Lettera di incarico al trattamento

La lettera di incarico al trattamento dei dati è uno strumento necessario nel momento in cui non sia solo il titolare ad accedere ad un sistema, dello studio o dell’azienda, ma un’altra persona incaricata.

Non è importante stabilire se l’incaricato sia un dipendente o un consulente o, ancora, quale tipologia di contratto abbia in essere con il titolare, il regolamento europeo 2016/679 recita:

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento…

Articolo 29

Questo significa che una persona autorizzata ad intervenire, ad esempio su un database di clienti di un sito di e-commerce, non può farlo non solo senza una delega scritta ma, soprattutto, senza un’adeguata formazione.

Chi ha la responsabilità di formare l’incaricato a trattare i dati?

Sempre il titolare del trattamento, colui che ne definisce modalità e finalità.

A tal proposito, è bene chiarire che la lettera di incarico al trattamento richiama alcuni principi, potremmo dire, di carattere etico e, contestualmente, alcune istruzioni pratiche per lo svolgimento dell’attività.

Principi

Senza scomodare eventuali casi di dipendenti o collaboratori infedeli ma restando in un quadro di correttezza, ecco alcuni principi cardine che devono guidare l’attività di trattamento dei dati per conto di qualcun’altro: 

  • il trattamento dei dati deve essere effettuato in modo lecito e corretto;
  • i dati personali devono essere raccolti e registrati unicamente per finalità inerenti l’attività svolta;
  • è necessaria la verifica costante dei dati ed il loro aggiornamento;
  • è necessaria la verifica costante della completezza e pertinenza dei dati trattati;
  • devono essere rispettate le misure di sicurezza predisposte dal Titolare/Responsabile e di cui al documento programmatico sulla sicurezza;
  • in ogni operazione del trattamento  deve essere garantita la massima riservatezza.

Istruzioni

Questa seconda parte, ovviamente, non ha riferimenti standard, ogni singola organizzazione stila, o dovrebbe stilare, una procedura univoca e conosciuta da tutti da seguire nel corso delle attività.

Proviamo a fare alcuni esempi pur tenendo presente che il gdpr non impartisce modelli prestabiliti:

  • Individuare una password di accesso unica e non divulgarla;
  • Cambiare la password ogni 6 mesi;
  • In caso di archivio cartaceo, custodire le chiavi di accesso al luogo di conservazione;
  • Non portare i dati fuori dal luogo di lavoro;
  • In caso di allontanamento dalla postazione di lavoro, assicurarsi che nessuno possa accedere ai dati.

Conclusioni

Per concludere, la scelta del collaboratore che avrà accesso ai dati prevede la responsabilità per il titolare di optare per persone nelle quali riponga la massima fiducia e non solo dal punto di vista delle competenze professionali.

Iscriviti alla newsletter o richiedi una consulenza

Facebook Comments