di Enrico Crisci

Sentiamo spesso parlare del responsabile del trattamento dei dati: ma chi è e cosa deve fare  veramente?

La figura chiave per il rispetto della privacy è la prima risposta che molti danno. Sostanzialmente non è altro che una figura professionale collocata all’interno della realtà aziendale e prevista dalla normativa sulla privacy con sostanziali responsabilità e compiti in ambito del trattamento dei dati di terzi, siano esse persone fisiche o giuridiche.
Giuridicamente è prevista, contenuta e definita nell’art. 4 del Decreto Legislativo n. 196/2003, il quale sancisce che il responsabile è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali. Viene designato dal Titolare del trattamento dei dati facoltativamente. E’ designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.
Nell’ambito delle figure professionali che operano in tema di privacy ed all’interno di quella che è una vera e propria gerarchia si colloca un ruolo che, per così dire, è posto ai vertici, sia in tema di compiti e funzioni che di responsabilità. E’ colui che deve sovrintendere alla gestione e tutela dei dati personali considerata, ovviamente, l’area di competenza e responsabilità del “Titolare”.
Tra i compiti e le funzioni del responsabile del trattamento dei dati all’interno dell’azienda vi sono la raccolta, la registrazione, il trattamento e conservazione dei dati personali e sensibili contenuti negli archivi e fascicoli o cartelle, sia su supporto cartaceo che informatico. Lo stesso deve avere cura che l'accesso agli stessi sia consentito solo ai soggetti autorizzati.
Deve adempiere alla comunicazione dei dati ai soggetti esterni nelle forme previste dalla normativa e secondo le istruzioni contenute nel DPS - Documento Programmatico di Sicurezza, che ricordiamo deve essere aggiornato almeno una volta l’anno entro il mese di marzo.
E’ tenuto alla conservazione delle dichiarazioni del consenso al trattamento dei dati personali e sensibili da parte degli interessati, in luoghi sicuri e secondo quanto previsto dal DPS. Deve  impedire l'accesso a terzi non autorizzati nei luoghi in cui sono raccolti e custoditi i dati personali e sensibili ( e giudiziari ), rispettare il segreto professionale sui dati raccolti e sui quali si ha accesso, custodire le credenziali di accesso ( username e password ) agli strumenti elettronici ed informatici in luogo sicuro e modificare periodicamente le password in dotazione secondo quanto viene stabilito nel Documento Programmatico di Sicurezza.
Le altre funzioni e responsabilità sono, specificatamente, attribuite al responsabile del trattamento dei dati dagli articoli 157, 158 e 159 del D. Lgs. n. 196/2003 i quali, rispettivamente così sanciscono i principi di richiesta di informazioni e di esibizione di documenti (per l'espletamento dei propri compiti il Garante può richiedere al titolare, al responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti); i principi di accertamenti (il Garante, anche attraverso l’ausilio della Guardia di finanza, può disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali); ed infine le modalità con sui posso essere effettuati tali controlli.
La figura del responsabile del trattamento dei dati ha da un lato le istruzioni operative da applicare nella quotidiana attività lavorativa all’interno dell’azienda e che sono contenute all’interno del DPS e dall’altro il rispetto dei vincoli operativi sanciti dalla normativa sulla privacy, facendo presupporre, in via consequenziale, che sono necessarie approfondite conoscenze sia normative che pratiche; in ragione di ciò è opportuno che il procedimento di nomina di tale figura sia non solo accompagnata da un’adeguata preparazione ma anche da apposito incarico scritto, nel quale si evidenzino, ulteriormente, i compiti, le funzioni, i riferimenti normativi ed il materiale informativo e formativo consegnato.