L'art. 2-quaterdecies del d.lgs. n. 196/2003 (cd. Codice Privacy) prevede la possibilità che sotto il proprio assetto organizzativo e, soprattutto, sotto la propria responsabilità, tramite le modalità più opportune, il Titolare ed il Responsabile possano attribuire determinate funzioni e compiti, per il trattamento dei dati, a persone fisiche appositamente designate (c.d. "soggetti autorizzati"). Tale figura sostituisce quella dell'incaricato, previsto dal previgente art. 30 del Codice Privacy, la cui disciplina è stata abrogata dal d.lgs. n. 101/2018 di adeguamento al GDPR.
Il nuovo art. 2-quaterdecies assume una particolare rilevanza in quanto risolve in parte le diverse problematiche sorte a seguito di quanto stabilito dall'art. 28 del GDPR che concepisce il solo responsabile esterno del trattamento. Viene poi precisato che il titolare, il quale intenda effettuare un trattamento connesso all'esecuzione di un compito di pubblico interesse che presenta rischi particolarmente elevati, deve obbligatoriamente chiedere la previa autorizzazione del Garante.
Fonti: Guida "Responsabile del trattamento" da Leggi d'Italia, in Pratica Legale - GDPR del 14/11/2018