Gli autorizzati al trattamento

Chi determina in concreto i mezzi e le finalità del trattamento di dati personali altrui è il Titolare del trattamento di quei dati.

L’art. 29 del GDPR prevede che il Titolare e il Responsabile del trattamento facciano in modo che chiunque agisca sotto la loro autorità e abbia accesso ai dati personali lo faccia esclusivamente quando sia stato autorizzato e istruito, salvo esistano altre norme del diritto nazionale o europeo che stabiliscano diversamente.

I designati al trattamento

L’art. 2 – quaterdecies del Codice della Privacy (D.Lgs. 196/2003) – come modificato dal D.Lgs. 101/2018, inoltre, stabilisce che il Titolare e il Responsabile possano prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi con il trattamento dei dati personali siano attribuiti a persone fisiche espressamente designate.

Il GDPR aveva già, in sostanza, previsto l’obbligo per Titolari e Responsabili di fare in modo che, chiunque avesse accesso ai dati, fosse espressamente autorizzato. Anche l’art. 28 del GDPR, redatto in tema di “Responsabili del trattamento”, del resto, stabilisce che sia compito di questi ultimi autorizzare espressamente le persone che trattino i dati per suo conto, facendo in modo che tali persone si impegnino alla riservatezza.

Si tratti, dunque, di persone “autorizzate” o “designate”, quel che conta, nell’ottica della “responsabilizzazione”, è che i compiti e le funzioni del personale interno, variamente considerato, siano adeguatamente previste e proceduralizzate.

Si tratterà, dunque, di autorizzare, mediante specifici atti documentali, il personale interno dello Studio, come nel caso di assistenti, praticanti, stagisti e segretari.

Alle specifiche autorizzazioni al trattamento, da delineare in base alle concrete attività svolte da questo personale, si dovranno dunque aggiungere (sempre nell’ottica della documentabilità) anche specifiche istruzioni scritte, redatte tenendo conto del contesto del trattamento, della tipologia dei dati trattati, delle finalità per le quali sono raccolti e, di volta in volta, utilizzati.

La predisposizione di apposite “policy” o “procedure” di gestione dei dati, siano esse cartacee o elettroniche, consentirà di richiedere e pretendere da tutti coloro che, autorizzati o designati, lavorino nelle nostre strutture e sotto la nostra autorità, di rifarsi a delle linee guida di lavoro che non solo consentano una maggiore sicurezza generale delle operazioni di trattamento, ma anche la documentabilità, in caso di ispezioni, del processo di adeguamento.

I soggetti autorizzati (o designati) in Condominio

Quanto appena visto ha, ovviamente, un significativo risvolto anche in Condominio.

Anche se la effettiva Titolarità del trattamento viene generalmente fatta ricadere in capo all’Ente Condominiale, va ricordato che l’Amministratore, in veste di Responsabile, dovrà anch’egli adeguarsi alle norme e, di conseguenza, autorizzare o designare coloro che, sotto la propria autorità, trattino o abbiano comunque accesso a dati personali.

Appare più che mai opportuno, per esempio, in presenza di un portiere condominiale, provvedere ad un’attenta determinazione delle autorizzazioni e dei compiti assegnatigli (da parte dell’Ente Titolare o del Responsabile Amministratore).

Il portiere, infatti, in virtù del proprio ruolo e, in particolare, dello svolgimento delle attività demandategli può venire a conoscenza e utilizzare alcuni dati personali dei Condòmini e dei loro inquilini o ospiti, come ad esempio il numero di telefono, informazioni sullo stato di salute, informazioni sul tipo di corrispondenza ricevuta e, più generale, altri dati attinenti la sfera privata.

Risulta quindi necessaria una corretta autorizzazione accompagnata da una opportuna “istruzione” del soggetto, il tutto da documentare per iscritto.

Alla prossima settimana.

Avv. Andrea Broglia

Post correlati: Autorizzati, designati o incaricati al trattamento