L’incaricato del trattamento dei dati personali, così come definito dall’art. 4, comma 1, lettera h) del D.Lgs. n. 196/2003 (cd. Codice privacy) è “la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile”.
È opportuno sottolineare come a differenza del titolare o del responsabile, che possono essere anche persone giuridiche, l’incaricato deve essere esclusivamente una persona fisica in quanto esecutore materiale del trattamento dei dati personali, sotto le direttive e le istruzioni particolari impartite dal titolare o dall’eventuale responsabile.
Per poter operare, l’incaricato deve essere inoltre autorizzato tramite apposita designazione (ad esempio, riferendoci all’ambito degli enti locali, tramite determinazione dirigenziale). Il provvedimento di designazione viene sottoscritto dal personale incaricato semplicemente per ricevuta e non per accettazione trattandosi di nomina obbligatoria.
Nel provvedimento è necessario infine individuare l’ambito del trattamento consentito ai singoli incaricati e configurare i profili di autorizzazione degli stessi in modo da limitare eventualmente l’accesso a taluni dati al solo personale incaricato del relativo trattamento.Lo ricorda il provvedimento n. 280, dell’11 ottobre 2012, del Garante per la protezione dei dati personali, noviziato nella Newsletter dell’Autorità del 12 dicembre 2012.
Nel suo intervento il Garante afferma che l’accesso alle informazioni relative ai dipendenti, acquisite nel protocollo informatico in cui vengono registrati i documenti in entrata e in uscita di un ente pubblico o anche di una azienda, deve essere limitato al solo personale specificamente incaricato della gestione di determinati dati personali dei dipendenti.
Nel caso specifico trattato dall’Autorità a seguito segnalazione di una dipendente di Enac in servizio all’aeroporto di Milano Malpensa, è stato accertato che non erano stati correttamente individuati e configurati i profili di autorizzazione dei diversi incaricati.
Infatti, contestazioni disciplinari, rilascio di permessi L. n. 104/1992 o ancora sussidi per mense scolastiche riferiti a dipendenti dell’aeroporto, acquisiti al protocollo, erano visibili e leggibili indistintamente da tutto il personale in servizio presso gli uffici amministrativi e operativi, ivi compreso il personale addetto a mansioni non necessariamente collegate all’ufficio personale, protocollo e dirigenziale.
Accessibilità e visibilità indistinte si pongono in contrasto con il principio di necessità enunciato dall’art. 3 del Codice privacy e violano al contempo le disposizioni sulle misure minime di sicurezza e quelle in materia di gestione documentale secondo le quali “il sistema di protocollo informatico deve consentire il controllo differenziato dell’accesso alle risorse del sistema per ciascun utente o gruppo di utenti”.
Provvedimento n. 280 dell’11 ottobre 2012 del Garante per la protezione dei dati personali [1]