GDPR per Provider SaaS: Checklist Adempimenti Normativi
Checklist GDPR per provider SaaS e startup tech: classificazione del ruolo, privacy by design, DPA con sub-processor, cookie consent e notifica data breach.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Quali sono gli adempimenti GDPR obbligatori per un provider SaaS?
Un provider SaaS deve mappare il proprio ruolo (Titolare o Responsabile), applicare la Privacy by Design, redigere un DPA (Data Processing Agreement) per i clienti B2B e definire una procedura chiara per i data breach. Le violazioni del GDPR possono portare a sanzioni disastrose: il Garante Privacy italiano nel solo anno 2024 ha riscosso 24 milioni di euro di sanzioni derivanti da infrazioni sui principi fondamentali del regolamento.
In sintesi - 10 adempimenti GDPR per un provider SaaS: (1) classificare il ruolo titolare/responsabile, (2) privacy by design nel ciclo di sviluppo, (3) informativa privacy per gli utenti, (4) base giuridica per ogni trattamento, (5) DPA standard per i clienti B2B, (6) lista dei sub-processor, (7) registro dei trattamenti, (8) procedura data breach, (9) DPIA per funzionalità ad alto rischio, (10) conformità trasferimenti extra-UE. Ogni adempimento è dettagliato nelle sezioni seguenti con riferimento all'articolo GDPR applicabile.
Nota metodologica. La presente guida è aggiornata al 7 aprile 2026. I riferimenti normativi riguardano il Regolamento (UE) 2016/679 (GDPR) - EUR-Lex e i provvedimenti e linee guida dell'EDPB e del Garante Privacy italiano. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.
In quali scenari il Provider SaaS agisce come Titolare o come Responsabile del Trattamento (DPA)?
Il Garante Privacy italiano, nella Relazione Annuale 2024 presentata a luglio 2025, ha rendicontato un'attività di vigilanza estremamente intensa: 835 provvedimenti collegiali, 2.204 notifiche di data breach e sanzioni riscosse per circa 24 milioni di euro. Il numero di reclami (4.090) evidenzia una crescita della consapevolezza degli utenti, con una media di 11 segnalazioni al giorno gestite dall'Autorità.
Per un provider SaaS, la corretta gestione degli adempimenti non è solo un obbligo legale, ma un requisito commerciale imprescindibile: clienti enterprise e pubbliche amministrazioni (soggette alla vigilanza AgID e ACN per la cybersecurity) verificano sistematicamente la presenza del DPA prima di sottoscrivere qualsiasi abbonamento.
Un provider SaaS occupa due posizioni nel GDPR contemporaneamente:
- Responsabile del trattamento (Art. 4 n. 8 GDPR): per i dati che il cliente carica sulla piattaforma (dati degli utenti del cliente, dati operativi aziendali). Il provider tratta questi dati per conto del cliente, che rimane titolare.
- Titolare del trattamento (Art. 4 n. 7 GDPR): per i dati che raccoglie direttamente dagli utenti della piattaforma (dati di registrazione, dati di fatturazione, analytics di utilizzo).
Questa distinzione, chiarita nelle Linee Guida EDPB 07/2020 sul concetto di titolare e responsabile, è il punto di partenza per ogni conformità professionale.
Checklist degli Adempimenti
1. Come classificare legalmente le responsabilità tra gestore e utente in un'app cloud?
Riferimento normativo: Art. 4 nn. 7 e 8 GDPR; Linee Guida EDPB 07/2020
Stabilire per ciascuna categoria di dati trattati se la società agisce come titolare, come responsabile, o in entrambe le vesti (ipotesi frequente per un SaaS B2B).
| Categoria di dati | Ruolo tipico del SaaS provider |
|---|---|
| Dati degli utenti finali del cliente | Responsabile del trattamento |
| Dati aziendali del cliente caricati sulla piattaforma | Responsabile del trattamento |
| Dati di registrazione e account del cliente | Titolare del trattamento |
| Dati di fatturazione | Titolare del trattamento |
| Analytics di utilizzo della piattaforma | Titolare del trattamento |
La classificazione non è teorica: da essa dipendono gli obblighi documentali, la necessità del DPA e la legittimazione dei trasferimenti di dati.
2. Privacy by Design e by Default nel Ciclo di Sviluppo
Riferimento normativo: Art. 25 GDPR; Linee Guida EDPB 4/2019 sull'Art. 25
L'Art. 25.1 GDPR richiede di integrare misure di protezione dei dati nella progettazione del prodotto, non come adeguamento successivo. L'Art. 25.2 aggiunge che le impostazioni predefinite devono trattare il minimo di dati necessario per ciascuna finalità, senza richiedere un'azione dell'utente per tutelarsi.
Misure tecniche e organizzative rilevanti:
- Minimizzazione dei dati: raccogliere solo i dati necessari per le finalità definite, documentate prima dello sviluppo
- Pseudonimizzazione: separare i dati identificativi dai dati di contenuto/analytics nei database
- Cifratura a riposo e in transito: standard minimi per i dati personali
- Controllo degli accessi: principio del minimo privilegio nei permessi di sistema e applicativi
- Funzionalità di cancellazione e portabilità: progettare le API e il database per supportare le richieste degli interessati sin dall'architettura iniziale
3. Informativa Privacy per gli Utenti del Servizio
Riferimento normativo: Art. 13 GDPR
L'informativa deve essere fornita al momento della raccolta dei dati, prima dell'accesso al servizio. Deve contenere, tra gli altri elementi obbligatori:
- Identità e dati di contatto del titolare del trattamento e, se nominato, del DPO
- Finalità e base giuridica per ciascun trattamento (non è sufficiente un'unica base generica)
- Eventuali sub-processor o destinatari dei dati
- Trasferimenti verso paesi extra-UE con indicazione delle garanzie adottate
- Periodo di conservazione dei dati per ciascuna finalità
- Diritti dell'interessato: accesso (Art. 15), rettifica (Art. 16), cancellazione (Art. 17), limitazione (Art. 18), portabilità (Art. 20), opposizione (Art. 21)
- Diritto di proporre reclamo al Garante Privacy
Per un SaaS B2B l'informativa riguarda gli utenti dell'account cliente, non i dati caricati dal cliente sulla piattaforma (per quelli il documento rilevante è il DPA).
4. Base Giuridica per Ciascuna Finalità di Trattamento
Riferimento normativo: Art. 6 GDPR; Linee Guida EDPB 2/2019 su Art. 6.1.b per i servizi online
La base giuridica deve essere identificata prima dell'avvio del trattamento e documentata nel registro dei trattamenti. Non è possibile cambiare base giuridica a posteriori.
| Finalità tipica in un SaaS | Base giuridica applicabile |
|---|---|
| Fornitura del servizio agli utenti | Esecuzione del contratto - Art. 6.1.b |
| Comunicazioni transazionali (fatture, notifiche) | Esecuzione del contratto - Art. 6.1.b |
| Email di marketing a utenti esistenti | Legittimo interesse - Art. 6.1.f (con LIA documentato) o consenso |
| Profilazione comportamentale avanzata degli utenti | Consenso - Art. 6.1.a |
| Addestramento di modelli AI con dati degli utenti | Consenso esplicito - Art. 6.1.a (trattamento per finalità diversa da quella originaria) |
| Log di sicurezza e monitoraggio anti-frode | Legittimo interesse - Art. 6.1.f (con LIA documentato) |
5. Data Processing Agreement Standard per i Clienti B2B
Riferimento normativo: Art. 28 GDPR
Ogni cliente B2B che carica dati personali sulla piattaforma deve ricevere e accettare un DPA. L'Art. 28.9 GDPR consente la forma scritta, anche in formato elettronico. La prassi consolidata tra i provider SaaS è pubblicare il DPA come allegato ai Termini di Servizio, con accettazione contestuale all'iscrizione.
Elementi obbligatori del DPA (Art. 28.3 GDPR):
- Oggetto e durata del trattamento
- Natura e finalità del trattamento
- Tipo di dati personali e categorie di interessati
- Obbligo di trattare i dati solo su istruzione documentata del titolare
- Obblighi di riservatezza del personale autorizzato
- Misure di sicurezza tecniche e organizzative adeguate ex Art. 32 GDPR
- Condizioni per il ricorso a sub-responsabili del trattamento
- Assistenza al titolare per l'esercizio dei diritti degli interessati
- Assistenza al titolare per gli adempimenti di sicurezza, data breach e DPIA
- Restituzione o cancellazione dei dati alla cessazione del contratto
- Messa a disposizione di tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consentire attività di revisione e audit
L'assenza del DPA espone il titolare del trattamento (il cliente) a sanzioni del Garante. Ai sensi dell'Art. 83.4 GDPR, la violazione degli obblighi del responsabile del trattamento è punita con sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale annuo. Costituisce inoltre un ostacolo commerciale verso clienti enterprise e Pubblica Amministrazione.
6. Come gestire e comunicare l'elenco dei Sub-Processor (es. AWS, Stripe) agli abbonati SaaS?
Riferimento normativo: Art. 28.2 e 28.4 GDPR
Il responsabile del trattamento (provider SaaS) non può ricorrere a un sub-processor senza previa autorizzazione scritta, specifica o generale, del titolare (Art. 28.2 GDPR). Nel caso di autorizzazione generale - la soluzione adottata dalla maggior parte dei SaaS - il DPA deve prevedere un meccanismo di notifica preventiva delle modifiche, con un termine entro cui il cliente può opporsi.
Struttura minima della lista dei sub-processor:
| Fornitore | Servizio | Sede del trattamento | Misura di garanzia per trasferimento extra-UE |
|---|---|---|---|
| [Nome fornitore] | [Es. cloud infrastructure] | [Es. UE / USA] | [Es. SCCs - Dec. 2021/914] |
Per un caso pratico su come verificare la catena contrattuale con stack moderni (Vercel, Supabase, Resend), si veda l'articolo su DPA GDPR e catena contrattuale per stack moderni.
I sub-processor soggetti al GDPR devono essere vincolati a obblighi equivalenti a quelli assunti dal responsabile verso il titolare (Art. 28.4 GDPR).
7. Registro dei Trattamenti
Riferimento normativo: Art. 30 GDPR
L'esenzione per le organizzazioni con meno di 250 dipendenti (Art. 30.5 GDPR) non si applica quando il trattamento non è occasionale o può presentare un rischio per i diritti degli interessati. I SaaS che trattano dati degli utenti finali dei propri clienti in via continuativa rientrano nella condizione "non occasionale", rendendo il registro obbligatorio nella pratica.
Contenuto obbligatorio del registro (Art. 30.1 GDPR):
- Nome e dati di contatto del titolare (e del DPO, se designato)
- Finalità del trattamento
- Descrizione delle categorie di interessati e di dati personali
- Categorie di destinatari a cui i dati sono comunicati, compresi i sub-processor
- Trasferimenti verso paesi terzi con indicazione delle garanzie
- Termini previsti per la cancellazione (retention policy)
- Descrizione generale delle misure di sicurezza tecniche e organizzative (Art. 32 GDPR)
Il registro non è un documento pubblico, ma può essere richiesto dal Garante in sede di ispezione.
8. Procedura Interna di Gestione dei Data Breach
Riferimento normativo: Art. 33, 34 e 30.5 GDPR
In caso di data breach, il provider SaaS ha obblighi diversi a seconda del ruolo:
Come responsabile del trattamento (Art. 33.2 GDPR): notificare la violazione al titolare (cliente) senza ingiustificato ritardo. Il DPA deve definire un termine specifico - tipicamente 24 o 48 ore dalla scoperta - per consentire al cliente di rispettare le 72 ore verso il Garante.
Come titolare del trattamento (Art. 33.1 GDPR): notificare il Garante Privacy entro 72 ore dalla scoperta della violazione, salvo che questa sia "improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche". Se il rischio per gli interessati è elevato, comunicare la violazione direttamente agli interessati (Art. 34 GDPR).
Documentazione obbligatoria (Art. 33.5 GDPR): ogni violazione deve essere documentata, anche quando non si procede alla notifica. La documentazione deve consentire al Garante di verificare il rispetto delle disposizioni.
Struttura minima della procedura interna:
- Rilevazione e segnalazione interna della violazione sospetta
- Valutazione della gravità e classificazione del rischio
- Documentazione immediata (data, ora, natura, dati coinvolti, numero stimato di interessati)
- Notifica alla catena di responsabilità interna entro tempi definiti
- Notifica al cliente (se responsabile) e/o al Garante (se titolare) entro i termini di legge
- Comunicazione agli interessati (se rischio elevato)
- Aggiornamento del registro dei data breach
9. Quando, nello specifico, un servizio SaaS incappa nell'obbligo di condurre una DPIA?
Riferimento normativo: Art. 35 GDPR; Provvedimento Garante 11 ottobre 2018; Linee Guida WP248
La DPIA è obbligatoria quando il trattamento "è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche" (Art. 35.1 GDPR). Deve essere effettuata prima dell'avvio del trattamento.
Il Provvedimento del Garante dell'11 ottobre 2018 elenca le tipologie di trattamenti per cui la DPIA è obbligatoria in Italia. La mancata esecuzione di una DPIA obbligatoria è sanzionabile fino a 10 milioni di euro o il 2% del fatturato mondiale ai sensi dell'Art. 83.4 lett. a GDPR.
Le Linee Guida WP248 (adottate dall'EDPB) individuano 9 criteri: la presenza di 2 o più rende la DPIA obbligatoria. Criteri che ricorrono frequentemente in un SaaS:
| Criterio WP248 | Esempi in un SaaS |
|---|---|
| Valutazione o scoring | Sistemi di scoring utenti, credit scoring, fraud scoring |
| Decisione automatizzata con effetti giuridici o significativi | Accettazione/rifiuto automatico, targeting pubblicitario |
| Monitoraggio sistematico | Analytics comportamentale avanzata, heatmap, session recording |
| Dati sensibili o di natura particolarmente personale | Dati sanitari, biometrici, di salute mentale |
| Dati di persone vulnerabili | Trattamenti che coinvolgono minori o pazienti |
| Trattamento su larga scala | Dipende dal volume: verificare con riferimento alle soglie EDPB |
10. Trasferimenti di Dati verso Paesi Extra-UE
Riferimento normativo: Art. 44–49 GDPR; Decisione di adeguatezza 2023/1795 (Data Privacy Framework EU-US); Decisione 2021/914 (SCCs)
Ogni trasferimento di dati personali verso paesi al di fuori dell'UE/SEE richiede una delle garanzie previste dagli Artt. 44–49 GDPR. Per un SaaS che utilizza provider cloud o SaaS con sede o server negli USA, le opzioni principali sono:
Data Privacy Framework EU-US (Decisione 2023/1795 del 10 luglio 2023): applicabile ai provider americani certificati nel Framework. È la base di legittimazione più semplice quando il sub-processor è certificato. La stabilità del Framework è oggetto di monitoraggio da parte delle autorità europee.
Clausole Contrattuali Tipo - SCCs (Decisione della Commissione 2021/914 del 4 giugno 2021): vincolano contrattualmente il soggetto extra-UE agli standard europei. Richiedono un Transfer Impact Assessment (TIA) per verificare che le SCCs siano effettivamente rispettabili nel paese di destinazione alla luce della legislazione locale.
Verifica pratica per un SaaS:
- Mappare tutti i fornitori con sede o server extra-UE (infrastruttura cloud, SaaS di terze parti)
- Per ciascuno: verificare se è certificato nel Data Privacy Framework (per fornitori USA) o se sono disponibili SCCs
- Aggiornare la lista dei sub-processor e l'informativa privacy con le misure adottate
- Documentare il TIA per i trasferimenti basati su SCCs
Domande Frequenti (FAQ)
Il GDPR si applica a una startup SaaS in fase pre-revenue? Sì. Il GDPR si applica dal momento in cui vengono trattati dati personali, indipendentemente dallo stadio di sviluppo o dalla presenza di ricavi. La fase di beta testing con utenti reali - anche in numero limitato - configura già un trattamento di dati personali soggetto al Regolamento.
Un SaaS che usa AWS in Europa deve preoccuparsi dei trasferimenti extra-UE? Sì, è necessario mappare l'intera catena. Anche se i dati risiedono in region EU, l'accesso per finalità di supporto tecnico da parte di personale extra-UE o l'uso di sub-processor secondari (es. email transazionale, CRM) può configurare un trasferimento. È obbligatorio verificare la catena contrattuale e documentare il Transfer Impact Assessment (TIA).
Il DPA deve essere firmato digitalmente per essere valido? L'Art. 28.9 GDPR consente la forma scritta, anche elettronica. La prassi del DPA accettato tramite "click-wrap" insieme ai Termini di Servizio è ampiamente accettata nel settore SaaS, purché il processo sia tracciabile e l'utente possa scaricare o visualizzare il testo integrale in ogni momento.
Cosa rischia un SaaS provider senza Registro dei Trattamenti? L'assenza del registro (Art. 30 GDPR) è sanzionabile fino a 10 milioni di euro o al 2% del fatturato. Oltre alla sanzione, l'assenza del registro rende impossibile dimostrare il principio di Accountability in caso di ispezione del Garante (Relazione 2024).
Quando è obbligatorio nominare un DPO per un SaaS? La nomina è obbligatoria (Art. 37 GDPR) se l'attività principale consiste nel monitoraggio regolare e sistematico di interessati su larga scala (es. analytics comportamentale invasiva) o nel trattamento su larga scala di dati sensibili (sanitari, biometrici). In caso di dubbio, è opportuno condurre un'analisi documentata della necessità o meno della nomina.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze