Logo Patrick Pasquillo - Digital Maker e consulente software in Ticino

mail@patrickpasquillo.net

+41 76 320 99 34

Cos'è un DPA e perché ogni PMI svizzera ne ha bisogno prima di usare strumenti AI

Cosa è un DPA e perché ogni PMI svizzera ne ha bisogno prima di usare strumenti AI

  • Patrick Pasquillo
  • 14 Maggio 2026
  • 2:33 pm
  • 0 commenti
10 minuti di lettura

Stai usando ChatGPT, un CRM cloud o un tool di e-mail marketing per il tuo lavoro? Senza un DPA con il fornitore sei il responsabile legale di tutto ciò che accade ai tuoi dati.

Che cos'è un DPA e cosa regola esattamente

DPA è l'acronimo di Data Processing Agreement, in italiano significa Accordo sul Trattamento dei Dati o Contratto per il Trattamento dei Dati Personali. È il documento contrattuale che definisce le responsabilità tra due soggetti quando uno di loro tratta dati personali per conto dell'altro. Si applica con ogni servizio che utilizzi per attività aziendali.

Per capire perché è necessario occorre chiarire due concetti che la nLPD e il GDPR (le leggi sulla privacy largamente utili agli imprenditori in Ticino e in Svizzera) distinguono con precisione.

Il titolare del trattamento è il soggetto che decide perché e come vengono trattati i dati personali. Nella pratica è la tua azienda, perché sei tu che decidi di raccogliere i dati dei tuoi clienti, conservarli e usarli per le tue attività.

Il responsabile del trattamento è invece il soggetto che tratta quei dati per conto tuo, seguendo le tue istruzioni.

È il tuo provider di hosting, il tuo software CRM, lo strumento AI che usi per produrre documenti tramite i dati dei clienti, la piattaforma di e-mail marketing su cui hai la lista dei tuoi contatti, la piattaforma dove pubblichi foto degli eventi e così via.

La logica è semplice, se un tuo fornitore tecnologico tratta dati personali dei tuoi clienti o anche dei tuoi dipendenti, la responsabilità verso quegli interessati resta tua. Tu hai scelto quel fornitore, tu lo paghi, tu ne rispondi di fronte alla legge. Il DPA è il contratto che formalizza questa relazione, definisce i limiti di ciò che il fornitore può fare con quei dati e ti permette di dimostrare di aver fatto le verifiche e le scelte che la nLPD ti impone.

Il DPA non è burocrazia secondaria, ma è la prova che hai scelto i tuoi fornitori con criterio e che sai esattamente chi tocca i dati dei tuoi clienti.

Il problema reale: le PMI ticinesi usano decine di strumenti senza nessun DPA

Fai questo esercizio mentale, elenca tutti gli strumenti digitali che la tua azienda usa ogni settimana.

CRM, e-mail marketing, software di videoconferenza, indirizzi e-mail aziendali, software di organizzazione appuntamenti o attività, strumenti AI per la produttività, piattaforme di gestione documentale, il gestionale in cloud, il software di contabilità, il form di contatto del sito web, tutti i plugin del tuo sito web che trattano dati personali.

Ognuno di questi strumenti, infatti, se tratta dati personali dei tuoi clienti o dei tuoi dipendenti richiede un DPA firmato con il fornitore.

Nella pratica la maggior parte delle PMI ticinesi non ne ha nessuno. Perché nessuno lo ha mai spiegato in modo chiaro e pratico, perché i fornitori non lo propongono spontaneamente nella versione consumer (cioè adatta solo ai privati) o nelle versioni gratuite (peggio ancora), e perché la priorità nella scelta di uno strumento è quasi sempre la funzionalità o il prezzo ma non ci si sofferma sulla struttura contrattuale di protezione dei dati.

La situazione si è aggravata ulteriormente con la diffusione degli strumenti AI.

ChatGPT nella versione gratuita o Plus non offrono un DPA: i dati che inserisci nelle conversazioni possono essere usati da OpenAI per addestrare i modelli o per altri scopi.

Questo significa che se incollate in ChatGPT il nome di un cliente, un preventivo, un contratto o qualsiasi dato personale di un terzo, state trasferendo quei dati a un soggetto che non è vincolato da nessun accordo contrattuale con voi. Dal punto di vista della nLPD siete quindi voi i responsabili di quel trasferimento.

La versione business-grade degli stessi strumenti, ChatGPT Enterprise, Claude for Business, Microsoft Copilot for Business, offre invece un DPA che esclude l'uso dei dati per l'addestramento dei modelli e garantisce standard di sicurezza documentabili. La differenza non è soltanto tecnica ma è contrattuale e legale.

L'errore più comune: confondere l'accettazione dei Termini di Servizio con il DPA

Quando crei un account su qualsiasi piattaforma digitale accetti i Termini di Servizio (ToS) e l'Informativa sulla Privacy. Molti titolari di PMI pensano che questo basti a regolare il rapporto con il fornitore anche dal punto di vista della protezione dei dati. Purtroppo non è così.

I Termini di Servizio regolano il rapporto commerciale tra te e il fornitore del servizio. L'Informativa sulla Privacy descrive come il fornitore gestisce i dati degli utenti della sua piattaforma. Il DPA è invece un documento separato, specifico, che regola il trattamento dei dati personali di terzi che transitano attraverso la piattaforma per conto tuo. Sono tre documenti diversi con tre funzioni diverse, e solo il terzo crea le garanzie che la nLPD richiede quando un fornitore tratta dati personali per conto tuo.

Il secondo errore è assumere che tutti i fornitori con sede in Europa siano automaticamente conformi.

Avere sede in Europa non equivale ad avere un DPA disponibile.

La verifica va fatta caso per caso. Cerca nella documentazione legale del fornitore la sezione dedicata al DPA, all'Accordo sul Trattamento dei Dati o al Data Processing Addendum. Se non esiste, il fornitore non è adatto a trattare dati personali in un contesto professionale svizzero, indipendentemente da dove ha la sede legale.

La soluzione: cosa deve contenere un DPA valido e come verificarlo

Un DPA valido per il contesto svizzero deve contenere alcuni elementi essenziali che puoi verificare anche senza essere un avvocato. Non si tratta di leggere decine di pagine in legalese, ma di cercare la risposta a cinque domande precise.

Prima domanda: Chi e il titolare e chi e il responsabile?

Il DPA deve identificare chiaramente le due parti. La tua azienda come titolare del trattamento e il fornitore come responsabile. Se il documento usa formule vaghe o non distingue i ruoli non è un DPA conforme.

Seconda domanda: Cosa può fare il fornitore con i dati?

Il DPA deve specificare che il fornitore può trattare i dati solo per le finalità descritte nel contratto e solo seguendo le tue istruzioni documentate. Deve vietare esplicitamente l'uso dei dati per finalità proprie del fornitore, come l'addestramento di modelli AI, la profilazione degli utenti o la vendita a terzi.

Terza domanda: Dove vengono conservati i dati e chi può accedervi?

Il DPA deve indicare la localizzazione geografica dei server e specificare chi all'interno del fornitore o tra i suoi sub-responsabili ha accesso ai dati. Se il fornitore usa sub-responsabili (per esempio, un provider di hosting americano per i propri server), deve indicarli e garantire che siano soggetti a obblighi equivalenti.

Quarta domanda: Come vengono gestiti gli incidenti di sicurezza?

Il DPA deve stabilire l'obbligo del fornitore di notificarti un incidente di sicurezza entro un termine preciso, tipicamente 72 ore, in modo che tu possa adempiere al tuo obbligo di notifica all'autorità di controllo svizzera se necessario.

Quinta domanda: Come vengono cancellati i dati alla fine del rapporto?

Il DPA deve specificare cosa succede ai dati al termine del contratto o su tua richiesta. Per esempio: cancellazione certificata, restituzione in un formato leggibile o entrambe le opzioni. Senza questa clausola non hai garanzie su cosa rimane nei sistemi del fornitore dopo che hai smesso di usare il servizio.

Procedura pratica: come fare l'inventario dei DPA mancanti in cinque passi

Ecco la sequenza operativa per portare la tua azienda in una posizione documentale solida rispetto ai DPA. Non è un progetto che dura mesi, bastano due o tre ore di lavoro focalizzato per coprire la parte più rilevante.

  1. Costruisci l'inventario degli strumenti che trattano dati personali di terzi.

Elenca tutti i software e i servizi cloud che la tua azienda usa. Per ognuno indica se tratta dati personali di clienti, fornitori o dipendenti, anche solo nomi e indirizzi e-mail. Questo elenco è la tua base di partenza. Se non esiste ancora, comincia oggi. Bastano venti minuti e un foglio di calcolo con tre colonne (nome strumento, tipologia di dati trattati, DPA disponibile si/no).

  • Per ogni strumento che tratta dati personali cerca il DPA nella documentazione legale del fornitore.

Vai sul sito del fornitore e cerca le sezioni "Legal", "Privacy", "GDPR", "Data Processing", "Trust". Molti provider di livello business hanno un DPA precompilato che si accetta con un clic nel pannello di controllo. Microsoft, Google Workspace, Brevo, Mailchimp, Anthropic per Claude for Business per esempio. Tieni traccia di dove lo hai trovato e quando lo hai accettato o firmato.

  • Per gli strumenti privi di DPA che trattano dati personali valuta l'alternativa business-grade o la sostituzione.

Se stai usando ChatGPT gratuito o Plus per lavoro su dati di clienti passa a Claude for Business o a strumenti adatti senza spendere una fortuna o senza essere grandi aziende. Basta che siano con DPA disponibile.

Se stai usando un CRM free senza DPA valuta Brevo con server in Europa e DPA disponibile o una soluzione self-hosted installata su un server con DPA. Se stai usando un servizio di trasferimento file gratuito, considera una soluzione self-hosted con cifratura come quella che uso io con i miei clienti.

  • Archivia tutti i DPA firmati in una cartella dedicata nella tua documentazione sulla protezione dei dati.

Crea una cartella specifica fisica o digitale per i documenti relativi alla protezione dei dati.

DPA firmati, Privacy Policy vigente, Registro dei Trattamenti, eventuali valutazioni d'impatto. Questa cartella è la tua prima linea di difesa in caso di richiesta da parte di un interessato o di un controllo da parte dell'autorità competente.

  • Aggiorna la tua Privacy Policy con l'elenco dei responsabili del trattamento.

La Privacy Policy del tuo sito deve elencare i fornitori di servizi che trattano dati personali per conto tuo, con indicazione del tipo di dati e della localizzazione. Questo aggiornamento serve sia alla conformità normativa sia alla comunicazione trasparente verso i tuoi clienti.

Sapere che lavori con fornitori verificati e che hai i contratti in regola e un argomento di fiducia concreto al poso di un solo dettaglio tecnico.

Mini-riassunto

Questo articolo spiega cosa è un DPA (Data Processing Agreement), perché è obbligatorio per le PMI svizzere che usano strumenti digitali e AI per trattare dati personali e come verificare se i propri fornitori lo offrono.

I punti chiave sono:

  • Il DPA è il contratto che regola il trattamento di dati personali tra il titolare (la tua azienda) e il responsabile del trattamento (il fornitore del servizio). Senza questo documento sei legalmente esposto per qualsiasi cosa il fornitore faccia con quei dati.
  • La nLPD svizzera (in vigore dal 1° settembre 2023) impone al titolare del trattamento di stipulare un DPA con qualsiasi fornitore che tratti dati personali per suo conto, hosting, CRM, e-mail marketing, strumenti AI, gestionale cloud.
  • I Termini di Servizio e l'Informativa sulla Privacy non sostituiscono il DPA. Sono documenti con finalità diverse. Solo il DPA crea le garanzie contrattuali richieste dalla nLPD.
  • Gli strumenti AI consumer-grade (ChatGPT gratuito o Plus, Claude gratuito, ecc...) non offrono DPA. I dati inseriti nelle conversazioni possono essere usati per l'addestramento dei modelli. Le versioni business-grade (ChatGPT Enterprise, Claude for Business, Microsoft Copilot for Business) offrono DPA con esclusione esplicita dell'uso dei dati per l'addestramento.
  • La procedura di adeguamento richiede un inventario degli strumenti che trattano dati personali, ricerca e firma del DPA per ognuno, sostituzione degli strumenti privi di DPA con alternative conformi, archiviazione dei documenti, aggiornamento della Privacy Policy.
  • Nel mio lavoro supporto le PMI ticinesi nell'analisi dei propri strumenti digitali, nella ricerca e firma dei DPA necessari e nella selezione di alternative business-grade conformi alla nLPD attraverso consulenza diretta specifica e mirata.

Continua ad approfondire

Vuoi sapere quali dei tuoi strumenti hanno un DPA e quali no?

Se vuoi fare l'inventario dei DPA in modo guidato, senza dover leggere da solo decine di pagine di documentazione legale in inglese, posso eseguire una sessione di analisi. Identifichiamo insieme i fornitori più critici, troviamo i DPA disponibili e valutiamo le alternative per quelli che non li offrono.

Contattami su mail@patrickpasquillo.net

"Resta agile. Continua a eccellere. Guida il cambiamento." - Patrick Pasquillo

Chi sono

Sono Patrick Pasquillo, Digital Collaboration Specialist e consulente tecnologico strategico per micro-imprese, professionisti, associazioni e piccole realtà aziendali in Svizzera e in Italia. Aiuto i business locali a progettare processi di lavoro più agili e sostenibili attraverso l’uso efficace di strumenti software affidabili, conformi alla LPD e alle normative europee.

Lavoro ogni giorno per la contabilità digitale (con soluzioni agili come Banana Contabilità+), CRM utili a livello strategico aziendale, automazioni operative, gestione, sicurezza, backup, manutenzione e aggiornamento di siti WordPress, sicurezza digitale pratica per persone e aziende, e ottimizzazione dei flussi di collaborazione aziendale interna.

La mia filosofia professionale è semplice: rendere la tecnologia comprensibile, utile e realmente applicabile, affinché ogni organizzazione, anche la più piccola, possa rimanere agile, continuare a eccellere e guidare il proprio cambiamento.

Ultime news

×

Caricamento...