Protezione dei dati

Nomina autorizzati al trattamento: fac-simile e guida

Nomina degli autorizzati al trattamento ex art. 29 GDPR e art. 2-quaterdecies Codice Privacy: fac-simile della lettera di designazione e istruzioni operative.

La nomina degli autorizzati al trattamento è l’atto con cui il titolare (o il responsabile) designa le persone fisiche che, sotto la sua autorità, sono abilitate a trattare i dati personali, impartendo loro le istruzioni cui attenersi. È prevista dall’art. 29 del Regolamento (UE) 2016/679 (GDPR) e, nel diritto italiano, dall’art. 2-quaterdecies del Codice Privacy (D.lgs. 196/2003), che ha ereditato la figura dei vecchi «incaricati» del trattamento. Qui trovi il fac-simile della lettera di nomina, le istruzioni operative da allegare e la differenza — spesso confusa — tra autorizzato, responsabile ex art. 28 e designato interno.

Punti chiave

  • L’autorizzato è la persona fisica che tratta i dati sotto l’autorità del titolare/responsabile (art. 29 GDPR).
  • In Italia la designazione è disciplinata dall’art. 2-quaterdecies del Codice Privacy.
  • L’autorizzato non è un responsabile del trattamento: è interno all’organizzazione del titolare.
  • La nomina deve accompagnarsi a istruzioni operative documentate.
  • La formalizzazione delle nomine è tra i documenti che il Garante verifica in sede ispettiva.

Chi è l’autorizzato e perché la nomina è necessaria

Ogni volta che un dipendente o un collaboratore, nell’ambito della sua attività, accede a dati personali — la segretaria che gestisce l’agenda dei clienti, l’addetto paghe che vede le buste dei colleghi, il commesso che consulta l’anagrafica — quella persona è un autorizzato al trattamento. L’art. 29 GDPR stabilisce un principio netto: chiunque agisca sotto l’autorità del titolare o del responsabile e abbia accesso a dati personali «non può trattare tali dati se non è istruito in tal senso» dal titolare, salvo che lo richieda il diritto dell’Unione o nazionale.

La nomina serve quindi a due scopi: abilitare legittimamente la persona al trattamento e vincolarla a istruzioni precise (riservatezza, limiti di accesso, uso corretto degli strumenti). Senza nomina, l’accesso ai dati da parte del personale è, formalmente, un trattamento non autorizzato. Ed è proprio la catena «titolare → autorizzati istruiti» a dare concretezza al principio di accountability e alle misure organizzative dell’art. 32.

Autorizzato, responsabile e designato: non confonderli

Qui si annidano gli errori più frequenti. La tabella chiarisce i ruoli.

Figura Chi è Riferimento Rapporto con il titolare
Autorizzato Persona fisica interna che tratta i dati Art. 29 GDPR; art. 2-quaterdecies Codice Privacy Sotto l’autorità del titolare (o del responsabile)
Responsabile Soggetto esterno che tratta per conto del titolare Art. 28 GDPR Rapporto contrattuale (DPA)
Designato interno Soggetto cui il titolare attribuisce compiti/funzioni specifiche Art. 2-quaterdecies, co. 2 Struttura organizzativa interna

L’autorizzato è dentro l’organizzazione: un dipendente. Il responsabile ex art. 28 è fuori: un fornitore (il consulente del lavoro, la software house, l’agenzia di marketing) che va nominato con un contratto, il DPA, come spiegato nella guida sulla nomina del responsabile del trattamento. Il designato interno, previsto dal secondo comma dell’art. 2-quaterdecies, è la persona (spesso un responsabile di funzione o di reparto) cui il titolare attribuisce compiti e funzioni specifiche in materia di protezione dei dati, per articolare l’organizzazione in modo verticale. Per il quadro d’insieme dei ruoli vedi anche titolare e responsabile del trattamento a confronto.

Il fac-simile della lettera di nomina

Designazione ad autorizzato al trattamento dei dati personali (art. 29 GDPR e art. 2-quaterdecies D.lgs. 196/2003)

[Denominazione titolare], in qualità di Titolare del trattamento, con la presente designa il/la Sig./Sig.ra [Nome], in servizio presso [ufficio/funzione], quale autorizzato al trattamento dei dati personali per le attività connesse alle mansioni assegnate.

L’autorizzato tratta i dati esclusivamente per le finalità indicate e nei limiti delle istruzioni allegate, che si impegna a rispettare. La presente designazione ha effetto dalla data di sottoscrizione e permane per la durata dell’incarico.

Ambito di trattamento assegnato: [es. gestione anagrafica clienti; gestione fornitori; gestione del personale].

Data ___ Firma del Titolare ___ Per accettazione, l’autorizzato ___

Le istruzioni operative da allegare

La nomina senza istruzioni è un guscio vuoto. Alle designazioni va allegato un documento di istruzioni operative che, in linguaggio semplice, indichi almeno:

  • l’obbligo di riservatezza su tutti i dati conosciuti in ragione dell’incarico;
  • il principio del minimo privilegio: accedere solo ai dati necessari alle proprie mansioni;
  • le regole di sicurezza: gestione delle credenziali, blocco delle sessioni, divieto di condividere password, uso corretto della posta elettronica e dei supporti removibili;
  • il divieto di comunicazione a terzi non autorizzati;
  • la procedura di segnalazione immediata di eventuali violazioni (data breach) al punto di contatto interno;
  • il comportamento in caso di richieste degli interessati (a chi inoltrarle);
  • il richiamo alle policy aziendali e alle conseguenze disciplinari in caso di violazione.

Queste istruzioni vanno coordinate con l’informativa privacy resa agli interessati e con quanto dichiarato nel registro dei trattamenti alla voce misure organizzative. Chi vigila sul rispetto delle istruzioni è, ove nominato, il Responsabile della protezione dei dati (RPD/DPO).

Errori tipici da evitare

Il primo errore è non nominare affatto: molte PMI danno per scontato che «i dipendenti possono ovviamente vedere i dati». Formalmente non è così. Il secondo è la nomina generica, uguale per tutti, senza istruzioni calibrate sulla mansione: un magazziniere e un addetto HR non hanno lo stesso ambito. Il terzo è la nomina statica, mai aggiornata quando la persona cambia ruolo o lascia l’organizzazione — con credenziali che restano attive. Il quarto è confondere l’autorizzato con il responsabile, chiedendo a un dipendente di firmare un DPA ex art. 28 (che non gli compete) o, al contrario, «autorizzando» un fornitore esterno che andrebbe invece nominato responsabile.

Mantenere aggiornato l’elenco degli autorizzati, con ambiti e istruzioni differenziati e revoche puntuali all’uscita del personale, è un lavoro di manutenzione costante. Piattaforme come Legiscope tengono traccia delle designazioni collegandole ai trattamenti del registro, così che a ogni attività corrispondano le persone abilitate e le relative istruzioni, riducendo il rischio di accessi non più giustificati.

Per la normativa, il testo dell’art. 29 GDPR su EUR-Lex, il Codice Privacy su Normattiva e le indicazioni del Garante per la protezione dei dati personali.

Domande frequenti

La nomina degli autorizzati è obbligatoria?

Sì. L’art. 29 GDPR vieta a chi agisce sotto l’autorità del titolare di trattare dati personali senza esserne istruito. La designazione ad autorizzato, con le relative istruzioni, è l’atto con cui il titolare adempie a quest’obbligo e dimostra di aver adottato misure organizzative adeguate (art. 32). L’assenza di nomine è una carenza contestabile.

Che differenza c’è tra autorizzato e responsabile del trattamento?

L’autorizzato è una persona fisica interna all’organizzazione (un dipendente), che tratta i dati sotto l’autorità del titolare. Il responsabile ex art. 28 è un soggetto esterno (un fornitore) che tratta per conto del titolare sulla base di un contratto. Sono figure diverse, con atti diversi: designazione per l’autorizzato, accordo sul trattamento (DPA) per il responsabile.

La nomina degli autorizzati deve avere forma scritta?

Il GDPR non impone una forma solenne, ma la forma scritta è di fatto necessaria per dimostrare l’avvenuta designazione e la consegna delle istruzioni. In pratica si utilizza una lettera di nomina sottoscritta per accettazione, con allegate le istruzioni operative. Senza traccia scritta, in sede ispettiva è impossibile provare l’adempimento.

Gli autorizzati vanno indicati nel registro dei trattamenti?

Il registro (art. 30) non richiede l’elenco nominativo degli autorizzati, ma alla voce «misure di sicurezza» è opportuno richiamare l’esistenza di un sistema di designazioni e istruzioni. Tenere l’elenco degli autorizzati collegato ai singoli trattamenti aiuta a governare gli accessi e a dimostrare la coerenza tra chi può trattare e cosa effettivamente tratta.

Vedi anche: la differenza tra titolare e responsabile del trattamento, figure da non confondere con gli autorizzati interni.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →