Come creare un DPA: clausole, modelli e cosa includere

Prima o poi, il momento arriva. Occorre emettere un Accordo sul Trattamento dei Dati a un partner, oppure un fornitore ne fa scivolare uno sul tavolo e attende la Sua firma. Ho vissuto entrambe le parti di quello scambio, e il lavoro si riduce ogni volta alla stessa cosa: sapere cosa deve contenere un buon DPA e riconoscere dove tendono a nascondersi i punti deboli.

Un DPA non è una formalità che si firma per spuntare una casella nel modulo di approvvigionamento. E' il documento che definisce come qualcun altro gestisce i dati personali dei Suoi clienti e dipendenti, cosa promette riguardo alla loro sicurezza e quale tutela ha in caso di problemi. Farlo bene significa essere protetti in silenzio per anni. Farlo male significa scoprirlo nel momento peggiore.

Questa guida illustra l'anatomia di un DPA solido, sezione per sezione, e fornisce poi una checklist da eseguire prima di firmarlo o inviarlo.

Si tratta di una guida pratica, non di consulenza legale. Faccia revisionare qualsiasi accordo da un professionista qualificato prima di farvi affidamento.

Al termine di questa guida, Lei sarà in grado di:

• Comprendere ogni sezione che un DPA ai sensi dell'articolo 28 del GDPR dovrebbe contenere
• Sapere quando entrano in gioco le Clausole Contrattuali Standard
• Individuare i segnali d'allarme nel modello "standard" di un fornitore
• Disporre di una checklist pre-firma da utilizzare immediatamente

L'anatomia di un DPA

Un DPA costruito secondo l'articolo 28 del GDPR copre generalmente i seguenti aspetti. Trovo utile leggere qualsiasi accordo confrontandolo con questo elenco, perché le lacune dicono tanto quanto il testo.

Ambito e ruoli

Chi è il titolare del trattamento e chi è il responsabile del trattamento, oltre all'oggetto e alla durata del trattamento, nonché la sua natura e finalità. Può sembrare elementare, eppure ho visto accordi in cui i ruoli erano confusi o semplicemente dati per scontati. Sbagliare questo punto significa che il resto del documento poggia su basi fragili.

Categorie di dati e interessati

Quali tipi di dati personali vengono trattati e di chi: clienti, dipendenti, utenti finali. La specificità qui protegge tutti, perché delimita ciò che il responsabile del trattamento è effettivamente autorizzato a gestire.

Trattamento su istruzione

Il responsabile del trattamento agisce solo sulla base delle istruzioni documentate del titolare del trattamento, e non di propria iniziativa. E' questa la clausola che impedisce il reimpiego silenzioso dei Suoi dati.

Misure di sicurezza

Le misure tecniche e organizzative richieste: crittografia, controlli degli accessi, resilienza, test regolari. La parola da tenere d'occhio è "adeguato" usato da solo. Misure adeguate senza dettagli è una promessa di decidere in seguito, che in pratica spesso significa una promessa di fare poco. Le buone clausole sulla sicurezza sono specifiche e dovrebbero corrispondere al tipo di protezioni che ci si aspetterebbe da qualsiasi piattaforma seria -- l'hosting nell'UE, la crittografia e il controllo degli accessi basato sui ruoli che sono alla base del nostro approccio alla sicurezza.

Riservatezza

Chiunque abbia accesso ai dati e' tenuto a mantenerli riservati. Clausola breve, conseguenze reali.

Responsabili del trattamento secondari

Se i responsabili del trattamento secondari siano consentiti, il requisito di trasferire termini equivalenti a loro e il diritto di essere informati delle modifiche e di opporsi. I dati personali raramente rimangono presso una sola azienda. Si spostano lungo una catena, e questa clausola e' il modo per mantenere la visibilità sulla catena.

Assistenza

Il responsabile del trattamento La aiuta a rispondere alle richieste di esercizio dei diritti degli interessati e ad adempiere ai propri obblighi in materia di sicurezza, violazioni e valutazioni d'impatto. Quando un cliente esercita il proprio diritto alla cancellazione, sarà lieto che sia scritto.

Notifica delle violazioni

Un termine chiaro e breve entro cui il responsabile del trattamento deve informarla di una violazione dei dati personali. "Senza ingiustificato ritardo" e' lo standard desiderato. Qualsiasi termine misurato in settimane è un problema di cui dovrà farsi carico.

Trasferimenti internazionali

Un meccanismo di trasferimento valido, come le Clausole Contrattuali Standard, ogni volta che i dati lasciano il SEE, insieme alle relative valutazioni. Su questo si tornerà più avanti, perché è l'elemento più spesso mancante.

Cancellazione o restituzione

Cosa accade ai dati al termine del rapporto: cancellazione o restituzione, a Sua scelta, con certificazione su richiesta. La conservazione a tempo indeterminato è uno dei rischi più silenziosi in un DPA debole.

Audit

Il Suo diritto di verificare che il responsabile del trattamento stia effettivamente facendo ciò che ha concordato. Diritti di audit reali, non un gesto di cortesia.

Clausole Contrattuali Standard: quando sono necessarie

Se i dati personali vengono trattati al di fuori del SEE, o da un responsabile del trattamento secondario che lo fa, il DPA di solito deve incorporare le CCS e fare riferimento a una valutazione d'impatto del trasferimento. Questo è uno degli elementi mancanti che riscontro più frequentemente.

L'insidia è sottile. Il DPA "standard" di un fornitore spesso presuppone un trattamento esclusivamente nell'UE perché era così quando il modello è stato redatto per la prima volta, o perché era semplicemente più facile redigerlo in quel modo. Poi il fornitore aggiunge uno strumento di supporto con sede negli Stati Uniti o un responsabile del trattamento secondario per l'analisi, e la realtà non corrisponde più alla documentazione. Nessuno aggiorna il DPA, perché nessuno lo sta guardando. Il trasferimento avviene comunque, senza copertura.

Pertanto, quando si revisiona un DPA, non ci si limiti a verificare se le CCS sono citate. Si verifichi se i flussi di dati descritti nel contratto corrispondono effettivamente al luogo in cui avviene il trattamento. La discrepanza è dove risiede l'esposizione.

Segnali d'allarme nell'accettare il DPA di un fornitore

Quando il DPA di un fornitore Le viene sottoposto, questi sono i segnali di avvertimento che controllo per primi:

• Finestre di notifica della violazione misurate in settimane anziché "senza ingiustificato ritardo"
• Diritti ampi per i responsabili del trattamento secondari senza meccanismo di preavviso o opposizione
• Linguaggio sulla sicurezza vago senza misure specifiche indicate
• Termini di cancellazione che consentono al responsabile del trattamento di conservare i dati a tempo indeterminato
• Nessun meccanismo di trasferimento, nonostante un trattamento che chiaramente lascia il SEE

Ognuno di questi punti merita una conversazione prima della firma. Due o più, e ci si trova di fronte a un modello redatto per proteggere il fornitore, non Lei.

Una checklist pre-firma

Prima di firmare, o prima di inviare, si esegua questa verifica. Ne conservo una versione a portata di mano ogni volta che un DPA passa sulla mia scrivania.

Verifica	Confermare che
Ruoli	Titolare e responsabile del trattamento siano correttamente identificati
Sicurezza	Le misure siano specifiche, andando oltre l'"adeguato"
Responsabili secondari	Esistano diritti di preavviso e opposizione
Violazioni	La notifica sia tempestiva ("senza ingiustificato ritardo")
Trasferimenti	Sia in vigore un meccanismo valido se i dati lasciano il SEE
Cancellazione	I termini di fine rapporto siano chiari
Audit	I diritti di verifica siano reali, non decorativi

Se si negoziano regolarmente questi termini nell'ambito degli acquisti o di una gestione più ampia dei contratti con i fornitori, conviene standardizzare questa checklist in modo che ogni accordo riceva lo stesso livello di controllo, anziché dipendere da chi si e' trovato a revisionarlo.

Il DPA non termina alla firma

Ecco la parte che viene dimenticata. Una volta firmato, un DPA diventa un obbligo continuativo, non un'attività chiusa. L'elenco dei responsabili del trattamento secondari cambia. Arriva la revisione annuale. Uno sviluppo normativo significa che le CCS devono essere rivalutate. Nulla di tutto questo si annuncia da solo.

Mantenere il DPA accanto al contratto con il fornitore, con le date di revisione, i termini dei responsabili del trattamento secondari e gli obblighi di trasferimento monitorati, è esattamente per questo che esiste la gestione degli accordi sul trattamento dei dati. Significa che l'accordo negoziato con tanta cura non si deteriora silenziosamente in una cartella. Un repository contrattuale mantiene il documento reperibile, e i promemoria automatici di scadenza e rinnovo garantiscono che le date di revisione emergano effettivamente anziché passare inosservate. Se vuole vedere come funziona senza impegnarsi in nulla, il nostro promemoria gratuito per l'accordo sul trattamento dei dati ne configura uno in un paio di minuti.

Revisionarlo più velocemente

Se sta guardando il DPA di un fornitore proprio ora e vuole una valutazione rapida sulla sua solidità, il nostro analizzatore gratuito di accordi di condivisione dei dati estrae i termini sull'uso consentito, la sicurezza, la conservazione, la notifica delle violazioni e i trasferimenti, e segnala dove sembrano insufficienti. È un utile primo esame prima di una revisione legale dettagliata -- il tipo di strumento che in un minuto dice se si sta guardando un accordo curato o un problema in attesa di manifestarsi. Se vuole avere un quadro più ampio di come l'intelligenza artificiale sta cambiando questo tipo di lavoro, il nostro articolo sull'AI legale è una lettura complementare utile.

Redigere e revisionare i DPA è un lavoro davvero soddisfacente una volta che si ha un'idea chiara di come deve essere un buon accordo, e sono sempre felice di aiutare qualcuno a raggiungerla. Non esiti a contattarmi in caso di domande. Leggo ogni messaggio personalmente e rispondo di persona.