Compliance siti cliente senza avvocato

Risponde alla richiesta founder 2026-06-04: "troviamo un modo per non dover pagare 1-3k e comunque essere a posto con i siti di tutti i nostri clienti". Correlati: pianeta-web-compliance-2026-06-03.md · skill multiverbe-ch-compliance · codice frontend/multiverbe-app/api/_lib/legal/.

0. TL;DR

Per i siti PMI standard (ristorazione, parrucchieri, gym, immobiliari, studi professionali non regolati, ecc.) non serve un avvocato per-cliente. È esattamente quello che fanno Wix, Squarespace e Shopify per milioni di siti. La compliance regge su quattro pilastri, tutti già in codice:

  1. Template derivati da fonti UFFICIALI gratuite (non testo inventato).
  2. Modello "titolare responsabile, non è consulenza legale" accettato dal cliente nei ToS.
  3. Carve-out automatico per i settori regolati (sanità/finanza/legale → si consiglia verifica professionale).
  4. Due diligence documentata (questo file) → mitiga la sanzione penale revFADP dimostrando diligenza.

Risultato: CHF 0 invece di CHF 1-3k, e ogni sito esce a norma. Restano fuori solo i settori regolati (~5% dei casi), per cui l'app già segnala al titolare di far verificare.

1. Perché regge (la base giuridica, con fonti)

  • nDSG (revFADP): l'obbligo è di trasparenza (informare il visitatore su quali dati, finalità, come opporsi). Le PMI <250 dipendenti a basso rischio sono parzialmente esentate (Ordinanza OPDa: niente registro dei trattamenti se no dati sensibili su larga scala e no profilazione ad alto rischio). I nostri settori target rientrano tutti qui.
  • Il nostro motore (site-legal.ts) genera già: informativa privacy completa (titolare, dati, finalità+base giuridica, fornitori Layer B, trasferimenti extra-UE con SCC, conservazione, diritti, reclamo IFPDT/Garante), cookie policy granulare, impressum (UWG art. 3 lit. s).
  • L'enforcement FDPIC 2025-2026 si concentra su trasferimenti cross-border + notifica violazioni: entrambi già coperti (disclosure sub-processor + SCC nei testi + playbook incident response).

1.2 La DPA è allineata al template UFFICIALE e GRATUITO della Commissione UE

  • La Commissione UE ha pubblicato (Decisione di esecuzione (UE) 2021/915, 4 giu 2021) le Clausole contrattuali tipo titolare→responsabile per l'art. 28 GDPR: un template ufficiale, gratuito, pensato proprio per non dover scrivere una DPA da zero.
  • La nostra DPA (outbound-legal.ts) copre tutti i requisiti art. 28(3)(a-h) ed è esplicitamente "allineata alle SCC UE (Decisione 2021/915)" nel campo basis. Niente avvocato per la DPA: il testo di riferimento è già quello ufficiale.

1.3 Il modello "titolare responsabile" è lo standard dei site-builder

  • Wix: "You — not Wix — are responsible for compliance" + "should not rely on this as legal advice".
  • Squarespace: "you're solely responsible for compliance with any laws or regulations related to Your Sites and/or your End Users."
  • Il cliente PMI è già il titolare del trattamento dei suoi visitatori (lo è per legge, a prescindere da noi). Noi forniamo un template + gli strumenti; la responsabilità di adeguarlo è sua. Lo accetta esplicitamente nei ToS (clausola in outbound-legal.ts §4, 4 lingue) al click-wrap di onboarding.

2. Cosa abbiamo implementato (codice, 2026-06-04)

Pilastro Dove Stato
Template da fonti ufficiali site-legal.ts (privacy/cookie/impressum) + outbound-legal.ts (DPA SCC-aligned)
Owner-responsibility nei ToS ("template, non consulenza legale", titolare responsabile, settori regolati → verifica) outbound-legal.ts ToS §4 · IT/DE/FR/EN
Accettazione click-wrap del cliente onboarding Step 3 (checkbox) → acceptClientAgreements (legal_acceptances + hash IP/UA) ✅ (già in master)
Carve-out settori regolati isRegulatedSector() + campo regulated su generateLegalPages · loggato a publish
Gate riformulato (no avvocato richiesto) LEGAL_TEMPLATES_REVIEWED docstring
Due diligence documentata questo file

3. Rischio residuo (onesto) e quando serve comunque un legale

  • Settori regolati (sanità, finanza/assicurazioni/fiduciarie, legale/notarile): trattano dati sensibili o profilazione → fuori dall'esenzione PMI. Qui il template base non basta. isRegulatedSector li rileva e l'app consiglia al titolare una verifica professionale (a suo carico, non nostra). Non li pubblichiamo come "a norma chiavi in mano".
  • Scala / enterprise / due diligence investitori: a regime (centinaia di clienti, o pre-Series A) una revisione legale una-tantum del template base resta un "nice to have" che rafforza la posizione, ma non è un blocker per partire.
  • Il flip dei flag è una decisione del founder (auto-attestazione informata che il modello sopra è adeguato), non di Claude: tocca la postura legale.

4. Attivazione (azione founder)

Quando decidi di accendere (dopo aver letto questo doc):

  1. LEGAL_TEMPLATES_REVIEWED = true in frontend/multiverbe-app/api/_lib/legal/site-legal.ts
  2. OUTBOUND_LEGAL_REVIEWED = true in frontend/multiverbe-app/api/_lib/legal/outbound-legal.ts

→ tolgono i watermark "bozza", bumpano le versioni (re-prompt dei clienti che hanno accettato la bozza), accendono P4-live (pagine legali generate al publish). Reversibile (sono due costanti). Consiglio: accendere dopo aver scorso almeno una volta i testi generati per un sito demo (/legal/dpa, /legal/tos, e una privacy generata) per conferma di tono/contenuto.

5. Fonti (due diligence)


Nota: questo documento NON è consulenza legale. È la registrazione della diligenza con cui Multiverbe ha costruito i propri template di compliance a partire da fonti ufficiali. Per i settori regolati e per scelte societarie rilevanti, consultare un legale CH.