L’obbligo di individuare e istruire gli autorizzati al trattamento dati

di Roberta Rapicavoli - Avvocato esperto in Information Technology e privacy e Docente Ethos Academy

Secondo quanto stabilito dal Regolamento generale sulla protezione dei dati (noto anche come GDPR) chiunque agisce sotto l’autorità del titolare e del responsabile del trattamento e ha accesso a dati personali deve essere individuato quale persona autorizzata e deve ricevere istruzioni specifiche sulle operazioni di trattamento da svolgere per le attività assegnate (cfr. artt. 29 e 32 del GDPR).

Le attività che comportano un trattamento di dati sono tutte quelle operazioni, compiute con o senza l’ausilio di processi automatizzati, applicate ai dati personali, ossia a quelle informazioni riguardanti una persona fisica, identificata o identificabile. In concreto, pertanto, rispetto a un sistema di videosorveglianza che consente di inquadrare le persone che accedono all’area sottoposta a ripresa, comportano un trattamento di dati personali, ad esempio, la visione delle immagini tramite i monitor di videosorveglianza, la loro estrapolazione o comunicazione alle Forze dell’Ordine o altri specifici soggetti coinvolti in determinate attività.

Chi deve individuare e istruire gli autorizzati

L’obbligo di individuare le persone autorizzate a trattare i dati e di fornire loro specifiche istruzioni sussiste in capo al titolare e al responsabile del trattamento. Questo vuol dire che ciascun soggetto, nell’ambito della propria organizzazione, deve provvedere a rispettare tale adempimento, tanto nel caso in cui tratti i dati come titolare, quanto nel caso in cui rivesta il ruolo di responsabile del trattamento.  In concreto, allora, la società, il professionista o l’ente che abbia deciso di avvalersi di un sistema di videosorveglianza, quale titolare del trattamento, dovrà designare come persone autorizzate tutti i dipendenti e collaboratori che, sotto la sua autorità, svolgono attività che comportano un trattamento di dati personali e deve fornire loro le istruzioni circa le operazioni da svolgere. Ugualmente, l’impresa che, svolgendo attività di vigilanza o di manutenzione del sistema, tratta le immagini come responsabile del trattamento, è tenuta a istruire il personale che opera sotto la sua autorità.

Quali istruzioni fornire 

Le istruzioni che occorre fornire variano a seconda delle attività assegnate alle persone autorizzate e ai dati trattati. Con riferimento alla videosorveglianza, ad esempio, le istruzioni che dovranno essere date a chi si occupa solamente di visionare le immagini real time saranno diverse da quelle da fornire a chi è incaricato a effettuare operazioni di estrapolazione o blocco delle immagini o a svolgere attività di verifica e aggiornamento delle misure di sicurezza.

Come individuare e istruire le persone autorizzate

Per quanto riguarda le modalità con cui fornire alle persone autorizzate le specifiche istruzioni relative al trattamento dei dati effettuato nello svolgimento delle loro mansioni, nel GDPR non è stabilita una forma specifica, a differenza di quanto era previsto dall’art. 30 del Codice privacy, che prescriveva la forma scritta per la nomina degli incaricati. Seguendo anche quanto indicato dal Garante privacy nella Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, si suggerisce però di mantenere la gestione previgente e quindi di fornire le istruzioni per iscritto o, comunque, di adottare una modalità che consenta di provare di aver autorizzato il personale e di aver fornito allo stesso tutte le indicazioni e istruzioni necessarie.

Perché occorre istruire le persone autorizzate

L’obbligo per il titolare e il responsabile del trattamento di far sì che chiunque agisca sotto la loro autorità e abbia accesso ai dati personali non tratti tali dati se non sia istruito in tal senso è stabilito dagli articoli 29 e 32 del GDPR, la cui violazione è soggetta ad una sanzione amministrativa pecuniaria. Occorre poi segnalare che solo fornendo adeguate istruzioni alle persone autorizzate al trattamento è possibile sensibilizzare le stesse sul tema della protezione dei dati ed evitare che pongano in essere azioni che possano compromettere la sicurezza e causare i rischi legati alla perdita di disponibilità, integrità e riservatezza dei dati.