GDPR: Obblighi del responsabile del trattamento

Se trattate dati personali per conto di un'altra azienda — come fornitore SaaS, agenzia di marketing, consulente IT o cloud provider — siete un responsabile del trattamento (data processor) ai sensi del GDPR. L'articolo 28 definisce i vostri obblighi con precisione chirurgica. Ecco cosa dovete sapere.

Titolare vs Responsabile: chiarezza

| Ruolo | Chi è | Decide cosa | |-------|-------|-------------| | Titolare (controller) | Chi determina finalità e mezzi del trattamento | Perché e come trattare i dati | | Responsabile (processor) | Chi tratta i dati per conto del titolare | Solo come (secondo istruzioni del titolare) | | Sub-responsabile | Fornitore del responsabile che tratta dati | Come, secondo istruzioni a cascata |

Esempi concreti

| Scenario | Titolare | Responsabile | |----------|----------|--------------| | PMI usa software di contabilità cloud | La PMI | Il fornitore SaaS | | Azienda affida email marketing a un'agenzia | L'azienda | L'agenzia | | Ospedale usa cloud per cartelle cliniche | L'ospedale | Il cloud provider | | E-commerce usa gateway di pagamento | L'e-commerce | Il gateway |

I 10 obblighi dell'articolo 28

1. Trattare solo su istruzione documentata del titolare

Il responsabile tratta i dati personali solo sulla base di istruzioni documentate del titolare. Se ricevete dati da un cliente senza un contratto o istruzioni scritte, siete in violazione.

2. Garantire la riservatezza del personale

Tutte le persone autorizzate a trattare i dati devono essersi impegnate alla riservatezza o essere soggette a un obbligo legale di riservatezza.

3. Implementare misure di sicurezza (Art. 32)

Adottare misure tecniche e organizzative adeguate:

• Pseudonimizzazione e cifratura dei dati
• Capacità di assicurare la riservatezza, integrità e disponibilità dei sistemi
• Capacità di ripristinare tempestivamente l'accesso ai dati in caso di incidente
• Processo di test e valutazione regolare delle misure

4. Gestire i sub-responsabili

Per ricorrere a un sub-responsabile dovete:

• Ottenere autorizzazione scritta (generale o specifica) dal titolare
• Informare il titolare di ogni modifica (aggiunta/sostituzione di sub-responsabili)
• Imporre al sub-responsabile gli stessi obblighi contrattuali
• Restare responsabili delle azioni del sub-responsabile

5. Assistere il titolare nei diritti degli interessati

Quando un interessato esercita i propri diritti (accesso, cancellazione, portabilità), dovete assistere il titolare nella risposta con misure tecniche e organizzative adeguate.

6. Assistere nella sicurezza e nelle notifiche

Aiutare il titolare a rispettare gli obblighi di:

• Sicurezza del trattamento (Art. 32)
• Notifica di violazioni al Garante (Art. 33)
• Comunicazione agli interessati (Art. 34)
• Valutazione d'impatto DPIA (Art. 35-36)

7. Cancellare o restituire i dati alla fine del contratto

Al termine della prestazione di servizi, a scelta del titolare:

• Cancellare tutti i dati personali e le copie esistenti
• Restituire tutti i dati al titolare

Salvo obblighi legali di conservazione.

8. Mettere a disposizione tutte le informazioni per dimostrare la conformità

Fornire al titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consentire le verifiche (audit).

9. Informare il titolare se un'istruzione viola il GDPR

Se ritenete che un'istruzione del titolare violi il GDPR o altre norme sulla protezione dei dati, dovete informare immediatamente il titolare.

10. Tenere il registro dei trattamenti (Art. 30.2)

Mantenere un registro di tutte le categorie di trattamenti effettuati per conto dei titolari.

Il contratto di trattamento dei dati (DPA)

Il DPA (Data Processing Agreement) è il contratto obbligatorio tra titolare e responsabile. Deve contenere almeno:

Clausole obbligatorie

ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI
(Art. 28 GDPR)

1. OGGETTO E DURATA
   Descrizione del servizio e durata del trattamento.

2. NATURA E FINALITÀ DEL TRATTAMENTO
   Tipo di operazioni (raccolta, conservazione, consultazione,
   cancellazione) e finalità per cui i dati sono trattati.

3. TIPO DI DATI PERSONALI
   Categorie di dati trattati (anagrafici, contatti, dati
   fiscali, dati sanitari, ecc.).

4. CATEGORIE DI INTERESSATI
   Chi sono le persone i cui dati vengono trattati
   (clienti, dipendenti, utenti, pazienti).

5. OBBLIGHI DEL RESPONSABILE
   [I 10 obblighi dell'Art. 28 dettagliati sopra]

6. SUB-RESPONSABILI
   Lista dei sub-responsabili autorizzati e procedura
   di notifica per modifiche.

7. TRASFERIMENTI INTERNAZIONALI
   Garanzie per trasferimenti extra-UE (SCCs, decisioni
   di adeguatezza, BCR).

8. AUDIT
   Diritto del titolare di effettuare o commissionare
   audit, con modalità e preavviso.

9. VIOLAZIONE DEI DATI
   Obbligo di notifica al titolare entro [24-48] ore
   dalla scoperta di una violazione.

10. FINE DEL CONTRATTO
    Cancellazione o restituzione dei dati, con certificazione.

Errori comuni nei DPA italiani

DPA generico senza dettagli — Un DPA che dice "il responsabile rispetta il GDPR" senza specificare le misure concrete è insufficiente.

DPA unilaterale — Il DPA deve essere firmato da entrambe le parti. Un link in fondo ai termini di servizio non è sufficiente.

Sub-responsabili non elencati — Il DPA deve elencare i sub-responsabili o definire una procedura di autorizzazione. "Il responsabile può utilizzare sub-responsabili" senza altra specificazione viola l'Art. 28.

Nessuna procedura di notifica breach — Il DPA deve definire tempi e modalità di notifica in caso di violazione dei dati.

Responsabilità e sanzioni

Responsabilità civile

Il responsabile è direttamente responsabile dei danni causati dalla propria violazione del GDPR. L'interessato può agire direttamente contro il responsabile (non solo contro il titolare).

Sanzioni del Garante

Il Garante italiano può sanzionare direttamente il responsabile per:

| Violazione | Sanzione massima | |------------|-----------------| | Assenza di DPA | 10M€ / 2% fatturato | | Trattamento oltre le istruzioni | 20M€ / 4% fatturato | | Sub-responsabili non autorizzati | 10M€ / 2% fatturato | | Mancata assistenza al titolare | 10M€ / 2% fatturato | | Violazione sicurezza (Art. 32) | 10M€ / 2% fatturato |

Responsabilità solidale

In caso di danno, titolare e responsabile possono essere chiamati in causa solidalmente. Il responsabile è esonerato solo se dimostra di non essere in alcun modo responsabile dell'evento dannoso.

Checklist per il responsabile del trattamento

• [ ] DPA firmato con ogni titolare per cui trattate dati
• [ ] Registro dei trattamenti (Art. 30.2) compilato e aggiornato
• [ ] Elenco dei sub-responsabili comunicato ai titolari
• [ ] DPA firmato con ogni sub-responsabile
• [ ] Misure di sicurezza documentate e implementate
• [ ] Procedura di notifica breach definita e testata
• [ ] Personale formato e vincolato alla riservatezza
• [ ] Procedura di cancellazione dati a fine contratto
• [ ] Capacità di assistere il titolare per i diritti degli interessati
• [ ] Audit trail disponibile per verifiche

Conclusione

Essere responsabile del trattamento non è un ruolo passivo. Il GDPR vi carica di obblighi specifici e vi espone a sanzioni dirette. Un DPA ben redatto e processi interni solidi vi proteggono tanto quanto proteggono i dati dei vostri clienti.

Scansiona il tuo sito web gratis con WarDek — OWASP, NIS2, GDPR, AI Act in un'unica scansione.