Un accordo sul trattamento dei dati (DPA) è il contratto che disciplina il modo in cui un fornitore gestisce i dati personali per tuo conto.

Prima di firmare con qualsiasi fornitore, informati su:

  • luogo di archiviazione dei dati
  • sub-responsabili del trattamento
  • tempi di notifica delle violazioni
  • pratiche di addestramento dell'IA
  • diritti di audit e
  • procedure di cancellazione.

I requisiti variano tra GDPR, UK GDPR e leggi statali statunitensi sulla privacy, e ogni giurisdizione richiede clausole contrattuali specifiche.

Questo articolo ha uno scopo puramente informativo e non costituisce consulenza legale. Le organizzazioni dovrebbero rivolgersi a consulenti legali qualificati per indicazioni specifiche per la propria giurisdizione in materia di accordi sul trattamento dei dati e conformità alla normativa sulla privacy.

Perché il DPA del tuo fornitore è un documento di conformità e un indicatore di rischio

Firmare un contratto con un fornitore di software è routine. Ma caricare registrazioni, condividere dati dei clienti o collegare al tuo calendario uno strumento di meeting intelligence comporta rischi di tutt'altro livello.

Dal punto di vista legale, nel momento in cui i dati personali passano a un responsabile del trattamento terzo, continui a rispondere di ciò che accade loro.

È questo il principio alla base dei requisiti dei DPA: il titolare del trattamento (l'organizzazione che determina finalità e mezzi del trattamento) resta responsabile della condotta del responsabile del trattamento.

In Europa

Ai sensi dell'articolo 28 del GDPR, questa responsabilità è strutturale. Un DPA ben redatto documenta che il rapporto è stato regolato correttamente. Un DPA scritto male, o del tutto assente, lascia quella responsabilità senza una chiara attribuzione.

I numeri delle sanzioni lo dimostrano concretamente. Secondo il DLA Piper GDPR Fines and Data Breach Survey (gennaio 2026), le sanzioni GDPR cumulative da maggio 2018 hanno raggiunto i 7,1 miliardi di euro, di cui circa 1,2 miliardi comminati solo nel 2025.

La stessa indagine ha registrato un aumento del 22% su base annua delle notifiche di violazione, da 363 a 443 al giorno: è la prima volta che la media giornaliera supera quota 400 da quando il GDPR è entrato in vigore.

Negli Stati Uniti

Negli USA, le sanzioni previste da CCPA/CPRA possono arrivare a 7.988 dollari per violazione intenzionale, secondo le soglie della CPPA adeguate all'indice dei prezzi al consumo (CPI).

Le organizzazioni statunitensi spesso danno per scontato che i DPA siano un requisito europeo. Non è così.

Il CCPA/CPRA richiede contratti scritti con i service provider che vietino espressamente di vendere i dati, divulgarli ulteriormente o combinarli con informazioni personali raccolte autonomamente dal fornitore

Colorado, Virginia, Connecticut e altri stati con leggi sulla privacy in vigore richiedono accordi simili. Il termine giuridico cambia; la sostanza è la stessa.

Prima di fare qualsiasi domanda: capisci in che tipo di rapporto di trattamento ti trovi

In un rapporto titolare-responsabile, sei tu a determinare finalità e mezzi del trattamento e il fornitore agisce secondo le tue istruzioni. A disciplinare questo rapporto è un DPA standard ai sensi dell'articolo 28 del GDPR. È lo schema che vale per la maggior parte degli strumenti SaaS.

Al contrario, in un rapporto titolare-titolare, il fornitore tratta i dati per finalità proprie e indipendenti. Se un fornitore sviluppa prodotti, esegue analisi o addestra modelli di IA con i tuoi dati, per quelle attività potrebbe agire come titolare, anche quando per altre agisce contemporaneamente come responsabile.

In quel caso, un DPA standard da responsabile del trattamento non copre le attività svolte dal fornitore in qualità di titolare. Se il DPA non distingue esplicitamente i due ruoli, l'accordo ha una debolezza strutturale che nessuna negoziazione sui tempi di notifica o sulle liste dei sub-responsabili potrà correggere.

Prima di inviare le domande qui sotto, verifica: che ruolo sta svolgendo questo fornitore, e il DPA riflette il rapporto reale?

Le domande da fare al tuo fornitore e come riconoscere una buona risposta

Questi sono i criteri per valutare se un DPA è davvero protettivo. La capacità di un fornitore di rispondere in modo rapido e preciso rivela se l'infrastruttura di conformità esiste davvero o è stata messa insieme a posteriori.

1. Dove vengono archiviati e trattati i miei dati?

La residenza dei dati determina quale quadro giuridico disciplina i tuoi dati e se sono necessari meccanismi di trasferimento internazionale.

Per le organizzazioni dell'UE e del Regno Unito, trasferire dati verso un paese privo di una decisione di adeguatezza richiede le Clausole Contrattuali Standard (SCC) per i trasferimenti dall'UE, o lo UK International Data Transfer Agreement (UK IDTA) per i trasferimenti dal Regno Unito.

I due strumenti non sono intercambiabili.

📌 Una sfumatura cruciale: La posizione dei server e la giurisdizione dell'entità giuridica sono due cose diverse. Un fornitore con sede negli USA e data center nell'UE resta soggetto al CLOUD Act statunitense, che può imporre la consegna dei dati indipendentemente da dove si trovino fisicamente.

Chiedi espressamente se l'entità giuridica del fornitore è costituita nell'UE o nel SEE, non solo dove si trovano i server.

Per i fornitori statunitensi, verifica se il fornitore aderisce al programma EU-US Data Privacy Framework, confermato dal Tribunale dell'UE a settembre 2025. Un ricorso alla CGUE (causa C-703/25 P) risulta ancora pendente a metà 2026, quindi le organizzazioni che si affidano al DPF dovrebbero mantenere le SCC come garanzia parallela.

✅ Segnale positivo: Entità costituita nell'UE con data center esclusivamente nell'UE, oppure un fornitore statunitense con certificazione DPF attiva e SCC.

❌ Segnale d'allarme: “Infrastruttura globale” senza dettagli sulla giurisdizione, o incapacità di confermare il paese di costituzione dell'entità giuridica.

2. Chi sono i sub-responsabili e come vengono controllati?

I sub-responsabili sono le terze parti a cui il tuo fornitore si affida per erogare il servizio.

Ai sensi dell'articolo 28 del GDPR, devono essere soggetti agli stessi obblighi di protezione dei dati del responsabile principale. Anche il CPRA prevede requisiti espliciti di estensione a cascata degli obblighi.

Chiedi se il fornitore mantiene una lista dei sub-responsabili aggiornata e pubblicamente accessibile; come e quando i clienti vengono informati dei nuovi sub-responsabili; e quanto tempo hanno i clienti per opporsi.

✅ Segnale positivo: Lista pubblica dei sub-responsabili con possibilità di iscriversi alle notifiche e una finestra di opposizione di 30 giorni.

❌ Segnale d'allarme: Pre-approvazione generalizzata di tutti i sub-responsabili attuali e futuri senza alcun obbligo di notifica.

3. I miei dati verranno usati per addestrare modelli di IA?

Molti fornitori di IA si riservano il diritto di usare i dati dei clienti per migliorare i propri modelli. Spesso quel diritto non compare nel DPA: vive nei termini di servizio, dietro formule innocue come “per migliorare i nostri servizi”.

La distinzione è importante: una privacy policy può cambiare unilateralmente. Una clausola del DPA no. Un'impostazione di prodotto non è un contratto.

Chiedi espressamente se il DPA include un divieto contrattuale esplicito di usare i contenuti dei clienti (registrazioni, trascrizioni, riassunti) per addestrare, perfezionare o migliorare modelli di IA, e se questo divieto è l'impostazione predefinita o richiede un opt-out da parte del cliente.

✅ Segnale positivo: Divieto contrattuale esplicito e vincolante di addestramento dell'IA, senza eccezioni.

❌ Segnale d'allarme: Il divieto di addestramento esiste solo come impostazione di prodotto; nessuna menzione dell'addestramento dell'IA nel DPA.

4. Quali certificazioni di sicurezza possiede il fornitore e può documentarle?

L'articolo 32 del GDPR impone ai responsabili del trattamento di adottare misure tecniche e organizzative (TOM) adeguate al rischio.

Formule generiche nel DPA come “pratiche di sicurezza commercialmente ragionevoli” non bastano: l'accordo deve indicare controlli specifici.

Le certificazioni sono l'indicatore più rapido. Richiedi un report SOC 2 Type II aggiornato (non un Type I, e non più vecchio di 12 mesi). Verifica che gli standard di crittografia siano specificati nel DPA (AES-256 in transito e a riposo).

✅ Segnale positivo: Report SOC 2 Type II aggiornato disponibile sotto NDA; standard di crittografia indicati nel DPA.

❌ Segnale d'allarme: Certificazioni citate nel marketing ma non documentabili; disponibile solo un report SOC 2 Type I.

5. Con quale rapidità mi verrà notificata una violazione dei dati?

L'articolo 33 del GDPR impone ai titolari di notificare le autorità di controllo entro 72 ore da quando vengono a conoscenza di una violazione.

Poiché quel conto alla rovescia parte quando il titolare ne viene a conoscenza, un responsabile lento erode direttamente la finestra di risposta del titolare. Anche l'UK GDPR prevede la stessa regola.

Il DPA deve specificare una finestra massima di notifica, non limitarsi a descriverla come “tempestiva” o “senza ingiustificato ritardo”. Entrambe le formule hanno valore giuridico, ma sul piano operativo restano vaghe.

✅ Segnale positivo: Il DPA specifica la notifica entro e non oltre 72 ore dalla scoperta, con un referente designato per l'escalation.

❌ Segnale d'allarme: “Tempestivamente” o “senza ingiustificato ritardo” senza tempistiche precise; violazione definita in modo così restrittivo da escludere incidenti che per te sarebbero rilevanti.

6. Quali sono i miei diritti di audit e come li esercito?

L'articolo 28 del GDPR dà ai titolari il diritto di sottoporre ad audit i responsabili del trattamento e di accedere a tutte le informazioni necessarie a dimostrare la conformità.

In pratica, il meccanismo operativo è il diritto di richiedere un report SOC 2 Type II aggiornato.

Chiedi se il DPA accetta esplicitamente un report di audit di terza parte come adempimento di questo obbligo, specifica un periodo di preavviso (30 giorni è lo standard) ed estende i diritti di audit ai sub-responsabili.

✅ Segnale positivo: SOC 2 Type II accettato come adempimento dell'audit; periodo di preavviso di 30 giorni specificato; un meccanismo per verificare la conformità dei sub-responsabili.

❌ Segnale d'allarme: Diritto di audit vago; una pagina web pubblica citata come adempimento dell'obbligo; nessun meccanismo di audit per i sub-responsabili.

7. Come e quando verranno cancellati i miei dati?

Il DPA dovrebbe specificare un piano di conservazione, gli eventi che attivano la cancellazione e se il fornitore rilascia una certificazione scritta di cancellazione alla cessazione del contratto.

Chiedi se la cancellazione copre tutte le copie (inclusi i backup e le copie presso i sub-responsabili) e se dopo la fine del rapporto vengono conservati derivati anonimizzati.

✅ Segnale positivo: Piano di conservazione definito; cancellazione entro 30 giorni dalla cessazione; certificazione scritta disponibile; ambito che copre anche i backup.

❌ Segnale d'allarme: Conservazione regolata dalla privacy policy del fornitore anziché dal DPA; nessuna certificazione di cancellazione fornita.

8. Quali giurisdizioni copre il DPA?

Un DPA redatto per la conformità al GDPR non soddisfa automaticamente gli obblighi previsti dal GDPR del Regno Unito (UK GDPR).

Dopo la Brexit, il Regno Unito applica un regime separato e l'UK IDTA (non le SCC dell'UE) è il meccanismo richiesto per i trasferimenti internazionali dal Regno Unito.

Per le organizzazioni statunitensi soggette al CCPA, il DPA deve vietare esplicitamente al fornitore di vendere, conservare o divulgare informazioni personali per qualsiasi finalità estranea al servizio previsto dal contratto.

✅ Segnale positivo: GDPR, UK GDPR e CCPA/CPRA citati esplicitamente; UK IDTA incluso per i trasferimenti dal Regno Unito; addendum CCPA con divieti specifici elencati.

❌ Segnale d'allarme: Formula omnicomprensiva “leggi sulla protezione dei dati applicabili” senza meccanismi specifici per giurisdizione; nessun riferimento al Regno Unito come giurisdizione distinta.

La checklist del DPA del fornitore in sintesi

Domanda Cosa deve dire il DPA Segnale positivo Segnale d'allarme
Dove vengono archiviati e trattati i dati? Clausola sulla residenza dei dati; meccanismo di trasferimento internazionale indicato Entità UE + server UE, oppure fornitore USA certificato DPF “Infrastruttura globale” senza dettagli sulla giurisdizione
Chi sono i sub-responsabili? Lista dei sub-responsabili; diritti di notifica e opposizione Lista pubblica con aggiornamenti tramite iscrizione; finestra di opposizione di 30 giorni Pre-approvazione generalizzata; nessun obbligo di notifica
I miei dati vengono usati per addestrare modelli di IA? Divieto contrattuale esplicito di addestramento dell'IA Divieto vincolante nel DPA, senza eccezioni Solo opt-out; il divieto esiste come impostazione di prodotto
Quali certificazioni di sicurezza si applicano? TOM specifiche; meccanismo di documentazione Report SOC 2 Type II aggiornato sotto NDA; ISO 27001 con dettagli del certificato Certificazioni citate nel marketing ma non documentabili
Quali sono i termini di notifica delle violazioni? Tempistiche precise, non “tempestivamente” 72 ore dalla scoperta; referente designato per l'escalation “Tempestivamente” senza una finestra definita
Quali sono i miei diritti di audit? Diritto di audit o di richiedere report; meccanismo per esercitarlo SOC 2 accettato come adempimento dell'audit; preavviso di 30 giorni Diritto di audit vago; pagina web pubblica citata come adempimento dell'obbligo
Quando e come vengono cancellati i miei dati? Piano di conservazione; certificazione di cancellazione Cancellazione entro 30 giorni dalla cessazione; certificazione scritta; copre i backup Conservazione regolata dalla privacy policy; nessuna certificazione di cancellazione
Quali giurisdizioni copre? GDPR, UK GDPR e CCPA citati esplicitamente con meccanismi specifici per giurisdizione Tutti i quadri normativi rilevanti citati; UK IDTA per i trasferimenti dal Regno Unito Solo GDPR con un generico riferimento alle “leggi applicabili”

Cosa fare quando il DPA di un fornitore non è all'altezza?

Un DPA che non soddisfa alcuni di questi criteri non significa automaticamente un fornitore con cui non puoi lavorare; ma è un fornitore con cui devi negoziare prima di firmare.

Le clausole dei DPA per i piani enterprise sono in genere negoziabili: finestre di notifica dei sub-responsabili, tempi di cancellazione, ambito giurisdizionale e formulazione del divieto di addestramento dell'IA vengono tutti modificati di frequente.

Se il contratto standard di un fornitore non include alcun DPA, richiedilo esplicitamente durante l'onboarding. I fornitori SaaS con sede negli USA spesso lo forniscono su richiesta come addendum separato sul trattamento dei dati.

Un fornitore che non riesce a produrne uno, o che tratta la richiesta come insolita, sta segnalando che la conformità non è integrata nel suo modo di operare. È un rischio fornitore sostanziale, indipendente dalla qualità del prodotto.

Come si presenta un DPA conforme nella pratica

Gli strumenti di audio e meeting intelligence pongono una versione più acuta del problema DPA rispetto alla maggior parte delle categorie software.

Le registrazioni contengono le voci dei parlanti, i contenuti delle riunioni e i dati delle conversazioni: tutti dati personali che meritano una gestione attenta. Il DPA che regola quel rapporto deve riflettere la sensibilità di ciò che viene trattato.

📌 Ecco cosa significa nella pratica per HappyScribe:

Il data center di HappyScribe si trova all'interno dell'Unione Europea. È una struttura Tier IV, certificata secondo gli standard PCI DSS e ISO 27001. I server sono fisicamente separati da quelli degli altri tenant.

L'azienda possiede la certificazione SOC 2 Type II, con i dettagli disponibili nel suo Trust Center. Il controllo degli accessi basato sui ruoli è disponibile su tutti gli account. I dipendenti firmano NDA come condizione di assunzione, limitando l'accesso interno ai contenuti dei clienti.

Enterprise-grade security. European infrastructure. Accurate AI transcription.
Inizia gratis

Domande frequenti sugli accordi sul trattamento dei dati

Qual è la differenza tra un accordo sul trattamento dei dati e un accordo di condivisione dei dati?

Un DPA regola un rapporto titolare-responsabile: il responsabile del trattamento gestisce i dati secondo le istruzioni del titolare e non può usarli per finalità autonome.

Un accordo di condivisione dei dati, invece, regola un rapporto titolare-titolare, in cui entrambe le parti determinano autonomamente le finalità. Se un fornitore stabilisce finalità proprie per i tuoi dati, un DPA da solo non basta.

Le aziende statunitensi hanno bisogno di un accordo sul trattamento dei dati?

Le aziende statunitensi che trattano dati personali dell'UE o del Regno Unito hanno bisogno di un DPA conforme al GDPR o all'UK GDPR. Per le attività esclusivamente statunitensi, il CCPA/CPRA richiede contratti con i service provider che vietino al fornitore di vendere o divulgare ulteriormente le informazioni personali oltre la finalità prevista dal contratto.

Un unico DPA può coprire sia i requisiti del GDPR sia quelli del CCPA?

Un unico documento può coprire entrambi, a condizione che i requisiti di ciascuna giurisdizione siano citati esplicitamente. Molti DPA conformi al GDPR includono un addendum CCPA che copre i divieti specifici della California. L'UK GDPR richiede una sezione separata dedicata ai meccanismi di trasferimento specifici del Regno Unito, in particolare l'UK IDTA al posto delle SCC dell'UE, dato che i due regimi hanno preso strade diverse dopo la Brexit.

Cosa succede se firmo un contratto con un fornitore che non ha un DPA?

Ai sensi del GDPR, procedere senza un contratto conforme con il responsabile del trattamento viola l'articolo 28. Il titolare resta responsabile della condotta del responsabile, e l'assenza di un accordo scritto rende più difficile difendersi in caso di indagine di un'autorità di controllo. Ai sensi del CCPA, l'assenza del contratto significa che il trasferimento dei dati può essere classificato come vendita di informazioni personali, facendo scattare gli obblighi di opt-out per i consumatori.

Ogni quanto dovrei riesaminare il DPA di un fornitore?

Come minimo, una volta all'anno e a ogni rinnovo contrattuale. Le liste dei sub-responsabili cambiano, le normative evolvono e i report SOC 2 Type II scadono ogni 12 mesi. Imposta promemoria nel calendario legati alle date di rinnovo del contratto, invece di trattare la revisione del DPA come un passaggio una tantum.

Un DPA deve disciplinare l'addestramento dei modelli di IA?

I modelli standard basati sull'articolo 28 del GDPR sono precedenti all'IA generativa e non includono clausole sull'addestramento per impostazione predefinita. Se un fornitore usa dati personali per addestrare o perfezionare modelli di IA, si tratta di una finalità di trattamento secondaria che richiede una propria base giuridica. Per qualsiasi fornitore che tratta contenuti conversazionali o audio, richiedere un divieto contrattuale esplicito è una posizione di procurement ragionevole e sempre più diffusa.

Rodoshi Das
Scritto da

Rodoshi Das

Rodoshi aiuta i brand SaaS a crescere con contenuti che convertono e scalano le SERP e gli LLM. Trascorre le sue giornate testando strumenti e trasforma la sua esperienza in narrazioni interessanti per aiutare gli utenti a prendere decisioni d'acquisto informate. Fuori dal lavoro, scambia le dashboard con romanzi gialli e terapia in giardino.