Skip to main content

Accordo sul trattamento dei dati (DPA)

TL; DR

L'accordo sul trattamento dei dati, o DPA in breve, è un contratto legalmente vincolante tra un'azienda e un elaboratore di dati di terze parti, inteso a regolamentare la privacy dei dati in relazione alla conformità al GDPR.

Che cos'è l'accordo sul trattamento dei dati (DPA)?

Qualsiasi azienda che ha una presenza online si affida a terze parti per funzionare correttamente. Queste terze parti possono essere qualsiasi cosa, da un provider di posta elettronica a uno strumento di analisi dei siti Web o uno strumento di chat, ecc.; in pratica, qualsiasi strumento che elabora i dati personali dell'utente. È necessario firmare un accordo sul trattamento dei dati tra l'azienda (titolare del trattamento) e ciascuna terza parte (responsabile del trattamento) assicurandosi che i dati siano archiviati correttamente e non vengano utilizzati in modo improprio, venduti o vulnerabili agli attacchi. Questo è uno dei passaggi fondamentali per essere conformi al GDPR.

La maggior parte di questi strumenti di terze parti rende disponibili i DPA sui loro siti Web per essere scaricati e firmati. Il DPA firmato di solito può essere richiesto anche via e-mail.

Nel caso in cui sia necessario creare il proprio accordo sul trattamento dei dati, il modello ufficiale può essere scaricato da https://gdpr.eu/data-processing-agreement/. Qualsiasi organizzazione può utilizzare questo documento per essere conforme al GDPR ed evitare sanzioni costose.

L'Accordo sul trattamento dei dati si applica alle aziende che archiviano e/o elaborano dati dall'Unione Europea e affronta le seguenti questioni relative al Responsabile:

  • deve essere presente un'adeguata sicurezza delle informazioni;
  • nessun sub-Responsabile può utilizzare i dati senza il consenso del Titolare;
  • deve essere fornita, ove necessario, la collaborazione con le Autorità per la protezione dei dati;
  • le violazioni dei dati devono essere segnalate immediatamente al Titolare;
  • devono essere conservate le registrazioni di tutte le attività di trattamento;
  • rispetto delle norme UE sul trasferimento dei dati;
  • assistenza al Titolare nella gestione di possibili data breach.

Informazioni più elaborate in merito sono disponibili qui: https://gdpr.eu/article-28-processor/.