La nomina dell’incaricato al trattamento dei dati personali rappresenta uno degli aspetti più rilevanti nell’organizzazione interna di ogni realtà che gestisce informazioni riferibili a persone fisiche. Nell’ambito del GDPR, infatti, non è sufficiente adottare regole generali sulla protezione dei dati, ma è necessario individuare con chiarezza chi può accedere ai dati, per quali finalità e secondo quali istruzioni operative. Una corretta formalizzazione di ruoli e responsabilità consente di rafforzare la conformità normativa, ridurre i rischi di trattamenti non autorizzati e dimostrare un’effettiva accountability da parte del titolare del trattamento.
Comprendere come impostare correttamente la nomina degli incaricati significa quindi affrontare un tema che tocca profili organizzativi, documentali e di sicurezza, con importanti ricadute pratiche nella gestione quotidiana delle attività aziendali o professionali. Questa guida offre una panoramica chiara sul quadro di riferimento, sui contenuti essenziali della designazione e sugli accorgimenti utili per predisporre un atto coerente con i principi del Regolamento europeo e con le esigenze operative dell’organizzazione.
Come compilare una nomina incaricato trattamento dati personali GDPR
Una nomina a incaricato del trattamento dei dati personali, nel linguaggio oggi più corretto da ricondurre alla figura della persona autorizzata al trattamento ai sensi del GDPR e della normativa nazionale di adeguamento, deve essere costruita in modo tale da dimostrare con chiarezza chi tratta i dati, per conto di chi, entro quali limiti, con quali istruzioni e con quali responsabilità operative. Non si tratta quindi di un atto meramente formale o interno all’organizzazione, ma di un documento che ha la funzione di tradurre in termini concreti il principio di accountability del titolare, cioè il dovere di organizzare il trattamento in modo controllato, documentato e conforme.
Per essere realmente idonea, la nomina deve anzitutto identificare in maniera precisa il soggetto che conferisce l’incarico. Occorre quindi indicare i dati del titolare del trattamento, o del soggetto che, nell’ambito dell’organizzazione, esercita legittimamente il potere di autorizzare il personale al trattamento. Questo passaggio è essenziale perché la legittimazione dell’incarico deriva dalla struttura organizzativa del titolare e dalla sua responsabilità complessiva nel governo dei dati. Allo stesso tempo, il documento deve individuare in modo inequivoco la persona nominata, con i suoi dati identificativi, il ruolo aziendale, la funzione ricoperta e, se opportuno, l’unità organizzativa di appartenenza. Una nomina generica, priva di collegamento con la concreta posizione lavorativa del soggetto, rischia di essere insufficiente perché non consente di comprendere quali trattamenti egli sia effettivamente chiamato a svolgere.
Un elemento centrale riguarda la descrizione dell’ambito dell’autorizzazione. La nomina non dovrebbe limitarsi ad affermare che il soggetto è autorizzato al trattamento dei dati personali, ma deve chiarire a quali operazioni di trattamento è abilitato e in relazione a quali categorie di dati e di interessati. È necessario cioè delimitare il perimetro effettivo dell’attività consentita. Questo significa specificare, in rapporto alla mansione concretamente svolta, se il soggetto può raccogliere dati, consultarli, registrarli, organizzare archivi, modificarli, trasmetterli internamente, estrarli, cancellarli o compiere altre operazioni. Quanto più il contenuto della nomina aderisce al ruolo effettivo del lavoratore o collaboratore, tanto più il documento risulta coerente con i principi di necessità, minimizzazione e limitazione degli accessi.
La nomina deve poi indicare con sufficiente precisione quali dati possono essere trattati. È importante distinguere se il soggetto accede a dati comuni, a categorie particolari di dati personali, come quelli relativi alla salute, all’origine razziale o etnica, alle convinzioni religiose o all’appartenenza sindacale, oppure a dati relativi a condanne penali e reati, nei limiti consentiti dalla legge. Questa distinzione è giuridicamente rilevante perché l’accesso a dati più delicati richiede un livello maggiore di istruzione, cautela, tracciabilità e protezione. La nomina dovrebbe anche chiarire a quali categorie di interessati i dati si riferiscono, ad esempio dipendenti, clienti, fornitori, utenti, pazienti, candidati, studenti o altre tipologie, in modo da rendere l’autorizzazione ancora più circoscritta.
Un altro contenuto essenziale è rappresentato dalle finalità del trattamento rispetto alle quali l’incaricato è autorizzato a operare. La persona autorizzata non tratta i dati in base a una propria iniziativa autonoma, ma esclusivamente per il perseguimento delle finalità determinate dal titolare. Per questa ragione è opportuno che la nomina spieghi il contesto funzionale in cui il trattamento si inserisce, per esempio gestione del personale, amministrazione del rapporto con i clienti, assistenza tecnica, erogazione di servizi sanitari, gestione contabile o adempimenti normativi. La chiara esplicitazione delle finalità serve anche a ribadire il divieto di usare i dati per scopi diversi, personali o comunque estranei alle mansioni assegnate.
Accanto all’indicazione delle finalità, il documento deve contenere istruzioni vincolanti sulle modalità con cui il trattamento può essere svolto. Questo è uno dei profili più importanti sotto il profilo GDPR, perché la persona autorizzata opera non in piena discrezionalità, ma sulla base di istruzioni fornite dal titolare o dal responsabile, se presente. Le istruzioni devono essere sufficientemente intelligibili e concrete. Devono chiarire, ad esempio, che i dati possono essere consultati solo nella misura necessaria allo svolgimento delle mansioni, che non possono essere comunicati a soggetti non autorizzati, che l’uso delle credenziali informatiche è personale e non cedibile, che ogni attività deve avvenire utilizzando i canali e gli strumenti aziendali autorizzati, che eventuali copie cartacee o digitali devono essere gestite in modo sicuro e che la conservazione dei documenti deve seguire le regole interne del titolare. Una nomina efficace non si esaurisce in clausole astratte di riservatezza, ma trasferisce istruzioni operative concrete e verificabili.
La riservatezza rappresenta un contenuto imprescindibile. La persona nominata deve assumere un obbligo espresso di segretezza e confidenzialità in relazione ai dati trattati e, più in generale, a tutte le informazioni conosciute nello svolgimento dell’incarico. Questo obbligo deve essere formulato in termini tali da restare fermo non solo durante il rapporto di lavoro o collaborazione, ma anche dopo la sua cessazione, nella misura in cui le informazioni non siano divenute legittimamente pubbliche. È importante chiarire che il divieto riguarda tanto la divulgazione intenzionale quanto i comportamenti negligenti che possano esporre i dati a conoscenza indebita, come lasciare documenti incustoditi, inviare comunicazioni al destinatario sbagliato o discutere informazioni riservate in contesti inappropriati.
La nomina dovrebbe inoltre disciplinare il profilo delle misure di sicurezza che l’incaricato è tenuto a osservare. In questo ambito non è necessario riportare sempre l’intero impianto di sicurezza adottato dall’organizzazione, ma è opportuno richiamare in modo chiaro le principali regole comportamentali e tecniche che rilevano per il ruolo assegnato. Rientrano in tale contenuto l’obbligo di custodire correttamente supporti e documenti, proteggere le postazioni di lavoro, bloccare lo schermo in caso di allontanamento, utilizzare password robuste, non installare software non autorizzati, non trasferire dati su dispositivi personali se non consentito, rispettare le politiche di backup e conservazione, attenersi alle procedure per l’uso della posta elettronica e degli strumenti di comunicazione aziendale, nonché segnalare tempestivamente smarrimenti, accessi anomali, violazioni o sospetti incidenti di sicurezza. La nomina, se ben strutturata, collega quindi l’autorizzazione al trattamento a uno specifico dovere di corretto presidio della sicurezza.
Un contenuto di particolare rilievo riguarda i limiti dell’autonomia decisionale. È opportuno che il documento specifichi che la persona autorizzata non può determinare autonomamente finalità e mezzi del trattamento, non può introdurre nuove modalità di utilizzo dei dati, non può creare archivi o banche dati parallele fuori dai sistemi autorizzati e non può comunicare o trasferire dati all’esterno se non nei casi espressamente previsti dall’organizzazione e dalle istruzioni ricevute. Questo passaggio è fondamentale sotto il profilo qualificatorio, perché distingue la figura dell’autorizzato da altri soggetti della filiera privacy e impedisce derive organizzative in cui il personale, di fatto, operi senza regole o in condizioni di indebito potere decisionale.
La nomina deve anche collocare il trattamento all’interno del sistema organizzativo privacy dell’ente o dell’impresa. È quindi utile che richiami l’esistenza di regolamenti interni, policy, procedure, disciplinari tecnici, istruzioni operative, ordini di servizio o manuali che il soggetto nominato è tenuto a conoscere e rispettare. In molti casi, infatti, il documento di nomina non contiene da solo tutte le regole di dettaglio, ma rinvia a un corpus organizzativo più ampio. Dal punto di vista legale, però, è importante che tale rinvio sia chiaro, accessibile e concretamente portato a conoscenza dell’interessato, altrimenti il semplice richiamo formale rischia di avere scarsa efficacia probatoria.
Un altro aspetto da includere è il dovere di cooperazione con il titolare in relazione agli adempimenti privacy. La persona autorizzata deve sapere che, nell’ambito delle sue funzioni, è tenuta a collaborare per garantire il rispetto dei diritti degli interessati, per agevolare l’aggiornamento o la rettifica dei dati, per segnalare eventuali richieste ricevute da clienti, dipendenti o altri soggetti interessati, per contribuire alla corretta gestione dei tempi di conservazione e per supportare l’organizzazione nella ricostruzione delle operazioni compiute sui dati quando ciò sia necessario. Questa cooperazione è particolarmente importante anche nella gestione dei data breach, perché spesso è proprio il personale operativo il primo a rendersi conto di errori, perdite di documenti, accessi indebiti o invii errati.
Dal punto di vista sostanziale, nella nomina è opportuno fare emergere il collegamento tra autorizzazione e formazione. Il GDPR richiede che chi agisce sotto l’autorità del titolare o del responsabile tratti i dati sulla base di istruzioni adeguate e, nella prassi organizzativa corretta, ciò implica anche una formazione specifica e aggiornata. Per questa ragione, il documento può indicare che il soggetto ha ricevuto o riceverà idonea formazione in materia di protezione dei dati personali, di sicurezza delle informazioni e di procedure interne applicabili alla mansione. L’elemento formativo non è un semplice accessorio, ma una componente essenziale per dimostrare che l’autorizzazione non è stata conferita in modo astratto e inconsapevole.
La decorrenza dell’incarico è un altro contenuto che non dovrebbe mancare. È importante indicare da quando l’autorizzazione produce effetti e, se del caso, se essa è collegata alla permanenza in una certa funzione, mansione o unità organizzativa. In molti contesti è opportuno precisare che la nomina resta valida fino a revoca o fino alla cessazione del rapporto o al mutamento delle mansioni. Questa puntualizzazione è utile per evitare incertezze circa la persistenza dell’autorizzazione e per rendere più semplice la gestione degli accessi in caso di trasferimenti interni, promozioni, sospensioni o cessazione del rapporto di lavoro o collaborazione.
Ugualmente rilevante è la previsione relativa alla revoca, modifica o aggiornamento della nomina. Poiché il principio di accountability impone una gestione dinamica del trattamento, il documento dovrebbe chiarire che il titolare può aggiornare le istruzioni, limitare o ampliare gli accessi in relazione all’evoluzione delle mansioni, o revocare l’autorizzazione quando non più necessaria. Questo è particolarmente importante nelle organizzazioni complesse, nelle quali i profili autorizzativi cambiano frequentemente e la documentazione privacy deve rimanere allineata alla realtà operativa.
La nomina dovrebbe inoltre evidenziare le conseguenze derivanti dall’inosservanza delle istruzioni ricevute. Sotto il profilo giuslavoristico, disciplinare, contrattuale e, nei casi più gravi, anche civile o penale, il trattamento illecito dei dati personali può comportare responsabilità rilevanti. Senza trasformare il documento in un testo sanzionatorio, è corretto indicare che il mancato rispetto delle istruzioni, degli obblighi di riservatezza e delle misure di sicurezza può determinare l’applicazione delle conseguenze previste dalla legge, dal contratto di lavoro, dal regolamento interno o dal codice disciplinare. Questo rafforza la funzione di presidio della nomina e rende evidente che l’autorizzazione non è un titolo libero, ma un potere funzionale rigidamente condizionato.
Sotto un profilo più formale, il documento deve essere datato e conservato in modo da poterne dimostrare l’esistenza, il contenuto e l’effettiva conoscenza da parte del destinatario. È quindi opportuno che vi sia una sottoscrizione per presa visione e accettazione, o altra modalità equivalente idonea a provare che la persona autorizzata ha ricevuto le istruzioni. Dal punto di vista probatorio, questo aspetto è molto importante, perché in assenza di una traccia documentale il titolare potrebbe avere difficoltà a dimostrare di aver organizzato correttamente i poteri di accesso e di aver istruito adeguatamente il personale.
In un’impostazione particolarmente rigorosa, la nomina può anche collegarsi ai profili di autorizzazione informatica. Vale a dire che non si limita a descrivere il ruolo astratto della persona, ma richiama i sistemi, gli ambienti digitali, le banche dati o le classi di permessi cui essa può accedere. Questo livello di dettaglio non è sempre indispensabile nel corpo della nomina, ma è certamente utile quando si vuole dare evidenza del principio secondo cui ogni soggetto deve essere abilitato solo a ciò che è necessario per la propria funzione. Tale impostazione è coerente con i principi di integrità e riservatezza e con la buona organizzazione della sicurezza informatica.
Infine, una nomina ben redatta deve evitare ambiguità terminologiche e sovrapposizioni di ruoli. Non deve confondere la persona autorizzata con il responsabile del trattamento esterno, né attribuirle impropriamente compiti decisionali propri del titolare. Deve emergere con chiarezza che il soggetto opera all’interno dell’organizzazione o sotto la sua autorità, secondo istruzioni ricevute, con accessi delimitati e controllati. In questo senso, il documento non è valido solo perché contiene formule standard, ma perché riesce a rappresentare fedelmente il rapporto tra funzione svolta, dati trattati, limiti operativi e responsabilità.
In sintesi, una nomina conforme e sostanzialmente efficace deve contenere l’identificazione del soggetto che autorizza e della persona autorizzata, la descrizione del ruolo e delle mansioni, il perimetro dei dati e delle operazioni consentite, le finalità del trattamento, le istruzioni operative, gli obblighi di riservatezza, le regole di sicurezza, i limiti dell’autonomia, il richiamo alle procedure interne, il dovere di collaborazione, gli aspetti relativi a formazione, decorrenza, durata, aggiornamento e revoca, nonché gli elementi idonei a provarne la conoscenza e l’effettiva operatività. Solo in questo modo la nomina smette di essere una formalità standardizzata e diventa un vero strumento di organizzazione lecita del trattamento dei dati personali secondo i principi del GDPR.
Fac simile nomina incaricato trattamento dati personali GDPR
NOMINA AD INCARICATO DEL TRATTAMENTO DEI DATI PERSONALI
AI SENSI DEL REGOLAMENTO (UE) 2016/679 (GDPR)
Il/La sottoscritto/a ______________________________, in qualità di legale rappresentante pro tempore di ______________________________________________, con sede in ______________________________________________, C.F./P.IVA ______________________________, in qualità di Titolare del trattamento dei dati personali,
PREMESSO CHE
– il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, impone l’adozione di misure tecniche e organizzative idonee a garantire la sicurezza e la riservatezza dei dati personali trattati;
– il Titolare del trattamento svolge attività che comportano il trattamento di dati personali comuni e, ove necessario, di categorie particolari di dati personali e/o dati relativi a condanne penali e reati, nei limiti consentiti dalla normativa vigente;
– per esigenze organizzative e operative si rende necessario autorizzare specifici soggetti a compiere operazioni di trattamento sotto l’autorità del Titolare;
– il/la Sig./Sig.ra ______________________________________________, nato/a a ______________________________ il ______________________________, C.F. ______________________________, inquadrato/a con la qualifica/mansione di ______________________________________________, opera nell’ambito dell’organizzazione del Titolare;
TUTTO CIÒ PREMESSO
con il presente atto il Titolare del trattamento
NOMINA
il/la Sig./Sig.ra ______________________________________________
INCARICATO/A AUTORIZZATO/A AL TRATTAMENTO DEI DATI PERSONALI
ai sensi e per gli effetti del Regolamento (UE) 2016/679, del D.Lgs. 196/2003 e successive modifiche e integrazioni, nonché delle disposizioni interne adottate dal Titolare.
1. OGGETTO DELL’INCARICO
L’Incaricato/a è autorizzato/a a effettuare operazioni di raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, elaborazione, modifica, selezione, estrazione, utilizzo, comunicazione nei limiti consentiti, raffronto, interconnessione, limitazione, cancellazione e distruzione dei dati personali necessari allo svolgimento delle mansioni affidate, esclusivamente nei limiti delle istruzioni ricevute e per finalità strettamente connesse all’attività lavorativa.
2. AMBITO DEL TRATTAMENTO
L’autorizzazione riguarda i dati personali trattati nell’ambito delle seguenti attività:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Le categorie di dati trattati possono includere:
– dati anagrafici e identificativi;
– dati di contatto;
– dati amministrativi, contabili e fiscali;
– dati relativi a clienti, fornitori, dipendenti, collaboratori o altri soggetti con cui il Titolare intrattiene rapporti;
– eventuali categorie particolari di dati personali, nei soli casi strettamente necessari e consentiti dalla legge;
– eventuali dati relativi a condanne penali e reati, ove il trattamento sia previsto o autorizzato dalla normativa applicabile.
3. LIMITI DELL’AUTORIZZAZIONE
L’Incaricato/a può trattare esclusivamente i dati personali strettamente necessari allo svolgimento delle mansioni assegnate e limitatamente ai seguenti ambiti, banche dati, strumenti o applicativi:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
Resta espressamente vietato:
– trattare dati per finalità diverse da quelle indicate dal Titolare;
– accedere a dati, archivi, cartelle, applicativi o informazioni non pertinenti alle mansioni affidate;
– copiare, diffondere, comunicare o trasferire dati personali a soggetti non autorizzati;
– utilizzare strumenti personali non autorizzati per il trattamento dei dati;
– conservare documenti o informazioni contenenti dati personali oltre il tempo necessario o al di fuori degli spazi e sistemi autorizzati;
– divulgare credenziali di accesso, password, codici identificativi o altri strumenti di autenticazione.
4. ISTRUZIONI E OBBLIGHI DELL’INCARICATO/A
L’Incaricato/a si impegna a:
– trattare i dati personali in modo lecito, corretto e trasparente, nel rispetto delle istruzioni ricevute dal Titolare e/o da eventuali soggetti appositamente designati;
– accedere ai dati solo nei limiti strettamente necessari allo svolgimento delle proprie funzioni;
– verificare, per quanto di competenza, l’esattezza e l’aggiornamento dei dati trattati;
– osservare le procedure interne aziendali in materia di protezione dei dati personali, sicurezza informatica, utilizzo degli strumenti elettronici, gestione documentale e conservazione degli archivi;
– adottare ogni cautela utile a prevenire accessi non autorizzati, perdita, distruzione, diffusione indebita o trattamento illecito dei dati;
– custodire con la massima diligenza documenti cartacei, supporti informatici, credenziali di accesso e dispositivi aziendali;
– non lasciare incustoditi documenti contenenti dati personali in luoghi accessibili a soggetti non autorizzati;
– effettuare il logout dai sistemi e bloccare le postazioni di lavoro in caso di assenza, anche temporanea;
– segnalare tempestivamente al Titolare, al Referente interno e/o al Responsabile della protezione dei dati, ove nominato, qualsiasi anomalia, violazione, perdita di dati, accesso abusivo, sospetto incidente di sicurezza o data breach di cui venga a conoscenza;
– partecipare alle attività formative e di aggiornamento organizzate dal Titolare in materia di privacy e sicurezza.
5. RISERVATEZZA
L’Incaricato/a è tenuto/a al più assoluto riserbo su tutte le informazioni e i dati personali di cui venga a conoscenza nello svolgimento delle proprie mansioni, anche successivamente alla cessazione del rapporto di lavoro, collaborazione o incarico, salvo obblighi di legge o specifica autorizzazione del Titolare.
6. MISURE DI SICUREZZA
L’Incaricato/a è tenuto/a a rispettare le misure di sicurezza adottate dal Titolare, ivi comprese, a titolo esemplificativo:
– utilizzo di credenziali personali e non cedibili;
– periodico aggiornamento delle password secondo le policy aziendali;
– utilizzo esclusivo di software, reti, caselle e strumenti autorizzati;
– protezione dei dispositivi mediante password, blocco schermo, antivirus e altri sistemi previsti;
– corretta archiviazione della documentazione cartacea in armadi, cassetti o locali protetti;
– distruzione sicura dei documenti non più necessari secondo le procedure interne;
– divieto di installare software o applicazioni non autorizzate;
– divieto di utilizzare supporti esterni o servizi cloud non autorizzati.
7. COMUNICAZIONE E DIFFUSIONE DEI DATI
L’Incaricato/a non può comunicare o diffondere dati personali a terzi, salvo che ciò sia espressamente previsto dalle mansioni affidate, autorizzato dal Titolare e consentito dalla normativa vigente. Ogni richiesta proveniente da soggetti esterni dovrà essere gestita secondo le procedure interne e sottoposta, ove necessario, al preventivo vaglio del Titolare.
8. ESERCIZIO DEI DIRITTI DEGLI INTERESSATI
Qualora l’Incaricato/a riceva richieste da parte degli interessati relative all’esercizio dei diritti previsti dagli articoli 15 e seguenti del GDPR, dovrà trasmetterle senza ritardo al Titolare o al soggetto interno competente, astenendosi dal fornire riscontro autonomo se non espressamente autorizzato.
9. DURATA DELL’INCARICO
La presente nomina decorre dal ______________________________ e resta valida fino a revoca espressa, modifica delle mansioni, cessazione del rapporto di lavoro/collaborazione/incarico ovvero fino al venir meno delle esigenze che ne hanno determinato il conferimento.
Il Titolare si riserva in ogni momento di modificare, integrare, limitare o revocare il presente incarico, anche in relazione a cambiamenti organizzativi, tecnologici o normativi.
10. RESTITUZIONE DI BENI, DOCUMENTI E CREDENZIALI
Alla cessazione, per qualsiasi causa, del rapporto con il Titolare, l’Incaricato/a dovrà restituire senza ritardo tutta la documentazione cartacea e digitale, i dispositivi, i supporti, le chiavi, i badge, le credenziali e qualsiasi altro materiale contenente dati personali o utile per accedervi, senza trattenerne copia, salvo diversa autorizzazione scritta.
11. RESPONSABILITÀ E SANZIONI
Il mancato rispetto delle istruzioni impartite, delle procedure interne e della normativa in materia di protezione dei dati personali potrà comportare l’applicazione di provvedimenti disciplinari, la revoca dell’autorizzazione al trattamento, nonché, nei casi previsti, responsabilità civile, amministrativa e penale.
12. PRESA VISIONE E ACCETTAZIONE
L’Incaricato/a dichiara:
– di aver ricevuto il presente atto di nomina/autorizzazione;
– di aver preso visione delle istruzioni impartite dal Titolare in materia di trattamento dei dati personali e delle misure di sicurezza adottate;
– di impegnarsi al rispetto delle disposizioni normative e organizzative vigenti;
– di mantenere la più assoluta riservatezza su dati, informazioni e notizie apprese nello svolgimento dell’incarico.
Luogo ______________________________
Data ______________________________
Il Titolare del trattamento
Firma ______________________________________________
Per presa visione e accettazione
l’Incaricato/a autorizzato/a al trattamento
Firma ______________________________________________