DPA — Accordo di Trattamento dei Dati: Obblighi GDPR Art. 28 per i Fornitori AI
Concetto chiave: Il DPA (Data Processing Agreement, ovvero accordo di trattamento dei dati) non è un adempimento burocratico facoltativo — è un presupposto giuridico obbligatorio ai sensi dell'Art. 28 GDPR per qualsiasi rapporto in cui un fornitore tratta dati personali per conto di un'altra organizzazione. Ogni fornitore AI che accede a dati personali deve sottoscriverlo prima di iniziare il trattamento.
Cos'è un Accordo di Trattamento dei Dati?
L'accordo di trattamento dei dati è il contratto imposto dall'Art. 28 del GDPR tra il titolare del trattamento (l'organizzazione che determina le finalità e i mezzi del trattamento) e il responsabile del trattamento (chi tratta i dati per conto del titolare). Il DPA definisce ambito, natura, finalità e durata del trattamento; specifica le categorie di dati personali e gli interessati coinvolti; stabilisce gli obblighi vincolanti di entrambe le parti.
Nel contesto dell'acquisizione di soluzioni AI in ambito enterprise, il DPA è lo strumento giuridico fondamentale che regola il modo in cui il fornitore AI gestisce i dati dell'organizzazione. In assenza di un DPA valido e conforme, il titolare è direttamente esposto all'azione di enforcement del Garante: la mancanza di un accordo conforme all'Art. 28 costituisce di per sé una violazione del GDPR, indipendentemente da eventuali problemi nella gestione concreta dei dati.
Perché è Importante
Le imprese che attivano sistemi AI senza un DPA sottoscritto assumono un'esposizione regolamentare diretta. Ai sensi dell'Art. 83(4) del GDPR, le violazioni degli obblighi dell'Art. 28 sono punibili con sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo globale. Il Garante per la protezione dei dati personali italiano — così come la CNIL francese, l'ICO e le altre autorità di controllo UE — ha adottato provvedimenti specifici per accordi di trattamento mancanti o non conformi.
Oltre all'esposizione regolamentare, il DPA è il meccanismo contrattuale attraverso cui il titolare esercita i propri diritti di supervisione sul responsabile. Senza di esso, il titolare non può esigere dal fornitore il rispetto della minimizzazione dei dati, dei diritti di audit, degli obblighi di sicurezza o dei termini di notifica delle violazioni.
Contenuti Obbligatori: Gli Elementi Richiesti dall'Art. 28 GDPR
Un DPA conforme all'Art. 28 deve includere i seguenti elementi:
Trattamento solo su istruzione documentata. Il responsabile deve trattare i dati personali esclusivamente secondo le istruzioni del titolare. Questo è cruciale per i fornitori AI: il sistema AI non deve utilizzare i dati del cliente per addestrare, affinare o migliorare il modello senza autorizzazione esplicita nel DPA.
Obblighi di riservatezza. Il personale autorizzato al trattamento deve essere soggetto a obblighi di riservatezza vincolanti ed eseguibili.
Misure di sicurezza tecniche e organizzative. Il responsabile deve attuare misure adeguate ai sensi dell'Art. 32 GDPR: cifratura, pseudonimizzazione, controlli degli accessi, continuità operativa.
Controllo dei sub-responsabili. Il responsabile non può coinvolgere un sub-responsabile senza previa autorizzazione scritta del titolare. Questo obbligo è particolarmente rilevante per i fornitori AI — si veda sub-responsabile del trattamento AI per l'analisi completa della catena Art. 28(2).
Assistenza nell'esercizio dei diritti degli interessati. Il responsabile deve assistere il titolare nell'adempimento delle richieste di accesso, rettifica, cancellazione e portabilità degli interessati.
Cancellazione o restituzione alla fine del contratto. Alla scadenza del contratto, il responsabile deve restituire o cancellare tutti i dati personali, salvo obbligo di conservazione previsto dal diritto UE o nazionale.
Diritti di audit. Il titolare deve poter verificare il rispetto del DPA da parte del responsabile, direttamente o tramite un auditor terzo autorizzato.
Meccanismi di trasferimento dei dati. Se il responsabile trasferisce dati personali al di fuori del SEE, il DPA deve includere o richiamare un meccanismo adeguato — Clausole Contrattuali Standard (SCC), Norme Vincolanti d'Impresa o trasferimento verso un paese con decisione di adeguatezza.
Disposizioni DPA Specifiche per l'AI
I template DPA commerciali standard spesso omettono disposizioni essenziali quando il responsabile è un sistema AI o utilizza componenti AI:
Divieto di utilizzo dei dati per l'addestramento. Un divieto esplicito di utilizzo dei dati del titolare per addestrare, affinare o migliorare i modelli AI del fornitore — salvo autorizzazione separata. Molte condizioni standard dei fornitori AI consentono il miglioramento del modello sui dati dei clienti per impostazione predefinita.
Residenza degli output del modello. Se gli output AI (record classificati, raccomandazioni) derivano da dati personali, costituiscono a loro volta dati personali trattati per conto del titolare. Il DPA deve disciplinare anche questi output.
Decisioni automatizzate. Dove il sistema AI contribuisce sostanzialmente a decisioni con effetti significativi sugli individui, il DPA deve specificare come il responsabile abilita la revisione umana ai sensi dell'Art. 22 GDPR.
Residenza dei dati. Se si applicano requisiti di residenza geografica dei dati, il DPA deve specificare l'ambito geografico del trattamento consentito.
Knowlee e gli Accordi di Trattamento dei Dati
Knowlee opera come responsabile del trattamento per tutti i dati dei clienti elaborati sulla piattaforma. Un accordo di trattamento conforme al GDPR è fornito come standard nell'ambito del contratto commerciale — non su richiesta. Il DPA copre tutti gli elementi obbligatori dell'Art. 28, incluso il divieto esplicito di utilizzo dei dati dei clienti per l'addestramento di modelli senza autorizzazione separata, un elenco dei sub-responsabili approvati con obblighi di notifica delle modifiche (si veda sub-responsabile del trattamento AI), e diritti di audit esercitabili dal cliente o dal suo auditor nominato.
L'isolamento per-tenant del database Supabase garantisce che i dati personali di un cliente non siano accessibili nell'ambiente di trattamento di un altro — un controllo tecnico che rinforza gli obblighi di riservatezza e segregazione dei dati del DPA.