Sophie Laurent, YuSMP Group
Sophie Laurent Legal & Compliance Lead, YuSMP Group · Esperta di GDPR, HIPAA e Regolamento UE sull'IA

Il GDPR si applica a te? Ambito extraterritoriale dell'Articolo 3

L'Articolo 3 del Regolamento (UE) 2016/679 ha tre presupposti, due dei quali si applicano alla maggior parte dei SaaS statunitensi:

  • Articolo 3(1) — Stabilimento. Si applica al trattamento effettuato nell'ambito delle attività di uno stabilimento nell'UE, indipendentemente dal luogo in cui avviene il trattamento. Anche un singolo dipendente nell'UE può costituire uno stabilimento ai sensi della causa C-230/14 Weltimmo.
  • Articolo 3(2)(a) — Offerta di beni o servizi agli interessati nell'Unione. Indicatori ai sensi del Considerando 23 e delle Linee guida 3/2018 dell'EDPB: localizzazione nella lingua UE, prezzi in EUR, riferimenti a clienti UE, dominio UE, menzione di utenti UE nel marketing, assistenza clienti per l'UE, annunci mirati all'UE. Un sito web solo statunitense che riceve per caso traffico UE non è nell'ambito di applicazione. Un SaaS con una pagina prezzi in tedesco con fatturazione in EUR è pienamente nell'ambito.
  • Articolo 3(2)(b) — Monitoraggio del comportamento degli interessati nell'Unione. Pubblicità comportamentale, fingerprinting, tracciamento della posizione, sondaggi di ricerca di mercato rivolti a utenti UE.

La posizione del server è irrilevante ai sensi dell'Articolo 3. Lo è anche l'assenza di una persona giuridica nell'UE. Se rientri nel 3(2), l'intero Regolamento si applica e devi designare un rappresentante ai sensi dell'Articolo 27 nell'Unione (fatta salva l'eccezione limitata dell'Articolo 27(2)).

Titolare, responsabile, contitolari — chiarisci prima il ruolo

I tuoi obblighi dipendono dal tuo ruolo. L'identificazione errata del ruolo causa più problemi di enforcement di qualsiasi carenza nel controllo tecnico.

  • Titolare (Articolo 4(7)) — determina le finalità e i mezzi del trattamento. Un SaaS B2C nei confronti dei propri utenti finali è il titolare dei loro dati.
  • Responsabile (Articolo 4(8)) — tratta per conto di un titolare. Un SaaS B2B nei confronti dei dati degli utenti finali dei propri clienti è in genere il responsabile; il cliente è il titolare.
  • Contitolari (Articolo 26) — due o più entità che determinano congiuntamente finalità e mezzi. La causa CGUE C-40/17 Fashion ID ha incluso gli scenari con i pixel di tracciamento nel territorio della contitolarità. I contitolari devono concordare le responsabilità in un accordo trasparente e renderne disponibile l'essenza agli interessati.

La maggior parte dei fondatori di SaaS B2B statunitensi presuppone erroneamente di essere «solo un responsabile» per tutto. Di solito sono titolari per la fatturazione, la gestione degli account, il marketing, la telemetria di sicurezza, e responsabili solo per i dati aziendali archiviati dai clienti. Mappa entrambi i ruoli per ogni attività di trattamento, non per azienda.

Basi giuridiche ai sensi dell'Articolo 6 e categorie speciali ai sensi dell'Articolo 9

L'Articolo 6(1) elenca sei basi giuridiche. Per i SaaS B2B quelle utilizzabili:

BaseUtilizzarla perAttenzione a
6(1)(a) ConsensoEmail di marketing, cookie opzionali, analytics opzionaliCondizioni rigorose dell'Articolo 7; revocabile in qualsiasi momento; granulare; non abbinato ai ToS
6(1)(b) ContrattoErogazione del servizio, fatturazione, gestione degli accountTest di stretta necessità; «miglioramento del servizio» non è qualificante (Linee guida EDPB 2/2019)
6(1)(c) Obbligo legaleRegistri fiscali, AML/KYC, reportistica finanziariaCitare la normativa specifica nel ROPA
6(1)(f) Interessi legittimiAnalisi del prodotto, sicurezza, frodi, marketing B2B, operazioni di gruppoTest in tre fasi, LIA documentata; diritto di opposizione dell'Articolo 21; non disponibile per le autorità pubbliche

Le categorie speciali dell'Articolo 9 (salute, identificatori biometrici usati per l'identificazione, origine razziale/etnica, opinioni politiche, convinzioni religiose, sindacato, vita sessuale e orientamento sessuale, dati genetici) richiedono una base aggiuntiva ai sensi dell'Articolo 9(2) oltre all'Articolo 6. Impostazione predefinita: consenso esplicito ai sensi del 9(2)(a). I dati penali dell'Articolo 10 hanno un proprio regime ai sensi dell'Articolo 10.

Dati dei minori (sotto i 16 anni, ridotti a 13–16 dagli Stati membri) ai sensi dell'Articolo 8: è richiesto il consenso dei genitori per i servizi della società dell'informazione offerti direttamente ai minori.

I sette principi dell'Articolo 5 che il tuo software deve rispettare

L'Articolo 5(1) elenca sette principi; l'Articolo 5(2) ti rende responsabile della dimostrazione della conformità.

  • Liceità, correttezza, trasparenza — Articoli 13–14 trasparenza al momento della raccolta; informativa sulla privacy in linguaggio semplice.
  • Limitazione della finalità — raccolti per finalità determinate, esplicite e legittime; non ulteriormente trattati in modi incompatibili.
  • Minimizzazione dei dati — adeguati, pertinenti, limitati a quanto necessario. Ingegneria: non raccogliere campi «per ogni evenienza».
  • Esattezza — mantenuti esatti, aggiornati, con meccanismi di rettifica.
  • Limitazione della conservazione — conservati in forma identificabile non più a lungo del necessario. Ingegneria: conservazione automatizzata, eliminazione permanente, non solo soft delete.
  • Integrità e riservatezza — sicurezza mediante misure tecniche e organizzative (Articolo 32).
  • Responsabilizzazione — devi dimostrare la conformità. ROPA (Articolo 30), policy, formazione, prove.

L'Articolo 25 Privacy by Design e by Default mette in pratica questi principi: misure di protezione dei dati per impostazione predefinita e fin dalla progettazione, solo i dati personali necessari trattati per impostazione predefinita. L'attenzione dell'enforcement tedesco all'Articolo 25 nel 2024–2025 è stata intensa.

Trasferimenti internazionali: DPF, SCC 2021/914, TIA, BCR

Il Capitolo V (Articoli 44–50) limita i trasferimenti di dati personali verso paesi terzi. Dopo Schrems II (causa CGUE C-311/18) che ha invalidato il Privacy Shield nel 2020, il quadro è stato ricostruito attorno a tre strumenti:

  1. Decisione di adeguatezza. Articolo 45. Il Data Privacy Framework UE-USA, adottato dalla Decisione di esecuzione della Commissione (UE) 2023/1795 del 10 luglio 2023, ha ripristinato l'adeguatezza per i dati personali trasferiti a importatori statunitensi certificati DPF. Verifica la certificazione su dataprivacyframework.gov; la certificazione può scadere. Il DPF ha superato la prima sfida al Tribunale generale nel 2025 (causa T-553/23 La Quadrature du Net), ma è pendente un rinvio Schrems III; non fare affidamento esclusivamente sull'adeguatezza.
  2. Clausole contrattuali standard. La Decisione di esecuzione della Commissione (UE) 2021/914 del 4 giugno 2021 prevede quattro moduli: C2C, C2P, P2P, P2C. Scegli il modulo corrispondente alla coppia di ruoli. Utilizza la clausola di adesione per i deployment multipartiti. Devono essere integrate da una valutazione d'impatto sul trasferimento ai sensi delle Raccomandazioni 01/2020 dell'EDPB — valuta la legislazione del paese terzo, in particolare l'accesso governativo ai dati (FISA 702, EO 12333 per gli USA), e aggiungi misure supplementari (cifratura con chiavi nell'UE, pseudonimizzazione, misure contrattuali) ove la legge sia inadeguata.
  3. Norme vincolanti d'impresa. Articolo 47. Per i trasferimenti intra-gruppo; lente da implementare (in genere 18–36 mesi) ma durature.
  4. Deroghe dell'Articolo 49. Consenso esplicito, necessità contrattuale, importante interesse pubblico, ecc. Strettamente necessarie, non per trasferimenti sistematici.

Rappresentante UE (Articolo 27) e la questione del DPO (Articolo 37)

Due ruoli distinti, spesso confusi.

Rappresentante UE (Articolo 27) — obbligatorio per i titolari e i responsabili non appartenenti all'UE soggetti all'Articolo 3(2), a meno che non si applichi l'esenzione limitata. Deve essere stabilito in uno Stato membro in cui si trovano gli interessati, deve essere autorizzato a trattare le questioni GDPR ed è il punto di contatto per le autorità di controllo e gli interessati. I servizi di terze parti costano 1.200–6.000 EUR all'anno. Indica il tuo rappresentante nell'informativa sulla privacy e sul tuo sito web.

Responsabile della protezione dei dati (Articolo 37) — obbligatorio solo quando (a) sei un'autorità pubblica, (b) le attività principali consistono nel monitoraggio su larga scala regolare e sistematico (es. adtech, telematica), o (c) le attività principali consistono nel trattamento su larga scala di categorie speciali dell'Articolo 9 o di dati penali dell'Articolo 10. La maggior parte dei SaaS B2B non ha bisogno di un DPO obbligatorio, ma molti ne nominano uno volontario come segnale. L'Articolo 38 protegge il DPO da istruzioni sulle mansioni e dal licenziamento per averle svolte; l'Articolo 39 elenca i compiti del DPO.

Diritti degli interessati e l'orologio della risposta

Gli Articoli 12–22 conferiscono diritti e l'Articolo 12(3) fissa l'orologio della risposta: un mese dal ricevimento della richiesta, prorogabile di ulteriori due mesi per richieste complesse con comunicazione entro il primo mese. Gratuito salvo richieste manifestamente infondate o eccessive.

  • Diritto di accesso dell'Articolo 15 — copia dei dati personali, finalità del trattamento, categorie, destinatari, conservazione, fonte, logica delle decisioni automatizzate.
  • Rettifica dell'Articolo 16.
  • Cancellazione dell'Articolo 17 («diritto all'oblio») — con eccezioni limitate.
  • Limitazione del trattamento dell'Articolo 18.
  • Articolo 19 — notifica ai destinatari di rettifica, cancellazione, limitazione.
  • Portabilità dell'Articolo 20 — esportazione in formato leggibile dalla macchina per i dati forniti dall'interessato.
  • Opposizione dell'Articolo 21 — diritto assoluto per il marketing diretto; test di bilanciamento per il trattamento basato sull'Articolo 6(1)(f).
  • Articolo 22 — non essere soggetti a decisioni basate esclusivamente su trattamenti automatizzati con effetti giuridici o analoghi significativi, salvo eccezioni limitate; diritto all'intervento umano.

Implicazione ingegneristica: crea un portale per le richieste degli interessati il prima possibile. I flussi automatizzati con verifica dell'identità fanno risparmiare centinaia di ore nel tempo e dimostrano la conformità all'Articolo 25.

Team di ingegneria che rivede i flussi di richiesta degli interessati GDPR
Il portale DSAR è l'investimento ingegneristico GDPR con il minor sforzo e il maggiore impatto. Costruiscilo nel primo sprint del lancio nell'UE.

DPIA (Articolo 35) e quando effettivamente ti serve

L'Articolo 35(1) richiede una DPIA quando il trattamento è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. L'Articolo 35(3) elenca tre trigger obbligatori (decisioni automatizzate sistematiche ed estensive con effetti significativi; dati di categoria speciale o penali su larga scala; monitoraggio sistematico di aree pubblicamente accessibili). Le Linee guida 4/2017 dell'EDPB aggiungono nove criteri; due o più costituisce la soglia pratica.

L'Articolo 35(7) richiede che la DPIA includa: descrizione sistematica del trattamento, valutazione della necessità e proporzionalità, valutazione dei rischi, misure di mitigazione. L'Articolo 36 richiede la consultazione preventiva dell'autorità di controllo se il rischio residuo rimane elevato dopo la mitigazione.

Conserva le DPIA con versioning nello stesso repository del codice. Gli auditor apprezzano le DPIA con versioning che si aggiornano con i rilasci.

Notifica delle violazioni: l'orologio da 72 ore (Articoli 33–34)

Articolo 33(1): il titolare notifica all'autorità di controllo capofila qualsiasi violazione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla conoscenza. La notifica tardiva richiede una giustificazione motivata. Articolo 33(2): il responsabile notifica al titolare senza ingiustificato ritardo.

Articolo 34: se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà, notificare agli interessati senza ingiustificato ritardo in un linguaggio chiaro e semplice. Il porto sicuro per i dati cifrati esiste nell'Articolo 34(3)(a) solo se le misure tecniche appropriate (inclusa la cifratura) erano state applicate ai dati in questione.

Articolo 33(5): documentazione interna di ogni violazione — segnalata o meno — per la responsabilizzazione ai sensi dell'Articolo 5(2).

Pianifica il runbook per un incidente del venerdì sera, perché è quando accadono. Le autorità di controllo UE contano le ore del fine settimana.

Sicurezza dell'Articolo 32: cosa significa in pratica nel 2026

L'Articolo 32 richiede misure tecniche e organizzative adeguate al rischio, tra cui, se del caso: pseudonimizzazione e cifratura (32(1)(a)), riservatezza/integrità/disponibilità/resilienza (32(1)(b)), capacità di ripristinare la disponibilità e l'accesso tempestivamente dopo un incidente (32(1)(c)), procedure regolari di verifica dell'efficacia (32(1)(d)).

La soglia minima de facto nel 2026:

  • Certificazione ISO/IEC 27001:2022 o report SOC 2 Type II.
  • TLS 1.2+ ovunque; AES-256 a riposo; chiavi gestite tramite KMS.
  • MFA per tutti gli accessi privilegiati.
  • Isolamento dei tenant nel SaaS multi-tenant, con threat model documentato.
  • Test di penetrazione annuale da parte di terze parti indipendenti.
  • Simulazioni di risposta agli incidenti due volte l'anno.
  • Piano di conservazione dei dati documentato con applicazione automatizzata.

Realtà dell'enforcement: la giurisprudenza 2024–2026

L'era post-Schrems II ha portato un enforcement sostenuto. Schemi degni di nota:

  • Meta — 1,2 miliardi di EUR (Irish DPC, maggio 2023) per trasferimenti negli USA senza un meccanismo adeguato. La multa GDPR più alta finora.
  • Enforcement sui cookie banner — CNIL (Francia) e Garante (Italia) irrogano attivamente sanzioni per dark pattern, violazioni della parità di evidenza e problemi di trasferimento di Google Analytics 4.
  • Dati dei minori e adtech — TikTok, Instagram, ByteDance con sanzioni nella fascia 245–405 milioni di EUR.
  • Decisioni automatizzate dell'Articolo 22 — la sentenza SCHUFA (CGUE C-634/21, 2023) ha ampliato il concetto di «decisione» ai sensi dell'Articolo 22; le funzionalità di scoring dei SaaS sono ora pienamente nell'ambito.
  • Sanzioni minori alle PMI — le autorità di controllo hanno dimostrato disponibilità a sanzionare aziende di ogni dimensione; «siamo piccoli» non è una difesa.

Sanzioni ai sensi dell'Articolo 83: fino a 10 milioni di EUR o il 2% del fatturato annuo mondiale per la maggior parte delle violazioni procedurali del responsabile; fino a 20 milioni di EUR o il 4% per le violazioni dei principi fondamentali, della base giuridica, dei diritti degli interessati, dei trasferimenti e degli ordini delle autorità di controllo.

Se stai pianificando un lancio nell'UE o remediando un programma GDPR, eseguiamo gap assessment a prezzo fisso in due settimane tramite consulenza di conformità GDPR; di solito lo abbiniamo allo sviluppo SaaS o a progetti di sviluppo software su misura. Per i fondatori senza un responsabile della conformità interno, un Fractional CTO con esperienza GDPR è in genere più rapido di un programma affidato esclusivamente a uno studio legale. La definizione dell'ambito delle funzionalità IA per i lanci nell'UE si integra con il nostro lavoro di conformità al Regolamento UE sull'IA.

FAQ

Il GDPR si applica al mio SaaS statunitense?

Sì, se l'Articolo 3(2) si applica — offerta di beni o servizi agli interessati UE (prezzi in EUR, localizzazione, marketing destinato all'UE) o monitoraggio del loro comportamento. La posizione del server è irrilevante.

Qual è il requisito del rappresentante UE?

L'Articolo 27 richiede ai titolari e ai responsabili non appartenenti all'UE rientranti nell'ambito dell'Articolo 3(2) di nominare per iscritto un rappresentante nell'Unione, contattabile dalle autorità di controllo e dagli interessati. I servizi di rappresentanza di terze parti costano 1.200–6.000 EUR/anno.

Quale base giuridica devo utilizzare?

Articolo 6(1)(b) contratto per l'erogazione del servizio, (f) interessi legittimi per analisi del prodotto, sicurezza, frodi, marketing B2B, (a) consenso solo quando le altre basi non si applicano. Le categorie speciali dell'Articolo 9 richiedono una base aggiuntiva ai sensi dell'Articolo 9(2).

Ho bisogno di una DPIA?

Se si applicano i trigger obbligatori dell'Articolo 35(3), o due o più criteri delle Linee guida 4/2017 dell'EDPB, sì. Integra la DPIA nel processo di rilascio; gestiscila con versioning insieme al codice.

Come trasferisco i dati negli USA?

DPF per gli importatori certificati DPF; SCC 2021/914 + TIA per i non-DPF; BCR per i trasferimenti intra-gruppo. Non fare affidamento sulle deroghe dell'Articolo 49 per i trasferimenti sistematici.

Qual è l'orologio per la notifica delle violazioni?

72 ore dalla conoscenza all'autorità di controllo capofila (Articolo 33); senza ingiustificato ritardo agli interessati in caso di rischio elevato (Articolo 34). Documenta tutte le violazioni, segnalabili o meno (Articolo 33(5)).

Il GDPR è una disciplina operativa, non un allegato contrattuale

I fondatori statunitensi che trattano il GDPR come una checklist di procurement si scontrano sempre con lo stesso muro: un'azione di enforcement innescata da un rappresentante UE mancante, un ROPA obsoleto o una modifica del sub-responsabile non tracciata. I team che fanno le cose per bene trattano il GDPR come il SOC 2 — un programma continuo di produzione di prove integrato nello SDLC. Noi aiutiamo a costruirlo in questo modo.

Ultimo aggiornamento: 26 maggio 2026. I riferimenti si intendono al Regolamento (UE) 2016/679 e alle Decisioni di esecuzione della Commissione citate. Nulla in questo articolo costituisce consulenza legale per una situazione specifica.