Enterprise

Il Data Processing Agreement GDPR, spiegato

Ambito del trattamento, subresponsabili, meccanismi di trasferimento ed esecuzione — cosa copre il DPA e il percorso esatto che il tuo team privacy segue per farlo firmare.

Il Data Processing Agreement GDPR di Ciao è il contratto che governa come Ciao tratta i dati personali per tuo conto: l'ambito del trattamento, i subresponsabili coinvolti — inclusi i fornitori di modelli che operano sotto contratti a conservazione zero — e i meccanismi di trasferimento applicabili. A differenza dei fornitori che trattano il DPA come un ripensamento, Ciao lo instrada attraverso un percorso di procurement definito così il tuo team legale revisiona ed esegue documenti reali, non riassunti.

Ideale perRevisione privacy e DPOOnboarding fornitori GDPRDue diligence sui subresponsabili

Pubblicato 2026-07-03 · Ultimo aggiornamento 2026-07-03

Perché il DPA è dove le piattaforme AI si bloccano

Per un team privacy europeo — o qualsiasi team che serve utenti europei — il DPA non è carta straccia, è il controllo. Definisce cosa può fare il responsabile del trattamento con i dati personali, quali subresponsabili li toccano, e su quale base legale i dati attraversano i confini. Una piattaforma di sviluppo AI aggiunge un livello che i vecchi modelli di DPA non hanno mai anticipato: fornitori di modelli, seduti nella catena di trattamento, con il proprio comportamento di conservazione.

È qui che molte valutazioni di strumenti AI si bloccano. La demo del prodotto va bene, poi l'ufficio privacy chiede l'elenco dei subresponsabili e i termini di conservazione del fornitore di modelli, e la risposta del fornitore è un thread di ticket di supporto. Passano settimane. Gli accordi — e i progetti interni — muoiono in quel divario, non perché la risposta fosse cattiva ma perché nessuno l'aveva messa per iscritto.

L'approccio di Ciao è rendere il DPA un artefatto di procurement di prima classe. L'accordo copre il trattamento che Ciao esegue per gestire la piattaforma, nomina le categorie di subresponsabili coinvolti, e si affianca agli impegni che i tuoi revisori vorranno vedere accanto ad esso: il codice del cliente non viene usato per addestrare i modelli, l'inferenza gira sotto contratti modello a conservazione zero, e i report SOC 2 Type II sono disponibili sotto NDA.

Cosa copre il DPA

  • Ambito e ruoli del trattamento — Cosa tratta Ciao per tuo conto per gestire la piattaforma, in quale ruolo, e per quale scopo — la base responsabile-subresponsabile su cui è costruita la tua valutazione privacy.
  • Subresponsabili — Le categorie di subresponsabili dietro la piattaforma — infrastruttura cloud e fornitori di modelli tra loro — con l'elenco attuale mantenuto come parte del set di documenti del DPA che il tuo team revisiona prima di firmare.
  • Fornitori di modelli dentro il quadro — Il livello del modello è trattato come parte della catena di trattamento, non un'eccezione ad essa: l'inferenza gira sotto contratti modello a conservazione zero, e il codice del cliente non viene usato per addestrare i modelli.
  • Meccanismi di trasferimento — I meccanismi legali applicabili a qualsiasi trasferimento transfrontaliero sono documentati nell'accordo, così il tuo DPO valuta il linguaggio reale piuttosto che rassicurazioni.
  • Configurazioni di deploy che riducono la domanda — Distribuire nel tuo account AWS, Azure o GCP, in una VPC privata, o on-prem con termini separati mantiene i dati applicativi dentro un'infrastruttura che controlli, semplificando l'analisi di residenza. Vedi la pagina sulla residenza dei dati per quella dimensione.
  • Misure di sicurezza con prove dietro di esse — Le misure tecniche e organizzative richiamate dal DPA si collegano ad artefatti verificabili: report SOC 2 Type II sotto NDA e il security pack su richiesta.

Come eseguire il DPA

  1. 1. Richiedi il set di documenti

    Contatta il team enterprise tramite la pagina dei contatti e chiedi il DPA insieme al security pack — sono progettati per essere revisionati insieme.

  2. 2. Revisiona ambito e subresponsabili

    Il tuo team privacy mappa la descrizione del trattamento e l'elenco dei subresponsabili contro i tuoi registri del trattamento e il tuo framework di rischio.

  3. 3. Valuta il livello del modello

    Revisiona gli impegni di conservazione zero e nessun addestramento come parte dello stesso esercizio; se porti le tue chiavi o endpoint di modello, i tuoi termini fornitore esistenti si inseriscono nell'analisi.

  4. 4. Risolvi le domande con una controparte

    Le domande sul DPA vengono instradate al team enterprise come parte del procurement — un processo dedicato, non un forum comunitario.

  5. 5. Esegui e archivia

    Il DPA firmato diventa parte del tuo fascicolo fornitore insieme al report SOC 2 Type II revisionato sotto NDA, dando ai tuoi auditor un unico set di prove coerente.

Note di verifica e commerciali

Una pagina come questa non può sostituire l'accordo stesso, e non ci prova: il DPA, l'elenco dei subresponsabili e i termini sulla gestione dei dati sono documenti che il tuo team legale legge integralmente durante il procurement. Ciò a cui questa pagina si impegna è il percorso — richiesta tramite la pagina dei contatti, revisione con una controparte enterprise dedicata, esecuzione come parte dell'impegno. L'esecuzione del DPA è inclusa nel procurement enterprise piuttosto che venduta separatamente; i programmi di produzione seri partono da 10.000 USD all'anno. Niente qui è consulenza legale — è una descrizione del workflow e dei documenti, per le persone il cui lavoro è valutarli.

Un consiglio pratico da team che hanno condotto questa revisione velocemente: parallelizza. Invia il DPA alla privacy, il report SOC 2 Type II alla sicurezza e i termini commerciali al procurement nella stessa settimana — il set di documenti è progettato così che le tre revisioni non si blocchino a vicenda, e il team enterprise può seguire tutti e tre i thread contemporaneamente.

La checklist del revisore del DPA, mappata

Domanda del revisoreDove vive la risposta
Quale trattamento esegue il fornitore?Ambito del trattamento nel DPA
Chi sono i subresponsabili?Elenco dei subresponsabili nel set di documenti del DPA
I fornitori di modelli conservano o addestrano sui nostri dati?Contratti modello a conservazione zero; nessun addestramento sul codice del cliente — termini contrattuali
Quali meccanismi di trasferimento si applicano?Disposizioni sul trasferimento nel DPA
Quali misure di sicurezza lo sostengono?Report SOC 2 Type II sotto NDA; security pack su richiesta
Dove girano fisicamente i dati applicativi?Configurazione di deploy: cloud Ciao, il tuo account cloud, VPC privata, o on-prem con termini separati

Domande frequenti

Come otteniamo il DPA?

Richiedilo tramite la pagina dei contatti come parte di una conversazione enterprise. Arriva con il security pack e i termini sulla gestione dei dati così le tue revisioni privacy e sicurezza possono girare in parallelo piuttosto che in sequenza.

I fornitori di modelli sono elencati come subresponsabili?

Il livello del modello è documentato come parte della catena di trattamento nel set di documenti del DPA, insieme agli impegni che contano di più: l'inferenza gira sotto contratti modello a conservazione zero, e il codice del cliente non viene usato per addestrare i modelli.

Come vengono comunicate le modifiche ai subresponsabili?

Il meccanismo di notifica è definito nel DPA stesso — il tuo team revisiona i termini esatti durante il procurement piuttosto che affidarsi a una parafrasi qui. L'elenco attuale dei subresponsabili fa parte del set di documenti che ricevi.

Il deploy nel nostro cloud cambia l'analisi del DPA?

La restringe. Quando l'applicazione gira nel tuo account AWS, Azure o GCP, in una VPC privata, o on-prem con termini separati, i dati applicativi restano dentro un'infrastruttura che controlli, il che semplifica le domande su residenza e trasferimento a cui il tuo DPO deve rispondere.

Il nostro consulente esterno può revisionare prima che ci impegniamo commercialmente?

Sì. Il DPA e il security pack vengono condivisi durante il procurement proprio perché la revisione legale avvenga prima della firma, insieme al report SOC 2 Type II sotto NDA. Coinvolgi il tuo consulente il prima possibile — i documenti sono pronti per lui.

Pagine correlate

Ottieni il security pack.

DPA GDPR: ambito, subresponsabili, firma | Ciao