L'incaricato del trattamento: una danza gattopardiana?


Vexata quaestio: che fine faranno gli incaricati del trattamento dopo il (fatidico) 25 maggio?


Ebbene, a mio modesto parere: tutto cambierà affinché per loro nulla cambi.

Molto probabilmente rimarranno lì, dal momento che il Codice Privacy non sarà abrogato dal GDPR e ad oggi ancora non v'è indicazione circa il destino di questo soggetto che altri non sarebbe che il data handler, ovverosia la persona fisica che materialmente esegue le operazioni di trattamento dei dati personali.

Questa figura è definita dall'art. 30 Codice Privacy nel modo che segue:

Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima.

Certamente, dovrà essere autorizzato ed istruito a trattare i dati in quanto secondo l'art. 29 GDPR:
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
 ...da cui deriva l'obbligo specifico di sicurezza ai sensi dell'art. 32.4:

Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
E la dimostrabilità di tale adempimento come può avvenire se non quanto meno attraverso una designazione scritta e l'individuazione dell'ambito consentito?


E dunque, in questa danza gattopardiana possiamo immaginare che nulla sostanzialmente cambierà per gli inaricati.

Forse si chiameranno soggetti autorizzati all'accesso, o muteranno nome in accordo a scelte più o meno fantasiose, o finanche perderanno una designazione formale.

L'emblematica affermazione secondo cui tutto deve cambiare perché tutto resti come prima non
sembra affatto adeguata alle esigenze di responsabilizzazione, approccio risk-based, efficace protezione e concretezza richiamate dal GDPR.

Insomma: per essere GDPReady, il Gattopardo lo possiamo apprezzare come buon libro e non come ispirazione per i percorsi di adeguamento normativo.

Commenti