Skip to content

Gestire un DPA secondo l'AVG

Image of Budi Voogt
Budi Voogt 25 mag 2026

Probabilmente Le sarà familiare. Attiva un nuovo fornitore, qualcuno Le invia un accordo sul trattamento dei dati via email, Lei lo legge a metà, lo firma e mette il file in una cartella che poi non riapre più. In quel momento sembra di aver chiuso la questione. Ed è proprio lì che nasce il problema, perché firmare è la parte facile. Il vero lavoro comincia dopo: mantenere aggiornato quell'accordo mentre cambiano i sub-responsabili, le revisioni slittano e la base giuridica per i trasferimenti si muove sotto i Suoi piedi.

Noto spesso che i team trattano i loro accordi sul trattamento dei dati come un punto da spuntare, invece che come un fascicolo vivo. È comprensibile, perché nessuno mette in agenda di rivalutare tra quattordici mesi l'allegato di sicurezza di un provider di hosting. In questa guida La accompagno attraverso che cos'è esattamente un accordo sul trattamento dei dati, che cosa deve monitorare per ogni accordo, perché questi accordi invecchiano silenziosamente e come trasformarli in un insieme ordinato.

Questa è una spiegazione pratica, non una consulenza legale. Sottoponga la Sua situazione a un professionista qualificato in materia di privacy.

Dopo aver letto questa guida saprà:

  • Che cos'è un accordo sul trattamento dei dati (DPA) e quando l'AVG ne richiede uno.
  • Quali informazioni deve conservare per ogni accordo per poter dimostrare la conformità.
  • Perché nella pratica gli accordi sul trattamento dei dati diventano obsoleti senza che nessuno se ne accorga.
  • Come costruire un'unica fonte di verità consultabile e inserire le date importanti in una pianificazione.

Che cos'è un accordo sul trattamento dei dati

Un accordo sul trattamento dei dati, spesso abbreviato in DPA dall'inglese data processing agreement, stabilisce come un responsabile del trattamento (il fornitore) tratta i dati personali per Suo conto, in qualità di titolare del trattamento. Pensi al Suo CRM, allo strumento per le email, al software per le paghe o al provider di hosting. Non appena una parte di questo tipo tratta dati personali per Suo conto, l'AVG (articolo 28) richiede che questo sia regolato per iscritto.

Il motivo è semplice. Lei determina le finalità e i mezzi del trattamento, quindi resta responsabile, anche se qualcun altro gestisce materialmente i dati. Senza un accordo, entrambe le parti corrono rischi: Lei non può dimostrare che il fornitore sia vincolato ad accordi chiari, e il fornitore non sa dove terminano i suoi obblighi. L'accordo stabilisce, tra le altre cose, quali dati vengono trattati, per quale finalità, quali misure di sicurezza si applicano e che cosa succede quando la collaborazione termina.

Fin qui la teoria. Nella pratica, un accordo firmato è solo il punto di partenza, ed è su questo che voglio concentrarmi maggiormente.

Professionista che esamina una panoramica dei contratti in un ufficio luminoso

Che cosa monitorare per ogni DPA

La maggior parte dei problemi non nasce al momento della firma, ma mesi dopo. Un accordo sul trattamento dei dati contiene infatti molti obblighi che si attivano solo in futuro, e che non si segnalano da soli. Consiglio di registrare lo stesso insieme di informazioni per ogni accordo, così il Suo portfolio rimane confrontabile internamente.

Che cosa monitoraPerché è importante
Il fornitore e il contratto principaleCosì collega il DPA al servizio a cui si riferisce e impedisce che perda il suo contesto.
Data di revisioneQuando deve rivalutare le misure di sicurezza, prima che diventino silenziosamente superate.
Elenco dei sub-responsabili e finestra di opposizioneChi è autorizzato, e quanti giorni ha per opporsi a una nuova aggiunta.
Diritti di auditA che cosa ha diritto, e con quale frequenza può esercitare quel diritto.
Meccanismo di trasferimentoSu quale base si fonda il trasferimento fuori dallo SEE, per esempio clausole contrattuali standard, e se copre ancora i flussi reali dei Suoi dati.
Termini di cessazione e cancellazioneChe cosa succede ai dati quando la collaborazione termina, e entro quale termine.

Il vantaggio di questi campi è che sono tutti concreti e verificabili. Non serve essere giuristi per monitorare che una data di revisione si avvicina o che una finestra di opposizione sta per chiudersi. Deve solo assicurarsi che le informazioni si trovino in un posto dove possa ritrovarle, e non sepolte a pagina undici di un PDF.

Perché gli accordi sul trattamento dei dati scadono

Li chiamo scaduti, anche se di solito non hanno una data di fine. Quello che succede è più sottile: l'accordo resta formalmente valido, ma non riflette più la realtà. Accade in alcuni modi prevedibili.

Cambiano i sub-responsabili

Quasi ogni fornitore coinvolge a sua volta altre parti, e quell'elenco cambia. Se riceve una notifica che viene aggiunto un sub-responsabile e perde la finestra di opposizione, ha accettato quella parte in modo tacito. A volte va bene, ma significa comunque che ha ammesso una nuova parte ai Suoi dati senza una scelta consapevole.

Le revisioni slittano

Una valutazione periodica delle misure di sicurezza sembra ovvia, finché si scopre che nessuno la pianifica. È esattamente il tipo di attività che resta indietro perché non appartiene personalmente a nessuno. Un anno dopo non sa più se gli accordi corrispondono ancora al modo in cui il fornitore opera oggi.

La base del trasferimento diventa obsoleta

La base giuridica per i trasferimenti al di fuori dello Spazio economico europeo è cambiata più volte negli ultimi anni. Un meccanismo che una volta era regolato correttamente può ormai essere superato senza che sia successo nulla dal Suo lato. Questo è uno dei rischi più silenziosi, perché si sviluppa completamente fuori dal Suo campo visivo.

Se vuole approfondire questo tipo di obblighi latenti, ho scritto in precedenza dei rischi nascosti nella gestione dei contratti, dove si ritrova gran parte della stessa dinamica.

Costruisca un'unica fonte di verità

La soluzione è meno complicata del problema. Il punto centrale è che ogni accordo sul trattamento dei dati sia conservato in un unico posto, ricercabile, collegato al fornitore giusto, con le date più importanti estratte invece che nascoste in un documento. Se un'autorità di controllo o un cliente chiede il Suo DPA con la parte X e vuole vedere che è aggiornato, la risposta è a una sola ricerca di distanza, non a mezzo pomeriggio di lavoro.

È per questo che è stata creata la soluzione di gestione degli accordi sul trattamento dei dati di Contracko. Conserva ogni DPA accanto al contratto a cui si riferisce, con date di revisione, condizioni sui sub-responsabili e obblighi di trasferimento in campi strutturati. Contracko opera su infrastruttura UE, con crittografia e accesso basato sui ruoli, e i fornitori di AI che eseguono l'analisi non addestrano i loro modelli sui Suoi contratti. Per un fascicolo privacy, a mio avviso, questo non è un dettaglio ma una condizione.

Quello che apprezzo di questo approccio è che il lavoro che fa comunque, cioè leggere le informazioni contenute in un accordo, non va più perso appena chiude il file. L'analisi contrattuale con AI estrae i campi rilevanti e li inserisce nel Suo repository, così l'intero archivio fornitori rientra in un'unica panoramica. Spiego come funziona questo tipo di AI nella pratica nel mio articolo sulla legal AI.

Inserisca le date in una pianificazione

Una fonte di verità è davvero utile solo se Le dice quando deve agire. Tutti i momenti di scadenza citati sopra sono in realtà date: scadenze di revisione, finestre di opposizione per i sub-responsabili, cicli di audit e rivalidazione del meccanismo di trasferimento. Ognuna di queste dovrebbe generare un promemoria al proprietario corretto, con abbastanza anticipo per poter intervenire.

Se vuole vedere questo funzionare su un singolo accordo prima di affrontare l'intero portfolio, lo strumento di promemoria DPA è un buon punto di partenza. Carica un accordo sul trattamento dei dati, l'AI estrae le date di revisione, le finestre per i sub-responsabili e i diritti di audit, e riceve una proposta di calendario promemoria. Su tutto il Suo archivio fornitori, è esattamente questa disciplina, ogni data monitorata e ogni proprietario avvisato in tempo, a mantenere un portfolio conforme invece che semplicemente firmato.

Impostare tutto questo non è un grande progetto. Con il repository contratti, l'estrazione automatica dei dati, i promemoria, la reportistica e l'integrazione con il calendario, la base è pronta rapidamente, e può provarla con calma durante il periodo di prova gratuito. Nel quadro più ampio della conformità AVG, la gestione dei DPA rientra nello stesso approccio: visibilità e azione tempestiva invece di una pila di file firmati.

Come cambia per settore

Non tutti gli archivi fornitori hanno lo stesso aspetto. Un operatore sanitario tratta categorie particolari di dati personali e ha quindi bisogno di accordi più rigorosi e revisioni più strette; ne ho scritto separatamente in gestione dei contratti per operatori sanitari. Un'azienda software in rapida crescita, invece, ha molti più fornitori e quindi molti più sub-responsabili da monitorare. Il metodo resta lo stesso, ma il volume e la sensibilità determinano quanta struttura serva davvero.

In questa valutazione conta anche il lato dei costi. Conviene esaminare in anticipo quanto costa uno strumento rispetto al lavoro manuale che elimina, e ho già offerto una panoramica in gestione dei contratti SaaS e costi.

Da dove iniziare

Se oggi vuole fare una sola cosa, inizi in piccolo: prenda i tre fornitori che trattano i dati più sensibili, trovi il loro accordo sul trattamento dei dati e annoti per ciascuno la data di revisione, la politica sui sub-responsabili e il meccanismo di trasferimento. Scoprirà che per almeno uno di questi non ha una risposta aggiornata, ed è esattamente il motivo per cui questo lavoro vale la pena.

Poi può ampliare il lavoro tramite le soluzioni di Contracko e mappare il resto del Suo portfolio nello stesso modo. Sarò lieto di aiutarLa. Mi scriva pure se si blocca o vuole confrontarsi su come impostare tutto questo per la Sua situazione, leggo e rispondo personalmente a quelle email.

Inizia con Contracko

Elimini le complicazioni della gestione di contratti e abbonamenti. Contracko Le permette di restare organizzato, puntuale e in controllo. Inizi a semplificare oggi stesso.

ennldefresitpt