Privacy e Trattamento dei dati personali

Come redigere una lettera di incarico al trattamento dei dati personali

Read 7 min
La lettera di incarico al trattamento dei dati personali consente al titolare e/o al responsabile di autorizzare terzi che agiscano sotto la propria autorità al trattamento di tali dati. Ma come si redige?

Le fonti normative

La figura dell’incaricato era già presente nel “vecchio” codice privacy.

In particolare, l’art. 4 (oggi abrogato) del D.Lgs 196/2003 alla lettera h) individuava gli “incaricati” come “le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile”.

E ancora. L’art. 30 (oggi abrogato) Codice privacy prevedeva:

Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.”

Con l’entrata in vigore del D.Lgs 101/2018 è stato introdotto l’art. 2 quaterdecies rubricato “Attribuzione di funzioni e compiti a soggetti designati”, il quale al 1° comma prevede che:

“Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.

Preme precisare che il GDPR, non parla espressamente di “incaricato” ma allo stesso tempo non esclude la sua presenza.

Il Regolamento europeo, infatti, all’art. 4 nel definire il “terzo” include “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.”

Infine l’art. 29 GDPR precisa che il soggetto che tratta i dati personali sotto l’autorità del titolare del trattamento o del responsabile del trattamento deve ricevere apposite istruzioni operative.

Tali istruzioni non saranno necessarie solo nelle ipotesi in cui lo richieda il diritto dell’Unione o degli Stati membri.

Le analogie tra la vecchia e la nuova normative sono evidenti, se non fosse che non viene più impiegata l’espressione di “incaricato” sostituendola con quella dell’ “autorizzato” al trattamento dei dati personali.

La legislazione sovranazionale, tuttavia, non prevede un obbligo di nomina o di designazione espressa, ma conferma la necessità di formare il soggetto individuato in punto ai trattamenti effettuati.

La formazione preventiva in materia privacy deve coinvolgere quindi tutti i soggetti che, a vario titolo, si trovano nella posizione di trattare dati personali altrui.

Chi è l’incaricato al trattamento

Fatte le dovute premesse con riferimento alle previsioni normative, ci si domanda chi concretamente possa rivestire tale ruolo.

Da una lettura della normativa europea non si evince se l’incaricato debba essere inquadrato in azienda o possa essere anche esterno, stabilendo unicamente che il soggetto “agisca sotto l’autorità del titolare o del responsabile”.

E’ il codice nazionale che ci fornisce qualche chiarimento in più prevedendo che il soggetto rientri “nell’ambito dell’assetto organizzativo” del titolare/responsabile.

Parrebbe, quindi, venire in rilievo l’aspetto di dipendenza/subordinazione del soggetto autorizzato con il titolare/responsabile del trattamento.

Appare evidente come un impiegato in azienda debba essere designato come “incaricato”, qualche dubbio sorge con riferimento a tutti quei soggetti che pur prestando la propria opera per l’azienda di fatto non sono inquadrati in essa.

Si pensi ai tirocinanti ed agli stagisti, che non sono equiparabili ai dipendenti dell’azienda ma allo stesso tempo non possono essere individuati come “responsabili” del trattamento posto che non sono del tutto esterni al contesto aziendale.

In difetto di indicazioni diverse, si ritiene che, data la peculiarità della posizione rivestita da tali soggetti, potranno essere designati anch’essi come persone autorizzate al trattamento, con la conseguenza che dovranno ricevere, al pari dei dipendenti, una adeguata formazione e dovranno attenersi alle istruzioni impartite. 

Incaricato al trattamento vs Responsabile del trattamento

L’incaricato al trattamento gode di minore autonomia operativa rispetto al responsabile del trattamento e, quindi, anche un minor grado di responsabilizzazione, occupandosi della mera esecuzione dei compiti assegnatigli.

Da un punto di vista formale, poi, l’art. 28 GDPR impone che i trattamenti effettuati da parte di un responsabile del trattamento siano disciplinati da un contratto o da altro atto giuridico, mentre la designazione dei soggetti autorizzati non prevede alcun vincolo di forma. 

Inoltre, i designati possono essere solo persone fisiche, a differenza dei responsabili che possono essere indistintamente persone fisiche o giuridiche.

La responsabilità

Le istruzioni di trattamento sono una misura di sicurezza di tipo organizzativo, espressione del principio di accountability a cui il titolare deve necessariamente conformarsi. 

L’art. 24 GDPR precisa, a tal fine, che “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento”.

L’eventuale responsabilità per una violazione della normativa privacy grava infatti sul titolare del trattamento.

Pertanto dovrà fare in modo che chiunque entri in contatto con i dati personali che tratta, lo faccia attenendosi alle norme relative alla tutela dei dati e delle informazioni, sia in termini di sicurezza, sia sotto il profilo della riservatezza.    

Rappresenta una buona pratica di condotta del titolare il ricorso a strumenti che comprovino che l’incaricato abbia effettivamente ricevuto tutte le disposizioni fondamentali per trattare i dati secondo GDPR.

Per fare ciò, oltre alla lettera di incarico, è necessario redigere correttamente anche il registro dei trattamenti, indicando dettagliatamente quali trattamenti siano delegati alla persona incaricata, comprese finalità e tempistiche.

I principi 

La lettera di incarico deve richiamare i principi che anche l’incaricato deve osservare nell’ambito del trattamento dei dati personali.

In ottemperanza a quanto previsto dal Codice privacy e dal GDPR, l’incaricato deve:

  1. trattare i dati in modo lecito e secondo correttezza;
  2. trattare i dati personali, in formato sia elettronico che cartaceo, esclusivamente al fine di adempiere alle obbligazioni nascenti dall’incarico conferito e, in ogni caso, per scopi determinati, espliciti e, comunque, in termini compatibili con gli scopi di riservatezza per i quali i dati sono stati raccolti;
  3. verificare costantemente la correttezza dei dati trattati e, ove necessario, provvedere al loro aggiornamento;
  4. consegnare agli interessati, al momento della raccolta dei dati, il modulo contenente l’informativa di cui all’art. 13 del GDPR, salvo che l’informativa medesima sia stata fornita direttamente dal titolare o dal responsabile del trattamento ed eventualmente raccogliere il consenso, ove necessario per le finalità perseguite;
  5. trattare i dati personali in maniera tale che essi risultino pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati, secondo le indicazioni ricevute dal titolare o dal responsabile del trattamento;
  6. conservare i dati personali in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali gli stessi sono stati raccolti o successivamente trattati.

Le istruzioni

Quanto alle istruzioni, non ci sono dei modelli predefiniti, ogni singolo titolare individua una procedura univoca e nota a tutti, da seguire nel corso delle attività. 

In linea di massima, il soggetto autorizzato al trattamento deve:

  1. trattare, custodire e controllare i dati, in particolare quelli particolari (ex sensibili) mediante l’adozione delle misure di sicurezza disposte dal titolare e/o dal responsabile del trattamento, al fine di evitare la distruzione, la perdita o l’accesso non autorizzato da parte di terzi, in relazione alle diverse classifiche operative.
  2. astenersi dal creare nuove autonome banche dati senza preventiva autorizzazione del titolare e/o del responsabile del trattamento;
  3. osservare scrupolosamente gli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione tanto dei dati personali altrui trattati, quanto delle credenziali di autenticazione attribuite;
  4. garantire, in ogni operazione di trattamento, la massima riservatezza. In particolare dovrà:
    1. astenersi dal trasferire, comunicare e/o diffondere i dati al di fuori della azienda, salvo preventiva autorizzazione del titolare o del responsabile del trattamento;
    2. svolgere operazioni di trattamento unicamente su dati/banche dati ai quali ha legittimo accesso, nel corretto svolgimento del rapporto di lavoro, e utilizzare a tal fine gli strumenti indicati o messi a disposizione dalla azienda;
    3. osservare, nella fase della raccolta dei dati, la procedura per il rilascio dell’informativa e l’ottenimento del consenso da parte degli interessati;
  5. in caso di allontanamento, anche temporaneo, dalla postazione di lavoro, verificare che non vi sia possibilità da parte di terzi (anche colleghi o comunque appartenenti alla struttura) di accedere ai dati personali per i quali era in corso una qualunque operazione di trattamento, sia essa mediante supporto cartaceo o informatico;
  6. astenersi dal comunicare a terzi (anche colleghi o comunque appartenenti alla struttura) in qualsiasi forma, le proprie credenziali di autenticazione, necessarie per il trattamento dei dati personali con strumenti elettronici;
  7. segnalare al titolare o al responsabile del trattamento competente in relazione alla propria funzione eventuali situazioni di rischio per la sicurezza dei dati di cui è venuto a conoscenza (es. la violazione della password, il tentativo di accesso non autorizzato ai sistemi), anche quando riguardino i soggetti esterni autorizzati all’accesso: la collaborazione è fondamentale al fine di colmare eventuali lacune nei sistemi di sicurezza e nelle procedure relative alla tutela dei dati personali;
  8. avvisare tempestivamente il proprio responsabile gerarchico qualora si abbia evidenza o anche solo il sospetto che sia in corso una violazione dei dati personali.

Come redigere una lettera di incarico

Alla luce di quanto già chiarito poc’anzi, nel documento di designazione, dopo aver individuato il soggetto incaricato e dopo aver essere illustrato i principi ai quali deve ispirarsi il suo operato, andranno definiti i suoi compiti per garantire la protezione dei dati personali.

Le direttive impartite varieranno a seconda delle mansioni contrattualmente previste per il singolo lavoratore. 

Gli incaricati possono essere anche più di uno e, in questa ipotesi, non occorre che ciascuna riceva la propria lettera di incarico.

L’eventuale designazione non necessita di firma per accettazione.

L’avvenuta ricezione o la presa visione del documento è sufficiente a dar vita all’incarico (a differenza della nomina del responsabile).

Tuttavia è raccomandabile una firma per presa visione, quale prova che l’incaricato abbia effettivamente ricevuto il documento e quindi abbia conoscenza delle istruzioni impartite.

Conclusioni

In conclusione, i lavoratori dipendenti dell’azienda, in virtù del contratto di lavoro svolgono diverse mansioni che spesso contemplano anche il trattamento dei dati per conto del titolare ed è per tale ragione che assume un ruolo centrale la lettera di incarico.

Tale strumento da una parte delinea i limiti e l’ambito di operatività del soggetto delegato, dall’altro garantisce al titolare la conformità del suo sistema privacy con la legge.

L’incaricato del trattamento è quindi una figura rilevante nell’organigramma privacy di qualsiasi impresa poiché, sotto la diretta autorità del titolare e del responsabile (se nominato), egli è colui che, dietro apposita autorizzazione, effettua materialmente le operazioni di trattamento sui dati personali.

VP

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.