L’incaricato al trattamento dei dati personali: dalla definizione alla nomina


Premessa.


La figura dell’incaricato al trattamento dei dati personali si colloca all’interno della realtà aziendale attinente le fasi di raccolta, elaborazione e trattamento, sia con strumenti elettronici che non, di dati ed informazioni di terzi soggetti, siano esse persone fisiche che giuridiche.


E’ una figura gerarchicamente posta al di sotto del titolare del trattamento dei dati e dei responsabili; a questi ultimi, infatti, è dovuta ogni rendicontazione dell’attività svolta nonché ogni comunicazione utile e valida ai fini del corretto trattamento dei dati.


Questa figura professionale è il risvolto operativo del trattamento dei dati, in ossequio al codice in materia di protezione dei dati personali, attinente l’universo delle informazioni comuni, sensibili e giudiziarie rientranti nella sfera propria di altri soggetti.


In pratica le categorie di dati ed informazioni possono essere così riassunte:




  • Dati personali, ovvero informazioni relative a persone fisiche e giuridiche facenti capo anche a dati numerici;



  • Dati giudiziari, ovvero informazioni idonee a rilevare i provvedimenti penali, i carichi pendenti, le posizioni di imputato o di indagato di un soggetto;



  • Dati sensibili, ovvero informazioni idonee a rilevare lo stato di salute, le eventuali appartenenze politiche, religiose e relative allo stato civile di un soggetto;



  • Dati diversi da quelli sensibili e giudiziari, ovvero informazioni che possono rappresentare e/o generare dei rischi per effetto della loro natura o del loro trattamento.


Questa tipologia di dati costituisce il punto di partenza per l’attività svolta dall’incaricato, ovvero un’attività a diretto contatto con i dati ed informazioni forniti dai soggetti che per vari motivi entrano in stretto contatto con l’operatività aziendale.



Definizione.


L’incaricato al trattamento dei dati personali è colui il quale, sotto la diretta autorità del titolare o del responsabile, è demandato il compito di gestire la raccolta, il trattamento e la conservazione dei dati oggetto di tutela ai fini della privacy mediante l’adozione delle misure di sicurezza e con obbligo di comunicazione, ai superiori, di eventuali danneggiamenti e/o anomalie che incombono o possono incombere sui dati.


Il tutto in ossequio al Decreto Legislativo sulla privacy, dell’allegato “B” ovvero denominato Disciplinare tecnico in materia di misure minime di sicurezza e del Documento Programmatico di Sicurezza.



Compiti.


I compiti, i doveri e le responsabilità dell’incaricato sono di seguito elencati:


– raccolta dei dati oggetto di tutela ai fini della privacy mediante l’utilizzo di appositi moduli;


– consegna agli interessati dei moduli di informativa sulla privacy;


– raccolta dei moduli di assenso o consenso al trattamento dei dati personali debitamente firmati dai soggetti interessati;


– archiviazione delle informative in supporti magnetici e/o archivi cartacei;


– adozione delle misure idonee di sicurezza volte a garantire la corretta conservazione dei dati in genere;


– adozione delle misure idonee di sicurezza volte a garantire la corretta conservazione dei dati nei supporti magnetici;


– custodia delle credenziali di accesso ( username e password ) utilizzate per accedere agli archivi informatici;


– restituzione, alla conclusione delle operazioni, di eventuali documenti riservati ed allegati al modulo di consenso al trattamento dei dati o forniti separatamente dai soggetti interessati;


– comunicazione di eventuali danneggiamenti degli archivi di custodia dei dati al responsabile o al titolare del trattamento dei dati;


– sorveglianza circa l’eventuale intromissione di soggetti non autorizzati negli archivi contenenti dati oggetto di tutela della riservatezza;


– segnalazione ai superiori di eventuali aggiornamenti o adozioni di nuove misure di sicurezza;


– esecuzione del trattamento dei dati solo per le finalità aziendali e nel rispetto della vigente normativa;


– consentire al titolare e/o al responsabile del trattamento di poter visionare i dati trattati;


– prestazione di ampia collaborazione con i superiori al fine di rendere più efficiente, sicuro ed in conformità delle disposizioni normative vigenti il trattamento dei dati;


– rispetto delle disposizioni impartite dal titolare e responsabile del trattamento nonché alla normativa in generale.



Normativa.


Sotto il profilo normativo, il primo riferimento è proprio l’art. 30, intitolato degli “Incaricati del trattamento”, del Decreto Legislativo 30 Giugno 2003, n. 196, e successive integrazioni, il quale sancisce che: “1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima”.


Il secondo importante riferimento normativo è dato dall’Allegato “B”, del citato Decreto, denominato del “Disciplinare tecnico in materia di misure minime di sicurezza”, il quale è l’esplicazione tecnica nonché attuazione degli artt. 33, 34, 35 e 36, ovvero delle “Misure minime”, dei “Trattamenti con strumenti elettronici”, dei “Trattamenti senza l’ausilio di strumenti elettronici” e dell’”Adeguamento”.


L’allegato in questione, in materia di “trattamenti con strumenti elettronici” sancisce, propriamente, le modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell’incaricato in tema di:




  • “Sistema di autenticazione informatica”;



  • “Sistema di autorizzazione”;



  • “Altre misure di sicurezza”;



  • “Documento programmatico di sicurezza”;



  • “Ulteriori misure in caso di trattamento di dati sensibili o giudiziari”;



  • “Misure di tutela e garanzie”.


L’ultima parte dell’Allegato è riservata ai “Trattamenti senza l’ausilio di strumenti elettronici”.



Documento Programmatico di Sicurezza.


Premesso che l’adempimento del DPS è sancito e regolato dall’art. 34, e allegato “B” ( ovvero Disciplinare tecnico in materia di misure minime di sicurezza ), regola 19 del Decreto sulla privacy, tra i suoi contenuti sono annoverati anche quelli connessi ai compiti, doveri e responsabilità degli incaricati a tali funzioni.


Laddove è prevista la presenza dell’incaricato, i riferimenti a titolo di adempimento devono essere riportati in due punti del DPS.


In primo luogo all’interno del Documento Programmatico sulla Sicurezza, nell’apposita sezione vanno descritti il ruolo, le funzioni, i compiti e le responsabilità della figura dell’incaricato al trattamento dei dati.


In secondo luogo, una volta individuato il soggetto che assumerà tale incarico, gli sarà formalizzato il tutto per iscritto, mediante apposita lettera di nomina, sottoscritta e firmata dall’incaricato e dal datore di lavoro. Una copia della lettera medesima sarà posta all’interno del DPS, nella parte finale degli allegati.



20 febbraio 2010


Luigi Risolo


Condividi:
Maggioli ADV
Gruppo Maggioli
www.maggioli.it
Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it www.maggioliadv.it