name: legal-templates-no-lawyer-strategy description: Come essere a norma sui siti di TUTTI i clienti senza pagare una revisione legale CH a pagamento (CHF 1-3k). Modello + base giuridica + due diligence documentata. last_update: 2026-06-04 owner: gregorio + claude status: modello implementato in codice · attivazione = flip flag (auto-attestazione founder)
Compliance siti cliente senza avvocato
Risponde alla richiesta founder 2026-06-04: "troviamo un modo per non dover pagare 1-3k e comunque essere a posto con i siti di tutti i nostri clienti". Correlati:
pianeta-web-compliance-2026-06-03.md· skillmultiverbe-ch-compliance· codicefrontend/multiverbe-app/api/_lib/legal/.
0. TL;DR
Per i siti PMI standard (ristorazione, parrucchieri, gym, immobiliari, studi professionali non regolati, ecc.) non serve un avvocato per-cliente. È esattamente quello che fanno Wix, Squarespace e Shopify per milioni di siti. La compliance regge su quattro pilastri, tutti già in codice:
- Template derivati da fonti UFFICIALI gratuite (non testo inventato).
- Modello "titolare responsabile, non è consulenza legale" accettato dal cliente nei ToS.
- Carve-out automatico per i settori regolati (sanità/finanza/legale → si consiglia verifica professionale).
- Due diligence documentata (questo file) → mitiga la sanzione penale revFADP dimostrando diligenza.
Risultato: CHF 0 invece di CHF 1-3k, e ogni sito esce a norma. Restano fuori solo i settori regolati (~5% dei casi), per cui l'app già segnala al titolare di far verificare.
1. Perché regge (la base giuridica, con fonti)
1.1 La privacy/cookie/impressum sono obblighi standardizzati e a basso rischio per le PMI
- nDSG (revFADP): l'obbligo è di trasparenza (informare il visitatore su quali dati, finalità, come opporsi). Le PMI <250 dipendenti a basso rischio sono parzialmente esentate (Ordinanza OPDa: niente registro dei trattamenti se no dati sensibili su larga scala e no profilazione ad alto rischio). I nostri settori target rientrano tutti qui.
- Il nostro motore (
site-legal.ts) genera già: informativa privacy completa (titolare, dati, finalità+base giuridica, fornitori Layer B, trasferimenti extra-UE con SCC, conservazione, diritti, reclamo IFPDT/Garante), cookie policy granulare, impressum (UWG art. 3 lit. s). - L'enforcement FDPIC 2025-2026 si concentra su trasferimenti cross-border + notifica violazioni: entrambi già coperti (disclosure sub-processor + SCC nei testi + playbook incident response).
1.2 La DPA è allineata al template UFFICIALE e GRATUITO della Commissione UE
- La Commissione UE ha pubblicato (Decisione di esecuzione (UE) 2021/915, 4 giu 2021) le Clausole contrattuali tipo titolare→responsabile per l'art. 28 GDPR: un template ufficiale, gratuito, pensato proprio per non dover scrivere una DPA da zero.
- La nostra DPA (
outbound-legal.ts) copre tutti i requisiti art. 28(3)(a-h) ed è esplicitamente "allineata alle SCC UE (Decisione 2021/915)" nel campobasis. Niente avvocato per la DPA: il testo di riferimento è già quello ufficiale.
1.3 Il modello "titolare responsabile" è lo standard dei site-builder
- Wix: "You — not Wix — are responsible for compliance" + "should not rely on this as legal advice".
- Squarespace: "you're solely responsible for compliance with any laws or regulations related to Your Sites and/or your End Users."
- Il cliente PMI è già il titolare del trattamento dei suoi visitatori (lo è per legge, a prescindere da noi). Noi forniamo un template + gli strumenti; la responsabilità di adeguarlo è sua. Lo accetta esplicitamente nei ToS (clausola in
outbound-legal.ts§4, 4 lingue) al click-wrap di onboarding.
2. Cosa abbiamo implementato (codice, 2026-06-04)
| Pilastro | Dove | Stato |
|---|---|---|
| Template da fonti ufficiali | site-legal.ts (privacy/cookie/impressum) + outbound-legal.ts (DPA SCC-aligned) |
✅ |
| Owner-responsibility nei ToS ("template, non consulenza legale", titolare responsabile, settori regolati → verifica) | outbound-legal.ts ToS §4 · IT/DE/FR/EN |
✅ |
| Accettazione click-wrap del cliente | onboarding Step 3 (checkbox) → acceptClientAgreements (legal_acceptances + hash IP/UA) |
✅ (già in master) |
| Carve-out settori regolati | isRegulatedSector() + campo regulated su generateLegalPages · loggato a publish |
✅ |
| Gate riformulato (no avvocato richiesto) | LEGAL_TEMPLATES_REVIEWED docstring |
✅ |
| Due diligence documentata | questo file | ✅ |
3. Rischio residuo (onesto) e quando serve comunque un legale
- Settori regolati (sanità, finanza/assicurazioni/fiduciarie, legale/notarile): trattano dati sensibili o profilazione → fuori dall'esenzione PMI. Qui il template base non basta.
isRegulatedSectorli rileva e l'app consiglia al titolare una verifica professionale (a suo carico, non nostra). Non li pubblichiamo come "a norma chiavi in mano". - Scala / enterprise / due diligence investitori: a regime (centinaia di clienti, o pre-Series A) una revisione legale una-tantum del template base resta un "nice to have" che rafforza la posizione, ma non è un blocker per partire.
- Il flip dei flag è una decisione del founder (auto-attestazione informata che il modello sopra è adeguato), non di Claude: tocca la postura legale.
4. Attivazione (azione founder)
Quando decidi di accendere (dopo aver letto questo doc):
LEGAL_TEMPLATES_REVIEWED = trueinfrontend/multiverbe-app/api/_lib/legal/site-legal.tsOUTBOUND_LEGAL_REVIEWED = trueinfrontend/multiverbe-app/api/_lib/legal/outbound-legal.ts
→ tolgono i watermark "bozza", bumpano le versioni (re-prompt dei clienti che hanno accettato la bozza), accendono P4-live (pagine legali generate al publish). Reversibile (sono due costanti). Consiglio: accendere dopo aver scorso almeno una volta i testi generati per un sito demo (/legal/dpa, /legal/tos, e una privacy generata) per conferma di tono/contenuto.
5. Fonti (due diligence)
- Commissione UE — Standard Contractual Clauses controllers↔processors (Decisione (UE) 2021/915): https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_en
- GDPR art. 28 (responsabile del trattamento): https://gdpr-info.eu/art-28-gdpr/
- nDSG/revFADP — obblighi di informazione + esenzione PMI registro trattamenti (OPDa): admin.ch / FDPIC (EDÖB-PFPDT)
- Modello "titolare responsabile / not legal advice": Wix (about/privacy + help center privacy policy), Squarespace (Terms of Service §responsabilità cliente)
- Skill interna
multiverbe-ch-compliance§decision-tree (privacy/cookie/ToS standard PMI → "skill + SaaS = 95% coperto, no lawyer"; regolati → lawyer)
Nota: questo documento NON è consulenza legale. È la registrazione della diligenza con cui Multiverbe ha costruito i propri template di compliance a partire da fonti ufficiali. Per i settori regolati e per scelte societarie rilevanti, consultare un legale CH.