L’art. 2‑quaterdecies è uno dei pochi passaggi del nuovo Codice che cerca di calare il GDPR nella complessità organizzativa dei titolari.
Il GDPR inquadra quattro figure tipiche che hanno poteri operativi nel trattamento dei dati personali: titolare, contitolare, responsabile e soggetto autorizzato. Per dottrina consolidata sul GDPR, il responsabile ed il contitolare sono soggetti esterni all’organizzazione del titolare e con loro bisogna intendersi tramite accordi formali per circoscrivere i rispettivi ambiti d’intervento.
Questo vuol dire che, secondo il GDPR, nella struttura del titolare (immaginiamo una ASL) operano il titolare (per il tramite del rappresentante legale della ASL, cioè del direttore generale) e una varietà di soggetti autorizzati al trattamento (per esempio, i singoli operatori del CUP): in mezzo, sembrerebbe esserci il vuoto. In passato, il Garante, basandosi sul vecchio Codice, aveva stabilito che, per le organizzazioni complesse, ci fossero ruoli intermedi che agissero su delega del titolare per attività di ordine organizzativo legate alla privacy: per esempio, per autorizzare un nuovo impiegato al trattamento oppure per segnalare una nuova misura di sicurezza da adottare. Questi soggetti non sono direttamente addetti al trattamento ma, di solito, rivestono ruoli di responsabilità nell’ambito della struttura del titolare (capo reparto, capo unità operativa, ecc.).
L’art. 2‑quaterdecies, quindi, permette al titolare di affidare a questi soggetti incarichi intermedi che sono connessi alla gestione corrente della protezione dei dati personali. Viene, quindi, codificata la possibilità di realizzare un organigramma privacy interno, affiancando alcune deleghe sulla protezione dei dati personali alle ordinarie attività di coordinamento svolte da questi dipendenti.
Le gerarchie: una (ri)scoperta semplice ma ancora efficace.