In qualità di esperto in protezione dei dati, questa introduzione illustra lo scopo e i principi che devono guidare la redazione di una nomina dell’incaricato del trattamento ai sensi del GDPR. La nomina non è un mero adempimento formale: serve a chiarire responsabilità, limiti operativi e obblighi di riservatezza per le persone autorizzate a trattare dati personali nell’ambito dell’organizzazione, garantendo conformità alle disposizioni del GDPR (in particolare art. 29 e, ove applicabile, art. 28 e art. 32).
Una nomina efficace indica chi è incaricato, quali categorie di dati e operazioni sono autorizzate, la durata dell’incarico, le istruzioni operative, gli obblighi di riservatezza e sicurezza, nonché le modalità di revoca e controllo. Deve inoltre prevedere obblighi di formazione e di cooperazione con il titolare o con il responsabile esterno e, se presente, con il DPO. La documentazione scritta della nomina è essenziale per dimostrare il principio di accountability previsto dal Regolamento.
Questa guida fornirà un modello operativo, le clausole indispensabili, esempi pratici e una checklist di verifica per redigere una nomina chiara, proporzionata al rischio e facilmente integrabile nelle procedure interne. Seguendo i passaggi proposti, potrete predisporre atti che tutelino sia l’interessato sia l’organizzazione, riducendo il rischio di non conformità.
Come scrivere una Nomina incaricato trattamento dati personali GDPR
Prima di redigere la lettera di nomina è indispensabile determinare con chiarezza la natura dell’incarico e la sua base giuridica: occorre stabilire se si tratta della nomina di un incaricato interno ai sensi dell’articolo 29 del GDPR, ovvero della stipula di un contratto con un responsabile esterno ai sensi dell’articolo 28. La scelta condiziona forma e contenuti obbligatori del documento e le relative tutele; definire preliminarmente finalità, durata, ambito operativo e categorie di dati coinvolti permette di costruire una nomina conforme e proporzionata ai rischi connessi al trattamento.
La nomina deve essere sempre documentata per iscritto; nel caso del responsabile esterno questa forma scritta si traduce in un contratto o atto giuridico che disciplini in modo dettagliato i reciproci obblighi, mentre per l’incaricato interno è opportuno predisporre un atto di designazione che contenga istruzioni operative e regole di comportamento vincolanti. Il contenuto deve essere preciso: occorre descrivere lo scopo del trattamento, la durata dell’incarico, le operazioni di trattamento autorizzate e i limiti di accesso ai dati, affinché il soggetto incaricato agisca esclusivamente su istruzioni documentate del titolare e non oltre i compiti assegnati.
La disciplina della riservatezza deve essere esplicitata e rafforzata con clausole che impongano l’obbligo di segretezza e di non divulgazione, nonché misure per la custodia sicura dei dati. Per il personale interno la riservatezza può trovare copertura anche nel codice etico o nel regolamento aziendale, ma è comunque necessario un atto che specifichi gli obblighi e le conseguenze in caso di violazione; per il responsabile esterno tali obblighi devono essere parte integrante del contratto e prevedere sanzioni contrattuali in caso di inadempimento.
Il documento deve indicare e prescrivere le misure tecniche e organizzative adeguate a mitigare i rischi per i diritti e le libertà degli interessati; tali misure vanno descritte con sufficiente dettaglio per essere attuabili e verificabili, includendo criteri per l’accesso, la pseudonimizzazione eventuale, il controllo degli accessi, la cifratura dei dati quando necessario, la gestione delle copie di backup e la conservazione sicura dei supporti. Per i responsabili esterni è opportuno richiedere la documentazione che attesti l’effettiva implementazione di tali misure e prevedere verifiche periodiche o audit a campione per la verifica della conformità.
La disciplina dei sub-responsabili richiede particolare attenzione: la nomina deve stabilire se è consentito ricorrere a sub-fornitori, con quali modalità, e se è richiesta l’autorizzazione preventiva e scritta del titolare. Nel contratto bisogna imporre al sub-responsabile obblighi equivalenti a quelli previsti per il responsabile principale, prevedendo la responsabilità contrattuale del responsabile verso il titolare per il comportamento dei sub-responsabili, nonché la possibilità di rescindere o sospendere l’uso di sub-responsabili non conformi.
Devono essere previste modalità e termini per la notifica delle violazioni dei dati personali: il nominativo incaricato o il responsabile esterno devono impegnarsi a comunicare al titolare qualsiasi violazione dei dati senza ingiustificato ritardo e fornire tutte le informazioni necessarie per adempiere agli obblighi di notifica verso le autorità di controllo e gli interessati, qualora ricorrano i presupposti. Il contratto o l’atto di nomina deve anche disciplinare l’assistenza che il soggetto nominato deve prestare al titolare per l’esercizio dei diritti degli interessati, per la gestione delle richieste e per l’eventuale supporto nella valutazione d’impatto sui trattamenti.
La gestione delle istruzioni e il principio di “solo su istruzioni documentate” vanno formalizzati: qualsiasi variazione delle istruzioni fornite al soggetto incaricato deve essere tracciata e approvata per iscritto; il titolare deve mantenere un registro delle decisioni che incidono sull’ambito del trattamento e il soggetto incaricato deve conservare evidenze delle istruzioni ricevute e delle azioni eseguite. È inoltre necessario disciplinare l’accesso dei soggetti incaricati ai dati, prevedendo controlli e registrazione degli accessi, nonché procedure di revoca immediata delle credenziali in caso di cessazione dell’incarico o di cambiamento delle mansioni.
Alla cessazione dell’incarico la nomina deve prevedere regole chiare sulla restituzione o cancellazione dei dati: il documento deve fissare le modalità con cui i dati devono essere restituiti al titolare o eliminati in modo irreversibile, i termini entro i quali ciò deve avvenire e le evidenze da fornire. Nel caso di rapporti contrattuali, è opportuno inserire clausole che consentano al titolare di eseguire verifiche post-cessazione per garantire che i dati non siano trattenuti o utilizzati ulteriormente.
La disciplina della responsabilità e delle garanzie contrattuali non può essere trascurata: la nomina deve chiarire gli obblighi di indennizzo, la ripartizione delle responsabilità in caso di violazioni e le modalità di risoluzione delle controversie, sempre nel rispetto del quadro normativo applicabile. È consigliabile prevedere una clausola che obblighi il soggetto incaricato a informare il titolare di qualsiasi richiesta da parte dell’autorità di controllo che implichi l’accesso ai dati oggetto di trattamento, salvo vieti obblighi di legge.
Infine, la nomina deve essere accompagnata da misure organizzative a supporto: formazione specifica per gli incaricati, aggiornamenti periodici sulle procedure e sui rischi, e integrazione della nomina nel sistema di governance della protezione dei dati dell’ente. Tutta la documentazione relativa alla nomina e alle attività collegate deve essere conservata in modo ordinato e accessibile per dimostrare la conformità in caso di ispezione da parte dell’autorità di controllo o per esigenze interne di audit.
Esempio di Nomina incaricato trattamento dati personali GDPR
Il/La sottoscritto/a _____________, in qualità di Titolare del trattamento dei dati personali dell’organizzazione/ente _____________ con sede legale in _____________, codice fiscale/partita IVA _____________ (di seguito, “Titolare”),
premesso che
– il Titolare svolge le attività di: _____________;
– il Titolare è tenuto ad adottare misure organizzative e tecniche per garantire il corretto trattamento dei dati personali in conformità al Regolamento UE 2016/679 (GDPR) e alla normativa nazionale vigente;
nomina
– il/la Sig./Sig.ra _____________, nato/a a _____________ il _____________, residente in _____________, codice fiscale _____________, con ruolo/funzione aziendale _____________ (di seguito, “Incaricato”), quale incaricato del trattamento di dati personali ai sensi dell’art. 29 del GDPR e secondo le disposizioni interne dell’organizzazione, per le attività e limiti di seguito indicati.
1. Finalità e attività oggetto dell’incarico
L’Incaricato è autorizzato a compiere, per conto e su istruzioni del Titolare, esclusivamente le seguenti operazioni di trattamento:
– Tipologia di attività: _____________ (es. raccolta, registrazione, organizzazione, conservazione, consultazione, comunicazione, cancellazione, distruzione);
– Finalità del trattamento: _____________ (es. gestione amministrativa, gestione del personale, fatturazione, assistenza clienti);
– Sistemi e strumenti utilizzati: _____________ (es. gestionale _____________, posta elettronica aziendale, file cartacei, dispositivi mobili);
– Ambiti operativi: _____________ (es. ufficio amministrazione, reparto vendite, call center).
2. Categoria di dati e categorie di interessati
– Dati oggetto del trattamento: _____________ (es. dati identificativi, contatti, dati fiscali, dati giudiziari, dati sensibili/particolari);
– Categorie di interessati: _____________ (es. clienti, fornitori, dipendenti, candidati).
3. Limiti di accesso e responsabilità
– L’Incaricato potrà accedere e trattare esclusivamente i dati necessari per lo svolgimento delle attività sopra indicate e nel rispetto delle istruzioni del Titolare.
– È fatto assoluto divieto all’Incaricato di trattare dati per finalità diverse, di comunicare o diffondere dati a soggetti non autorizzati e di trasferire dati fuori dall’Unione Europea senza espressa autorizzazione scritta del Titolare.
– L’Incaricato è responsabile del mantenimento della riservatezza e della sicurezza dei dati secondo le misure indicate nel presente documento e nelle procedure interne.
4. Obblighi specifici dell’Incaricato
L’Incaricato si impegna a:
a) osservare le istruzioni scritte e le procedure interne fornite dal Titolare relative al trattamento dei dati personali;
b) mantenere la riservatezza sui dati personali, anche dopo la cessazione dell’incarico;
c) utilizzare credenziali di accesso personali e non condividerle con terzi;
d) adottare le misure di sicurezza tecniche e organizzative previste (password, autenticazione a più fattori, cifratura quando richiesta, utilizzo di dispositivi aziendali, ecc.);
e) segnalare immediatamente al Responsabile della protezione dei dati (DPO) o al referente designato del Titolare qualsiasi incidente di sicurezza o violazione dei dati personali (data breach) e qualsiasi richiesta, diffida o esercizio dei diritti degli interessati;
f) partecipare ai corsi di formazione in materia di protezione dei dati organizzati dal Titolare e aggiornarsi secondo le modalità aziendali;
g) non conservare copie non autorizzate di dati personali all’esterno dei sistemi aziendali e distruggere o restituire documenti e supporti alla cessazione dell’incarico, salvo diversa istruzione del Titolare.
5. Trattamento di categorie particolari di dati
Qualora l’incarico preveda il trattamento di dati particolari (ex art. 9 GDPR) o dati giudiziari (ex art. 10 GDPR), l’Incaricato dichiara di essere stato espressamente autorizzato e formato e di attenersi alle specifiche misure di sicurezza, nonché di trattare tali dati solo nei casi e modi consentiti dalla normativa e dalle istruzioni del Titolare.
6. Misure di sicurezza
L’Incaricato è tenuto ad osservare le seguenti misure minime obbligatorie:
– uso di password complesse e loro periodica modifica: _____________;
– utilizzo di dispositivi aziendali muniti di aggiornamenti e antivirus: _____________;
– cifratura dei dati sensibili: _____________;
– accesso ai locali protetti secondo le procedure: _____________;
– backup e conservazione come da policy: _____________;
– altre misure specifiche: _____________.
7. Durata dell’incarico e revoca
– Il presente incarico ha validità dal _____________ al _____________ (eventuale termine) / fino a revoca.
– Il Titolare si riserva il diritto di revocare o modificare in qualsiasi momento l’incarico per esigenze organizzative, per inosservanza delle disposizioni o per violazione della normativa sulla protezione dei dati; la revoca sarà comunicata per iscritto all’Incaricato.
8. Conseguenze in caso di inadempienza
La violazione degli obblighi assunti dall’Incaricato potrà comportare l’applicazione delle sanzioni previste dalla normativa vigente, nonché provvedimenti disciplinari e/o azioni civili o penali, secondo quanto previsto dalla normativa e dal contratto di lavoro applicabile.
9. Cooperazione con il DPO e con le autorità
L’Incaricato è tenuto a cooperare con il Responsabile della protezione dei dati (DPO) _____________ contattabile a _____________ e, se necessario, con le Autorità di controllo, fornendo le informazioni richieste nell’ambito delle rispettive competenze.
10. Registrazione dell’incarico
Il presente documento costituisce l’atto di nomina e sarà registrato negli archivi aziendali insieme alle istruzioni operative e alle procedure di sicurezza applicabili.
11. Accettazione
Il/la sottoscritto/a Incaricato/a dichiara di aver ricevuto copia del presente atto di nomina e delle relative istruzioni operative e di aver preso visione delle politiche aziendali in materia di protezione dei dati personali e delle misure di sicurezza.
Luogo e data: _____________
Firma del Titolare o suo delegato: _____________
Firma dell’Incaricato per accettazione: _____________
Allegati (se presenti):
– Elenco dettagliato delle operazioni di trattamento e delle istruzioni operative: _____________
– Policy aziendali in materia di protezione dei dati: _____________
– Manuali e procedure tecniche: _____________
– Documentazione formazione: _____________
Nota: questo modello va adattato alla specifica realtà organizzativa e alle procedure aziendali. Per casi complessi o trattamenti particolari è consigliabile il supporto di un esperto legale/privacy.
