Prendi la Tua Strada

Nomina un momento solenne e pratico: con poche righe ben scritte si chiariscono responsabilità, limiti e aspettative tra titolare e assistente, riducendo fraintendimenti e rischi. Questa guida, pensata per chi gestisce una tabaccheria, spiega in modo chiaro e operativo come redigere una nomina corretta e completa: cosa includere (dati delle parti, mansioni, orario, durata, compenso, clausole particolari), come formulare frasi semplici ma vincolanti, e quali controlli normativi e documentali non trascurare. Troverai esempi pronti all’uso, suggerimenti per adattare il testo al tuo caso e una checklist finale per verificare che la nomina sia valida e professionalmente efficace. Prima di finalizzare, ricorda di confrontarti con il tuo consulente del lavoro o un legale per eventuali obblighi locali o normative specifiche del settore.

Come scrivere nomina assistente di tabaccheria​

Per redigere una nomina per un assistente di tabaccheria è necessario procedere con cura, chiarezza e attenzione agli aspetti sia formali sia sostanziali: il documento deve comunicare in modo inequivocabile l’instaurazione del rapporto di lavoro, i diritti e i doveri principali delle parti, e le condizioni concrete che regoleranno la prestazione lavorativa, evitando ambiguità che possano generare contestazioni future. All’inizio della lettera di nomina vanno indicati con precisione i dati anagrafici del datore di lavoro (ragione sociale, indirizzo della tabaccheria, eventuale partita IVA o numero di concessione se pertinente) e quelli del lavoratore (nome, luogo e data di nascita, codice fiscale, indirizzo di residenza), seguendo la forma più formale possibile e inserendo la data e il luogo di redazione. Subito dopo è opportuno richiamare l’oggetto della comunicazione, ad esempio con una frase breve che specifichi che si tratta della comunicazione di assunzione o nomina a ruolo di assistente di tabaccheria, senza lasciare spazio a dubbi sulla natura contrattuale del documento.

Nella parte descrittiva occorre definire il profilo professionale e le mansioni principali, con un linguaggio dettagliato ma non eccessivamente vincolante: indicare che l’assistente sarà incaricato della vendita al pubblico di prodotti di monopolio, di gestione della cassa, del controllo delle scorte e dell’allestimento del punto vendita, del rifornimento degli espositori, della registrazione delle vendite su registratore di cassa o sistema gestionale, del controllo documentale per la vendita di prodotti soggetti a restrizioni (verifica dell’età per la vendita di tabacco, rispetto delle normative sui monopoli), e di eventuali mansioni accessorie quali la gestione dei rapporti con i fornitori o l’esposizione di materiale promozionale. Se alcune mansioni richiedono abilitazioni specifiche o la conoscenza di procedure amministrative o fiscali legate alla vendita dei prodotti di monopolio, va richiamata l’esigenza di partecipare a formazione interna e di osservare rigorosamente le procedure aziendali e le normative vigenti. È utile precisare il livello di autonomia operativa richiesto e se il lavoratore dovrà rispondere direttamente al titolare o a un responsabile.

La sezione economica deve essere formulata con precisione: indicare la tipologia di contratto (a tempo determinato o indeterminato, part-time o full-time), la data di inizio della prestazione e, se pertinente, la durata prevista o la durata del periodo di prova. Deve essere esplicitato l’inquadramento contrattuale di riferimento, cioè il CCNL applicabile, con la qualifica e il livello retributivo, la retribuzione lorda mensile o oraria, le modalità e le scadenze di pagamento (ad esempio mensile mediante bonifico), e la presenza di eventuali elementi accessori della retribuzione come indennità per turno, straordinari, premi di risultato o benefit. In caso di part-time è necessario chiarire l’orario di lavoro settimanale e la distribuzione dell’orario, mentre per rapporti con turnazione va specificato il criterio di rotazione e le regole per i cambi turno. À importante altresì prevedere in maniera chiara le modalità di fruizione ferie e permessi e la disciplina relativa alle assenze per malattia, richiamando il CCNL e la normativa nazionale applicabili.

Non trascurare gli aspetti disciplinari e di tutela; la nomina dovrebbe richiamare l’obbligo del rispetto del regolamento aziendale e delle norme di sicurezza sul lavoro, con l’esplicito invito a osservare le procedure di prevenzione e protezione e l’obbligo di segnalare immediatamente eventuali situazioni di rischio. Per una tabaccheria è indispensabile menzionare espressamente il divieto di vendita a minori, l’obbligo di verifica dell’identità dei clienti quando richiesto dalla legge, e la responsabilità di rispettare le prescrizioni dell’Agenzia delle Dogane e dei Monopoli e le eventuali specifiche normative locali. Se l’attività richiede la manipolazione o il trasporto di materiale specifico o sensibile, o la gestione di valori in cassa nonché operazioni con apparecchiature fiscali, la lettera può prevedere obblighi di diligenza, custodia e responsabilità patrimoniale nei limiti consentiti dall’ordinamento e dalle normative contrattuali.

La protezione dei dati personali è un punto che non può essere eluso: la nomina deve informare il lavoratore sul trattamento dei suoi dati personali ai fini dell’instaurazione e gestione del rapporto di lavoro, richiamando la normativa sulla privacy e indicando le finalità del trattamento, i soggetti che potrebbero avere accesso ai dati e il riferimento al documento di informativa privacy aziendale. È opportuno inoltre inserire clausole sulla riservatezza rispetto a dati aziendali, informazioni commerciali e liste clienti, prevedendo la durata dell’obbligo di riservatezza anche dopo la cessazione del rapporto di lavoro, nei limiti della legge. Se l’azienda intende prevedere clausole di non concorrenza o restrizioni simili, devono essere formulate in modo preciso, con indicazione dei tempi, dell’ambito territoriale e dell’oggetto, e corredate della prevista corrispettività economica se richiesto dalla legge.

Per le questioni procedurali e amministrative vanno richiesti e allegati i documenti necessari all’assunzione: copia del documento di identità, codice fiscale, eventuale permesso di soggiorno se il lavoratore non è cittadino dell’UE, eventuali abilitazioni richieste; inoltre la lettera di nomina dovrebbe rimandare agli adempimenti che il datore compirà, come le comunicazioni obbligatorie alle competenti autorità previdenziali e all’ufficio del lavoro. Si consiglia di inserire indicazioni sulle modalità di accettazione della nomina da parte del lavoratore, indicando il termine e la modalità di sottoscrizione e restituzione della copia firmata, oppure la possibilità di accettazione tramite firma digitale o comunicazione scritta via PEC, specificando che l’assenza di accettazione nei termini potrà essere interpretata come rinuncia all’assunzione.

Lo stile e il tono del documento devono rimanere formali, cordiali e professionali; evitare termini vaghi o colloquiali e preferire frasi chiare e dirette. È preferibile utilizzare un linguaggio che renda immediatamente comprensibili gli obblighi essenziali e che sfoci in un invito a contattare il datore o il responsabile delle risorse umane per chiarimenti. Alla fine della lettera vanno riproposti i riferimenti utili per contatti e si lascia uno spazio per la firma del lavoratore come presa visione e accettazione, specificando che la firma implica l’accettazione delle condizioni indicate. Infine, prima dell’invio della nomina è buona pratica far visionare il testo a un consulente del lavoro o a un legale competente in diritto del lavoro per verificare la conformità alle normative vigenti, all’applicazione del corretto CCNL e per assicurare che tutte le comunicazioni obbligatorie e gli adempimenti contributivi siano stati previsti e programmati.

Fac simile nomina assistente di tabaccheria​

ATTO DI NOMINA
Assistente di tabaccheria

Luogo: __LUOGO__
Data: __DATA__

Tra:
– __RAGIONE_SOCIALE_DITTA__ con sede in __INDIRIZZO_SEDE__ (P.IVA/C.F. __PARTITA_IVA_O_CODICE_FISCALE__), rappresentata dal/la Sig./Sig.ra __NOME_RAPPRESENTANTE__ in qualità di titolare/legale rappresentante (di seguito “Datore di lavoro”);

E
– Il/La Sig./Sig.ra __NOME_COGNOME_DIPENDENTE__, nato/a a __LUOGO_DI_NASCITA__ il __DATA_DI_NASCITA__, residente in __INDIRIZZO_RESIDENZA__ (C.F. __CODICE_FISCALE__), (di seguito “Dipendente”);

si conviene e si stipula quanto segue.

1. Oggetto della nomina
Il Datore di lavoro nomina il/la Dipendente quale Assistente di Tabaccheria, con le mansioni principali di: __ELENCO_MANSIONI_PRINCIPALI__ e ogni altra mansione coerente con la qualifica e le esigenze aziendali.

2. Inizio rapporto e durata
Il rapporto di lavoro avrà inizio il giorno __DATA_INIZIO__. La durata sarà: __TEMPO_DETERMINATO/INDETERMINATO__ (se a tempo determinato indicare termine: __DATA_FINE__). Eventuali proroghe o trasformazioni saranno disciplinate ai sensi di legge e del contratto collettivo applicabile.

3. Orario di lavoro
L’orario di lavoro sarà di __ORE_GIORNALIERE__ ore giornaliere per __GIORNI_SETTIMANA__ (totale settimanale __ORE_SETTIMANALI__ ore), con turnazione e riposi come da organizzazione aziendale e in conformità al CCNL applicabile.

4. Sede di lavoro
La sede di lavoro è: __INDIRIZZO_TABACCHERIA__. Il Datore di lavoro potrà, per ragioni organizzative, assegnare temporaneamente il Dipendente ad altra sede compatibile con la qualifica; eventuali trasferimenti saranno comunicati nei termini previsti dalla normativa vigente.

5. Retribuzione e corrispettivi
La retribuzione iniziale è stabilita in Euro __IMPORTO_LORDO_MENSILE__ lordi mensili (pari a Euro __IMPORTO_LORDO_ANNUO__ lordo annuo), con periodicità di pagamento __MODALITÀ_PAGAMENTO__ e con le trattenute fiscali e previdenziali di legge. Eventuali indennità, bonus o benefici sono: __ELENCO_BENEFICI_E_INDENNITA__.

6. Periodo di prova
È previsto un periodo di prova di durata __DURATA_PERIODI_PROVA__ durante il quale ciascuna delle parti potrà recedere senza obbligo di preavviso, salvo quanto previsto dal CCNL.

7. Orario, ferie e permessi
Il Dipendente ha diritto a ferie annuali retribuite di __GIORNI_FERIE__ giorni lavorativi per anno di servizio. I permessi, le festività e le modalità di fruizione saranno regolamentati dal CCNL e dal regolamento aziendale.

8. Inquadramento e normativa applicabile
Il Dipendente sarà inquadrato come __LIVELLO_E_INQUADRAMENTO_CCNL__ ai sensi del CCNL __NOME_CCNL__ applicabile. Per quanto non espressamente previsto, si applicano le norme del codice civile, legislazione sociale e il CCNL di settore.

9. Obblighi del Dipendente
Il Dipendente si impegna a:
– Svolgere le mansioni con diligenza, lealtà e riservatezza;
– Osservare l’orario e le disposizioni aziendali;
– Rispettare le norme igienico-sanitarie e di sicurezza sul lavoro;
– Mantenere la riservatezza su informazioni aziendali e sui dati dei clienti.

10. Trattamento dei dati personali
I dati personali raccolti saranno trattati per finalità connesse al rapporto di lavoro in conformità al Regolamento UE 2016/679 e alla normativa nazionale sulla privacy.

11. Clausole particolari
Eventuali clausole particolari concordate: __CLAUSOLE_PARTICOLARI__ (es. non concorrenza, utilizzo auto aziendale, ecc.).

12. Comunicazioni e notifiche
Ogni comunicazione relativa al presente rapporto dovrà essere inviata agli indirizzi: Datore di lavoro __INDIRIZZO_COMUNICAZIONE_DITTA__; Dipendente __INDIRIZZO_COMUNICAZIONE_DIPENDENTE__.

13. Cause di risoluzione
Il rapporto di lavoro potrà essere risolto per giusta causa o giustificato motivo come previsto dalla normativa vigente e dal CCNL. Il preavviso, ove dovuto, sarà di __DURATA_PREAVVISO__.

14. Iscrizione e contribuzione
Il Datore di lavoro provvederà all’iscrizione del Dipendente agli enti previdenziali e assicurativi obbligatori e al versamento dei contributi secondo legge: __INDICAZIONI_CONTRIBUTIVE__.

Accettazione
Il/La sottoscritto/a Dipendente dichiara di aver preso visione e di accettare quanto previsto nel presente atto di nomina.

Firma del Datore di lavoro:
______________________________
__NOME_RAPPRESENTANTE__
In qualità di: __QUALIFICA_RAPPRESENTANTE__
Data: __DATA_FIRMA_DITTA__

Firma del Dipendente:
______________________________
__NOME_COGNOME_DIPENDENTE__
Data: __DATA_FIRMA_DIPENDENTE__

Scrivere un’autorizzazione al trattamento dei dati personali richiede equilibrio fra semplicità e precisione: il documento deve essere chiaro per l’interessato ma sufficientemente completo da rispettare i principi del GDPR (liceità, trasparenza, minimizzazione e responsabilità). In questa guida troverai indicazioni pratiche su quali elementi inserire — titolare del trattamento, finalità, base giuridica, categorie di dati, destinatari, periodo di conservazione, diritti dell’interessato e modalità per revocare il consenso — e su come formulare frasi comprensibili, non ambigue e adattabili a contesti diversi. Verranno inoltre evidenziati errori comuni da evitare (clausole eccessivamente generiche o tecnicismi inutili), suggerimenti per la firma e la documentazione del consenso, e indicazioni su come aggiornare l’autorizzazione in caso di cambiamenti normativi o operativi. L’obiettivo è offrire uno schema pratico e trasferibile, che consenta di redigere un’autorizzazione generica ma conforme e rispettosa dei diritti degli interessati.

Come scrivere autorizzazione trattamento dati personali generico​

Per scrivere un’autorizzazione al trattamento dei dati personali efficace e conforme, è fondamentale partire dai principi cardine del diritto alla protezione dei dati: chiarezza, specificità, informazione completa e volontarietà della manifestazione di consenso. L’autorizzazione non è un semplice modulo tecnico, ma un documento che deve permettere all’interessato di comprendere esattamente chi tratterà i suoi dati, per quali finalità, secondo quale base giuridica e per quanto tempo, nonché quali sono i suoi diritti e come può esercitarli. Evita termini vaghi e formule generiche che possano essere interpretate in modo esteso; la specificità delle finalità è condizione necessaria perché il consenso sia valido.

Il primo elemento da esplicitare in modo nitido nell’autorizzazione è l’identità del titolare del trattamento e i contatti attraverso i quali l’interessato può ottenere informazioni o esercitare i diritti (indirizzo, telefono, e-mail del responsabile della privacy o del responsabile designato). Segue una descrizione dei dati personali che saranno oggetto di trattamento: occorre indicare le categorie di dati, distinguendo chiaramente tra dati identificativi, dati di contatto, dati di natura sensibile o giudiziaria eventualmente raccolti, e spiegando perché ciascuna categoria è necessaria per la finalità dichiarata. Quando si prevedono trattamenti che comportano profilazione o decisioni automatizzate, l’autorizzazione deve informare esplicitamente su ciò e sulle eventuali conseguenze per l’interessato.

La parte relativa alle finalità deve essere precisa e separabile: indica se i dati sono raccolti, ad esempio, per adempiere a un obbligo contrattuale, per finalità amministrative, per attività di marketing diretto, per analisi statistiche o per altri scopi, e chiarisci la base giuridica di ciascuna finalità (es. esecuzione di un contratto, obbligo legale, interesse legittimo oppure consenso). Se il trattamento si basa sul consenso, spiega che il conferimento è facoltativo e quali conseguenze pratiche possono derivare dal rifiuto di prestarlo; sottolinea che il consenso è revocabile in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca. Per i dati sensibili o particolari (categoria speciale di dati), inserisci una sezione che richieda un consenso esplicito e separato, con una formulazione chiara e comprensibile, poiché la legge richiede un livello più elevato di consenso per tali trattamenti.

È indispensabile informare sui destinatari o sulle categorie di destinatari dei dati: indica se saranno comunicati a società del gruppo, a consulenti esterni, a fornitori di servizi IT o di marketing, a enti pubblici, e specifica se è prevista la comunicazione a soggetti ubicati in Paesi terzi o a organizzazioni internazionali; in quest’ultimo caso, dichiara le salvaguardie adottate (es. clausole contrattuali standard, decisione di adeguatezza) o la mancanza di esse. Comunica chiaramente il periodo di conservazione dei dati oppure i criteri utilizzati per determinarlo, in modo che l’interessato sappia fino a quando i suoi dati saranno trattati. È utile aggiungere una breve spiegazione delle misure di sicurezza tecniche e organizzative adottate per proteggere i dati, senza però entrare in dettagli operativi che possano compromettere la sicurezza.

L’autorizzazione deve poi richiamare i diritti dell’interessato nello specifico: diritto di accesso, rettifica, cancellazione, limitazione del trattamento, opposizione e portabilità, nonché il diritto di proporre reclamo all’autorità di controllo. Spiega procedura e modalità pratiche per esercitare tali diritti (a quale indirizzo inviare la richiesta, eventuale documentazione necessaria, tempi di risposta). È opportuno indicare anche la possibilità di revocare il consenso e quale sarà l’effetto della revoca sulle attività in corso.

Sul piano formale, l’autorizzazione deve essere redatta in lingua chiara e comprensibile, evitando tecnicismi e frasi troppo lunghe; se il documento verrà utilizzato con un pubblico eterogeneo, valuta la traduzione nelle lingue più rilevanti per gli interessati. Il consenso deve essere espresso tramite una dichiarazione o un’azione positiva inequivocabile: non utilizzare caselle preselezionate, silenzi, inattività o comportamenti passivi come forma di consenso. Se prevedi diversi trattamenti con finalità distinte, assicurati che il consenso sia granulare: fornisci spazi distinti per prestare il consenso a ciascuna finalità significativa, così che l’interessato possa accettarne alcune e rifiutarne altre senza che questo renda nullo l’intero modulo. Nel caso di minori, applica le norme nazionali e internazionali vigenti relative al consenso dei genitori o di chi esercita la responsabilità genitoriale, prevedendo modalità specifiche di verifica dell’età e di acquisizione del consenso genitoriale quando necessario.

Per quanto riguarda la forma di raccolta e la documentazione, conserva traccia dell’avvenuta prestazione del consenso: registra chi ha prestato il consenso, in che modo, per quali finalità, con quale contenuto informativo e in quale data e ora. Questa documentazione è utile sia per dimostrare la conformità in caso di verifica, sia per consentire la corretta gestione delle eventuali revoche. Predisponi inoltre una procedura interna per aggiornare l’autorizzazione e le informative ogni volta che cambia una finalità, un responsabile del trattamento o una modalità di comunicazione dei dati, e forma il personale incaricato affinché sappia spiegare il contenuto dell’autorizzazione agli interessati.

Un esempio di formulazione sintetica e idonea alla sottoscrizione potrebbe essere inserito all’interno del documento come dichiarazione finale, formulata in modo che sia immediatamente comprensibile e completa: ad esempio, “Dichiaro di aver ricevuto l’informativa ai sensi del Regolamento UE 2016/679 e di prestare il consenso al trattamento dei miei dati personali per le finalità indicate nella presente informativa. Sono informato/a del diritto di revocare il consenso in qualsiasi momento, del diritto di accesso, rettifica, cancellazione, limitazione del trattamento, opposizione e portabilità dei dati, e del diritto di proporre reclamo all’autorità competente.” Se è necessario un consenso esplicito per categorie particolari di dati, aggiungi una frase separata che richieda espressamente tale consenso, evitando ambiguità e collegando la dichiarazione alle finalità specifiche per cui quei dati saranno trattati.

Infine, prima di adottare il testo a uso operativo, sottoponilo a verifica legale e a un test di comprensione con soggetti rappresentativi degli interessati: una rilettura tecnica garantisce la conformità normativa, un test pratico evidenzia eventuali punti oscuri o fraintendibili. La cura nella redazione dell’autorizzazione non è solo un adempimento formale, ma un elemento chiave per costruire fiducia e trasparenza tra chi tratta i dati e chi li fornisce.

Fac simile autorizzazione trattamento dati personali generico​

AUTORIZZAZIONE AL TRATTAMENTO DEI DATI PERSONALI

Il/La sottoscritto/a ________________________________________________________
nata/o a __________________________________________________ il ______________
residente in ________________________________________________________________
città __________________________________________________ CAP ________________
telefono _________________________________________________________________
email _________________________________________________________________
documento d’identità (tipo e n.) _____________________________________________

dichiara di aver ricevuto dall’ente/titolare del trattamento le informazioni previste dagli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) e, in particolare, di essere stato/a informato/a in merito a:
– Titolare del trattamento: __________________________________________________
– Responsabile della protezione dei dati (DPO), se nominato: ____________________
– Finalità del trattamento: __________________________________________________
– Base giuridica del trattamento: ____________________________________________
– Tipologie di dati trattati: _______________________________________________
– Categorie di destinatari ai quali i dati possono essere comunicati: _____________
– Trasferimenti di dati verso Paesi terzi e garanzie adottate (se applicabile): ____
– Periodo di conservazione dei dati o criteri per determinarlo: _________________
– Diritti dell’interessato (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità) e modalità di esercizio: ___________________________________________________
– Diritto di proporre reclamo all’Autorità di controllo: ________________________

Con la presente:
1) Presto il mio consenso al trattamento dei dati personali per le finalità indicate sopra: ________________________________________________________________
(da compilare con “SI” o “NO”) ___________________________________________

2) Presto il mio consenso al trattamento di eventuali dati personali sensibili/particolari (secondo l’art. 9 GDPR) qualora necessari per le finalità sopra indicate: ________________________________________________________________
(da compilare con “SI” o “NO”) ___________________________________________

3) Presto il mio consenso alla comunicazione dei miei dati alle categorie di destinatari indicate (es. società collegate, consulenti, fornitori di servizi): ________________________________________________________________
(da compilare con “SI” o “NO”) ___________________________________________

4) Presto il mio consenso al trasferimento dei dati verso Paesi terzi/organizzazioni internazionali (se previsto) e alle relative garanzie: ________________________________________________________________
(da compilare con “SI” o “NO”) ___________________________________________

5) Presto il mio consenso all’utilizzo dei dati per finalità di marketing diretto (comunicazioni promozionali, newsletter, offerte) tramite:
– posta elettronica: _____________________________________________________
(da compilare con “SI” o “NO”) _______________________________________
– telefono/telefono cellulare: ___________________________________________
(da compilare con “SI” o “NO”) _______________________________________
– SMS/MMS/WhatsApp o simili: ___________________________________________
(da compilare con “SI” o “NO”) _______________________________________

6) Presto il mio consenso a trattamenti automatizzati, inclusa la profilazione, finalizzati a: ________________________________________________________________
(da compilare con “SI” o “NO”) ___________________________________________

7) Autorizzo la conservazione e l’eventuale riproduzione dei miei dati/documenti nei modi e tempi indicati dal titolare: ________________________________________________________________
(da compilare con “SI” o “NO”) ___________________________________________

Dichiaro altresì di essere stato/a informato/a che il consenso prestato può essere revocato in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca, attraverso le modalità indicate dal titolare: ________________________________________________________________

Allega copia documento d’identità: __________________________________________________

Luogo __________________________ Data _______________

Firma dell’interessato/a _________________________________________________

Per uso interno del Titolare:
Ricevuta informativa da parte di (nome del responsabile/operatore): _______________
Data ricezione consenso: ____________________________________________________

In qualità di autore con esperienza nel settore dell’ospitalità e della protezione dei dati, ti accompagno in questa introduzione alla redazione di un’informativa sulla privacy pensata per strutture ricettive. L’obiettivo è trasformare obblighi normativi spesso percepiti come complessi in indicazioni pratiche e utilizzabili: un testo chiaro che metta in sicurezza la tua attività, tuteli i diritti degli ospiti e crei fiducia, senza rinunciare alla semplicità comunicativa richiesta dal contesto alberghiero.

Questa guida spiegherà quali contenuti non possono mancare — identificazione del titolare, finalità del trattamento, basi giuridiche, categorie di dati (prenotazioni, pagamenti, CCTV, Wi‑Fi, marketing), tempi di conservazione, trasferimenti verso terzi e paesi terzi, misure di sicurezza e diritti degli interessati — e come presentarli con linguaggio accessibile. Troverai inoltre indicazioni pratiche per adattare l’informativa ai diversi canali (sito web, moduli di prenotazione, segnaletica in struttura) e per integrare il documento con procedure operative (consensi, registri, accordi con fornitori).

Come scrivere modello privacy per strutture ricettive​

Per scrivere una informativa privacy efficace per una struttura ricettiva è necessario coniugare precisione giuridica, chiarezza comunicativa e concretezza operativa: l’obiettivo è far capire agli ospiti quali dati vengono raccolti, perché vengono trattati, sulla base di quale fondamento giuridico, per quanto tempo restano conservati e con chi possono essere condivisi, il tutto espresso in modo che una persona non esperta possa comprendere e esercitare i propri diritti. Inizia definendo con naturalezza chi è il titolare del trattamento: il nome della società o del proprietario, l’indirizzo della struttura, eventuali riferimenti fiscali utili e un contatto diretto (email e, se presente, il nome del responsabile privacy o del DPO). Specifica immediatamente che l’informativa è resa ai sensi del Regolamento UE 2016/679 e delle norme nazionali vigenti, richiamando brevemente il quadro normativo senza però appesantire il testo con eccessive citazioni legali.

Prosegui descrivendo le categorie di dati personali che vengono raccolte durante la fase di prenotazione, il check-in e il soggiorno: dati anagrafici, contatti, documenti di identità se necessari per gli adempimenti di legge, dati di pagamento, preferenze di ospitalità, informazioni relative alla salute se l’ospite le comunica volontariamente (ad esempio esigenze dietetiche o allergie), dati di utilizzo dei servizi e dati tecnici raccolti tramite sito web e sistemi informatici. Spiega in termini pratici perché ciascuna tipologia di dato è richiesta: per adempiere agli obblighi contrattuali e fiscali, per garantire la sicurezza degli ospiti, per fornire servizi aggiuntivi come transfer o colazioni speciali, o per finalità di marketing quando l’ospite abbia espresso consenso. È importante dichiarare chiaramente quali dati sono obbligatori e quali facoltativi, e le conseguenze del rifiuto di fornire dati obbligatori (per esempio l’impossibilità di confermare una prenotazione).

Chiarisci i fondamenti giuridici del trattamento. Spiega che il trattamento dei dati ai fini dell’esecuzione del contratto o di misure precontrattuali si basa sull’articolo 6 del Regolamento, così come i trattamenti necessari per adempiere obblighi di legge (ad esempio comunicazioni alla questura o conservazione ai fini fiscali). Indica che il marketing diretto via email o sms richiede il consenso espresso dell’interessato salvo diversa base giuridica; sottolinea che il consenso deve essere libero, informato e revocabile in ogni momento. Per i trattamenti fondati sul legittimo interesse, illustra concretamente quale interesse persegue la struttura, quale bilanciamento è stato effettuato e come viene tutelato il diritto alla riservatezza dell’ospite.

Dedica un passaggio ai destinatari e ai responsabili del trattamento: nomina le categorie di soggetti cui i dati possono essere comunicati, come provider di sistemi di prenotazione (PMS), channel manager, piattaforme di pagamento, società che gestiscono il sito web, fornitori di servizi di marketing, consulenti fiscali e legali. Indica che tali soggetti operano come responsabili o titolari autonomi e che con i responsabili vengono stipulati specifici accordi contrattuali che prevedono misure di sicurezza adeguate. Se la struttura utilizza servizi cloud o fornitori extra UE, descrivi la natura dei trasferimenti internazionali e le garanzie offerte, come clausole contrattuali standard, decisioni di adeguatezza o misure tecniche di protezione.

Spiega le misure di sicurezza adottate in termini comprensibili: protezione fisica degli archivi, controllo degli accessi, crittografia dei dati sensibili, utilizzo di protocolli sicuri per i pagamenti e per il sito web, backup e procedure di disaster recovery, formazione del personale sui principi di riservatezza. È utile specificare che il trattamento dei dati di pagamento è svolto in conformità agli standard del settore (ad esempio PCI-DSS) e che la struttura non memorizza dati di carta di credito se utilizza gateway di pagamento di terze parti.

Affronta le modalità di conservazione: indica criteri e periodi di retention ragionevoli e proporzionati alle finalità (per esempio la conservazione dei dati di prenotazione e fatturazione per il periodo previsto dalla normativa fiscale, i dati di marketing fino a revoca del consenso). Se per alcune attività è prevista la conservazione “fino a” un certo evento, esponi il periodo massimo o le modalità con cui sarà determinato. Quando possibile, prevedi anche modalità di anonimizzazione o pseudonimizzazione per dati conservati a fini statistici o analitici.

Dedica attenzione ai diritti degli interessati e descrivili in modo pratico: il diritto di accesso alle informazioni che li riguardano, il diritto di rettifica di dati inesatti, il diritto alla cancellazione nei casi previsti (diritto all’oblio), il diritto di limitare il trattamento, il diritto alla portabilità dei dati quando il trattamento è basato sul consenso o su contratto, il diritto di opposizione, in particolare al marketing diretto, e il diritto di revocare il consenso. Fornisci istruzioni chiare su come esercitare tali diritti, indicando l’indirizzo email o il canale dedicato e i tempi di risposta che la struttura si impegna a rispettare. Ricorda di informare l’interessato del diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali indicando il riferimento all’Autorità italiana.

Non dimenticare di includere informazioni sulle tecnologie di tracciamento: spiega in modo semplice l’uso dei cookie sul sito web, distinguendo cookie tecnici necessari da cookie di profilazione e di terze parti, e indicando come l’utente può gestire le preferenze tramite il banner cookie e le impostazioni del browser. Se vengono svolte attività di profilazione o decisioni automatizzate che producono effetti giuridici o significativi per l’ospite, descrivile con chiarezza e fornisci le garanzie adottate, compreso il diritto di ottenere l’intervento umano.

Fac simile privacy per strutture ricettive​

INFORMATIVA SULLA PRIVACY PER STRUTTURE RICETTIVE (Regolamento UE 2016/679)

Data di aggiornamento: ______________

1. Titolare del trattamento
Titolare del trattamento: ______________
Sede legale: ______________
Partita IVA / Codice fiscale: ______________
Responsabile della protezione dei dati (DPO), se nominato: ______________
Contatti del Titolare (email): ______________
Contatti del Titolare (telefono): ______________

2. Finalità del trattamento e basi giuridiche
I dati personali raccolti sono trattati per le seguenti finalità e sulla base delle relative basi giuridiche:
– Gestione delle prenotazioni e esecuzione del contratto di soggiorno (adempimento di obblighi contrattuali) — finalità: gestione check-in/check-out, assegnazione camera, comunicazioni operative; dati trattati: nome, contatti, documenti di identità, dati di pagamento, preferenze, durata del soggiorno — base giuridica: esecuzione del contratto (art. 6(1)(b) GDPR) e obblighi normativi in materia di registrazione degli ospiti (art. 6(1)(c) GDPR).
– Adempimenti fiscali, contabili e amministrativi — finalità: emissione ricevute/fatture, conservazione documentazione fiscale — base giuridica: obbligo legale (art. 6(1)(c) GDPR).
– Sicurezza e tutela del patrimonio (inclusa videosorveglianza) — finalità: protezione degli ospiti, del personale e dei beni, prevenzione e accertamento di reati — base giuridica: legittimo interesse del Titolare e/o obblighi di legge (art. 6(1)(f) e 6(1)(c) GDPR).
– Comunicazioni commerciali e attività promozionali (newsletter, offerte) — finalità: invio di informazioni promozionali — base giuridica: consenso dell’interessato (art. 6(1)(a) GDPR) o legittimo interesse previa valutazione; scelta tra marketing diretto via email/sms/post: ______________ (indicare consenso o possibilità di opposizione).
– Gestione delle richieste prima, durante e dopo il soggiorno (assistenza clienti, gestione reclami) — base giuridica: esecuzione del contratto o consenso (se applicabile).
– Adempimenti relativi alla salute pubblica (es. obblighi sanitari, registrazioni per misure di contenimento) — base giuridica: obbligo legale o interesse pubblico (art. 6(1)(c) o art. 6(1)(e) GDPR) e, se necessario, trattamenti di dati sensibili: base giuridica aggiuntiva (es. art. 9 GDPR con consenso esplicito o disposizioni di legge).

3. Tipologie di dati trattati
– Dati identificativi e anagrafici: nome, cognome, data di nascita, sesso, cittadinanza, documenti d’identità — ______________
– Dati di contatto: indirizzo postale, email, telefono — ______________
– Dati di prenotazione e soggiorno: date di arrivo/partenza, tipo di camera, preferenze, note speciali — ______________
– Dati di pagamento: dati carta di credito, informazioni bancarie, estremi fattura — ______________
– Dati per finalità di sicurezza: immagini da sistemi di videosorveglianza, registri accessi — ______________
– Dati sensibili (salute): solo se forniti volontariamente o se richiesti da leggi sanitarie (es. informazioni su allergie, esigenze mediche) — ______________
– Dati relativi all’uso dei servizi online e cookie: indirizzo IP, dati di navigazione, preferenze di utilizzo — ______________

4. Modalità del trattamento
I trattamenti sono effettuati con strumenti manuali, informatici e telematici, adottando misure tecniche e organizzative adeguate per garantire la sicurezza e la riservatezza dei dati e prevenire accessi non autorizzati, perdita o distruzione.

5. Comunicazione e categorie di destinatari
I dati potranno essere comunicati, se necessario, alle seguenti categorie di soggetti:
– Personale interno incaricato del trattamento — ______________
– Società fornitrici di servizi IT, hosting, software gestionale e booking systemen — ______________
– Società di pagamento e istituti bancari — ______________
– Agenzie di viaggio, portali di prenotazione e intermediari (se coinvolti nella prenotazione) — ______________
– Professionisti e consulenti (commercialisti, avvocati) — ______________
– Autorità pubbliche o giudiziarie in adempimento di obblighi di legge — ______________
– Fornitori di servizi di pulizia, lavanderia, manutenzione e catering — ______________
Ulteriori categorie o nominativi specifici: ______________

6. Trasferimenti di dati verso Paesi terzi
I dati non saranno trasferiti fuori dall’Unione Europea senza adeguate garanzie. In caso di trasferimenti verso Paesi terzi, il Titolare adotterà le misure previste (decisione di adeguatezza, clausole contrattuali standard, misure di sicurezza) e informerà gli interessati indicando le garanzie adottate: ______________

7. Periodi di conservazione
I dati saranno conservati per il tempo necessario alle finalità per cui sono stati raccolti e in conformità agli obblighi di legge:
– Dati di prenotazione e documentazione del soggiorno: conservazione per il periodo di prescrizione/obbligo fiscale e per la gestione del servizio — indicativamente ______________ anni (da adattare).
– Documentazione contabile e fiscale: ______________ anni.
– Dati per finalità di marketing: fino a revoca del consenso o opposizione; conservazione per ulteriori ______________ anni salvo diversa normativa.
– Video registrazioni di sorveglianza: conservazione limitata (es. 24-72 ore) salvo eventi che richiedano conservazione prolungata per accertamenti — periodo indicativo ______________ ore/giorni.
– Dati personali relativi a reclami e contenziosi: fino a conclusione del contenzioso + prescrizione legale ______________ anni.
Specificare eventuali termini diversi per categorie particolari: ______________

8. Cookies e tecnologie simili
Per informazioni dettagliate sull’uso dei cookie e sulle preferenze di navigazione consultare la Cookie Policy: ______________
Il consenso ai cookie non necessari può essere revocato in qualsiasi momento tramite: ______________

9. Diritti dell’interessato
L’interessato ha i diritti previsti dal GDPR, tra cui:
– Diritto di accesso (art. 15 GDPR);
– Diritto di rettifica (art. 16 GDPR);
– Diritto alla cancellazione (“diritto all’oblio”) (art. 17 GDPR);
– Diritto alla limitazione del trattamento (art. 18 GDPR);
– Diritto alla portabilità dei dati (art. 20 GDPR), se applicabile;
– Diritto di opposizione al trattamento (art. 21 GDPR), compreso il diritto di opporsi al trattamento per finalità di marketing diretto;
– Diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
– Diritto di proporre reclamo all’Autorità di controllo (in Italia: Garante per la protezione dei dati personali) (art. 77 GDPR).
Per esercitare i diritti contattare il Titolare ai recapiti: email ______________, indirizzo postale ______________, telefono ______________. Le richieste saranno evase nei termini di legge e, se necessario, può essere richiesta documentazione per verificare l’identità del richiedente.

10. Modalità di esercizio dei diritti e informazioni aggiuntive
Le richieste relative all’esercizio dei diritti possono essere inviate a: email ______________, o con raccomandata a: ______________. Per motivi di sicurezza, potrebbe essere richiesto un documento di identità. Le risposte saranno fornite entro i termini previsti dal GDPR (in genere 1 mese, prorogabile in casi complessi).

11. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali contro la perdita, l’uso improprio, l’accesso non autorizzato e la divulgazione. Misure specifiche includono controlli di accesso, crittografia dove appropriato, politiche interne di sicurezza e formazione del personale.

12. Videosorveglianza
Se presente, l’impianto di videosorveglianza è finalizzato alla sicurezza degli ospiti e della struttura. Segnaletica informativa è presente nelle aree sottoposte a sorveglianza. Dati conservati per il periodo: ______________. Per richieste relative ai filmati contattare: ______________ (indicando eventuali modalità e condizioni di accesso).

13. Dati sensibili e situazioni particolari
Il trattamento di categorie particolari di dati (es. salute) avverrà solo quando necessario e secondo le basi giuridiche previste (consenso esplicito dell’interessato o disposizioni di legge). Se il trattamento di tali dati è necessario per il soggiorno (es. necessità mediche), si chiede di fornire solo le informazioni strettamente necessarie.

14. Profilazione e decisioni automatizzate
Il Titolare non adotta decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici pregiudizievoli per l’interessato, salvo diversa indicazione: ______________
Se viene effettuata profilazione, finalità, logica e conseguenze saranno descritte qui: ______________

15. Consenso e revoca
Quando il trattamento si basa sul consenso, l’interessato può revocarlo in qualsiasi momento contattando il Titolare ai recapiti sopra indicati. La revoca non pregiudica la liceità dei trattamenti effettuati prima della revoca.

16. Modifiche alla presente informativa
La presente informativa potrà essere aggiornata in qualunque momento. Eventuali modifiche saranno comunicate mediante pubblicazione sul sito web della struttura o mediante affissione in struttura e data di aggiornamento: ______________

17. Contatti per ulteriori informazioni
Per ulteriori informazioni sul trattamento dei dati personali e per l’esercizio dei diritti contattare:
Titolare: ______________
Email: ______________
Telefono: ______________
Indirizzo: ______________

Autorità di controllo competente per i reclami: Garante per la protezione dei dati personali (www.garanteprivacy.it)

Ai sensi del Regolamento (UE) 2016/679, con la presente si forniscono le informazioni minime previste. Ulteriori dettagli e documenti specifici (es. informative locali, moduli consenso, cookie policy, accordi con terzi) sono disponibili su richiesta al Titolare: ______________

Redigere una valutazione dei rischi privacy non è solo un obbligo normativo: è lo strumento che trasforma incertezze e vulnerabilità in decisioni ponderate e tracciabili. In questa guida, con approccio pratico e orientato ai risultati, ti accompagnerò passo dopo passo nella costruzione di un documento chiaro, ripetibile e conforme ai principi del GDPR: identificazione dei trattamenti, mappatura dei rischi, valutazione dell’impatto, definizione delle misure di mitigazione e monitoraggio delle residualità. Troverai indicazioni su come coinvolgere i soggetti interessati, scegliere metriche utili, documentare le scelte e giustificare le contromisure, oltre a esempi concreti e checklist operative. Lo scopo è darti una procedura applicabile nel tuo contesto aziendale, che permetta non solo di adempiere agli obblighi legali ma soprattutto di proteggere le persone e ridurre l’esposizione della tua organizzazione.

Come scrivere un documento valutazione rischi privacy​

Come autore ed esperto, ti spiego in modo approfondito come redigere un documento di valutazione dei rischi privacy che sia completo, difendibile e operativo. Il documento nasce dall’esigenza di dimostrare consapevolezza e controllo sui trattamenti dei dati personali; non basta elencare misure generiche, occorre raccontare il percorso di analisi, le scelte fatte e le responsabilità, corredandolo con evidenze e piani d’azione misurabili. Il tono deve essere chiaro e professionale, rivolto sia al management che al responsabile della protezione dei dati (DPO), e strutturato in modo che ogni lettore possa risalire alle fonti delle valutazioni compiute.

È utile aprire il documento con un sommario esecutivo che sintetizzi lo scopo della valutazione, l’ambito coperto, i principali rischi identificati e le decisioni chiave relative al trattamento o alla mitigazione. Questo passaggio permette a chi prende le decisioni di avere immediatamente il quadro d’insieme e di comprendere le implicazioni strategiche, senza perdere tempo nella lettura integrale. Subito dopo va descritto il contesto: la normativa applicabile (con riferimento alle disposizioni rilevanti del GDPR e alle eventuali normative nazionali), la finalità del trattamento, gli interessati coinvolti e i processi aziendali o i sistemi informativi esaminati. La chiarezza del contesto è il presupposto per una valutazione coerente dei rischi.

La mappatura dei dati è il cuore del documento. Qui si descrivono in modo dettagliato i flussi informativi: quali categorie di dati vengono raccolte, da quali fonti, per quale finalità, come vengono trasferite, chi ne è titolare o responsabile, dove fisicamente risiedono e per quanto tempo sono conservate. È importante includere una rappresentazione dei flussi in termini narrativi e, se possibile, allegare diagrammi come appendice. La mappatura deve anche evidenziare i trasferimenti verso soggetti terzi, compresi i fornitori/processor, e le basi giuridiche utilizzate per ogni trattamento. La presenza di dati sensibili o di categorie particolari richiede attenzione maggiore e la motivazione esplicita delle misure adottate per giustificare la liceità del trattamento.

La metodologia di valutazione dei rischi deve essere esplicitata nel documento. Spiega come sono stati identificati i rischi (analisi dei processi, interviste, test tecnici, revisione documentale), quale scala è stata adottata per la probabilità e l’impatto, e come è stato calcolato il livello di rischio residuo. Una metodologia trasparente permette di capire perché certe situazioni sono state classificate come ad alto rischio e altre no. Puoi utilizzare approcci qualitativi o quantitativi, o una combinazione: ad esempio descrivere la probabilità come crescente in relazione alla frequenza di esposizione e l’impatto in termini di diritti fondamentali, finanziari, reputazionali e operativi. Documenta i criteri di soglia che determinano quando un rischio richiede una mitigazione obbligatoria, quando è accettabile e quando richiede il coinvolgimento del top management.

Nella fase di identificazione dei rischi, spiega con esempi concreti le minacce considerate e le vulnerabilità che le rendono possibili. Non limitarti a formule astratte: descrivi scenari realistici come la compromissione di credenziali, la perdita di dispositivi mobili, la condivisione eccessiva di dati con fornitori non conformi, l’errore umano nella pubblicazione di informazioni sensibili. Per ciascun scenario, indica quali trattamenti o dati sono colpiti e quali diritti degli interessati potrebbero essere compromessi. Collega ogni rischio alla sua fonte normativa o contrattuale quando rilevante, come la violazione degli obblighi di minimizzazione o la mancata esecuzione di controlli sui responsabili esterni.

La valutazione delle contromisure deve essere concreta. Per ogni rischio significativo descrivi le misure tecniche e organizzative proposte, la loro natura (preventiva, rilevante, correttiva), il loro livello di efficacia atteso e le risorse necessarie per attuarle. Illustra, ad esempio, come la pseudonimizzazione o la cifratura possano diminuire l’impatto di una violazione, come i controlli di accesso e la separazione dei ruoli riducano la probabilità di errore interno, o come clausole contrattuali e audit dei fornitori mitigano i rischi derivanti da terzi. Indica per ogni misura il responsabile dell’attuazione, le tempistiche e come verrà verificata l’efficacia. È fondamentale che le misure siano misurabili: definisci indicatori o criteri che consentano di valutare il raggiungimento dell’obiettivo di mitigazione.

La documentazione dello stato residuo del rischio è altrettanto importante: dopo l’applicazione delle misure previste, valuta e registra il livello di rischio residuo. Specifica se il residuo è considerato accettabile e quale autorità interna ha la responsabilità di accettarlo. Quando il rischio residuo rimane elevato nonostante le misure, devi descrivere ulteriori azioni previste, compresa la possibilità di ricorrere a misure compensative, trasferimenti di rischio tramite assicurazioni o la scelta di non procedere con il trattamento.

Non trascurare gli aspetti procedurali e il ciclo di vita del documento. Indica come e quando la valutazione verrà riesaminata, quali eventi ne attivano una revisione (ad esempio cambi di processo, introduzione di nuove tecnologie, violazioni di dati), e come verranno tracciate le modifiche. La versione del documento, il registro delle revisioni e le firme di approvazione sono prove essenziali di governance. Allegati e appendici devono fornire le evidenze tecniche, i report di test, i verbali di consultazione con il DPO o con le funzioni aziendali, nonché i contratti e le clausole rilevanti che supportano le affermazioni fatte.

Se la valutazione riguarda trattamenti che possono generare un rischio elevato per i diritti e le libertà, il documento deve spiegare la logica che porta a considerare la necessità di una Data Protection Impact Assessment (DPIA) e, se già effettuata, riassumerne gli esiti e le misure supplementari adottate. Descrivi anche i casi in cui è stata ritenuta necessaria la consultazione preventiva con l’autorità di controllo e documenta eventuali pareri ottenuti o comunicazioni inviate.

Fac simile documento valutazione rischi privacy​

Documento di Valutazione dei Rischi Privacy

1. Informazioni generali
Organizzazione: ______________
Sede legale: ______________
Unità/Divisione responsabile: ______________
Data redazione: ______________
Versione documento: ______________
Redatto da: ______________
Responsabile della protezione dei dati (DPO/RPD): ______________
Persona di contatto per la valutazione: ______________

2. Scopo e ambito della valutazione
Scopo della valutazione: ______________
Ambito (processi, sistemi, unità coinvolte): ______________
Confini della valutazione (esclusioni): ______________
Riferimenti normativi e policy aziendali applicabili: ______________

3. Descrizione dei trattamenti e dei dati
Trattamento/i oggetto della valutazione: ______________
Finalità del/i trattamento/i: ______________
Categorie di interessati: ______________
Categorie di dati personali trattati: ______________
Presenza di categorie particolari di dati (dati sensibili/giudiziari): ______________
Periodo di conservazione previsto: ______________
Base giuridica del trattamento: ______________
Responsabili esterni coinvolti (fornitori/processor): ______________
Localizzazione dei dati (sedi fisiche/paesi terzi/cloud): ______________

4. Mappatura dei flussi e degli asset
Flusso dei dati (origine → processi → destinazione): ______________
Asset informatici (sistemi, applicazioni, database): ______________
Asset fisici (archivi cartacei, dispositivi rimovibili): ______________
Controlli di accesso esistenti: ______________
Backup e procedure di ripristino: ______________

5. Scala di valutazione del rischio
Scala impatto (es. 1=basso … 5=catastrofico):
1 = ______________
2 = ______________
3 = ______________
4 = ______________
5 = ______________
Scala probabilità (es. 1=improbabile … 5=molto probabile):
1 = ______________
2 = ______________
3 = ______________
4 = ______________
5 = ______________
Metodo di valutazione (qualitativo/quantitativo/ibrido): ______________

6. Individuazione minacce e vulnerabilità (per ogni rischio identificato compilare)
Identificativo rischio: ______________
Titolo/riassunto del rischio: ______________
Descrizione dettagliata: ______________
Minaccia principale: ______________
Vulnerabilità sfruttabile: ______________
Interessi/attori coinvolti (interni/esterni): ______________
Impatto potenziale (descrizione e valore scala impatto): ______________
Probabilità di accadimento (descrizione e valore scala probabilità): ______________
Valutazione del rischio (impatto x probabilità / livello complessivo): ______________
Priorità/intervento richiesto: ______________
Note aggiuntive: ______________

7. Misure esistenti e valutazione dell’efficacia
Misura/controllo esistente: ______________
Tipo (organizzativa, tecnica, contrattuale): ______________
Descrizione dell’efficacia: ______________
Gap identificati: ______________

8. Misure di mitigazione proposte (per ogni azione)
Codice misura: ______________
Descrizione misura di mitigazione: ______________
Obiettivo della misura: ______________
Tipo misura (organizzativa, tecnica, procedurale, contrattuale): ______________
Responsabile attuazione: ______________
Priorità: ______________
Stima tempi di attuazione: ______________
Risorse necessarie (umane, economiche, tecnologiche): ______________
Indicatore di successo/criterio di verifica: ______________
Data prevista completamento: ______________
Stima rischio residuo dopo attuazione: ______________

9. Valutazione complessiva e accettazione del rischio
Rischio residuo complessivo dopo mitigazioni: ______________
Giustificazione per eventuale accettazione del rischio residuo: ______________
Azioni residue raccomandate: ______________
Pianificazione verifiche/controlli successivi: ______________

10. Monitoraggio, audit e revisione
Indicatori di monitoraggio (KPI/metriche): ______________
Frequenza monitoraggio/reporting: ______________
Responsabile monitoraggio: ______________
Programma audit e test (tipologia e frequenza): ______________
Data prossima revisione della valutazione: ______________

11. Registrazioni e evidenze
Registro dei trattamenti correlato: ______________
Documenti di supporto allegati (es. log, report test, contratti): ______________
Evidenze di implementazione delle misure: ______________

12. Approvazione e firma
Nome e ruolo del responsabile che approva la valutazione: ______________
Firma: ______________
Data approvazione: ______________

Allegati (elenco): ______________

Nel lavoro quotidiano di uno studio commercialista la gestione dei dati personali non è un obbligo formale sterile, ma il fulcro della relazione di fiducia con clienti, fornitori e dipendenti. Questa guida intende accompagnare passo dopo passo nella redazione di un’informativa privacy chiara, completa e conforme alle norme – con particolare riferimento al GDPR e al Codice della privacy nazionale – ma declinata sulle specificità professionali dello studio: dichiarazioni fiscali, gestione contabile, pratiche previdenziali e consulenza. Troverai indicazioni pratiche su contenuti essenziali (titolare del trattamento, finalità, basi giuridiche, categorie di dati, tempi di conservazione, misure di sicurezza, trasferimenti internazionali), suggerimenti di stile per rendere il testo comprensibile anche a chi non è esperto, e modelli adattabili alla dimensione e all’organizzazione del tuo studio. L’obiettivo è fornire uno strumento utilizzabile da subito, integri con esempi concreti e con consigli su quando ricorrere a una revisione legale specializzata.

Come scrivere un modello privacy studio commercialista

Per scrivere una privacy policy per uno studio commercialista bisogna partire da una precisa mappatura delle attività effettive di trattamento: quali dati vengono raccolti, da chi (clienti, dipendenti, fornitori), con quali strumenti (cartaceo, gestionale, PEC, portale clienti), per quali finalità (consulenza fiscale, tenuta contabilità, elaborazione paghe, adempimenti tributari, invii a pubbliche amministrazioni) e per quanto tempo. Questa ricognizione non è un mero esercizio formale: determina il contenuto obbligatorio dell’informativa, le basi giuridiche su cui si fonda ogni trattamento e gli eventuali adempimenti integrativi come il registro dei trattamenti o la valutazione d’impatto sulla protezione dei dati (DPIA) nei casi di trattamenti ad alto rischio. Descrivere con precisione le tipologie di dati trattati è cruciale; oltre ai dati identificativi (nome, indirizzo, codice fiscale, partita IVA) e ai dati economico-finanziari (bilanci, fatture, coordinate bancarie), va considerata la possibilità che il lavoro dello studio comporti il trattamento di categorie particolari di dati o informazioni su condanne penali (ad esempio quando si gestiscono pratiche che le contengono): per questi casi occorre valutare le condizioni di liceità specifiche previste dal GDPR e dal codice privacy italiano.

Nel redigere il testo dell’informativa si deve perseguire una duplice finalità: completezza giuridica e chiarezza per il destinatario. Devono essere riportati in modo comprensibile l’identità del titolare del trattamento e, se nominato, del responsabile della protezione dei dati (RPD/DPO), i recapiti per esercitare i diritti, le finalità del trattamento e le relative basi giuridiche (adempimento di obblighi contrattuali o normativi, consenso, interesse legittimo). Quando la base giuridica è il legittimo interesse dello studio occorre articolare in modo sintetico la natura dell’interesse e i bilanciamenti effettuati a tutela dell’interessato. L’informativa deve spiegare chiaramente a quali categorie di destinatari i dati potranno essere comunicati (consulenti esterni, fornitori di servizi cloud, amministrazioni pubbliche), se sono previsti trasferimenti verso paesi terzi o organismi internazionali e le garanzie adottate in tali casi (decisione di adeguatezza, clausole contrattuali standard, misure supplementari). È importante indicare i tempi di conservazione oppure, se non è possibile definirli in modo preciso, i criteri usati per determinarli, facendo riferimento ai termini minimi previsti dalla normativa fiscale e civile ove applicabile; per esempio, per documenti contabili e fiscali lo studio dovrà conformarsi ai periodi di conservazione stabiliti dalla legge, mentre per dati non necessari oltre il periodo utile dovrà prevedere la cancellazione o l’anonimizzazione.

La policy deve altresì descrivere i diritti che spettano agli interessati: accesso, rettifica, cancellazione, limitazione del trattamento, opposizione, portabilità dei dati quando applicabile e il diritto di revocare il consenso senza pregiudicare la liceità dei trattamenti effettuati prima della revoca. Va spiegato il modo concreto in cui questi diritti possono essere esercitati, fornendo canali operativi semplici e i tempi entro cui lo studio risponderà. Se lo studio effettua processi decisionali automatizzati o profiling che producono effetti giuridici o incidono significativamente sugli interessati, l’informativa deve contenerne la descrizione, le logiche adottate e le garanzie previste; nella maggior parte delle attività di consulenza contabile queste pratiche non sono usuali, ma se esistono strumenti automatizzati (ad esempio scoring per valutazioni di credito) occorre darne conto.

Dal punto di vista contrattuale e organizzativo lo studio deve prevedere accordi scritti con i responsabili esterni del trattamento (fornitori di software gestionali, hosting, servizi di conservazione sostitutiva). Tali contratti devono definire ruoli e responsabilità, vincoli di riservatezza, misure tecniche e organizzative di sicurezza e le modalità di assistenza per l’esercizio dei diritti degli interessati. Parallelamente è opportuno descrivere, anche sinteticamente nell’informativa, le misure di sicurezza adottate per proteggere i dati: cifratura dei dati in transito e a riposo quando possibile, controllo degli accessi, backup regolari, piani per la conservazione sostitutiva dei documenti fiscali e procedure interne per la gestione degli accessi fisici agli archivi cartacei. In caso di violazione dei dati personali lo studio deve avere procedure per l’identificazione e la notifica degli incidenti, prevedendo la tempestiva comunicazione al Garante e, ove necessario, agli interessati, conformemente ai termini e ai requisiti stabiliti dal GDPR.

La comunicazione con il cliente e la raccolta del consenso quando necessario richiedono una forma chiara e modulare: il consenso deve essere libero, specifico, informato e documentabile; per questo è consigliabile separare le richieste di consenso dai contratti principali e registrare le manifestazioni di volontà attraverso strumenti che ne garantiscano la tracciabilità. Non meno importante è la gestione del personale interno: il trattamento dei dati dei dipendenti e collaboratori deve essere regolato da informative interne, obblighi di riservatezza e formazione specifica sul GDPR, con procedure operative per la gestione di richieste da parte degli interessati e meccanismi di controllo sul rispetto delle politiche interne. Per le interazioni online occorre anche valutare la presenza di cookie o di sistemi di tracciamento sul sito dello studio e garantire il rispetto degli obblighi di informazione e consenso dove previsto.

Fac simile privacy studio commercialista

INFORMATIVA SULLA PRIVACY

Titolare del trattamento
Denominazione: ______________
Sede legale: ______________
Indirizzo operativo: ______________
Partita IVA: ______________
Codice fiscale: ______________
PEC: ______________
E-mail: ______________
Telefono: ______________

Responsabile della protezione dei dati (DPO) (se nominato)
Nome e cognome: ______________
PEC / e-mail: ______________
Telefono: ______________

Premessa
La presente informativa è resa ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (GDPR) e della normativa nazionale applicabile, allorché il Titolare tratti dati personali relativi a clienti, fornitori, collaboratori, dipendenti, professionisti, visitatori del sito web e altri soggetti interessati.

Finalità del trattamento e base giuridica
I dati personali sono trattati per le seguenti finalità:
1. Esecuzione di incarichi professionali e adempimenti contrattuali e fiscali (es.: contabilità, dichiarazioni fiscali, consulenza). Base giuridica: esecuzione del contratto e obblighi legali.
2. Adempimenti fiscali, previdenziali e obblighi di legge (es.: conservazione documenti, comunicazioni agli enti). Base giuridica: obbligo legale.
3. Gestione rapporti con fornitori, collaboratori e personale (es.: amministrazione, paghe, gestione pratiche). Base giuridica: esecuzione del contratto e obbligo legale.
4. Gestione contatti, richieste di informazioni, preventivi e assistenza clienti. Base giuridica: esecuzione di misure precontrattuali e interessi legittimi del Titolare.
5. Adempimenti relativi alla sicurezza sul lavoro e tutela della salute (se applicabile). Base giuridica: obbligo legale.
6. Finalità di marketing e comunicazione (es.: invio di newsletter, informazioni sui servizi) previo consenso dell’interessato quando richiesto. Base giuridica: consenso.
7. Finalità connesse alla sicurezza dei locali (es.: videosorveglianza) e prevenzione degli illeciti. Base giuridica: interesse legittimo del Titolare o obbligo di legge, con valutazione di bilanciamento.
8. Eventuali trasferimenti o comunicazioni dati per finalità amministrativo-contabili a società terze o consulenti. Base giuridica: esecuzione del contratto, obbligo legale o interesse legittimo.

Categorie di dati trattati
– Dati identificativi e anagrafici: nome, cognome, data di nascita, indirizzo, codice fiscale.
– Dati fiscali e contabili: dettagli fiscali, documentazione contabile, partita IVA, ricevute, fatture.
– Dati bancari e finanziari: coordinate bancarie, IBAN, dati per pagamenti.
– Dati relativi al rapporto di lavoro: curriculum, contratti, busta paga, presenze, denunce previdenziali.
– Dati di contatto: e-mail, telefono, PEC.
– Dati sensibili e giudiziari: solo se necessari per obblighi di legge o per lo svolgimento dell’incarico e trattati con adeguate garanzie; ove richiesto il consenso specifico dell’interessato.
– Dati di navigazione e cookie relativi al sito web (se presenti).

Modalità del trattamento
I dati sono trattati con modalità manuali e informatizzate, mediante strumenti adeguati a garantire sicurezza, riservatezza e integrità dei dati. Sono adottate misure tecniche e organizzative per la protezione dei dati personali, incluse misure di accesso limitato, cifratura, backup e controlli di sicurezza.

Conservazione dei dati
I tempi di conservazione dei dati sono stabiliti in conformità alla normativa vigente e in relazione alle finalità del trattamento:
– Documentazione fiscale e contabile: ______________ anni (ai sensi di legge).
– Documentazione relativa al rapporto di lavoro: ______________ anni.
– Dati di contatto e corrispondenza commerciale: ______________ anni oppure fino a revoca del consenso.
– Registrazioni di videosorveglianza: ______________ giorni, salvo obblighi diversi o indagini in corso.
– Dati per finalità di marketing: fino a revoca del consenso o per il periodo indicato: ______________.
Al termine dei periodi di conservazione i dati saranno cancellati o resi anonimi in modo sicuro.

Comunicazione e diffusione dei dati
I dati potranno essere comunicati a soggetti esterni per le finalità di cui sopra, quali:
– Autorità fiscali, previdenziali, enti pubblici e giudiziari in ottemperanza a obblighi di legge.
– Consulenti e professionisti esterni, studi associati, società di servizi contabili, gestori di paghe, istituti bancari, assicurazioni.
– Fornitori di servizi informatici e hosting, società che gestiscono servizi di posta elettronica, backup e sicurezza.
– Altri soggetti indicati nell’ambito della normativa applicabile.
I dati non saranno divulgati pubblicamente senza il consenso dell’interessato, salvo obblighi di legge.

Trasferimenti verso Paesi terzi
Eventuali trasferimenti di dati personali verso paesi terzi (al di fuori dell’Unione Europea) avverranno solo se necessari e nel rispetto delle garanzie previste dal GDPR, mediante decisioni di adeguatezza, clausole contrattuali standard o altre garanzie idonee. Dettagli: ______________

Responsabili del trattamento e incaricati
Il Titolare può nominare Responsabili del trattamento e incaricati interni che operano sotto la sua autorità. I nominativi e i compiti dei responsabili sono disponibili previa richiesta a: ______________

Profilazione e decisioni automatizzate
Il Titolare non effettua processi decisionali automatizzati o profilazione che producano effetti giuridici per gli interessati, salvo diversa specifica indicazione: ______________

Diritti dell’interessato
L’interessato ha i diritti previsti dagli artt. 15-22 del GDPR, tra cui:
– Diritto di accesso ai propri dati.
– Diritto di rettifica.
– Diritto alla cancellazione (diritto all’oblio) nei casi previsti.
– Diritto di limitazione del trattamento.
– Diritto alla portabilità dei dati.
– Diritto di opposizione al trattamento per motivi legittimi o per finalità di marketing diretto.
– Diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.
Per esercitare i diritti l’interessato può rivolgersi al Titolare ai contatti sopra indicati o al seguente indirizzo per la privacy: ______________. L’interessato ha inoltre il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

Obbligo di conferire i dati
Il conferimento dei dati per le finalità contrattuali e di legge è obbligatorio; il mancato conferimento comporta l’impossibilità di eseguire l’incarico o adempiere agli obblighi previsti dalla normativa. Il conferimento per finalità di marketing è facoltativo e si basa su consenso.

Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate per la protezione dei dati personali, incluse: controlli di accesso, crittografia ove opportuno, procedure di backup, politiche di gestione degli accessi, formazione del personale e misure fisiche di protezione.

Aggiornamenti dell’informativa
La presente informativa può essere aggiornata per adeguarsi a modifiche normative o organizzative. Data ultima aggiornamento: ______________

Consenso (se necessario)
Con la firma del contratto/consenso separato, l’interessato presta il consenso per i trattamenti per i quali è richiesto, come descritti nella presente informativa: Firma/consenso rilasciato: Sì/No ______________

Contatti per informazioni
Per informazioni relative al trattamento dei dati personali e per l’esercizio dei diritti:
E-mail: ______________
PEC: ______________
Telefono: ______________
Indirizzo per invio comunicazioni: ______________

Informativa sui cookie (se applicabile)
Per informazioni sull’uso dei cookie sul sito web e per le modalità di gestione del consenso consultare la relativa informativa cookie disponibile all’indirizzo: ______________

Dichiarazione di responsabilità
Il presente documento costituisce informativa di massima predisposta dal Titolare; per esigenze specifiche, adattamenti operativi o obblighi particolari è opportuno integrare e personalizzare il contenuto secondo la normativa vigente e la natura dei trattamenti svolti.