Skip to main content

Accordo sul trattamento dei dati (DPA)

TL; DR

L'Accordo sul trattamento dei dati, o DPA in breve, è un contratto legalmente vincolante tra un'azienda e un responsabile del trattamento di dati di terze parti, inteso a regolamentare la privacy dei dati in relazione alla conformità al GDPR.

Che cos'è l'Accordo sul trattamento dei dati (DPA)?

Qualsiasi azienda che ha una presenza online si affida a terze parti per funzionare correttamente. Tali terze parti possono essere qualsiasi cosa, da un provider di posta elettronica a uno strumento di analisi del sito Web o uno strumento di chat, ecc.; in sostanza, qualsiasi strumento che elabora i dati personali dell'utente. È necessario firmare un Accordo sul trattamento dei dati tra tale azienda (Titolare del trattamento) e ciascuna terza parte (Responsabile del trattamento) assicurandosi che i dati siano archiviati correttamente e non vengano utilizzati in modo improprio, venduti o vulnerabili ad attacchi. Questo è uno dei passaggi più basilari per essere conformi al GDPR.

La maggior parte di questi strumenti di terze parti rende disponibili DPA sui propri siti Web per il download e la firma. Ad esempio, ecco il DPA di Visitor Analytics: https://www.visitor-analytics.io/en/support/legal-data-privacy-certificates/standard-integration/data-processing-agreement-cookie-information/. Il DPA firmato può essere solitamente richiesto anche via e-mail.

Nel caso in cui sia necessario creare il proprio accordo sul trattamento dei dati, il modello ufficiale può essere scaricato da https://gdpr.eu/data-processing-agreement/. Qualsiasi organizzazione può utilizzare questo documento per essere conforme al GDPR ed evitare multe costose.

L'Accordo sul trattamento dei dati si applica alle aziende che archiviano e/o elaborano dati dall'Unione Europea e affronta le seguenti questioni in relazione al Responsabile del trattamento:

  • deve essere presente un'adeguata sicurezza delle informazioni;
  • nessun sub-Responsabile può utilizzare i dati senza il consenso del Titolare;
  • ove necessario, deve essere prevista la collaborazione con le Autorità per la protezione dei dati personali;
  • le violazioni dei dati devono essere immediatamente segnalate al Titolare;
  • devono essere conservate le registrazioni di tutte le attività di trattamento;
  • rispetto delle norme dell'UE in materia di trasferimento dei dati;
  • assistenza al Titolare nella gestione di possibili data breach.

Informazioni più dettagliate al riguardo possono essere trovate qui: https://gdpr.eu/article-28-processor/.