La struttura organizzativa di un’azienda può essere complessa, policentrica, ma per raggiungere gli obiettivi prefissati è comunque opportuno che emerga “chi fa cosa” e con quali scadenze. La catena di comando è particolarmente importante anche quando i “beni” usati sono i dati personali.
Il Codice della privacy evidenzia questa necessità e impone di definire bene quali figure hanno la possibilità di trattare dati personali.
Il titolare del trattamento (data controller) è il soggetto che esercita un potere decisionale, del tutto autonomo,sulle finalità e sulle modalità del trattamento. La qualità di titolare non può essere liberamente determinata dai contraenti ma discende direttamente dai poteri che si esercitano sui dati. Può essere sia una persona fisica (si pensi all’imprenditore individuale) sia una persona giuridica (ad esempio, una società a responsabilità limitata) che tratta i dati (con la raccolta, la registrazione,la comunicazione degli stessi o la loro diffusione). Il titolare del trattamento, se lo ritiene utile in base all’organizzazione aziendale, può designare uno o più soggetti come responsabile del trattamento (data processor) ed è tenuto a vigilare sulla puntuale osservanza delle istruzioni impartite loro.
La nomina deve essere effettuata con un atto scritto in cui siano precisati anche i compiti affidati. Occorre comunque scegliere persone fisiche od organismi (inclusi soggetti esterni all’impresa) che per esperienza, capacità e affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati, compreso il profilo relativo alla sicurezza.
Sono molti i casi in cui l’azienda, per scelta o per necessità, fa svolgere parte delle attività e del conseguente trattamento dei dati a soggetti esterni. Proprio in questi casi, a seconda del tipo di contratto che definisce tale rapporto, può essere non solo opportuno, ma necessario che l’azienda nomini il soggetto esterno quale responsabile del trattamento(ad esempio quando si utilizzano servizi informatici in outsourcing oppure quando ci si avvale dei servizi offerti da un call center o da un altro tipo di fornitori).
Gli incaricati del trattamento sono le persone fisiche che effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile se è stato nominato) secondo precise istruzioni. Per poter svolgere queste operazioni in maniera lecita, è necessario che il personale chiamato a trattare i dati venga opportunamente designato per iscritto individuando puntualmente l’ambito di trattamento consentito.
Al fine di semplificare questo adempimento è però sufficiente documentare l’inserimento di un soggetto in una determinata unità organizzativa (ad esempio l’ufficio del personale oppure l’ufficio vendite).Ciò a condizione che risulti, per iscritto,quale sia l’ambito di trattamento dei dati consentito agli addetti di tale unità.
