Il Responsabile del trattamento dei dati personali | Con fac-simile di Lettera di nomina

Analisi della figura del Responsabile del trattamento dei dati personale, figura chiave per il rispetto della privacy in azienda.

 

Premessa

Nell’ambito delle figure professionali che operano in tema di privacy ed all’interno di quella che è una vera e propria gerarchia si colloca un ruolo che, per così dire, è posto ai vertici, sia in tema di compiti e funzioni che di responsabilità. Si tratta, nel caso specifico, del Responsabile del trattamento dei dati, che è posto al di sotto al Titolare del trattamento. Quindi, dai compiti alle responsabilità il “Il Responsabile” è colui che deve sovrintendere alla gestione e tutela dei dati personali considerata, ovviamente, l’area di competenza e responsabilità del “Titolare”.

Il Decreto Legislativo 30 Giugno 2003 n. 196, dedica appositi articoli, dalla definizione, ai compiti ed alle responsabilità, evincendosi l’essenzialità di tale figura professionale, che, in via preventiva, necessita di adeguate conoscenze in ambito organizzativo-aziendale, informatico e normativo.

Definizione

Il responsabile del trattamento dei dati è una figura professionale collocata all’interno della realtà aziendale e prevista dalla normativa sulla privacy con sostanziali responsabilità e compiti in ambito del trattamento dei dati di terzi, siano esse persone fisiche o giuridiche.

La definizione di tale figura è contenuta nell’art. 4 del Decreto Legislativo n. 196/2003, il quale sancisce che:

1. Ai fini del presente codice si intende per:

g) “responsabile”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;

L’articolo 29, intitolato del “Responsabile del Trattamento, del citato Decreto, sancisce che:


1. Il responsabile è designato dal titolare facoltativamente.

2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.

4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.

5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.

Compiti e funzioni

I compiti del responsabile del trattamento dei dati all’interno dell’azienda sono essenzialmente i seguenti:

– raccogliere, registrare, trattare e conservare i dati personali e sensibili contenuti negli archivi e fascicoli o cartelle, sia su supporto cartaceo che informatico, avendo cura che l’accesso agli stessi sia consentito solo ai soggetti autorizzati;

– adempiere alla comunicazione dei dati ai soggetti esterni nelle forme previste dalla normativa e secondo le istruzioni contenute nel Documento Programmatico di sicurezza;

– conservare le dichiarazioni del consenso al trattamento dei dati personali e sensibili da parte degli interessati, in luoghi sicuri e secondo quanto previsto dal DPS;

– impedire l’accesso a terzi non autorizzati nei luoghi in cui sono raccolti e custoditi i dati personali e sensibili ( e giudiziari );

– rispettare il segreto professionale sui dati raccolti e sui quali si ha accesso;

– custodire le credenziali di accesso ( username e password ) agli strumenti elettronici ed informatici in luogo sicuro;

– modificare periodicamente le password in dotazione secondo quanto viene stabilito nel Documento Programmatico di Sicurezza.

Le altre funzioni e responsabilità sono, specificatamente, attribuite al responsabile del trattamento dei dati dagli articoli 157, 158 e 159 del D. Lgs. n. 196/2003 i quali, rispettivamente così sanciscono:


Art. 157. Richiesta di informazioni e di esibizione di documenti


1. Per l’espletamento dei propri compiti il Garante può richiedere al titolare, al responsabile, all’interessato o anche a terzi di fornire informazioni e di esibire documenti.

Art. 158. Accertamenti


1. Il Garante può disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali.

2. I controlli di cui al comma 1 sono eseguiti da personale dell’Ufficio. Il Garante si avvale anche, ove necessario, della collaborazione di altri organi dello Stato.

3. Gli accertamenti di cui al comma 1, se svolti in un’abitazione o in un altro luogo di privata dimora o nelle relative appartenenze, sono effettuati con l’assenso informato del titolare o del responsabile, oppure previa autorizzazione del presidente del tribunale competente per territorio in relazione al luogo dell’accertamento, il quale provvede con decreto motivato senza ritardo, al più tardi entro tre giorni dal ricevimento della richiesta del Garante quando è documentata l’indifferibilità dell’accertamento.

Art. 159. Modalità


1. Il personale operante, munito di documento di riconoscimento, può essere assistito ove necessario da consulenti tenuti al segreto ai sensi dell’articolo 156, comma 8. Nel procedere a rilievi e ad operazioni tecniche può altresì estrarre copia di ogni atto, dato e documento, anche a campione e su supporto informatico o per via telematica. Degli accertamenti è redatto sommario verbale nel quale sono annotate anche le eventuali dichiarazioni dei presenti.

2. Ai soggetti presso i quali sono eseguiti gli accertamenti è consegnata copia dell’autorizzazione del presidente del tribunale, ove rilasciata. I medesimi soggetti sono tenuti a farli eseguire e a prestare la collaborazione a tal fine necessaria. In caso di rifiuto gli accertamenti sono comunque eseguiti e le spese in tal caso occorrenti sono poste a carico del titolare con il provvedimento che definisce il procedimento, che per questa parte costituisce titolo esecutivo ai sensi degli articoli 474 e 475 del codice di procedura civile.

3. Gli accertamenti, se effettuati presso il titolare o il responsabile, sono eseguiti dandone informazione a quest’ultimo o, se questo è assente o non è designato, agli incaricati. Agli accertamenti possono assistere persone indicate dal titolare o dal responsabile.

4. Se non è disposto diversamente nel decreto di autorizzazione del presidente del tribunale, l’accertamento non può essere iniziato prima delle ore sette e dopo le ore venti, e può essere eseguito anche con preavviso quando ciò può facilitarne l’esecuzione.

5. Le informative, le richieste e i provvedimenti di cui al presente articolo e agli articoli 157 e 158 possono essere trasmessi anche mediante posta elettronica e telefax.
6. Quando emergono indizi di reato si osserva la disposizione di cui all’articolo 220 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con decreto legislativo 28 luglio 1989, n. 271.

Considerazioni finali.

La figura del responsabile del trattamento dei dati ha da un lato le istruzioni operative da applicare nella quotidiana attività lavorativa all’interno dell’azienda e che sono contenute all’interno del DPS e dall’altro il rispetto dei vincoli operativi sanciti dalla normativa sulla privacy, facendo presuppore, in via consequenziale, che sono necessarie approfondite conoscenze sia normative che pratiche; in ragione di ciò è opportuno che il procedimento di nomina di tale figura sia non solo accompagnata da un’adeguata preparazione ma anche da apposito incarico scritto, nel quale si evidenzino, ulteriormente, i compiti, le funzioni, i riferimenti normativi ed il materiale informativo e formativo consegnato.

24 aprile 2010

Luigi Risolo

ALLEGATO

Lettera di nomina del responsabile del trattamento dei dati personali

Intestazione azienda………….…….

Via …………………….……nr. …..

CAP……. Città……….…. Prov. ….

Tel/Fax…………….……………….

P.Iva……………Cod. Fisc……..…..

Sito Web…………E@mail……………

Egr. Sig. ……..………………

Via ……………….……. Nr….

CAP…….Città……..Prov…

Oggetto: nomina alla funzione di responsabile del trattamento dei dati personali.

In riferimento al rapporto di lavoro con Ella instaurato in data …………., con matricola aziendale nr. …., con la qualifica di ………………. e mansione di ……………., in ossequio al Contratto di Lavoro applicato e rilevati il suo ruolo e funzioni all’interno dell’azienda, premesso che:

  • l’azienda ha proceduto agli adempimenti di cui al D. Lgs. N, 196 del 30 Giugno 2003;

  • l’azienda si deve uniformare secondo quanto stabilito nell’Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza”;

  • la S.V. nell’ambito della sua attività svolge funzioni attinenti con il trattamento dei dati;

  • la S.V. offre solide garanzie ed esperienza in merito al trattamento dei dati personali nonché all’applicazione della normativa sulla privacy.

Con la presente, pertanto, la S.V. viene nominata “Responsabile del trattamento dei dati” dell’azienda “…”, con effetto immediato e fino a revoca della medesima.

Tanto premesso, le vengono affidati i seguenti incarichi:

a) raccogliere, registrare, trattare e conservare i dati personali e sensibili contenuti negli appositi archivi, sia su supporto cartaceo che informatico, avendo cura che l’accesso agli stessi sia consentito solo ai soggetti autorizzati;

b) predisporre l’informativa e procedere alla comunicazione dei dati ai soggetti esterni nelle forme previste;

c) asseverare le dichiarazioni del consenso al trattamento dei dati personali e sensibili da parte degli interessati;

d) impedire l’accesso a terzi non autorizzati nei luoghi in cui sono raccolti e custoditi i dati personali e sensibili;

e) rispettare il segreto professionale sui dati raccolti e sui quali si ha accesso.

La S.V. dovrà, in via tassativa, utilizzare e custodire, con la massima diligenza, le seguenti credenziali d’autenticazione a Lei riservate, per l’accesso agli strumenti elettronici:

– Codice identificativo Incaricato ( o username ): ………………………

– Codice d’accesso (password):…………..……………..……………………….

La password dovrà essere modificata al primo accesso e successivamente ogni 3 mesi.

Pertanto, in virtù dell’incarico conferitoLe sarà sua precisa cura procedere al trattamento dei dati secondo liceità e correttezza e che il medesimo trattamento avvenga entro i limiti sanciti dalla normativa vigente di settore; la S.V. dovrà procedere, quando si rende opportuno e necessario, all’aggiornamento dei dati trattati nonché alla loro regolare tenuta e conservazione ed attenersi al pieno rispetto di quanto previsto dalla Legge sulla privacy con particolare riferimento alle misure minime di sicurezza.

Luogo e data

Allegato:

  • Manuale istruzioni ed informazioni D. Lgs. n. 196/2003

Timbro e Firma

_____________________

( Azienda )

Per accettazione

_____________________

( Firma del responsabile )