Data protection

Gli obblighi del titolare del trattamento in riferimento agli adempimenti di cui agli artt. 13, 15-21,24,28, 29, 30 e 35 del GDPR e art. 2-quaterdecies Codice Privacy, art. 11, d.lgs. 104/22 e GPDP- Provvedimenti del 27.11.2008 e 25.6.2009

Alla luce della vigente normativa di settore in materia di protezione dei dati, il trattamento di dati personali è lecito solo a condizione che lo stesso si fondi su una delle basi giuridiche previste dal Regolamento (cfr. artt. 5, par. 1, lett. a), 6, 9 e 10 del Regolamento) e sia assicurato il rispetto dei principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Nell’ambito dell’organizzazione del titolare del trattamento (i.e., l’azienda o l’ente), i dati personali possono essere trattati solo da persone fisiche che, in ragione del ruolo ricoperto e delle funzioni svolte, sono stati autorizzati e istruiti in ordine al trattamento dei dati (cfr. artt. 4, n. 10: “(omissis) le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare (omissis)”), 28, par. 3, lett. b), 29 e 32, par. 4: “Il titolare (omissis) fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento (omissis)” , del Regolamento e art. 2-quaterdecies del Codice[1].

A tale proposito si rileva come, l’art. 29 del Regolamento[2] stabilisce che chiunque agisca sotto l’autorità del titolare del trattamento, che abbia accesso a dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare, salvo che lo richieda il diritto dell’Unione o degli Stati membri. Pertanto, il titolare può adibire al trattamento di dati personali soltanto persone fisiche che, nell’ambito della propria organizzazione, operino “sotto la sua autorità” e che siano state “istruit[e] in tal senso”.

Al riguardo, il Comitato europeo per la protezione dei dati (EDPB)-  nelle “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”  del 7 luglio 2021 – ha chiarito che il titolare del trattamento, “che decide di trattare direttamente i dati utilizzando le proprie risorse interne, ad esempio attraverso il proprio personale”, anziché ricorrere a un responsabile del trattamento, impiega “dipendenti e le altre persone che agiscono sotto [la sua] autorità diretta […], come il personale assunto temporaneamente”, e che tali soggetti “conformemente all’articolo 29, […] sono […] vincolati dalle istruzioni del […] titolare”,  specificando che “per “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” si intende quelle “appartenenti alla struttura giuridica del titolare o del responsabile del trattamento (un dipendente o una persona che occupi una posizione molto simile a quella di dipendente, ad esempio il personale fornito da un’agenzia di lavoro interinale), ma solo nella misura in cui siano autorizzate a trattare dati personali” (v., con riguardo all’ordinamento italiano, il “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101”[3], del 5 giugno 2019, doc. web n. 9124510, all. 1, par. 1.2, ove si fa riferimento alle categorie di lavoratori che a vario titolo fanno parte dell’organizzazione del titolare del trattamento).

Il Comitato ha, altresì, precisato che “non rientra in suddetta categoria un lavoratore dipendente o un’altra figura professionale che acceda a dati ai quali non è autorizzato ad accedere e per finalità diverse da quelle del datore di lavoro.”. Pertanto, “un tale dipendente dovrebbe invece essere considerato terzo rispetto al trattamento effettuato dal datore di lavoro”. Ciò in quanto, “per “terzo” si intende pertanto un soggetto che, nella specifica situazione in esame, non è né un interessato né un titolare del trattamento, un responsabile del trattamento o un dipendente”.[4]

Tale orientamento è stato recentemente confermato anche dalla Corte di giustizia dell’Unione europea, affermando che “dall’articolo 4, punto 10, del [Regolamento] risulta che hanno la qualità di «terzi», in particolare, le persone diverse da quelle che, poste sotto l’autorità diretta del titolare del trattamento o del responsabile del trattamento, sono autorizzate a trattare i dati personali” e che “tale definizione comprende persone che non sono dipendenti del titolare del trattamento e non sono sotto il controllo di quest’ultimo” (sent. C-340/21, 14 dicembre 2023, punto 66). 

Considerato che il trattamento di dati personali svolto dal personale inserito nell’organizzazione del titolare, ma privo di formale designazione e istruzione in merito alle tipologie di dati da trattare, alle modalità di trattamento, alle misure di sicurezza da adottare, configura una violazione che, ai sensi dell’art. 83, par. 4 del GDPR, è soggetta a sanzioni amministrative pecuniarie fino a 10 milioni di euro, a carico del titolare del trattamento.

Con la presente si vvuole informare il titolare del trattamento circa l’assoluta necessità di dovere garantire la sua conformità agli obblighi normativi legati ai seguenti aspetti, individuando le funzioni aziendali competenti ed un cronoprogramma degli adempimenti:

[1] Art. 2-quaterdecies (Attribuzione di funzioni e compiti a soggetti designati)

1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

[2] Articolo 29 Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento (C81)

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

[3] Art. 21 Autorizzazioni generali del Garante per la protezione dei dati personali

1. Il Garante per la protezione dei dati personali, con provvedimento di carattere generale da porre in consultazione pubblica entro novanta giorni dalla data di entrata in vigore del presente decreto, individua le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al Capo IX del regolamento (UE) 2016/679, che risultano compatibili con le disposizioni del medesimo regolamento e del presente decreto e, ove occorra, provvede al loro aggiornamento. Il provvedimento di cui al presente comma è adottato entro sessanta giorni dall’esito del procedimento di consultazione pubblica.

2. Le autorizzazioni generali sottoposte a verifica a norma del comma 1 che sono state ritenute incompatibili con le disposizioni del Regolamento (UE) 2016/679 cessano di produrre effetti dal momento della pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del provvedimento di cui al comma 1.

3. Le autorizzazioni generali del Garante per la protezione dei dati personali adottate prima della data di entrata in vigore del presente decreto e relative a trattamenti diversi da quelli indicati al comma 1 cessano di produrre effetti alla predetta data.

4. Sino all’adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 2-quater e 2-septies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 producono effetti, per la corrispondente categoria di dati e di trattamenti, le autorizzazioni generali di cui al comma 2 e le pertinenti prescrizioni individuate con il provvedimento di cui al comma 1.

5. Salvo che il fatto costituisca reato, le violazioni delle prescrizioni contenute nelle autorizzazioni generali di cui al presente articolo e nel provvedimento generale di cui al comma 1 sono soggette alla sanzione amministrativa di cui all’articolo 83, paragrafo 5, del Regolamento (UE) 2016/679.

[4] Cfr. “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” del 7 luglio 2021, parr. 78, 88 e 89.

[5] SATD: è il Soggetto autorizzato al Trattamento con delega; viene nominato dal titolare del trattamento e la delega comprende i seguenti poteri: nomina dei Soggetti autorizzati al Trattamento (SAT) e dei Referenti Privacy; nomina del responsabile del trattamento.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

sicurezza dei dati personali
Fascicolo Sanitario Elettronico

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Elenco dipendenti
La trasmissione degli elenchi del personale ai sindacati in caso di elezioni delle RSU aziendali
22 Febbraio 2025
il governo dellAI
Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.
31 Maggio 2025
Garante privacy
Il trattamento dei dati personali attraverso la Piattaforma nazionale di telemedicina: via libera del Garante Privacy.
12 Aprile 2025

Start typing and press Enter to search