Come è noto nella traduzione italiana del GDPR 2016/679 non compare il termine incaricato del trattamento (come era previsto nel Codice Privacy) ma, pur non essendo detta figura espressamente prevista dal nuovo Regolamento UE sulla protezione dei dati personali, il Garante italiano, nella guida all’applicazione del Regolamento, giustifica e considera non incompatibile con il regolamento la figura dell’incaricato.

Infatti, nel documento del Garante “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”, voce dell’indice “TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO”, sezione “Cosa non cambia?” si legge: “pur non prevedendo espressamente la figura dell’“incaricato” del trattamento (ex art. 30 del Dlgs. n. 196/2003), il regolamento UE non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento).

La nomina di autorizzato al trattamento dei dati è pertanto un adempimento di cruciale importanza per il titolare del trattamento.

A tale riguardo la regola è la libertà di forme: è il titolare del trattamento che decide attraverso quali modalità rendere riconoscibile che un certo soggetto è stato autorizzato al trattamento di dati personali. All’interno di questa libertà di forma, tuttavia, si deve essere assicurare di poter ricostruire “chi fa che cosa” e, pertanto, non possono essere riconosciute conformi alla vigente normativa sulla protezione dei dati personali situazioni di promiscuità.

In altri termini non è accettabile che, a fronte di plurime unità organizzative, cui solitamente corrispondono diverse base dati o cartelle di file condivisi, la nomina di autorizzato sia generica.

Un soggetto si può dire che sia autorizzato al trattamento dei dati quando si possa conoscere a quali dati o, meglio, a quale ambito di trattamento sia stato autorizzato.

All’interno di Comuni ed altri enti locali, ad esempio, per espletare correttamente l’onere dell’autorizzazione al trattamento dei dati personali, sarebbe opportuno predisporre delle nomine specifiche per settori.

Ciascuna nomina dovrebbe prevedere l’indicazione dell’ambito consentito di trattamento e fare eventualmente riferimenti o richiami a regolamenti interni, politiche aziendali, circolari, ordini di servizio o manuale sulla sicurezza ad uso degli autorizzati al trattamento dei dati.

All’interno delle nomine si può altresì indicare che l’esattezza della prestazione del dipendente sarà misurata anche con riguardo all’osservanza delle prescrizioni in materia di privacy.

Questo giustifica l’ammonimento, secondo il quale nel caso di inadempimento si applicheranno le sanzioni disciplinari previste dal vigente contratto di lavoro.