Protezione dei dati

Nomina del responsabile del trattamento art. 28 GDPR 2026 + modello contratto

Nomina del responsabile del trattamento ex art. 28 GDPR: quando serve il contratto (DPA), le clausole obbligatorie, un modello pronto e gli errori da evitare.

Also available in:English·Français·Español·Deutsch·et

Ogni volta che un fornitore tratta dati personali per conto della tua organizzazione, l’art. 28 del Regolamento (UE) 2016/679 (GDPR) impone di formalizzare il rapporto con un contratto scritto — l’atto di nomina a responsabile del trattamento, spesso chiamato Data Processing Agreement (DPA). Il contratto deve disciplinare oggetto, durata, natura e finalità del trattamento, tipo di dati e categorie di interessati, e contenere otto obblighi tassativi previsti dall’art. 28, par. 3. Senza questo atto, il titolare del trattamento risponde di un trattamento privo delle garanzie richieste e il rapporto con il fornitore è illecito. In termini italiani: il “titolare del trattamento” decide finalità e mezzi (in inglese controller), il “responsabile del trattamento” è il fornitore che tratta i dati per suo conto (in inglese processor). Questa guida spiega quando serve la nomina, quali clausole non possono mancare e fornisce un modello di atto pronto da adattare.

Quando serve la nomina a responsabile

La nomina è necessaria ogni volta che un soggetto esterno tratta dati personali seguendo le istruzioni del titolare, senza determinare autonomamente le finalità. Rientrano quindi quasi tutti i fornitori digitali e molti consulenti:

  • provider di hosting e cloud (server, data center, storage);
  • software as a service (CRM, gestionali, piattaforme di email marketing, help desk);
  • agenzie di marketing e web agency che gestiscono database o campagne;
  • consulente del lavoro e società di elaborazione paghe, che trattano i dati dei dipendenti per conto del datore di lavoro;
  • società di manutenzione IT, assistenza remota, backup e disaster recovery.

Non serve invece la nomina quando il fornitore agisce come titolare autonomo (ad esempio la banca, il commercialista che assolve obblighi propri di legge, il vettore postale nella parte in cui determina i propri trattamenti) o come contitolare. La qualificazione va fatta caso per caso guardando alla sostanza: chi decide “perché” e “come” si trattano i dati è titolare, chi si limita a eseguire istruzioni è responsabile. Le Linee guida EDPB 07/2020 sui concetti di titolare e responsabile aiutano a inquadrare i casi dubbi.

Le otto clausole obbligatorie dell’art. 28, par. 3

Il contratto deve stabilire che il responsabile:

  1. tratta i dati soltanto su istruzione documentata del titolare, anche per i trasferimenti verso paesi terzi (lett. a);
  2. garantisce che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di segretezza (lett. b);
  3. adotta tutte le misure di sicurezza richieste dall’art. 32 (lett. c);
  4. rispetta le condizioni per il ricorso a un altro responsabile (sub-responsabile), previste dai paragrafi 2 e 4 (lett. d);
  5. assiste il titolare con misure adeguate per dare seguito alle richieste degli interessati che esercitano i loro diritti, artt. 12-23 (lett. e);
  6. assiste il titolare nel garantire la sicurezza, la notifica delle violazioni, la valutazione d’impatto e la consultazione preventiva, artt. 32-36 (lett. f);
  7. su scelta del titolare, cancella o restituisce tutti i dati al termine del servizio ed elimina le copie esistenti, salvo obblighi di conservazione di legge (lett. g);
  8. mette a disposizione del titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi e consente audit e ispezioni (lett. h).

Modello di atto di nomina a responsabile del trattamento

Il testo seguente è uno schema di clausole da adattare al caso concreto (non sostituisce una valutazione legale sulle specificità del rapporto).

Atto di nomina a responsabile del trattamento (art. 28 GDPR)

Art. 1 – Oggetto e durata. Il Titolare nomina il Fornitore quale Responsabile del trattamento per le attività di [descrizione del servizio], per la durata del contratto di servizio sottostante. Il trattamento ha ad oggetto [tipo di dati] relativi a [categorie di interessati], per le finalità di [finalità].

Art. 2 – Istruzioni documentate. Il Responsabile tratta i dati esclusivamente in base alle istruzioni documentate del Titolare, comprese quelle sui trasferimenti extra UE. Informa senza ritardo il Titolare se un’istruzione gli appare in contrasto con la normativa.

Art. 3 – Riservatezza. Il Responsabile garantisce che le persone autorizzate al trattamento siano vincolate a un obbligo di riservatezza.

Art. 4 – Sicurezza. Il Responsabile adotta le misure tecniche e organizzative adeguate ai sensi dell’art. 32 (tra cui, ove pertinente, cifratura, pseudonimizzazione, controllo degli accessi, backup e test periodici).

Art. 5 – Sub-responsabili. Il Responsabile non ricorre a sub-responsabili senza autorizzazione scritta, generale o specifica, del Titolare, e impone loro per contratto i medesimi obblighi. Resta responsabile dell’operato del sub-responsabile.

Art. 6 – Assistenza sui diritti degli interessati. Il Responsabile assiste il Titolare, con misure adeguate, nel dar seguito alle richieste di esercizio dei diritti (artt. 12-23).

Art. 7 – Violazioni dei dati. Il Responsabile notifica al Titolare senza ingiustificato ritardo ogni violazione di dati personali di cui venga a conoscenza, fornendo le informazioni utili alla valutazione e alla notifica.

Art. 8 – Assistenza su DPIA e consultazione. Il Responsabile assiste il Titolare nelle valutazioni d’impatto e nell’eventuale consultazione preventiva del Garante (artt. 35-36).

Art. 9 – Sorte dei dati. Al termine del servizio, a scelta del Titolare, il Responsabile cancella o restituisce i dati ed elimina le copie, salvo obblighi legali di conservazione.

Art. 10 – Audit. Il Responsabile mette a disposizione le informazioni necessarie a dimostrare la conformità e consente audit e ispezioni condotte dal Titolare o da un terzo incaricato.

Art. 11 – Trasferimenti extra UE. Eventuali trasferimenti verso paesi terzi avvengono solo su istruzione del Titolare e con garanzie adeguate (artt. 44-49).

Sub-responsabili: le regole dell’art. 28, par. 4

Il responsabile può a sua volta avvalersi di altri fornitori (i sub-responsabili: si pensi a un SaaS che poggia su un provider cloud). L’art. 28, par. 2 richiede un’autorizzazione del titolare, generale o specifica; nel caso di autorizzazione generale, il responsabile deve informare il titolare delle modifiche riguardanti l’aggiunta o la sostituzione di sub-responsabili, dandogli la possibilità di opporsi. In forza dell’art. 28, par. 4, il sub-responsabile deve essere vincolato agli stessi obblighi e il responsabile risponde nei confronti del titolare del mancato adempimento del sub-responsabile.

Errori comuni da evitare

  • Fare affidamento sui soli termini di servizio del fornitore senza un DPA che ricalchi le otto clausole: il contratto è obbligatorio, non facoltativo.
  • Non censire il fornitore nel registro: ogni responsabile va tracciato nel registro dei trattamenti del titolare.
  • Ignorare la catena dei sub-responsabili, magari extra UE, e i relativi trasferimenti.
  • Non coordinare il DPA con il piano di risposta alle violazioni: i termini di notifica interna al titolare devono consentire di rispettare le 72 ore verso il Garante. Vedi la guida sulla notifica della violazione al Garante.
  • Non collegare le istruzioni ai tempi di conservazione: la sorte dei dati va allineata alla politica di conservazione e limitazione del titolare.

La vigilanza sulla filiera dei responsabili rientra tra i compiti che coinvolgono il Responsabile della protezione dei dati (RPD/DPO) e, per i trattamenti a rischio elevato, dialoga con la valutazione d’impatto. Per chi gestisce molti fornitori, mantenere aggiornati decine di DPA è oneroso: piattaforme come Legiscope consentono di generare e archiviare gli atti di nomina, tracciare i sub-responsabili e verificare la conformità delle catene di trattamento.

Per approfondire: il testo dell’art. 28 del Regolamento (UE) 2016/679 su EUR-Lex, le clausole contrattuali tipo tra titolari e responsabili — decisione (UE) 2021/915 adottate dalla Commissione ai sensi dell’art. 28, par. 7, e le indicazioni del Garante per la protezione dei dati personali.

Domande frequenti

Basta il contratto di servizio o serve un atto separato?

È sufficiente che le clausole dell’art. 28, par. 3 siano contenute in un atto giuridicamente vincolante e in forma scritta, anche elettronica. Può trattarsi di un allegato al contratto principale (il DPA) o di un atto separato di nomina. Ciò che conta è che siano presenti tutte le otto clausole e la descrizione di oggetto, durata, natura, finalità, tipo di dati e categorie di interessati.

Posso usare le clausole tipo della Commissione europea?

Sì. La decisione di esecuzione (UE) 2021/915 ha adottato clausole contrattuali tipo per il rapporto titolare-responsabile ai sensi dell’art. 28, par. 7. Adottarle offre un testo già conforme, da completare con gli allegati sul trattamento e sulle misure di sicurezza. Vanno però tenute distinte dalle clausole tipo per i trasferimenti extra UE (decisione 2021/914), che assolvono a una funzione diversa.

Cosa succede se il fornitore agisce oltre le istruzioni?

Se il responsabile determina autonomamente finalità e mezzi violando le istruzioni, l’art. 28, par. 10 stabilisce che è considerato titolare rispetto a quel trattamento, con la piena responsabilità che ne consegue. È un rischio concreto per fornitori che riutilizzano i dati dei clienti per proprie finalità (ad esempio addestramento di modelli o marketing).

Conclusione

La nomina del responsabile ex art. 28 non è un formalismo: è lo strumento con cui il titolare estende le proprie garanzie a tutta la filiera dei fornitori che toccano i dati personali. Ogni hosting, SaaS, agenzia o consulente del lavoro che tratta dati per tuo conto va inquadrato con un DPA che contenga le otto clausole obbligatorie, gestisca i sub-responsabili e disciplini la sorte dei dati. Partendo dal registro dei trattamenti per mappare i fornitori e allineando i DPA al piano sulle violazioni e alla politica di conservazione, si costruisce una catena di responsabilità solida e verificabile — la prima cosa che il Garante controlla quando un incidente coinvolge un terzo. Anche figure ricorrenti come lo studio legale e l’amministratore di condominio vanno collocate con precisione nella catena titolare-responsabile.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →