Contratti di responsabile del trattamento (DPA) — Checklist e guida per DPO

Un DPA e necessario ogni volta che un titolare incarica un responsabile del trattamento di trattare dati personali per suo conto. La distinzione tra titolare e responsabile e cruciale: un titolare determina le finalita e i mezzi del trattamento, mentre un responsabile agisce solo su istruzione del titolare. I rapporti di trattamento comuni che richiedono un DPA includono: fornitori di hosting cloud, piattaforme di email marketing, fornitori di servizi di payroll, sistemi CRM, strumenti di analisi, societa di supporto IT con accesso ai dati personali e call center esterni. Non ogni rapporto con un fornitore richiede un DPA. Se un'azienda utilizza un servizio in cui non vengono trattati dati personali (ad es., acquisto di materiale d'ufficio), non e necessario alcun DPA. Analogamente, se due parti determinano indipendentemente le finalita del trattamento, sono contitolari ai sensi dell'Articolo 26 e necessitano di un accordo di contitolarita anziche di un DPA. Per i DPO esterni, una delle scoperte piu comuni durante gli audit e la copertura incompleta dei DPA. I clienti spesso hanno 20-30 rapporti con responsabili del trattamento ma solo 10-15 DPA in essere. Un inventario sistematico di tutti i rapporti con i fornitori e il primo passo essenziale.

L'Articolo 28(3) del GDPR specifica il contenuto minimo di un DPA. Ogni DPA deve contenere: l'oggetto e la durata del trattamento, la natura e la finalita del trattamento, i tipi di dati personali e le categorie di interessati, e gli obblighi e i diritti del titolare. Oltre a questi elementi di base, il DPA deve stabilire che il responsabile: tratti i dati solo su istruzione documentata del titolare, garantisca che il personale autorizzato sia vincolato da obblighi di riservatezza, implementi misure tecniche e organizzative appropriate (Articolo 32), ricorra a sub-responsabili solo con autorizzazione preventiva e obblighi contrattuali equivalenti, assista il titolare nelle risposte alle richieste degli interessati, assista nella notifica delle violazioni e negli obblighi di DPIA, cancelli o restituisca i dati alla fine del contratto, e metta a disposizione tutte le informazioni necessarie per dimostrare la conformita inclusa la possibilita di audit. Molte organizzazioni utilizzano modelli di DPA forniti dal responsabile (ad es., AWS, Google, Microsoft). Sebbene questi modelli spesso coprano le clausole obbligatorie, possono contenere disposizioni sfavorevoli per il titolare — come ampi diritti di sub-trattamento, accesso limitato agli audit o limiti di responsabilita minimi. Riveda sempre criticamente i DPA forniti dai responsabili.

L'errore piu frequente e non avere alcun DPA per rapporti con responsabili gia esistenti. Molte organizzazioni hanno firmato contratti con fornitori SaaS anni prima dell'applicazione del GDPR senza mai aggiungere un DPA. Queste lacune sono tra le scoperte piu facili da identificare per le autorita di controllo durante gli audit. Un altro problema comune sono i DPA obsoleti che non riflettono le attivita di trattamento attuali. Un DPA firmato quando un'azienda utilizzava un servizio per la posta elettronica di base potrebbe non coprire il caso d'uso ampliato che ora include automazione del marketing, profilazione e trasferimenti transfrontalieri di dati. La gestione dei sub-responsabili e frequentemente trascurata. Ai sensi dell'Articolo 28(2), il titolare deve autorizzare i sub-responsabili — in modo specifico o generale con diritto di opposizione. Molti responsabili mantengono elenchi di sub-responsabili che cambiano regolarmente (specialmente i grandi fornitori cloud). I DPO dovrebbero assicurarsi che i clienti abbiano un processo per la revisione dei cambiamenti nei sub-responsabili. Infine, le disposizioni di fine contratto sono spesso trascurate. Il DPA specifica la cancellazione o la restituzione dei dati? Entro quale termine? In quale formato? Questi dettagli diventano critici quando si cambia fornitore o quando un rapporto con un responsabile termina.

Per i DPO esterni che gestiscono 10-20 clienti, ciascuno con 15-30 rapporti con responsabili, il monitoraggio manuale dei DPA diventa impraticabile. Si tratta potenzialmente di 200-600 DPA da monitorare per date di scadenza, cambiamenti nei sub-responsabili e lacune di conformita. Un approccio sistematico inizia con un archivio centralizzato. Per ogni cliente, mantenga un elenco di tutti i rapporti con responsabili con il corrispondente stato del DPA: in essere, mancante, scaduto o in revisione. Colleghi ogni DPA alle attivita di trattamento pertinenti nel registro — questo crea un quadro di conformita completo. Imposti avvisi di scadenza per i DPA a termine. Molti DPA sono legati al contratto di servizio sottostante e si rinnovano automaticamente, ma alcuni hanno termini fissi. Un DPA scaduto significa trattamento senza un accordo legale valido — una chiara violazione del GDPR. Standardizzi la Sua checklist di revisione dei DPA. Invece di leggere ogni DPA da zero, verifichi gli elementi obbligatori dell'Articolo 28(3), valuti le disposizioni sui sub-responsabili, verifichi le garanzie per il trasferimento dei dati (specialmente post-Schrems II) e confermi i termini di fine contratto. Trustee.eu Le consente di monitorare tutto questo per ogni cliente con indicatori di stato e promemoria di scadenza.