Quando si applica la gestione dei responsabili del trattamento e cosa fare dopo

La gestione dei responsabili del trattamento si applica quando un'altra organizzazione tratta dati personali per la tua azienda SaaS, oppure quando la tua azienda tratta dati dei clienti come responsabile e usa un altro soggetto sotto di se. La domanda pratica non e solo se esiste un vendor. E se la relazione implica dati personali trattati su istruzioni e se puoi dimostrare che la relazione e controllata.

Per i team SaaS la risposta e spesso si. Hosting, supporto, CRM, product analytics, billing, identity, observability, messaggistica clienti, security monitoring, strumenti AI, data warehouse e supporto esternalizzato possono creare rapporti di responsabile o subresponsabile.

L'articolo 28 GDPR richiede al titolare di usare solo responsabili che offrano garanzie sufficienti su misure tecniche e organizzative adeguate. Il trattamento deve essere regolato da un contratto o altro atto giuridico vincolante che descriva oggetto, durata, finalita, tipi di dati, categorie di interessati e diritti e obblighi del titolare.

Operativamente, il contratto deve coprire istruzioni documentate, riservatezza, sicurezza, condizioni per subresponsabili, assistenza sui diritti degli interessati, cancellazione o restituzione a fine servizio e informazioni per dimostrare la conformita.

Quando si applica chiaramente

Si applica chiaramente quando un terzo tratta dati personali per una finalita di prodotto o business definita e sotto le tue istruzioni.

Esempi SaaS comuni: infrastruttura cloud, helpdesk, chat, chiamate, email transazionali, product analytics, session replay, billing, pagamenti, piattaforme identity, log, backup, incident response, CRM, marketing automation, strumenti AI per riassumere o cercare contenuti, e servizi esterni di supporto o operations.

La stessa azienda puo avere piu ruoli. Un SaaS puo essere responsabile per dati del workspace cliente, titolare per web analytics e dati dei dipendenti, e titolare quando valuta i propri fornitori. Conta quindi la realta del trattamento piu dell'etichetta nel contratto.

Quando la risposta e meno ovvia

I casi limite riguardano accesso limitato, feature opzionali, strumenti interni o vendor che dicono di non archiviare dati cliente. Non saltare la review perche sono "solo metadati". Dati personali possono comparire in log, allegati supporto, identificatori, note account, telemetria, prompt, export e dashboard admin.

Le linee guida EDPB aiutano perche guardano a chi determina finalita e mezzi essenziali. Se il vendor usa i dati per migliorare il proprio prodotto, advertising, benchmark o training dei modelli, il rapporto potrebbe non essere un semplice rapporto con responsabile.

Cosa fare per primo

Inizia con un inventario rapido dei rapporti che toccano dati personali. Per ciascuno registra nome legale del vendor, prodotto, business owner, technical owner, workflow, ruolo, categorie di dati, soggetti interessati, accesso ai sistemi, DPA, subresponsabili, evidenze security, data location, trasferimenti, retention, cancellazione, disclosure clienti e prossima review.

Il registro non deve essere perfetto dal primo giorno. Deve essere utile abbastanza per far rispondere legal, security, product, procurement, customer success e audit owner dagli stessi fatti.

Inserirla nel workflow operativo

La gestione dei responsabili fallisce quando la review parte dopo il go-live. Il trigger deve stare in procurement, product launch, security review e vendor onboarding.

Un intake pratico chiede quali dati personali riceve o vede il vendor, quali clienti o utenti sono coinvolti, se ci sono subresponsabili, dove i dati sono ospitati o accessibili, se il vendor usa i dati per finalita proprie e quali prove esistono su DPA, sicurezza, trasferimenti e cancellazione.

Security valuta misure tecniche e organizzative. Privacy o legal valuta ruolo, DPA, istruzioni, subresponsabili e trasferimenti. Procurement gestisce contratto e rinnovi. Product o engineering possiede i limiti di configurazione. Compliance assicura che le evidenze siano ritrovabili.

Gestire i subresponsabili prima delle domande dei clienti

I subresponsabili contano due volte: i tuoi vendor possono usarne altri, e i tuoi clienti spesso si aspettano una lista chiara, notifiche di modifica e un processo di obiezione allineato al DPA.

L'articolo 28 richiede autorizzazione scritta preventiva, specifica o generale. In pratica servono una pagina o schedule stabile, un workflow di approvazione e la prova della review prima dell'aggiunta.

Evidenze che reggono una review

Evidenze utili includono DPA o online terms, analisi del ruolo, questionario security, documentazione security, lista subresponsabili, garanzia di trasferimento, ticket di approvazione, decisione sul rischio residuo, impostazioni di retention, procedura di cancellazione e disclosure clienti.

Questo sostiene la pianificazione GDPR, data protection by design and default, data minimisation e l'idea che GDPR non e solo cookie banner.

Esempio pratico

Un'azienda SaaS vuole aggiungere uno strumento AI che riassume ticket di supporto. Lo strumento puo ricevere nomi, email, account ID, contenuto dei ticket, allegati e metadati. Il team decide prima se il vendor agisce come responsabile o usa il contenuto per finalita proprie. Poi verifica DPA, istruzioni, sicurezza, subresponsabili, hosting, trasferimenti, retention, controlli sul training e impegni verso clienti.

Se approvato, il registro documenta workflow, categorie di dati, owner, termini, trasferimento, configurazione, status dei subresponsabili, posizione delle evidenze e data di review.

FAQ

Cosa devono capire i team?

Che la gestione si applica quando terzi trattano dati personali per l'azienda o sotto il suo ruolo di responsabile. Deve produrre owner, trigger, evidenze contrattuali, evidenze security, controlli sui subresponsabili e record audit-ready.

Perche conta in pratica?

Perche i team SaaS dipendono da terzi per prodotto e business. Senza controllo, DPA, informative privacy, questionari security e risposte audit possono allontanarsi dalla realta.

Cosa documentare prima?

Inizia dai rapporti che incidono su dati clienti, security review, trasferimenti, subresponsabili, AI o disclosure clienti. Assegna owner, conferma il ruolo e raccogli evidenze DPA e security.

Sources

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR.
• Information Commissioner's Office, Contracts and liabilities between controllers and processors.
• European Commission, Standard contractual clauses for controllers and processors in the EU/EEA.