Quando un DPA è legalmente richiesto?

Ogni volta che un titolare incarica un responsabile di trattare dati personali di residenti UE o SEE. I titolari e responsabili fuori UE sono ugualmente coperti se trattano dati di residenti UE. Il Regno Unito ha un regime quasi identico sotto il UK GDPR.

Qual è la differenza tra un DPA e un contratto di servizi?

Un contratto di servizi (o contratto quadro) copre la relazione commerciale — ambito, prezzo, SLA. Un DPA copre specificamente la protezione dei dati e può essere un documento autonomo, un allegato o una sezione del contratto principale. La maggior parte dei fornitori SaaS maturi usa un DPA autonomo incorporato per riferimento.

Ho bisogno di un nuovo DPA per ogni cliente?

La maggior parte dei fornitori mantiene un unico template DPA usato con tutti i clienti, negoziando solo integrazioni specifiche (es. una lista concreta di sub-responsabili o frequenza di audit). Un DPA standard accelera il procurement; DPA su misura rallentano i cicli in modo significativo.

Accordo di trattamento dei dati (DPA)

Data Processing Agreement · Accordo Articolo 28 GDPR · DPA GDPR

Un Accordo di trattamento dei dati (DPA) è un contratto tra un titolare del trattamento e un responsabile del trattamento che definisce come i dati personali possono essere trattati per conto del titolare. Ai sensi dell'articolo 28 del GDPR, un DPA è obbligatorio ogni volta che un titolare si avvale di un responsabile e deve coprire oggetto, durata, ambito e obblighi del responsabile.

Cosa fa davvero un DPA

Un DPA traduce gli obblighi astratti del responsabile sotto il GDPR in impegni contrattuali concreti. Definisce quali dati vengono trattati e perché, per quanto tempo, chi è considerato sub-responsabile e come è approvato, quali misure di sicurezza si applicano, come vengono segnalate le violazioni, come funzionano i diritti di audit, cosa succede alla fine del rapporto e come sono gestiti i trasferimenti internazionali. Per qualsiasi fornitore SaaS che memorizza o tratta dati personali per conto di clienti orientati all'UE, un DPA conforme è un prerequisito commerciale — i team acquisti non firmano senza. Per i clienti, il DPA è ciò che rende il fornitore giuridicamente responsabile degli impegni di sicurezza promessi dalle pagine di marketing.

Perché è importante

Le multe GDPR sono calcolate come percentuale del fatturato globale, e i DPA sono il principale meccanismo contrattuale usato dai titolari per allocare il rischio di conformità. Un DPA debole lascia il titolare esposto se il responsabile gestisce male i dati; uno forte impone impegni di sicurezza concreti, diritti di audit e notifica rapida. Per i fornitori, la qualità del DPA predice la dimensione dei deal: i clienti enterprise richiedono DPA maturi con liste specifiche di sub-responsabili, diritti di audit e scadenze definite. Un template generico non supera più il procurement enterprise.

Errori comuni

1.Lista dei sub-responsabili mancante o obsoleta — il GDPR richiede che il titolare sappia chi tocca realmente i suoi dati.
2.Scadenza di notifica delle violazioni vaga — "al più presto" viene sostituito con ore concrete (24, 48, 72) nei DPA maturi.
3.Diritti di audit assenti o puramente ipotetici — i titolari tipicamente necessitano di audit in loco o di un recente report SOC 2 / ISO 27001.
4.Meccanismo di trasferimento internazionale non specificato — dopo Schrems II, i DPA devono nominare il meccanismo (SCC, decisione di adeguatezza) e coprire misure supplementari.
5.Restituzione o cancellazione dei dati alla cessazione è opzionale — il GDPR la rende obbligatoria; il DPA deve specificare quale e entro quando.

Termini correlati

Accordo di Riservatezza (NDA)→Manleva (Indemnification)→Due Diligence→

Domande frequenti

Quando un DPA è legalmente richiesto?: Ogni volta che un titolare incarica un responsabile di trattare dati personali di residenti UE o SEE. I titolari e responsabili fuori UE sono ugualmente coperti se trattano dati di residenti UE. Il Regno Unito ha un regime quasi identico sotto il UK GDPR.
Qual è la differenza tra un DPA e un contratto di servizi?: Un contratto di servizi (o contratto quadro) copre la relazione commerciale — ambito, prezzo, SLA. Un DPA copre specificamente la protezione dei dati e può essere un documento autonomo, un allegato o una sezione del contratto principale. La maggior parte dei fornitori SaaS maturi usa un DPA autonomo incorporato per riferimento.
Ho bisogno di un nuovo DPA per ogni cliente?: La maggior parte dei fornitori mantiene un unico template DPA usato con tutti i clienti, negoziando solo integrazioni specifiche (es. una lista concreta di sub-responsabili o frequenza di audit). Un DPA standard accelera il procurement; DPA su misura rallentano i cicli in modo significativo.

Il tuo DPA con Attorly è pronto da rivedere

Attorly fornisce un DPA conforme all'articolo 28 GDPR che copre la cifratura a riposo e in transito, Bring-Your-Own-Key su Enterprise e notifica di violazioni entro 72 ore.

Vedi il DPA di Attorly