Diventa Autore per CoreTech | Scopri di più
20/07/20 Avvocato Dalla Riva Blog
dell’Avvocato Gianluca Dalla Riva
Subito dopo l’effettiva applicazione del regolamento (UE) 679/2016 c.d. GDPR in data 25 maggio 2018, moltissimi MSP si sono trovati di fronte ai documenti più svariati, inviati dai loro clienti, contenenti nella migliore delle ipotesi, un DPA (Data Processing Agreement) ex art. 28 GDPR, per “essere a posto con il GDPR”.
Alcuni MSP, senza approfondita conoscenza della normativa privacy, per fare contenti i clienti hanno firmato di tutto, trovandosi ora per ogni cliente con un DPA diverso, con regole e adempimenti differenti, spesso in aperta violazione del GDPR.
Addirittura mi è capitato il caso in cui il DPA prevedeva l’assunzione di una responsabilità totale in capo all’MSP, con esonero di ogni obbligo in capo al cliente, senza contare molti svarioni rispetto allo stesso art. 28 GDPR.
Quando in sede di riunione ho fatto notare le varie problematiche, la risposta del cliente è stata che tanto l’MSP non tratta i dati del cliente e si tratta solo di una formalità. L’assenza poi di una formazione su queste tematiche ha reso impossibile qualsiasi spiegazione.
Io suggerisco sempre all’MSP di avere un suo DPA ben strutturato, in modo che abbia delle regole chiare uguali per tutti i clienti, senza impazzire con i più svariati documenti, spesso errati ed ingestibili.
Il contratto di assistenza informatica dell’MSP, oltre alla parte contrattuale, deve contenere in allegato un DPA che regolamenti, in conformità con l’art. 28 GDPR, la modalità di trattamento dei dati personali da parte dell’MSP, quale responsabile del trattamento in relazione ai servizi informatici offerti.
Non cedere di fronte alle richieste del cliente di farti firmare il suo DPA. Puoi, al limite valuta qualche modifica al tuo DPA, se proprio necessaria e giustificata dalle esigenze del cliente (per esempio divieto di trasferimento di dati all’estero), ma il DPA è il tuo.
Vedrai, come capitato a me, che se il tuo DPA è fatto bene, questo sarà molto apprezzato e se anche il tuo cliente si presenta con uno studio legale blasonato per controllare la compliance privacy, tutto sarà valutato con rispetto ed attenzione, magari chiederanno solo qualche chiarimento o una minima modifica ben giustificata.
Il DPA non è opzionale, è obbligatorio per essere compliance privacy: ti sto solo suggerendo di preparare il tuo DPA, non firmare quello dei clienti, perché prima o poi i nodi arrivano al pettine.