Aggiornato: maggio 2026

Ogni organizzazione che affida a un fornitore il trattamento di dati personali — anche in modo accessorio, come un software HR in cloud o un sistema CRM — ha l'obbligo di stipulare un Data Processing Agreement (DPA) ai sensi dell'Art. 28 del GDPR. Non farlo non è solo una lacuna contrattuale: è una violazione sanzionabile, e la responsabilità per i danni rimane in capo al titolare del trattamento.

Punti chiave

  • Il DPA è obbligatorio per ogni fornitore che tratta dati personali per conto del titolare — cloud, HR SaaS, marketing automation, analisi dati e molti altri
  • Secondo l' EDPB (2023), le violazioni dell'Art. 28 GDPR sono tra le più sanzionate in Europa: oltre il 30% dei procedimenti include contestazioni relative ai DPA
  • Il DPA deve coprire anche i sub-responsabili (sub-processor) con cui il fornitore condivide i dati
  • La due diligence GDPR sui fornitori non è un evento una tantum: va ripetuta a ogni rinnovo e a ogni cambio rilevante del servizio

Cos'è un DPA e quando è obbligatorio

Un Data Processing Agreement (DPA) — o accordo sul trattamento dei dati — è il contratto previsto dall'Art. 28 del Regolamento UE 2016/679 (GDPR) che deve essere stipulato tra il titolare del trattamento (l'organizzazione che determina finalità e mezzi del trattamento) e il responsabile del trattamento (il fornitore che tratta i dati per conto del titolare). Il DPA vincola il fornitore a trattare i dati esclusivamente secondo le istruzioni del titolare e a garantire misure di sicurezza adeguate.

Il DPA è obbligatorio ogni volta che un fornitore tratta dati personali per conto del titolare. Esempi comuni: provider cloud che ospitano applicazioni con dati di utenti o dipendenti, software HR, CRM, piattaforme di marketing automation, fornitori di servizi di analisi e tracciamento, outsourcer di assistenza clienti, società di elaborazione paghe.

Il DPA non è richiesto quando il fornitore tratta i dati come titolare autonomo per le proprie finalità — come una banca che gestisce il conto corrente aziendale o un operatore telefonico per i servizi di connettività.

I fornitori come responsabili del trattamento

La distinzione tra titolare, responsabile e sub-responsabile è fondamentale per capire chi deve fare cosa — e chi risponde di cosa — nel rapporto con i fornitori.

RuoloChi èResponsabilità principaleEsempi
TitolareDetermina finalità e mezzi del trattamentoConformità GDPR; obblighi verso gli interessatiL'azienda cliente
ResponsabileTratta i dati per conto del titolareSeguire le istruzioni del titolare; sicurezza; DPACloud provider, HR SaaS, CRM
Sub-responsabileTratta i dati per conto del responsabileStessi obblighi del responsabile (catena contrattuale)Data center del cloud provider, sub-processor SaaS

Il punto critico: in caso di inadempimento del responsabile, il titolare rimane responsabile verso gli interessati. Il DPA è lo strumento contrattuale che consente di rivalersi sul fornitore — ma non protegge il titolare dalle sanzioni del Garante.

Cosa deve contenere un DPA

L'Art. 28(3) GDPR definisce il contenuto minimo obbligatorio di un DPA. Un accordo che manca anche solo di uno di questi elementi è incompleto e potenzialmente non conforme.

  1. Oggetto, durata e natura del trattamento. Descrizione precisa dei dati trattati, delle categorie di interessati, delle finalità e della durata del trattamento.
  2. Obbligo di elaborare solo su istruzione documentata. Il responsabile non può trattare i dati per finalità proprie o diverse da quelle concordate.
  3. Obblighi di riservatezza del personale. Il personale autorizzato al trattamento deve essere vincolato da obblighi di riservatezza contrattuali o legali.
  4. Misure di sicurezza adeguate (Art. 32). Il responsabile deve implementare misure tecniche e organizzative proporzionate al rischio: crittografia, pseudonimizzazione, procedure di backup e ripristino.
  5. Regole per il sub-appalto. Condizioni per il coinvolgimento di sub-responsabili: autorizzazione del titolare, notifica preventiva, imposizione degli stessi obblighi.
  6. Cooperazione per i diritti degli interessati. Il responsabile deve assistere il titolare nel rispondere alle richieste di accesso, rettifica, cancellazione e portabilità.
  7. Cancellazione o restituzione dei dati. A fine contratto, i dati devono essere cancellati o restituiti al titolare, a scelta di quest'ultimo.
  8. Diritto di audit. Il titolare ha il diritto di effettuare audit o ispezioni per verificare la conformità del responsabile agli obblighi del DPA.

I sub-responsabili del trattamento

Quando un fornitore si avvale di ulteriori fornitori per erogare il servizio (es. un SaaS che usa AWS come infrastruttura), nasce la catena dei sub-responsabili. La gestione di questa catena è uno dei punti più critici della conformità GDPR in ambito vendor management.

Il responsabile del trattamento può coinvolgere sub-responsabili solo con autorizzazione preventiva del titolare, che può essere specifica (ogni sub-processore deve essere approvato singolarmente) o generale (il responsabile può usare sub-processori ma deve notificare ogni modifica al titolare con tempo sufficiente per opporsi).

Il responsabile è tenuto a imporre ai sub-responsabili gli stessi obblighi di protezione dei dati del DPA principale. Se il sub-responsabile non adempie, il responsabile rimane pienamente responsabile nei confronti del titolare. Questa catena di responsabilità deve essere documentata e verificata periodicamente.

In pratica: quando valuti un fornitore cloud o SaaS, chiedi sempre la lista aggiornata dei sub-processor e verifica che i loro DPA siano inclusi o referenziati nell'accordo principale.

Due diligence GDPR sui fornitori: 6 passi

La due diligence GDPR sui fornitori non si esaurisce con la firma del DPA. È un processo continuativo che accompagna l'intero ciclo di vita della relazione.

  1. Mappatura dei fornitori che trattano dati personali. Censire tutti i fornitori con accesso a dati personali — dipendenti, clienti, prospect. Includere SaaS, cloud provider, outsourcer, agenzie di marketing, fornitori di analisi.
  2. Classificazione del trattamento. Per ogni fornitore, identificare: tipo di dati trattati, categorie di interessati, eventuali dati particolari (Art. 9), trasferimenti extra-UE, presenza di sub-processor.
  3. Verifica o redazione del DPA. Verificare che esista un DPA firmato conforme all'Art. 28(3). Se il fornitore propone il proprio DPA, verificare che contenga tutti gli elementi obbligatori e non limitino i diritti del titolare.
  4. Verifica delle misure di sicurezza. Richiedere documentazione sulle misure tecniche e organizzative adottate (certificazioni ISO 27001, audit di sicurezza, policy di gestione degli incidenti).
  5. Gestione dei trasferimenti extra-UE. Verificare se il fornitore trasferisce dati fuori dall'UE/SEE e, in caso affermativo, su quale base giuridica (decisione di adeguatezza, Clausole Contrattuali Standard, BCR).
  6. Revisione periodica e aggiornamento. Rivedere il DPA a ogni rinnovo contrattuale e a ogni modifica rilevante del servizio. Aggiornare il Registro dei Trattamenti (Art. 30 GDPR) con le informazioni aggiornate del fornitore.

Sanzioni per DPA mancante o inadeguato

La violazione dell'Art. 28 GDPR — per assenza, incompletezza o inadeguatezza del DPA — è sanzionabile ai sensi dell'Art. 83(4) GDPR con sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale annuo (la soglia più alta tra le due). Il Garante per la Protezione dei Dati Personali italiano ha già irrogato sanzioni specifiche per DPA mancanti o non conformi, anche a soggetti di medie dimensioni.

Oltre alle sanzioni pecuniarie, il titolare che non ha stipulato un DPA adeguato rimane esposto a risarcimenti verso gli interessati in caso di violazione dei dati causata dal fornitore. La firma del DPA è anche la base contrattuale per rivalersi sul responsabile — senza di essa, quella possibilità è molto più difficile da esercitare.

Per un quadro completo della governance del rischio fornitori, consulta la guida su gestione del rischio fornitori e sull' impatto della NIS2 sulla supply chain.

Domande frequenti

Quando è obbligatorio il DPA con un fornitore?

Il DPA è obbligatorio ai sensi dell'Art. 28 GDPR ogni volta che un fornitore tratta dati personali per conto del titolare — cloud provider, software HR, CRM, marketing automation, analisi dati, call center. Non è richiesto se il fornitore tratta i dati come titolare autonomo per le proprie finalità.

Cosa deve contenere un Data Processing Agreement?

Un DPA conforme all'Art. 28(3) GDPR deve includere: oggetto e durata del trattamento, obbligo di elaborare solo su istruzione del titolare, riservatezza del personale, misure di sicurezza adeguate, regole sui sub-processor, cooperazione per i diritti degli interessati, cancellazione/restituzione dei dati e diritto di audit.

Come gestire i sub-responsabili del trattamento?

Il responsabile può coinvolgere sub-responsabili solo con autorizzazione del titolare. Con autorizzazione generale, il responsabile deve notificare ogni modifica e dare tempo al titolare di opporsi. I sub-responsabili devono ricevere gli stessi obblighi del DPA principale, e il responsabile rimane responsabile nei confronti del titolare per il loro operato.

Quali sono le sanzioni GDPR per DPA mancante?

La violazione dell'Art. 28 GDPR è sanzionabile fino a 10 milioni di euro o al 2% del fatturato mondiale annuo. Il Garante italiano ha già irrogato sanzioni per DPA mancanti o inadeguati. Oltre alle sanzioni, il titolare rimane responsabile per i danni agli interessati causati da trattamenti non conformi del responsabile.