Quasi ogni azienda che usa un CRM, una piattaforma di email marketing o un servizio cloud sta affidando dati personali a un fornitore esterno. In questi casi, il GDPR impone di regolare il rapporto con un contratto specifico: la nomina a responsabile del trattamento dei dati, nota anche come Data Processing Agreement o DPA.

Eppure questo documento è spesso trattato come una formalità, firmato senza leggerlo o accettato nella versione standard del fornitore senza valutarne le implicazioni. Il risultato è che, in caso di violazione, la responsabilità resta in capo al titolare del trattamento. Questo articolo spiega cosa deve contenere un DPA conforme all’art. 28 GDPR, quali obblighi ricadono su ciascuna parte e dove si nascondono i rischi più frequenti.

1. Cos’è il Data Processing Agreement e quando è obbligatorio

La nomina a responsabile del trattamento – denominata in inglese Data Processing Agreement o DPA – è il contratto, o altro atto giuridico vincolante, con cui il titolare del trattamento disciplina le attività svolte da un fornitore esterno che tratta dati personali per suo conto. L’obbligo è sancito dall’art. 28, par. 3, Reg. UE 2016/679 (GDPR), che ne stabilisce anche i contenuti minimi.

L’obbligo scatta ogni volta che un’azienda esternalizza un’attività che comporta il trattamento di dati personali: gestione delle buste paga affidata a uno studio paghe, invio di newsletter tramite una piattaforma SaaS, archiviazione documentale su cloud, assistenza clienti tramite call center esterno. In tutti questi casi il fornitore assume il ruolo di responsabile del trattamento, e il DPA è il documento che definisce il perimetro entro cui può operare.

La forma è vincolata: l’art. 28, par. 9 GDPR prevede che il contratto sia stipulato in forma scritta, anche elettronica. Un accordo verbale o un semplice scambio di email non è sufficiente.

2. I contenuti minimi obbligatori dell’art. 28, par. 3 GDPR

Il GDPR non lascia libertà totale alle parti sul contenuto del DPA. L’art. 28, par. 3 definisce un insieme di clausole obbligatorie che devono essere presenti in ogni contratto tra titolare e responsabile. Le parti possono aggiungere ulteriori previsioni – e spesso conviene farlo – ma non possono eliminare quelle previste dalla norma.

Oggetto, durata e istruzioni documentate

Il DPA deve descrivere con precisione l’oggetto del trattamento: quali dati vengono trattati, per quali finalità, per quanto tempo, le categorie di interessati coinvolti. Il responsabile del trattamento può operare esclusivamente su istruzioni documentate del titolare. Se il fornitore riceve un obbligo di legge che impone un trattamento diverso, deve informare preventivamente il titolare, salvo divieto di legge.

Riservatezza e misure di sicurezza

Il responsabile deve garantire che le persone autorizzate a trattare i dati siano vincolate alla riservatezza – attraverso impegni contrattuali o obblighi di legge. Deve inoltre adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, secondo quanto previsto dall’art. 32 GDPR. Un elenco generico di misure di sicurezza, uguale per qualsiasi trattamento, difficilmente soddisfa questo requisito.

Sub-responsabili del trattamento

Il responsabile non può ricorrere a un ulteriore responsabile (sub-responsabile) senza autorizzazione scritta del titolare – specifica per singolo soggetto o generale per categorie di fornitori. In ogni caso, deve imporre al sub-responsabile gli stessi obblighi del contratto principale. Il responsabile resta pienamente responsabile nei confronti del titolare per le attività svolte dal sub-responsabile. Questo punto è tra i più trascurati nella pratica e tra i più rilevanti in caso di incidente.

Assistenza al titolare

Il DPA deve prevedere che il responsabile assista il titolare in tre aree specifiche:

  • risposta alle richieste degli interessati (accesso, cancellazione, portabilità, rettifica);
  • adempimento degli obblighi in materia di sicurezza, data breach e valutazione d’impatto (artt. 32-36 GDPR);
  • qualsiasi altra attività necessaria a dimostrare la conformità del titolare.

Audit e verifiche

Il responsabile deve consentire al titolare di effettuare audit e ispezioni, anche tramite soggetti terzi incaricati. È una clausola che i fornitori tendono a ridurre o limitare nella negoziazione, ma la sua presenza è imposta dalla norma. Un DPA che escluda qualsiasi forma di verifica non è conforme all’art. 28 GDPR.

Cancellazione o restituzione dei dati

Al termine del rapporto contrattuale, il responsabile deve cancellare o restituire tutti i dati personali trattati per conto del titolare, cancellando anche le eventuali copie esistenti, salvo diversa previsione normativa. Questa obbligazione può decorrere anche prima della fine del contratto: se il trattamento riguarda una specifica attività con durata definita, la cancellazione deve avvenire al termine di quella attività, non al termine dell’intero rapporto commerciale.

3. Gli obblighi del titolare: selezione e controllo del fornitore

Firmare un DPA non esaurisce gli obblighi del titolare. L’art. 28, par. 1 GDPR impone di ricorrere esclusivamente a responsabili del trattamento che presentano garanzie sufficienti circa il rispetto del Regolamento. Questo significa che il titolare deve svolgere una due diligence prima di affidare il trattamento.

Le verifiche minime da condurre riguardano:

  • la consapevolezza del fornitore degli obblighi GDPR che gli competono direttamente;
  • l’adozione di misure tecniche e organizzative adeguate alla natura del trattamento specifico affidato;
  • la capacità di supportare il titolare nella gestione dei diritti degli interessati, incluso il diritto alla cancellazione e alla portabilità;
  • l’esistenza di procedure per la gestione e notifica dei data breach, con obbligo di informare il titolare senza ingiustificato ritardo, come previsto dall’art. 33, par. 2 GDPR;
  • la conformità di eventuali trasferimenti verso paesi terzi ai requisiti degli artt. 44-49 GDPR.

La valutazione non è uniforme: i livelli di garanzia richiesti dipendono dalla natura del trattamento, dal volume dei dati, dalle categorie di interessati e dal livello di rischio. Un fornitore che elabora dati di contatto per l’invio di newsletter richiede una verifica meno stringente rispetto a un fornitore che gestisce dati sanitari o finanziari.

L’adesione del fornitore a codici di condotta (art. 40 GDPR) o a meccanismi di certificazione (art. 42 GDPR) può essere un elemento positivo nella valutazione, ma non esonera il titolare dall’obbligo di effettuare controlli adeguati e periodici. La responsabilità di vigilare rimane sempre in capo al titolare.

Adegua i contratti con i tuoi fornitori al GDPR

Revisione e redazione di DPA conformi all’art. 28, con mappatura dei sub-responsabili e clausole di audit operative.

4. Gli obblighi diretti del responsabile del trattamento

A differenza di quanto accadeva sotto il Codice Privacy previgente, il GDPR attribuisce al responsabile del trattamento obblighi diretti che non possono essere derogati contrattualmente. Anche in assenza di specifiche clausole nel DPA, il responsabile è tenuto a rispettarli per effetto di legge.

Questi obblighi comprendono l’adozione di misure di sicurezza adeguate, la tenuta del registro delle attività di trattamento (art. 30, par. 2 GDPR), la designazione di un DPO quando ricorrono le condizioni previste dall’art. 37 GDPR e la cooperazione con l’autorità di controllo.

Un punto particolarmente rilevante riguarda il rischio di trasformazione del responsabile in titolare. L’art. 28, par. 10 GDPR stabilisce che, se il responsabile supera il perimetro del trattamento concordato determinando autonomamente finalità e mezzi, diventa automaticamente titolare del trattamento rispetto a quel trattamento specifico. Le implicazioni in termini di responsabilità sono significative: il fornitore che agisce oltre le istruzioni ricevute non può più beneficiare dell’esonero previsto dall’art. 82, par. 2 GDPR.

Sul piano della responsabilità per danni, la regola generale prevede la responsabilità solidale tra titolare e responsabile nei confronti dell’interessato (art. 82, par. 4 GDPR). Il titolare che ha specificato in modo analitico i compiti e gli obblighi del responsabile nel DPA può tuttavia invocare l’esonero se il responsabile ha agito in modo difforme rispetto alle istruzioni ricevute e il titolare dimostra di aver esercitato i controlli. Un DPA generico o lacunoso riduce concretamente questa possibilità di difesa.

5. Casi pratici: errori frequenti e come evitarli

La pratica mostra alcuni errori ricorrenti che espongono le aziende a rischi concreti.

DPA accettato senza lettura. Molti fornitori SaaS includono il DPA tra i documenti allegati alle condizioni generali di servizio, con un checkbox da spuntare. Accettare senza verificare che le clausole siano conformi all’art. 28 GDPR significa rinunciare a qualsiasi controllo sul perimetro del trattamento. In caso di incidente, il titolare non potrà dimostrare di aver esercitato la dovuta vigilanza.

Assenza di disciplina sui sub-responsabili. Un DPA che non prevede nulla sui sub-responsabili è incompleto per definizione. Se il fornitore usa a sua volta provider cloud, strumenti di analisi o call center esterni, queste filiere di trattamento devono essere mappate e autorizzate. Il caso del Garante contro TIM (Provv. Garante del 15 gennaio 2020) è emblematico: la società fu sanzionata anche perché aveva trascurato il proprio ruolo di committente, dimostrando di non aver adeguatamente vigilato sull’operato del partner.

Clausole di audit svuotate di contenuto. Alcune versioni contrattuali proposte dai fornitori limitano il diritto di audit a semplici questionari di autovalutazione o a ispezioni preannunciate con preavvisi eccessivi. Queste clausole soddisfano formalmente l’obbligo ma lo rendono inutile nella pratica. Un DPA efficace prevede modalità concrete di verifica, inclusa la possibilità di audit tramite terzi incaricati.

Mancata distinzione tra fine contratto e fine trattamento. La restituzione o cancellazione dei dati è spesso associata alla scadenza del contratto commerciale. Ma se il trattamento specifico si conclude prima – per esempio, al termine di una campagna di marketing o di una specifica elaborazione – l’obbligo di cancellazione decorre da quel momento, non dalla fine del rapporto complessivo.

DPA non aggiornato dopo modifiche al servizio. Se il fornitore estende le funzionalità del servizio o introduce nuovi sub-responsabili, il DPA originario potrebbe non coprire i nuovi trattamenti. Il titolare deve prevedere meccanismi di aggiornamento e monitoraggio nel tempo.

Conclusione in sintesi

Conclusione in sintesi:

  • Il DPA è obbligatorio ogni volta che si affida a un fornitore esterno un trattamento di dati personali: non è una formalità, ma il documento che definisce chi risponde di cosa.
  • L’art. 28, par. 3 GDPR stabilisce contenuti minimi inderogabili: oggetto, istruzioni, sicurezza, sub-responsabili, assistenza, audit, cancellazione dei dati.
  • Il titolare non può limitarsi a firmare il DPA: deve verificare che il fornitore offra garanzie sufficienti prima di affidare il trattamento, e controllare periodicamente nel tempo.
  • Il responsabile che agisce oltre le istruzioni del titolare diventa automaticamente titolare del trattamento, con le relative conseguenze di responsabilità diretta.
  • In caso di danno all’interessato, titolare e responsabile sono responsabili in solido. Un DPA dettagliato e documentato è lo strumento principale per difendere la propria posizione.
  • Gli errori più costosi non sono nelle clausole scritte male, ma in quelle assenti: sub-responsabili non autorizzati, audit svuotati di contenuto, cancellazione dei dati non tempestiva.
Adegua i contratti con i tuoi fornitori al GDPR

Revisione e redazione di DPA conformi all’art. 28, con mappatura dei sub-responsabili e clausole di audit operative.

  • Indice dei Contenuti

Le nostre news

Rimani informato su tutte le novità di questo affascinante mondo

Guide Legali, Privacy

Data breach GDPR: cosa fare (e cosa non fare) nelle prime 72 ore

Guide Legali, Privacy

Nomina a responsabile del trattamento e Data Processing Agreement (DPA): cos’è, cosa deve contenere e perché firmarlo bene protegge l’azienda

Contratti, Guide Legali, Privacy

Garante Privacy: vietato il controllo dello stile di guida dei lavoratori tramite telematica satellitare

Guide Legali, Privacy

Controlli a distanza sui lavoratori: la guida pratica per le aziende prima di installare qualsiasi strumento

Nuove tecnologie

Criptovalute e MiCAR: la Consob sanziona Fabrizio Corona per i memecoin $CORONA – Primo caso in Italia

Contratti, Guide Legali, Nuove tecnologie

Work for Equity: un modello di collaborazione per l’innovazione

Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |

Richiedi una valutazione chiara del tuo caso.

Compila il form e ti risponderemo entro 48 ore

Cliccando sul pulsante “INVIA” confermi di aver preso visione della Privacy Policy e acconsenti al trattamento dei dati personali forniti, esclusivamente per dare seguito alla tua richiesta.