DPA e GDPR: cos'è un accordo di trattamento dei dati e quando ne ha bisogno la tua startup?
Usi HubSpot, Brevo, Stripe, Google Workspace, Notion e altri strumenti. Tutti elaborano dati personali dei tuoi clienti o dipendenti. Hai un accordo firmato con ciascuno di loro? Se la risposta è no, sei non conforme al GDPR dal primo giorno. Questo articolo spiega cos'è un DPA, quando ne hai bisogno, cosa deve contenere e gli errori più comuni nelle startup.
In sintesi
- Qualsiasi fornitore esterno che tratta dati personali per tuo conto è un Responsabile del trattamento. Hai bisogno di un DPA con lui — obbligatorio ai sensi dell'art. 28 GDPR.
- La maggior parte dei SaaS offre il proprio DPA — ma devi attivarlo o firmarlo e verificare che sia conforme.
- I SaaS americani aggiungono un livello: i trasferimenti internazionali di dati. "Hanno server in Irlanda" non è sempre sufficiente.
- L'assenza di DPA può portare a sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale (art. 83 GDPR).
Ho bisogno di un DPA con il mio fornitore? Guida rapida
| Situazione | Accordo di trattamento necessario? |
|---|---|
| Hosting web (AWS, Google Cloud, Hetzner…) | Di norma sì |
| CRM con dati clienti (HubSpot, Salesforce…) | Sì |
| Piattaforma email marketing (Brevo, Mailchimp…) | Sì |
| Stripe o altro gateway di pagamento | Dipende dal ruolo assunto dal fornitore |
| Google Analytics / Meta Ads | Verificare configurazione e ruolo del fornitore |
| Notaio, banca o consulente esterno che agisce autonomamente | Di norma non agisce come responsabile del trattamento |
Cos'è un DPA e perché il GDPR lo richiede?
L'art. 28 del GDPR (Regolamento (UE) 2016/679) stabilisce che quando un'organizzazione — il Titolare del trattamento — affida a un terzo il trattamento di dati personali per suo conto, deve stipulare un contratto vincolante con quel terzo: l'Accordo di trattamento dei dati (DPA), noto in italiano come Accordo di responsabilità esterna (ARE) o Contratto di responsabile del trattamento.
Esempio pratico: La tua startup usa Brevo per inviare email di onboarding. Brevo accede a nomi ed email dei tuoi utenti. Tu decidi quali dati vengono inviati e per quale scopo: sei il Titolare. Brevo esegue il trattamento seguendo le tue istruzioni: è il Responsabile. Senza DPA firmato, quel rapporto non ha copertura legale ai sensi del GDPR.
Le 8 clausole obbligatorie di ogni DPA (art. 28.3 GDPR)
1. Trattamento solo su istruzione documentata — Il responsabile può trattare i dati solo per gli scopi da te definiti (art. 28.3.a).
2. Riservatezza del personale — Le persone autorizzate devono essere vincolate da obblighi di riservatezza (art. 28.3.b).
3. Misure di sicurezza (art. 32 GDPR) — Cifratura, pseudonimizzazione, resilienza, ecc. (art. 28.3.c).
4. Sub-responsabili soggetti ad autorizzazione preventiva — Autorizzazione generale o specifica necessaria (art. 28.3.d e 28.4).
5. Assistenza per i diritti degli interessati — Accesso, cancellazione, portabilità (art. 28.3.e).
6. Assistenza per gli obblighi di sicurezza — Violazioni dei dati, DPIA (art. 28.3.f).
7. Restituzione o cancellazione dei dati al termine del contratto — Art. 28.3.g.
8. Diritti di audit — Audit diretti o certificazioni equivalenti (ISO 27001, SOC 2) se concordato nel DPA (art. 28.3.h).
Trasferimenti internazionali: il rischio dei SaaS americani
Quando i dati dei tuoi utenti europei vengono trasferiti verso server americani (o sono accessibili dagli Stati Uniti), si tratta di un trasferimento internazionale soggetto agli artt. 44-49 GDPR. Non ogni trasferimento richiede automaticamente SCC — verifica in quest'ordine:
- Verificare se esiste una decisione di adeguatezza (art. 45 GDPR): paesi come Svizzera, Giappone, Canada e Regno Unito sono riconosciuti adeguati. Non esiste una decisione di adeguatezza generale per gli USA.
- EU-US Data Privacy Framework (DPF) — Decisione (UE) 2023/1795: se il fornitore americano è certificato DPF, i trasferimenti sono leciti senza SCC aggiuntive. Attenzione: la validità del DPF è soggetta a rischi giuridici e politici.
- Clausole Contrattuali Standard (SCC) — Decisione (UE) 2021/914: in assenza dei meccanismi precedenti, le SCC sono lo strumento più comune, accompagnate da una Transfer Impact Assessment (TIA).
Domande frequenti su DPA e GDPR
Ho bisogno di un DPA anche se ho solo 10 clienti?
Sì. Il GDPR non prevede soglie di volume per l'obbligo dell'art. 28. Non appena un terzo tratta dati personali per tuo conto — anche per pochi utenti — hai bisogno di un DPA.
Qual è la differenza tra DPA e Clausole Contrattuali Standard (SCC)?
Il DPA disciplina il rapporto Titolare-Responsabile nell'ambito dell'UE (art. 28 GDPR). Le SCC sono il meccanismo per legalizzare il trasferimento internazionale di quei dati verso paesi senza decisione di adeguatezza (art. 46.2.c GDPR). Molti DPA con fornitori americani integrano entrambi.
Posso usare il DPA standard del fornitore?
Per i grandi SaaS (Google, Microsoft, HubSpot, Stripe), il DPA standard è giuridicamente valido e praticamente non negoziabile. Per fornitori più piccoli o trattamenti particolarmente sensibili, è consigliabile un DPA personalizzato.
Cosa succede se il mio fornitore si rifiuta di firmare un DPA?
Non dovresti usare quel servizio per trattare dati personali dei tuoi utenti. L'utilizzo senza DPA è una violazione dell'art. 28 GDPR di cui tu, come Titolare, sei responsabile.
Con quale frequenza devo rivedere i miei DPA?
Almeno una volta l'anno, e ogni volta che aggiungi un nuovo fornitore, un fornitore cambia i suoi termini o la lista dei sub-responsabili, la normativa cambia o introduci nuove categorie di dati o finalità di trattamento.