La maggior parte delle organizzazioni affida dati personali a fornitori e soggetti esterni: consulenti del lavoro, società IT, agenzie di marketing o di servizi in cloud. Secondo il GDPR, il Titolare del trattamento è responsabile anche dell’operato di questi soggetti.
L’obbligo della nomina (Art. 28 GDPR)
L’Articolo 28 del Regolamento UE 2016/679 stabilisce che, qualora un trattamento debba essere effettuato per conto del Titolare, quest’ultimo deve ricorrere unicamente a responsabili che presentino garanzie sufficienti.
Il rapporto tra Titolare e Responsabile deve essere necessariamente disciplinato da un contratto o altro atto giuridico: il DPA (Data Processing Agreement).
Cos’è il DPA e perché è indispensabile?
Il Data Processing Agreement è l’accordo legale che vincola il responsabile del trattamento al titolare. Questo documento non è una semplice formalità, ma deve definire con precisione:
- oggetto e durata del trattamento;
- natura e finalità del servizio prestato;
- tipo di dati personali e categorie di interessati;
- obblighi e diritti del titolare del trattamento.
Senza una nomina regolare e un DPA sottoscritto, il trasferimento di dati verso un fornitore esterno è considerato un’illecita comunicazione di dati, esponendo l’azienda a pesanti sanzioni amministrative.
Il supporto operativo di MODI®
La nostra società di consulenza aiuta la tua azienda a mappare i fornitori e a regolarizzare i rapporti esterni attraverso:
- censimento dei Fornitori: Identificazione dei soggetti esterni che agiscono come Responsabili (Art. 28);
- Audit dei Responsabili: Verifica delle garanzie di sicurezza fornite dai terzi per assicurare che siano conformi agli standard richiesti;
- redazione DPA su misura: Predisposizione di accordi contrattuali solidi che tutelino il Titolare in caso di data breach o ispezioni;
- gestione della Catena di Trattamento: Supporto nella gestione dei sub-responsabili e delle autorizzazioni necessarie.
