Il Data Processing Agreement (in italiano: contratto di nomina a responsabile del trattamento) è il contratto previsto dall'articolo 28 del GDPR tra il titolare del trattamento (tu, l'azienda) e il responsabile (il fornitore che tratta dati per tuo conto).
Se usi OpenAI API, Anthropic, Google Vertex AI, Microsoft Azure OpenAI per processare dati personali dei tuoi clienti, ti serve il loro DPA firmato. Senza DPA stai violando il GDPR. Punto.
Cosa deve contenere un DPA serio:
- Oggetto, durata, natura e finalità del trattamento.
- Tipi di dati personali e categorie di interessati.
- Obblighi del responsabile (riservatezza, sicurezza, sub-responsabili).
- Diritti del titolare (audit, cancellazione dati a fine contratto).
- Procedure in caso di data breach.
- Trasferimenti extra-UE e clausole standard contrattuali.
OpenAI ha il suo DPA pubblico, scaricabile dal portale enterprise. Anthropic idem. Google e Microsoft anche. Il problema è che la versione "consumer" (ChatGPT Plus, Claude.ai a pagamento personale) non ha DPA: per uso aziendale devi prendere la versione Team o Enterprise.
Errore frequente: il dipendente che incolla dati clienti in ChatGPT versione personale. Tecnicamente è una violazione GDPR di cui risponde l'azienda. Per evitarlo, due strade: o bandisci l'uso (poco realistico), o prendi un piano enterprise con DPA e formi le persone.