Una delle cose buone del D. Lgs. 196/2003 era probabilmente l’indicazione, all’art. 30, della figura degli Incaricati del trattamento, cioè coloro che, sotto l’autorità diretta del Titolare o del Responsabile, eseguivano le operazioni di trattamento. La loro designazione doveva avere forma scritta e individuare l’ambito della sua operatività.  

Nel testo del GDPR e nelle numerose premesse non troviamo alcuna definizione, pertanto è necessario andare a leggere tra le righe, iniziando dall’art. 29 che, testualmente, recita: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati Membri”.

Una definizione, oltretutto decisamente esaustiva, è stata comunque data dal Gruppo Articolo 29 che definisce “incaricato del trattamento”: "la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento (o del titolare del trattamento)."

Si tratta di una valida base per circoscrivere un’importante categoria di operatori per i quali il GDPR impone un obbligo di formazione. Importante messaggio per i Titolari che non potranno esimersi dall’utilizzare personale o collaboratori preparati per i propri incarichi. Tutto ciò si colloca nelle linee che muovono lo spirito del GDPR, vale a dire quello di responsabilità e responsabilizzazione dei soggetti che, a qualsiasi titolo, eseguono operazioni di trattamento dati. Possiamo immaginare una piramide nella quale dal vertice fino alla base, tutti hanno ben individuati doveri e responsabilità nella filiera del trattamento.

Formazione quindi e, ovviamente, anche attestazione di questa formazione, con certificazioni di corsi e comunicazioni scritte con le quali il titolare renda edotti i propri incaricati, anche al fine delle rispettive responsabilità.

Un quadro più chiaro emerge anche dalla lettura dell’art. 2 quaterdecies della 196/2003, così modificato dal D. D. Lgs. 101/2018, che ora prevede per il Titolare o il Responsabile, sotto la propria responsabilità, “che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità, individuando le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta".

In sintesi un quadro abbastanza esaustivo per individuare, di fatto, quali incaricati al trattamento tutti coloro che all’interno di un organigramma aziendale o come collaboratore esterno, eseguano qualsiasi forma di trattamento dati. Non quindi il tecnico esterno che viene a riparare il computer, ma lo sarà nell’ipotesi in cui, sulle sue attività di controllo, dovrà verificare che non vi siano state modifiche o alterazioni di dati che, in tale ipotesi, debba correggere. Del resto i presupposti di una simile disciplina si trovano anche nel “Considerata” 81 del GDPR, che pone anche le basi per i doveri di formazione che gravano sul Titolare.

Oltre a ciò è opportuno, se non indispensabile, per il Titolare o l’incaricato, predisporre un documento di delega al trattamento che contenga, oltre all’ elenco dei compiti assegnati all’incaricato, indicazioni sui vincoli di riservatezza, limitazioni di accesso e divieti di comunicazione e/o diffusione e, principalmente gli obblighi di comportamento in termini di sicurezza secondo policy di sicurezza. Detti obblighi potranno andare dall’uso degli strumenti aziendali, il divieto di accedere a social o account personali, le istruzioni e i comportamenti in caso di data breach o smarrimento di un dispositivo. Anche l’esposizione di un mansionario nei luoghi di lavoro o sulle pagine web aziendali potrebbe essere quanto mai opportuno. Ricordiamo, del resto, come oltre il 90 % delle perdite dei dati sia causato da comportamenti negligenti, se non dolosi da parte di dipendenti.  

L’introduzione di dispositivi esterni provoca sempre un aumento del rischio in termini assoluti. Consiglio di valutare la possibilità di impedirne l’introduzione quando non siano indispensabili all’operatività aziendale.