Incaricati del trattamento e nomina formale da parte del titolare del trattamento: le regole

Fonte: CyberSecurity360

Gli incaricati al trattamento dati, ad esempio personale HR, IT, Sicurezza e via dicendo, devono ricevere una nomina formale dal titolare al trattamento dati per poter processare i dati personali dei dipendenti o può essere considerato implicito nelle mansioni che svolgono?

L’approccio sostanziale e non formalistico del GDPR, richiede che chiunque operi sotto l’autorità del titolare o del responsabile del trattamento sia debitamente istruito nelle operazioni di trattamento a lui attribuite. Tali istruzioni non sono implicitamente rimandabili da parte del titolare o dal responsabile del trattamento a mansionari, organigrammi o contratti, al contrario devono essere chiaramente impartite.

L’istruzione attraverso un apposito atto formale avviene spesso e per prassi consolidata da vecchio Codice Privacy. Non è un approccio errato e fornisce le istruzioni per il trattamento dei dati in qualità di autorizzato, delimitandone il campo di operatività, ivi incluse le banche dati a cui egli ha accesso. Tale modalità può essere utilizzata per implementare una logica di controllo del sistema di gestione dei dati personali, ovvero per avere contezza di “chi-fa-cosa” in termini di trattamento.

È da sottolineare però che, nonostante la prassi della nomina ad autorizzato al trattamento, il GDPR e il Codice Privacy novellato non specificano le modalità con la quale impartire le suddette istruzioni. Esse sono lasciate al titolare o al responsabile del trattamento, senza necessità di un c.d. atto formale, purché ciò avvenga. Continua a leggere