La nomina dell’incaricato del trattamento dei dati personali, ai sensi del GDPR, è l’atto formale con cui il titolare (o il responsabile) indica le persone autorizzate a trattare dati personali, definendone compiti, limiti e obblighi. Serve a chiarire chi può accedere e operare sui dati, a vincolarli a istruzioni e misure di sicurezza e a stabilire obblighi di riservatezza e responsabilità, contribuendo così alla conformità normativa, alla gestione del rischio e alla prova di diligenza in caso di ispezioni o incidenti.
Come scrivere Nomina incaricato trattamento dati personali GDPR
Una nomina di incaricato del trattamento dei dati personali conforme al GDPR deve essere redatta per iscritto (anche in formato elettronico) e contenere in modo chiaro e specifico tutti gli elementi che definiscono l’identità delle parti, l’ambito di intervento, le responsabilità e le garanzie richieste. Il documento deve indicare l’identità del soggetto che conferisce l’incarico (titolare o responsabile esterno), con i riferimenti della struttura aziendale o dell’unità organizzativa competente, e identificare con precisione la persona incaricata (nome, qualifica/ruolo aziendale, eventuale matricola o codice dipendente, contatti) o, se si tratta di un incarico a più persone, la categoria o l’ufficio cui si riferisce la nomina. Devono essere descritti con dettaglio lo scopo e le finalità del trattamento che l’incaricato è autorizzato a svolgere, le operazioni consentite (es. raccolta, registrazione, conservazione, consultazione, modifica, cancellazione, comunicazione), nonché le categorie di dati personali trattati e le categorie di interessati a cui si riferiscono (clienti, fornitori, dipendenti, etc.). È importante precisare il perimetro operativo e i limiti dell’incarico: luoghi, strumenti e sistemi informatici sui quali è permesso intervenire, modalità di accesso, eventuali divieti (ad es. trasferimento a terzi, utilizzo per finalità diverse) e condizioni per eventuali attività di trattamento fuori sede o in mobilità.
La nomina deve esplicitare le istruzioni operative cui l’incaricato è tenuto a conformarsi, rimandando se necessario a procedure interne, manuali o linee guida aziendali, e indicare gli obblighi specifici in materia di riservatezza e protezione dei dati, compresa la permanenza del dovere di segretezza anche dopo la cessazione dell’incarico. Devono essere richiamate le misure tecniche e organizzative di sicurezza che l’incaricato deve osservare (ad esempio autenticazione, controllo accessi, backup, aggiornamenti, uso di dispositivi crittografici), in coerenza con l’articolo 32 del GDPR, e l’obbligo di segnalare immediatamente al titolare o al responsabile della sicurezza ogni violazione dei dati personali ai sensi degli articoli 33 e 34. Va chiarito anche il rapporto con il responsabile della protezione dei dati (DPO), se presente, e l’obbligo di collaborazione con le attività di controllo e verifica interne; devono inoltre essere indicate le modalità di rendicontazione e conservazione dei documenti relativi al trattamento, in ottica di responsabilizzazione (accountability).
La durata dell’incarico e le condizioni di cessazione o revoca devono essere specificate: periodo di validità, cause e modalità di revoca, obblighi conseguenti alla cessazione (restituzione o cancellazione dei dati, consegna dei supporti, segnalazione di eventuali copie residue). La nomina dovrebbe prevedere anche l’obbligo di partecipare a formazione specifica in materia di protezione dei dati e le eventuali sanzioni o misure disciplinari in caso di inosservanza delle istruzioni. È opportuno richiamare il fondamento giuridico del trattamento ove pertinente (ad esempio adempimento di obblighi contrattuali o legali, consenso, interessi legittimi) e collegare la nomina alle politiche aziendali di conservazione e cancellazione dei dati, indicando i termini di conservazione applicabili o rimandando alle tabelle di retention aziendali.
Se l’incaricato è un soggetto esterno qualificabile come responsabile del trattamento ai sensi dell’articolo 28 del GDPR, la nomina deve assumere la forma di un contratto scritto o di altro atto giuridico che vincoli il responsabile, includendo materie specifiche richieste dal medesimo articolo: oggetto e durata del trattamento, natura e finalità, tipo di dati personali, categorie di interessati, obblighi e diritti del titolare; obblighi del responsabile in materia di sicurezza, segreto professionale, utilizzo di sub-responsabili, assistenza al titolare per l’esercizio dei diritti degli interessati, supporto per la notifica di violazioni, criteri per la restituzione o eliminazione dei dati al termine del servizio e facoltà di ispezione e controllo. Il documento formale di nomina dovrebbe essere firmato da chi conferisce l’incarico e dall’incaricato (o da un rappresentante legale del responsabile esterno) con data di efficacia, e rimandare ad eventuali allegati operativi (elenco dettagliato delle attività autorizzate, policy, istruzioni tecniche, registro degli accessi) che completino la descrizione delle modalità di esecuzione. Infine, per rispettare il principio di aggiornamento, la nomina deve poter essere aggiornabile e archiviata nella documentazione di compliance del titolare, in modo da dimostrare in ogni momento l’esistenza e il contenuto dell’incarico agli organi di controllo.
Esempio Nomina incaricato trattamento dati personali GDPR
Il/La sottoscritto/a in qualità di Titolare del trattamento: _______________ con sede legale in: _______________, codice fiscale / partita IVA: _______________,
nomina
il/la Sig./Sig.ra: _______________, nato/a a: _______________ il: _______________, codice fiscale: _______________, residente in: _______________ / con recapito professionale in: _______________,
incaricato/a del trattamento dei dati personali ai sensi dell’art. 29 del Regolamento (UE) 2016/679 (GDPR) e della normativa nazionale vigente, per lo svolgimento delle attività descritte nel presente atto, alle condizioni di seguito indicate.
1. Ambito e finalità dell’incarico
– Ambito operativo: _______________
– Finalità del trattamento: _______________
– Tipologie di dati personali oggetto di trattamento: _______________ (es. dati identificativi, dati contabili, dati sensibili previsti dalla normativa, ecc.)
– Categorie di interessati: _______________
– Strumenti e supporti utilizzati per il trattamento (cartaceo, elettronico, remoto, dispositivi mobili, ecc.): _______________
2. Durata dell’incarico
– Decorrenza dell’incarico: _______________
– Termine dell’incarico (eventuale): _______________
– L’incarico potrà essere revocato o modificato in qualsiasi momento dal Titolare con comunicazione scritta: _______________
3. Istruzioni e modalità di esecuzione
– L’incaricato dovrà eseguire i trattamenti esclusivamente secondo le istruzioni documentate del Titolare e nel rispetto della normativa vigente.
– Modalità operative specifiche: _______________
– Limiti di accesso e competenze autorizzate: _______________
4. Obblighi dell’incaricato
– Osservare il dovere di riservatezza e confidenzialità su tutte le informazioni acquisite nell’esercizio dell’incarico, anche dopo la cessazione del rapporto.
– Adottare e mantenere le misure di sicurezza tecniche e organizzative previste dal Titolare e dalla normativa (art. 32 GDPR): _______________
– Segnalare tempestivamente al Responsabile della protezione dei dati / al Titolare qualsiasi violazione dei dati personali (data breach) o incidente di sicurezza e collaborare alle conseguenti azioni correttive: _______________
– Non utilizzare i dati per finalità personali o incompatibili con le istruzioni ricevute.
– Collaborare con il Titolare per l’esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità): _______________
– Partecipare ai corsi di formazione e aggiornamento in materia di protezione dei dati organizzati dal Titolare: _______________
5. Trattamento da parte di ulteriori incaricati o responsabili
– Ogni eventuale affidamento di trattamenti a terzi o designazione di subincaricati dovrà essere preventivamente autorizzata per iscritto dal Titolare e soggetta a idoneo atto di nomina (art. 28 GDPR): _______________
6. Sicurezza dei dati e misure minime richieste
– Misure tecniche e organizzative minime da applicare (es. accesso autenticato, password policy, crittografia, backup, controlli di accesso fisici): _______________
– Uso consentito di dispositivi e supporti informatici: _______________
– Regole per la conservazione, archiviazione e cancellazione dei dati: _______________
7. Responsabilità e sanzioni
– L’incaricato è responsabile per il rispetto delle istruzioni e degli obblighi di cui al presente atto. In caso di violazioni, si applicheranno le misure disciplinari e le eventuali responsabilità previste dalla legge e dal rapporto di lavoro: _______________
8. Restituzione e cancellazione dei dati
– Alla cessazione dell’incarico l’incaricato dovrà restituire al Titolare tutti i supporti contenenti dati personali, copia dei documenti o procedere alla cancellazione sicura secondo le istruzioni ricevute: _______________
9. Registrazione e documentazione
– Il Titolare mantiene la documentazione relativa alla nomina e alle istruzioni impartite. L’incaricato è tenuto a conservare copia delle istruzioni e delle evidenze delle attività svolte ove richiesto: _______________
10. Contatti per gli adempimenti
– Referente interno del Titolare per questioni relative al trattamento: _______________ (nome, ruolo, recapito)
– Responsabile della protezione dei dati (se nominato): _______________ (nome, recapito)
11. Accettazione
– Il/la sottoscritto/a dichiara di aver preso visione delle istruzioni, degli obblighi e delle misure di sicurezza contenute nel presente atto e di accettare la nomina conferita.
Luogo: _______________
Data: _______________
Per il Titolare
Nome e qualifica: _______________
Firma: _______________
Per presa visione e accettazione dell’Incaricato
Nome e qualifica: _______________
Firma: _______________