Si constata che la 'scomparsa' della figura del vecchio 'responsabile interno' continua a creare incertezze di non poco conto.
Vorrei riuscire a spiegare che, forse, la situazione è (una volta tanto) meno complicata di quanto si prefigura.
Provo a farlo con la seguente scaletta di affermazioni:
1) il Regolamento UE 2016/679 configura chiaramente il Responsabile (ex art. 28) come un soggetto terzo rispetto al Titolare, un fornitore la cui peculiarità è trattare dati per conto del medesimo; onde evitare confusione, è consigliabile (oltre che corretto) non parlare più di Responsabili (dal punto di vista 'privacy', s'intende), quando si ha a che fare con soggetti (pur di fascia / livello di inquadramento elevati) che appartengono all'organizzazione del Titolare;
2) tutti coloro che rientrano nell'organico dell'ente – pur definibili (salvo quanto sopra) come meglio si ritiene (perché ciò che conta è l'applicazione effettiva delle misure e non il nomen iuris e/o la denominazione che si correlino ai soggetti dei trattamenti e alla cautele adottate) – si possono chiamare 'incaricati' o 'autorizzati' (non senza tenere conto della diversità semantica tra i due vocaboli) del Titolare;
3) definire tutti i dipendenti dell'ente/Titolare (in questo caso, una scuola) come incaricati o autorizzati non genera alcun rischio di appiattimento/disconoscimento dei livelli gerarchici, delle connesse responsabilità e mansioni, semplicemente perché tutte quelle differenze si riaffacceranno inevitabilmente nei singoli atti di nomina (con i rispettivi profili di autorizzazione ai trattamenti) ed eventualmente nelle istruzioni impartite, a misura della riconducibilità ad ogni incaricato o gruppo di incaricati di specifici trattamenti di dati.
Il Direttore dei Servizi Generali ed Amministrativi, in quanto soggetto/funzione che opera sotto l'autorità del Titolare, non può a mio avviso rifiutare la nomina ad incaricato/autorizzato in quanto tale; semmai può chiedere/pretendere che l'atto di nomina che non sia adeguato o corretto ovvero ritagliato sulla funzione svolta, sia modificato in modo da aderire effettivamente alla funzione e ai trattamenti di dati che si legano al suo svolgimento.
