Comprensione dell'accordo sul trattamento dei dati (DPA)

Un accordo sul trattamento dei dati (DPA) è un contratto che deve essere in essere quando si utilizzano determinati fornitori di servizi ai sensi del Regolamento generale sulla protezione dei dati (GDPR) dell'UE o del Regno Unito.

Un DPA deve soddisfare determinati requisiti legali ed è obbligatorio ogni volta che un "titolare del trattamento" coinvolge un "processore". La mancata implementazione di un DPA quando richiesto può causare gravi problemi legali per entrambe le parti.

Questo articolo ti guiderà attraverso gli elementi chiave di un DPA , esplorerà quando è necessario un DPA e fornirà alcuni suggerimenti chiave per redigere un DPA che funzioni per la tua azienda e i suoi clienti.

Che cos'è un accordo sul trattamento dei dati (DPA)?

Ai sensi del GDPR, un DPA è un contratto che richiede a un “responsabile del trattamento” di agire secondo le istruzioni di un “titolare del trattamento”.

Molti tipi di aziende forniscono servizi ai sensi di un DPA, tra cui i fornitori di servizi cloud (CSP), i fornitori di sicurezza di rete e le società di marketing.

Un DPA può essere un contratto autonomo o incorporato in un altro contratto, come i Termini di servizio (ToS) o il Master Services Agreement (MSA) . Un DPA è talvolta chiamato "Addendum sull'elaborazione dei dati".

Titolari e responsabili del trattamento

Un DPA regola la relazione tra un titolare e un responsabile del trattamento ai sensi del GDPR. Esamineremo questi termini in modo più dettagliato più avanti nell'articolo, ma ecco una breve spiegazione di ciascuno:

• Un titolare del trattamento “determina le finalità e i mezzi del trattamento dei dati personali”: ha una ragione per trattare i dati personali e decide come farlo.
• Un responsabile del trattamento “tratta i dati personali per conto del titolare del trattamento”: fornisce servizi al titolare del trattamento e utilizza i dati personali solo per le finalità del titolare del trattamento

Nota: "Dati personali" è un termine ampio ai sensi del GDPR e include qualsiasi informazione relativa a un individuo identificabile. "Elaborare" dati personali significa raccoglierli, archiviarli o altrimenti utilizzarli in qualsiasi modo.

La maggior parte delle norme del GDPR si applicano direttamente ai titolari del trattamento, che sono i principali responsabili dei dati personali che raccolgono e utilizzano. Un titolare del trattamento rimane responsabile dei dati personali anche quando un responsabile del trattamento li elabora per conto del titolare del trattamento. 

Un DPA rende questo principio "reale": se il processore viola il GDPR, il titolare del trattamento rimarrà normalmente legalmente responsabile. Tuttavia, il titolare del trattamento potrebbe essere in grado di recuperare eventuali danni causati dal processore violando il DPA.

Oltre a essere un requisito fondamentale ai sensi del GDPR , un DPA avvantaggia sia il titolare del trattamento che il responsabile del trattamento:

• Il titolare del trattamento trae vantaggio dall'avere un accordo giuridicamente vincolante che limita il modo in cui il responsabile del trattamento utilizza i dati personali per suo conto.
• Il responsabile del trattamento ne trae vantaggio perché non è il principale responsabile della conformità al GDPR, purché rispetti le istruzioni del titolare del trattamento ai sensi del DPA (con alcune eccezioni).

Quando un'organizzazione deve utilizzare un contratto di elaborazione dei dati?

Ai sensi del GDPR, i responsabili del trattamento possono operare solo ai sensi di un DPA. Pertanto, un DPA è necessario ogniqualvolta un'altra organizzazione elabora dati personali per conto di un titolare del trattamento.

I processori possono essere difficili da individuare. Ecco alcuni esempi comuni di relazioni controller/processore :

• Un'attività di vendita al dettaglio (titolare del trattamento) archivia i dati personali in remoto tramite un fornitore di servizi cloud (CSP) (responsabile del trattamento), come Google Drive.
• Un dipartimento governativo (titolare del trattamento) gestisce i dati dei dipendenti tramite un fornitore di software per le risorse umane (responsabile del trattamento), come Workday.
• Il gestore di un sito web (titolare del trattamento) analizza l'utilizzo del proprio sito web tramite un fornitore di servizi di analisi (responsabile del trattamento), come Google Analytics.

Un responsabile del trattamento non decide il "come" o il "perché" del trattamento dei dati personali e non tratta i dati personali per i propri scopi o benefici (tranne nella misura in cui trae profitto dalla fornitura dei servizi).

Come un processore diventa un controllore

Se un responsabile del trattamento utilizza dati personali coperti da un DPA per finalità proprie , l'articolo 28 (10) del GDPR stabilisce che il responsabile del trattamento sarà il titolare del trattamento per tale trattamento. 

Questa è una cattiva notizia per il responsabile del trattamento, poiché perderà ogni protezione fornita dal DPA e diventerà direttamente responsabile per la violazione del GDPR. 

Ad esempio, l’autorità di regolamentazione greca ha multato un responsabile del trattamento di 5.000 euro ai sensi dell’articolo 28 (10) dopo che quest’ultimo aveva divulgato dati personali a un tribunale contro gli ordini del titolare del trattamento.

I responsabili del trattamento devono essere espliciti circa le modalità in cui intendono utilizzare i dati personali che elaborano per conto dei titolari del trattamento, e i titolari del trattamento devono leggere attentamente i DPA e altri accordi per assicurarsi di aver compreso come i fornitori di servizi utilizzeranno i dati personali.

Componenti chiave di un contratto di elaborazione dati

L'articolo 28 del GDPR elenca i componenti che devono essere presenti nel DPA. Ecco uno sguardo a ciascuno degli elementi chiave.

Introduzione o preambolo

Innanzitutto, ci sono alcune disposizioni che probabilmente vorrai includere nel tuo DPA, anche se non sono elencate come obbligatorie ai sensi del GDPR.

• Nomi delle parti : come per qualsiasi contratto, è meglio iniziare elencando le parti coinvolte, vale a dire i nomi legali del titolare del trattamento e del responsabile del trattamento e, se applicabile, di chi firma per conto di ciascuna parte. 
• Definizioni : è possibile definire termini chiave (ad esempio "titolare del trattamento", "responsabile del trattamento" e "dati personali") e fare riferimento alla legge applicabile (vale a dire il GDPR o, nel Regno Unito, il GDPR del Regno Unito).
• Altri accordi : dovresti elencare tutti gli altri accordi incorporati o a cui si fa riferimento nel tuo DPA, come un Master Services Agreement (MSA). Nota che altri accordi non possono sostituire le parti obbligatorie del DPA.
• Periodo di revisione : alcuni DPA includono un periodo di revisione regolare in cui le parti verificano che il DPA sia ancora pertinente o identificano un evento che innesca una revisione, ad esempio quando cambiano le attività di trattamento o i tipi rilevanti di dati personali.

Dettagli del trattamento

Ai sensi dell'articolo 28 (3) del GDPR , un DPA deve stabilire alcuni dettagli in merito all'accordo tra il titolare del trattamento e il responsabile del trattamento, vale a dire:

• Oggetto : a cosa serve il DPA, ad esempio servizi cloud, servizi di marketing, rilevamento delle frodi, ecc.
• Durata dell'elaborazione : quanto tempo richiederà l'elaborazione, incluso se si tratta di una transazione una tantum o di un rapporto commerciale continuativo (non è necessario fornire un numero specifico di mesi o anni).
• Natura e finalità del trattamento : quali tipi di servizi fornisce il responsabile del trattamento e perché.
• Tipo di dati personali : quali tipi di informazioni saranno coperte dal DPA, come nomi, indirizzi e-mail o ID dispositivo.
• Categorie di interessati : le tipologie di persone i cui dati personali saranno trattati ai sensi del DPA, quali clienti, dipendenti o utenti dell'app o del sito web del titolare del trattamento.
• Obblighi e diritti del titolare del trattamento : alcune DPA includono un paragrafo in cui si spiega che il titolare del trattamento è tenuto a garantire la conformità complessiva alla normativa sulla protezione dei dati e ha il diritto di prendere decisioni in merito al trattamento dei dati personali.

Requisiti del processore

La maggior parte del DPA imporrà requisiti di protezione dei dati al responsabile del trattamento .

Questi requisiti sono obbligatori in ogni DPA e sono stabiliti nell'articolo 28 (3) (a)-(h) del GDPR . Ecco una panoramica dei requisiti del responsabile del trattamento:

• Istruzioni documentate : il responsabile del trattamento deve elaborare i dati personali solo in base alle "istruzioni documentate" del titolare del trattamento. Tali istruzioni possono essere riportate nel DPA stesso (ad esempio, nella sezione "dettagli dell'elaborazione", sopra) o in un altro accordo, a condizione che ciò sia chiaro nel DPA.
• Trasferimenti internazionali : il responsabile del trattamento deve (come minimo) informare il titolare del trattamento prima di effettuare qualsiasi “ trasferimento internazionale di dati ” che coinvolga i dati personali.
• Riservatezza : il responsabile del trattamento deve garantire che chiunque abbia accesso ai dati personali sia tenuto alla riservatezza, sia perché ha firmato un contratto sia perché è soggetto a un obbligo di legge.
• Sicurezza : il responsabile del trattamento deve "adottare tutte le misure per conformarsi all'articolo 32" del GDPR, che stabilisce i requisiti di sicurezza dei dati della legge. Il DPA non ha bisogno di stabilire quali misure di sicurezza il responsabile del trattamento deve implementare, ma potrebbe essere opportuno farlo in alcuni casi.
• Sub-responsabili : in determinate condizioni, un responsabile può incaricare altri responsabili di gestire i dati personali del titolare del trattamento per suo conto, noti come "sub-responsabili". Esamineremo i sub-responsabili in modo più dettagliato di seguito.
• Diritti dell'interessato : il responsabile del trattamento deve accettare di assistere il titolare del trattamento nel rispetto dei diritti dell'interessato, ove possibile e opportuno.
• Articoli 32-36 : il responsabile del trattamento deve assistere il titolare del trattamento nel rispetto dei requisiti del GDPR in materia di sicurezza, violazioni dei dati personali e valutazioni dell'impatto sulla protezione dei dati (DPIA). Ad esempio, il responsabile del trattamento deve notificare al titolare del trattamento eventuali violazioni dei dati. Esamineremo questo aspetto più in dettaglio di seguito.
• Risoluzione : una volta che il processore smette di fornire servizi al titolare, il processore deve "cancellare o restituire" tutti i dati personali rilevanti. Il titolare può scegliere se richiedere al processore di "cancellare" o "restituire" i dati e talvolta lo specificherà nel DPA.
• Audit : il responsabile del trattamento deve accettare di fornire al titolare del trattamento “tutte le informazioni necessarie per dimostrare la conformità” all’articolo 28 del GDPR, anche conformandosi agli audit e alle ispezioni organizzati dal titolare del trattamento.

Responsabili del trattamento e sub-responsabili

Come accennato in precedenza, un responsabile del trattamento potrebbe dover nominare dei “ sub-responsabili ”. I sub-responsabili sono come i “ responsabili del trattamento ”: altre organizzazioni che aiutano il responsabile del trattamento a svolgere i propri obblighi ai sensi del DPA.

Ad esempio: come molti responsabili del trattamento, Amazon Web Services (AWS) fornisce un elenco aggiornato dei suoi sub-responsabili, che includono altre aziende del gruppo aziendale Amazon, società di sicurezza e fornitori di software che forniscono servizi di localizzazione e notifica.

Il GDPR prevede diverse regole in merito alla nomina dei sub-responsabili:

• Il responsabile del trattamento deve implementare il DPA con il sub-responsabile che soddisfa tutti i requisiti dell'articolo 28 del GDPR.
• Il responsabile del trattamento è responsabile nei confronti del sub-responsabile se quest'ultimo non adempie ai propri obblighi ai sensi del DPA (il titolare del trattamento può citare in giudizio il responsabile del trattamento per la mancata osservanza degli obblighi del suo sub-responsabile, con alcune limitate eccezioni).
• Il responsabile del trattamento deve ottenere l'“autorizzazione scritta preventiva” del titolare del trattamento prima di nominare un sub-responsabile. 

Esistono due modi in cui un titolare del trattamento può autorizzare un responsabile del trattamento a nominare sub-responsabili:

• Autorizzazione generale : il titolare del trattamento consente al responsabile del trattamento di nominare nuovi sub-responsabili a propria discrezione, a condizione che il responsabile del trattamento ne dia comunicazione al titolare del trattamento e gli dia la possibilità di opporsi alla nomina.
• Autorizzazione specifica : il responsabile del trattamento deve ottenere l'autorizzazione scritta del titolare del trattamento ogni volta che desidera nominare un nuovo sub-responsabile.

L'autorità di controllo dovrebbe specificare se il titolare del trattamento rilascia al responsabile del trattamento un'autorizzazione generale o specifica.

Redazione e negoziazione di un contratto di elaborazione dati

Abbiamo esaminato come riconoscere la necessità di un DPA e riassunto gli elementi obbligatori del DPA. Ora consideriamo come mettere in pratica questi requisiti .

Sviluppo di un DPA standardizzato

Molti titolari del trattamento utilizzano un DPA standardizzato che richiedono ai nuovi responsabili del trattamento di firmare. 

L'utilizzo di un modello può aiutare i titolari a gestire le loro relazioni con i responsabili del trattamento. Tuttavia, il titolare deve sempre garantire che il DPA sia conforme al GDPR.

Ecco alcuni aspetti da considerare quando si utilizza un modello DPA:

• Il DPA include tutto ciò che è richiesto dall'articolo 28 del GDPR?
• Il DPA include altri termini non richiesti dall'articolo 28?
• Il DPA è stato concepito per un contesto particolare che non si applica al responsabile del trattamento?
• Il DPA è chiaro ?
• In che modo il DPA tratta le parti più flessibili dell'articolo 28? Ad esempio:
  • Il DPA fornisce al responsabile del trattamento un'autorizzazione generale o specifica a nominare sub-responsabili?
  • Il DPA specifica se il responsabile del trattamento deve cancellare o restituire i dati personali al termine del contratto?
  • L'autorità per la protezione dei dati limita il numero di audit che il titolare del trattamento può effettuare?

Alcuni processori più grandi potrebbero rifiutarsi di accettare il DPA standard di un controller. Ma i processori più piccoli potrebbero fornire un DPA che non soddisfa i requisiti del GDPR, o potrebbero non averne affatto preparato uno.

Pertanto, il DPA standard di un titolare del trattamento può essere adattato a diversi responsabili del trattamento o fungere da punto di partenza per le negoziazioni con nuovi fornitori di servizi.

Negoziare un DPA

La maggior parte degli aspetti di un DPA non sono negoziabili, come ad esempio i requisiti che impongono ai responsabili del trattamento di agire in base alle istruzioni del titolare del trattamento, di assistere il titolare del trattamento con le richieste relative ai diritti degli interessati e di rispettare gli obblighi di sicurezza del GDPR.

Tuttavia, alcune parti del DPA sono aperte alla negoziazione tra il titolare e il responsabile del trattamento. Ad esempio:

• Le parti devono concordare se il responsabile del trattamento abbia un'autorizzazione "generale" o "specifica" per nominare sub-responsabili. Il responsabile del trattamento potrebbe preferire un'autorizzazione generale, mentre i titolari avversi al rischio potrebbero preferire un'autorizzazione specifica.
• L'articolo 33 del GDPR afferma che il responsabile del trattamento deve notificare al titolare del trattamento una violazione dei dati personali "senza indebito ritardo". Alcune DPA specificano che il responsabile del trattamento deve notificare al titolare del trattamento entro un periodo specifico , ad esempio 24 ore.
• Alcune DPA impongono un divieto assoluto al responsabile del trattamento di trasferire dati personali al di fuori dello Spazio economico europeo (SEE) (o del Regno Unito, se pertinente), mentre altre affermano che il responsabile del trattamento deve informare il titolare del trattamento prima di effettuare un trasferimento internazionale di dati.

Oltre a questi punti di negoziazione, il titolare del trattamento dovrebbe cercare garanzie circa le misure di sicurezza dei dati adottate dal responsabile del trattamento.

Se il processore non riesce a dimostrare di poter soddisfare i requisiti di sicurezza dell'articolo 32 del GDPR, il titolare del trattamento dovrebbe prendere in considerazione l'imposizione di misure di sicurezza specifiche prima di coinvolgere il processore. Alcuni titolari del trattamento aggiungono un " addendum sulla sicurezza dei dati " o un accordo simile al DPA.

Firma di un DPA standard del processore

Alcuni processori più grandi forniscono il proprio DPA e richiedono ai propri clienti (titolari del trattamento) di firmarlo. Google, ad esempio, fornisce l'Addendum sull'elaborazione dei dati nel cloud per i clienti di Google Workspace. L'Addendum sulla protezione dei dati dei prodotti e dei servizi di Microsoft copre Office 365 e altri software.

Ai sensi del GDPR, il titolare del trattamento dovrebbe prendere le decisioni (e si assume la maggior parte della responsabilità). Tuttavia, i responsabili del trattamento più grandi a volte offrono i loro servizi su base "prendere o lasciare" e potrebbero essere riluttanti a modificare il loro DPA standard per i clienti più piccoli.

È perfettamente legale che un titolare del trattamento firmi un DPA predisposto dal responsabile del trattamento, a patto che il DPA includa tutti i termini obbligatori stabiliti dall'articolo 28 del GDPR.

Ma che il responsabile del trattamento sia un gigante della tecnologia come Google o una piccola startup senza esperienza in materia di GDPR, il titolare del trattamento deve garantire che esista un DPA valido per proteggere i dati personali sotto il suo controllo.

Punti chiave e conclusione

In questo articolo ti abbiamo aiutato a comprendere quanto segue:

• Un DPA è un contratto obbligatorio tra un titolare del trattamento e un responsabile del trattamento ai sensi del GDPR, che garantisce il trattamento legittimo dei dati personali.
• I titolari del trattamento supervisionano le finalità e le modalità del trattamento dei dati, mentre i responsabili del trattamento agiscono per conto dei titolari del trattamento sulla base di istruzioni documentate.
• I DPA sono necessari ogni volta che un responsabile del trattamento gestisce dati personali per conto di un titolare del trattamento, ad esempio nei servizi cloud, nelle piattaforme HR o negli strumenti di marketing.
• Le DPA devono includere dettagli sulle attività di trattamento, sugli obblighi del responsabile del trattamento e sulle regole per i sub-responsabili.
• I titolari del trattamento devono mappare i flussi di dati, rivedere regolarmente gli accordi e garantire che le DPA soddisfino i requisiti del GDPR.

I DPA sono essenziali per mantenere la conformità al GDPR e proteggere i dati personali. Per scoprire come Privasee può aiutarti a soddisfare i tuoi obblighi legali nei confronti degli interessati, prenota una demo oggi stesso. 

Domande frequenti sugli accordi di elaborazione dei dati

Quali sono le sanzioni per la mancata adozione di un DPA?

Se un titolare del trattamento non ha stipulato un DPA valido con un responsabile del trattamento, un'autorità per la protezione dei dati può imporre una sanzione fino a 10 milioni di euro (8,7 milioni di sterline) o il 2% del fatturato annuo globale , a seconda di quale sia l'importo maggiore.

Come accennato in precedenza, un responsabile del trattamento può anche essere multato per aver violato i termini di un DPA o per non aver rispettato i propri obblighi di sicurezza.

Nell'agosto 2024, l'Information Commissioner's Office (ICO) del Regno Unito ha annunciato una multa provvisoria di 6 milioni di sterline nei confronti di un responsabile del trattamento , Advanced Computer Software Group Ltd, per presunta violazione dell'articolo 32 del GDPR del Regno Unito.

Un DPA può essere applicato retroattivamente?

No, un DPA deve essere in vigore prima che il responsabile del trattamento elabori dati personali per conto del titolare del trattamento. 

Ciò include i responsabili del trattamento che offrono una prova gratuita dei loro servizi: se nella prova gratuita sono coinvolti dati personali, questi devono essere tutelati da un DPA.

Con quale frequenza i DPA dovrebbero essere rivisti e aggiornati?

Il GDPR non specifica la frequenza con cui i DPA devono essere rivisti. Le parti potrebbero concordare una revisione regolare. Se l'elaborazione riguarda dati personali particolarmente sensibili, ha senso rivedere regolarmente il DPA .

Un DPA dovrebbe essere aggiornato, o un nuovo DPA dovrebbe essere implementato, se qualcosa nell'attività di elaborazione cambia in modo significativo . Ad esempio: 

• Il processore fornisce nuovi servizi al controllore
• Il titolare amplia le tipologie di dati trattati dal responsabile del trattamento
• Il processore viene acquisito da un'altra azienda o cambia sede

I titolari del trattamento dovrebbero valutare l' opportunità di istituire una procedura per la revisione periodica dei DPA.

Qual è la differenza tra un DPA e un accordo di condivisione dei dati?

Mentre un DPA viene implementato tra un titolare del trattamento e un responsabile del trattamento (o tra un responsabile del trattamento e un sub-responsabile del trattamento), un accordo di condivisione dei dati viene generalmente implementato tra due titolari del trattamento.

Gli accordi di condivisione dei dati non sono obbligatori ai sensi del GDPR, ma possono rappresentare un buon modo per gestire le responsabilità e chiarire gli obblighi quando si condividono dati con un'altra organizzazione.

Ad esempio, due aziende pubblicitarie potrebbero implementare un accordo di condivisione dei dati quando combinano set di dati per scopi di "arricchimento" dei dati. Ogni azienda richiede una base giuridica valida per l'elaborazione dei dati personali e ciascuna utilizzerà i dati analitici risultanti per i propri scopi.

Un accordo di condivisione dei dati non è la stessa cosa di un accordo di contitolarità del trattamento , che è necessario quando due titolari del trattamento decidono congiuntamente come e perché trattare gli stessi dati personali.

Buone pratiche per l'implementazione degli accordi di elaborazione dei dati

I DPA sono una pietra angolare della protezione dei dati. I titolari del trattamento devono considerare i seguenti passaggi per garantire che tutte le attività rilevanti siano coperte da un DPA valido:

• Mappatura dei dati : comprendere i flussi di dati della tua organizzazione può aiutarti a identificare quali fornitori di servizi agiscono come elaboratori. Utilizza la mappatura dei dati per garantire la visibilità di tutte le attività di elaborazione dei dati e assicurati che tutti gli elaboratori agiscano ai sensi di un DPA.
• Processo di revisione : mantieni i tuoi DPA sotto regolare revisione. Se un processore notifica alla tua azienda una modifica ai suoi servizi, assicurati che il tuo DPA rimanga valido e pertinente.
• Tenuta dei registri : mantieni i tuoi DPA ben organizzati e accessibili ai team legali o di protezione dei dati della tua organizzazione. Collega il tuo repository DPA ai tuoi Registri delle attività di elaborazione (RoPA) per garantire una buona governance dei dati.

Ulteriori letture e risorse sugli accordi di elaborazione dei dati

• Linee guida sui contratti con i responsabili del trattamento da parte dell'Information Commissioner's Office (ICO) : Linee guida dell'ICO del Regno Unito sui contratti ai sensi dell'articolo 28 (si noti che l'ICO non utilizza il termine "DPA").
• Clausole DPA standard dell'Autorità danese per la protezione dei dati (link per il download diretto del documento Word): l'autorità di regolamentazione danese ha pubblicato alcune clausole modello che possono essere implementate tra titolari e responsabili del trattamento .
• Linee guida del Comitato europeo per la protezione dei dati (EPDB) 07/2020 : queste linee guida dell'EDPB forniscono un'analisi approfondita dei titolari del trattamento e dei responsabili del trattamento ai sensi del GDPR.