GDPR per Provider SaaS: Checklist degli Adempimenti con Riferimenti Normativi
Checklist degli adempimenti GDPR per provider SaaS e startup tech italiani: dalla classificazione del ruolo alla privacy by design, DPA, sub-processor list, registro dei trattamenti, data breach e DPIA. Con riferimenti agli articoli del Regolamento.
Ordine degli Avvocati di Sciacca — n. 747 · Avvocato Diritto IT e Privacy
In sintesi — 10 adempimenti GDPR per un provider SaaS: (1) classificare il ruolo titolare/responsabile, (2) privacy by design nel ciclo di sviluppo, (3) informativa privacy per gli utenti, (4) base giuridica per ogni trattamento, (5) DPA standard per i clienti B2B, (6) lista dei sub-processor, (7) registro dei trattamenti, (8) procedura data breach, (9) DPIA per funzionalità ad alto rischio, (10) conformità trasferimenti extra-UE. Ogni adempimento è dettagliato nelle sezioni seguenti con riferimento all'articolo GDPR applicabile.
Nota metodologica. La presente guida è aggiornata al 7 aprile 2026. I riferimenti normativi riguardano il Regolamento (UE) 2016/679 (GDPR) — EUR-Lex e i provvedimenti e linee guida dell'EDPB e del Garante Privacy italiano. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.
Il Doppio Ruolo del Provider SaaS
Il Garante Privacy italiano ha ricevuto 2.204 data breach notificati nel solo anno 2024, riscuotendo 24 milioni di euro di sanzioni amministrative pecuniarie (Relazione annuale Garante 2024). Le sanzioni per violazione dei principi fondamentali raggiungono fino al 4% del fatturato mondiale annuo ai sensi dell'Art. 83 GDPR. Per un provider SaaS, la corretta gestione degli adempimenti non è un adempimento formale ma un requisito commerciale: clienti enterprise e pubbliche amministrazioni verificano sistematicamente la presenza del DPA prima di sottoscrivere.
Un provider SaaS occupa due posizioni nel GDPR contemporaneamente:
- Responsabile del trattamento (Art. 4 n. 8 GDPR): per i dati che il cliente carica sulla piattaforma (dati degli utenti del cliente, dati operativi aziendali). Il provider tratta questi dati per conto del cliente, che rimane titolare.
- Titolare del trattamento (Art. 4 n. 7 GDPR): per i dati che raccoglie direttamente dagli utenti della piattaforma (dati di registrazione, dati di fatturazione, analytics di utilizzo).
Questa distinzione, chiarita nelle Linee Guida EDPB 07/2020 sul concetto di titolare e responsabile, è il punto di partenza per qualsiasi analisi di compliance.
Checklist degli Adempimenti
1. Classificare il Ruolo nel Trattamento
Riferimento normativo: Art. 4 nn. 7 e 8 GDPR; Linee Guida EDPB 07/2020
Stabilire per ciascuna categoria di dati trattati se la società agisce come titolare, come responsabile, o in entrambe le vesti (ipotesi frequente per un SaaS B2B).
| Categoria di dati | Ruolo tipico del SaaS provider |
|---|---|
| Dati degli utenti finali del cliente | Responsabile del trattamento |
| Dati aziendali del cliente caricati sulla piattaforma | Responsabile del trattamento |
| Dati di registrazione e account del cliente | Titolare del trattamento |
| Dati di fatturazione | Titolare del trattamento |
| Analytics di utilizzo della piattaforma | Titolare del trattamento |
La classificazione non è teorica: da essa dipendono gli obblighi documentali, la necessità del DPA e la legittimazione dei trasferimenti di dati.
2. Privacy by Design e by Default nel Ciclo di Sviluppo
Riferimento normativo: Art. 25 GDPR; Linee Guida EDPB 4/2019 sull'Art. 25
L'Art. 25.1 GDPR richiede di integrare misure di protezione dei dati nella progettazione del prodotto, non come adeguamento successivo. L'Art. 25.2 aggiunge che le impostazioni predefinite devono trattare il minimo di dati necessario per ciascuna finalità, senza richiedere un'azione dell'utente per tutelarsi.
Misure tecniche e organizzative rilevanti:
- Minimizzazione dei dati: raccogliere solo i dati necessari per le finalità definite, documentate prima dello sviluppo
- Pseudonimizzazione: separare i dati identificativi dai dati di contenuto/analytics nei database
- Cifratura a riposo e in transito: standard minimi per i dati personali
- Controllo degli accessi: principio del minimo privilegio nei permessi di sistema e applicativi
- Funzionalità di cancellazione e portabilità: progettare le API e il database per supportare le richieste degli interessati sin dall'architettura iniziale
3. Informativa Privacy per gli Utenti del Servizio
Riferimento normativo: Art. 13 GDPR
L'informativa deve essere fornita al momento della raccolta dei dati, prima dell'accesso al servizio. Deve contenere, tra gli altri elementi obbligatori:
- Identità e dati di contatto del titolare del trattamento e, se nominato, del DPO
- Finalità e base giuridica per ciascun trattamento (non è sufficiente un'unica base generica)
- Eventuali sub-processor o destinatari dei dati
- Trasferimenti verso paesi extra-UE con indicazione delle garanzie adottate
- Periodo di conservazione dei dati per ciascuna finalità
- Diritti dell'interessato: accesso (Art. 15), rettifica (Art. 16), cancellazione (Art. 17), limitazione (Art. 18), portabilità (Art. 20), opposizione (Art. 21)
- Diritto di proporre reclamo al Garante Privacy
Per un SaaS B2B l'informativa riguarda gli utenti dell'account cliente, non i dati caricati dal cliente sulla piattaforma (per quelli il documento rilevante è il DPA).
4. Base Giuridica per Ciascuna Finalità di Trattamento
Riferimento normativo: Art. 6 GDPR; Linee Guida EDPB 2/2019 su Art. 6.1.b per i servizi online
La base giuridica deve essere identificata prima dell'avvio del trattamento e documentata nel registro dei trattamenti. Non è possibile cambiare base giuridica a posteriori.
| Finalità tipica in un SaaS | Base giuridica applicabile |
|---|---|
| Fornitura del servizio agli utenti | Esecuzione del contratto — Art. 6.1.b |
| Comunicazioni transazionali (fatture, notifiche) | Esecuzione del contratto — Art. 6.1.b |
| Email di marketing a utenti esistenti | Legittimo interesse — Art. 6.1.f (con LIA documentato) o consenso |
| Profilazione comportamentale avanzata degli utenti | Consenso — Art. 6.1.a |
| Addestramento di modelli AI con dati degli utenti | Consenso esplicito — Art. 6.1.a (trattamento per finalità diversa da quella originaria) |
| Log di sicurezza e monitoraggio anti-frode | Legittimo interesse — Art. 6.1.f (con LIA documentato) |
5. Data Processing Agreement Standard per i Clienti B2B
Riferimento normativo: Art. 28 GDPR
Ogni cliente B2B che carica dati personali sulla piattaforma deve ricevere e accettare un DPA. L'Art. 28.9 GDPR consente la forma scritta, anche in formato elettronico. La prassi consolidata tra i provider SaaS è pubblicare il DPA come allegato ai Termini di Servizio, con accettazione contestuale all'iscrizione.
Elementi obbligatori del DPA (Art. 28.3 GDPR):
- Oggetto e durata del trattamento
- Natura e finalità del trattamento
- Tipo di dati personali e categorie di interessati
- Obbligo di trattare i dati solo su istruzione documentata del titolare
- Obblighi di riservatezza del personale autorizzato
- Misure di sicurezza tecniche e organizzative adeguate ex Art. 32 GDPR
- Condizioni per il ricorso a sub-responsabili del trattamento
- Assistenza al titolare per l'esercizio dei diritti degli interessati
- Assistenza al titolare per gli adempimenti di sicurezza, data breach e DPIA
- Restituzione o cancellazione dei dati alla cessazione del contratto
- Messa a disposizione di tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consentire attività di revisione e audit
L'assenza del DPA espone il titolare del trattamento (il cliente) a sanzioni del Garante. Ai sensi dell'Art. 83.4 GDPR, la violazione degli obblighi del responsabile del trattamento è punita con sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale annuo. Costituisce inoltre un ostacolo commerciale verso clienti enterprise e Pubblica Amministrazione.
6. Lista dei Sub-Processor e Meccanismo di Aggiornamento
Riferimento normativo: Art. 28.2 e 28.4 GDPR
Il responsabile del trattamento (provider SaaS) non può ricorrere a un sub-processor senza previa autorizzazione scritta, specifica o generale, del titolare (Art. 28.2 GDPR). Nel caso di autorizzazione generale — la soluzione adottata dalla maggior parte dei SaaS — il DPA deve prevedere un meccanismo di notifica preventiva delle modifiche, con un termine entro cui il cliente può opporsi.
Struttura minima della lista dei sub-processor:
| Fornitore | Servizio | Sede del trattamento | Misura di garanzia per trasferimento extra-UE |
|---|---|---|---|
| [Nome fornitore] | [Es. cloud infrastructure] | [Es. UE / USA] | [Es. SCCs — Dec. 2021/914] |
I sub-processor soggetti al GDPR devono essere vincolati a obblighi equivalenti a quelli assunti dal responsabile verso il titolare (Art. 28.4 GDPR).
7. Registro dei Trattamenti
Riferimento normativo: Art. 30 GDPR
L'esenzione per le organizzazioni con meno di 250 dipendenti (Art. 30.5 GDPR) non si applica quando il trattamento non è occasionale o può presentare un rischio per i diritti degli interessati. I SaaS che trattano dati degli utenti finali dei propri clienti in via continuativa rientrano nella condizione "non occasionale", rendendo il registro obbligatorio nella pratica.
Contenuto obbligatorio del registro (Art. 30.1 GDPR):
- Nome e dati di contatto del titolare (e del DPO, se designato)
- Finalità del trattamento
- Descrizione delle categorie di interessati e di dati personali
- Categorie di destinatari a cui i dati sono comunicati, compresi i sub-processor
- Trasferimenti verso paesi terzi con indicazione delle garanzie
- Termini previsti per la cancellazione (retention policy)
- Descrizione generale delle misure di sicurezza tecniche e organizzative (Art. 32 GDPR)
Il registro non è un documento pubblico, ma può essere richiesto dal Garante in sede di ispezione.
8. Procedura Interna di Gestione dei Data Breach
Riferimento normativo: Art. 33, 34 e 30.5 GDPR
In caso di data breach, il provider SaaS ha obblighi diversi a seconda del ruolo:
Come responsabile del trattamento (Art. 33.2 GDPR): notificare la violazione al titolare (cliente) senza ingiustificato ritardo. Il DPA deve definire un termine specifico — tipicamente 24 o 48 ore dalla scoperta — per consentire al cliente di rispettare le 72 ore verso il Garante.
Come titolare del trattamento (Art. 33.1 GDPR): notificare il Garante Privacy entro 72 ore dalla scoperta della violazione, salvo che questa sia "improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche". Se il rischio per gli interessati è elevato, comunicare la violazione direttamente agli interessati (Art. 34 GDPR).
Documentazione obbligatoria (Art. 33.5 GDPR): ogni violazione deve essere documentata, anche quando non si procede alla notifica. La documentazione deve consentire al Garante di verificare il rispetto delle disposizioni.
Struttura minima della procedura interna:
- Rilevazione e segnalazione interna della violazione sospetta
- Valutazione della gravità e classificazione del rischio
- Documentazione immediata (data, ora, natura, dati coinvolti, numero stimato di interessati)
- Notifica alla catena di responsabilità interna entro tempi definiti
- Notifica al cliente (se responsabile) e/o al Garante (se titolare) entro i termini di legge
- Comunicazione agli interessati (se rischio elevato)
- Aggiornamento del registro dei data breach
9. DPIA: Quando è Obbligatoria per un SaaS
Riferimento normativo: Art. 35 GDPR; Provvedimento Garante 11 ottobre 2018; Linee Guida WP248
La DPIA è obbligatoria quando il trattamento "è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche" (Art. 35.1 GDPR). Deve essere effettuata prima dell'avvio del trattamento.
Il Provvedimento del Garante dell'11 ottobre 2018 elenca le tipologie di trattamenti per cui la DPIA è obbligatoria in Italia. La mancata esecuzione di una DPIA obbligatoria è sanzionabile fino a 10 milioni di euro o il 2% del fatturato mondiale ai sensi dell'Art. 83.4 lett. a GDPR.
Le Linee Guida WP248 (adottate dall'EDPB) individuano 9 criteri: la presenza di 2 o più rende la DPIA obbligatoria. Criteri che ricorrono frequentemente in un SaaS:
| Criterio WP248 | Esempi in un SaaS |
|---|---|
| Valutazione o scoring | Sistemi di scoring utenti, credit scoring, fraud scoring |
| Decisione automatizzata con effetti giuridici o significativi | Accettazione/rifiuto automatico, targeting pubblicitario |
| Monitoraggio sistematico | Analytics comportamentale avanzata, heatmap, session recording |
| Dati sensibili o di natura particolarmente personale | Dati sanitari, biometrici, di salute mentale |
| Dati di persone vulnerabili | Trattamenti che coinvolgono minori o pazienti |
| Trattamento su larga scala | Dipende dal volume: verificare con riferimento alle soglie EDPB |
10. Trasferimenti di Dati verso Paesi Extra-UE
Riferimento normativo: Art. 44–49 GDPR; Decisione di adeguatezza 2023/1795 (Data Privacy Framework EU-US); Decisione 2021/914 (SCCs)
Ogni trasferimento di dati personali verso paesi al di fuori dell'UE/SEE richiede una delle garanzie previste dagli Artt. 44–49 GDPR. Per un SaaS che utilizza provider cloud o SaaS con sede o server negli USA, le opzioni principali sono:
Data Privacy Framework EU-US (Decisione 2023/1795 del 10 luglio 2023): applicabile ai provider americani certificati nel Framework. È la base di legittimazione più semplice quando il sub-processor è certificato. La stabilità del Framework è oggetto di monitoraggio da parte delle autorità europee.
Clausole Contrattuali Tipo — SCCs (Decisione della Commissione 2021/914 del 4 giugno 2021): vincolano contrattualmente il soggetto extra-UE agli standard europei. Richiedono un Transfer Impact Assessment (TIA) per verificare che le SCCs siano effettivamente rispettabili nel paese di destinazione alla luce della legislazione locale.
Verifica pratica per un SaaS:
- Mappare tutti i fornitori con sede o server extra-UE (infrastruttura cloud, SaaS di terze parti)
- Per ciascuno: verificare se è certificato nel Data Privacy Framework (per fornitori USA) o se sono disponibili SCCs
- Aggiornare la lista dei sub-processor e l'informativa privacy con le misure adottate
- Documentare il TIA per i trasferimenti basati su SCCs
Domande Frequenti
Il GDPR si applica a una startup SaaS in fase pre-revenue?
Sì. Il GDPR si applica dal momento in cui vengono trattati dati personali, indipendentemente dallo stadio di sviluppo o dalla presenza di ricavi. La fase di beta testing con utenti reali — anche in numero limitato — configura già un trattamento di dati personali soggetto al Regolamento.
Un SaaS che usa solo AWS e servizi con sede UE deve preoccuparsi dei trasferimenti extra-UE?
Dipende dalla configurazione specifica. AWS dispone di region EU (Frankfurt, Ireland, ecc.) che consentono di mantenere i dati in UE, ma altri servizi integrati nel SaaS (analytics, pagamenti, email transazionale, CRM) potrebbero trasferire dati verso server extra-UE. È necessario mappare tutti i flussi, non solo il provider di infrastruttura principale.
Il DPA deve essere firmato da entrambe le parti?
L'Art. 28.9 GDPR consente la forma scritta, anche elettronica. La prassi del DPA accettato contestualmente ai Termini di Servizio — senza firma digitale separata — è diffusa tra i SaaS B2B e generalmente ritenuta conforme, a condizione che il meccanismo di accettazione sia chiaro e documentabile.
Un SaaS che raccoglie solo email e nome degli utenti è soggetto agli stessi adempimenti?
Sì. Qualsiasi dato che consente di identificare una persona fisica è un dato personale ai sensi dell'Art. 4 n. 1 GDPR, indipendentemente dalla quantità o dalla tipologia. Le misure da adottare devono essere proporzionate al rischio del trattamento, ma gli adempimenti di base (informativa, base giuridica, registro dei trattamenti, DPA con i sub-processor) si applicano in ogni caso.
Quando è necessario nominare un DPO per un SaaS?
Il Data Protection Officer è obbligatorio ai sensi dell'Art. 37 GDPR in tre ipotesi: autorità o organismi pubblici; organizzazioni che effettuano monitoraggio regolare e sistematico degli interessati su larga scala; organizzazioni che trattano su larga scala dati particolari (Art. 9) o relativi a condanne penali (Art. 10). Per un SaaS B2B che non rientra in questi casi, la nomina del DPO non è obbligatoria ma può essere opportuna in funzione del volume e della tipologia di dati trattati.
Autore
Avv. Antonino IngogliaAvvocato iscritto all'Ordine di Sciacca (n. 747), con background da full-stack developer. Attività prevalente in GDPR, AI Act, contratti ICT e compliance digitale per aziende e startup.
Profilo completo →