Un Data Processing Agreement (DPA) è il contratto richiesto dall'articolo 28 del GDPR tra un titolare del trattamento e un responsabile, che definisce l'oggetto, la durata, la natura e la finalità del trattamento, nonché gli obblighi e i diritti di entrambe le parti.
Un Data Processing Agreement, abbreviato in DPA, è un contratto giuridicamente vincolante tra un titolare del trattamento e un responsabile del trattamento che disciplina le modalità di gestione dei dati personali. Ai sensi dell'articolo 28 del GDPR, il titolare deve avvalersi unicamente di responsabili che presentino garanzie sufficienti in materia di misure tecniche e organizzative adeguate, e il rapporto deve essere disciplinato da un contratto o da un altro atto giuridico. Il DPA deve specificare l'oggetto e la durata del trattamento, la natura e la finalità, il tipo di dati personali, le categorie di interessati e le istruzioni documentate del titolare. Senza un DPA valido, il coinvolgimento di un responsabile costituisce di per sé una violazione del GDPR.
Nell'ospitalità, l'hotel è normalmente il titolare dei dati degli ospiti e firma DPA con ogni responsabile che ingaggia: il fornitore del PMS, il booking engine, il provider e-mail, lo strumento di analytics, il BSP WhatsApp e qualsiasi piattaforma di messaggistica con gli ospiti. Ogni DPA dovrebbe rispecchiare i flussi di dati effettivi tra le parti, elencare i sub-responsabili, definire le misure di sicurezza, stabilire i tempi di notifica delle violazioni e chiarire come vengono supportati i diritti degli interessati, quali accesso, rettifica e cancellazione. Gli hotel che integrano un CRM o un assistente AI dovrebbero richiedere un DPA prima della condivisione di qualsiasi dato di produzione.
Un DPA non è una mera formalità. Definisce chi è responsabile quando qualcosa va storto, ciò che il responsabile può e non può fare con i dati e la rapidità con cui l'hotel deve essere informato di un incidente. Modelli generici sono un cattivo sostituto di un DPA adattato al trattamento effettivo, in particolare quando funzionalità di AI generano dati derivati come riepiloghi di conversazioni o insight sugli ospiti. Il DPA dovrebbe inoltre essere allineato all'informativa sulla privacy dell'hotel e agli obblighi di conformità al GDPR applicabili.
Viqal fornisce un DPA standard a ogni cliente, disponibile all'indirizzo /data-processing-agreement. L'accordo formalizza il rapporto titolare-responsabile, elenca i sub-responsabili utilizzati per erogare il servizio, descrive le misure tecniche e organizzative in essere e stabilisce gli obblighi di notifica delle violazioni e di restituzione dei dati. Combinato con la team inbox di Viqal con accessi basati sui ruoli, la conservazione configurabile e i controlli di crittografia, il DPA offre agli hotel una chiara base contrattuale per utilizzare l'automazione della messaggistica con gli ospiti basata sull'AI su larga scala.
L'articolo 28 del GDPR richiede un DPA ogni qualvolta un titolare incarichi un responsabile di trattare dati personali per suo conto. Per gli hotel nell'UE o per quelli che trattano dati di residenti UE, ciò significa che un DPA è richiesto con ogni fornitore che tocca dati degli ospiti, inclusi PMS, CRM, strumenti e-mail, BSP e piattaforme di messaggistica.
L'articolo 28(3) elenca gli elementi obbligatori: oggetto e durata, natura e finalità del trattamento, tipo di dati personali e categorie di interessati, istruzioni del titolare, obblighi di riservatezza, misure di sicurezza, regole sui sub-responsabili, supporto ai diritti degli interessati, notifica delle violazioni e modalità di restituzione o cancellazione dei dati al termine del contratto.
No. Una privacy policy è un'informativa del titolare agli interessati che spiega come vengono trattati i loro dati. Un DPA è un contratto tra il titolare e un responsabile che disciplina la gestione operativa di tali dati. I due documenti rispondono a destinatari diversi e a finalità giuridiche differenti.
Chi è titolare dei dati personali firma il DPA con il responsabile. Per un hotel indipendente è la struttura stessa; per un hotel gestito o in franchising dipende da quale entità decide i mezzi e le finalità del trattamento. Una chiara assegnazione della titolarità è il primo passo prima di negoziare il DPA.
Un responsabile può ingaggiare sub-responsabili solo con l'autorizzazione del titolare, specifica o generale. Il DPA deve elencare gli attuali sub-responsabili o includere un processo di notifica al titolare delle modifiche, e il responsabile resta pienamente responsabile della conformità del sub-responsabile agli stessi obblighi.
Viqal pubblica il proprio DPA standard all'indirizzo viqal.com/data-processing-agreement. Gli hotel possono esaminarlo e sottoscriverlo in fase di onboarding e sono possibili modifiche personalizzate per i clienti enterprise con esigenze specifiche.
.avif){kind=spacer}
