DPA (Data Processing Agreement): Cos'è, Quando Serve e Come Redigerlo
Il DPA (accordo sul trattamento dei dati) è obbligatorio ai sensi dell'Art. 28 GDPR ogni volta che un'azienda affida il trattamento dei dati a un fornitore esterno. Guida pratica a contenuto, clausole essenziali e casi pratici.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato e Full-Stack Developer · Diritto IT & Privacy
Cos'è un DPA e quando è obbligatorio?
Il DPA (Data Processing Agreement) è il contratto obbligatorio previsto dall'Art. 28 del Regolamento (UE) 2016/679 (GDPR) che deve essere stipulato tra il titolare del trattamento (l'azienda che decide perché e come trattare i dati) e il responsabile del trattamento (il fornitore esterno che tratta i dati per conto del titolare). È obbligatorio ogni volta che un fornitore esterno accede o elabora dati personali per conto dell'azienda: cloud provider, CRM, piattaforme email marketing, software HR, commercialisti, agenzie web e molti altri. L'assenza del DPA è una violazione del GDPR sanzionabile dal Garante.
Cos'è il DPA e a cosa serve nel quadro GDPR?
Il DPA (Data Processing Agreement), in italiano accordo sul trattamento dei dati o atto di nomina del responsabile del trattamento, è lo strumento contrattuale con cui un'azienda (titolare del trattamento) regola il rapporto con i propri fornitori che trattano dati personali per suo conto (responsabili del trattamento).
La distinzione fondamentale del GDPR è:
- Titolare del trattamento (Art. 4.7): chi determina le finalità e i mezzi del trattamento (l'azienda cliente)
- Responsabile del trattamento (Art. 4.8): chi tratta i dati per conto del titolare, seguendo le sue istruzioni (il fornitore)
L'Art. 28 GDPR impone che questo rapporto sia sempre regolato da un contratto scritto, il DPA, che specifichi obblighi e diritti precisi del responsabile.
Fonte ufficiale: Art. 28 Regolamento (UE) 2016/679 - EUR-Lex | Linee Guida EDPB 7/2020 sui concetti di titolare e responsabile - edpb.europa.eu
Con quali fornitori è obbligatorio stipulare un DPA?
Il DPA è obbligatorio con qualsiasi fornitore che, nell'erogare il proprio servizio, accede o elabora dati personali per conto dell'azienda cliente. Esempi pratici:
| Categoria | Esempi | DPA Obbligatorio? |
|---|---|---|
| Cloud e infrastruttura | AWS, Google Cloud, Azure, Vercel, OVH | Sì |
| Email e comunicazione | Gmail for Business, Microsoft 365, Mailchimp, Brevo, Resend | Sì |
| CRM e marketing | Salesforce, HubSpot, ActiveCampaign | Sì |
| Gestione HR | Paghe, piattaforme recruiting, rilevazione presenze | Sì |
| Analytics | Google Analytics 4, Hotjar, Mixpanel | Sì |
| Commercialisti e consulenti | Accesso a dati contabili, fiscali, dipendenti | Sì |
| Agenzie web/marketing | Accesso al backend del sito, al CRM, ai dati degli utenti | Sì |
| Fornitori di servizi legali | Avvocato che accede a contratti con dati personali | Dipende (spesso contitolare o autonomo titolare) |
| Spedizionieri/corrieri | Accesso a dati di destinatari per consegna | Sì (per i dati necessari alla spedizione) |
Non è responsabile del trattamento (e quindi non serve il DPA) il fornitore che tratta i dati personali per finalità proprie e autonome: ad esempio, la banca che gestisce il conto corrente aziendale è un titolare autonomo, non un responsabile.
Quali sono le clausole obbligatorie del DPA ai sensi dell'Art. 28.3 GDPR?
L'Art. 28.3 GDPR elenca le 8 clausole minime obbligatorie che ogni DPA deve contenere:
- Istruzione documentata: il responsabile tratta i dati solo su istruzione documentata del titolare — incluso il trasferimento a paesi terzi — salvo obblighi legali
- Riservatezza: le persone autorizzate a trattare i dati si sono impegnate alla riservatezza o sono soggette a obbligo di riservatezza per legge
- Sicurezza (Art. 32): adozione di tutte le misure di sicurezza richieste dall'Art. 32 GDPR
- Sub-responsabili: il responsabile non ricorre ad altro sub-responsabile (sub-processor) senza previa autorizzazione scritta del titolare; se i sub-responsabili cambiano, il titolare deve essere informato
- Diritti degli interessati: assistenza al titolare per rispondere alle richieste di esercizio dei diritti degli interessati (accesso, cancellazione, portabilità, ecc.)
- Assistenza al titolare: supporto al titolare per gli obblighi di sicurezza, data breach, DPIA
- Cancellazione/restituzione dati: al termine della prestazione dei servizi, il responsabile cancella o restituisce tutti i dati e li elimina dalle copie esistenti, salvo obblighi di conservazione
- Dimostrabilità: il responsabile mette a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto del DPA e coopera con audit e ispezioni
Qual è la differenza tra DPA standard e Clausole Contrattuali Standard (SCC)?
| DPA (Art. 28 GDPR) | SCC (Art. 46 GDPR) | |
|---|---|---|
| Quando si usa | Per qualsiasi rapporto titolare-responsabile | Solo per trasferimenti di dati extra-UE a paesi senza decisione di adeguatezza |
| Contenuto | Obblighi del responsabile, istruzioni del titolare | Garanzie per il trasferimento internazionale |
| Adottato da | Commissione UE (moduli SCC 2021) o redatto dalle parti | Commissione UE — testo standard non modificabile |
| Cumulabilità | - | Le SCC possono essere allegate al DPA come Allegato |
Per i fornitori con sede extra-UE (es. AWS negli USA), il DPA e le SCC sono entrambi necessari: il DPA regola il rapporto titolare-responsabile; le SCC garantiscono il trasferimento dei dati fuori dall'UE.
Come si redige un DPA: struttura raccomandata
Un DPA ben redatto include tipicamente:
1. Intestazione e definizioni
- Identificazione del titolare e del responsabile
- Definizioni coerenti con il GDPR (dato personale, trattamento, interessato, data breach)
2. Oggetto e durata
- Descrizione del servizio principale regolato dal contratto commerciale
- Durata del DPA (collegata alla durata del contratto principale)
3. Natura, finalità e oggetto del trattamento
- Tipologie di dati trattati
- Categorie di interessati
- Finalità del trattamento (solo quelle necessarie per l'erogazione del servizio)
- Durata del trattamento
4. Obblighi del responsabile (Art. 28.3)
- Tutte le 8 clausole obbligatorie sopra descritte
5. Sub-responsabili
- Lista dei sub-responsabili autorizzati (allegato)
- Procedura per autorizzare nuovi sub-responsabili
- Responsabilità del responsabile per i propri sub-responsabili
6. Trasferimenti internazionali
- Gestione dei trasferimenti extra-UE (SCC, garanzie adeguate)
7. Misure di sicurezza (Art. 32)
- Misure tecniche e organizzative adottate (cifratura, pseudonimizzazione, accesso limitato, backup)
8. Data breach
- Obbligo del responsabile di notificare al titolare entro 48-72 ore dalla scoperta
9. Audit e ispezioni
- Diritto del titolare di effettuare audit o di richiedere certificazioni
10. Cancellazione dei dati a fine contratto
Molti fornitori SaaS hanno già un DPA standard: è sufficiente?
La maggior parte dei grandi provider SaaS (Google, Microsoft, Salesforce, Mailchimp, Vercel, Supabase, ecc.) mette a disposizione dei propri clienti un DPA standard, spesso accettabile online ("click-wrap DPA") o allegato ai termini di servizio.
Questi DPA sono generalmente accettabili, ma vanno verificati su:
- Completezza rispetto alle 8 clausole dell'Art. 28.3
- Lista e localizzazione dei sub-responsabili
- Gestione dei trasferimenti extra-UE (SCC aggiornate al 2021)
- Meccanismo di notifica data breach (tempi e modalità)
- Diritti di audit (accesso effettivo vs. solo a documentazione)
Per fornitori minori o per contratti personalizzati, il DPA deve essere redatto ex novo o riadattato, tenendo conto delle specificità del servizio.
Cosa rischia un'azienda che non ha i DPA con i propri fornitori?
L'assenza del DPA con i responsabili del trattamento è una violazione diretta dell'Art. 28 GDPR, sanzionata ai sensi dell'Art. 83.4 con sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale annuo.
Nella pratica del Garante italiano:
- Il Garante verifica la presenza dei DPA durante le ispezioni
- I data breach spesso rivelano l'assenza di DPA (il Garante sanziona sia la violazione di sicurezza sia l'assenza del contratto)
- La due diligence degli investitori (soprattutto per startup in fase di investimento) include verifica dei DPA con i principali fornitori
Oltre al rischio sanzionatorio, l'assenza del DPA:
- Rende incerta la responsabilità in caso di data breach del fornitore
- Impedisce al titolare di dimostrare di aver adottato misure adeguate (accountability)
- Può compromettere rapporti commerciali con clienti che richiedono conformità GDPR documentata
Domande Frequenti sul DPA (Art. 28 GDPR)
Devo stipulare un DPA anche con il mio commercialista? Sì, se il commercialista ha accesso a dati personali per conto dell'azienda (es. dati dei dipendenti per l'elaborazione buste paga, dati dei clienti per la contabilità). In molti casi i commercialisti sono responsabili del trattamento e il DPA è obbligatorio.
Il fornitore può rifiutarsi di firmare un DPA? Un fornitore che rifiuta di sottoscrivere un DPA non può essere utilizzato per trattamenti di dati personali: l'azienda non può legittimamente affidargli dati senza la base contrattuale richiesta dall'Art. 28. In pratica, i grandi provider hanno già DPA predisposti; per i fornitori più piccoli, la resistenza al DPA è un segnale di scarsa cultura della privacy.
Il DPA deve essere firmato da entrambe le parti? Sì, il DPA deve essere stipulato per iscritto (incluso il formato elettronico) da entrambe le parti. I DPA accettati online con un click possono essere validi se il meccanismo di accettazione è documentato.
Ogni volta che cambia un sub-responsabile devo aggiornare il DPA? Non necessariamente il testo del DPA, ma il titolare deve essere informato e avere la possibilità di opporsi. La prassi comune è avere nel DPA un allegato "lista sub-responsabili" aggiornabile con notifica preventiva (es. 30 giorni) al titolare, che ha diritto di opporsi.
Il DPA scade alla fine del contratto commerciale? Il DPA è collegato alla durata del contratto commerciale. Alla fine del contratto, il responsabile è obbligato a cancellare o restituire i dati (salvo obblighi legali di conservazione). Non è necessario rinnovarlo separatamente se il contratto commerciale viene rinnovato.
Hai i DPA con tutti i tuoi fornitori? Stai ricevendo richieste di DPA dai tuoi clienti?
L'Avv. Antonino Ingoglia, con background da full-stack developer, analizza la tua catena di fornitori, verifica i DPA esistenti (inclusi quelli standard dei provider SaaS), redige i DPA mancanti e predispone la tua sub-processor list. Una mappatura completa ti protegge in caso di ispezione e rafforza la fiducia dei tuoi clienti.
Richiedi una verifica dei tuoi DPAInformazione legale generale ai sensi dell'Art. 13 GDPR — non costituisce consulenza legale personalizzata. Per la redazione di DPA specifici è necessario l'intervento di un professionista abilitato che valuti il caso concreto. Ultimo aggiornamento: aprile 2026.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze tecniche →