Nomine per le persone autorizzate

L’art. 29 del GDPR dispone che il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento.
Oltre a erogare specifica attività di formazione per le persone autorizzate, i titolari e i responsabili del trattamento devono nominare per iscritto chi tratta i dati sotto la loro autorità.
Una nomina per persone autorizzate conforme al GDPR dovrebbe, tra i molti requisiti, contenere:

• Un obbligo di riservatezza
• Il regolamento aziendale relativo alla privacy e alla data protection
• Le procedure da seguire in caso di data breach
• Un profilo autorizzativo relativo al trattamento dati basato sul principio del “minimo privilegio”