La lettera di incarico DPO è l’atto formale con cui il titolare del trattamento designa il Responsabile della Protezione dei Dati (DPO/RPD). Serve a definire in modo chiaro il perimetro delle funzioni e delle responsabilità del DPO, le garanzie di indipendenza, le risorse messe a disposizione e le modalità operative per adempiere agli obblighi previsti dal Regolamento (UE) 2016/679 (GDPR). La nomina può riguardare una figura interna o un professionista esterno ed è obbligatoria in determinati casi previsti dalla normativa.
Indice
Come scrivere una lettera di incarico DPO
La redazione di una lettera di incarico per il DPO richiede attenzione sia agli aspetti formali sia a quelli sostanziali, al fine di garantire che la designazione sia conforme al GDPR e coerente con l’organizzazione del titolare. La lettera deve essere predisposta su carta intestata o con un atto contrattuale che indichi con precisione le parti, la data, l’oggetto dell’incarico e l’ambito operativo del DPO. Occorre chiarire fin dall’inizio che il ruolo del DPO è di consulenza, vigilanza e cooperazione e che tale ruolo non esonera il titolare dalle responsabilità proprie in materia di trattamento dei dati personali. La lingua utilizzata deve essere chiara e priva di ambiguità, evitando formulazioni generiche che possano dar luogo a dubbi sull’estensione delle attività richieste.
Nel corpo della lettera è essenziale descrivere con dettaglio le finalità dell’incarico: informare e consigliare il titolare e i suoi incaricati sulle obbligazioni derivanti dal GDPR, monitorare l’osservanza delle normative e delle policy interne, collaborare e fornire pareri sulle Valutazioni di Impatto sulla Protezione dei Dati (DPIA), fungere da punto di contatto per gli interessati e per l’autorità di controllo, nonché promuovere attività di formazione e sensibilizzazione. La precisazione delle attività consente di evitare sovrapposizioni con altre funzioni aziendali e di prevenire potenziali conflitti di interesse. La lettera dovrebbe altresì prevedere l’obbligo per il DPO di redigere report periodici rivolti all’alta direzione, così da assicurare che il livello decisionale aziendale riceva informazioni tempestive sui rischi residui e sull’adeguatezza delle misure adottate.
Un elemento fondamentale è la garanzia di indipendenza e di assenza di conflitti di interesse: la lettera deve contenere una clausola che vieti al DPO di svolgere compiti che determinino la definizione delle finalità e dei mezzi del trattamento, come ruoli di indirizzo strategico quali amministratore delegato, direttore generale, responsabile marketing o responsabile IT con funzioni decisionali. Se la nomina riguarda un DPO esterno, è opportuno includere nel contratto di servizi specifiche clausole che mantengano tale indipendenza anche quando il rapporto è regolato da una forma contrattuale commerciale. È inoltre raccomandabile prevedere meccanismi di segnalazione interna che proteggano il DPO da ritorsioni qualora segnali non conformità o rischi.
La durata dell’incarico e le condizioni di cessazione dovrebbero essere esplicitate con chiarezza, indicando data di inizio, eventuale durata determinata o rinnovo tacito, termini di preavviso e le ipotesi di revoca per giusta causa. Il GDPR stabilisce che il DPO non debba essere rimosso o sanzionato per l’adempimento delle sue funzioni; la lettera deve richiamare tale principio e prevedere procedure oggettive per valutare la legittimità di eventuali provvedimenti disciplinari o di revoca. Le clausole economiche, relative al compenso e al rimborso delle spese, devono essere proporzionate all’impegno richiesto e compatibili con la natura indipendente della funzione, evitando schemi che possano comprimere l’autonomia tecnica del DPO.
La lettera deve altresì disciplinare le risorse e i poteri assegnati al DPO: accesso completo e tempestivo ai dati trattati, agli archivi, ai sistemi informativi e al personale coinvolto nei trattamenti, nonché la facoltà di partecipare alle riunioni della direzione e di ricevere tutte le informazioni necessarie per svolgere i compiti di vigilanza. È opportuno inserire una clausola che specifichi la possibilità per il DPO di ottenere supporto esterno specializzato qualora emergano questioni tecniche o giuridiche particolarmente complesse. L’obbligo di riservatezza deve essere previsto in modo stringente, con richiamo agli obblighi di legge e al persistere dell’obbligo dopo la cessazione dell’incarico, compatibilmente con la necessità di cooperazione con l’autorità di controllo e con le richieste degli interessati.
Dal punto di vista dei requisiti professionali, la lettera deve richiedere che il DPO possieda competenze specifiche in materia di normativa sulla protezione dei dati, sicurezza delle informazioni e gestione dei rischi, con riferimento a esperienza, titoli e attestazioni che il titolare può legittimamente richiedere. È utile prevedere l’allegazione di documenti che attestino tali competenze e la possibilità di aggiornare tali elementi nel corso del rapporto. Se la figura è interna, la designazione dovrebbe essere documentata in modo che sia evidente il rispetto delle incompatibilità previste; se esterna, il contratto di servizi deve prevedere clausole che garantiscano la continuità delle prestazioni e la gestione delle deleghe in caso di assenza temporanea.
La lettera deve includere disposizioni relative alla pubblicazione dei dati di contatto del DPO sul sito aziendale e alle comunicazioni da effettuare all’autorità di controllo, in ottemperanza alle indicazioni del Garante. Sempre in termini operativi, va previsto l’obbligo del DPO di tenere e aggiornare, ove richiesto, i registri delle attività di trattamento, di cooperare in procedure di verifica e di partecipare a eventuali ispezioni o richieste dell’autorità. È essenziale ribadire nel documento che il ruolo del DPO è di supporto e che la responsabilità amministrativa per il rispetto delle regole di protezione dei dati resta del titolare.
Infine, la lettera di incarico dovrebbe prevedere clausole finali su legge applicabile, foro competente e gestione delle controversie, nonché indicare gli allegati contrattuali quali il documento attestante le competenze professionali del DPO e le procedure interne rilevanti. Prima di sottoscrivere la lettera, il titolare è tenuto a verificare la conformità del testo a eventuali modelli aggiornati del Garante o a consulenze specialistiche, tenendo conto del contesto specifico dell’organizzazione e della natura dei trattamenti svolti.
Esempio lettera di incarico DPO
Lettera di incarico per il Responsabile della Protezione dei Dati (DPO / RPD)
Data: _____________
Tra:
Il Titolare del trattamento: _____________, con sede legale in _____________, codice fiscale / partita IVA _____________, rappresentato da _____________ (di seguito, “Titolare”),
e
Il Responsabile della Protezione dei Dati (DPO / RPD) nominato: _____________, codice fiscale / partita IVA _____________, con sede/professione in _____________, indirizzo e-mail _____________, PEC _____________ (di seguito, “DPO”).
Premesso che
- il Titolare intende conformare i propri trattamenti al Regolamento (UE) 2016/679 (GDPR) e ritiene necessario nominare un DPO ai sensi degli artt. 37 e ss. del GDPR;
- il DPO dichiara di possedere le competenze specialistiche richieste in materia di normativa privacy, sicurezza informatica e gestione dei rischi, nonché l’indipendenza richiesta dal GDPR;
si conviene e stipula quanto segue.
1. Oggetto e finalità dell’incarico
Il Titolare conferisce al DPO, che accetta, l’incarico di svolgere le funzioni di Responsabile della Protezione dei Dati ai sensi degli artt. 37-39 del GDPR, al fine di informare, consigliare e vigilare sul rispetto del GDPR e della normativa nazionale applicabile, con particolare riferimento a:
- consulenza e supporto nelle attività di valutazione della conformità dei trattamenti;
- vigilanza sull’applicazione delle politiche e procedure di protezione dei dati;
- supervisione e collaborazione nelle Valutazioni d’Impatto sulla Protezione dei Dati (DPIA);
- progettazione e realizzazione di piani di formazione e sensibilizzazione del personale;
- funzione di referente e punto di contatto per gli Interessati e per l’Autorità di controllo (Garante per la protezione dei dati personali);
- collaborazione con l’Autorità di controllo in caso di verifiche e segnalazioni.
2. Compiti e responsabilità del DPO
Il DPO si impegna, in autonomia e indipendenza, a:
- fornire pareri e raccomandazioni al Titolare in merito agli obblighi derivanti dal GDPR;
- monitorare e verificare l’osservanza del GDPR, delle politiche interne e delle procedure operative;
- supportare la conduzione di DPIA e verificare l’adozione di misure tecniche e organizzative adeguate;
- gestire le richieste e i reclami degli Interessati e fungere da punto di contatto per il Garante;
- redigere e mantenere aggiornati registri delle attività di trattamento ove richiesto;
- predisporre report periodici per l’alta direzione sull’adeguatezza delle misure e sui rischi residui.
3. Indipendenza e assenza di conflitto di interessi
Il Titolare garantisce che il DPO possa svolgere le proprie funzioni con autonomia e indipendenza, senza ricevere istruzioni per l’esecuzione delle sue attività e senza essere soggetto a provvedimenti per l’adempimento del suo incarico. Il DPO non dovrà ricoprire ruoli che determinino un conflitto di interessi (es. Amministratore Delegato, Direttore Generale, titolare delle funzioni di responsabilità IT/security, responsabile commerciale o altre posizioni che definiscono finalità e mezzi del trattamento), fatte salve ulteriori incompatibilità specificate dalle parti.
4. Durata dell’incarico e revoca
Il presente incarico ha durata a decorrere dal _____________ fino al _____________, rinnovabile previo accordo scritto tra le parti. Il DPO non potrà essere revocato o sanzionato per l’adempimento delle sue funzioni salvo giusta causa o comprovata inidoneità. In caso di revoca o cessazione anticipata è previsto un preavviso di _____________ giorni, salvo motivi di urgenza documentati.
5. Risorse e poteri
Il Titolare si impegna a fornire al DPO le risorse, l’accesso ai dati, alle operazioni di trattamento, ai sistemi informativi, al personale e alla documentazione necessarie per l’espletamento delle proprie funzioni. Il DPO avrà libertà di partecipare alle riunioni dell’alta direzione e di esprimere pareri vincolanti ai fini della protezione dei dati quando previsto dalla normativa.
6. Obblighi di segretezza e protezione dei dati
Il DPO si impegna a mantenere la riservatezza sulle informazioni di cui verrà a conoscenza nello svolgimento dell’incarico, nel rispetto degli obblighi di legge. Tale obbligo di riservatezza permane anche dopo la cessazione dell’incarico secondo quanto previsto dalle norme vigenti.
7. Requisiti professionali
Il DPO dichiara e garantisce di possedere le competenze specialistiche adeguate in materia di diritto e prassi in materia di protezione dei dati, sicurezza delle informazioni e gestione dei rischi. Il Titolare potrà richiedere documentazione attestante tali competenze.
8. Compenso e modalità di pagamento
Per lo svolgimento dell’incarico il DPO percepirà un compenso pari a _____________ (euro) alle seguenti modalità: _____________. Eventuali rimborsi spese saranno regolati come segue: _____________.
9. Pubblicazione e comunicazioni
Il Titolare si impegna a pubblicare i dati di contatto del DPO (nome e recapiti) sul sito aziendale e, se richiesto, a comunicarli al Garante della Privacy, conformemente alle disposizioni dell’Autorità di controllo.
10. Responsabilità
Il DPO svolge un ruolo di consulenza, vigilanza e cooperazione; tale incarico non esonera il Titolare dalle proprie responsabilità in ordine ai trattamenti di dati personali. Eventuali responsabilità del DPO saranno valutate nei limiti previsti dalla normativa vigente e dal contratto.
11. Risoluzione delle controversie e legge applicabile
Il presente incarico è regolato dalla legge italiana. Per ogni controversia relativa all’interpretazione o esecuzione del presente contratto sarà competente il Foro di _____________, salvo diverso accordo tra le parti.
12. Clausole finali
Il presente atto costituisce l’intero accordo tra le parti in materia di nomina del DPO e sostituisce ogni precedente intesa scritta o orale. Eventuali modifiche dovranno essere concordate per iscritto.
Accettazione dell’incarico
Il sottoscritto DPO dichiara di accettare l’incarico alle condizioni sopra indicate.
Luogo e data: _____________
Per il Titolare
Nome e qualifica del legale rappresentante: _____________
Firma: _____________
Per il DPO
Nome: _____________
Firma: _____________
Allegati:
- Documento attestante le competenze professionali del DPO: _____________
- Eventuali specifiche procedure interne: _____________
Fac simile lettera di incarico DPO Word
Qui puoi trovare il fac simile in formato Word per la lettera di incarico DPO da scaricare e adattare alla tua organizzazione. Il modello contiene le clausole principali relative ad oggetto, compiti, indipendenza, durata, risorse, compenso e obblighi di riservatezza, da integrare con eventuali specifiche aziendali e con i riferimenti normativi aggiornati.
