Persone autorizzate al trattamento, la nomina non può essere generica

ROMA - La nomina di autorizzato al trattamento dei dati è un adempimento di cruciale importanza per il titolare del trattamento. A tale riguardo la regola è la libertà di forme: è il titolare del trattamento che deve e può decidere attraverso quali modalità rendere riconoscibile che un certo soggetto è stato autorizzato al trattamento di dati personali. All’interno di questa libertà di forma, tuttavia, deve essere assicurato un risultato: poter ricostruire “chi fa che cosa”.

Anche all’interno di una determinata organizzazione non possono essere riconosciute conformi alla normativa sulla protezione dei dati personali situazioni di promiscuità. In altri termini non è accettabile che, a fronte di plurime unità organizzative, cui solitamente corrispondono diverse base dati o cartelle di file condivisi, la nomina di autorizzato sia generica.

Un soggetto si può dire che sia autorizzato al trattamento dei dati quando si possa conoscere a quali dati o, meglio, a quale ambito di trattamento sia stato autorizzato. Per aiutare comuni ed altri enti locali ad espletare correttamente l'onere dell'autorizzazione al trattamento dei dati personali, nell'area riservata del sito di Federprivacy è stato messo a disposizione un apposito kit completo di modelli specifici per settori.

Questa è l’idea che sta alla base delle matrici delle nomine di autorizzato al trattamento dei dati di un ente locale, ipotizzando gli uffici di un amministrazione comunale. Al di là del riferimento a questa particolare categoria di titolare del trattamento, si valuti che l’impostazione possa essere ripetuta anche presso altre categorie di titolari del trattamento.

Ciascun modello si compone della nomina, della indicazione dell’ambito consentito di trattamento e di una scheda di profilazione. All’interno del modello si sottolineano i collegamenti a regolamenti interni, politiche aziendali, circolari, ordini di servizio, il manuale sulla sicurezza ad uso degli autorizzati al trattamento dei dati: sono fonti che determinano la compliance e che devono essere messi a disposizione ed applicati dai soggetti autorizzati.

Sempre nel modello si è ritenuto di assicurare che il titolare del trattamento si preoccupi non solo delle istruzioni, ma anche della formazione del personale. In particolare evidenza è innestata la clausola per cui l’esattezza della prestazione del dipendente sarà misurata anche a riguardo della osservanza delle prescrizioni in materia di privacy.

Questo giustifica l’ammonimento, secondo il quale nel caso di inadempimento si applicheranno le sanzioni disciplinari previste dal vigente contratto di lavoro.

(Articolo di Antonio Ciccia Messina)