Perimetro e soggetti coinvolti

GDPR e fornitori: responsabili del trattamento, DPA e controlli Art. 28

Redazione GAPOFF · Aggiornato il 2026-05-19 · Revisione: 2026-05-19

Risposta rapida

Nel GDPR i fornitori sono un punto critico perché molti trattano dati personali per conto dell'azienda: hosting, CRM, paghe, marketing, IT, assistenza, cloud, software e consulenti. Quando il fornitore agisce come responsabile del trattamento, serve un accordo Art. 28 con istruzioni, misure, sub-responsabili, assistenza, sicurezza, data breach, cancellazione o restituzione dati e audit. Non basta firmare un DPA: bisogna valutare rischio, servizio e continuità del controllo. GAPOFF collega GDPR e Vendor Risk Management per mappare fornitori, assessment e remediation.

Verifica la conformità GDPR della tua azienda

Registro trattamenti, DPIA, data breach, diritti degli interessati e audit-ready.

Verifica gratis →

Perché i fornitori sono il punto debole della compliance GDPR

Le aziende moderne non trattano dati da sole. Usano software cloud, consulenti paghe, commercialisti, agenzie marketing, hosting provider, manutentori, MSP, piattaforme newsletter, sistemi di ticketing e strumenti analytics. Ogni fornitore può introdurre rischi: accessi non autorizzati, sub-responsabili non noti, trasferimenti, misure insufficienti, data breach, conservazione eccessiva, cancellazione non garantita.

Il GDPR richiede che il titolare ricorra solo a responsabili che presentino garanzie sufficienti. Questo concetto è operativo: la scelta del fornitore deve essere valutata, documentata e aggiornata.

Quadro normativo e fonti ufficiali

L'Art. 28 GDPR disciplina il responsabile del trattamento e il contenuto dell'accordo. Gli articoli su sicurezza, data breach, trasferimenti e accountability si collegano direttamente alla gestione fornitori. Le indicazioni del Garante e dell'EDPB aiutano a interpretare ruoli e responsabilità, soprattutto nei rapporti tra titolari, responsabili e sub-responsabili.

Quando un fornitore è responsabile del trattamento

Un fornitore è responsabile quando tratta dati personali per conto del titolare e secondo sue istruzioni. Non basta il fatto che sia "esterno": bisogna analizzare il servizio. Un consulente paghe che elabora buste paga per conto dell'azienda è normalmente responsabile. Un provider SaaS che ospita dati dei clienti dell'azienda può essere responsabile. Un professionista che decide autonomamente finalità e mezzi può invece essere titolare autonomo.

La distinzione deve essere documentata, perché da essa derivano contratto, informative, responsabilità e obblighi.

Contenuti essenziali del DPA

Un accordo Art. 28 dovrebbe disciplinare almeno oggetto, durata, natura, finalità, categorie di dati, categorie di interessati, istruzioni del titolare, riservatezza, misure di sicurezza, sub-responsabili, assistenza per diritti e DPIA, gestione data breach, cancellazione o restituzione dati, audit e informazioni per dimostrare compliance.

Un DPA generico non basta se non descrive il servizio reale. Allo stesso modo, un DPA firmato ma non archiviato, non collegato al fornitore e non riesaminato è un'evidenza debole.

Cosa deve fare concretamente l'organizzazione

Un processo corretto prevede:

  1. creare registro fornitori;
  2. classificare i fornitori per ruolo privacy;
  3. identificare dati trattati e sistemi coinvolti;
  4. verificare DPA o clausole Art. 28;
  5. valutare misure di sicurezza e sub-responsabili;
  6. verificare eventuali trasferimenti;
  7. assegnare uno score di rischio;
  8. definire azioni correttive;
  9. monitorare scadenze, modifiche e rinnovi;
  10. collegare fornitori ai trattamenti del registro.

Esempio pratico

Una società usa un software newsletter che memorizza email, preferenze e statistiche di apertura. Il fornitore non è solo un tool tecnico: tratta dati per conto dell'azienda. Serve verificare base giuridica del marketing, informativa, DPA, ubicazione dati, sub-fornitori, gestione disiscrizioni, sicurezza dell'account, retention e cancellazione. Se cambia piattaforma, il trattamento e l'informativa devono essere aggiornati.

Errori comuni da evitare

Il primo errore è archiviare contratti senza collegarli ai trattamenti. Il secondo è accettare DPA standard senza verificare sub-responsabili e misure. Il terzo è non coinvolgere procurement e IT. Il quarto è non aggiornare il registro quando cambia fornitore. Il quinto è non documentare la valutazione di rischio. Il sesto è non prevedere cosa accade alla cessazione del contratto.

Come GAPOFF aiuta

GAPOFF integra modulo GDPR e Vendor Risk Management: il trattamento del registro può essere collegato al fornitore, il DPA può diventare evidenza, l'assessment può generare uno scoring e le azioni correttive possono essere tracciate. Questo è particolarmente utile per DPO, consulenti privacy, SaaS, MSP e aziende con molte terze parti.

Il GDPR non si gestisce con Excel.

Registro trattamenti, DPIA, data breach, diritti degli interessati, responsabili Art.28 ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica GDPR, Incident & Breach Ops, Vendor Risk, NIS2, DORA e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo GDPR →

Checklist operativa

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo GDPR →

FAQ

Il DPA è sempre obbligatorio con ogni fornitore?

È necessario quando il fornitore tratta dati personali per conto del titolare come responsabile. Non tutti i fornitori hanno lo stesso ruolo.

Il DPA standard del provider è sufficiente?

Può esserlo se contiene gli elementi richiesti e rispecchia il servizio concreto, ma va verificato e conservato come evidenza.

Devo controllare anche i sub-responsabili?

Sì, la gestione dei sub-responsabili è un elemento rilevante dell'Art. 28 e del controllo sulla supply chain.

Come GAPOFF aiuta sui fornitori?

Collega registro trattamenti, DPA, assessment, scoring, remediation e report, evitando una gestione dispersa su Excel e email.

Approfondimenti correlati
Perimetro e soggetti coinvolti Chi deve adeguarsi al GDPR: titolari, responsabili e casi pratici Perimetro e soggetti coinvolti GDPR per PMI: percorso pratico senza burocrazia inutile Perimetro e soggetti coinvolti GDPR nei settori più coinvolti: sanità, scuola, e-commerce, HR e SaaS
Oppure passa all'azione: modulo GDPR →
Modulo GAPOFF GDPR

Registro trattamenti, DPIA, gestione data breach, diritti degli interessati, responsabili Art.28, audit privacy e report audit-ready. Cross-mapping automatico con NIS2, DORA, ISO 27001 e AI Act.

Vai al modulo GDPR →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

FAQ

Il DPA è sempre obbligatorio con ogni fornitore?

È necessario quando il fornitore tratta dati personali per conto del titolare come responsabile. Non tutti i fornitori hanno lo stesso ruolo.

Il DPA standard del provider è sufficiente?

Può esserlo se contiene gli elementi richiesti e rispecchia il servizio concreto, ma va verificato e conservato come evidenza.

Devo controllare anche i sub-responsabili?

Sì, la gestione dei sub-responsabili è un elemento rilevante dell'Art. 28 e del controllo sulla supply chain.

Come GAPOFF aiuta sui fornitori?

Collega registro trattamenti, DPA, assessment, scoring, remediation e report, evitando una gestione dispersa su Excel e email.

Fonti ufficiali e riferimenti
Contenuto informativo generale; non costituisce consulenza legale o parere professionale. Validare con consulenti qualificati e fonti ufficiali aggiornate.
Ultima revisione: 2026-05-19.