AVVOCATITECH | STUDIO LEGALE

Catene di subappalto - Conformita all'art. 28 cc. 2 e 4 GDPR

Verifica se la tua organizzazione gestisce correttamente la circolazione dei dati personali lungo le catene di subappalto, nel rispetto del Regolamento UE 2016/679.

Step 1 - Ruolo nel trattamento

La tua organizzazione agisce come Titolare o Responsabile del trattamento nei rapporti con i fornitori che subappaltano attivita che comportano trattamento di dati personali?

Titolare, Responsabile e sub-responsabili - art. 28 cc. 2 e 4 GDPR

Titolare del trattamento: determina le finalita e i mezzi del trattamento. Affida trattamenti a fornitori (Responsabili) che possono a loro volta avvalersi di subfornitori (sub-responsabili). Deve autorizzare per iscritto ogni affidamento a terzi e ha diritto di veto su eventuali modifiche della catena.

Responsabile del trattamento: tratta dati per conto del Titolare. Puo ricorrere a sub-responsabili solo con autorizzazione scritta del Titolare, replicando a cascata gli stessi obblighi del DPA principale. Risponde direttamente al Titolare delle inadempienze dei propri subfornitori (art. 28 par. 4).

Sub-responsabile: soggetto a cui il Responsabile affida, in tutto o in parte, i trattamenti ricevuti dal Titolare. Non era previsto dal previgente Codice Privacy: il GDPR ha introdotto e disciplinato espressamente questa figura.

🏛Titolare del trattamentoAffido trattamenti a fornitori che possono subappaltare

⚙Responsabile del trattamentoRicevo incarichi dal Titolare e mi avvalgo di subfornitori

⇄Entrambi i ruoliIn alcuni contratti sono Titolare, in altri Responsabile

Step 2 - Mappatura dei subfornitori

Hai verificato con i tuoi fornitori quanti e quali subfornitori sono coinvolti nei trattamenti che essi eseguono per tuo conto, ricostruendo la catena di subappalto?

Mappatura obbligatoria della catena - piano d'intervento azione 1

La mappatura della catena di subappalto e il punto di partenza obbligatorio. Senza conoscere i subfornitori non e possibile esercitare alcun controllo ne garantire la conformita al GDPR lungo tutta la filiera.

Si raccomanda di inserire nei DPA clausole che obblighino il fornitore a: comunicare tempestivamente qualsiasi modifica alla propria catena; fornire l'elenco aggiornato dei subfornitori su richiesta; notificare con sufficiente anticipo eventuali aggiunte, sostituzioni o eliminazioni di subfornitori.

📋Si, catena mappata e documentataElenco aggiornato dei subfornitori per ciascun trattamento

🔎Parzialmente, mappatura incompletaAlcuni fornitori verificati, catena non completamente ricostruita

🚫No, catena non mappataNon ho ricostruito la catena di subappalto

Step 3 - Clausole DPA sull'autorizzazione ai subfornitori

Il Data Processing Agreement con i tuoi fornitori disciplina l'affidamento a terzi del trattamento, prevedendo l'obbligo di autorizzazione scritta specifica o generale del Titolare?

Autorizzazione scritta obbligatoria - art. 28 par. 2 GDPR

Il GDPR vieta al Responsabile di coinvolgere ulteriori Responsabili senza la previa autorizzazione scritta del Titolare. L'autorizzazione puo essere:

Generale: contenuta nel DPA, consente al Responsabile di avvalersi di subfornitori entro condizioni predefinite (es. solo societa del gruppo, solo soggetti con certificazioni specifiche). Il Titolare deve essere informato con sufficiente anticipo di ogni modifica e ha diritto di opporsi.

Specifica: richiede di interpellare il Titolare caso per caso prima di ogni nomina di subfornitore. Piu garantista ma meno flessibile operativamente.

In entrambi i casi il diritto di veto del Titolare deve essere contrattualmente garantito. E possibile prevedere che il rifiuto debba essere motivato.

📄Si, DPA con clausola di autorizzazione scrittaSpecifica o generale, con diritto di veto del Titolare

⚠Parzialmente, clausola generica o incompletaMenzione presente ma senza disciplina del diritto di veto

🚫No, il DPA non lo disciplinaNessuna clausola sull'affidamento a subfornitori

Step 4 - Procedura per la gestione delle autorizzazioni

Esiste una procedura interna per gestire in modo organizzato il rilascio o la richiesta delle autorizzazioni scritte per i subfornitori, con tracciatura delle comunicazioni e delle modifiche alla catena?

Flusso informativo a cascata e principio di accountability - art. 28 par. 2 GDPR

L'obbligo di autorizzazione preventiva deve essere riproposto a cascata lungo tutta la catena: ogni sub-responsabile deve informare preventivamente il proprio committente e ottenere il suo consenso prima di affidare ulteriormente il trattamento a terzi.

Occorre prevedere tempistiche di segnalazione coerenti con la catena, affinche ogni soggetto possa adempiere per tempo al proprio analogo obbligo. Le comunicazioni devono essere tracciate anche per mantenere aggiornato il registro delle attivita di trattamento (art. 30 GDPR) e per dimostrare l'accountability in caso di ispezione.

📁Si, procedura documentata e operativaTempistiche definite, comunicazioni tracciate

⏳In fase di predisposizioneProcesso avviato ma non ancora formalizzato

🚫No, gestione informale o caso per casoNessuna procedura strutturata

Step 5 - Obblighi equivalenti lungo la catena

Il DPA con i tuoi fornitori prevede che i subfornitori siano vincolati dagli stessi obblighi di protezione dei dati previsti nel contratto principale (art. 28 par. 4 GDPR)?

Replica degli obblighi a cascata - art. 28 par. 4 GDPR

L'art. 28 par. 4 impone che i contratti con i subfornitori contengano gli stessi obblighi di protezione dei dati presenti nel contratto tra Titolare e Responsabile. Il Responsabile principale risponde nei confronti del Titolare delle eventuali inadempienze dei subfornitori nominati.

Nella pratica l'allineamento e spesso difficile per disparita di potere negoziale, specie con grandi operatori cloud o infrastrutturali che offrono condizioni standardizzate. In tal caso occorre: identificare quali obblighi sono concretamente trasferibili; documentare le ragioni di eventuali scostamenti; informare il Titolare delle limitazioni esistenti; valutare misure compensative (audit, certificazioni, clausole di responsabilita rafforzata).

Si raccomanda di inserire nel DPA l'obbligo per il Responsabile di produrre su richiesta copia degli estratti dei contratti con i subfornitori.

✅Si, obbligo esplicito di replicare le garanzie a cascataDPA prevede obblighi equivalenti per i subfornitori

⚠Parzialmente, clausola generica senza dettaglioRiferimento presente ma non specifico sugli obblighi da replicare

🚫No, il DPA non lo prevedeNessuna clausola di replica degli obblighi ai subfornitori

Step 6 - Verifica preliminare dei subfornitori

Prima di autorizzare o ricorrere a un subfornitore, viene svolta una verifica preliminare della sua affidabilita in materia di protezione dei dati?

Selezione del sub-responsabile - art. 28 par. 1 GDPR + piano d'intervento azione 2

Il Responsabile deve applicare rigorosi criteri di selezione basati sull'affidabilita del subfornitore: risponde direttamente al Titolare delle inadempienze dei sub-responsabili nominati (art. 28 par. 4). Il Titolare, a sua volta, deve verificare che il Responsabile principale applichi questi criteri.

Si raccomanda di preferire fornitori che garantiscano trasparenza sulla propria catena di subappalto o catene piu corte e definite. L'adesione a codici di condotta (art. 40 GDPR) o il possesso di certificazioni (art. 42 GDPR) sono elementi indicativi di affidabilita, ma non esonerano il Titolare dallo svolgimento dei controlli adeguati.

🔍Si, procedura di screening documentataVerifica strutturata prima di ogni ingaggio di subfornitore

🔰Controllo sommario, non strutturatoValutazione informale senza criteri definiti

🚫No, nessuna verifica preventivaI subfornitori non vengono valutati prima dell'ingaggio

Step 7 - Verifiche periodiche della catena

Sono state predisposte procedure di verifica periodica del rispetto degli obblighi lungo tutta la catena di subappalto (es. audit, questionari ai fornitori, richiesta di copia dei contratti con subfornitori)?

Monitoraggio continuo e accountability - checklist punto 7

Il rispetto dei requisiti deve essere monitorato nel tempo. Si raccomanda di inserire nei DPA l'obbligo per il Responsabile di produrre estratti dei contratti con i subfornitori su richiesta e di consentire audit periodici.

L'assenza di controlli espone il Titolare a responsabilita solidale ex art. 82 GDPR in caso di violazione causata da un sub-responsabile, anche se la violazione e imputabile esclusivamente al subfornitore. Documentare le verifiche effettuate e fondamentale per poter invocare l'esonero di responsabilita previsto dall'art. 82 par. 3 GDPR.

📅Si, verifiche periodiche programmateAudit o questionari con cadenza definita e documentata

🔄Verifiche occasionali, non strutturateControlli saltuari senza pianificazione

🚫No, nessun presidio periodicoNessuna verifica dopo la stipula del contratto

Step 8 - Clausole contrattuali standard

Hai valutato o adottato i modelli di clausole contrattuali predisposti dalla Commissione Europea o dalle Autorita di controllo ai sensi dell'art. 28 cc. 6, 7 e 8 GDPR nei contratti con fornitori e subfornitori?

Clausole standard e uniformita della catena - art. 28 cc. 6, 7 e 8 GDPR

L'art. 28 cc. 6, 7 e 8 prevede che la Commissione Europea e le Autorita di controllo possano adottare clausole contrattuali tipo per disciplinare i rapporti tra Titolari, Responsabili e sub-responsabili. L'utilizzo di tali clausole facilita significativamente le PMI che difficilmente dispongono di risorse per negoziare DPA complessi.

L'adozione di modelli uniformi lungo tutta la catena garantisce coerenza degli obblighi ed evita incongruenze. Le clausole tipo possono essere integrate con clausole piu specifiche ove necessario, purche non si riducano le garanzie previste.

Occorre monitorare gli sviluppi in questa materia: la Commissione e le Autorita di controllo continuano ad aggiornare i modelli disponibili.

📑Si, clausole standard adottate e monitorateUtilizzo dei modelli della Commissione o delle Autorita

🔬In valutazione, non ancora adottateHo verificato l'esistenza dei modelli, valuto l'adozione

🚫No, non valutatoNon ho esaminato i modelli di clausole standard disponibili

Step 9 - Registro delle attivita di trattamento

Il registro delle attivita di trattamento (art. 30 GDPR) include i dati dei subfornitori coinvolti e viene aggiornato ad ogni modifica della catena di subappalto?

Tracciabilita dei subfornitori nel registro - art. 30 GDPR

La tracciabilita dei soggetti coinvolti nel trattamento e essenziale per un corretto governo dei dati. L'art. 30 GDPR impone la tenuta del registro delle attivita di trattamento, che deve includere anche i destinatari dei dati, tra cui i subfornitori.

Un aggiornamento costante del flusso informativo consente a Titolare e Responsabile di mantenere aggiornato il registro, strumento fondamentale in caso di ispezione del Garante o di notifica di data breach. Le procedure di aggiornamento del registro devono essere collegate alle procedure di gestione delle autorizzazioni ai subfornitori.

📚Si, registro aggiornato con i dati dei subfornitoriOgni modifica alla catena si riflette nel registro

⚠Il registro esiste ma non include i subfornitoriDa integrare con i dati della catena di subappalto

🚫No, registro assente o non aggiornatoMancanza del registro o aggiornamento non effettuato

Step 10 - Contratti scritti con i subfornitori

I rapporti con i subfornitori che comportano trattamento di dati personali sono disciplinati in forma scritta o elettronica ai sensi dell'art. 28 par. 9 GDPR, con obblighi vincolanti per il terzo?

Obbligo di forma scritta - art. 28 par. 9 GDPR

L'art. 28 par. 9 impone che il trattamento da parte del sub-responsabile sia disciplinato da un contratto o altro atto giuridico vincolante per il terzo, redatto in forma scritta anche in formato elettronico. L'assenza di un DPA scritto costituisce una violazione autonoma del GDPR, indipendentemente dall'effettivo verificarsi di un data breach.

Le sanzioni per violazione dell'art. 28 possono arrivare fino a 10 milioni di euro o il 2% del fatturato mondiale (art. 83 par. 4 GDPR). In caso di danno agli interessati, Titolare e Responsabile rispondono in solido per l'intero ammontare (art. 82 par. 4 GDPR).

📝Si, DPA scritti con tutti i subfornitori rilevantiContratti vincolanti in forma scritta o elettronica

⚠Parzialmente, solo con alcuni subfornitoriDa completare per i rapporti ancora privi di accordo scritto

🚫No, rapporti privi di accordo scrittoNessun DPA formalizzato con i subfornitori

Step 11 - Allineamento dell'esposizione contrattuale

Solo per chi agisce come Responsabile del trattamento

Hai verificato il corretto allineamento tra gli obblighi assunti verso il Titolare e quelli che riesci effettivamente a trasferire ai tuoi subfornitori, considerando i limiti di potere negoziale?

Esposizione del Responsabile verso i subfornitori - art. 28 par. 4 GDPR

Il Responsabile deve verificare il giusto allineamento tra l'esposizione assunta verso il Titolare e quella verso i propri subfornitori. Nella pratica, specie con grandi operatori cloud o infrastrutturali, il Responsabile potrebbe trovarsi in posizione negoziale debole e non riuscire a trasferire integralmente tutti gli obblighi assunti.

In tal caso occorre: (i) identificare quali obblighi sono concretamente trasferibili; (ii) documentare le ragioni degli scostamenti; (iii) informare il Titolare delle limitazioni esistenti; (iv) valutare misure compensative (audit, certificazioni, clausole di responsabilita rafforzata). Se necessario, integrare gli accordi contrattuali.

Il Responsabile risponde in solido verso il Titolare delle inadempienze dei subfornitori (art. 28 par. 4), anche in caso di disparita negoziale: questa verifica e quindi essenziale per gestire correttamente il rischio contrattuale.

⚖Si, verifica effettuata e accordi allineatiObblighi verso il Titolare coerenti con quelli ottenibili dai subfornitori

⚠Parzialmente, disallineamenti identificatiAlcune aree di scostamento note ma non ancora risolte

🚫No, verifica non effettuataNon ho analizzato la coerenza tra i due livelli contrattuali

Step 12 - Codici di condotta e certificazioni

La tua organizzazione ha valutato l'adesione a codici di condotta (art. 40 GDPR) o a meccanismi di certificazione (art. 42 GDPR) per dimostrare la propria affidabilita come soggetto del trattamento nella catena di subappalto?

Codici di condotta e certificazioni come strumenti di accountability - artt. 40 e 42 GDPR

L'adesione a codici di condotta approvati o il possesso di certificazioni riconosciute puo essere un elemento per stabilire l'idoneita del soggetto ai sensi dell'art. 28 par. 1 GDPR e per dimostrare l'accountability lungo la catena di subappalto.

Attenzione: l'adesione da parte del fornitore - pur essendo un elemento positivo per la valutazione - non esonera il Titolare dallo svolgimento dei controlli adeguati per verificare che il soggetto esterno sia effettivamente in grado di fornire i servizi in conformita con il GDPR.

Valutare l'inserimento del possesso di certificazioni tra i criteri di selezione dei fornitori e subfornitori.

🏆Si, adesione a codici o certificazioni attivaElemento di accountability nella catena di subappalto

🔬In valutazioneAnalisi dell'opportunita in corso

🚫No, non valutatoNon ho esaminato codici di condotta o certificazioni applicabili

Questo strumento ha finalita esclusivamente informative e non costituisce consulenza legale. I risultati sono indicativi e basati sulle risposte fornite.
Per una valutazione specifica della tua situazione consulta un professionista legale qualificato.

Professionisti

Giovani, esperti, innovativi. Cresciuti nella tradizione forense e immersi nel mondo delle nuove tecnologie, traduciamo le sfide dell’economia digitale in soluzioni legali concrete e sicure.
Parliamo la lingua di chi innova e uniamo rigore giuridico e agilità operativa
per accompagnare startup, aziende tech e creator verso il successo.

Richiedi una valutazione chiara del tuo caso.

Compila il form e ti risponderemo entro 48 ore

Nome *

Cognome *

Email di riferimento *

Telefono (facoltativo)

Tipo di attività: *

Area di interesse: *

Raccontaci la tua esigenza *

Grazie [nome] per averci contattato, il tuo messaggio è stato inviato correttamente.
Una copia è stata inviata anche all'indirizzo email fornito.
Controlla la Tua cartella mail (anche quella di "Spam" e "Promozioni"), quindi salva l'indirizzo info@avvocatitech.com tra i preferiti per non perdere le informazioni).

Si è verificato un errore durante l'invio del tuo messaggio.
Per favore [nome] prova di nuovo.

Intelligenza Artificiale

Catene di subappalto GDPR art. 28 – Check gratuito