Da questa pagina è possibile scaricare il modello di nomina responsabile trattamento dati in formato Word e PDF. Il documento serve a formalizzare, ai sensi dell’art. 28 del Regolamento (UE) 2016/679, l’incarico con cui il Titolare del trattamento designa un soggetto esterno o interno quale Responsabile del trattamento per svolgere attività che comportano il trattamento di dati personali. Il fac simile è utile per disciplinare in modo scritto istruzioni, obblighi, misure di sicurezza, eventuali sub-responsabili, restituzione o cancellazione dei dati e ogni altro aspetto rilevante del rapporto.
Fac simile nomina responsabile trattamento dati Word
Di seguito è disponibile il fac simile nomina responsabile trattamento dati in formato Word. Il file è modificabile e può essere compilato adattando i campi del modello al proprio caso specifico, inserendo i dati del Titolare, del Responsabile, la descrizione del trattamento, le finalità, le categorie di dati, le misure di sicurezza e le altre informazioni richieste dal documento.
Fac simile nomina responsabile trattamento dati PDF
Di seguito è disponibile il fac simile nomina responsabile trattamento dati in formato PDF. Il file è utile per consultare, stampare o conservare una copia del modello, così da avere sempre a disposizione una versione leggibile e ordinata del documento.
Esempio nomina responsabile trattamento dati
Di seguito è riportato un esempio di struttura del documento. I campi inseriti tra parentesi quadre devono essere personalizzati in base alla situazione concreta, verificando con attenzione i dati del rapporto, le istruzioni impartite, le misure organizzative e tecniche e ogni eventuale allegato richiamato nel testo.
ATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI ai sensi dell’art. 28 del Regolamento (UE) 2016/679 TRA [DENOMINAZIONE/RAGIONE SOCIALE TITOLARE], in persona del legale rappresentante pro tempore [NOME E COGNOME], con sede legale in [INDIRIZZO], [COMUNE], [CAP], [PROVINCIA], codice fiscale/partita IVA [CODICE FISCALE/PARTITA IVA], indirizzo PEC/e-mail [PEC/E-MAIL], di seguito anche “Titolare del trattamento” E [DENOMINAZIONE/NOME E COGNOME RESPONSABILE], in persona del legale rappresentante pro tempore [NOME E COGNOME], con sede/indirizzo in [INDIRIZZO], [COMUNE], [CAP], [PROVINCIA], codice fiscale/partita IVA [CODICE FISCALE/PARTITA IVA], indirizzo PEC/e-mail [PEC/E-MAIL], di seguito anche “Responsabile del trattamento” Premesso che tra il Titolare del trattamento e il Responsabile del trattamento è in essere il seguente rapporto contrattuale/di servizio: [INDICARE CONTRATTO, CONVENZIONE, ORDINE, AFFIDAMENTO O RAPPORTO PRINCIPALE], avente ad oggetto [OGGETTO DEL RAPPORTO PRINCIPALE]; nell’ambito del predetto rapporto il Responsabile del trattamento svolge, per conto del Titolare, attività che comportano il trattamento di dati personali; ai sensi del Regolamento (UE) 2016/679, in particolare dell’art. 28, il Titolare del trattamento può ricorrere unicamente a Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento stesso e garantisca la tutela dei diritti dell’interessato; le Parti intendono disciplinare per iscritto i termini e le condizioni del trattamento dei dati personali affidato al Responsabile del trattamento; tutto ciò premesso, che costituisce parte integrante e sostanziale del presente atto, si conviene e stipula quanto segue. Art. 1 Oggetto dell’atto di nomina Il Titolare del trattamento, con il presente atto, nomina formalmente [DENOMINAZIONE/NOME E COGNOME RESPONSABILE] quale Responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento (UE) 2016/679, limitatamente alle attività di trattamento necessarie allo svolgimento dei servizi/attività di seguito indicati: [DESCRIZIONE SINTETICA DEI SERVIZI O DELLE ATTIVITÀ]. Il Responsabile del trattamento tratta i dati personali esclusivamente per conto del Titolare e nei limiti delle finalità e delle istruzioni documentate impartite dal Titolare medesimo. Art. 2 Descrizione del trattamento Il trattamento affidato al Responsabile ha ad oggetto le seguenti attività: [DESCRIZIONE DETTAGLIATA DELLE OPERAZIONI DI TRATTAMENTO, AD ESEMPIO RACCOLTA, REGISTRAZIONE, CONSERVAZIONE, CONSULTAZIONE, ELABORAZIONE, TRASMISSIONE, CANCELLAZIONE, SECONDO IL SERVIZIO AFFIDATO]. La durata del trattamento corrisponde alla durata del rapporto di servizio/contrattuale di cui in premessa, con decorrenza dal [DATA DECORRENZA] e fino al [DATA TERMINE] ovvero fino alla cessazione, per qualsiasi causa, del rapporto principale, salvo quanto diversamente previsto nel presente atto o da obblighi di legge. La natura del trattamento è la seguente: [INDICARE NATURA DEL TRATTAMENTO]. Le finalità del trattamento sono le seguenti: [INDICARE FINALITÀ SPECIFICHE DEL TRATTAMENTO]. Le tipologie di dati personali trattati sono le seguenti: [INDICARE TIPOLOGIE DI DATI PERSONALI, AD ESEMPIO DATI ANAGRAFICI, DI CONTATTO, FISCALI, RELATIVI AL RAPPORTO DI LAVORO, ETC.], nonché, se del caso, [INDICARE EVENTUALI CATEGORIE PARTICOLARI DI DATI O DATI GIUDIZIARI, SE APPLICABILI]. Le categorie di interessati sono le seguenti: [INDICARE CATEGORIE DI INTERESSATI, AD ESEMPIO DIPENDENTI, CLIENTI, UTENTI, FORNITORI, STUDENTI, PAZIENTI, ETC.]. Art. 3 Istruzioni del Titolare Il Responsabile del trattamento si obbliga a trattare i dati personali esclusivamente su istruzione documentata del Titolare, anche con riferimento ad eventuali trasferimenti di dati verso paesi terzi o organizzazioni internazionali, salvo che ciò sia richiesto dal diritto dell’Unione europea o dello Stato membro cui è soggetto il Responsabile; in tal caso il Responsabile informa preventivamente il Titolare di tale obbligo giuridico, salvo che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico. Le istruzioni del Titolare sono contenute nel presente atto, nel contratto/accordo principale richiamato in premessa, nonché nelle ulteriori istruzioni documentate che potranno essere impartite nel corso del rapporto mediante [E-MAIL/PEC/TICKETING/ALTRO CANALE DOCUMENTATO], da parte di [SOGGETTO/I AUTORIZZATO/I DEL TITOLARE]. Il Responsabile si impegna a segnalare tempestivamente al Titolare eventuali istruzioni che ritenga, in base alla propria valutazione professionale, non conformi al Regolamento (UE) 2016/679 o ad altre disposizioni applicabili in materia di protezione dei dati personali. Il Responsabile non potrà in alcun caso determinare autonomamente finalità e mezzi del trattamento per scopi propri, né utilizzare i dati personali per finalità diverse o ulteriori rispetto a quelle espressamente indicate dal Titolare. Art. 4 Obblighi del Responsabile del trattamento Il Responsabile del trattamento si impegna a garantire che le persone autorizzate al trattamento dei dati personali sotto la propria autorità abbiano ricevuto adeguata istruzione in materia di protezione dei dati personali e si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza. Il Responsabile adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto, in particolare, della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Il Responsabile assiste il Titolare, con misure tecniche e organizzative adeguate, ove possibile, al fine di soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti dell’interessato. Il Responsabile assiste il Titolare nel garantire il rispetto degli obblighi relativi alla sicurezza del trattamento, alla notifica delle violazioni di dati personali, alla comunicazione delle violazioni di dati personali all’interessato, alla valutazione d’impatto sulla protezione dei dati e alla consultazione preventiva, per quanto di competenza e nei limiti delle attività affidate. Il Responsabile tiene, ove applicabile, il registro delle categorie di attività di trattamento svolte per conto del Titolare, ai sensi dell’art. 30 del Regolamento (UE) 2016/679. Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente atto e consente e contribuisce alle attività di audit, comprese le ispezioni, realizzate dal Titolare o da altro soggetto da questi incaricato. Il Responsabile informa tempestivamente il Titolare di qualunque violazione dei dati personali di cui venga a conoscenza, fornendo, per quanto disponibile, le informazioni utili alla gestione dell’evento, ivi comprese quelle relative alla natura della violazione, alle categorie e al numero approssimativo di interessati coinvolti, alle categorie e al numero approssimativo di dati personali interessati, alle probabili conseguenze e alle misure adottate o proposte per porvi rimedio. Art. 5 Misure tecniche e organizzative di sicurezza Il Responsabile dichiara di aver adottato e di impegnarsi a mantenere misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio connesso al trattamento affidato. Le misure adottate sono descritte nell’Allegato Tecnico denominato [DENOMINAZIONE ALLEGATO TECNICO], che costituisce parte integrante e sostanziale del presente atto, ovvero nei documenti/policy richiamati di seguito: [INDICARE EVENTUALI POLICY, PROCEDURE O DOCUMENTI TECNICI]. Restano fermi gli obblighi del Responsabile di aggiornare le misure di sicurezza in relazione all’evoluzione del rischio, delle tecnologie impiegate, delle modalità di trattamento e delle eventuali ulteriori istruzioni impartite dal Titolare. Art. 6 Sub-responsabili del trattamento Il Responsabile non potrà ricorrere a un altro Responsabile del trattamento, di seguito “sub-responsabile”, senza previa autorizzazione scritta del Titolare. L’autorizzazione del Titolare è [SPECIFICA/GENERALE]. In caso di autorizzazione generale, il Responsabile informerà il Titolare di ogni eventuale aggiunta o sostituzione di sub-responsabili, concedendo al Titolare la possibilità di opporsi nei limiti e con le modalità eventualmente concordate tra le Parti: [INDICARE MODALITÀ SE APPLICABILE]. Qualora il Responsabile sia autorizzato a nominare sub-responsabili, impone a tali soggetti obblighi in materia di protezione dei dati personali non meno gravosi di quelli previsti nel presente atto, mediante contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri. Il Responsabile resta pienamente responsabile nei confronti del Titolare per l’adempimento degli obblighi del sub-responsabile. Art. 7 Trasferimenti di dati verso paesi terzi o organizzazioni internazionali [SE APPLICABILE] Il Responsabile potrà effettuare trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali esclusivamente previa istruzione documentata del Titolare e nel rispetto delle condizioni e delle garanzie previste dalla normativa applicabile. [SE NON APPLICABILE, ELIMINARE IL PRESENTE ARTICOLO O LA PRESENTE CLAUSOLA.] Art. 8 Restituzione o cancellazione dei dati Alla cessazione, per qualsiasi causa, del rapporto di servizio o comunque degli effetti del presente atto, il Responsabile, secondo le istruzioni del Titolare, restituirà al Titolare tutti i dati personali trattati per suo conto ovvero, su richiesta del Titolare, provvederà alla loro cancellazione. La restituzione o la cancellazione avverrà entro [TERMINE] giorni dalla cessazione del rapporto, secondo le modalità concordate tra le Parti. Il Responsabile provvederà altresì alla cancellazione delle copie esistenti, salvo che il diritto dell’Unione o dello Stato membro preveda la conservazione dei dati personali. Su richiesta del Titolare, il Responsabile rilascerà idonea attestazione dell’avvenuta restituzione o cancellazione dei dati personali. Art. 9 Audit e controlli Il Titolare ha diritto di verificare, direttamente o tramite soggetti da esso incaricati, il rispetto da parte del Responsabile degli obblighi previsti dal presente atto e dalla normativa applicabile in materia di protezione dei dati personali. Il Responsabile si impegna a consentire e collaborare alle attività di audit e ispezione, fornendo la documentazione e le informazioni ragionevolmente necessarie per dimostrare la conformità del trattamento. Le modalità operative degli audit, ivi compresi preavviso, tempi, luoghi, frequenza e eventuali profili di riservatezza, saranno concordate tra le Parti in modo da non pregiudicare l’ordinario svolgimento dell’attività del Responsabile. Art. 10 Durata, efficacia e recesso Il presente atto produce effetti dalla data della sua sottoscrizione ovvero dalla data di decorrenza del rapporto principale, se diversa, e rimane valido per tutta la durata del rapporto di servizio/contrattuale di cui in premessa. Il Titolare potrà revocare la presente nomina o sostituire il Responsabile in caso di violazione delle istruzioni impartite, inadempimento degli obblighi previsti dal presente atto, cessazione del rapporto principale o per altre ragioni organizzative e/o di conformità. La cessazione del presente atto non pregiudica gli obblighi del Responsabile relativi alla restituzione o cancellazione dei dati, alla riservatezza e ad ogni altro obbligo che, per sua natura, debba permanere anche successivamente alla cessazione del rapporto. Art. 11 Disposizioni finali Per quanto non espressamente previsto nel presente atto, si applicano le disposizioni del Regolamento (UE) 2016/679 e della normativa nazionale vigente in materia di protezione dei dati personali. Il presente atto prevale, per quanto di competenza, su ogni diversa pattuizione incompatibile contenuta nel contratto o negli altri atti collegati in materia di protezione dei dati personali. Ogni modifica o integrazione al presente atto dovrà risultare da atto scritto e sottoscritto dalle Parti. Il foro competente per ogni controversia relativa alla validità, interpretazione, esecuzione e cessazione del presente atto è quello di [FORO COMPETENTE], salvo norme inderogabili di legge. Letto, confermato e sottoscritto. Luogo [COMUNE], data [DATA] Il Titolare del trattamento [DENOMINAZIONE/RAGIONE SOCIALE TITOLARE] Il legale rappresentante pro tempore [NOME E COGNOME] [FIRMA] Il Responsabile del trattamento [DENOMINAZIONE/NOME E COGNOME RESPONSABILE] Il legale rappresentante pro tempore [NOME E COGNOME] [FIRMA]
Come compilare il modello nomina responsabile trattamento dati
Il modello di nomina responsabile trattamento dati è un atto formale con cui il Titolare del trattamento individua un soggetto che tratterà dati personali per suo conto, entro limiti precisi e sulla base di istruzioni documentate. Si utilizza quando un’impresa, un professionista, un fornitore di servizi o un altro soggetto esterno svolge attività che implicano accesso, gestione, conservazione, elaborazione o trasmissione di dati personali per conto del Titolare. Compilarlo correttamente è importante perché non si tratta di un semplice modulo amministrativo, ma di un documento che definisce responsabilità, perimetro operativo e misure di protezione dei dati.
Per compilare il modello è necessario partire dai dati identificativi delle parti. Occorre indicare con precisione la denominazione o il nome e cognome del Titolare e del Responsabile, i rispettivi legali rappresentanti, la sede o l’indirizzo, i dati fiscali e i riferimenti di contatto come PEC o e-mail. Queste informazioni devono essere coerenti con quelle riportate nel rapporto principale e nei documenti contrattuali collegati, perché il testo della nomina richiama proprio il rapporto di servizio o contrattuale che giustifica il trattamento dei dati per conto del Titolare.
Un passaggio centrale riguarda la descrizione del rapporto principale e dell’attività affidata. È opportuno indicare in modo chiaro il contratto, la convenzione, l’ordine, l’affidamento o il servizio su cui si fonda la nomina, insieme all’oggetto del rapporto. Subito dopo bisogna definire con precisione quali attività di trattamento saranno svolte dal Responsabile, evitando formule troppo generiche. È utile specificare se i dati vengono raccolti, registrati, archiviati, consultati, elaborati, trasmessi o cancellati e in quale ambito operativo tali operazioni si inseriscono. Una descrizione accurata aiuta a delimitare correttamente il ruolo del Responsabile e a prevenire utilizzi impropri dei dati.
Devono essere compilati anche i campi relativi alla durata del trattamento, alla natura e alle finalità. La durata di norma coincide con quella del rapporto principale, ma va verificato se nel caso concreto esistano obblighi ulteriori o tempi diversi di conservazione. La natura del trattamento deve riflettere l’attività effettiva svolta, mentre le finalità devono essere espresse in modo concreto e coerente con il servizio affidato. È inoltre necessario indicare le tipologie di dati personali trattati e le categorie di interessati coinvolti, come clienti, utenti, dipendenti, fornitori, pazienti o altri soggetti interessati dal rapporto. Se vengono trattate categorie particolari di dati o dati giudiziari, questo aspetto va valutato con molta attenzione e inserito solo se realmente applicabile.
Particolare attenzione va riservata alle istruzioni del Titolare. Il Responsabile deve trattare i dati solo sulla base di istruzioni documentate, quindi il modello deve richiamare in modo chiaro il documento principale e gli eventuali canali attraverso cui potranno essere inviate istruzioni successive. È importante che il Titolare individui anche i soggetti autorizzati a impartire tali indicazioni, così da evitare incertezze operative. Se il Responsabile ritiene che un’istruzione non sia conforme alla normativa, deve segnalarlo tempestivamente, per cui il testo deve essere letto e adattato in modo da risultare compatibile con l’organizzazione concreta delle parti.
Un altro elemento essenziale riguarda gli obblighi del Responsabile e le misure di sicurezza. Il documento prevede che il Responsabile garantisca la formazione e la riservatezza delle persone autorizzate al trattamento, adotti misure tecniche e organizzative adeguate al rischio, assista il Titolare nelle richieste degli interessati e nella gestione degli adempimenti connessi alla sicurezza, alle violazioni dei dati e, se necessario, alla valutazione d’impatto. In questa parte spesso è opportuno collegare il testo a un allegato tecnico o a policy interne già esistenti. Se il modello richiama un Allegato Tecnico, bisogna verificare che sia effettivamente predisposto, aggiornato e coerente con il trattamento affidato, perché altrimenti la nomina risulterebbe incompleta.
Deve essere valutata con cura anche la disciplina dei sub-responsabili e degli eventuali trasferimenti verso paesi terzi o organizzazioni internazionali. Non tutti i rapporti prevedono la possibilità di nominare sub-responsabili, quindi la clausola va adattata al caso specifico e, quando occorre, occorre indicare se l’autorizzazione del Titolare è specifica o generale. Analogamente, la clausola sui trasferimenti internazionali va mantenuta solo se realmente pertinente. In caso contrario è preferibile rimuoverla o lasciarla esclusa, in modo da non creare impegni non necessari o potenzialmente incoerenti con il servizio svolto.
La parte relativa alla restituzione o cancellazione dei dati alla cessazione del rapporto va completata con un termine realistico e con modalità compatibili con l’attività svolta. È utile verificare se esistono obblighi di conservazione previsti dalla legge o esigenze di archiviazione che impongano tempi diversi. Anche la clausola sugli audit e sui controlli va letta con attenzione, perché deve consentire al Titolare di verificare la conformità senza compromettere l’ordinario svolgimento dell’attività del Responsabile. Infine, nel chiudere il documento, occorre controllare il foro competente, le eventuali previsioni finali e la corretta indicazione di luogo, data e firme.
Tra gli errori da evitare ci sono l’uso di campi generici lasciati incompleti, la mancata coerenza tra nomina e contratto principale, la descrizione troppo vaga delle attività di trattamento, l’indicazione di categorie di dati non realmente trattate, il richiamo a misure di sicurezza o allegati che non esistono o non sono aggiornati, e la mancata verifica dei poteri di firma di chi sottoscrive il documento. È consigliabile rileggere il modello alla luce dell’organizzazione concreta, della struttura dei flussi di dati e delle istruzioni effettivamente impartite, così da ottenere un atto completo, coerente e adeguato al servizio affidato. Se il trattamento presenta profili particolari o riguarda categorie di dati sensibili, è opportuno confrontarsi con un professionista o con il soggetto competente prima della sottoscrizione finale.