Template Clausole DPA — Elementi Art. 28 GDPR
Pacchetto onboarding IT Gonzato · Fase P3 · Vendor & Compliance · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Fornire un template di clausole da richiedere/verificare in ogni Data Processing Agreement con i fornitori che trattano dati personali per conto del Gruppo Gonzato (responsabili esterni). Serve come checklist degli elementi obbligatori dell'art. 28 GDPR quando si negozia un nuovo contratto o si valuta la bozza di DPA proposta dal fornitore. Non sostituisce la revisione legale/DPO: è lo strumento operativo IT per non firmare DPA incompleti.
Come usarlo
- Quando un fornitore tratta dati (vedi
dpa-register.md), richiedere il suo DPA standard. - Spuntare gli elementi presenti con questa checklist.
- Segnalare le carenze e chiedere integrazione.
- Passare la versione finale a [da compilare: DPO/referente privacy] per validazione prima della firma.
Checklist elementi obbligatori art. 28 (par. 3)
- ☐ Oggetto e durata del trattamento
- ☐ Natura e finalità del trattamento
- ☐ Tipo di dati personali trattati (indicare categorie: dipendenti, clienti, ospiti, ecc.)
- ☐ Categorie di interessati
- ☐ Obblighi e diritti del titolare (società Gonzato)
- ☐ Il responsabile tratta solo su istruzione documentata del titolare
- ☐ Riservatezza: persone autorizzate al trattamento vincolate alla riservatezza
- ☐ Misure di sicurezza adeguate (art. 32) — tecniche e organizzative
- ☐ Condizioni per il ricorso a sub-responsabili (autorizzazione scritta preventiva o generale + informativa sui cambi)
- ☐ Obbligo di assistenza al titolare per rispondere alle richieste degli interessati (diritti art. 15-22)
- ☐ Obbligo di assistenza su sicurezza, notifica breach, DPIA, consultazione preventiva (art. 32-36)
- ☐ Notifica data breach al titolare senza ingiustificato ritardo (indicare tempo max, es. [da compilare: 24/48h])
- ☐ A fine servizio: cancellazione o restituzione dei dati a scelta del titolare
- ☐ Messa a disposizione delle informazioni per dimostrare la conformità + audit/ispezioni (diritto di audit del titolare)
Clausole aggiuntive rilevanti per Gonzato
- ☐ Trasferimenti extra-UE (5 continenti): indicare paesi di trattamento e base giuridica (SCC — Standard Contractual Clauses — o decisione di adeguatezza). Vietare trasferimenti non previsti.
- ☐ Localizzazione dei dati / data residency: dove risiedono e sono processati i dati.
- ☐ Elenco sub-responsabili allegato e aggiornato.
- ☐ Sicurezza minima coerente con
nis2-supplier-assessment.mdper fornitori critici. - ☐ Responsabilità e manleva in caso di violazione imputabile al responsabile.
- ☐ Legge applicabile e foro (coerente con la società titolare firmataria).
Testo starter da inviare al fornitore (bozza richiesta)
"In qualità di titolare del trattamento, richiediamo la stipula di un accordo ex art. 28 GDPR prima dell'attivazione del servizio. Vi preghiamo di trasmettere il vostro DPA standard comprensivo di: istruzioni documentate, misure di sicurezza (art. 32), gestione sub-responsabili con elenco allegato, notifica breach entro [da compilare] ore, previsioni per i trasferimenti extra-UE (SCC), diritto di audit e clausola di cancellazione/restituzione dati a fine rapporto. [da compilare: eventuali requisiti specifici della società titolare]."
Da compilare in azienda
- ☐ Definire tempo massimo di notifica breach da imporre ai fornitori
- ☐ Concordare con DPO/legale eventuali clausole standard di Gruppo
- ☐ Predisporre versione firmabile (allegare a contratto di fornitura)