Ai sensi dell’art. 28 del GDPR, titolare del trattamento (data controller) e responsabile del trattamento (data processor) devono siglare per iscritto – anche in formato elettronico – un contratto di nomina a responsabile del trattamento (o DPA, Data Processing Agreement).
Il significato di DPA è “Data Processing Agreement” e in italiano viene reso come “Contratto di nomina a responsabile del trattamento”. Si tratta di un contratto con cui il titolare del trattamento nomina un responsabile del trattamento per gestire le attività di raccolta e trattamento dei dati personali.
Il DPA è necessario ogni volta che ti trovi a dover delegare una parte delle tue attività di trattamento a un fornitore esterno. Ad esempio, potresti aver bisogno di un servizio di terza parte per gestire dei pagamenti, oppure per effettuare delle spedizioni. Questi fornitori sono definiti responsabili del trattamento dal GDPR e possono trattare i dati personali relativi ai tuoi clienti per conto tuo e non nel loro interesse.
Stando all’articolo 28 del GDPR, è compito del titolare del trattamento stipulare un “contratto di trattamento dei dati” per iscritto (anche in formato elettronico) con il resposabile del trattamento.
Tale accordo ha lo scopo di specificare i diritti e i doveri delle parti nello svolgimento delle attività di trattamento da parte del responsabile. Per esempio, il responsabile deve agire solo su istruzione del titolare del trattamento, adottare misure di sicurezza idonee a garantire la protezione dei dati personali, collaborare con il titolare in caso di richieste degli interessati o indagini da parte di autorità di controllo, ecc.
Trovi maggiori informazioni nell’articolo GDPR e requisiti di conformità offline.
Nell’ottica di aiutare i nostri utenti sul maggior numero di fronti possibile, abbiamo creato e reso disponibile in formato .docx un modello di contratto:
Trattandosi di un template di base, viene fornito così com’è e il suo contenuto viene offerto senza garanzia di completezza o correttezza.
👉 Scopri quali sono le 5 cose da fare subito per adeguarti al GDPR