Diventa Autore per CoreTech | Scopri di più





MSP (Managed Service Provider) e DPA (Data Processing Agreement): Uno, Nessuno, Centomila

20/07/20 Avvocato Dalla Riva Blog

dell’Avvocato Gianluca Dalla Riva

 

Subito dopo l’effettiva applicazione del regolamento (UE) 679/2016 c.d. GDPR in data 25 maggio 2018, moltissimi MSP si sono trovati di fronte ai documenti più svariati, inviati dai loro clienti, contenenti nella migliore delle ipotesi, un DPA (Data Processing Agreement) ex art. 28 GDPR, per “essere a posto con il GDPR”.

Alcuni MSP, senza approfondita conoscenza della normativa privacy, per fare contenti i clienti hanno firmato di tutto, trovandosi ora per ogni cliente con un DPA diverso, con regole e adempimenti differenti, spesso in aperta violazione del GDPR.

Addirittura mi è capitato il caso in cui il DPA prevedeva l’assunzione di una responsabilità totale in capo all’MSP, con esonero di ogni obbligo in capo al cliente, senza contare molti svarioni rispetto allo stesso art. 28 GDPR.

Quando in sede di riunione ho fatto notare le varie problematiche, la risposta del cliente è stata che tanto l’MSP non tratta i dati del cliente e si tratta solo di una formalità. L’assenza poi di una formazione su queste tematiche ha reso impossibile qualsiasi spiegazione.

Io suggerisco sempre all’MSP di avere un suo DPA ben strutturato, in modo che abbia delle regole chiare uguali per tutti i clienti, senza impazzire con i più svariati documenti, spesso errati ed ingestibili.

Il contratto di assistenza informatica dell’MSP, oltre alla parte contrattuale, deve contenere in allegato un DPA che regolamenti, in conformità con l’art. 28 GDPR, la modalità di trattamento dei dati personali da parte dell’MSP, quale responsabile del trattamento in relazione ai servizi informatici offerti.

Non cedere di fronte alle richieste del cliente di farti firmare il suo DPA. Puoi, al limite valuta qualche modifica al tuo DPA, se proprio necessaria e giustificata dalle esigenze del cliente (per esempio divieto di trasferimento di dati all’estero), ma il DPA è il tuo.

Vedrai, come capitato a me, che se il tuo DPA è fatto bene, questo sarà molto apprezzato e se anche il tuo cliente si presenta con uno studio legale blasonato per controllare la compliance privacy, tutto sarà valutato con rispetto ed attenzione, magari chiederanno solo qualche chiarimento o una minima modifica ben giustificata.

Banner

Il DPA non è opzionale, è obbligatorio per essere compliance privacy: ti sto solo suggerendo di preparare il tuo DPA, non firmare quello dei clienti, perché prima o poi i nodi arrivano al pettine.


Articoli su GDPR

Corso di formazione Online GDPR e Privacy!Il corso generale sul regolamento GDPR, disponibile dal 21 Giugno 2021!In arrivo il corso generale sul regolamento GDPRNuovo Corso GDPRTalk: Compliance Privacy e aspetti pratici: da dove cominciare?Corso Online GDPR e Privacy!Video corso Data Breach - Sai cosa gestirne uno?Gdpr - Privacy Multa del garante di 600 mila euro ad una banca a seguito di un Data Breach.Come avvicinarsi alla Privacy con il metodo SocraticoGarante contro Inps: software di controllo dei certificati medico-legaliCrowdfunding e regolamento GDPR: niente soldi senza Compliance PrivacyGestione Data Breach: non buttare via i dati compromessiRuoli Privacy: MSP quale responsabile del trattamentoMSP (Managed Service Provider) e DPA (Data Processing Agreement): Uno, Nessuno, CentomilaGDPR – PRIVACY Analisi e gestione del rischio: quale regola tecnica scegliere?Obbligo di formazione Privacy anche sulla gestione dei Data BreachAttacchi Social Engineering e MSP: la procedura di riconoscimentoLa nuova frontiera della consulenza: la PrivacyPrivacy Shield: cos’è e perché l’Ue lo annullaGDPR – PRIVACY: una multa di 80 mila euro per la mancata risposta ad una lettera all’interessatoAvvocato Dalla Riva - MSP e gestione dei Data Breach. Quale approccio? | Summit LiveCoreTech partecipa a DATA TALK 2018 - Sicurezza informa e GDPRStrumenti Tecnici per GDPR versione 1.0Perché Sygma costa così poco?Il GDPR con Sygma è più facile!Bollettino Cloud - Marzo 2018GDPR che pa..e!Dati al sicuro e GDPR compliance? Semplice…. 1Backup!GDPR e la sicurezza dei dati, nuovi obblighi

Video Premium su GDPR

Corsi Premium - GDPR