In questa pagina è possibile trovare un fac simile nomina incaricato trattamento dati personali GDPR da scaricare e compilare.
Indice
Nomina Incaricato Trattamento Dati Personali GDPR
La nomina dell’incaricato al trattamento dei dati personali, oggi più correttamente definito “persona autorizzata al trattamento”, è uno degli adempimenti organizzativi più importanti per imprese, professionisti, enti e associazioni che trattano dati personali nell’ambito della propria attività. Il GDPR non utilizza più la vecchia terminologia del Codice Privacy ante riforma, ma conserva la sostanza della figura: chi opera sotto l’autorità del titolare o del responsabile e accede a dati personali può trattarli solo se ha ricevuto specifiche istruzioni. L’art. 29 del Regolamento UE 2016/679 stabilisce infatti che chiunque agisca sotto l’autorità del titolare o del responsabile e abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
La nomina non va confusa con la designazione del responsabile del trattamento. Il responsabile, disciplinato dall’art. 28 GDPR, è normalmente un soggetto esterno che tratta dati per conto del titolare, come un consulente paghe, una software house, un commercialista, un provider cloud o una società di marketing. L’incaricato o autorizzato, invece, è una persona fisica che opera all’interno dell’organizzazione del titolare o del responsabile, come un dipendente, un collaboratore, un tirocinante, un socio operativo o un addetto amministrativo. Il Garante Privacy, nella propria pagina dedicata a titolare, responsabile e incaricato, conferma l’attualità della figura della persona autorizzata al trattamento nell’assetto del GDPR.
Dal punto di vista pratico, la nomina serve a delimitare chi può accedere ai dati, per quali finalità, con quali strumenti e secondo quali regole. Non è sufficiente che una persona lavori per l’azienda o collabori con lo studio professionale per poter trattare liberamente qualsiasi informazione. Il principio di accountability impone al titolare di organizzare i trattamenti in modo controllato, documentabile e coerente con i rischi. Per questo l’atto di nomina dovrebbe indicare le categorie di dati trattabili, le banche dati o i sistemi accessibili, le operazioni consentite, i limiti di utilizzo, gli obblighi di riservatezza e le misure di sicurezza da rispettare. La Guida del Garante all’applicazione del GDPR evidenzia l’importanza di un approccio organizzativo consapevole, fondato su doveri del titolare, trasparenza, liceità e protezione effettiva dei dati personali.
La forma scritta non è sempre descritta dal GDPR con una formula identica a quella prevista per il responsabile esterno, ma nella pratica è fortemente consigliata. Un’autorizzazione verbale sarebbe difficile da provare e poco coerente con l’obbligo di dimostrare la conformità. La nomina scritta consente invece di documentare che il soggetto è stato autorizzato, istruito e vincolato alla riservatezza. Questo aspetto è rilevante anche alla luce dell’art. 28 GDPR, che impone al responsabile di garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.
Un buon atto di nomina deve essere concreto, non generico. È opportuno evitare formule standard che autorizzano l’incaricato a trattare “tutti i dati aziendali” senza limiti. L’autorizzazione dovrebbe essere costruita in base alla mansione. Un addetto alla contabilità potrà trattare dati di clienti, fornitori, pagamenti e fatture. Un addetto alle risorse umane potrà trattare dati dei dipendenti, anche particolari se necessari alla gestione del rapporto di lavoro. Un tecnico informatico potrà avere accesso ai sistemi, ma non per finalità proprie e solo nei limiti necessari alla manutenzione. Un commerciale potrà trattare dati di contatto, preventivi e comunicazioni con clienti potenziali o acquisiti. Questa impostazione riduce il rischio di accessi indebiti e rende più semplice dimostrare che il titolare ha applicato il principio di minimizzazione.
La nomina dovrebbe essere accompagnata da istruzioni operative. L’incaricato deve sapere come gestire password, documenti cartacei, email, allegati, archivi condivisi, dispositivi mobili, stampe, conversazioni telefoniche e richieste degli interessati. Deve sapere quando può comunicare dati a terzi, quando deve chiedere autorizzazione, come comportarsi in caso di errore di invio, smarrimento di documenti, accesso non autorizzato o sospetto data breach. Le istruzioni dovrebbero chiarire anche il divieto di utilizzare dati per finalità personali, il divieto di copiare archivi su dispositivi non autorizzati, l’obbligo di bloccare la postazione di lavoro e la necessità di rispettare le policy interne.
La nomina dell’incaricato si collega anche alla sicurezza del trattamento prevista dall’art. 32 GDPR. L’accesso ai dati deve essere coerente con le misure tecniche e organizzative adottate dal titolare. Non basta firmare una lettera di incarico se poi tutti gli utenti condividono la stessa password o accedono indistintamente a tutti gli archivi. La designazione deve corrispondere a profili autorizzativi reali, credenziali personali, permessi differenziati e procedure di revoca in caso di cambio mansione o cessazione del rapporto. Il registro delle attività di trattamento, quando obbligatorio, può aiutare a collegare i trattamenti alle funzioni aziendali e ai soggetti autorizzati. Il Garante ricorda che il registro è richiesto, tra gli altri casi, per trattamenti non occasionali o che possano presentare rischi per i diritti e le libertà degli interessati.
È importante aggiornare la nomina nel tempo. Se un dipendente cambia reparto, riceve nuove mansioni o accede a nuovi sistemi, l’autorizzazione deve essere modificata. Se il rapporto termina, devono essere revocati account, password, badge, accessi cloud e autorizzazioni documentali. La mancata revoca degli accessi è una delle criticità più frequenti nelle organizzazioni, perché consente a ex dipendenti o collaboratori di consultare dati senza titolo. Una corretta gestione della nomina, quindi, non si esaurisce nella firma iniziale, ma richiede manutenzione organizzativa.
Esempio di Nomina Incaricato Trattamento Dati Personali GDPR
Di seguito è possibile trovare un esempio di nomina incaricato trattamento dati personali GDPR.
NOMINA A PERSONA AUTORIZZATA AL TRATTAMENTO DEI DATI PERSONALI AI SENSI DEL REGOLAMENTO UE 2016/679
Il/La sottoscritto/a __________________________________________, C.F. ______________________________, in qualità di titolare del trattamento/responsabile del trattamento della società/ente/studio __________________________________________, con sede in __________________________________________, via/piazza __________________________________________ n. ________, C.F./P. IVA ______________________________, PEC __________________________________________, email __________________________________________,
NOMINA E AUTORIZZA
il/la Sig./Sig.ra __________________________________________, nato/a a __________________________________________ il ____________________, C.F. ______________________________, residente in __________________________________________, via/piazza __________________________________________ n. ________, in qualità di dipendente/collaboratore/consulente/tirocinante/addetto __________________________________________,
quale persona autorizzata al trattamento dei dati personali, di seguito anche “Autorizzato/a”, ai sensi e per gli effetti del Regolamento UE 2016/679, del d.lgs. 196/2003 come modificato dal d.lgs. 101/2018 e della normativa vigente in materia di protezione dei dati personali.
La presente nomina ha effetto dal ____________________ e resta valida fino alla cessazione del rapporto di lavoro, collaborazione, incarico o mansione che giustifica l’accesso ai dati personali, salvo revoca, modifica o sostituzione da parte del titolare/responsabile del trattamento.
L’Autorizzato/a potrà trattare esclusivamente i dati personali necessari allo svolgimento delle attività affidate, nei limiti delle mansioni assegnate e secondo le istruzioni ricevute. In particolare, il trattamento potrà riguardare dati personali comuni, dati di contatto, dati identificativi, dati amministrativi, dati contabili, dati contrattuali, dati relativi a clienti, fornitori, utenti, dipendenti, collaboratori e altri soggetti interessati, nonché eventuali ulteriori categorie di dati strettamente necessarie allo svolgimento delle seguenti attività: ________________________________________________________________________________________________.
L’Autorizzato/a potrà accedere ai seguenti archivi, strumenti, banche dati, software, piattaforme, documenti cartacei o digitali: ________________________________________________________________________________________________.
Il trattamento dovrà essere effettuato esclusivamente per le seguenti finalità: ________________________________________________________________________________________________.
L’Autorizzato/a è tenuto/a a trattare i dati personali in modo lecito, corretto e trasparente, nel rispetto delle finalità determinate dal titolare/responsabile e nei limiti di quanto strettamente necessario per lo svolgimento delle attività affidate. È vietato utilizzare i dati personali per finalità private, personali, estranee all’incarico o comunque non autorizzate.
L’Autorizzato/a dovrà rispettare il principio di minimizzazione, evitando di consultare, copiare, estrarre, comunicare, diffondere, stampare o conservare dati personali non necessari rispetto alle mansioni assegnate. Ogni accesso ai dati dovrà essere giustificato da concrete esigenze operative e dovrà avvenire secondo le procedure interne adottate dal titolare/responsabile.
L’Autorizzato/a si impegna a mantenere la massima riservatezza su tutti i dati personali e sulle informazioni conosciute nello svolgimento delle proprie attività. Tale obbligo permane anche dopo la cessazione del rapporto di lavoro, collaborazione o incarico. È fatto divieto di comunicare dati personali a soggetti non autorizzati, salvo preventiva istruzione del titolare/responsabile o specifico obbligo di legge.
L’Autorizzato/a dovrà custodire con diligenza credenziali, password, dispositivi, documenti cartacei, archivi digitali, chiavi, badge e ogni altro strumento utilizzato per accedere ai dati personali. Le credenziali sono personali e non possono essere comunicate, condivise o cedute a terzi. In caso di sospetto accesso non autorizzato, perdita, furto, smarrimento o compromissione delle credenziali, l’Autorizzato/a dovrà informare immediatamente il titolare/responsabile o il referente privacy indicato.
L’Autorizzato/a dovrà adottare tutte le misure di sicurezza comunicate dal titolare/responsabile, comprese quelle relative all’uso dei sistemi informatici, alla gestione della posta elettronica, alla protezione dei documenti cartacei, all’uso di dispositivi mobili, alla conservazione dei file, alla stampa dei documenti, all’archiviazione e alla distruzione sicura dei supporti contenenti dati personali.
È vietato salvare dati personali su dispositivi personali, account privati, servizi cloud non autorizzati, chiavette USB o altri supporti non approvati dal titolare/responsabile. È altresì vietato inviare dati personali tramite canali non sicuri o a destinatari non verificati. Prima dell’invio di email contenenti dati personali, l’Autorizzato/a dovrà controllare con attenzione destinatari, allegati e contenuto del messaggio.
In caso di errore, invio a destinatario errato, perdita di documenti, accesso non autorizzato, sottrazione, cancellazione accidentale, alterazione, divulgazione indebita o qualsiasi evento che possa costituire violazione dei dati personali, l’Autorizzato/a dovrà darne immediata comunicazione a __________________________________________, tramite email/PEC/telefono __________________________________________, fornendo tutte le informazioni disponibili sull’accaduto.
L’Autorizzato/a dovrà rispettare le istruzioni ricevute in materia di esercizio dei diritti degli interessati. Qualora riceva richieste di accesso, rettifica, cancellazione, limitazione, opposizione, portabilità o altre istanze relative ai dati personali, dovrà trasmetterle senza ritardo al titolare/responsabile o al referente privacy, senza fornire risposte autonome salvo specifica autorizzazione.
L’Autorizzato/a dichiara di aver ricevuto adeguate istruzioni operative sul trattamento dei dati personali e di impegnarsi a rispettare le policy, i regolamenti interni, le procedure di sicurezza e ogni ulteriore indicazione impartita dal titolare/responsabile. L’Autorizzato/a si impegna inoltre a partecipare alle eventuali attività formative organizzate in materia di protezione dei dati personali.
Il titolare/responsabile si riserva il diritto di modificare, integrare, limitare o revocare la presente autorizzazione in qualsiasi momento, anche in caso di cambio mansione, modifica dell’organizzazione interna, variazione dei trattamenti o cessazione del rapporto. Alla cessazione dell’incarico, l’Autorizzato/a dovrà restituire ogni documento, supporto, dispositivo o materiale contenente dati personali e dovrà cessare immediatamente ogni accesso agli archivi e ai sistemi informativi.
Per quanto non espressamente previsto nella presente nomina, si applicano il Regolamento UE 2016/679, il d.lgs. 196/2003 come modificato dal d.lgs. 101/2018, le istruzioni impartite dal titolare/responsabile e le procedure interne adottate in materia di protezione dei dati personali.
Luogo __________________________________________, data ____________________
Il Titolare/Responsabile del trattamento ____________________
Firma ______________
Per presa visione, accettazione e impegno al rispetto delle istruzioni ricevute
L’Autorizzato/a al trattamento __________________
Firma _________________
Fac Simile Nomina Incaricato Trattamento Dati Personali GDPR Word da Scaricare
In questa sezione è presente un modello nomina incaricato trattamento dati personali GDPR da scaricare. Il modulo nomina incaricato trattamento dati personali GDPR compilabile messo a disposizione è in formato DOC, può quindi essere aperto e compilato utilizzando Word o un altro programma che supporta questo formato.
La compilazione è molto semplice, basta infatti inserire i dati mancanti negli spazi presenti nel documento.
Una volta compilato, il fac simile nomina incaricato trattamento dati personali GDPR può essere convertito in PDF o stampato.
