Servizi

Consulenza GDPR per Aziende Software

Il Regolamento (UE) 2016/679 ha portata extraterritoriale ai sensi dell'articolo 3(2): se vendete a interessati UE o li profilate, siete nell'ambito di applicazione indipendentemente dalla sede legale. Forniamo il RoPA art. 30, la DPIA art. 35, i contratti con i responsabili del trattamento art. 28, le misure tecniche e organizzative art. 32, la risposta alle violazioni art. 33–34 e il pacchetto per i trasferimenti internazionali art. 44–49 (SCC 2021, TIA, misure supplementari) come un unico deliverable ingegneristico integrato — non cinque raccoglitori legali separati. Prove di livello ingegneristico, memo difendibili, registro dei rischi pronto per il consiglio di amministrazione. Da 6.500 EUR per la Readiness Assessment.

Consulenza sulla conformità GDPR per aziende software

Le sanzioni ai sensi dell'articolo 83(5) raggiungono 20 milioni di EUR o il 4% del fatturato globale per le categorie di violazione più gravi: mancanza di base giuridica, violazione dei diritti degli interessati, trasferimenti internazionali illeciti. Ma la maggior parte delle aziende software non ha bisogno di un raccoglitore da 200 pagine; ha bisogno di una data map difendibile, un pacchetto SCC pulito, una pipeline DSAR funzionante e un runbook di risposta alle violazioni che regga il termine di 72 ore dell'articolo 33. Lo abbiamo fatto per vendor SaaS, fintech, healthtech e aziende statunitensi che entrano nel mercato UE: il deliverable è operativo, di proprietà del vostro team e vale anche come input per SOC 2 e ISO 27001.

Cosa forniamo

RoPA art. 30 & data map

Inventario aggiornato di ogni attività di trattamento: finalità, base giuridica ex art. 6, base per categorie particolari ex art. 9 dove pertinente, categorie di interessati e dati, conservazione, destinatari, trasferimenti internazionali. Mantenuto nel vostro strumento, non un PDF statico.

DPIA art. 35

Template DPIA più DPIA elaborate per trattamenti ad alto rischio — categorie particolari su larga scala, monitoraggio sistematico, profilazione con effetti giuridici ex art. 22, nuove tecnologie. Allineato alla metodologia WP29/EDPB con trattamento del rischio effettivamente implementabile dall'ingegneria.

Pacchetto DPA art. 28

DPA titolare-responsabile e responsabile-sub-responsabile allineati all'art. 28(3), con diritti di audit, flow-down verso i sub-responsabili, obblighi di cancellazione/restituzione e le otto clausole obbligatorie. Incluso il playbook di negoziazione per i template degli hyperscaler.

Misure tecniche e organizzative art. 32

Misure tecniche e organizzative: cifratura in transito (TLS 1.3) e a riposo (AES-256, chiavi gestite tramite KMS), MFA, RBAC, audit logging, SLA di gestione delle vulnerabilità, pentest annuale, BCP/DRP con RTO/RPO misurati. Documentate per dimostrare ogni sottoparagrafo dell'art. 32(1).

Pacchetto trasferimenti art. 44–49

SCC UE 2021 (modulo corretto per relazione), Transfer Impact Assessment ai sensi di Schrems II e Raccomandazioni EDPB 01/2020, misure supplementari, supporto alla certificazione EU-US Data Privacy Framework dove pertinente e informativa di trasparenza verso il cliente.

Workflow diritti & violazioni

Pipeline dei diritti degli interessati art. 12–22 nel prodotto (accesso, rettifica, cancellazione, portabilità, opposizione, revisione delle decisioni automatizzate) e runbook di risposta alle violazioni art. 33–34 collegato al termine di notifica di 72 ore.

Cosa copriamo

Article 3 Territorial Scope Article 5 Principles Article 6 Lawful Basis Article 7 Consent Article 9 Special Category Articles 12–22 Rights Article 22 Automated Decisions Article 25 Privacy by Design Article 27 EU Representative Article 28 Processor Article 30 RoPA Article 32 Security Article 33 Breach 72h Article 34 Subject Notice Article 35 DPIA Article 37 DPO Articles 44–49 Transfers 2021 EU SCCs UK IDTA / Addendum EU-US DPF Schrems II TIA EDPB Rec. 01/2020 UK GDPR / DPA 2018 ePrivacy Cookies

Come si svolge un progetto

  1. 01

    Scope & mappatura

    Settimana 1: conferma dei ruoli titolare/responsabile per relazione, inventario di ogni attività di trattamento, identificazione di flussi di categorie particolari e transfrontalieri, redazione del RoPA art. 30 nel vostro strumento di data mapping.

  2. 02

    Gap analysis

    Settimana 2: gap analysis dei trattamenti in scope rispetto agli articoli 5, 6, 12–22, 25, 28, 30, 32, 33–34, 35 e 44–49, valutazione di ogni gap per rischio e sforzo, produzione di una roadmap di remediation con responsabili e date.

  3. 03

    Implementazione

    Settimane 3–8: consegna del pacchetto DPA, template DPIA più una DPIA elaborata, hardening delle misure tecniche e organizzative art. 32, pipeline DSAR, pacchetto SCC e TIA, runbook violazioni, informativa privacy pubblica. Approccio ingegneristico, non solo legale.

  4. 04

    Operatività

    Dal terzo mese: aggiornamento trimestrale delle prove, monitoraggio EDPB e autorità nazionali, triage DSAR, supporto violazioni in standby, revisioni DPA dei fornitori, simulazione annuale di audit.

Pacchetti di ingaggio

Readiness Assessment

Due settimane, scope fisso. RoPA art. 30, gap analysis rispetto agli articoli operativi, roadmap di remediation e briefing esecutivo di 60 minuti con il fondatore e il consulente legale. 6.500 EUR fisso.

Implementation Pack

Da sei a otto settimane. Pacchetto DPA, template DPIA art. 35 più una DPIA elaborata, implementazione misure tecniche art. 32, pipeline DSAR art. 12–22 nel prodotto, pacchetto SCC + TIA, runbook violazioni art. 33–34, informativa privacy pubblica. 18.000 EUR fisso.

DPO-as-a-Service

Retainer mensile continuativo. Aggiornamento trimestrale delle prove, monitoraggio EDPB / ICO / CNIL / BfDI / AEPD / Garante, triage DSAR, supporto violazioni, fino a 10 revisioni DPA di fornitori al mese, simulazione annuale di audit. 3.500 EUR/mese.

La nomina del rappresentante UE ex art. 27 viene quotata separatamente a costi effettivi. Minimo tre mesi per il DPO-as-a-Service, poi mensile con preavviso di 30 giorni. NDA, DPA e cessione IP firmati prima del kickoff.

Perché fondatori e consulenti scelgono YuSMP per il GDPR

Conforme al GDPR · Pronto per ISO 27001 · SOC 2 Type II in corso · Compatibile HIPAA · Allineato ISO/IEC 42001

Ingegneri, non consulenti di policy

Leggiamo il codebase, la pipeline dei dati e il flusso di autenticazione prima di redigere il RoPA. Le nostre DPIA reggono perché riflettono ciò che il sistema fa davvero — non quanto afferma una presentazione.

Un'unica libreria di prove, più regimi

GDPR, ISO 27001, SOC 2, EU AI Act, HIPAA — i controlli sottostanti si sovrappongono. Costruiamo un'unica libreria di prove versionata che assolve gli obblighi derivanti da tutti i regimi invece di gestire raccoglitori paralleli.

Integrati nella vostra cadenza operativa

DPA e NDA firmati prima del kickoff, accesso al repository, partecipazione alle riunioni del team di ingegneria e agli aggiornamenti legali del board. Gli artefatti vivono nel vostro stack e sono di proprietà del vostro team dopo il trasferimento.

Per il rappresentante UE ex art. 27 collaboriamo con studi affermati in Irlanda e Germania; per le DPIA di livello litigioso e il rapporto con le autorità di controllo co-erogyhiamo con il consulente privacy di vostra scelta.

Cosa dicono i clienti

La firma elettronica di documenti da remoto è un campo minato dal punto di vista legale. YuSMP ha realizzato sia il flusso di firma mobile che il CRM Symfony in un unico ingaggio, ha gestito l'onboarding KYC e ha consegnato una documentazione API che il nostro team di compliance ha approvato in pochi giorni.
David Mercer, CEO, Signatory ProVedi il caso →
Le app per la privacy vivono e muoiono di fiducia. YuSMP ha realizzato un'implementazione WireGuard senza log, con una mappa della latenza dei server, connessione in un tap e kill switch — ogni funzionalità che avevamo promesso agli utenti. La revisione Apple è stata approvata alla prima submission.
Thomas Bergmann, Product Lead, LiMP VPNVedi il caso →

Domande frequenti

Siamo un'azienda statunitense con clienti UE: il GDPR si applica davvero a noi, e come?

Sì, l'articolo 3(2) conferisce al GDPR portata extraterritoriale. Se offrite beni o servizi a interessati nell'Unione (a pagamento o gratuiti) o ne monitorate il comportamento (analytics, profilazione, retargeting), siete nell'ambito di applicazione indipendentemente da dove si trovino i vostri server o la sede legale. Avrete bisogno di un rappresentante UE ai sensi dell'articolo 27, salvo rientriate nella ristretta esenzione. Le sanzioni ai sensi dell'articolo 83(5) raggiungono 20 milioni di EUR o il 4% del fatturato globale annuo, se superiore. Forniamo la nomina del rappresentante ex art. 27, i registri ex art. 30, i contratti con i responsabili del trattamento ex art. 28 e il baseline di sicurezza ex art. 32 come pacchetto integrato anziché cinque flussi di lavoro separati.

Qual è la differenza tra RoPA, DPIA e TIA, e quale ci serve davvero?

Il RoPA dell'articolo 30 (Registro delle Attività di Trattamento) è obbligatorio per quasi ogni titolare e responsabile — un inventario aggiornato di ogni finalità di trattamento, base giuridica ex art. 6, categorie di interessati e dati, conservazione, destinatari e trasferimenti. La DPIA dell'articolo 35 è necessaria quando il trattamento rischia di comportare un rischio elevato per i diritti e le libertà — trattamento su larga scala di categorie particolari, monitoraggio sistematico, decisioni automatizzate con effetti giuridici, nuove tecnologie. La TIA (Transfer Impact Assessment) è richiesta da Schrems II ogni volta che ci si affida alle SCC dell'articolo 46 per trasferimenti verso un paese terzo privo di decisione di adeguatezza. Forniamo tutti e tre utilizzando un'unica mappa dei dati come fonte di verità, in modo che rimangano sincronizzati invece di divergere.

Come gestiamo i trasferimenti di dati dall'UE agli USA dopo Schrems II?

Tre percorsi leciti ai sensi del Capitolo V (articoli 44–49). Primo: adeguatezza ex art. 45 — l'EU-US Data Privacy Framework è attualmente valido; certificarsi sotto di esso consente il trasferimento agli importatori statunitensi certificati senza misure aggiuntive. Secondo: Clausole Contrattuali Standard ex art. 46 (le SCC UE del 2021, quattro moduli) combinate con una Transfer Impact Assessment e misure supplementari ai sensi delle Raccomandazioni EDPB 01/2020 — cifratura in transito e a riposo sotto il controllo esclusivo della chiave, split processing, obblighi contrattuali di trasparenza. Terzo: deroghe ex art. 49 per situazioni specifiche — ristrette, mai predefinite. Redigiamo il pacchetto SCC, la TIA, le misure tecniche supplementari e l'informativa di trasparenza verso il cliente come un unico bundle.

Cosa richiede concretamente la sicurezza dell'articolo 32 in termini tecnici?

L'articolo 32(1) richiede misure tecniche e organizzative adeguate al rischio, tra cui: (a) pseudonimizzazione e cifratura, (b) riservatezza, integrità, disponibilità e resilienza continuative dei sistemi, (c) la capacità di ripristinare la disponibilità e l'accesso dopo un incidente, (d) un processo di verifica, valutazione e test periodici dell'efficacia. In pratica, per il SaaS ciò significa: cifratura in transito (TLS 1.2+ minimo, idealmente 1.3), cifratura a riposo (AES-256, chiavi gestite tramite KMS), MFA per l'accesso amministrativo, RBAC con privilegi minimi, audit logging con resistenza alla manomissione, gestione delle vulnerabilità con SLA documentati, penetration test annuale, un runbook di risposta agli incidenti collegato al termine di 72 ore per la notifica delle violazioni ex art. 33, e un BCP/DRP con RTO/RPO misurati. Implementiamo e documentiamo ciascuno di questi elementi per dimostrare la conformità all'art. 32 in sede di audit.

Come si integra il GDPR con SOC 2, ISO 27001 e l'EU AI Act?

Si sovrappongono sui controlli ma differiscono nel quadro di riferimento. I controlli dell'Allegato A di ISO 27001 (in particolare A.5, A.8, A.18) si mappano quasi 1:1 con l'articolo 32 del GDPR. I criteri Trust Services CC6 (accesso logico) e CC7 (operazioni di sistema) di SOC 2, insieme alla categoria Privacy opzionale P1–P8, coprono la maggior parte degli articoli 25 e 32. L'articolo 10 dell'EU AI Act sulla governance dei dati per i sistemi ad alto rischio mutua direttamente dagli articoli 5, 25 e 35 del GDPR. Costruiamo un'unica libreria di prove unificata che assolve gli obblighi derivanti da tutti e quattro i regimi — lo stesso controllo di cifratura dimostra la conformità a SOC 2 CC6.7, ISO A.8.24, GDPR articolo 32(1)(a) e AI Act articolo 15. Il lavoro si fa una volta sola; gli auditor ricevono ciò di cui ciascuno ha bisogno.

Quali sono i prezzi e cosa è incluso?

Tre pacchetti. La GDPR Readiness Assessment è 6.500 EUR a prezzo fisso (due settimane): conferma dello scope, RoPA art. 30 nel vostro strumento di data mapping, gap analysis rispetto agli articoli 5, 6, 12–22, 25, 28, 30, 32, 33–34, 35 e 44–49, roadmap di remediation, briefing esecutivo. L'Implementation Pack è 18.000 EUR a prezzo fisso (da sei a otto settimane): template DPA per responsabili e sub-responsabili, template DPIA art. 35 più una DPIA elaborata, implementazione misure tecniche art. 32, workflow dei diritti degli interessati art. 12–22 nel prodotto, pacchetto SCC e TIA per trasferimenti UE verso paesi terzi, runbook di risposta alle violazioni, informativa privacy pubblica. Il DPO-as-a-Service continuativo è 3.500 EUR/mese: aggiornamento trimestrale delle prove, monitoraggio delle autorità di controllo (EDPB, ICO, CNIL, BfDI, AEPD, Garante), supporto triage DSAR, supporto per violazioni, revisioni DPA dei fornitori fino a 10/mese, simulazione annuale di audit.

Avete bisogno di una gap analysis GDPR prima del prossimo RFP enterprise?

Book a readiness call

Richiedi una proposta

Condividete alcuni dettagli e un consulente senior risponderà entro un giorno lavorativo.

Preferite parlare direttamente? ☎ Chiama +374 44 871 811 ✉ sales@yusmpgroup.com