La definitiva entrata in vigore del GDPR (R. EU 679/16) e il D.L 101/18, hanno profondamente modificato il vecchio D. Lgs. 196/2003 che, seppur sfrondato di tutte le norme incompatibili con la nuova disciplina, resta in vigore dopo una accurata operazione di restyling.

L’art. 2 – quaterdecies ha introdotto l’importante figura del “soggetto designato”, vale a dire la figura che, nella sostanza, va a sostituire quello che nella precedente formulazione della norma era il “responsabile esterno.” Questa figura non viene definita espressamente, ma ne vengono delineate le mansioni. In particolare a questa figura possono essere attribuiti dal Titolare o dal Responsabile del Trattamento “specifici compiti e funzioni connessi al trattamento di dati personali”. Inoltre sono sempre il Titolare e il responsabile che debbono individuare “le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità.”

Sul punto, il regolamento europeo non prevede espressamente la figura dell’incaricato, ma non ne esclude la nomina, facendo riferimento a persone autorizzate al trattamento dei dati sotto l’autorità diretta del titolare o del responsabile (art. 4, n. 10 GDPR). Incaricato, o autorizzato, è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.

Con l’art. 2 - quaterdecies, viene espressamente prevista la possibilità di mantenere attività di Trattamento Dati all’interno di una struttura da parte di soggetti espressamente designati. Da ciò discende che queste figure dovranno essere nominate con atti di delega, nei quali devono essere previste le mansioni da svolgere e tutte le necessarie istruzioni operative che, ad ogni buon conto, dovrebbero far parte di un percorso di formazione e aggiornamento del quale il Titolare del Trattamento è garante. In particolare, si pone in evidenza, le istruzioni operative in caso di data breach. E’ infattti verosimile che sia proprio l’incaricato il primo a prendere cognizione di una violazione o perdita dei dati.

Ricordiamo poi che è proprio il Regolamento a prevedere per il titolare del trattamento l'obbligo di formare gli addetti autorizzati al trattamento dei dati. Tale obbligo si compone di due aspetti:
1) l'ordine di servizio (istruzioni in materia di sicurezza art. 32);
2) fornire le necessarie informazioni per poter eseguire gli ordini nel rispetto del trattamento dei dati (obbligo di formazione del personale art. 39).

L’atto di designazione è indispensabile, quindi, non solo ai fini di una eventuale opponibilità in caso di contestata violazione, ma assume anche rilevanza ai fini della responsabilizzazione dei soggetti designati e quale documento che può dimostrare l’adeguamento alla disciplina da parte del Titolare. 

Una importante puntualizzazione viene imposta dalla considerazione che il Soggetto Designato non è, in alcun caso, figura obbligatoria, ed in un organigramma aziendale questa figura verrebbe a porsi in una scala intermedia tra il Titolare e i soggetti autorizzati. Chiaro quindi come trovi difficile applicazione in strutture di medio-piccole e piccole dimensioni.