Cosa trovi in questo articolo
Il trattamento dei dati personali è un tema di grande interesse in ambito professionale, soprattutto dopo l’introduzione del Regolamento generale sulla protezione dei dati (GDPR). Una figura di riferimento per la gestione delle informazioni sensibili e dei dati personali che vengono raccolti ed utilizzati dalle aziende che operano in Italia è l’incaricato del trattamento dei dati.
La figura dell’incaricato del trattamento dei dati è sempre più richiesta nel mercato del lavoro ed è aumentato l’interesse di coloro che stanno cercando nuovi sbocchi professionali e che intendono fare carriera acquisendo le competenze per ricoprire questa posizione di responsabilità.
Chi è l’incaricato del trattamento dei dati
Chi si sta informando su questa figura professionale e sul percorso da seguire per poter ricoprire questo ruolo deve innanzitutto sapere chi è l’incaricato del trattamento dei dati. Parlando di trattamento dei dati sensibili bisogna fare una distinzione tra titolare del trattamento e responsabile del trattamento, due figure professionali che sono distinti da quella dell’incaricato.
Titolare del trattamento e Responsabile del trattamento
Con titolare del trattamento si definisce quella figura professionale che ha il compito di stabilire le modalità e le finalità del trattamento dei dati personali. Si può anche verificare il caso in cui più aziende sottoscrivano un accordo comune sulle modalità e finalità di trattamento dei dati, diventando così contitolari del trattamento ed impegnandosi a rispettare quanto sottoscritto, a patto ovviamente che sia conforme al GDPR.
Il responsabile del trattamento è invece colui che si occupa di verificare che quanto stabilito dal titolare venga effettivamente rispettato. Il responsabile avrà un ruolo di controllo e dovrà fare attenzione affinché i dati sensibili vengano gestiti nella maniera corretta, in modo da evitare all’azienda di incorrere in sanzioni per il mancato rispetto del GDPR.
Incaricato del trattamento
Leggendo il testo del GDPR si nota la presenza di una terza figura professionale, distinta dal titolare e dal responsabile del trattamento. Si tratta dell’incaricato del trattamento dei dati, professionista che ha dato vita a non pochi dibattiti, anche perché può essere scelto sia tra i membri dell’organizzazione, sia all’esterno dell’azienda.
In realtà il Regolamento Europeo non definisce chiaramente questa figura, ma non esclude la possibilità che ci siano delle persone che si occupino della gestione dei dati sotto la responsabilità ed il controllo del titolare del trattamento e del responsabile del trattamento. L’Italia ha quindi approfittato di questa opportunità di aggiungere una nuova figura professionale ed ha creato il ruolo dell’incaricato del trattamento.
Competenze dell’incaricato del trattamento dei dati
Vediamo allora quali sono le competenze dell’incaricato del trattamento dei dati e quali sono i compiti che esso può svolgere e di cui si dovrà occupare all’interno dell’azienda. Il punto fondamentale da tener presente quando si analizza la figura dell’incaricato è che tutte le azioni che egli svolge devono essere state commissionate dal titolare del trattamento o dal responsabile del trattamento.
L’incaricato del trattamento può dunque essere visto come una figura operativa, il cui ruolo è portare a termine delle operazioni che gli vengono affidate. La sua autonomia operativa è minore, così come la responsabilità che gli viene affidata: l’incaricato del trattamento è infatti un esecutore, tra i suoi compiti non vi è quello di prendere decisioni in merito al trattamento dei dati.
Durante la sua attività professionale l’incaricato del trattamento dovrà sempre fare riferimento al titolare e/o al responsabile. Saranno loro infatti ad occuparsi delle modalità e delle finalità della gestione dei dati sensibili e a stabilire le linee guida che gli incaricati dovranno seguire.
La nomina dell’incaricato
Per la nomina dell’incaricato del trattamento dei dati sono stati stabiliti alcuni requisiti che dovranno necessariamente essere rispettati. Il primo elemento da sottolineare è che l’incaricato dovrà per forza essere una persona fisica: questo è un elemento di differenziazione importante tra incaricato e titolare del trattamento, infatti il titolare potrà essere sia una persona fisica che una persona giuridica.
La procedura di nomina dell’incaricato è particolare ed infatti non prevede un atto formale. Questo significa che è un diritto del titolare del trattamento o del responsabile del trattamento nominare uno o più incaricati, a patto che venga loro fornita un’adeguata preparazione per l’esecuzione dei compiti che saranno loro assegnati.
Incaricato interno ed incaricato esterno
Di frequente ci si chiede se l’incaricato del trattamento debba per forza essere nominato tra i dipendenti dell’azienda o se sia possibile nominare anche un incaricato esterno. La legislazione italiana lascia libertà di scelta al titolare ed al responsabile del trattamento, non imponendo alcun divieto circa la nomina dell’incaricato, a patto che si tratti di una persona fisica.
Il titolare ed il responsabile possono dunque nominare un incaricato interno o un incaricato esterno in base alle loro preferenze, non dovranno per forza scegliere un incaricato tra i dipendenti della stessa azienda.
In realtà ciò che spesso accade è che l’incaricato venga scelto tra i membri dell’azienda, perché ciò rende più semplice per il titolare e per il responsabile esercitare il controllo sulle azioni da esso compiute. Nulla vieta che l’incaricato venga scelto all’esterno dell’azienda, ma il processo di controllo e di verifica diventerebbe più complesso.
Facendo riferimento al GDPR – e nello specifico all’articolo 28 di questo Regolamento Europeo – vi è l’obbligo di nominare responsabile esterno del trattamento colui che, per un qualunque motivo di natura professionale, si trovi a dover operare con dei dati di cui non detiene la titolarità. Ogni professionista che accede ai dati di un’azienda deve quindi essere nominato responsabile esterno e deve operare sotto la supervisione del titolare del trattamento.
L’incaricato e il DPS
In tema di gestione dei dati sensibili, un documento importante è il DPS, acronimo di Documento Programmatico sulla Sicurezza. Lo scopo di questo documento è dimostrare che l’azienda ha adeguato la gestione dei dati in suo possesso a quanto stabilito dal Regolamento Europeo.
Il Documento Programmatico sulla Sicurezza è un documento obbligatorio e deve essere aggiornato con cadenza annuale (il termine ultimo per l’aggiornamento è il 31 marzo di ogni anno). Nel caso in cui ci dovessero essere dei cambiamenti rilevanti sarebbe opportuno aggiornare il DPS anche prima dello scadere dell’anno, in modo da offrire a coloro che operano con i dati sensibili tutti gli strumenti per gestire questi dati in maniera efficiente e sicura.
All’interno del documento devono essere indicate in maniera precisa diverse informazioni. Vediamo brevemente quali sono le informazioni che non possono mancare in un Documento Programmatico sulla Sicurezza redatto correttamente.
Il DPS deve contenere innanzitutto l’elenco dei trattamenti dei vari dati sensibili in possesso dell’azienda e la distribuzione delle responsabilità che è stata stabilita dal titolare del trattamento dei dati. Il DPS è un documento importante anche perché fornisce una dettagliata analisi dei rischi e quindi delle misure da adottare per mitigare questi stessi rischi e per tenere al sicuro i dati sensibili.
Il documento deve indicare poi il comportamento da tenere nel caso in cui si dovessero riscontrare dei problemi con le informazioni, ad esempio in caso di danneggiamento o di distruzione delle informazioni personali memorizzate. Nel DPS devono essere contenute le operazioni da compiere per ripristinare queste stesse informazioni.
Il documento deve indicare le misure minime di sicurezza e deve anche spiegare come trattare in maniera distinta le informazioni relative all’attività sessuale ed allo stato di salute. Queste informazioni non possono infatti essere gestite insieme alle altre informazioni personali.
Nel DPS sono poi stabilite le modalità di aggiornamento professionale ed i vari interventi formativi che dovranno essere proposti agli incaricati. Tutti gli incaricati del trattamento dei dati dovranno essere informati del Documento Programmatico sulla Sicurezza e del suo contenuto.
Formazione per l’incaricato del trattamento dei dati
Per poter ricoprire il ruolo di incaricato del trattamento dei dati è necessario seguire un corso di formazione, al termine del quale si potranno avere tutte le competenze richieste per poter gestire i dati nel migliore dei modi.
Su Alteredu è possibile trovare dei corsi certificati dedicati a questo ruolo professionale e differenziati per durata e settore di interesse. Tra i corsi più frequentati bisogna segnalare il corso Soggetto Incaricato Trattamento Dati interno, che è suddiviso in quindici moduli ed ha una durata totale di venti ore. Al termine del corso sarà consegnato allo studente un certificato riconosciuto.
Chi invece dovrà operare con i dati sensibili dovrebbe seguire il corso Soggetto Incaricato o Addetto Trattamento Dati. La durata in questo caso è di quattro ore e, come per il precedente corso, al termine dell’apprendimento sarà rilasciato un attestato.
Su Alteredu si trova anche un corso dedicato agli Addetti al Trattamento dei Dati Reg UE 679/2016 – GDPR. Il corso ha una durata di quattro ore ed è stato inserito tra i percorsi di formazione dell’iniziativa Solidarietà Digitale, a cui Alteredu ha deciso di prendere parte.
Va segnalato infine il corso di formazione rivolto agli Addetti / Autorizzati al Trattamento Dati nella Scuola. Il percorso ha una durata complessiva di quattro ore ed è rivolto ai professionisti che, nel corso della loro attività lavorativa, dovranno trattare dati personali e sensibili in ambito scolastico. Aver portato a termine questo corso certificato potrà essere un ottimo traguardo da aggiungere al proprio curriculum.
