Il verbale del Consiglio di Amministrazione che registra la nomina del responsabile privacy è l’atto formale con cui l’organo societario designa la persona incaricata della protezione dei dati personali; esso serve a documentare la scelta, a specificarne l’identità, la durata dell’incarico, le responsabilità e l’ambito di poteri e deleghe, nonché le modalità di rapporto con gli altri organi aziendali. Questo documento costituisce prova dell’adempimento agli obblighi derivanti dal GDPR e dalla normativa nazionale, supporta i principi di accountability e trasparenza e viene conservato per eventuali verifiche o ispezioni da parte dell’autorità di controllo.
Come scrivere un verbale CDA nomina responsabile privacy
Nel verbale del consiglio di amministrazione che formalizza la nomina del responsabile della protezione dei dati (RPD/DPO) devono essere ricostruiti in modo chiaro e completo i presupposti, la motivazione giuridica e gli effetti pratici della decisione, inserendo riferimenti normativi e tutti gli elementi che consentano di comprenderne la portata operativa, i limiti e le garanzie. Occorre indicare la data e il luogo della riunione, la composizione del CdA presente e la regolarità della convocazione, con menzione dell’autorità che ha presieduto la seduta e della persona che redige il verbale; queste informazioni formali attestano la validità della delibera e permettono di ricostruire il contesto decisionale in caso di controlli o contestazioni.
Il verbale deve richiamare la base giuridica della nomina, citando il Regolamento (UE) 2016/679 e le disposizioni del Codice della privacy aggiornate (D.lgs. n. 196/2003 come modificato dal D.lgs. n. 101/2018), specificando se la nomina è effettuata in ottemperanza all’obbligo previsto dagli articoli 37, 38 e 39 del GDPR o in applicazione di una scelta volontaria dell’ente. È opportuno riportare le ragioni che hanno portato alla scelta, ad esempio la natura delle attività di trattamento, la scala e la tipologia dei dati trattati, e qualsiasi valutazione preliminare che abbia giustificato l’individuazione della figura.
La delibera deve descrivere compiutamente l’identità del nominato, con dati anagrafici essenziali e un richiamo al curriculum professionale o agli elementi che comprovano l’idoneità alla funzione (esperienza, competenze tecniche e giuridiche in materia di protezione dei dati, eventuali certificazioni). Se la scelta ricade su un soggetto esterno, il verbale dovrebbe richiamare i termini contrattuali essenziali che definiscono lo status del rapporto, la durata dell’incarico, i limiti di responsabilità e gli obblighi di riservatezza, nonché la previsione di eventuali compensi e rimborsi. Deve essere annotata l’accettazione formale dell’incarico da parte del nominato e la sua dichiarazione, ove prevista, circa l’assenza di conflitti di interesse o, se presenti, le misure adottate per mitigarli; è importante che il verbale evidenzi la valutazione della indipendenza del RPD e l’impegno dell’ente a garantirne l’autonomia nello svolgimento dei compiti.
Il contenuto del verbale dovrebbe riportare la definizione delle mansioni e dei poteri attribuiti al RPD, conformemente all’articolato normativo: la descrizione delle attività di assistenza e consulenza al titolare o al responsabile del trattamento, il ruolo di monitoraggio della conformità, la formazione e sensibilizzazione del personale, la collaborazione con l’autorità di controllo e la funzione di punto di contatto per gli interessati. Vanno specificati i poteri di accesso ai trattamenti e alle risorse necessarie per l’espletamento dell’incarico, l’eventuale diritto a partecipare alle riunioni aziendali rilevanti, la garanzia che il RPD non riceva istruzioni relative all’esercizio delle sue funzioni e che non venga soggetto a sanzioni o licenziamenti per aver svolto correttamente l’incarico. Quando necessario, il verbale può anche indicare attività concrete che il DPO è incaricato di svolgere, come il supporto nelle valutazioni d’impatto (DPIA), il mantenimento e la revisione delle policy privacy, e la supervisione dei registri dei trattamenti, specificando i risultati attesi o i tempi per le prime verifiche.
Devono essere annotate le modalità pratiche di comunicazione interna ed esterna della nomina: l’indicazione dell’indirizzo di contatto pubblico (posta elettronica, numero di telefono o recapito postale) che sarà reso disponibile agli interessati e, se previsto, la pubblicazione sui canali aziendali o sul sito web istituzionale. Il verbale dovrebbe altresì contenere le indicazioni procedurali per la gestione del rapporto: la durata dell’incarico, le condizioni di rinnovo e revoca, le modalità di nomina di un eventuale supplente o di gestione delle assenze, nonché gli obblighi di aggiornamento professionale e di formazione continua.
Infine il documento dovrà essere sottoscritto dalle persone abilitate, con indicazione della presa d’atto e dell’accettazione da parte del nominato, e conservato insieme agli altri libri sociali e agli atti aziendali. È utile che il verbale contenga anche un richiamo alle eventuali allegazioni che lo corredano, come curriculum, dichiarazione di assenza di conflitto di interesse, copia del contratto o dell’incarico, e ogni documento che supporti la legittimità e la trasparenza della nomina, così da rendere immediatamente verificabile a terzi la correttezza formale e sostanziale dell’operazione.
Fac simile verbale CDA nomina responsabile privacy
VERBALE DEL CONSIGLIO DI AMMINISTRAZIONE
della società ______________ (di seguito “Società”)
Sede legale: ______________
Codice fiscale / Partita IVA: ______________
In data ______________, alle ore ______________, presso la sede sociale sita in ______________, si è riunito il Consiglio di Amministrazione della Società, regolarmente convocato.
Presiede la riunione il Sig./la Sig.ra ______________ nella sua qualità di Presidente del Consiglio di Amministrazione; funge da segretario verbalizzante il Sig./la Sig.ra ______________.
Sono presenti i seguenti amministratori:
– Sig./Sig.ra ______________ (Presidente) – ______________
– Sig./Sig.ra ______________ – ______________
– Sig./Sig.ra ______________ – ______________
(Indicare eventuali assenti: ______________)
Constatato e verificato che il Consiglio è regolarmente costituito ai sensi dello statuto sociale, il Presidente dichiara aperta la seduta e propone il seguente ordine del giorno:
1) Nomina del Responsabile della Protezione dei Dati (RPD/DPO);
2) Determinazioni inerenti e conseguenti.
Dopo opportuna discussione, il Consiglio all’unanimità (o con i voti favorevoli ______________, contrari ______________, astenuti ______________) delibera quanto segue:
Delibera n. ______________/20__
Il Consiglio di Amministrazione della Società, preso atto delle disposizioni del Regolamento (UE) 2016/679 (“GDPR”) e della normativa nazionale vigente in materia di protezione dei dati personali, nonché della necessità di garantire l’adeguata gestione e il corretto adempimento degli obblighi connessi al trattamento dei dati personali effettuati dalla Società,
– nomina quale Responsabile della Protezione dei Dati (RPD/DPO) della Società il/la Sig./Sig.ra ______________, nato/a a ______________ il ______________, codice fiscale ______________, residente in ______________, recapito e-mail ______________, telefono ______________;
– stabilisce che l’incarico ha efficacia a decorrere dal ______________ e avrà durata fino al ______________ (o “fino a revoca/finché il rapporto di lavoro/mandato perdurerà”), salvo quanto diversamente previsto dalle parti;
– attribuisce al Responsabile della Protezione dei Dati i compiti e le responsabilità previsti dal GDPR e dalla normativa nazionale, in particolare:
a) informare e consigliare la Società e i suoi dipendenti sul rispetto degli obblighi derivanti dal GDPR e dalla normativa nazionale;
b) sorvegliare l’osservanza del GDPR, della normativa nazionale e delle politiche privacy della Società, compresa l’assegnazione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle attività di trattamento;
c) fornire consigli in merito alla valutazione d’impatto sulla protezione dei dati (DPIA) e sorvegliare la corretta esecuzione delle stesse quando richiesto;
d) cooperare con l’Autorità di controllo competente e fungere da punto di contatto per l’Autorità di controllo su questioni connesse al trattamento dei dati personali;
e) fungere da punto di contatto per gli interessati su questioni connesse al trattamento dei loro dati personali;
f) mantenere un registro delle attività di trattamento, ove applicabile, e verificare la corretta tenuta della documentazione richiesta.
– conferisce al Responsabile della Protezione dei Dati autonomia funzionale, accesso a tutte le informazioni necessarie per l’adempimento dei propri compiti e adeguate risorse materiali e organizzative, nonché la garanzia di non subire pregiudizi per l’esercizio delle proprie funzioni, fermo restando il rispetto delle procedure aziendali;
– stabilisce che il RPD/DPO riferirà direttamente al Consiglio di Amministrazione (o al Presidente / Amministratore Delegato) con periodicità ______________ e in occasione di specifiche necessità o richieste da parte del Consiglio;
– fissa la remunerazione e/o il compenso per l’incarico in euro ______________ lordi/annui (o “come da contratto di lavoro/mandato allegato”) e stabilisce eventuali rimborsi spese secondo le modalità: ______________;
– autorizza il Presidente e/o l’Amministratore Delegato a compiere tutti gli atti necessari per dare esecuzione alla presente delibera, ivi compresa la comunicazione della nomina al Garante per la protezione dei dati personali (ove richiesto) e l’aggiornamento degli incarichi interni e dei registri aziendali;
– dispone che copia del presente verbale, unitamente all’accettazione dell’incarico sottoscritta dal RPD/DPO, sia conservata agli atti sociali e che la nomina venga portata a conoscenza del personale e dei soggetti interessati mediante comunicazione interna e pubblicazione sul sito web aziendale nella sezione privacy (se applicabile) all’indirizzo ______________.
Il/la Sig./Sig.ra ______________ dichiara di accettare l’incarico alle condizioni sopra indicate e sottoscrive il presente verbale per accettazione.
Letto, approvato e sottoscritto.
Luogo e data: ______________
Il Presidente del CdA
Firma: ______________________________
Nome e cognome: ______________
Il Segretario verbalizzante
Firma: ______________________________
Nome e cognome: ______________
Il/La Responsabile della Protezione dei Dati (accetta)
Firma: ______________________________
Nome e cognome: ______________
Altri amministratori presenti (firme):
1) ______________________________ Nome e cognome: ______________
2) ______________________________ Nome e cognome: ______________
3) ______________________________ Nome e cognome: ______________
Documenti allegati:
– Documento di identità del RPD/DPO: ______________
– Contratto/mandato relativo all’incarico: ______________
– Eventuale informativa e politica privacy aggiornata: ______________