Il GDPR, all’art. 28, ha introdotto l’obbligo per titolare e responsabile del trattamento di regolare il proprio rapporto mediante la stipula di un accordo, il Data Processing Agreement (DPA). In questo modo, il legislatore europeo ha attribuito al DPA una funzione centrale nel trattamento dei dati personali, rendendolo uno strumento essenziale per la ripartizione delle responsabilità e la definizione degli obblighi in capo alle parti, nonché per la garanzia di un trattamento conforme ai principi del Regolamento. In virtù del ruolo cruciale assunto da tale accordo, l’elaborato si concentra proprio su quest’ultimo: da un lato, evidenziandone l’enorme potenzialità; dall’altro, mettendo in risalto che la norma, per come formulata, lascia ampi margini di discrezionalità alle parti, favorendo un uso distorto dello strumento negoziale in favore del contraente forte. Per far comprendere a pieno la portata innovatrice dell’art. 28 GDPR, viene preliminarmente ricostruita l’evoluzione del diritto alla protezione dei dati personali nel contesto europeo e nazionale, seguendo il percorso di un diritto che nasce come implicitamente riconducibile ad altri diritti fondamentali, espressamente riconosciuti, per poi affermarsi quale diritto autonomo. L’analisi si basa sull’esame delle diverse fonti normative succedutesi nel tempo; infatti, prende avvio dalle costituzioni nazionali e dalla Convenzione 108, per poi proseguire con la Direttiva 95/46/CE fino al GDPR. Quest’ultimo segna una svolta decisiva, introducendo un sistema fondato su accountability, risk-based approach e responsabilizzazione degli attori del trattamento. Oltre ad aver accresciuto il novero di oneri gravanti sugli attori del trattamento, il Regolamento è intervenuto anche sulla responsabilità da trattamento illecito dei dati, disciplinata all’art. 82 GDPR. Pertanto, vengono esaminati gli elementi costitutivi della fattispecie, le questioni controverse relative alla sua qualificazione giuridica e le criticità connesse al riconoscimento dei danni immateriali, alla luce di orientamenti giurisprudenziali non sempre conformi. Tale analisi consente di porre l’attenzione sulle principali novità apportate dal Regolamento in materia, come l’estensione della legittimazione passiva al responsabile del trattamento e il riconoscimento della risarcibilità dei danni non patrimoniali, benché in merito sussistano difficoltà applicative. Suddetta indagine si basa sull’esame congiunto di legislazioni nazionali, dei prevalenti orientamenti dottrinali e delle principali decisioni giurisprudenziali europee, che hanno contribuito a delineare la portata del nuovo quadro regolatorio in materia di responsabilità da trattamento illecito dei dati. Unitamente alla responsabilità, si approfondisce uno degli strumenti chiave per la ripartizione della stessa, che coincide con il tema centrale dell’elaborato, ovvero il Data Processing Agreement. Nello specifico, si indaga il contenuto dell’art. 28 GDPR, evidenziando gli aspetti su cui il legislatore ha fornito indicazioni puntuali e quelli sui quali, invece, ha lasciato ampi margini di autonomia, con il risultato di favorire la diffusione di clausole contrattuali sbilanciate, spesso tese a limitare la responsabilità del soggetto contrattualmente più forte, o a trasferire oneri sulla controparte. Particolare attenzione è riservata ai settori dell’Internet of Things e del Cloud Computing, ove simili squilibri risultano sempre più frequenti. Dopo aver rilevato i limiti dell’art. 28 GDPR, vengono però illustrati gli strumenti che lo stesso legislatore ha predisposto al fine di colmare le lacune normative, quali le clausole contrattuali standard (SCCs). Al fine di mostrare i risvolti applicativi di dette clausole, si dedica ampio spazio sia all’assetto di clausole elaborate dalla Commissione Europea, che a quelle predisposte da alcune autorità nazionali, come quella danese. Infine, viene esaminato il modello di DPA sviluppato dall’autorità croata per la protezione dei dati, approfondito nel corso di un periodo di ricerca all’estero. Dall’analisi effettuata emerge che, pur rappresentando un elemento imprescindibile per la corretta regolazione dei rapporti tra titolare e responsabile, il DPA risente della formulazione non pienamente esaustiva dell’art. 28 GDPR e della presenza, ancor limitata, di clausole contrattuali standard dettagliate. Ciò ha determinato disomogeneità applicative e significative asimmetrie negoziali. Ne consegue l’esigenza di sviluppare modelli di clausole contrattuali standard più completi, capaci di disciplinare con precisione i profili caratterizzati da maggior criticità, primo fra tutti quello della responsabilità ex art. 82 GDPR.
Nucciarone, R. (2026). Il rapporto tra titolare e responsabile del trattamento dei dati personali. Un'analisi del data processing agreement alla luce dell’art. 28 GDPR [10.25434/nucciarone-roberta_phd2026-02-10].
Il rapporto tra titolare e responsabile del trattamento dei dati personali. Un'analisi del data processing agreement alla luce dell’art. 28 GDPR
Nucciarone, Roberta
2026-02-10
Abstract
Il GDPR, all’art. 28, ha introdotto l’obbligo per titolare e responsabile del trattamento di regolare il proprio rapporto mediante la stipula di un accordo, il Data Processing Agreement (DPA). In questo modo, il legislatore europeo ha attribuito al DPA una funzione centrale nel trattamento dei dati personali, rendendolo uno strumento essenziale per la ripartizione delle responsabilità e la definizione degli obblighi in capo alle parti, nonché per la garanzia di un trattamento conforme ai principi del Regolamento. In virtù del ruolo cruciale assunto da tale accordo, l’elaborato si concentra proprio su quest’ultimo: da un lato, evidenziandone l’enorme potenzialità; dall’altro, mettendo in risalto che la norma, per come formulata, lascia ampi margini di discrezionalità alle parti, favorendo un uso distorto dello strumento negoziale in favore del contraente forte. Per far comprendere a pieno la portata innovatrice dell’art. 28 GDPR, viene preliminarmente ricostruita l’evoluzione del diritto alla protezione dei dati personali nel contesto europeo e nazionale, seguendo il percorso di un diritto che nasce come implicitamente riconducibile ad altri diritti fondamentali, espressamente riconosciuti, per poi affermarsi quale diritto autonomo. L’analisi si basa sull’esame delle diverse fonti normative succedutesi nel tempo; infatti, prende avvio dalle costituzioni nazionali e dalla Convenzione 108, per poi proseguire con la Direttiva 95/46/CE fino al GDPR. Quest’ultimo segna una svolta decisiva, introducendo un sistema fondato su accountability, risk-based approach e responsabilizzazione degli attori del trattamento. Oltre ad aver accresciuto il novero di oneri gravanti sugli attori del trattamento, il Regolamento è intervenuto anche sulla responsabilità da trattamento illecito dei dati, disciplinata all’art. 82 GDPR. Pertanto, vengono esaminati gli elementi costitutivi della fattispecie, le questioni controverse relative alla sua qualificazione giuridica e le criticità connesse al riconoscimento dei danni immateriali, alla luce di orientamenti giurisprudenziali non sempre conformi. Tale analisi consente di porre l’attenzione sulle principali novità apportate dal Regolamento in materia, come l’estensione della legittimazione passiva al responsabile del trattamento e il riconoscimento della risarcibilità dei danni non patrimoniali, benché in merito sussistano difficoltà applicative. Suddetta indagine si basa sull’esame congiunto di legislazioni nazionali, dei prevalenti orientamenti dottrinali e delle principali decisioni giurisprudenziali europee, che hanno contribuito a delineare la portata del nuovo quadro regolatorio in materia di responsabilità da trattamento illecito dei dati. Unitamente alla responsabilità, si approfondisce uno degli strumenti chiave per la ripartizione della stessa, che coincide con il tema centrale dell’elaborato, ovvero il Data Processing Agreement. Nello specifico, si indaga il contenuto dell’art. 28 GDPR, evidenziando gli aspetti su cui il legislatore ha fornito indicazioni puntuali e quelli sui quali, invece, ha lasciato ampi margini di autonomia, con il risultato di favorire la diffusione di clausole contrattuali sbilanciate, spesso tese a limitare la responsabilità del soggetto contrattualmente più forte, o a trasferire oneri sulla controparte. Particolare attenzione è riservata ai settori dell’Internet of Things e del Cloud Computing, ove simili squilibri risultano sempre più frequenti. Dopo aver rilevato i limiti dell’art. 28 GDPR, vengono però illustrati gli strumenti che lo stesso legislatore ha predisposto al fine di colmare le lacune normative, quali le clausole contrattuali standard (SCCs). Al fine di mostrare i risvolti applicativi di dette clausole, si dedica ampio spazio sia all’assetto di clausole elaborate dalla Commissione Europea, che a quelle predisposte da alcune autorità nazionali, come quella danese. Infine, viene esaminato il modello di DPA sviluppato dall’autorità croata per la protezione dei dati, approfondito nel corso di un periodo di ricerca all’estero. Dall’analisi effettuata emerge che, pur rappresentando un elemento imprescindibile per la corretta regolazione dei rapporti tra titolare e responsabile, il DPA risente della formulazione non pienamente esaustiva dell’art. 28 GDPR e della presenza, ancor limitata, di clausole contrattuali standard dettagliate. Ciò ha determinato disomogeneità applicative e significative asimmetrie negoziali. Ne consegue l’esigenza di sviluppare modelli di clausole contrattuali standard più completi, capaci di disciplinare con precisione i profili caratterizzati da maggior criticità, primo fra tutti quello della responsabilità ex art. 82 GDPR.
| File | Dimensione | Formato | |
|---|---|---|---|
|
phd_unisi_131502.pdf
accesso aperto
Tipologia:
PDF editoriale
Licenza:
Creative commons
Dimensione
2.17 MB
Formato
Adobe PDF
|
2.17 MB | Adobe PDF | Visualizza/Apri |
I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
https://hdl.handle.net/11365/1308054