Art. 29 GDPR — Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento

Commento

Personale autorizzato al trattamento

L'art. 29 GDPR disciplina il personale che tratta dati sotto l'autorità del titolare o del responsabile. La regola è chiara: chiunque agisca sotto la loro autorità e abbia accesso a dati personali non li tratta se non è istruito a farlo dal titolare, salvo che lo richieda il diritto UE o degli SM. La norma assicura che il trattamento sia governato dalla volontà del titolare e non da iniziative individuali del personale. È regola di accountability operativa: il personale è strumento, non decisore.

Istruzione documentata (regola generale)

L'istruzione documentata è il pilastro: ogni dipendente, collaboratore, consulente che tratta dati deve farlo sulla base di istruzioni scritte (policy, procedure, brief, mansionari). Le istruzioni definiscono cosa il personale può e deve fare, quali finalità, quali limiti, quali misure di sicurezza adottare. Senza istruzioni documentate, il trattamento è non autorizzato e il titolare risponde di accountability. Le linee guida EDPB hanno richiesto policy granulari per ruoli e formazione documentata.

Eccezione: obbligo legale UE/SM

L'eccezione del par. 1 (obbligo legale UE/SM) opera quando una norma imponga al singolo dipendente di trattare i dati (es. magistrati nell'esercizio delle loro funzioni, dipendenti AdE per controlli fiscali). In questi casi il personale agisce direttamente in forza della legge, non solo dell'istruzione del titolare. È eccezione restrittiva: deve esserci norma specifica che imponga l'obbligo. La giurisprudenza ha applicato la deroga a categorie strettamente professionali.

Identificazione dei soggetti autorizzati

L'identificazione dei soggetti autorizzati è prassi essenziale. Il titolare/responsabile mantiene elenco aggiornato di chi è autorizzato a trattare quali dati, con quale ruolo, con quali strumenti. Per categorie particolari (art. 9) e dati di condanne (art. 10) la profilazione degli accessi è ancora più stringente. Sistemi RBAC (role-based access control) implementano l'identificazione e tracciabilità degli accessi. L'art. 29 si lega all'art. 32 sulla sicurezza.

Formazione e accountability

La formazione del personale è strumento essenziale per dare effettività all'art. 29. L'EDPB e i Garanti nazionali hanno chiarito che la formazione deve essere periodica, ruolo-specifica, tracciata. In ispezione, il Garante chiede evidenze di formazione: registri presenze, contenuti, valutazioni, refresh annuali. La formazione è anche prevenzione del data breach: il fattore umano è causa di gran parte delle violazioni. Programmi efficaci integrano formazione iniziale, refresh, simulazioni phishing, knowledge check.

Rapporto con riservatezza e segreto

L'art. 29 si lega ad obblighi di riservatezza e segreto professionale. Il personale autorizzato è soggetto a obbligo di riservatezza ex contratto e ex norma (per professioni regolamentate). Per categorie particolari ex art. 9, par. 3, il trattamento deve essere effettuato sotto la responsabilità di un professionista soggetto al segreto professionale o di altra persona soggetta a obbligo di segretezza equivalente. La violazione del segreto è sanzionata sia per la responsabilità GDPR sia per quella disciplinare/penale. L'integrazione tra GDPR e codici deontologici è oggi prassi consolidata.

Regola pratica e checklist operativa

Compliance art. 29: (i) elenco aggiornato dei soggetti autorizzati per trattamento; (ii) policy scritte e mansionari; (iii) RBAC con profilazione accessi; (iv) formazione periodica documentata; (v) audit log e revisione accessi; (vi) clausole di riservatezza nei contratti; (vii) per categorie particolari, segreto professionale. Il personale è il primo fronte di accountability operativa.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.