Lexferie Suite operativa
Checklist pratica

DPA e due diligence: cosa chiedere davvero.

Se valuti un SaaS che tocca dati del personale, non basta leggere una home ben scritta. Questa pagina raccoglie le domande e i materiali che aiutano a capire se il progetto e serio oppure se la sicurezza viene raccontata in modo troppo vago.

Documenti che ha senso chiedere

  • DPA o schema contrattuale privacy;
  • dati completi del titolare del trattamento;
  • lista sub-responsabili o subprocessor attivi;
  • nota su provider AI, retention e training;
  • nota su backup, restore e disaster recovery;
  • sintesi incident response o breach handling.

Prove operative che valgono di piu

  • demo con ruoli e permessi reali;
  • spiegazione scritta di tenant separation;
  • evidenza di log, audit e protezioni accesso;
  • retention matrix per dati, log e backup;
  • nota scritta sul perimetro AI realmente attivo.

Le 10 domande da fare in call

  1. Chi e esattamente il titolare del trattamento, con dati societari completi?
  2. Potete condividere DPA e lista subprocessor?
  3. Dove sono ospitati i dati e in quale regione?
  4. Come separate i dati tra clienti diversi?
  5. L'AI usa provider esterni? I dati vengono usati per training?
  1. Avete controllo ruoli, audit log e access control reali?
  2. Quali sono i tempi di retention per dati, log e backup?
  3. Come gestite incidenti e data breach?
  4. Che backup e disaster recovery avete?
  5. Potete condividere un allegato tecnico sicurezza?

Come leggere le risposte

Se le risposte sono precise, rapide e documentate, il progetto puo essere serio anche se il marketing pubblico era prima troppo sobrio. Se invece arrivano frasi vaghe come “e tutto sicuro” o “ci pensa il provider”, il livello enterprise non e ancora maturo abbastanza.

Limite onesto

Una checklist come questa aiuta a fare ordine, ma non sostituisce la documentazione che va chiesta e condivisa in sede contrattuale o tecnica. Serve a evitare fiducia cieca, non a sostituire la verifica.