Sub-responsabile del Trattamento AI — Obblighi GDPR Art. 28(2)

Concetto chiave: Quando il vostro fornitore AI utilizza OpenAI, Anthropic, Google o qualsiasi altro provider di modelli di terze parti per trattare i vostri dati personali, quel provider diventa un sub-responsabile del trattamento. L'Art. 28(2) del GDPR vi impone — in qualità di titolari — di autorizzare ogni anello di questa catena. La maggior parte dei contratti enterprise AI ignora questo requisito.

Cos'è un Sub-responsabile del Trattamento?

Il sub-responsabile del trattamento è qualsiasi terzo soggetto che un responsabile del trattamento coinvolge per svolgere specifiche attività di trattamento per conto del titolare. Il termine origina dall'Art. 28(2) del GDPR: "Qualora un responsabile del trattamento ricorra a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto [...] gli stessi obblighi in materia di protezione dei dati di cui al contratto [...] tra il titolare del trattamento e il responsabile del trattamento."

In termini concreti: gli obblighi del responsabile ai sensi del DPA (accordo di trattamento dei dati) devono fluire verso ogni sub-responsabile della catena. Se il sub-responsabile viola gli obblighi, il responsabile principale rimane pienamente responsabile nei confronti del titolare.

Il concetto di sub-responsabile è diventato strategicamente rilevante nell'acquisizione di soluzioni AI enterprise perché praticamente ogni fornitore SaaS AI si affida a provider di modelli fondazionali di terze parti, infrastrutture cloud e servizi di pipeline dati per erogare il proprio prodotto. Ciascuno di questi soggetti può essere un sub-responsabile — e ciascuno deve essere contrattualmente controllato.

Perché è Importante

La catena dei sub-responsabili è uno dei rischi di conformità GDPR più sottovalutati nell'acquisizione di soluzioni AI enterprise. Tre scenari generano esposizione:

Sub-responsabili non autorizzati. Se un fornitore AI instrada dati personali attraverso un'API di modello fondazionale (OpenAI, Anthropic, Cohere) senza previa autorizzazione scritta del titolare, si tratta di un'operazione di trattamento non autorizzata. Il titolare è in violazione dei propri obblighi GDPR per aver utilizzato un responsabile non conforme; il responsabile è in violazione dell'Art. 28(2); entrambe le parti possono essere soggette a provvedimenti dell'autorità di controllo.

DPA con sub-responsabili inadeguati. Il GDPR richiede che i sub-responsabili siano vincolati dagli stessi obblighi di protezione dei dati del responsabile principale. Se l'accordo del fornitore AI con il provider del modello non rispecchia i requisiti dell'Art. 28, la base giuridica del trattamento è compromessa.

Modifiche ai sub-responsabili non comunicate. L'Art. 28(2) richiede che il responsabile dia al titolare un preavviso adeguato di qualsiasi modifica prevista ai sub-responsabili, e che il titolare abbia il diritto di opporsi. I fornitori AI che cambiano o aggiungono provider di modelli senza notifica violano questo requisito.

Il Problema dei Provider di Modelli AI

La designazione dei sub-responsabili è più critica quando il prodotto principale del fornitore AI è costruito su un modello fondazionale di terze parti. Considerate una piattaforma di sales intelligence che utilizza l'API GPT di OpenAI per trattare e qualificare i dati dei prospect. Il flusso è: titolare (azienda) → responsabile (SaaS di sales intelligence) → sub-responsabile (OpenAI). Il GDPR richiede che:

1. Il titolare sia a conoscenza che OpenAI tratta i dati.
2. Il titolare abbia autorizzato questo accordo — specificamente o tramite autorizzazione generale con diritti di notifica delle modifiche.
3. Il responsabile (fornitore SaaS) abbia un DPA con OpenAI che impone obblighi Art. 28 al trattamento di OpenAI.
4. Il trattamento di OpenAI sia limitato a quanto autorizzato — specificamente, OpenAI non deve usare i dati per l'addestramento del modello senza autorizzazione esplicita del titolare.

Ancoraggio Normativo: Art. 28(2) e la Catena Art. 28(4)

L'Art. 28(2) stabilisce il requisito di autorizzazione. L'Art. 28(4) lo estende: "Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile del trattamento iniziale rimane pienamente responsabile nei confronti del titolare del trattamento dell'adempimento degli obblighi dell'altro responsabile del trattamento."

Questo rende la verifica dei sub-responsabili un rischio finanziario e regolamentare diretto per il titolare. Se il provider di modelli di un fornitore AI subisce una violazione dei dati, il fornitore rimane responsabile nei confronti del cliente — ma solo se il DPA con il fornitore includeva controlli conformi sui sub-responsabili.

L'ISO 42001, Sezione 6.1 (identificazione dei rischi), contempla esplicitamente la governance dei dati nella supply chain: le organizzazioni che implementano ISO 42001 dovrebbero includere la mappatura dei sub-responsabili nel proprio registro dei rischi AI. L'AI Act aggiunge un ulteriore livello: l'Art. 25 richiede ai fornitori AI di comunicare ai deployer di sistemi AI ad alto rischio gli accordi di sub-appalto, creando un obbligo parallelo di trasparenza della supply chain.

Come Appare una Gestione Conforme dei Sub-responsabili

Un framework conforme di gestione dei sub-responsabili da parte di un fornitore AI include:

• Un elenco pubblicato dei sub-responsabili con nome, sede e ruolo nel trattamento di ciascun soggetto terzo.
• Un meccanismo di notifica al titolare delle modifiche ai sub-responsabili con adeguato preavviso (tipicamente 30 giorni).
• Un diritto contrattuale per il titolare di opporsi a nuovi sub-responsabili.
• Evidenza che ogni sub-responsabile è vincolato da un DPA conforme ai requisiti Art. 28.
• Documentazione sui trasferimenti di dati dove i sub-responsabili sono al di fuori del SEE.
• Un processo per rimuovere i dati personali dai sistemi dei sub-responsabili alla cessazione del contratto.

Come Knowlee Gestisce i Sub-responsabili

Knowlee mantiene un elenco aggiornato dei sub-responsabili, pubblicato come parte del DPA commerciale. Il documento specifica il nome, il paese di stabilimento e l'attività di trattamento svolta da ciascun sub-responsabile. La notifica delle modifiche ai sub-responsabili viene fornita con 30 giorni di preavviso e i clienti mantengono diritti contrattuali di opposizione.

Tutti i sub-responsabili di Knowlee sono vincolati da DPA che soddisfano gli obblighi Art. 28(4) del GDPR — incluso il divieto esplicito di utilizzo dei dati dei clienti Knowlee per l'addestramento o il miglioramento del modello. I trasferimenti di dati fuori dal SEE sono coperti dalle Clausole Contrattuali Standard (2021/914/UE Modulo 2 e Modulo 3, ove applicabile).

Termini Correlati

• DPA — Accordo di trattamento dei dati
• GDPR e intelligenza artificiale
• Residenza dei dati
• Governance AI
• ISO 42001