La nomina del sub‑responsabile del trattamento è un atto formale e vincolante che regola il rapporto tra il responsabile del trattamento (o il titolare, se previsto) e un soggetto a cui vengono affidate attività di trattamento per conto del titolare. Questa guida offre indicazioni pratiche e sintesi normativa per redigere una nomina chiara, completa e conforme al Regolamento UE 2016/679 (art. 28), con l’obiettivo di trasferire correttamente obblighi e garanzie verso il sub‑responsabile. Troverai i requisiti essenziali che il contenuto deve prevedere (identificazione delle parti, oggetto e durata del trattamento, finalità, tipologie di dati, misure di sicurezza, obblighi di riservatezza, istruzioni del titolare, diritti di audit e modalità di restituzione/cancellazione), suggerimenti su formulazioni contrattuali e indicazioni su come gestire autorizzazioni generali e sub‑sub‑responsabili. Redigere con cura questa nomina riduce i rischi di non conformità e responsabilità condivisa; per situazioni complesse o specifiche consigliamo comunque il confronto con un legale specializzato in privacy.
Come scrivere una Nomina sub responsabile trattamento dati personali
Per predisporre correttamente la nomina di un sub‑responsabile del trattamento dei dati personali è necessario procedere con ordine, cura giuridica e documentazione formale che rispetti i requisiti del regolamento UE 2016/679 (GDPR) e della normativa nazionale applicabile. Il punto di partenza è identificare con precisione il rapporto giuridico tra titolare, responsabile e potenziale sub‑responsabile; il titolare deve avere già in essere un contratto scritto con il responsabile e quest’ultimo non può effettuare ricorso a un sub‑responsabile senza la preventiva autorizzazione del titolare, salvo diversa previsione di un’autorizzazione generale per categorie di operazioni espressa per iscritto. La nomina deve quindi essere formalizzata attraverso un atto scritto che può assumere la forma di contratto o di altro atto giuridico vincolante che specifichi i confini dell’affidamento del trattamento.
Il contenuto dell’atto deve ricomprendere, in forma chiara e inequivocabile, l’oggetto, la durata, la natura e le finalità del trattamento affidato al sub‑responsabile; devono altresì essere indicate le categorie di dati personali coinvolti e le tipologie di interessati cui i dati si riferiscono. È essenziale stabilire che il sub‑responsabile agisce esclusivamente su istruzioni documentate del responsabile e, per il tramite di quest’ultimo, del titolare; la previsione della vincolatività delle istruzioni e della necessità di ottenere autorizzazioni specifiche in caso di modifiche sostanziali dell’attività trattamentale consente di preservare il controllo del titolare sui flussi di dati.
Il testo deve contenere obblighi precisi in materia di riservatezza e sicurezza: il sub‑responsabile deve impegnarsi a garantire che le persone autorizzate al trattamento abbiano un obbligo di riservatezza e a mettere in atto misure tecniche e organizzative adeguate a proteggere i dati personali, proporzionate al rischio e documentate. Occorre altresì prevedere l’obbligo di notificare tempestivamente al responsabile ogni violazione dei dati personali e di collaborare per gli adempimenti di notifica alle autorità competenti e, se del caso, agli interessati.
Deve essere disciplinata la possibilità di ulteriore sub‑appalto: qualora il responsabile conceda l’autorizzazione a ricorrere a ulteriori sub‑responsabili, il contratto deve imporre che ogni sub‑responsabile successivo rispetti gli stessi obblighi previsti per il primo e garantire strumenti di controllo e di responsabilità verso il titolare. È inoltre opportuno inserire clausole che regolino i diritti di controllo e verifica del titolare e del responsabile, prevedendo modalità e limiti delle ispezioni, audit e forniture di evidenze documentali sul rispetto delle misure contrattuali e di sicurezza.
La disciplina relativa alla conservazione dei dati e alla fine del rapporto è cruciale: il contratto deve stabilire che, alla cessazione del servizio o su istruzione del responsabile, i dati devono essere restituiti o cancellati, salvo obblighi di conservazione imposti da norme di legge, con l’obbligo di fornire attestazioni sul corretto smaltimento. Vanno chiarite anche le regole sulla responsabilità contrattuale e le eventuali indennità in caso di inadempimento, inclusa la ripartizione delle responsabilità in caso di danni derivanti da violazioni del regolamento o del contratto.
Quando i trattamenti implicano trasferimenti internazionali di dati, la nomina deve prevedere misure specifiche per conformarsi alle regole sui trasferimenti, con l’indicazione degli strumenti giuridici adottati e con le garanzie tecniche e contrattuali necessarie. Allo stesso modo, il documento dovrebbe prevedere l’obbligo del sub‑responsabile di collaborare con il responsabile per l’esercizio dei diritti degli interessati, fornendo supporto operativo per le richieste di accesso, rettifica, cancellazione, portabilità e per le valutazioni d’impatto quando richieste.
La formalizzazione dell’atto deve essere accompagnata da adeguata attività preparatoria: valutazione e due diligence sul sub‑responsabile, raccolta di evidenze sulle misure di sicurezza effettivamente implementate, verifica delle certificazioni eventualmente possedute e predisposizione di un registro aggiornato delle autorizzazioni a sub‑affidare. L’atto dovrà essere sottoscritto dalle persone legittimate a rappresentare le parti e conservato nella documentazione di compliance del titolare e del responsabile, in modo da poterlo esibire in caso di richieste da parte dell’autorità di controllo o di ispezioni.
Infine, è buona prassi sottoporre la nomina a revisione legale prima della firma definitiva per assicurare la conformità normativa e prevedere meccanismi di aggiornamento del contratto in relazione a cambiamenti tecnologici, organizzativi o normativi. In tal modo la nomina del sub‑responsabile non sarà un mero atto formale, ma uno strumento operativo che garantisce la tutela dei diritti degli interessati e la responsabilizzazione di tutte le parti coinvolte nel trattamento dei dati personali.
Esempio di Nomina sub responsabile trattamento dati personali
Tra le parti:
– ____(Responsabile)____: ___________ con sede legale in ___________, codice fiscale/partita IVA ___________, rappresentata da ___________ in qualità di ___________ (di seguito “Titolare/Responsabile”);
– ____(Sub‑responsabile)____: ___________ con sede legale in ___________, codice fiscale/partita IVA ___________, rappresentata da ___________ in qualità di ___________ (di seguito “Sub‑responsabile”);
Premesso che
– il Titolare/Responsabile è titolare/resp. del trattamento di dati personali in relazione alle attività descritte nel presente atto;
– il Sub‑responsabile ha le competenze e le risorse necessarie per eseguire, per conto del Titolare/Responsabile, le attività di trattamento indicate nel presente documento;
– le parti intendono disciplinare i termini e le condizioni in base ai quali il Sub‑responsabile agirà quale sub‑responsabile ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (di seguito “GDPR”);
si conviene quanto segue.
1. Definizioni
Ai fini del presente accordo si intende per:
– “GDPR”: Regolamento (UE) 2016/679;
– “Dati personali”: le informazioni che si riferiscono a una persona fisica identificata o identificabile, come definite dal GDPR, oggetto del trattamento descritto in Allegato B;
– “Trattamento”: qualsiasi operazione o insieme di operazioni effettuate sui Dati personali ai sensi dell’art. 4 n. 2 GDPR;
– altre definizioni legislative si intendono richiamate nella loro accezione normativa.
2. Oggetto della nomina
Il Titolare/Responsabile nomina il Sub‑responsabile, che accetta, per lo svolgimento delle attività di trattamento descritte in Allegato B, in conformità alle istruzioni documentate fornite dal Titolare/Responsabile e nei termini del presente incarico.
3. Finalità e natura del trattamento
Le finalità, la natura dei trattamenti, le categorie di dati personali e le categorie di interessati sono dettagliate in Allegato B. Il Sub‑responsabile tratterà i Dati esclusivamente per tali finalità e secondo le istruzioni documentate del Titolare/Responsabile.
4. Durata
Il presente incarico ha durata a decorrere dal ___________ fino al ___________, salvo proroga o risoluzione anticipata secondo quanto previsto dalle clausole del presente accordo.
5. Luogo del trattamento e trasferimenti internazionali
Il trattamento sarà effettuato presso le sedi indicate in Allegato B e, se necessario, presso sedi di sub‑fornitori preventivamente autorizzati dal Titolare/Responsabile. Ogni trasferimento di dati verso paesi terzi all’interno o all’esterno dell’Unione Europea dovrà avvenire esclusivamente previa adozione di garanzie adeguate e previa autorizzazione scritta del Titolare/Responsabile, conformemente al Capo V del GDPR.
6. Obblighi del Sub‑responsabile
Il Sub‑responsabile si impegna a:
a) trattare i Dati personali esclusivamente su istruzioni documentate del Titolare/Responsabile;
b) garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette ad adeguato obbligo legale di riservatezza;
c) adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato ai rischi, come descritto in Allegato A;
d) assistere il Titolare/Responsabile, ove applicabile, nell’adempimento degli obblighi relativi ai diritti degli interessati, alle notifiche di violazioni dei dati personali (data breach), all’analisi d’impatto sulla protezione dei dati (DPIA) e alle consultazioni preventive con l’autorità di controllo;
e) notificare al Titolare/Responsabile senza ingiustificato ritardo e comunque entro ___________ ore/giorni dal momento in cui viene a conoscenza, ogni violazione dei dati personali (data breach);
f) mettere a disposizione del Titolare/Responsabile tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente incarico e consentire e contribuire ad audit, comprese ispezioni, effettuate dal Titolare/Responsabile o da un soggetto da questo incaricato, previo congruo preavviso e nel rispetto delle norme sulla riservatezza e sicurezza;
g) non comunicare né diffondere i Dati personali a terzi, salvo quanto espressamente autorizzato per iscritto dal Titolare/Responsabile o previsto dalla legge.
7. Sub‑appalto
Il Sub‑responsabile non potrà incaricare ulteriori sub‑responsabili (sub‑appaltatori) senza il previo consenso scritto del Titolare/Responsabile. In caso di autorizzazione, il Sub‑responsabile assicurerà che il sub‑responsabile successivo sia vincolato per contratto agli stessi obblighi del presente incarico e ne rimarrà integralmente responsabile nei confronti del Titolare/Responsabile per l’adempimento di tali obblighi.
8. Misure di sicurezza
Il Sub‑responsabile dichiara di aver adottato e di mantenere, durante tutta la durata del contratto, misure tecniche e organizzative adeguate a tutela dei Dati personali conformi a quanto specificato in Allegato A. Ogni modifica sostanziale alle misure dovrà essere comunicata per iscritto al Titolare/Responsabile.
9. Riservatezza
Il Sub‑responsabile assicura che tutte le persone autorizzate a trattare i Dati personali si sono impegnate, per contratto o per obbligo legale, a rispettare la segretezza e la riservatezza dei dati.
10. Restituzione e cancellazione dei dati
Alla cessazione del presente incarico o su richiesta del Titolare/Responsabile, il Sub‑responsabile dovrà, a scelta del Titolare/Responsabile, restituire tutti i Dati personali e le copie esistenti, o cancellarli in modo irreversibile entro il termine di ___________ giorni, salvo obblighi di conservazione previsti dalla legge. Su richiesta, il Sub‑responsabile fornirà una dichiarazione scritta che attesti l’avvenuta cancellazione o restituzione.
11. Cooperazione con le autorità di controllo e assistenza
Il Sub‑responsabile si impegna a cooperare con il Titolare/Responsabile e con le autorità di controllo competenti nella gestione di eventuali richieste provenienti dagli interessati o dalle autorità stesse, fornendo tempestivamente le informazioni richieste.
12. Responsabilità e indennizzo
Salvo i limiti di legge, il Sub‑responsabile sarà responsabile per i danni derivanti da trattamento non conforme alle istruzioni del Titolare/Responsabile o alle disposizioni del GDPR. Il Sub‑responsabile terrà indenne e manleverà il Titolare/Responsabile da ogni pretesa, danno, sanzione o costo derivante da violazione degli obblighi assunti con il presente incarico, salvo il caso in cui la responsabilità sia esclusivamente attribuibile al Titolare/Responsabile.
13. Ispezioni e audit
Il Titolare/Responsabile o un suo incaricato potrà effettuare audit periodici presso le sedi del Sub‑responsabile o richiedere la documentazione probatoria dell’adeguatezza delle misure adottate; le ispezioni saranno concordate con congruo preavviso e nel rispetto delle esigenze operative del Sub‑responsabile.
14. Modifiche e aggiornamenti
Ogni modifica al presente incarico dovrà essere concordata per iscritto tra le parti. Qualsiasi aggiornamento necessario per adeguarsi a normative sopravvenute sarà concordato per iscritto.
15. Risoluzione
Il Titolare/Responsabile potrà risolvere immediatamente il presente incarico, previa comunicazione scritta, in caso di violazione grave o ripetuta da parte del Sub‑responsabile degli obblighi previsti dal presente accordo o dal GDPR.
16. Legge applicabile e foro competente
Il presente accordo è regolato dalla legge italiana. Per ogni controversia relativa alla validità, interpretazione, esecuzione o risoluzione del presente incarico sarà competente in via esclusiva il Foro di ___________.
17. Disposizioni finali
Qualora una qualsiasi disposizione del presente accordo sia ritenuta nulla o inefficace, ciò non pregiudicherà la validità delle restanti disposizioni, che continueranno ad avere pieno vigore. Le parti dichiarano di aver preso visione e di accettare espressamente le clausole relative agli obblighi del Sub‑responsabile.
Allegati
– Allegato A: Misure tecniche e organizzative di sicurezza (descrizione dettagliata) — ___________
– Allegato B: Descrizione del trattamento (finalità, categorie di dati, categorie di interessati, durata, sedi di trattamento) — ___________
Luogo e data: ___________
Per il Titolare/Responsabile
Nome e qualifica: ___________
Firma: ___________
Per il Sub‑responsabile
Nome e qualifica: ___________
Firma: ___________
