In materia di “organigramma” privacy il D.lgs. 101/2018 ha introdotto l’articolo 2-quaterdecies del Codice della privacy, che ha consentito di individuare i soggetti “designati” per specifici compiti. Si tratta di ruoli aziendali o dell’ente pubblico intermedi tra il titolare del trattamento e gli autorizzati. Peraltro, la individuazione del “soggetto designato” non è di per sé obbligatoria, ma è tanto più opportuna in strutture di media o grande dimensione.
Per garantire che siano rispettate le norme del Regolamento UE 679/2016 in relazione ai trattamenti che i responsabili debbano eseguire per conto del titolare, il Legislatore Europeo ha previsto, tra l’altro, che l’esecuzione dei compiti del responsabile venga disciplinata da un atto con valenza giuridica, nomina quindi non più meramente facoltativa ma obbligatoria in forza di un contratto o altro atto giuridico vincolante.
L’articolo 37, par. 1, del GDPR prevede che il titolare e il responsabile del trattamento designino il responsabile della protezione dei dati (c.d. DPO). Il Garante per la protezione dei dati personali spiega che l'atto di designazione è parte costitutiva dell'adempimento. Questo vale sia nel caso in cui si designi un interno, sia ovviamente nel caso di DPO esterno.
Sbagliare la qualifica privacy può costare caro. La sanzione prevista dal Gdpr arriva fino a 10 milioni di euro o, se superiore, fino al 2% del fatturato mondiale annuo delle imprese. Per evitare ciò le imprese e le pubbliche amministrazioni devono districarsi tra le varie qualifiche e mettere sempre nero su bianco in un apposito atto/contratto il risultato di questo approfondimento. La mancata formalizzazione di ruoli è, infatti, autonomamente sanzionata, come è dimostrato dai provvedimenti n. 292, 293 e 294 del 22/7/2021.
