Lexferie Il software HR per il lavoro reale italiano
Guide Trust Accedi
Checklist pratica

DPA e due diligence: cosa chiedere davvero.

Se valuti un SaaS che tocca dati del personale, questa pagina ti aiuta a preparare una richiesta documentale e una call più solide. Qui trovi le domande e i materiali che contano davvero.

Apri FAQ sicurezza Torna al trust
Documento chiave

Il DPA non si sostituisce con una trust page, ma da qui capisci se ha senso chiederlo subito.

Domanda chiave

Il cliente compra davvero il SaaS o sta leggendo male il perimetro AI e dei provider esterni?

Segnale chiave

Le risposte migliori sono brevi, precise e documentate. Il resto e rumore.

Documenti che ha senso chiedere

  • DPA o schema contrattuale privacy;
  • dati completi del titolare del trattamento;
  • lista sub-responsabili o subprocessor attivi;
  • nota su provider AI, retention e training;
  • nota su perimetro SaaS: AI integrata o sublicenza esclusa;
  • nota su backup, restore e disaster recovery;
  • sintesi incident response o breach handling.

Prove operative che valgono di più

  • demo con ruoli e permessi reali;
  • spiegazione scritta della separazione tra aziende;
  • evidenza di log, audit e protezioni accesso;
  • retention matrix per dati, log e backup;
  • nota scritta sul perimetro AI realmente attivo;
  • conferma che API key e credenziali restano lato server.

Le 10 domande da fare in call

  1. Chi e esattamente il titolare del trattamento, con dati societari completi?
  2. Potete condividere DPA e lista subprocessor?
  3. Dove sono ospitati i dati e in quale regione?
  4. Come separate i dati tra clienti diversi?
  5. L'AI usa provider esterni? I dati vengono usati per training?
  6. Il cliente compra il SaaS o un accesso diretto al provider AI?
  1. Avete controllo ruoli, audit log e access control reali?
  2. Quali sono i tempi di retention per dati, log e backup?
  3. Come gestite incidenti e data breach?
  4. Che backup e disaster recovery avete?
  5. Esistono fair use, soglie o limiti di consumo sui moduli AI?
  6. Potete condividere un allegato tecnico sicurezza?

Come leggere le risposte

Se le risposte sono precise, rapide e documentate, il progetto può essere serio anche se il marketing pubblico era prima troppo sobrio. Se invece arrivano frasi vaghe come “e tutto sicuro” o “ci pensa il provider”, il livello enterprise non è ancora maturo abbastanza.

Limite onesto

Una checklist come questa aiuta a fare ordine, ma non sostituisce la documentazione che va chiesta e condivisa in sede contrattuale o tecnica. Serve a evitare fiducia cieca, non a sostituire la verifica.