In questa pagina è possibile trovare un fac simile contratto DPO da scaricare e compilare.
Indice
Contratto DPO
Il Data Protection Officer, nella versione italiana Responsabile della Protezione dei Dati (RPD), è una delle figure centrali introdotte dal Regolamento Europeo 2016/679, comunemente noto come GDPR. La sua designazione passa sempre attraverso un atto formale scritto: un contratto di servizi quando il DPO è esterno all’organizzazione, oppure uno specifico atto di designazione integrativo del contratto di lavoro quando si tratta di un dipendente interno. Capire cosa deve contenere questo documento, chi è obbligato a redigerlo e quali conseguenze derivano da una sua redazione approssimativa è essenziale per chiunque tratti dati personali in modo strutturato.
Il Regolamento europeo prevede tre situazioni in cui il Titolare o il Responsabile sono obbligati a nominare un DPO, cioè quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, quando le attività principali richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, e quando le attività principali consistono nel trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. Al di fuori di questi casi obbligatori, la nomina è fortemente raccomandata dal Garante per la protezione dei dati personali come espressione del principio di accountability che permea l’intero impianto del GDPR.
Sul piano formale, il RPD scelto all’esterno dovrà operare in base a un contratto di servizi, mentre quello scelto all’interno andrà nominato mediante specifico atto di designazione. Tali atti, da redigere in forma scritta, dovranno contenere la designazione del RPD e indicare espressamente i compiti ad esso attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento. Un documento generico o scaricato da internet senza personalizzazione non è sufficiente: il contratto deve rispecchiare la realtà concreta dei trattamenti effettuati dal titolare.
Quanto ai requisiti del soggetto da nominare, i titolari del trattamento devono designare come DPO un professionista che possiede una conoscenza specialistica della normativa e delle prassi di gestione dei dati personali, che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse. Il contratto deve quindi verificare e attestare la sussistenza di tali requisiti, motivando la scelta del professionista designato in relazione alla complessità e alla natura dei trattamenti svolti dall’organizzazione.
Un elemento cardine che il contratto deve garantire è l’indipendenza operativa del DPO. Il GDPR stabilisce che eventuali conflitti di interesse con altri incarichi devono essere attentamente valutati sia dal titolare del trattamento che dal DPO, sia in fase di nomina sia durante l’esercizio delle sue funzioni, per rispettare il dettato dell’art. 38, par. 6 del GDPR. Questo significa che il contratto non può attribuire al DPO funzioni incompatibili con il suo ruolo di sorveglianza, come quelle di responsabile dei sistemi informativi, di direttore marketing o di amministratore delegato, tutte posizioni che configurerebbero un conflitto strutturale.
I compiti che il contratto deve attribuire al DPO sono definiti dall’articolo 39 del GDPR e comprendono l’informazione e la consulenza al titolare e ai dipendenti, la sorveglianza sull’osservanza del Regolamento, il supporto nelle valutazioni d’impatto sulla protezione dei dati (DPIA) e la funzione di punto di contatto con il Garante e con gli interessati. Il DPO deve essere coinvolto tempestivamente e adeguatamente in tutte le questioni concernenti la protezione dei dati personali, inclusi gli aspetti relativi alle interazioni con l’autorità Garante Privacy, come audizioni, accertamenti ispettivi o riunioni di vario genere.
Sul piano delle conseguenze in caso di inadempimento, la mancata nomina di un DPO nei casi in cui è obbligatoria comporta l’irrogazione di sanzioni amministrative pecuniarie fino a 10.000.000 di euro, o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente. Il Garante italiano ha già adottato diversi provvedimenti sanzionatori nei confronti di enti pubblici e privati che avevano omesso la nomina o che l’avevano formalizzata in modo non conforme.
Una volta sottoscritto il contratto, gli adempimenti non si esauriscono. In base all’articolo 37, paragrafo 7 del Regolamento, i soggetti pubblici e privati devono comunicare al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei Dati designato, tramite la procedura telematica disponibile sul portale del Garante, che rappresenta l’unico canale valido per tale comunicazione. Il nominativo e i dati di contatto del DPO devono inoltre essere pubblicati sul sito web istituzionale e inseriti nelle informative rese agli interessati.
Esempio di Contratto DPO
Di seguito è possibile trovare un esempio di contratto DPO.
CONTRATTO DI SERVIZI PER LO SVOLGIMENTO DELL’INCARICO DI RESPONSABILE DELLA PROTEZIONE DEI DATI (Nomina RPD/DPO ai sensi degli artt. 37-39 del Regolamento UE 2016/679 – GDPR)
IL TITOLARE DEL TRATTAMENTO
________________________________________ (denominazione/ragione sociale), con sede legale in _________________________, Via/Piazza _______________________________, n. ___, CAP ___, Città _________________________ (), P.IVA / Codice Fiscale _________________________, tel. _________________________, PEC _________________________, email _________________________, in persona del legale rappresentante pro tempore _________________________, nella sua qualità di Titolare del Trattamento ai sensi del Regolamento UE 2016/679,
PREMESSO CHE
il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito “GDPR” o “Regolamento”), applicabile in tutti gli Stati dell’Unione Europea a decorrere dal 25 maggio 2018, istituisce e disciplina la figura del Responsabile della Protezione dei Dati (RPD), anche denominato Data Protection Officer (DPO);
la designazione del RPD/DPO è obbligatoria ai sensi dell’art. 37, par. 1, del GDPR per le autorità pubbliche e gli organismi pubblici, nonché per i soggetti privati la cui attività principale comporti il trattamento su larga scala di categorie particolari di dati o il monitoraggio regolare e sistematico degli interessati su larga scala; in ogni caso il Titolare ritiene opportuno procedere alla designazione ai sensi dell’art. 37, par. 4, del GDPR, in ragione della natura, della complessità e del rischio connesso ai trattamenti effettuati;
ai sensi dell’art. 37, par. 6, del GDPR, il RPD/DPO può assolvere i propri compiti in base a un contratto di servizi, e deve essere individuato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’art. 39 del Regolamento (art. 37, par. 5, e considerando n. 97);
il Titolare ha verificato che il soggetto di seguito designato possiede le qualità professionali, le competenze tecniche e giuridiche e le capacità adeguate per ricoprire l’incarico;
DESIGNA
quale Responsabile della Protezione dei Dati (RPD/DPO), ai sensi degli artt. 37 e seguenti del GDPR:
Nome e Cognome: _________________________________________ Nato/a a _________________________ il __ / __ / ______ Codice Fiscale: _______________________________ Residente in Via/Piazza _______________________________, n. ___, CAP _______, Città _________________________ Recapito professionale: Via/Piazza _______________________________, n. ___, CAP _______, Città _________________________ Tel./Cell.: _________________________ Email professionale: _________________________ PEC: _________________________ (oppure, in caso di soggetto giuridico) Ragione Sociale: _________________________________________ P.IVA: _________________________ Sede: _________________________ Referente persona fisica: _________________________________________
in quanto soggetto che presenta sufficienti garanzie di competenza e capacità per assumere l’incarico e per svolgere i compiti di cui all’art. 39 del Regolamento.
L’incarico viene conferito in relazione ai trattamenti di dati personali effettuati dal Titolare, descritti nel Registro delle Attività di Trattamento di cui all’art. 30 del GDPR, che è messo sin d’ora a disposizione del nominato RPD/DPO.
Art. 1 – Compiti e responsabilità del RPD/DPO
Il nominato RPD/DPO svolge i propri compiti in piena autonomia e indipendenza, ai sensi degli artt. 37-39 del Regolamento, con le conseguenti responsabilità. In particolare, il RPD/DPO è incaricato di:
a) informare e fornire consulenza al Titolare, ai responsabili del trattamento e ai dipendenti in merito agli obblighi derivanti dal GDPR e da ogni altra normativa applicabile in materia di protezione dei dati personali, ivi incluse le indicazioni del Garante per la protezione dei dati personali e le Linee Guida del Comitato Europeo per la protezione dei dati (EDPB);
b) sorvegliare l’osservanza del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del Titolare in materia di protezione dei dati personali, inclusa l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti, e le connesse attività di audit;
c) elaborare e aggiornare il Registro delle Attività di Trattamento ai sensi dell’art. 30 del GDPR, collaborare alla redazione e all’aggiornamento delle informative agli interessati, dei modelli di consenso, delle nomine dei Responsabili del Trattamento ai sensi dell’art. 28 GDPR, e di tutta la documentazione necessaria per la conformità al Regolamento;
d) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, sorvegliarne lo svolgimento e verificare la necessità di richiedere la consultazione preventiva del Garante ai sensi dell’art. 36 del GDPR;
e) fungere da punto di contatto per il Garante per la Protezione dei Dati Personali, cooperare con l’Autorità e documentare e notificare le eventuali violazioni dei dati personali (data breach) ai sensi degli artt. 33 e 34 del Regolamento;
f) assicurare il rispetto dei diritti degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) ai sensi degli artt. 15-22 del GDPR, fungendo da punto di contatto per gli interessati medesimi ai fini dell’esercizio di tali diritti;
g) organizzare e svolgere attività di formazione e sensibilizzazione del personale in materia di protezione dei dati personali, impartendo le istruzioni operative necessarie;
h) fornire consulenza in materia di misure di sicurezza tecniche e organizzative ai sensi dell’art. 32 del GDPR, e monitorarne l’adeguatezza, anche alla luce dei principi di Privacy by Design e Privacy by Default di cui all’art. 25 del Regolamento;
i) monitorare e segnalare tempestivamente al Titolare le modifiche normative rilevanti e l’evoluzione degli orientamenti del Garante e dell’EDPB, proponendo gli aggiornamenti necessari alla documentazione e alle procedure interne.
Il RPD/DPO, nello svolgimento dell’incarico, potrà avvalersi di collaboratori e professionisti qualificati, i quali operano sotto la sua diretta responsabilità e sono vincolati al segreto professionale. Tutti i dati, le informazioni e i documenti trattati nell’esercizio dell’incarico sono da considerarsi riservati e ne è fatto assoluto divieto di divulgazione a terzi non autorizzati.
Art. 2 – Obblighi del Titolare del Trattamento
Il Titolare si impegna a:
a) coinvolgere tempestivamente e adeguatamente il RPD/DPO in tutte le questioni inerenti alla protezione dei dati personali, sin dalla fase di progettazione dei nuovi trattamenti;
b) mettere a disposizione del RPD/DPO le risorse umane, finanziarie e strumentali necessarie all’ottimale svolgimento dei compiti affidati, nonché all’aggiornamento professionale continuo;
c) garantire che il RPD/DPO eserciti le proprie funzioni in piena autonomia e indipendenza, senza ricevere istruzioni riguardo all’esecuzione dei suoi compiti, e senza che gli siano assegnate attività o funzioni che determinino un conflitto di interessi;
d) non revocare né penalizzare il RPD/DPO in ragione dell’esercizio dei propri compiti, ai sensi dell’art. 38, par. 3, del GDPR;
e) garantire che il RPD/DPO sia accessibile agli interessati in qualità di punto di contatto per le questioni connesse al trattamento dei loro dati;
f) assicurare la collaborazione di tutto il personale e dei responsabili delle strutture organizzative in tutte le fasi di svolgimento delle attività oggetto dell’incarico;
g) mettere a disposizione tutta la documentazione necessaria, garantire l’accesso a qualsiasi locale, archivio, banca dati, sistema informatico, software e qualsiasi altro strumento che il RPD/DPO ritenga necessario valutare ai fini dell’incarico;
h) comunicare al Garante per la Protezione dei Dati Personali il nominativo del RPD/DPO designato, con le relative informazioni di contatto, tramite il portale telematico del Garante, ai sensi dell’art. 37, par. 7, del GDPR;
i) pubblicare sul proprio sito web istituzionale, nell’informativa privacy e in ogni altra sede opportuna, i dati di contatto del RPD/DPO, rendendoli facilmente accessibili agli interessati ai sensi dell’art. 37, par. 7, del GDPR;
j) fornire al RPD/DPO un referente interno di riferimento, individuato nella persona di _________________________.
Art. 3 – Riservatezza
Il RPD/DPO e i propri eventuali collaboratori sono tenuti al rispetto del segreto professionale e della riservatezza in relazione a tutte le informazioni, i dati e i documenti di cui vengano a conoscenza nell’esercizio dell’incarico, sia durante la vigenza del presente contratto sia successivamente alla sua cessazione per qualsiasi causa. Tale obbligo non viene meno qualora le informazioni siano state ottenute in via orale.
Art. 4 – Durata dell’incarico
Il presente incarico decorre dalla data di sottoscrizione del presente contratto e ha durata di ___ (___________) anni, con scadenza il __ / __ / ______, rinnovandosi tacitamente di anno in anno salvo disdetta scritta inviata a mezzo raccomandata A/R o PEC con un preavviso di almeno 30 (trenta) giorni rispetto alla data di scadenza.
Entrambe le parti potranno recedere anticipatamente dal presente contratto per gravi motivi, inviando all’altra parte comunicazione scritta motivata a mezzo raccomandata A/R o PEC con un preavviso di 30 (trenta) giorni. La revoca del RPD/DPO da parte del Titolare dovrà essere adeguatamente motivata e non potrà in nessun caso essere collegata all’esercizio delle funzioni attribuite al RPD/DPO dal Regolamento.
In caso di cessazione del presente incarico per qualsiasi causa, il RPD/DPO si impegna a consegnare al Titolare tutta la documentazione in suo possesso e a garantire la massima collaborazione per assicurare la continuità del servizio.
Art. 5 – Corrispettivo e modalità di pagamento
Per lo svolgimento dell’incarico di cui al presente contratto, il RPD/DPO percepirà un corrispettivo annuo pari a € ___________ (euro _______________________________________), oltre IVA se dovuta, comprensivo di tutte le attività indicate all’art. 1 del presente contratto.
Il pagamento sarà effettuato secondo le seguenti modalità:
___ % (___________________ percento) entro ___ giorni dalla sottoscrizione del presente contratto; ___ % (___________________ percento) entro ___ giorni dalla scadenza annuale dell’incarico, previo ricevimento di regolare fattura.
Le spese vive documentate e preventivamente autorizzate dal Titolare saranno rimborsate separatamente, previa presentazione di apposita nota spese con giustificativi allegati.
Art. 6 – Trattamento dei dati personali
I dati personali delle parti, trattati in esecuzione del presente contratto, saranno gestiti in conformità al Regolamento UE 2016/679 e alla normativa nazionale applicabile, per le sole finalità connesse alla gestione del rapporto contrattuale. Le informative ai sensi dell’art. 13 GDPR saranno fornite separatamente.
Art. 7 – Legge applicabile e foro competente
Il presente contratto è disciplinato dalla legge italiana. Per qualsiasi controversia derivante dal presente contratto, ove non sia possibile una composizione bonaria, le parti eleggono quale foro esclusivamente competente il Tribunale di _________________________.
Art. 8 – Disposizioni finali
Il presente contratto sostituisce integralmente ogni precedente accordo, intesa o comunicazione tra le parti in merito all’oggetto del medesimo. Qualsiasi modifica o integrazione dovrà essere redatta in forma scritta e sottoscritta da entrambe le parti. Il presente contratto è redatto in duplice originale, uno per ciascuna delle parti.
Luogo e data: _________________________, lì __ / __ / ______
Il Titolare del Trattamento _________________________ (nome e qualifica)
(firma)
Il RPD/DPO designato (dichiara di accettare espressamente l’incarico nelle condizioni di cui al presente contratto)
(firma)
Ai sensi e per gli effetti degli artt. 1341 e 1342 del Codice Civile, le parti approvano specificamente le seguenti clausole: Art. 3 (Riservatezza), Art. 4 (Durata e recesso), Art. 7 (Foro competente).
Il Titolare del Trattamento
Il RPD/DPO designato
Fac Simile Contratto DPO Word da Scaricare
In questa sezione è presente un modello contratto DPO da scaricare. Il modulo contratto DPO compilabile messo a disposizione è in formato DOC, può quindi essere aperto e compilato utilizzando Word o un altro programma che supporta questo formato.
La compilazione è molto semplice, basta infatti inserire i dati mancanti negli spazi presenti nel documento.
Una volta compilato, il fac simile contratto DPO può essere convertito in PDF o stampato.
