In un’azienda la ripartizione dei compiti e delle responsabilità è definita con
chiarezza. La struttura organizzativa può essere complessa, ma è opportuno che
emerga “chi fa cosa” e con quali scadenze. Il Codice della privacy evidenzia questa necessità e impone di definire bene quali figure hanno la possibilità di trattare dati personali.
Il titolare del trattamento
è il soggetto che esercita un potere decisionale, del tutto autonomo, sulle finalità e sulle modalità del trattamento. Può essere sia una persona fisica (l’imprenditore individuale) sia una persona giuridica (ad esempio, una società a responsabilità limitata) che tratta i dati (con la raccolta, la registrazione, la comunicazione degli stessi o la loro diffusione).
Il titolare del trattamento, se lo ritiene utile in base all’organizzazione aziendale,
può designare uno o più soggetti come responsabile del trattamento ed è
tenuto a vigilare sulla puntuale osservanza delle istruzioni impartite loro.
La nomina deve essere effettuata con un atto scritto in cui siano precisati anche
i compiti affidati. Occorre comunque scegliere persone fisiche od organismi
(inclusi soggetti esterni all’impresa) che per esperienza, capacità e affidabilità,
forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia
di trattamento dei dati, compreso il profilo relativo alla sicurezza.
Sono molti i casi in cui l’azienda, per scelta o per necessità, fa svolgere parte
delle attività e del conseguente trattamento dei dati a soggetti esterni. Proprio
in questi casi, a seconda del tipo di contratto che definisce tale rapporto, può
essere necessario che l’azienda nomini il soggetto esterno quale responsabile del
trattamento (ad esempio quando si utilizzano servizi informatici in outsourcing
oppure quando ci si avvale dei servizi offerti da un call center o da un altro tipo di
fornitori).
Gli incaricati del trattamento
sono le persone fisiche che effettuano le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile se è stato nominato) secondo precise istruzioni.Per poter svolgere queste operazioni in maniera lecita, è necessario che il personale chiamato a trattare i dati venga opportunamente
designato per iscritto individuando puntualmente l’ambito di trattamento consentito.
Al fine di semplificare questo adempimento è però sufficiente documentare
l’inserimento di un soggetto in una determinata unità organizzativa (ad esempio
l’ufficio del personale), a condizione che risulti, per iscritto, quale sia l’ambito di
trattamento dei dati consentito agli addetti di tale unità.
