Fac simile lettera di incarico per il trattamento dei dati personali Word

Una lettera di incarico per il trattamento dei dati personali è un atto di designazione con cui il titolare del trattamento autorizza una persona fisica a svolgere specifiche attività di trattamento di dati personali, regolando compiti, limiti, misure di sicurezza e obblighi di riservatezza. Serve a chiarire formalmente le responsabilità dell’incaricato, a documentare la base normativa dell’autorizzazione e a fornire istruzioni operative che consentono al titolare di adempiere agli obblighi di accountability previsti dal GDPR.

Indice

Come scrivere una lettera di incarico per il trattamento dei dati personali

La redazione di una lettera di incarico per il trattamento dei dati personali deve seguire criteri di chiarezza, concretezza e conformità normativa, tenendo presente il quadro stabilito dal Regolamento (UE) 2016/679 e dalla normativa nazionale applicabile. Innanzitutto occorre identificare con precisione le parti coinvolte, indicando i dati del titolare, l’eventuale responsabile del trattamento, il responsabile della protezione dei dati se nominato e la persona cui si conferisce l’incarico. La designazione deve richiamare espressamente la normativa di riferimento, in modo che il documento risulti interpretabile come atto formale di autorizzazione ai sensi dell’articolo 29 del GDPR, oltre a richiamare eventuali disposizioni legislative nazionali o procedure interne aziendali che integrano o dettagliano gli obblighi del titolare e dell’incaricato.

La lettera deve poi specificare le finalità per le quali l’incaricato è autorizzato a operare e delimitare il perimetro del trattamento. Le finalità devono essere formulate in termini concreti e coerenti con le attività effettivamente svolte dall’incaricato; è utile definire con precisione le operazioni di trattamento consentite, quali raccolta, registrazione, conservazione, consultazione, elaborazione, comunicazione interna, comunicazione verso soggetti terzi se autorizzata, restituzione o cancellazione dei dati. La definizione delle operazioni consente di evitare interpretazioni estensive o generiche che potrebbero tradursi in trattamenti non autorizzati con conseguenti rischi per il titolare e per gli interessati.

Un elemento essenziale riguarda le categorie di dati cui l’incaricato avrà accesso. La lettera deve elencare le tipologie di dati trattati, distinguendo, se necessario, i dati comuni dalle categorie particolari previste dall’articolo 9 del GDPR e i dati giudiziari. Qualora il trattamento riguardi categorie particolari di dati, la designazione deve indicare la base giuridica che legittima tale trattamento, le misure aggiuntive di protezione e le eventuali garanzie previste dalla normativa. La specificazione delle categorie di dati è rilevante anche ai fini delle misure di sicurezza, poiché l’entità e la natura delle protezioni tecniche e organizzative devono essere proporzionate ai rischi connessi al trattamento delle diverse categorie.

La lettera di incarico deve altresì contenere istruzioni operative e regole di condotta chiare. Tra queste rientrano le prescrizioni sull’uso delle credenziali personali, il divieto di condivisione delle password, le modalità di accesso ai sistemi e ai supporti contenenti dati, le regole per la gestione dei dispositivi rimovibili, le procedure di backup e cifratura e le modalità di conservazione e archiviazione dei dati. Le istruzioni devono essere coerenti con il Documento di Valutazione dei Rischi, il Registro dei Trattamenti e le policy aziendali; indicazioni specifiche su dove tali documenti sono reperibili o come vengono aggiornate rafforzano il valore operativo della designazione. È opportuno prevedere anche l’obbligo di segnalare tempestivamente al titolare o al DPO qualsiasi sospetta o accertata violazione dei dati personali e di cooperare nelle operazioni di contenimento e ricostruzione dell’evento, fornendo tutte le informazioni utili per la notifica e la gestione del data breach.

La disciplina della riservatezza e del segreto professionale costituisce un nucleo fondamentale della lettera di incarico. L’incaricato deve essere obbligato per iscritto a mantenere la riservatezza sulle informazioni di cui venga a conoscenza per ragione dell’incarico e a non divulgarle se non nei casi espressamente autorizzati. Tale obbligo deve perdurare anche dopo la cessazione dell’incarico. È opportuno specificare le conseguenze disciplinari e le responsabilità civili e penali in caso di violazione delle prescrizioni, indicando che il titolare potrà adottare provvedimenti disciplinari e agire per il risarcimento dei danni nei limiti di legge e di quanto previsto dai contratti collettivi applicabili.

Un altro aspetto rilevante è la durata dell’incarico e le modalità di cessazione. La lettera dovrebbe indicare il periodo di vigenza dell’incarico o richiamare la possibile revoca in qualsiasi momento da parte del titolare. Al termine dell’incarico è necessario prevedere obblighi operativi chiari quali la restituzione o la cancellazione dei dati e dei supporti contenenti dati, la cancellazione delle credenziali, il blocco degli accessi e l’adozione di ogni misura necessaria a evitare la conservazione non autorizzata di copie residue. La previsione di tali obblighi contribuisce a prevenire rischi residui e a dimostrare l’adozione di misure adeguate di accountability.

Infine, la lettera di incarico dovrebbe prevedere l’iscrizione dell’incaricato nel registro interno degli incaricati del trattamento e richiamare l’informativa fornita agli interessati, rimarcando che l’incaricato deve operare nel rispetto dei diritti degli interessati e delle procedure aziendali per l’esercizio di tali diritti. È consigliabile che la redazione della lettera segua i modelli e i fac‑simile disponibili presso ordini professionali, amministrazioni pubbliche e studi legali specializzati, avendo cura di adattare il contenuto al contesto specifico dell’organizzazione e di aggiornare il testo in linea con eventuali modifiche normative o organizzative. Una buona lettera di incarico non è un mero adempimento formale, ma uno strumento operativo che integra la governance della protezione dei dati nell’ambito dell’organizzazione, contribuendo a ridurre i rischi e a migliorare la conformità complessiva.

Esempio lettera di incarico per il trattamento dei dati personali

OGGETTO: Designazione/nomina a incaricato del trattamento dei dati personali

Tra

Titolare del trattamento: _________________________________
Sede/indirizzo: ___________________________________________
Partita IVA / Codice Fiscale: _____________________________
Responsabile del trattamento (se diverso dal titolare): _________________________________
Responsabile della protezione dei dati (DPO) (se nominato): _________________________________

Incaricato nominato:
Nome e cognome: ________________________________________
Ruolo / qualifica: _______________________________________
Codice Fiscale: ________________________________________
Indirizzo / ufficio di servizio: ___________________________
Contatti (telefono / e‑mail aziendale): _______________________

Premesso che

il Titolare, ai sensi del Regolamento (UE) 2016/679 (GDPR) e della normativa nazionale vigente, effettua trattamenti di dati personali per le finalità e con le modalità di seguito indicate;
il Titolare intende designare la persona sopra identificata quale incaricato ai sensi dell’art. 29 del GDPR e delle disposizioni interne;

si conviene quanto segue.

1) Oggetto della designazione

Con la presente il Titolare designa l’Incaricato, che accetta, per lo svolgimento delle attività di trattamento dei dati personali nei limiti e con le modalità indicate in questo atto.

2) Base normativa

La presente designazione è conferita ai sensi del Regolamento (UE) 2016/679 (GDPR), del D.Lgs. 196/2003 come modificato e delle disposizioni e procedure interne del Titolare.

3) Finalità del trattamento autorizzate

L’Incaricato è autorizzato a trattare i dati personali esclusivamente per le seguenti finalità:

Finalità 1: ______________________________________________
Finalità 2: ______________________________________________
Altre finalità (specificare): _______________________________

4) Tipologie di dati personali oggetto del trattamento

L’Incaricato è autorizzato a trattare le seguenti categorie di dati:

Dati anagrafici e identificativi: ___________________________
Dati contatti: ___________________________________________
Dati contabili/fiscali/amministrativi: _______________________
Dati giudiziari/sanitari/particolari (se previsti): ____________
Altre categorie: ________________________________________

5) Operazioni di trattamento consentite

L’Incaricato è autorizzato a compiere esclusivamente le seguenti operazioni:

Raccolta e acquisizione: __________________________________
Registrazione e organizzazione: ___________________________
Conservazione e archiviazione: ____________________________
Consultazione e accesso: __________________________________
Elaborazione e utilizzo: __________________________________
Comunicazione interna ed esterna (limitata e autorizzata): _____
Cancellazione, anonimizzazione o restituzione dei dati: _______
Altre operazioni (specificare): ____________________________

6) Limiti e condizioni dell’incarico

L’Incaricato:

deve effettuare i trattamenti solo per le finalità e nelle modalità indicate e solo nei casi e per i periodi strettamente necessari;
non può svolgere attività diverse o ulteriori senza preventiva autorizzazione scritta del Titolare;
non può trasferire i dati a soggetti terzi né all’estero senza autorizzazione scritta e conforme alle normative vigenti.

7) Misure di sicurezza e obblighi operativi

L’Incaricato si impegna a:

osservare le misure minime di sicurezza indicate nel Documento di Valutazione dei Rischi / Registro dei Trattamenti / Policy aziendale: __________________
utilizzare esclusivamente le credenziali fornite (username e password) e non condividerle: credenziali fornite il __/__/____
adottare misure tecniche e organizzative idonee per evitare accessi non autorizzati;
utilizzare dispositivi, supporti e strumenti autorizzati dal Titolare;
conservare i dati in luoghi protetti secondo le procedure aziendali;
rispettare le procedure di back‑up, cifratura e gestione dei supporti rimovibili previste dal Titolare.

8) Obblighi di riservatezza e limitazione alla comunicazione

L’Incaricato è tenuto al segreto e alla massima riservatezza sui dati e sulle informazioni di cui venga a conoscenza per ragione dell’incarico e non può divulgarli, né comunicarli o diffonderli, se non nei casi espressamente previsti e autorizzati dal Titolare o dalla normativa vigente.

9) Obblighi in materia di violazione dei dati (data breach)

In caso di sospetta o accertata violazione dei dati personali (data breach), l’Incaricato è tenuto a:

informare immediatamente il Titolare e/o il DPO al seguente contatto: ____________________
adottare le misure di contenimento indicate dal Titolare;
fornire al Titolare tutte le informazioni utili per la gestione e la comunicazione dell’evento.

10) Responsabilità e sanzioni

L’Incaricato è personalmente responsabile dell’osservanza delle istruzioni ricevute e delle disposizioni normative applicabili. In caso di violazione degli obblighi di cui alla presente designazione, il Titolare potrà adottare provvedimenti disciplinari e/o richiedere il risarcimento dei danni, nei limiti previsti dalla normativa e dai contratti applicabili.

11) Durata dell’incarico e obblighi dopo cessazione

La presente designazione decorre dal __/__/____ e rimane valida fino al __/__/____ o fino a revoca scritta del Titolare. Alla cessazione dell’incarico, per qualsiasi causa, l’Incaricato:

restituirà o cancellerà tutti i dati e i supporti contenenti dati in suo possesso secondo le istruzioni del Titolare;
manterrà l’obbligo di riservatezza e tutte le prescrizioni relative ai trattamenti effettuati anche dopo la cessazione.

12) Istruzioni specifiche (se applicabili)

Istruzioni operative particolari da osservare: _______________________________________
______________________________________________________________________________
______________________________________________________________________________

13) Trattamento di categorie particolari di dati/personal data sensitive (se previsti)

Qualora l’incarico comporti il trattamento di categorie particolari di dati (art. 9 GDPR) o dati giudiziari, tali trattamenti sono autorizzati solo se espressamente indicati e in presenza di una base giuridica valida:

Tipologia di dati speciali autorizzati: _______________________
Condizioni particolari/garanzie: ___________________________

14) Registro degli incaricati

L’Incaricato prende atto che la sua nomina sarà inserita nell’elenco/registro degli incaricati tenuto dal Titolare.

15) Informativa agli interessati

L’Incaricato dovrà operare nel rispetto dell’informativa fornita agli interessati e delle modalità di esercizio dei diritti (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità) indicate dal Titolare.

16) Contatti per chiarimenti

Per informazioni/opportune istruzioni l’Incaricato può rivolgersi a:
– Referente interno: _______________________________________
– DPO (se presente): ______________________________________
– Indirizzo e‑mail/PEC del Titolare: ________________________

Letto, confermato e sottoscritto.

Luogo: ________________________ Data: __/__/______

Per il Titolare
Nome e cognome: ________________________________________
Qualifica: ______________________________________________
Firma: _________________________________________________

Dichiarazione dell’Incaricato
Il/La sottoscritto/a ______________________________________ dichiara di aver ricevuto copia del presente atto di designazione, di aver preso visione delle istruzioni operative e delle misure di sicurezza indicate e di accettare l’incarico alle condizioni ivi previste.

Luogo: ________________________ Data: __/__/______

Firma dell’Incaricato: ____________________________________