Responsabilità dell’addetto alla privacy in azienda
I D.Lgs. n° 196 del 30 giugno 2003 definisce la normativa da applicare per il trattamento dei dati personali e la tutela della privacy dei cittadini. Con questo decreto nasce una nuova figura che è il responsabile dei dati personali in azienda. Il decreto fa una chiara distinzione tra Titolare e Responsabile. Il titolare è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Il Titolare a sua volta ha la facoltà di definire e nominare il responsabile del trattamento dei dati personali: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali. A sua volta il responsabile, ma anche il titolare, possono indicare degli Incaricati: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile..
Tutte queste figure appena elencate hanno responsabilità riguardanti la privacy aziendale. Il Titolare è l’unico che può definire un Responsabile, secondo quando indicato dall’art. 29 del DLgs 196/03 il Responsabile deve essere scelto tra soggetti che per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. I compiti e le responsabilità dell’addetto alla privacy vengono delineati dal Titolare stesso, che deve impegnarsi a vigilarne periodicamente l’operato. Il Titolare, o il Responsabile se fosse stato designato, devono indicare in forma scritta gli incaricati che hanno l’autorità per accedere ai dati di ambiti specifici, anch’essi definiti per scritto (art. 30 DLgs 196/2003).
Non esistono indicazioni specifiche che riguardano il tipo di compiti che l’addetto alla privacy in azienda deve svolgere, in quanto questi sono a discrezione del Titolare, che in generale può indicare:
- i dati e le banche dati che il Responsabile deve trattare;
- che tipo di trattamento deve svolgere in base al tipo di dato;
- quale percorso devono seguire i dati sia all’interno che all’esterno dell’azienda;
- quali sono le misure di sicurezza da adottare;
- i limiti decisionali del Responsabile.
In generale l’addetto alla privacy ha la responsabilità dei dati che deve trattare, secondo quanto stabilito dall’art. 15 del dLgs 196/2003 che fa riferimento all’art. 2050 c.c. “ chiunque cagiona danni per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile“. L’articolo del codice civile menzionato obbliga al risarcimento chiunque arrechi danno a un altro, a meno che non ci sia la prova che abbia utilizzato tutti i mezzi a sua disposizione per evitare tale danno. Le responsabilità del Responsabile della privacy sono delineate dalla lettera di incarico firmata dal titolare. Se uno qualsiasi dei compiti assegnati non venga portato termine, provocando un danno a qualcuno, a risponderne direttamente sarà il Responsabile, altrimenti è il Titolare.