Il GDPR ( Regolamento Generale sulla Protezione dei Dati ) ha introdotto una serie di obblighi per i titolari dei dati in materia di protezione dei dati personali. Uno degli aspetti fondamentali di tale regolamento è la designazione di incaricati al trattamento dei dati, ossia quelle persone che, sotto la direzione del Titolare e/o del DPO, sono responsabili della gestione quotidiana dei dati personali.
Cos’è l’atto di Nomina?
Secondo l’articolo 29 del GDPR, il Titolare del trattamento ha l’obbligo di designare formalmente uno o più incaricati al trattamento . Questi incaricati, che possono essere dipendenti o collaboratori esterni, devono essere espressamente nominati in un atto scritto che individua i limiti e le modalità del trattamento. La nomina ha lo scopo di garantire che le persone responsabili del trattamento siano consapevoli delle loro funzioni e obblighi, nel rispetto delle normative sulla privacy.
Contenuti dell’Atto di Nomina
L’atto di nomina deve essere chiaro e completo, specificando:
- Identità dell’incaricato: Nome, ruolo e posizione del dipendente o collaboratore designato.
- Compiti e responsabilità: Descrizione dettagliata delle attività che l’incaricato è autorizzato a svolgere sui dati personali, compreso l’accesso e l’utilizzo degli stessi.
- Obbligo di riservatezza: L’incaricato è obbligato a mantenere la riservatezza sui dati trattati ea non utilizzarli per scopi diversi da quelli previsti dal Titolare del trattamento.
- Formazione continua: È obbligatorio che l’incaricato riceva una formazione adeguata in materia di protezione dei dati personali, per comprendere correttamente le implicazioni del trattamento ei rischi connessi.
- Controllo e supervisione: Il Titolare del trattamento deve poter esercitare un controllo periodico sull’attività degli incaricati per garantire la conformità alle disposizioni del GDPR.
Perché è importante?
L’ atto di nomina rappresenta uno strumento fondamentale per garantire la conformità al GDPR. La nomina degli incaricati al trattamento assicura che il trattamento dei dati sia effettuato in modo trasparente, sicuro e conforme alle leggi. Inoltre, in caso di violazioni, l’atto di nomina è una prova importante che dimostra l’impegno dell’organizzazione nel rispettare gli obblighi di protezione dei dati personali.
I modelli, i suggerimenti e le bozze di atti giudiziari, relate di notifica e documentazione correlata, inclusi quelli inviabili tramite PEC, forniti attraverso il sito Business Legal Times, sono esclusivamente a scopo informativo e di esempio. Tali materiali non costituiscono in alcun modo consulenza legale personalizzata o sostituiscono un parere giuridico professionale.
L’utilizzo dei modelli e dei suggerimenti disponibili sul presente sito è effettuato sotto la responsabilità esclusiva dell’utente, che deve sempre verificarne la conformità alla propria situazione specifica e alle normative applicabili. In nessun caso la redazione del sito, l’autore, né lo Studio Barpi potranno essere ritenuti responsabili per danni diretti o indiretti derivanti dall’uso di tali documenti, inclusi errori di interpretazione, omissioni, o per eventuali problematiche legali o economiche derivanti da un utilizzo improprio.
Si consiglia vivamente di consultare un professionista qualificato per ogni questione legale o per l’adattamento dei modelli alle proprie necessità specifiche, al fine di garantire la conformità alle leggi e regolamenti in vigore.
ATTO DI NOMINA DEL DIPENDENTE/COLLABORATORE
INCARICATO AL TRATTAMENTO DEI DATI PERSONALI
ex art. 2 quaterdecies D. Lgs. 196/2003 modificato dal D. Lgs n. 101/2018
FAC-SIMILE
Egregio Signor/ Gentile Signora,
il D. Lgs. n. 196/03 come novellato dal D. Lgs. 101/18 in coordinamento al GDPR (Reg. Ue 679/16) precisa che ___________________NOME AZIENDA________________, quale Titolare dei dati personali di persone fisiche trattati per finalità aziendali possono designare i propri dipendenti e collaboratori alla gestione delle banche dati utilizzate a fini lavorativi ed impone che all’interno di ogni realtà aziendale sia costituita una gerarchia che comprenda le figure dei Titolare/ Contitolari e di altri soggetti designati (ex art. 2 quaterdecies D. Lgs. 196/03).
Tale designazione non comporta alcuna modifica della qualifica professionale o delle mansioni assegnate a ciascun dipendente/collaboratore.
Ciò premesso il Titolare del trattamento dati Le ricorda che svolgendo le Sue funzioni ed i compiti assegnati, Lei viene necessariamente a conoscenza dei contenuti delle banche dati aziendali.
Con la presente, pertanto, La nominiamo
SOGGETTO DESIGNATO
al trattamento di dati personali ex art. 2 quaterdecies D. Lgs. 196/03
Sono dati personali tutte le informazioni che permettano l’identificazione del soggetto cui si riferiscono (es. dati anagrafici, recapiti telefonici, fotografie ecc.).
Al fine di una corretta applicazione della legge citata, nonché di una adeguata tutela dei diritti degli Interessati, Lei, quale soggetto designato, dovrà:
- Effettuare la raccolta, l’elaborazione, la registrazione (ecc.) di dati personali esclusivamente per lo svolgimento delle mansioni assegnate;
- Trattare tutti i dati personali di cui viene a conoscenza nell’ambito dello svolgimento delle funzioni assegnate, in modo lecito e secondo correttezza;
- Accedere unicamente alle banche dati contenenti le informazioni necessarie per svolgere la sua mansione e in specifiche occasioni, d’intesa con il Titolare, anche alle aree privilegiate per gestione/evasione pratiche;
- Mantenere costantemente aggiornate tutte le banche dati cui ha accesso ed evitare di creare banche dati nuove senza espressa autorizzazione del Titolare;
- Mantenere assoluto riserbo sui dati personali e aziendali di cui viene a conoscenza nell’esercizio delle funzioni assegnate ed evitare di asportare supporti informatici o cartacei contenenti dati personali e aziendali e/o di terzi, senza la previa autorizzazione scritta del Titolare.
È fatto ASSOLUTO DIVIETO di comunicare, diffondere, utilizzare i dati personali e aziendali in assenza dell’autorizzazione del Titolare. L’eventuale violazione di tale divieto sarà sanzionata dal Ttolare nei tempi e modi previsti dal CCNL e dalla normativa applicabile al contratto di lavoro, fermo il diritto al risarcimento del danno patito dal Titolare in conseguenza di un’eventuale violazione da parte sua.
Lei, quale soggetto designato, dovrà osservare scrupolosamente tutte le misure di sicurezza già in atto, o che verranno comunicate in seguito dal Titolare del trattamento.
I dati personali devono essere trattati:
- in osservanza dei criteri di riservatezza;
- in modo lecito e secondo correttezza;
- per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati;
- nel pieno rispetto delle misure minime di sicurezza, custodendo e controllando i dati oggetto di trattamento in modo da evitare i rischi, anche accidentali, di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
TRATTAMENTI ESEGUITI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
I dati personali archiviati su supporti di tipo magnetico e/o ottico devono essere protetti con le stesse misure di sicurezza previste per i supporti cartacei. Le misure di sicurezza applicate alle copie o alle riproduzioni dei documenti contenenti dati personali devono essere identiche a quelle applicate agli originali.
CUSTODIA
I documenti contenenti dati personali e/o aziendali devono essere custoditi in modo da non essere accessibili a persone non incaricate del trattamento.
I documenti contenenti dati personali e/o aziendali che vengono prelevati dagli archivi per l’attività quotidiana devono esservi riposti a fine giornata e non devono rimanere incustoditi su scrivanie o tavoli di lavoro. I documenti contenenti dati personali e/o aziendali trattati senza l’ausilio di strumenti elettronici non devono essere portati al di fuori dei locali individuati per la loro conservazione se non con l’autorizzazione del Titolare del trattamento e, nel caso questo avvenga, l’asportazione deve essere ridotta al tempo minimo necessario per effettuare le operazioni di trattamento tenuto conto della tipologia di attività principale svolta dal Titolare del trattamento. Qualora tali documenti siano sono portati fuori dai locali preposti alla loro conservazione, gli stessi dovranno essere riposti in adeguate cartelline e/o borse al fine di garantirne la riservatezza;
COMUNICAZIONE
L’utilizzo dei dati personali e/o aziendali deve avvenire in base al principio del “need to know” e cioè essi non devono essere condivisi, comunicati o inviati a persone che non ne necessitino per lo svolgimento delle proprie mansioni lavorative (anche se queste persone sono a loro volta incaricate del trattamento). I dati non devono essere comunicati all’esterno e, comunque, a soggetti terzi se non previa autorizzazione;
DISTRUZIONE
Qualora sia necessario distruggere i documenti contenenti dati personali e/o aziendali, questi devono essere distrutti utilizzando gli appositi apparecchi “distruggi documenti” o, in assenza, devono essere sminuzzati in modo da non essere più ricomponibili.
TRATTAMENTI ESEGUITI CON L’AUSILIO DI STRUMENTI ELETTRONICI
L’incaricato interno (di seguito anche autorizzato) al trattamento dei dati personali deve prestare particolare attenzione all’esattezza dei dati trattati e, se sono inesatti o incompleti, deve provvedere ad aggiornarli tempestivamente;
Ogni incaricato interno al trattamento dei dati personali è tenuto ad osservare tutte le misure di protezione e sicurezza atte a evitare rischi di distruzione o perdita anche accidentale dei dati, l’accesso non autorizzato, il trattamento non consentito o non conforme alle finalità della raccolta;
Ogni incaricato interno può utilizzare supporti esterni (pendrive, hard disk, sim card, etc.) Per downloadare o uploadare dati solo se tali strumenti prevedono la criptazione dei dati, previa autorizzazione del titolare;
Per quanto concerne l’utilizzo degli strumenti informatici, dovranno essere inoltre scrupolosamente osservate anche le disposizioni contenute nel c.d. “regolamento aziendale” redatto dal titolare per chiunque abbia accesso al sistema informatico;
GESTIONE DELLE CREDENZIALI DI AUTENTICAZIONE
L’accesso alle procedure informatiche che trattano dati personali e/o aziendali è consentito agli Incaricati in possesso di “credenziali di autenticazione” che permettano il superamento di una procedura di autenticazione. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’Incaricato (user-id) associato ad una parola chiave riservata (password). Gli Incaricati devono utilizzare e gestire le proprie credenziali di autenticazione attenendosi alle seguenti istruzioni:
Le user-id individuali per l’accesso alle applicazioni non devono mai essere condivise tra più utenti (anche se Incaricati del trattamento). Nel caso altri utenti debbano poter accedere ai dati è necessario richiedere l’autorizzazione al Titolare del trattamento.
Gli strumenti di autenticazione (ad esempio le password) che consentono l’accesso alle applicazioni devono essere mantenute riservate. Essi non vanno mai condivisi con altri utenti (anche se Incaricati del trattamento).
Le password devono essere sostituite, a cura del singolo Incaricato, al primo utilizzo e successivamente almeno ogni sei mesi.
Le password devono essere composte da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito. Le password non devono contenere riferimenti agevolmente riconducibili all’Incaricato (es. nomi di familiari) e devono essere scelte nel rispetto del regolamento aziendale sulla costruzione ed utilizzo delle password (vedi successivo punto).
PROTEZIONE DEL PC E DEI DATI
Tutti i PC devono essere dotati di password rispondenti al regolamento aziendale. Le password di accesso ai PC contenenti dati personali, nonché le eventuali password per l’accesso ai singoli file contenenti tali dati dovranno essere custoditi con la massima cautela
Sui PC connessi alla rete aziendale del Titolare devono essere installati esclusivamente software necessari all’attività lavorativa, dotati di licenza e forniti dalle strutture di appartenenza.
Per evitare accessi illeciti, deve essere sempre attivato il salva schermo con password, e in caso di necessità di abbandono immediato della postazione lavorativa attivato il salvaschermo con la combinazione tasti “windows+L”
Sui PC devono essere installati, appena vengono resi disponibili (e comunque almeno annualmente), tutti gli aggiornamenti software necessari a prevenirne vulnerabilità e correggerne i difetti.
Tutti i dati devono essere sempre salvati in modo ordinato esclusivamente sul server e nei suoi supporti locali dei PC.
CANCELLAZIONE DEI DATI DAI PC
I dati personali e/o aziendali conservati sui PC devono essere cancellati in modo sicuro (es. formattando i dischi) prima di destinare i PC ad usi diversi. I supporti magnetici od ottici contenenti dati personali devono essere cancellati prima di essere riutilizzati. Se ciò non è possibile, essi devono essere distrutti.
ISTRUZIONI DI CARATTERE GENERALE
Password: nella costruzione delle password Usare almeno 8 caratteri o, nel caso in cui lo strumento elettronico non lo permetta, usare un numero di caratteri pari al massimo consentito. Usare lettere, numeri e almeno un carattere “speciale” (es. ; $ ! @ – > <). Non utilizzare date di nascita, nomi o cognomi propri o di parenti.
Non sceglierla uguale alla user-id. Custodirla sempre in un luogo sicuro e non accessibile a terzi. Non divulgarla a terzi. Non condividerla con altri utenti.
Come gestire la posta elettronica: non aprire messaggi con allegati di cui non si conoscono l’origine, possono contenere virus in grado di cancellare i dati sul PC. Evitare di aprire filmati e presentazioni non attinenti l’attività lavorativa per evitare situazioni di pericolo per i dati contenuti sul vostro PC.
Come usare correttamente Internet: evitare di scaricare sui PC comuni alla rete aziendale file e software di uso non direttamente riferibile all’attività di lavoro, in quanto questo può essere pericoloso per i dati e la rete aziendale. I software necessari all’attività lavorativa vanno richiesti alla direzione. Usare Internet solo per lavoro, i siti web spesso nascondono insidie per i visitatori meno esperti.
Data, ______________
Luogo, _____________
IL TITOLARE DEL TRATTAMENTO L’INCARICATO
_____________________ __________________
