# Cos'e un accordo sul trattamento dei dati (DPA)?

Source: https://contracko.com/it/blog/what-is-a-data-processing-agreement

[Blog](https://contracko.com/it/blog)

[Cos'e un accordo sul trattamento dei dati (DPA)?](https://contracko.com/it/blog/what-is-a-data-processing-agreement)

# Cos'e un accordo sul trattamento dei dati (DPA)?

Budi Voogt 19 mag 2026

Copia per LLM

Le sara capitato: arriva un nuovo strumento, il team lo apprezza, e da qualche parte nel processo di registrazione c'e una casella da spuntare per accettare i termini del trattamento dei dati. La spunta, come ovviamente si fa, e va avanti. Mesi dopo qualcuno nel team legale chiede "il DPA con quel fornitore" e nessuno e del tutto sicuro di cosa sia stato concordato ne di dove si trovi. L'ho visto accadere in aziende di ogni dimensione, e quasi mai e negligenza. E che i DPA sono tra i documenti piu firmati e meno letti in qualsiasi azienda.

Questa guida e qui per rimediare. Spieghero che cos'e effettivamente un accordo sul trattamento dei dati, quando il GDPR ne richiede uno e quali clausole hanno il peso maggiore, cosi la prossima volta che Le viene chiesto di un DPA potra rispondere con sicurezza anziche con una sensazione di disagio.

> Questa e una guida pratica, non una consulenza legale. Per la Sua situazione specifica, si rivolga a un professionista qualificato in materia di protezione dei dati.

Al termine di questa guida, sara in grado di:

- Capire cos'e un DPA e i ruoli di titolare e responsabile del trattamento che formalizza
- Sapere quando il GDPR La obbliga ad averne uno in vigore
- Riconoscere le clausole piu importanti quando lo legge o lo negozia
- Individuare i due errori che vedo fare ripetutamente alle aziende
- Avere un primo passo concreto per qualsiasi DPA che si trova sulla Sua scrivania in questo momento

## Che cos'e effettivamente un DPA

Un accordo sul trattamento dei dati (DPA), talvolta chiamato addendum sul trattamento dei dati, e un contratto tra un titolare del trattamento e un responsabile del trattamento. Il titolare e Lei, l'azienda che decide perche e come vengono trattati i dati personali. Il responsabile e il fornitore che gestisce quei dati su Sua istruzione. Il DPA stabilisce le regole tra di voi: cosa il fornitore puo fare con i dati, come deve proteggerli e cosa succede quando qualcosa va storto o il rapporto si conclude.

Il modo piu semplice per immaginarlo e come un insieme di protezioni. Sta consegnando dati personali (dei Suoi clienti, dipendenti, fornitori) a qualcun altro perche svolga un lavoro per Lei. Il DPA e la promessa scritta che lo fara solo per quello scopo, solo nei modi concordati, e che restituira i dati o li distruggera al termine del lavoro.

Ai sensi del GDPR, questo non e un optional. L'articolo 28 richiede un contratto scritto ogni volta che un responsabile tratta dati personali per conto di un titolare. Senza di esso, entrambe le parti sono esposte: il titolare per non aver vincolato correttamente il proprio responsabile, e il responsabile per aver trattato dati senza un'istruzione lecita. Quindi il DPA protegge tutti, il che spiega in parte perche le autorita di vigilanza prendono molto sul serio la sua assenza.

### Titolare o responsabile: perche i ruoli contano

L'intero accordo dipende da chi decide cosa succede ai dati. Se il Suo fornitore agisce solo su Sua istruzione, e un responsabile del trattamento e Lei ha bisogno di un DPA. Se il fornitore decide, per propri scopi, cosa fare con i dati, allora e a sua volta un titolare del trattamento e il rapporto e disciplinato in modo diverso. Chiarire questa distinzione fin dall'inizio evita molta confusione in seguito, perche determina quali obblighi spettano a chi.

In pratica, la maggior parte dei rapporti "il fornitore fa qualcosa con i nostri dati per consentirci di gestire l'azienda" sono rapporti titolare-responsabile, e questo e il contesto in cui il DPA svolge il suo lavoro. Se gestisce la conformita in un sistema di fornitori, le nostre note per il [caso d'uso del responsabile della conformita](https://contracko.com/usecases/compliance-officer) illustrano come questi ruoli si manifestano quotidianamente.

## Quando e necessario

E necessario un DPA ogni volta che un'altra organizzazione tratta dati personali per Suo conto. Le situazioni tipiche sono piu facili da riconoscere delle definizioni legali, quindi ecco dove si presentano di solito:

- Strumenti SaaS che archiviano dati di clienti o dipendenti, come il CRM, il sistema di assistenza, il sistema HR o la piattaforma di analisi
- Fornitori di infrastrutture cloud e hosting
- Servizi di pagamento, gestione delle buste paga e contabilita
- Piattaforme di marketing e servizi di posta elettronica
- Qualsiasi collaboratore o agenzia che gestisce i dati personali dei Suoi clienti o dipendenti

Lo schema e semplice una volta compreso. Se un fornitore accede a dati personali per Suo conto, quasi certamente Le serve un DPA con lui. Considerando quanti strumenti un team moderno utilizza, il numero cresce rapidamente, il che e uno dei motivi per cui gli obblighi relativi ai DPA si espandono in un'azienda prima che qualcuno se ne accorga. Se gestisce specificamente fornitori di software, l'approccio alla [gestione dei contratti SaaS](https://contracko.com/usecases/saas-contract-management) si abbina naturalmente alla gestione ordinata dei DPA.

## Le clausole che contano

Un DPA puo essere molto lungo, e la maggior parte delle pagine e costituita da formulari standard che cambiano raramente. Una manciata di disposizioni, tuttavia, porta la maggior parte del peso, e queste sono quelle che leggo per prime ogni volta che mi trovo di fronte a un DPA.

| Clausola | Cosa disciplina | Perche e importante |
| --- | --- | --- |
| Oggetto e durata | Cosa viene trattato, perche, per quanto tempo e quali categorie di dati e di interessati sono coinvolti | Definisce il perimetro di tutto il resto; se e vaga, il resto e difficile da applicare |
| Trattamento su istruzioni documentate | Il responsabile agisce su Sua istruzione, non di propria iniziativa | Mantiene il fornitore entro i limiti che ha fissato |
| Misure di sicurezza | Misure tecniche e organizzative adeguate, come cifratura e controllo degli accessi | E qui che le violazioni vengono prevenute o facilitate |
| Riservatezza | Chiunque abbia accesso e vincolato a mantenere riservati i dati | Estende la Sua protezione fino ai singoli dipendenti |
| Sub-responsabili | Se e come il fornitore coinvolge propri sub-responsabili, e il Suo diritto di essere informato e di opporsi | Nuove parti possono unirsi silenziosamente alla catena che gestisce i Suoi dati |
| Assistenza | Il responsabile L'aiuta a rispondere alle richieste degli interessati e ad adempiere ai Suoi obblighi | Rimane in grado di soddisfare le richieste di esercizio dei diritti nei tempi previsti |
| Notifica delle violazioni | Il responsabile La informa, senza ingiustificato ritardo, quando si verifica una violazione | Il Suo orologio per la segnalazione dipende spesso dal loro |
| Cancellazione o restituzione | Al termine del contratto, i dati vengono cancellati o restituiti su Sua istruzione | Evita che i dati rimangano in un luogo che non controlla piu |
| Audit | Puo verificare la conformita tramite audit, ispezioni o prove | Trasforma le promesse precedenti in qualcosa che puo verificare |
| Trasferimenti internazionali | Se i dati lasciano lo SEE, e in vigore un meccanismo di trasferimento valido | Un meccanismo mancante o obsoleto rende il trasferimento illecito |

Se non legge nient'altro, legga attentamente le clausole su sicurezza, sub-responsabili, notifica delle violazioni e trasferimenti internazionali. Nella mia esperienza, questi quattro sono i punti in cui i modelli dei fornitori differiscono di piu, e dove una debolezza nascosta puo costarLe cara in seguito. Quando porta un DPA in uno strumento come l'[analisi contrattuale basata sull'intelligenza artificiale](https://contracko.com/features/ai-contract-analysis), queste sono esattamente le disposizioni che vale la pena evidenziare per prime.

### Una nota sui trasferimenti internazionali

Tra tutte le clausole, questa e la meno stabile. La base giuridica per il trasferimento dei dati personali oltre i confini e cambiata piu volte negli ultimi anni, e un DPA che ha ancorato la conformita a un meccanismo specifico puo diventare obsoleto senza che nessuno modifichi una parola. Se il Suo fornitore tratta dati al di fuori dello SEE, verifichi che il meccanismo di trasferimento su cui si basa (spesso le Clausole Contrattuali Tipo) copra ancora i Suoi flussi di dati effettivi. Tenerlo sotto controllo fa parte dell'igiene piu ampia del [software per la conformita al GDPR](https://contracko.com/solutions/gdpr-compliance-software), non di una verifica una tantum.

## Errori comuni

Due errori si ripetono molto piu frequentemente degli altri, ed entrambi sono del tutto comprensibili sul momento.

Il primo e firmare il DPA del fornitore senza leggerlo. Il modello arriva, sembra standard e sotto la pressione delle scadenze viene approvato. Il problema e che i modelli "standard" favoriscono silenziosamente la parte che li ha redatti, per cui si potrebbe finire ad accettare termini di sicurezza deboli, ampi diritti dei sub-responsabili o una finestra di notifica delle violazioni misurata in settimane anziche in giorni. Pochi minuti di lettura evitano molti rimpianti.

Il secondo e firmare una volta e dimenticare. Un DPA e un obbligo vivo, non una firma una tantum. I sub-responsabili cambiano, le regole sui trasferimenti si modificano, le revisioni annuali scadono, e niente di tutto questo Le manda un promemoria. L'accordo si deteriora silenziosamente mentre tutti pensano che vada bene. Questo e strettamente correlato ai piu ampi [rischi nella gestione dei contratti](https://contracko.com/blog/risks-in-contract-management) che emergono ogni volta che gli obblighi sopravvivono all'attenzione loro dedicata.

Archiviare ogni DPA accanto al contratto con il fornitore a cui appartiene, tracciando le date di revisione e i termini dei sub-responsabili, e cio che trasforma un PDF archiviato in conformita effettiva. E esattamente quello per cui e costruita la [gestione degli accordi sul trattamento dei dati](https://contracko.com/solutions/data-processing-agreement-management) in Contracko, che si basa su un [repository contrattuale](https://contracko.com/features/contract-repository) in modo che il DPA e l'accordo che disciplina non si separino mai.

## Un primo passo rapido

Se ha un DPA davanti a Lei in questo momento, il modo piu veloce per comprenderlo e analizzarlo con un [analizzatore di accordi sulla condivisione dei dati](https://contracko.com/tools/data-sharing-agreement-review). In pochi secondi evidenzia i termini d'uso consentiti, gli obblighi di sicurezza, i periodi di conservazione, le finestre di notifica delle violazioni e le disposizioni rilevanti ai sensi del GDPR, cosi sa cosa sta firmando prima di farlo. E gratuito, e Le offre una lettura chiara delle clausole che ho evidenziato sopra senza dover scorrere ogni pagina da solo.

Da li, il passo successivo naturale e mantenere aggiornata quella comprensione anziche lasciarla sfumare. Trovo che il modo piu sereno per farlo sia dare a ogni DPA una collocazione, estrarne le date chiave e lasciare che il sistema La avvisi quando qualcosa richiede attenzione. Questa e la differenza tra un DPA che La protegge e uno che si limita a stare in una cartella.

Contracko e una piattaforma ospitata nell'UE, i Suoi dati rimangono cifrati con accesso basato sui ruoli, e i fornitori di intelligenza artificiale che utilizziamo non si addestrano sui Suoi contratti, quindi leggere e archiviare accordi sensibili non crea una nuova esposizione. Se desidera vedere come si adatta al Suo sistema, la [panoramica completa delle soluzioni](https://contracko.com/solutions) e un buon punto di partenza, e c'e una prova gratuita ogni volta che e pronto.

Non esiti a contattarci in caso di domande. Leggo personalmente ogni e-mail e sono sempre lieto di aiutarLa a comprendere un DPA complicato.

## Inizia con Contracko

Elimini le complicazioni della gestione di contratti e abbonamenti. Contracko Le permette di restare organizzato, puntuale e in controllo. Inizi a semplificare oggi stesso.

[Inizia la prova gratuita di 7 giorni](https://app.contracko.com/register)

Prenota una demo