L’incaricato o autorizzato al trattamento è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali; più nel dettaglio, si considera tale chiunque, attraverso qualsiasi supporto e anche se non registrati in archivio, raccolga dati personali, li registri, li estragga, li organizzi, li conservi, li utilizzi, li consulti, li elabori, li modifichi, li cancelli o li distrugga.
Rispetto a quanto previsto dall’abrogato art. 4.1.h) del Codice Privacy, il GDPR non esplicita un preciso inquadramento formale di tale figura attiva del trattamento, né tantomeno l’obbligo di nomina o designazione espressa.
È tuttavia chiarito che il personale può trattare i dati solo se autorizzato dal titolare o dal responsabile del trattamento, entro i limiti delle istruzioni da questi impartite (artt. 4 n. 10 e 29 GDPR). e previa la necessaria formazione.
Nella realtà quotidiana capita di imbattersi in episodi dove il datore di lavoro, in qualità di titolare del trattamento, si veda opporre da un proprio dipendente o collaboratore il rifiuto di sottoscrivere la lettera di autorizzazione al trattamento.
La nomina viene infatti percepita come un aggravio ingiustificato, e non ulteriormente retribuito, dei propri carichi di lavoro.
Una prassi riconducibile soprattutto a un’ignoranza diffusa o comunque a una percezione distorta da parte del personale (molto spesso instillata dai rappresentanti delle associazioni sindacali)[1] di quelli che sono i propri compiti sotto il profilo del trattamento dati.
Questo scenario, tutt’altro che infrequente in svariati contesti di lavoro sia pubblici che privati, evidenzia alcune importanti questioni giuridiche correlate a cui si tenterà di rispondere di seguito.
Indice degli argomenti
Valore giuridico della lettera di autorizzazione al trattamento
La designazione ad incaricato/autorizzato al trattamento costituisce un riconoscimento della legittimità delle operazioni di trattamento di dati collegate all’ufficio a cui il dipendente risulta assegnato e alle mansioni ad esso attribuite, specificando quali sono le informazioni personali contenute negli archivi, banche dati del titolare del trattamento cui può avere accesso.
È evidente, quindi, l’indispensabilità di tale individuazione, in quanto permette di considerare legittimo il flusso delle informazioni personali nell’ambito dell’organizzazione del titolare del trattamento.
Sulla base di quanto sopra si può ragionevolmente ritenere che l’autorizzazione al trattamento costituisce un atto di “riconoscimento”, il cui perfezionamento non è subordinato all’espressione di una volontà adesiva da parte del dipendente.
Conseguentemente, l’eventuale designazione non necessita di firma per accettazione; può senz’altro ritenersi sufficiente una firma per presa visione, quale prova della conoscenza dell’incarico e delle istruzioni fornite.
Lettera di autorizzazione e legittimazione del trattamento
Ad avviso di chi scrive, la designazione di autorizzazione al trattamento deve ritenersi svuotata di qualsiasi validità in assenza a monte di specifiche istruzioni e un’adeguata attività di training del personale interessato; ciò al fine di consentire ai soggetti designati di operare con consapevolezza, nel rispetto delle prescrizioni di legge e delle istruzioni e policy interne stabilite dal titolare stesso.
Peraltro, i programmi di istruzione degli incaricati al trattamento vanno aggiornati e ripetuti nel tempo, verosimilmente in conseguenza di cambiamenti nell’organizzazione, dell’implementazione di nuove tecnologie, di novità legislative.
Lo stesso verificarsi di un episodio di violazione dei dati (data breach), al quale abbia concorso la negligenza o l’imperizia del personale impone verosimilmente al titolare di tornare ad istruirlo con particolare attenzione alla gestione degli ambiti in cui è maturata la violazione.
Quali effetti comporta la mancata sottoscrizione
Il tema della mancata sottoscrizione della designazione offre il fianco a diverse osservazioni supplementari sugli effetti che ne scaturiscono.
Anzitutto, la mancata formalizzazione della designazione comporta inevitabilmente una fuoriuscita del trattamento di dati personali dal perimetro dell’organizzazione, con conseguente applicazione della più rigida disciplina della “comunicazione” a terzi.
Tale conclusione si può dedurre in via interpretativa da quanto prevedeva l’art. 19 dell’ormai abrogata L. 675/96 secondo cui “non si considera comunicazione la conoscenza dei dati personali da parte delle persone incaricate per iscritto di compiere le operazioni del trattamento dal titolare o dal responsabile, e che operano sotto la loro diretta autorità”.
Per poter trattare lecitamente i dati personali sarebbe dunque necessario individuare una idonea base giuridica per la comunicazione al lavoratore recalcitrante che difficilmente potrebbe discostarsi da quella di cui all’art. 6.1.a) GDPR, con tutte le complicazioni che ne derivano in termini di modalità di acquisizione del consenso e prova dello stesso.
Merita a questo punto interrogarsi sulla possibilità del titolare del trattamento di agire in via disciplinare nei confronti del proprio dipendente o collaboratore che si sia opposto alla sottoscrizione della lettera di designazione.
A tal riguardo è doveroso distinguere due ipotesi:
- il lavoratore si rifiuta di sottoscrivere la lettera di autorizzazione al trattamento di dati personali in quanto in ragione del proprio ufficio, servizio o attività, non accede ad informazioni personali contenute in archivi, banche dati o qualsiasi altra directory del titolare del trattamento;
- il lavoratore si rifiuta di sottoscrivere la lettera di autorizzazione al trattamento di dati personali nonostante la propria mansione lavorativa contempli l’esigenza di accedere e trattare informazioni personali contenute in archivi, banche dati o qualsiasi altra directory del titolare del trattamento.
Se nella prima ipotesi la legittimità del rifiuto è in re ipsa, non potendo ingenerare alcuna conseguenza sotto il profilo disciplinare, più complessa appare l’interpretazione della seconda fattispecie.
Vale la pena ricordare che il lavoratore subordinato è per tradizione legato da un patto di fedeltà e collaborazione con il datore di lavoro che gli impedisce di opporre rifiuti “per partito preso”, ossia senza valide ragioni che non siano collegabili all’esercizio dei propri diritti.
Il rapporto di lavoro subordinato – detto in parole povere – comporta, per ragioni funzionali al rapporto di lavoro, una soggezione del dipendente all’azienda.
È dunque ragionevole pensare che – in considerazione dell’ampiezza del concetto di “trattamento” – tutti i dipendenti la cui mansione presuppone il trattamento di dati personali ai sensi dell’art. 4 n. 2 GDPR debbano firmare per presa visione la formale designazione, in quanto questa rappresenta de facto la precondizione per poter svolgere il lavoro che contrattualmente sono tenuti a svolgere.
Rifiutare la nomina può quindi equivalere a:
- non poter trattare alcun dato; e per l’effetto
- non poter svolgere il lavoro per cui si è assunti.
Ciò in quanto altrimenti i dati degli interessati verrebbero trattati in nome del titolare da persone non autorizzate.
La questione potrebbe essere esposta in maniera ancor più drastica: se il rifiuto di fatto di ricevere la nomina ad autorizzato/incaricato conduce il titolare del trattamento alla commissione di un illecito, non si può escludere che quest’ultimo possa prospettare il licenziamento per giusta causa del lavoratore recalcitrante (anche se in materia non risulta ad oggi un giudicato che permetta di esibire con certezza questo argomento).
L’importanza del fattore umano
Proprio al fine di scongiurare scenari di tal genere il fattore umano – così come per tanti altri ambiti collegati (su tutti intelligenza artificiale e cyber security) – è e sarà sempre centrale.
Invero, se per ciascun designato si riesce definire e formalizzare la portata dell’autorizzazione al trattamento, si otterrà una maggiore consapevolezza negli addetti, una mappatura dei vari trattamenti effettuati, un mansionario di dettaglio degli incarichi sui dati e, come effetto benefico, una migliore gestione e razionalizzazione degli accessi privacy secondo i principi del least priviledge e need to know.
Si rammenta che il principio di accountability che permea il GDPR esige che all’interno di ogni struttura via sia consapevolezza e conoscibilità di chi fa cosa, come, attraverso quali strumenti e banche dati, e perché sui dati personali.
Più si risponde con precisione a questa esigenza di definizione, più ci si dota di misure idonee ad ottimizzare le procedure interne di trattamento dei dati e, soprattutto, la protezione di questi ultimi.
L’interiorizzazione dei propri compiti relativi al trattamento di dati innalza il livello generale di attenzione degli autorizzati ed assurge a misura di mitigazione del rischio insito nel trattamento di dati personali (cfr. art. 2050 Codice Civile)[2].
Sarà compito del Titolare o del Responsabile far comprendere con la maggiore semplicità possibile all’interno della propria organizzazione l’assoluta centralità della nomina del lavoratore che tratta dati personali nello svolgimento delle proprie mansioni.
In questo senso, la formazione preventiva (non solo ricorsiva) si eleva a strumento imprescindibile per consentire al titolare del trattamento di spiegare al personale interessato le ragioni per cui è tenuto a designare formalmente i propri addetti.
È , comunque, sconsigliabile per il titolare del trattamento – in caso di rifiuto del lavoratore – utilizzare argomenti che possono essere interpretati come minacce; sarà più semplice ed efficace spiegare come, per via dei vari disposti normativi, svolgere una mansione che contempla il trattamento di dati personali per conto del titolare significhi ricevere una formale designazione e illustrare come la nomina e le varie istruzioni che la accompagnano non costituiscano un particolare aggravio, ma integrazioni per un’esecuzione della propria attività lavorativa corretta oltre che rispettosa dei diritti dell’interessato e degli obblighi del titolare del trattamento.
NOTE
- Sono ancora attuali richieste sindacali di eventuali indennità da corrispondere al personale designato come autorizzato al trattamento. Sul punto, si può fare riferimento al principio espresso dal Garante Privacy nella nota 23 maggio 2000, (doc. web n. 40229), secondo cui non vi è la necessità di prevedere forme di indennità per il personale incaricato di trattamento, in quanto tale designazione non comporta l’attribuzione di particolari compiti o responsabilità in capo al personale. ↑
- L’art. 2050 delinea la responsabilità per esercizio di attività pericolosa affermando che “Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”. ↑