Le persone autorizzate (o “Incaricati”) al trattamento dei dati personali, secondo l’articolo 29 del GDPR, hanno il dovere primario di operare esclusivamente sotto la diretta autorità e le istruzioni specifiche del Titolare o del Responsabile del Trattamento, impegnandosi formalmente alla riservatezza. Questo ruolo è cruciale per garantire che il trattamento dei dati avvenga in modo lecito, corretto e sicuro, nel rispetto dei diritti degli interessati.
Il Regolamento Generale sulla Protezione dei Dati (GDPR – Regolamento UE 2016/679) non definisce esplicitamente la figura dell’Incaricato (come avveniva nel previgente Codice Privacy italiano), ma fa riferimento in modo chiaro alle “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”. Tali figure, solitamente dipendenti o collaboratori, sono l’anello esecutivo della catena di protezione dei dati all’interno di un’organizzazione.
1. Obbligo di Agire Solo su Istruzione
Il dovere fondamentale delle persone autorizzate è quello di eseguire il trattamento dei dati personali (raccolta, registrazione, organizzazione, conservazione, ecc.) solo ed esclusivamente seguendo le istruzioni documentate e specifiche fornite dal Titolare o dal Responsabile del Trattamento.
L’Articolo 29 del GDPR è inequivocabile: chiunque abbia accesso a dati personali e agisca sotto l’autorità del Titolare o del Responsabile non può trattare tali dati se non è stato specificamente istruito in tal senso. Questo vincolo assicura che il trattamento resti sempre sotto il controllo e la responsabilità delle figure apicali dell’organizzazione.
1.1. La Nomina Formale e le Istruzioni Operative
Il Titolare o il Responsabile devono formalizzare l’autorizzazione al trattamento in forma scritta, conferendo un atto di nomina individuale o attraverso l’applicazione di regolamenti e policy aziendali.
- Necessità di Istruzioni Chiave: Le istruzioni operative devono essere chiare, complete e specifiche, delineando l’ambito del trattamento consentito. Devono includere le modalità di esecuzione e le finalità.
- Ambito di Competenza: L’autorizzazione definisce i limiti operativi dell’incaricato, circoscrivendo quali dati, con quali strumenti e per quali scopi l’individuo può operare. L’autorizzato deve operare solo all’interno dell’area di competenza assegnata.
- Accettazione Formale: La persona autorizzata deve prendere visione e accettare formalmente la nomina e le relative istruzioni operative, assumendosi la responsabilità per il rispetto di tali prescrizioni.
2. Obblighi di Riservatezza e Segretezza
La persona autorizzata deve impegnarsi formalmente alla riservatezza o avere un adeguato obbligo legale di riservatezza, garantendo che i dati personali non siano diffusi o comunicati a terzi non autorizzati.
L’Articolo 32 del GDPR stabilisce che il Titolare e il Responsabile devono garantire che chiunque abbia accesso ai dati si impegni a mantenerli riservati. Questo obbligo va oltre il mero rispetto delle istruzioni e impone una condotta proattiva di cautela e discrezione.
2.1. Regole di Condotta per la Riservatezza
Per adempiere all’obbligo di riservatezza, le persone autorizzate devono seguire specifiche regole di condotta nella gestione quotidiana dei dati:
- Divieto di Diffusione: Astenersi dal comunicare, divulgare o diffondere a terzi, inclusi colleghi non autorizzati, dati o informazioni apprese durante lo svolgimento delle proprie attività.
- Custodia Attenta: Non lasciare incustoditi documenti cartacei o dispositivi contenenti dati personali, soprattutto dati particolari (ex “sensibili”, come quelli relativi alla salute, all’origine etnica o alle convinzioni politiche), quando si ci allontana dalla postazione di lavoro.
- Controllo degli Accessi: Bloccare l’accesso al sistema informatico o configurare il blocco automatico della postazione ogni volta che ci si allontana.
3. Obblighi di Sicurezza Tecnica e Organizzativa
Le persone autorizzate sono chiamate a implementare quotidianamente e diligentemente le misure di sicurezza tecniche e organizzative stabilite dal Titolare o dal Responsabile, in particolare quelle relative all’accesso e alla gestione dei sistemi informatici.
La sicurezza è un elemento cruciale della conformità al GDPR (Art. 32). L’efficacia delle misure adottate dipende in gran parte dal corretto comportamento delle persone autorizzate.
3.1. Gestione delle Credenziali di Autenticazione
- Non Condivisione: Le credenziali di autenticazione (user-id e password) sono strettamente personali e non devono mai essere condivise con altri, anche se colleghi o altri autorizzati.
- Password Forti e Periodiche: Utilizzare password complesse (almeno 8 caratteri, inclusi numeri e caratteri speciali) e modificarle regolarmente, come previsto dalle policy aziendali (spesso ogni 3-6 mesi).
- Custodia delle Credenziali: Non annotare le password su supporti cartacei visibili o in luoghi non sicuri e non inviarle mai tramite posta elettronica non cifrata.
3.2. Sicurezza Informatica e Igiene Digitale
- Strumenti Ufficiali: Utilizzare esclusivamente la strumentazione e i software aziendali autorizzati per il trattamento dei dati. È vietato installare software da fonti non ufficiali.
- Attenzione al Phishing: Non cliccare su link o allegati contenuti in e-mail sospette o non richieste.
- Uso di Connessioni Sicure: Utilizzare solo connessioni Wi-Fi adeguatamente protette per l’accesso ai dati aziendali.
4. Obbligo di Segnalazione e Formazione
La persona autorizzata deve segnalare tempestivamente al proprio responsabile o al Titolare/DPO qualsiasi anomalia, violazione di dati (Data Breach) o richiesta di esercizio dei diritti da parte dell’interessato, e deve partecipare attivamente ai percorsi formativi obbligatori.
La tempestività nell’identificare e riportare gli incidenti è vitale per consentire al Titolare di rispettare i termini stretti del GDPR (es. notifica al Garante entro 72 ore in caso di Data Breach rilevante).
4.1. Segnalazione di Anomalie e Violazioni
- Data Breach: Comunicare immediatamente qualsiasi evento che possa configurare una violazione dei dati (es. smarrimento di un dispositivo, accesso non autorizzato, ricezione di un’e-mail contenente virus che compromette i dati).
- Richieste degli Interessati: Informare prontamente i referenti privacy aziendali in caso di richieste di esercizio dei diritti da parte degli interessati (es. diritto di accesso, di rettifica o di cancellazione).
4.2. Formazione Continua
- Partecipazione Obbligatoria: Le persone autorizzate devono partecipare ai corsi di formazione in materia di protezione dei dati e sicurezza informatica, garantiti dal Titolare o dal Responsabile, per mantenere le proprie competenze allineate all’evoluzione tecnologica e normativa.
Tabella Riassuntiva: I 4 Pilastri degli Obblighi
| Pilastro dell’Obbligo | Riferimento GDPR (Principio) | Azioni Essenziali della Persona Autorizzata |
| 1. Agire su Istruzione | Art. 29 | Eseguire il trattamento solo nei limiti della nomina scritta e delle istruzioni ricevute. |
| 2. Riservatezza | Art. 32, par. 4 | Impegnarsi formalmente alla segretezza; non comunicare dati a terzi non autorizzati. |
| 3. Sicurezza Operativa | Art. 32 | Usare credenziali personali e non condivisibili; bloccare la postazione se incustodita. |
| 4. Segnalazione e Formazione | Artt. 33, 34, 39 | Segnalare tempestivamente Data Breach e richieste degli interessati; partecipare alla formazione. |
FAQ (Frequently Asked Questions) sulle Persone Autorizzate
Cos’è la figura della “Persona Autorizzata” nel GDPR?
La “Persona Autorizzata” è il soggetto fisico (di solito un dipendente, tirocinante o collaboratore) che esegue materialmente le operazioni di trattamento sui dati personali, agendo sotto l’autorità diretta e le istruzioni del Titolare o del Responsabile del Trattamento (Art. 29 GDPR). È l’equivalente della figura di “Incaricato” prevista nel previgente Codice Privacy italiano (D.Lgs. 196/2003, Art. 2-quaterdecies).
Qual è la differenza di responsabilità tra Titolare e Persona Autorizzata?
Il Titolare ha la responsabilità primaria e definisce le finalità e le modalità del trattamento, incluse le misure di sicurezza (Principio di Accountability). La Persona Autorizzata ha una responsabilità limitata: risponde nei confronti del Titolare (a livello contrattuale/disciplinare) se viola le istruzioni ricevute. In caso di sanzioni per non conformità, la responsabilità ricade direttamente sul Titolare e, se nominato, sul Responsabile del Trattamento.
Le istruzioni al personale autorizzato devono essere sempre scritte?
Sì, per prassi e per garantire il principio di Accountability (responsabilizzazione) del Titolare, le istruzioni devono essere documentate (scritte) e specifiche. Questo è essenziale per poter dimostrare all’Autorità Garante che sono state fornite direttive chiare e che il trattamento è controllato. L’atto di nomina deve essere sottoscritto per presa visione e accettazione.
Una persona autorizzata può trattare dati sanitari o giudiziari?
Sì, può trattare dati particolari (come i dati sanitari) solo se espressamente e specificamente autorizzata dal Titolare (o dal Responsabile) e se tale trattamento è strettamente necessario per l’adempimento dei compiti assegnati. Le istruzioni e le misure di sicurezza devono essere ancora più stringenti e dettagliate per queste categorie di dati, considerate più rischiose.
La compliance al GDPR non è solo una questione di documenti, ma di comportamenti quotidiani. L’efficacia della protezione dei dati è strettamente legata alla diligenza e alla formazione delle persone autorizzate che gestiscono concretamente i dati.
Fonti informative attendibili:
- Garante per la Protezione dei Dati Personali – Guida all’applicazione del GDPR
- Testo del Regolamento (UE) 2016/679 (GDPR) – Articolo 29
Giornalista e analista, scrive di economia italiana, innovazione e imprese. Appassionato di tecnologia e finanza, racconta il presente e il futuro delle aziende che fanno muovere il Paese.
