Data Processing Agreement - Conformita all'art. 28 GDPR

Prima di qualsiasi contratto, e necessario sapere chi sono i soggetti che trattano dati per conto del Titolare. Rientrano tipicamente in questa categoria: software in cloud; consulenti HR; studi paghe; provider email; piattaforme CRM; societa di marketing; call center. La definizione di Responsabile (art. 4 n. 8 GDPR) comprende qualsiasi persona fisica o giuridica, autorita pubblica, servizio o altro organismo che tratta dati personali per conto del Titolare.

Attenzione a non confondere il Responsabile con un Titolare autonomo: se il fornitore determina autonomamente finalita e mezzi del trattamento, non va nominato Responsabile ma trattato come Titolare indipendente (art. 28 par. 10 GDPR). Un caso pratico dalle fonti: un'azienda che affitta spazi a societa GDO che eroga servizi ai dipendenti tramite app mobile - i dati forniti direttamente dai dipendenti alla controparte con finalita e mezzi propri non richiedono nomina a Responsabile, ma una clausola di impegno alla conformita GDPR.

L'art. 28 par. 1 GDPR impone al Titolare di ricorrere unicamente a Responsabili che presentino garanzie sufficienti. La procedura di selezione deve verificare: consapevolezza degli obblighi GDPR; misure tecniche e organizzative adeguate al rischio specifico del trattamento; capacita di supporto nella gestione dei diritti degli interessati (portabilita, cancellazione); procedure per identificare data breach e informare senza ritardo; liceita di eventuali trasferimenti verso paesi terzi (artt. 44-49 GDPR). La procedura deve essere calibrata su volume dati, natura trattamento e categorie di dati.

L'adesione a codici di condotta (art. 40) o certificazioni (art. 42) e un elemento valutativo per l'idoneita del Responsabile, ma non esonera il Titolare dai controlli periodici. Il Garante ha sanzionato TIM S.p.A. (Provv. 15/01/2020) proprio per mancata vigilanza sull'operato dei partner e Responsabili del trattamento. Selezionare un fornitore non idoneo espone l'organizzazione a responsabilita solidale in caso di violazione (art. 82 par. 4 GDPR).

L'art. 28 par. 9 GDPR prescrive espressamente la forma scritta, anche elettronica. Il semplice accordo verbale o la clausola generica non e sufficiente. Con il GDPR il DPA diventa un vero contratto tra due parti con contenuti minimi codificati, non piu un atto unilaterale come sotto il vecchio Codice Privacy. Se i contratti preesistono al GDPR, devono essere stati integrati con clausole specifiche o con un DPA separato.

Il Garante ha chiarito con il Provv. 100 del 22/02/2024 che un DPA che si limita a riprodurre pedissequamente l'art. 28 par. 3 senza riferimento allo specifico trattamento, senza istruzioni concrete e senza misure tecniche e organizzative specifiche, non e conforme. Il DPA deve prevedere informazioni specifiche e concrete, non meramente ribadire le disposizioni del Regolamento. La Regione Lazio e stata sanzionata con EUR 75.000 (Garante, Newsletter 474, 14/01/2021) per nomina tardiva di un Responsabile: trattamento illecito dal 1999 al 2019 senza formalizzazione del rapporto.

L'art. 28 par. 3 GDPR elenca tassativamente i contenuti minimi. Non sono piu ammesse soluzioni contrattuali con oneri di conformita solo a carico del Titolare o generici obblighi al Responsabile. Il DPA deve disciplinare: oggetto e durata del trattamento; natura e finalita; tipo di dati personali e categorie di interessati; obblighi e diritti del Titolare. A questi si aggiungono gli obblighi specifici del Responsabile: trattare solo su istruzioni documentate; garantire riservatezza; adottare misure di sicurezza adeguate; assistere il Titolare.

Il modello danese, valutato positivamente dall'EDPB (Parere 14/2019 del 9/07/2019), offre una struttura di riferimento con: parte contrattuale con clausola di prevalenza sugli altri accordi; Allegato 1 (finalita, natura, tipi dati, categorie interessati, durata); Allegato 2 (elenco sub-responsabili autorizzati); Allegato 3 (istruzioni trattamento, misure sicurezza incluso smart-working, luoghi trattamento, trasferimenti paesi terzi, ispezioni); Allegato 4 (clausole aggiuntive). In caso di ispezione, un DPA privo anche di una sola clausola obbligatoria e non conforme.

Il primo obbligo del Responsabile ex art. 28 par. 3 e trattare i dati solo su istruzioni documentate del Titolare. Se il Responsabile tratta i dati al di fuori delle istruzioni ricevute, determinando autonomamente finalita e mezzi, diventa automaticamente Titolare del trattamento per quel trattamento (art. 28 par. 10 GDPR), con conseguente responsabilita autonoma. Le istruzioni devono essere specifiche, aggiornate e tracciate.

Il Responsabile ha anche un obbligo di segnalazione attiva: l'art. 28 par. 3 lett. h) impone di informare immediatamente il Titolare se un'istruzione ricevuta viola il GDPR o altre disposizioni in materia di protezione dei dati. Il Tribunale di Udine (Ordinanza 504/2024 del 2/08/2024) ha confermato che il rifiuto di un dipendente di firmare la nomina come incaricato del trattamento - indispensabile per le sue mansioni - costituisce violazione del dovere di lealta e correttezza e condotta disciplinarmente rilevante.

L'art. 28 par. 2 GDPR vieta al Responsabile di coinvolgere sub-responsabili senza previa autorizzazione scritta del Titolare. L'autorizzazione puo essere specifica (per singolo sub-responsabile) o generale (suscettibile di modifiche): in quest'ultimo caso il Responsabile deve informare il Titolare di ogni aggiunta o sostituzione, dandogli la possibilita di opporsi. L'art. 28 par. 4 impone che il sub-responsabile sia vincolato contrattualmente ai medesimi obblighi del DPA principale.

In caso di inadempimento del sub-responsabile, il Responsabile principale rimane pienamente responsabile nei confronti del Titolare. L'EDPB Parere 22/2024 (7/10/2024) ha affrontato le questioni interpretative sulla catena di affidamento nella privacy supply chain, chiarendo gli obblighi nell'affidamento del trattamento tra Responsabili e sub-responsabili. Il modello danese prevede inoltre che in caso di fallimento del Responsabile, il Titolare possa agire direttamente come terzo beneficiario nei confronti dei sub-responsabili (art. 7 par. 6 del modello).

L'art. 33 par. 2 GDPR impone al Responsabile di informare il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione. Il termine di 72 ore per la notifica al Garante (art. 33 par. 1) decorre da quando il Titolare ne viene a conoscenza: un ritardo nella comunicazione interna del Responsabile riduce direttamente il tempo disponibile per la notifica e puo rendere il Titolare inadempiente.

Questa clausola deve essere esplicitamente prevista nel DPA con indicazione di termini e modalita operative. Il piano di intervento classifica come obbligatorio l'inserimento nel DPA di istruzioni specifiche in materia di data breach: obbligo di segnalazione immediata, collaborazione nella gestione dell'incidente, supporto nella notifica all'autorita e nella comunicazione agli interessati. Senza questa clausola il Titolare rischia di non venire a conoscenza del breach in tempo utile, con sanzioni fino a 10 milioni di euro (art. 83 par. 4 lett. a GDPR).

Il Titolare e il soggetto che risponde all'interessato, ma spesso i dati sono nella disponibilita materiale del Responsabile. L'art. 28 par. 3 lett. e) impone al Responsabile di assistere il Titolare con misure tecniche e organizzative adeguate per dare seguito alle richieste di esercizio dei diritti: accesso (art. 15); rettifica (art. 16); cancellazione (art. 17); limitazione (art. 18); portabilita (art. 20); opposizione (art. 21). Le informazioni devono essere fornite in forma concisa, trasparente e con linguaggio semplice (artt. 12-14 GDPR).

Senza questa clausola il Titolare non puo rispettare i termini di legge di 30 giorni per il riscontro. Il Responsabile deve inoltre garantire la cancellazione o restituzione di tutti i dati a fine servizio (art. 28 par. 3 lett. g), comprese le cancellazioni intermedie in pendenza di contratti pluriennali. L'inadempimento nell'evasione dei diritti degli interessati espone a sanzioni fino a 20 milioni di euro o il 4% del fatturato mondiale (art. 83 par. 5 GDPR).

L'art. 28 par. 1 GDPR richiede che le garanzie siano mantenute nel tempo, non solo al momento della firma. L'art. 28 par. 3 lett. h) impone al Responsabile di consentire e contribuire alle attivita di revisione, comprese ispezioni, realizzate dal Titolare o da un altro revisore da questi incaricato. Il piano di intervento classifica il piano di audit fornitori come vivamente consigliato, con priorita ai trattamenti piu rischiosi o con sospetto di non conformita.

Le verifiche possono assumere diverse forme: reportistica periodica; audit in loco a campione; questionari di conformita; richiesta di certificazioni. Il Garante ha sanzionato TIM S.p.A. (Provv. 15/01/2020) per mancata vigilanza sull'operato dei Responsabili. La mancanza di verifiche periodiche e considerata aggravante in sede sanzionatoria: un fornitore conforme alla firma del DPA potrebbe non esserlo piu nel tempo, e il Titolare resta responsabile della scelta e del mantenimento delle garanzie.

L'art. 30 par. 2 GDPR impone a ogni Responsabile di tenere un registro contenente: nome e contatti del Responsabile e di ciascun Titolare per conto del quale tratta; dati del DPO ove nominato; categorie dei trattamenti effettuati per conto di ciascun Titolare; eventuali trasferimenti verso paesi terzi con relativa documentazione; descrizione delle misure di sicurezza ex art. 32 par. 1. Il registro deve essere in forma scritta, anche elettronica, e messo a disposizione dell'autorita di controllo su richiesta.

E buona prassi richiederne contrattualmente la tenuta e verificarne periodicamente la correttezza attraverso il DPA. Il Responsabile ha inoltre l'obbligo autonomo di nominare un DPO (art. 37 GDPR) nei tre casi previsti: trattamento da autorita pubblica; attivita principale che comporta monitoraggio regolare e sistematico su larga scala; trattamento su larga scala di dati particolari o giudiziari. La responsabilita del Responsabile per violazioni del registro e autonoma e diretta, con sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale (art. 83 par. 4 GDPR).