Quando un cliente esternalizza funzioni aziendali, il contratto di outsourcing deve disciplinare con precisione il trasferimento di dati, la responsabilità solidale e i livelli di servizio (SLA). Il mancato coordinamento tra le clausole contrattuali e la normativa su privacy, lavoro e responsabilità d’impresa espone committente e provider a rischi difficili da gestire ex post. Nel 2026 le aree più sensibili restano IT, amministrazione del personale e contabilità.
Punti chiave
- Punto 1 — Il contratto di outsourcing deve identificare un responsabile del trattamento dati ex art. 28 GDPR.
- Punto 2 — La solidarietà tra committente e appaltatore su retribuzioni e contributi vale anche nell’outsourcing di servizi.
- Punto 3 — Clausole di exit e reversibilità del servizio prevengono il vendor lock-in e limitano i danni in caso di recesso.
Chi assiste imprese medio-grandi si trova sempre più spesso a rivedere o negoziare contratti di outsourcing che coprono funzioni critiche: IT, payroll, contabilità, customer service. La pressione commerciale verso l’esternalizzazione nel 2026 è alta, ma i contratti arrivano spesso in studio già firmati o con clausole standard del fornitore che scaricano ogni rischio sul committente.
La notizia pubblicata da Gazzetta degli Enti Locali analizza le funzioni aziendali che le imprese conviene esternalizzare nel 2026, con un focus sui vantaggi operativi. Dal lato legale, però, ogni funzione esternalizzata porta con sé un pacchetto specifico di obblighi normativi che il contratto deve presidiare.
Il contesto normativo
Sul fronte privacy, l’art. 28 del Regolamento UE 2016/679 (GDPR) impone che ogni fornitore che tratti dati personali per conto del cliente sia designato responsabile del trattamento mediante contratto scritto con contenuto minimo vincolante. L’assenza o l’inadeguatezza di questa designazione espone il titolare a sanzioni fino al 4% del fatturato globale annuo.
In materia di lavoro, l’art. 29 d.lgs. 276/2003 stabilisce la responsabilità solidale del committente con l’appaltatore per retribuzioni, contributi previdenziali e premi assicurativi dovuti ai lavoratori impiegati nell’appalto, inclusi i contratti di outsourcing di servizi continuativi. La Cassazione, con la sentenza n. 2014/2022, ha confermato che tale solidarietà opera anche quando il servizio è svolto prevalentemente in remoto e non nei locali del committente.
Sul versante commerciale, il contratto di outsourcing rientra nella categoria degli appalti di servizi ex art. 1655 c.c., con le relative conseguenze in tema di recesso (art. 1671 c.c.) e responsabilità per danni da inadempimento.
Cosa cambia per lo studio
- Verifica della designazione ex art. 28 GDPR: in ogni contratto di outsourcing che coinvolge dati personali di dipendenti, clienti o fornitori, controlla che il DPA (Data Processing Agreement) sia allegato e contenga i requisiti minimi: oggetto, durata, natura del trattamento, istruzioni documentate, obblighi di riservatezza e gestione dei subprocessori.
- Clausola di solidarietà lavoristica: inserisci o verifica la presenza di una clausola che regoli il diritto di rivalsa del committente verso il provider in caso di azioni dei lavoratori ex art. 29 d.lgs. 276/2003. Senza questa previsione, il committente paga e non recupera.
- SLA e penali misurabili: i livelli di servizio devono esprimere metriche quantitative (es. disponibilità del sistema al 99,5%, tempo di risposta massimo 4 ore). Clausole vaghe come “pronta disponibilità” o “qualità adeguata” non reggono in sede di risoluzione per inadempimento.
- Exit strategy e portabilità dei dati: una clausola di reversibilità che preveda la restituzione dei dati in formato standard entro 30 giorni dalla cessazione del contratto è ormai prassi minima, ma molti contratti non la contengono. Senza, il cliente è ostaggio del fornitore anche dopo la scadenza.
- Mappatura delle funzioni esternalizzate per le società regolate: banche, assicurazioni e società quotate hanno obblighi specifici di comunicazione all’autorità di vigilanza per l’outsourcing di funzioni operative importanti. Verifica se il tuo cliente rientra in queste categorie prima di firmare.
Attenzione a
Subappalto non autorizzato. Molti provider di outsourcing subappaltano a loro volta parti del servizio a terzi, spesso esteri. Se il contratto non disciplina espressamente il subappalto e non lo subordina ad autorizzazione scritta del committente, il cliente perde controllo sulla catena del trattamento dati e sulla qualità del servizio, senza strumenti contrattuali per reagire.
Clausole di limitazione della responsabilità sbilanciate. I contratti standard dei grandi provider limitano la loro responsabilità a un multiplo del canone mensile (spesso 3x), mentre i danni reali da fermo operativo o data breach possono essere enormemente superiori. Negozia un tetto diverso per i danni da violazione della privacy e da perdita definitiva di dati, o almeno escludi queste fattispecie dal cap contrattuale.
Domande frequenti
Il committente risponde dei contributi non pagati dal fornitore di outsourcing?
Sì. L’art. 29 d.lgs. 276/2003 stabilisce la responsabilità solidale del committente per retribuzioni, contributi previdenziali e premi INAIL dovuti ai dipendenti del fornitore impiegati nell’appalto di servizi. La solidarietà opera anche se il servizio viene reso in remoto, come confermato dalla Cassazione. Il committente può però tutelarsi con una clausola contrattuale di rivalsa integrale verso il provider.
Come deve essere strutturato il contratto di outsourcing IT per essere conforme al GDPR?
Il contratto deve includere un Data Processing Agreement ex art. 28 GDPR che specifichi: finalità e durata del trattamento, categorie di dati, misure di sicurezza adottate, obbligo di assistere il titolare in caso di data breach, elenco dei subprocessori autorizzati e obbligo di cancellazione o restituzione dei dati a fine rapporto. Un DPA generico o rinviato a condizioni online del fornitore non è sufficiente.
Come si tutela il cliente in caso di recesso anticipato da un contratto di outsourcing?
L’art. 1671 c.c. consente il recesso dal contratto d’appalto in qualsiasi momento, ma con obbligo di indennizzo per le spese sostenute e il mancato guadagno del fornitore. Per limitare l’esposizione, il contratto deve prevedere un tetto all’indennizzo di recesso, un periodo di transizione assistita di almeno 30-60 giorni e la portabilità dei dati in formato standard senza costi aggiuntivi.
Fonte di riferimento: GazzettaEntiLocali