Registro DPA — Data Processing Agreement
Pacchetto onboarding IT Gonzato · Fase P3 · Vendor & Compliance · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Tenere il registro dei Data Processing Agreement (accordi di trattamento art. 28 GDPR) con i fornitori che trattano dati personali per conto del Gruppo Gonzato. Stato di partenza: nessun DPA censito. Con ~24 società operative su 5 continenti, il Gruppo effettua trattamenti cross-border → serve mappare responsabili esterni, DPA firmati e basi per i trasferimenti extra-UE (SCC / decisioni di adeguatezza).
Perché serve
- Art. 28 GDPR: ogni responsabile esterno (cloud, SaaS, MSP, payroll, marketing) deve avere un DPA scritto. Senza → violazione contestabile in caso di data breach o ispezione.
- Cross-border (5 continenti): trasferimenti verso paesi terzi richiedono garanzie (SCC, adeguatezza). Da tracciare per fornitore.
- Split societario: chiarire chi è titolare (quale società Gonzato) per ciascun trattamento.
Registro (tabella principale)
| # | Fornitore / servizio | Categoria | Dati trattati | Titolare (società Gonzato) | Ruolo fornitore | DPA firmato (sì/no) | Data firma | Scadenza / rinnovo | Trasferimento extra-UE | Base transfer (SCC/adeguatezza) | Note |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | Microsoft 365 | Cloud/produttività | Dati dipendenti, email, file | [da compilare] | Responsabile | [da compilare] | Sì (USA) | [da compilare] | |||
| 2 | [payroll/consulente paghe] | HR | Dati dipendenti, retribuzioni | [da compilare] | Responsabile | [da compilare] | |||||
| 3 | [CRM / marketing hospitality] | Marketing/ospiti | Dati clienti/ospiti | [da compilare] | Responsabile | [da compilare] | |||||
| 4 | [MSP / assistenza IT] | Servizi IT | Accesso a sistemi con dati | [da compilare] | Responsabile | [da compilare] | |||||
| 5 | [gestionale/ERP cloud] | ERP | Dati clienti/fornitori/dipendenti | [da compilare] | Responsabile | [da compilare] | |||||
| ... | [da compilare durante discovery] |
Categorie fornitore da coprire (checklist di completezza)
- ☐ Cloud e produttività (M365 / Google Workspace)
- ☐ ERP / gestionale
- ☐ Payroll e consulenti del lavoro
- ☐ CRM / marketing / hospitality booking (dati ospiti)
- ☐ MSP / assistenza IT esterna con accesso ai sistemi
- ☐ Backup / disaster recovery cloud
- ☐ Videosorveglianza / controllo accessi (se gestita da terzi)
- ☐ E-commerce / sito (se raccoglie dati)
Semaforo stato DPA
- 🔴 Fornitore tratta dati senza DPA → priorità: richiedere DPA (usare
dpa-template.md) - 🟡 DPA presente ma incompleto (mancano SCC / clausole art. 28) → integrare
- 🟢 DPA completo e in corso di validità
Da compilare in azienda
- ☐ Mappare tutti i fornitori che trattano dati personali (partire da fatture ricorrenti + accessi ai sistemi)
- ☐ Verificare per ciascuno l'esistenza di un DPA firmato
- ☐ Identificare i trasferimenti extra-UE e la relativa base giuridica
- ☐ Coordinare con [da compilare: DPO/referente privacy] la validazione clausole
- ☐ Collegare il registro all'iter di
it-procurement-policy.md(no nuovi fornitori dati senza DPA)