Subappaltatori GDPR: perché la valutazione dei fornitori di servizi è diventata una questione cruciale per la tua azienda.
L'esternalizzazione dell'elaborazione dei dati a un fornitore di servizi non esonera mai l'azienda dalle sue responsabilità. Dal 2021, l' CNIL ha aumentato le sanzioni contro le organizzazioni che non avevano valutato o regolamentato adeguatamente le proprie subappaltatore GDPR 1 milione di euro contro Mobius Solutions nel dicembre 2025, 1,5 milioni di euro contro Dedalus Biologie, 600.000 euro contro Canal+ Group, 800.000 euro contro Discord. Il messaggio è chiaro: esternalizzate l'elaborazione di dati personali non si tratta di delegare la conformità.
Per i manager, la questione si è spostata dalle questioni legali alla gestione del rischio. Valutare i fornitori di servizi, formalizzare l'accordo di subappalto GDPRMonitoraggio della filiera nel tempo: si tratta di obblighi legali la cui inosservanza comporta costi elevati.
Comprendere il ruolo del subappaltatore GDPR e i suoi obblighi
Chi è da considerarsi un subappaltatore ai sensi del GDPR?
Il GDPR definisce responsabile del trattamento dei dati qualsiasi persona fisica o giuridica che elabora i dati dati personali per conto di controller datiNon appena un fornitore di servizi accede, ospita, analizza o memorizza dati personali che gli affidi, è un subappaltatore: fornitori di servizi cloud, editori di SaaS, fornitori di servizi di elaborazione paghe, agenzie di marketing, call center, CRM, fornitori di servizi di posta elettronica, aziende di manutenzione IT.
Il confine con lo status di controller dati non è sempre ovvio. Un fornitore di servizi che decide lo scopo o i mezzi del trattamento dei dati passa a una categoria superiore e quindi ne assume la piena responsabilità. Questa è proprio la trappola in cui è caduta Mobius Solutions Ltd, multata di un milione di euro dalla CNIL nel dicembre 2025 per aver riutilizzato i dati di Deezer per migliorare i propri servizi, senza alcuna istruzione da parte del cliente.
Gli obblighi del subappaltatore come delineato nell'articolo 28
L'articolo 28 del GDPR elenca specificamente obblighi del subappaltatore : agire solo su istruzioni documentate, garantire la riservatezza del personale autorizzato, attuare misure di sicurezza tecniche e organizzative adeguate, assistere il controller dati nella gestione dei diritti individuali e nella segnalazione delle violazioni, nella cancellazione o restituzione dei dati al termine del servizio e nel mantenimento di un registro delle attività di elaborazione specifica per la sua attività.
Quest'ultimo obbligo viene spesso trascurato. Tuttavia, la CNIL (Autorità francese per la protezione dei dati) lo ha citato in diverse sanzioni recenti, tra cui il caso Mobius Solutions. Non tenere un registro significa privarsi della principale prova di conformità in caso di verifica.
Subappalto a cascata: è obbligatoria l'autorizzazione preventiva.
Un subappaltatore può ingaggiare un subappaltatore successivo ("a cascata") solo con previa autorizzazione scritta, specifica o generale, da parte del controller datiNel caso di autorizzazione generale, il fornitore deve informare il cliente di qualsiasi modifica per consentirgli di opporsi. Un fornitore di SaaS che si affida a un fornitore di hosting cloud, il quale a sua volta utilizza un sub-fornitore di monitoraggio, deve essere in grado di documentare ogni anello della catena.
L'obbligo di valutare i subappaltatori: un dovere troppo spesso trascurato
Un obbligo esplicito e strutturante del GDPR
L'articolo 28, paragrafo 1 del GDPR è inequivocabile: il controller dati "Utilizza solo subappaltatori che offrono garanzie adeguate." Non si tratta di una raccomandazione, bensì di un obbligo. Prima di stipulare un contratto, il responsabile deve accertarsi che il fornitore di servizi possieda le competenze, le procedure e l'organizzazione necessarie per elaborare i dati in conformità alla normativa vigente.
Ciò implica una procedura di valutazione formalizzata: griglia dei criteri, questionario di conformità, richiesta di documenti di supporto (politica di sicurezza, certificazioni, DPA, registro, designazione di un Responsabile della protezione dei dati), analisi dei subappaltatori successivi, verifica della posizione del server e di qualsiasi potenziale trasferimenti di dati al di fuori dell'UE. Questa valutazione deve essere tracciata e conservata; senza di essa, il responsabile non sarà in grado di dimostrare né la propria diligenza né il rispetto del principio di responsabilità.
Sanzioni della CNIL che dovrebbero allertare i manager
Nel 2024, il CNIL Ha emesso 87 sanzioni per un totale di oltre 55 milioni di euro. Diversi casi recenti dimostrano che la valutazione e la regolamentazione dei suoi fornitori di servizi sono diventate un'area chiave di controllo.
Il caso Dedalus Biologie (aprile 2022, 1,5 milioni di euro) rimane emblematico. CNIL L'Autorità francese per la concorrenza ha sanzionato questa azienda produttrice di software per laboratori medici a seguito di una massiccia violazione di dati sanitari. Oltre alla falla di sicurezza, la motivazione principale addotta è stata l'assenza di clausole obbligatorie ai sensi dell'articolo 28 nei contratti standard. Questa decisione ha segnato una svolta: ora un subappaltatore può essere sanzionato direttamente per non aver formalizzato correttamente il rapporto, indipendentemente dalla responsabilità del cliente.
Il caso Mobius Solutions Ltd / Deezer (dicembre 2025, 1 milione di euro) illustra le carenze più frequenti: conservazione dei dati oltre la scadenza del contratto, trattamento dei dati al di fuori delle istruzioni del cliente, mancanza di registro, assenza di misure di sicurezza che hanno portato alla pubblicazione dei dati di diversi milioni di utenti sul dark web.
Il caso Discord (2022, 800.000 euro) sta portando a sanzioni a favore del controller dati l'assenza di un contratto conforme all'articolo 28. Canal+ Group, multato di 600.000 euro nel 2022, è stato sanzionato in particolare per la mancanza di accordi contrattuali sufficienti. A partire dal 27 gennaio 2021, il CNIL ha inaugurato la sua dottrina sanzionando simultaneamente un controller dati (€150.000) e il suo subappaltatore (€75.000) per non aver adottato misure contro la falsificazione di credenziali.
Cosa esamina la CNIL nelle sue verifiche
Man mano che vengono prese le decisioni, la griglia di controllo del CNIL I dettagli sono diventati più chiari. L'autorità sta verificando l'esistenza di un Accordo di subappalto GDPR scritto e conforme all'articolo 28, la documentazione delle istruzioni, l'elenco aggiornato dei subappaltatori successivi, le misure tecniche e organizzative effettivamente attuate, le procedure di notifica per un violazione dei datile modalità di assistenza alle persone nell'esercizio dei loro diritti, le condizioni per la risoluzione del contratto e la tracciabilità delle verifiche effettuate.
Per preparare la tua organizzazione a questi punti di controllo, il nostro Una guida completa agli audit di conformità al GDPR descrive in dettaglio la metodologia da applicare.
Desideri proteggere la tua catena di subappalto e dimostrare la tua conformità?
Costruire un solido quadro contrattuale: l'accordo di subappalto previsto dal GDPR
Le clausole imperative dell'articolo 28, paragrafo 3
L'accordo sul trattamento dei dati (DPA), O Accordo di subappalto GDPRdeve includere un insieme di clausole fondamentali previste dal regolamento: oggetto e durata del trattamento, natura e finalità, tipologia dei dati e categorie di persone, obblighi e diritti del titolare del trattamento controller datiDeve inoltre includere otto impegni specifici da parte del subappaltatore: agire secondo istruzioni documentate, garantire la riservatezza, adottare le misure di sicurezza necessarie, avvalersi di subappaltatori successivi solo previa autorizzazione, contribuire a rispondere alle richieste degli interessati, fornire assistenza in materia di sicurezza e notifica, restituire o cancellare i dati al termine del contratto e mettere a disposizione tutte le informazioni necessarie per le verifiche.
I termini e le condizioni standard di un editore sono generalmente insufficienti, come ad esempio CNIL Dedalus e molti altri fornitori di servizi, che da allora sono stati sanzionati, sono stati criticati per questo. È essenziale una revisione contratto per contratto.
Insidie da evitare nella scrittura
Diversi errori compromettono regolarmente la conformità. Una clausola che esenta totalmente il subappaltatore dalla responsabilità non è applicabile nei confronti del CNIL per quanto riguarda la vittima di una perdita. Un elenco mancante o obsoleto dei subappaltatori successivi espone il controller dati verso un fallimento. Le misure di sicurezza descritte in modo vago sono insufficienti: il CNIL attende un documento di riferimento concreto, verificabile e datato. L'assenza di una procedura di notifica della violazione, o di termini incompatibili con le 72 ore imposte al controller dati, viene sistematicamente trattenuta nei confronti dei subappaltatori inadempienti.
Il ruolo centrale del DPO e della governance dei dati
IL Responsabile della protezione dei dati Il responsabile della protezione dei dati (DPO) svolge un ruolo fondamentale: guida la valutazione dei fornitori di servizi, convalida le clausole contrattuali, supervisiona il registro dei subappaltatori e avvisa la direzione dei rischi. In assenza di Responsabile della protezione dei datiQueste missioni devono essere svolte da una funzione chiaramente identificata. governance dei dati si basa in gran parte sulla capacità di mantenere nel tempo il rapporto con i subappaltatori.
Gestione del rapporto nel tempo: audit, monitoraggio e gestione degli incidenti
Un obbligo continuativo, non una formalità di firma
Inserirlo in un contratto non è sufficiente. controller dati deve garantire nel tempo che il suo fornitore di servizi rispetti i suoi impegni: audit periodici, revisione annuale del DPA, aggiornamento sistematico in caso di modifiche (nuovo subappaltatore successivo, nuovo ambito, nuova posizione del server).
Là CNIL è esplicito: l'utilizzo di un subappaltatore non esenta mai controller dati del suo dovere di diligenza. La sanzione inflitta a Canal+ si basava proprio sulla constatazione che non era stata implementata un'efficace supervisione dei fornitori di servizi. Al contrario, un'azienda in grado di produrre rapporti di audit, questionari compilati e piani d'azione dimostra la propria diligenza, anche in caso di incidente.
IL Modulo per subappaltatori Viqtor Centralizza la valutazione, il contratto, i subappaltatori successivi, le verifiche e la cronologia degli scambi in un unico archivio.
Risposta a una violazione dei dati che coinvolge un fornitore di servizi
Una parte significativa delle violazioni segnalate ogni anno al CNIL coinvolge un subappaltatore. Il controller dati Pertanto, un sistema di allerta rapida deve essere incluso nel contratto fin dall'inizio. Il subappaltatore è tenuto a informare il proprio cliente "il prima possibile", il che in pratica significa entro 24-48 ore per consentire la notifica entro il termine legale di 72 ore. CNILLa nostra pagina dedicata a dichiarazione di violazione dei dati Descrive dettagliatamente i passaggi.
Cosa devi notare
- Qualsiasi fornitore di servizi che si occupa di dati personali per il tuo account è un subappaltatore GDPRe implica la tua responsabilità, così come la sua.
- La valutazione preventiva di un subappaltatore è un obbligo esplicito ai sensi dell'articolo 28, paragrafo 1, del GDPR, non una buona prassi.
- IL Accordo di subappalto GDPR (DPA) devono includere tutte le clausole obbligatorie dell'articolo 28; le condizioni generali standard non sono quasi mai sufficienti.
- Le sanzioni CNIL Casi recenti (Mobius 1 milione di euro, Dedalus 1,5 milioni di euro, Canal+ 600.000 euro, Discord 800.000 euro) dimostrano che l'autorità sanziona sia i fornitori di servizi inadempienti che i clienti negligenti.
- La conformità viene dimostrata attraverso la documentazione: registri, audit, rapporti, piani d'azione.
- Un rapporto di subappalto si gestisce nel tempo, non solo al momento della firma del contratto.
Domande frequenti — Subappaltatore GDPR
Quali sono gli obblighi di un subappaltatore ai sensi del GDPR?
Il subappaltatore deve agire solo su istruzioni documentate da controller datigarantire la riservatezza, implementare misure di sicurezza adeguate, tenere traccia delle proprie attività, assistere il cliente nella gestione dei diritti e delle violazioni, avvalersi di subappaltatori successivi solo previa autorizzazione scritta e restituire o cancellare i dati al termine del contratto.
Un subappaltatore può avvalersi di un altro subappaltatore (subappalto a cascata)?
Sì, con previa autorizzazione scritta da parte del controller datiAutorizzazione specifica o generale. Nel caso di autorizzazione generale, il subappaltatore deve informare il committente di qualsiasi modifica per consentirgli di opporsi. Il subappaltatore iniziale rimane pienamente responsabile dell'adempimento degli obblighi da parte del subappaltatore successivo e deve imporre a quest'ultimo gli stessi obblighi contrattuali.
Quali sanzioni rischia un subappaltatore per la mancata conformità al GDPR?
Un subappaltatore può essere sanzionato dal CNIL fino a 10 milioni di euro o 2.140.000 del suo fatturato annuo mondiale, a seconda di quale dei due importi sia maggiore. Mobius Solutions Ltd (1 milione di euro a dicembre 2025) e Dedalus Biologie (1,5 milioni di euro ad aprile 2022) sono esempi recenti. Il subappaltatore può anche essere ritenuto responsabile nei confronti delle persone interessate ai sensi dell'articolo 82.
Quali clausole dovrebbero essere incluse in un contratto di subappalto conforme al GDPR?
IL DPA Deve descrivere l'oggetto, la durata, la natura e lo scopo del trattamento, le categorie di dati e di persone fisiche e includere gli otto impegni di cui all'articolo 28, paragrafo 3: istruzioni documentate, riservatezza, sicurezza, controllo dei sub-responsabili del trattamento successivi, assistenza nell'esercizio dei diritti delle persone fisiche, assistenza nella notifica, nella restituzione o nella distruzione dei dati al termine del contratto e nella fornitura di informazioni per le verifiche. Deve essere allegato l'elenco dei sub-responsabili del trattamento successivi.
Come scegliere un subappaltatore conforme al GDPR per una PMI?
La valutazione si basa su alcuni criteri chiave: l'esistenza di un DPA conforme, presenza di un Responsabile della protezione dei datiUbicazione dei dati (preferibilmente nell'UE), certificazioni di sicurezza (ISO 27001, HDS per il settore sanitario), un elenco aggiornato dei subappaltatori successivi, referenze e storico degli incidenti. Un questionario di conformità formale compilato e conservato funge da prova della dovuta diligenza in caso di audit.
Quali sono le responsabilità di un fornitore di servizi di cloud hosting in qualità di subappaltatore ai sensi del GDPR?
Un fornitore di hosting cloud che ospita dati personali Per il cliente, si tratta di un subappaltatore. Il subappaltatore deve garantire la sicurezza (crittografia, controllo degli accessi, backup), informare il cliente in caso di violazione, supervisionare i subappaltatori successivi, consentire la portabilità dei dati e la loro cancellazione efficace, e fornire trasparenza in merito alla localizzazione e ai trasferimenti dei dati. Per i dati sanitari, sono richieste certificazioni specifiche come HDS.
Valutare, supervisionare e gestire i subappaltatori non è qualcosa che si può improvvisare.
Per saperne di più: trova tutte le nostre risorse sulla conformità al GDPR su Piattaforma Viqtor.