Legal DevOps · Tech Compliance

Compliance Tech
senza frenare l'Innovazione.

Non pareri astratti, ma ingegneria legale. Supporto operativo per startup, SaaS e dev team. Dal GDPR all'AI Act, integrato nel tuo stack.

Parla con un Esperto Il mio metodo

100+Tech Companies

40+DPIA & FRIA

10Anni exp.

Competenze Verticali

Protezione legale per il tuo intero stack tecnologico.

Privacy by Design

Costruiamo l'architettura legale del tuo prodotto fin dalla prima riga di codice. Data Schema review, Data Retention policy e gestione consensi granulari.

Framework GDPR →

AI Governance

Dalle reti neurali generative alla computer vision. Classificazione AI Act, FRIA e tutela IP degli algoritmi. Compliance per modelli Foundation.

AI Act Compliance →

Cyber Defense

Difesa legale attiva. Compliance NIS2, gestione incidenti critici e responsabilità del CdA. Protocolli di risposta Data Breach h24.

NIS2 Check →

Metodologia

Legal DevOps.

Non sono il "No" che blocca il rilascio. Sono il check verde nella tua pipeline CI/CD. Integro la compliance direttamente nel ciclo di sviluppo del software (SDLC).

01. DESIGN PHASE

Specs & Schema

Definizione requisiti privacy nelle User Stories. Analisi minimizzazione dati nel DB schema prima che venga scritta una riga di codice.

02. BUILD PHASE

Code & APIs

Review chiamate API verso terze parti (OpenAI, Stripe). Verifica cifratura e token management. 3rd party license check.

03. DEPLOY

Pre-Flight Check

Generazione automatizzata Privacy Policy e ToS allineati alla versione di rilascio. Verifica cookie e consensi su frontend.

04. RUN & SCALE

Incident Response

SLA di risposta legale per Data Breach. Audit periodici su nuove feature. Supporto per Due Diligence investitori.

Parlo la lingua del tuo stack

AWS

PostgreSQL

Docker

GitHub

Slack

Knowledge Base

Insights & Analisi

AI Compliance

AI Act: i 5 obblighi chiave per SaaS italiani

Timeline, sanzioni e passi operativi. Cosa fare se utilizzi API di OpenAI o modelli proprietari.

Leggi l'analisi →

Cyber Risk

NIS2: Responsabilità diretta del CTO

Le nuove responsabilità personali degli amministratori per la gestione del rischio cyber. Come tutelarsi.

Leggi l'analisi →

Data Transfer

USA Data Transfer: Guida 2025

Data Privacy Framework e TIA. Come gestire legalmente i fornitori cloud US (AWS, Google, Stripe).

Leggi l'analisi →

Focus: Privacy Engineering

GDPR as Code.
Basta burocrazia.

Il problema

Hai una tech company. I dati sono il tuo asset. La compliance GDPR tradizionale (fatta di carta) non scala con il tuo business e blocca i rilasci.

Il mio approccio: Privacy by Design significa che la compliance diventa un requisito funzionale del software, non un ostacolo.

Cosa faccio concretamente

DPO as a Service: Reperibilità reale su Slack. Presidio ispezioni, rispondo al Garante, coordino il tuo team tecnico.
Technical DPIA: Valutazioni d'impatto scritte per ingegneri. Analisi rischi reali del trattamento e misure di mitigazione tecniche (es. encryption at rest, pseudonymization).
Data Breach Response: Protocollo 72h. Contenimento, patch, notifica legale. Tu gestisci il fix, io gestisco la crisi normativa.
Vendor Risk Assessment: Analisi dei DPA con sub-processors (AWS, Google Cloud, Stripe). Gestione TIA per trasferimenti extra-UE.

Come iniziamo

Call di 30 minuti per mappare i flussi dati. Nessun impegno.

Assessment Privacy by Design?

Prenota la Call →

Focus: AI Governance

AI Act Compliance.
Pronto per il deploy?

Lo scenario

Sviluppi prodotti AI-native o integri LLM via API. L'AI Act è entrato in vigore. Le sanzioni arrivano a €35M, ma il rischio vero è il blocco del mercato.

Classificazione: Il tuo sistema è Alto Rischio? GPAI? Limited Risk? La risposta cambia tutto.
Trasparenza: Se usi GenAI, hai obblighi di watermarking e disclosure immediati.

Servizi per AI Developers

AI Classification Report: Analisi legale dell'architettura per determinare la classe di rischio AI Act.
FRIA (Fundamental Rights Impact Assessment): Documentazione obbligatoria per sistemi ad alto rischio.
Dataset Governance: Verifica copyright e GDPR sui dati di training/fine-tuning.
Model Terms Review: Analisi condizioni d'uso API (OpenAI, Anthropic) per evitare lock-in o perdita di IP.

Il tuo sistema è "High Risk"?

Richiedi Classificazione →

Focus: Cyber Defense

NIS2 & Cyber Law.
Il Board risponde.

Responsabilità Personale

La direttiva NIS2 introduce la responsabilità personale per gli amministratori in caso di mancata gestione del rischio cyber. Non è più "solo un problema IT".

Cosa faccio per te

NIS2 Gap Analysis: Verifica assoggettamento e piano di adeguamento priorità.
Incident Response Plan: Protocollo legale per la gestione delle 24h post-breach. Notifiche CSIRT e gestione reputazionale.
Supply Chain Contracts: Clausole di sicurezza e audit per i tuoi fornitori critici.
Board Training: Formazione obbligatoria per amministratori sui rischi cyber legali.

Sei soggetto alla NIS2?

Verifica Gratuita →

Matteo Pompilio

Legal Data Architect

Risorse per Devs

DPA Checklist

La lista di controllo open-source per i tuoi Data Processing Agreements.

Scarica PDF/JSON

Legal Engineer,
non solo Avvocato.

"Non puoi proteggere un dato se non sai come viaggia. Ho studiato l'infrastruttura cloud per non dover chiedere al tuo CTO 'cos'è un bucket S3'."

Il mio Stack di Competenza

La mia consulenza copre la compliance specifica per questi ambienti:

Cloud Infrastructure AWS (Regions & Zones), Google Cloud, Azure. Analisi encryption at-rest/in-transit.

SaaS & Payments Stripe (PCI-DSS implications), Salesforce, HubSpot. Mapping dei flussi dati extra-UE.

AI & LLMs OpenAI API (Enterprise policy), Anthropic, Hugging Face. Copyright & Training data compliance.

Dev Tools GitHub Copilot legal risks, Vercel/Netlify hosting privacy, Sentry/Log management.

Formazione Continua

Giuridica: Laurea in Giurisprudenza, Master Data Protection (Univ. Suor Orsola Benincasa).
Tecnica: Studio continuo su architetture Cloud (AWS Practitioner path) e Cyber Risk Management.

Parliamone?

Contattami →

Privacy & Cookie Policy

Informativa Privacy (Art. 13 GDPR)

Il Titolare del trattamento è l'Avv. Matteo Pompilio. I dati raccolti tramite il sito sono trattati esclusivamente per garantire la navigazione e rispondere alle richieste di contatto.

Diritti dell'Interessato

Puoi esercitare i diritti previsti dagli artt. 15-22 del GDPR scrivendo a matteopompilio@studiolegalepompilio.it.

Cookie Policy

Questo sito utilizza esclusivamente cookie tecnici necessari al funzionamento. Non utilizza cookie di profilazione.

Document Changelog

v1.2 28 Nov 2025

Aggiornamento sezione Data Transfer conforme al nuovo framework USA-UE.

v1.1 15 Set 2025

Integrazione clausole informative NIS2.

v1.0 01 Gen 2025

Pubblicazione iniziale.

Compliance Tech senza frenare l'Innovazione.

Competenze Verticali

Privacy by Design

AI Governance

Cyber Defense

Legal DevOps.

Specs & Schema

Code & APIs

Pre-Flight Check

Incident Response

Insights & Analisi

AI Act: i 5 obblighi chiave per SaaS italiani

NIS2: Responsabilità diretta del CTO

USA Data Transfer: Guida 2025

GDPR as Code.Basta burocrazia.

Il problema

Cosa faccio concretamente

Come iniziamo

AI Act Compliance.Pronto per il deploy?

Lo scenario

Servizi per AI Developers

NIS2 & Cyber Law.Il Board risponde.

Responsabilità Personale

Cosa faccio per te

Matteo Pompilio

DPA Checklist

Legal Engineer,non solo Avvocato.

Il mio Stack di Competenza

Formazione Continua

Privacy & Cookie Policy

Informativa Privacy (Art. 13 GDPR)

Diritti dell'Interessato

Cookie Policy

Document Changelog

Raccontamiil tuo progetto.

Compliance Tech
senza frenare l'Innovazione.

GDPR as Code.
Basta burocrazia.

AI Act Compliance.
Pronto per il deploy?

NIS2 & Cyber Law.
Il Board risponde.

Legal Engineer,
non solo Avvocato.

Raccontami
il tuo progetto.