Incarico DPO – Esempio e Fac simile

Proposta di collaborazione in materia di Privacy per l’assunzione dell’incarico professionale di Data Protection Officer (DPO)

Premesso che

Il Regolamento (UE) 2016/679 (di seguito “GDPR”), all’art. 37, introduce la figura del Responsabile della Protezione dei Dati (Data Protection Officer – DPO), la cui funzione può essere svolta in forza di un contratto di servizi;

Ai sensi dell’art. 37, par. 5 del GDPR, il DPO dev’essere nominato “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39 del Regolamento”; inoltre, il considerando 97 del GDPR precisa che “il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare o dal responsabile del trattamento”;

Considerato che
Il Dott. [Nome Cognome] (di seguito “Professionista” o “DPO”) possiede un adeguato livello di conoscenza specialistica nonché le competenze richieste dall’art. 37, par. 5 del GDPR per ricoprire il ruolo di DPO e non si trova in situazioni di conflitto di interessi con la posizione da ricoprire, né con i compiti e le funzioni da svolgere;

Tutto ciò premesso e considerato, le parti convengono quanto segue.

1. Oggetto e finalità del contratto
Il presente contratto ha a oggetto il conferimento dell’incarico di DPO da parte di [Nome Società] (di seguito anche “Titolare del trattamento”), ai sensi degli artt. 37 e ss. del GDPR.
L’incarico dovrà essere svolto nel pieno rispetto della normativa nazionale ed europea in materia di protezione dei dati personali.

2. Compiti e funzioni del DPO
Il Dott. [Nome Cognome], in piena autonomia e indipendenza, e in conformità a quanto previsto dall’art. 39 GDPR, è incaricato dal Titolare del trattamento di svolgere i seguenti compiti e funzioni:
a. Informare e fornire consulenza al Titolare del trattamento, nonché ai dipendenti che eseguono operazioni di trattamento, in merito agli obblighi derivanti dal GDPR e da altre disposizioni nazionali o dell’Unione in materia di protezione dei dati;
b. Sorvegliare l’osservanza del GDPR, di altre disposizioni nazionali o dell’Unione in materia di protezione dei dati, nonché delle politiche interne del Titolare del trattamento, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa alle operazioni di trattamento e alle relative attività di controllo;
c. Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento ai sensi dell’art. 35 GDPR;
d. Cooperare con il Garante per la Protezione dei Dati Personali;
e. Fungere da punto di contatto con il Garante per la Protezione dei Dati Personali per questioni connesse al trattamento, incluse le consultazioni preventive di cui all’art. 36 GDPR, ed effettuare eventuali ulteriori consultazioni con l’Autorità;
f. Tenere in debita considerazione i rischi connessi al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo;
g. Assistere, ove necessario, il Titolare del trattamento nella valutazione d’impatto sulla protezione dei dati e, se del caso, nelle procedure di consultazione preventiva previste dal GDPR;
h. Fornire assistenza e supporto nella redazione del registro delle attività di trattamento e verificarne la corretta tenuta;
i. Garantire la riservatezza delle informazioni, nonché la liceità del proprio operato, nel rispetto del diritto nazionale e dell’Unione.
Qualora le parti lo ritengano opportuno, potranno essere concordate ulteriori attività in capo al DPO, purché non determinino situazioni di incompatibilità con il ruolo o conflitto di interessi.

3. Attività di audit
Il Dott. [Nome Cognome] si impegna a effettuare verifiche ispettive interne e presso eventuali Responsabili del trattamento, secondo le disposizioni vigenti e con la normale diligenza richiesta dalla prassi.
Nell’esecuzione dell’incarico, previa comunicazione al Titolare del trattamento, il DPO potrà avvalersi di sostituti, collaboratori o personale dipendente, sotto la propria responsabilità, fornendo – su richiesta – i relativi curriculum vitae.

4. Limitazioni e obblighi del Titolare del trattamento
I compiti e le funzioni di cui all’art. 2 vengono svolti dal DPO sulla base della documentazione e dei dati forniti dal Titolare del trattamento.
Il Titolare del trattamento si impegna a:
a. Mettere a disposizione del DPO le risorse eventualmente necessarie a consentire l’ottimale svolgimento dei compiti e delle funzioni assegnate;
b. Coinvolgere tempestivamente il DPO in tutte le questioni concernenti la protezione dei dati personali, nel rispetto delle disposizioni del GDPR e dei limiti connessi ai compiti assegnati;
c. Garantire al DPO, su semplice richiesta, l’accesso a tutte le informazioni necessarie per lo svolgimento del proprio incarico;
d. Invitare il DPO a partecipare periodicamente alle riunioni del management di alto e medio livello;
e. Non rimuovere né penalizzare il DPO per l’adempimento delle funzioni affidategli;
f. Assicurare che il DPO operi con piena autonomia e indipendenza, evitando di attribuirgli compiti in conflitto di interessi;
g. Documentare le eventuali motivazioni che abbiano condotto a scelte difformi dalle raccomandazioni del DPO;
h. Consultare il DPO tempestivamente in caso di violazione di dati personali o di altri incidenti di sicurezza.

5. Durata dell’incarico
Il presente contratto ha una durata di 3 anni a decorrere dalla data della sottoscrizione e si rinnoverà tacitamente, salvo disdetta comunicata per iscritto almeno 30 (trenta) giorni prima della scadenza.

6. Pubblicità dell’incarico
Il nominativo e i dati di contatto del DPO saranno comunicati al Garante per la Protezione dei Dati Personali e pubblicati, ove previsto, sul sito web del Titolare del trattamento. Tali dati di contatto saranno altresì inseriti nelle informative rese dal Titolare del trattamento ai sensi degli artt. 13 e 14 GDPR.
Salvo diversa indicazione espressa, nel corso di eventuali relazioni con i media, il Titolare potrà menzionare genericamente che il DPO assiste o ha assistito la Società nell’ambito dell’incarico in oggetto.

7. Corrispettivo
Il corrispettivo per l’incarico è pattuito in [indicare l’importo], da corrispondersi alle seguenti scadenze: [inserire le modalità di pagamento].

8. Variazioni del corrispettivo
Nel corso del rapporto, il Dott. [Nome Cognome] potrà variare l’importo del corrispettivo qualora l’attività richiesta divenga più impegnativa, complessa o onerosa. In tal caso, dovrà darne comunicazione scritta almeno 30 (trenta) giorni prima dell’applicazione della variazione; l’eventuale mancato accordo sul nuovo compenso costituirà giusta causa di recesso dal contratto.
Parimenti, il Titolare del trattamento potrà richiedere una riduzione del corrispettivo in caso di diminuzione rilevante della propria attività rispetto all’anno precedente, dandone comunicazione scritta al Professionista, il quale si riserva un termine di 30 (trenta) giorni per valutare la richiesta. Anche in tal caso, il mancato accordo costituirà giusta causa di recesso.

9. Recesso e risoluzione per inadempimento
Ciascuna parte potrà recedere dal presente contratto in qualunque momento, con comunicazione scritta a mezzo raccomandata A.R., rispettando un preavviso di 180 (cento­ottanta) giorni.
Il DPO potrà recedere con preavviso scritto di 30 (trenta) giorni qualora:
Il Titolare del trattamento risulti inadempiente rispetto agli obblighi di cui all’art. 4;
Vengano fornite al Professionista informazioni o documenti incompleti, incomprensibili, falsi o alterati;
Il Titolare non consegni tempestivamente dati e comunicazioni necessari;
Il Titolare non adempia agli obblighi di pagamento del corrispettivo;
Non si raggiunga un accordo in merito all’aumento del corrispettivo ai sensi dell’art. 8.
Il Titolare del trattamento potrà recedere dal contratto con preavviso scritto di 30 (trenta) giorni in caso di cessazione dell’attività.
In caso di inadempimento, la parte non inadempiente potrà intimare per iscritto all’altra di porre rimedio entro 30 (trenta) giorni. Decorso inutilmente tale termine, la parte intimante potrà dichiarare risolto il contratto, anche ai sensi dell’art. 1456 c.c. qualora si configurino gli estremi per la risoluzione di diritto.
In ogni caso di risoluzione anticipata, saranno corrisposti al DPO unicamente gli emolumenti relativi al periodo intercorrente tra la data della comunicazione di recesso e l’effettivo termine dell’incarico.

10. Dati di contatto del DPO
Per le comunicazioni dell’Autorità di Controllo, degli interessati e di terzi, il DPO sarà reperibile presso:
[Nome Società], con sede in [indirizzo], Tel. [numero], e/o mediante posta elettronica all’indirizzo [email].
11. Modifiche e integrazioni
Qualunque modifica o integrazione alle disposizioni del presente atto sarà valida ed efficace solo se concordata per iscritto e sottoscritta da entrambe le parti.

12. Rinvio
Per quanto non espressamente disciplinato dal presente atto, si rinvia alle disposizioni vigenti in materia, nonché agli usi e consuetudini applicabili.

13. Accordo di riservatezza e trattamento dei dati
Il Dott. [Nome Cognome] e il Titolare del trattamento dichiarano di essere consapevoli che, a seguito del presente incarico, potranno venire a conoscenza di dati, informazioni e notizie di natura riservata, impegnandosi reciprocamente a mantenerne la massima riservatezza.
I dati personali saranno trattati ai sensi del GDPR e del d.lgs. 196/2003 (e successive modificazioni), esclusivamente per le finalità connesse all’esecuzione dell’incarico, adottando ogni misura idonea a garantire la sicurezza e la riservatezza delle informazioni.

Luogo e data

Firma per accettazione

[Timbro e firma del Professionista / Titolare del trattamento]