lefebvre, 2019, in particolare pagg. 178 e ss..
