Se gestisci una PMI e qualcuno (un ufficio acquisti, un cliente enterprise, un consulente) ti ha appena detto che ti serve OneTrust per essere conforme al GDPR, fai un respiro. OneTrust è un prodotto eccellente — per aziende Fortune 500 con 50+ collaboratori compliance. Per una PMI con un sito, tre dipendenti e un budget software di 50 €/mese, OneTrust è drasticamente sovradimensionato. Questa guida spiega esattamente perché, come si presenta uno stack equivalente lato PMI, e come migrare senza rompere la conformità.
TL;DR — OneTrust per PMI in un minuto
- Prezzi OneTrust: non pubblicamente comunicati, ma il prodotto entry-level Privacy Management parte intorno ai 15.000 $/anno con impegno pluriennale. Stack completo (Consent + DSAR + Valutazioni + Risk) raggiunge 50-100.000 $/anno.
- Stack PMI equivalente: WebLegal.ai (~50 € pagamento unico per 4 documenti legali) + banner cookie gratuito (WebLegal CCB o altro) + foglio di calcolo per il registro dei trattamenti + webform DSAR. Totale: meno di 100 €/anno.
- Il GDPR non richiede OneTrust: nessun fornitore specifico è nominato nel regolamento. Gli obblighi (DPA art. 28, registro art. 30, sicurezza art. 32) possono essere soddisfatti con qualsiasi tooling conforme.
- Quando hai davvero bisogno di OneTrust: team compliance di 10+ persone, SSO enterprise richiesto dal team di sicurezza, automazione DSAR con integrazione Salesforce/Workday/SAP, workflow di rischio multi-framework.
La gamma di prodotti reale di OneTrust
OneTrust non è un prodotto unico — è una piattaforma di ~20 moduli, ciascuno fatturato separatamente. I moduli rilevanti per la privacy sono:
| Modulo | Scopo | Prezzo d’ingresso tipico |
|---|---|---|
| Cookie Consent (ex-Cookiepedia) | Banner + scansione cookie | 5.000-15.000 $/anno |
| Privacy Management (PIA, ROPA) | Registro art. 30, DPIA | 15.000-30.000 $/anno |
| Data Subject Rights (DSAR) | Portale diritti clienti | 10.000-20.000 $/anno |
| Vendor Risk Management | Valutazione rischio fornitori | 15.000-25.000 $/anno |
| Universal Consent (Mobile/CTV/IoT) | Infrastruttura consent cross-device | 25.000+ $/anno |
La suite “Privacy & Data Governance” bundled — quella che un’enterprise tipica acquista — si situa tra 50.000-150.000 $/anno a seconda della dimensione aziendale e della durata del contratto. Non c’è una tariffa pubblica perché la vendita è enterprise-diretta, con contratti pluriennali negoziati per cliente.
Per una startup SaaS di tre persone, una soglia minima di 50.000 $ è superiore allo stipendio del fondatore. Per un e-commerce di nicchia con 200.000 $ di fatturato, OneTrust consuma il 25-75% del budget marketing annuale. Nessuno dei due scenari giustifica il costo.
Perché le PMI finiscono per cercare OneTrust
Tre motivi comuni:
- Un cliente enterprise ha richiesto uno “stack privacy conforme”. Il modulo procurement cita OneTrust come esempio. L’acquirente spesso accetta equivalenti se gli si chiede, ma non lo dice di default.
- Un consulente o auditor ha raccomandato OneTrust. È reale ma non legalmente richiesto — i consulenti scelgono OneTrust perché è la risposta più sicura per loro, non perché sia l’unica risposta valida.
- Confusione tra “riconosciuto dal regolatore” e “richiesto dal regolatore”. Le linee guida EDPB e del Garante usano frequentemente OneTrust come riferimento; non è la stessa cosa che imporlo. Nessun articolo del GDPR nomina un fornitore.
Ogni driver ha un’uscita a bassa frizione una volta che sai cosa chiedere.
Lo stack PMI minimo che fa lo stesso lavoro
Per una PMI tipica (1-50 dipendenti, 1-5 siti web, senza team compliance interno), gli obblighi GDPR + CCPA + LGPD possono essere soddisfatti con:
| Bisogno | Modulo OneTrust | Equivalente PMI | Costo |
|---|---|---|---|
| Privacy Policy + Termini + Cookie + Condizioni di Vendita | Cookie Consent + template policy | WebLegal.ai — IA, 14 lingue, 50+ giurisdizioni | 14,90 €/doc o pack 49,90 € (unico) |
| Banner cookie | Cookie Consent (script + admin) | WebLegal CCB (gratuito) o Klaro / CookieConsent.js | Gratuito |
| Registro dei trattamenti (art. 30) | Privacy Management (ROPA) | Template Google Sheet + cartella DPA datata | Gratuito |
| Ricezione DSAR | Data Subject Rights Portal | Webform → inbox monitorata (Zendesk Free, label Gmail) | Gratuito o 25 $/mese |
| DPIA (quando necessaria) | Assessments | Tool DPIA del Garante (gratuito, IT + EN) | Gratuito |
| Tracking DPA fornitori | Vendor Risk Management | Foglio di calcolo con colonna “DPA firmato data/versione” | Gratuito |
Totale: 50-100 €/anno incluso il pagamento unico WebLegal.
Questo non è un downgrade per una PMI — è uno stack dimensionato correttamente. Una PMI non ha 200 responsabili del trattamento, 10.000 richieste DSAR all’anno, né un team compliance multi-giurisdizionale che necessita di dashboard. I moduli OneTrust costruiti per quella scala sono peso morto alla scala PMI.
Per una copertura più approfondita dello stack PMI compliance, vedi il nostro confronto completo dei generatori di documenti legali e l’analisi dei prezzi Iubenda.
Piano concreto di migrazione da OneTrust a uno stack PMI
Se stai già pagando OneTrust e vuoi scalare verso il basso alla prossima scadenza, la migrazione tipica di 4 settimane:
Settimana 1 — Inventario
- Esporta la tua lista cookie OneTrust (categorie + fornitori + retention).
- Esporta la tua privacy policy + cookie policy in PDF.
- Elenca i DSAR attivi nel portale OneTrust (dovrai onorare le richieste aperte nel nuovo stack).
- Annota le voci del tuo registro dei trattamenti dalla ROPA OneTrust — incollale in un Google Sheet con le stesse colonne.
Settimana 2 — Rigenerazione dei documenti
- Lancia WebLegal.ai sul tuo dominio — lo scanner rileva automaticamente la maggior parte del tuo stack (Stripe, Klaviyo, Meta Pixel, GA4, ecc.).
- Genera Privacy Policy + Cookie Policy + Termini + Condizioni di Vendita. Costo: 49,90 € pagamento unico.
- Confronta i nuovi documenti con quelli generati da OneTrust. Dove il nuovo testo è più specifico (clausole giurisdizionali), tieni il nuovo. Dove hai linguaggio legale personalizzato (es. clausole licensing IP), innestalo nel nuovo documento.
Settimana 3 — Sostituzione del banner cookie
- Installa il banner cookie gratuito WebLegal o un altro banner PMI (Klaro, CookieConsent.js, Termly Cookie Consent).
- Migra la categorizzazione cookie OneTrust alla struttura di categorie del nuovo fornitore.
- Testa con una sessione browser fresca: rifiuta tutto → nessun analytics si carica; accetta tutto → tutti gli script caricano; granulare → solo le categorie consentite caricano.
Settimana 4 — Passaggio di consegne DSAR + registro
- Configura il webform DSAR (un semplice Tally / Notion / Typeform). Destinazione email = la tua inbox privacy.
- Sposta il Google Sheet del registro dei trattamenti in una posizione condivisa del team con promemoria di review trimestrale.
- Disdici OneTrust alla scadenza. I diritti di disdetta variano — la maggior parte dei contratti si rinnova automaticamente 30-60 giorni prima, quindi controlla le tue condizioni.
L’intera migrazione fa risparmiare tipicamente 15.000-150.000 $/anno senza regressione di conformità — perché gli obblighi erano soddisfatti dal regolamento stesso, non dal brand dello strumento.
Quando OneTrust è genuinamente la risposta corretta
Tre scenari in cui OneTrust merita il prezzo:
- Requisiti SSO enterprise + log di audit: il tuo team di sicurezza richiede SAML SSO, accessi granulari basati sui ruoli ai dashboard compliance, e trail di audit immutabili. Gli strumenti PMI non offrono questo.
- Automazione DSAR multi-sistema: gestisci 1.000+ DSAR/anno e ti serve routing automatizzato delle richieste su Salesforce, Workday, SAP, Snowflake, ecc. I connettori OneTrust risparmiano migliaia di ore.
- Settore regolamentato con workflow di rischio framework-specifici: servizi finanziari, sanità, assicurazioni — dove servono workflow PIA/DPIA legati a ISO 27001, NIST 800-171, SOC 2, HIPAA, FedRAMP simultaneamente.
Se nessuno di questi tre si applica, non hai bisogno di OneTrust. Puoi soddisfare GDPR + CCPA + LGPD con uno stack PMI all’1-2% del costo.
E Cookiebot, Iubenda, Termly?
Queste sono opzioni mid-tier tra PMI ed enterprise. Sono più economiche di OneTrust (5-15 k $/anno per i tier alti) ma ancora significativamente sopra a ciò di cui una PMI ha bisogno. Il sweet spot prezzo/valore per la maggior parte delle PMI sta a:
- Documenti (privacy + termini + cookie): generatore a pagamento unico come WebLegal.ai (50 € una volta) > ricorrente come Iubenda (300-500 €/anno)
- Banner cookie: open-source gratuito o free tier fornitore > pagamento ricorrente
- DSAR / registro / DPIA: fogli di calcolo e webform > SaaS a pagamento
Vedi i nostri approfondimenti: Prezzi Iubenda e Iubenda vs Termly vs WebLegal per il confronto mid-tier. Per il caso specifico Shopify + GDPR + CCPA 2026, vedi anche la nostra guida Shopify GDPR & CCPA 2026 multe, e per i 7 errori che fanno scattare i controlli del Garante consulta 7 errori GDPR e-commerce controllo Garante.
Conclusione
Se un fornitore o consulente spinge OneTrust su una PMI, la reazione giusta è chiedere: “quale obbligo specifico richiede questo strumento?”. Nel 99% dei casi PMI, la risposta è nessuno — l’obbligo è soddisfatto direttamente dal regolamento, non da un abbonamento da 50.000 $/anno. Lo stack PMI (WebLegal.ai + banner cookie gratuito + fogli di calcolo) copre GDPR + CCPA + LGPD per meno di 100 €/anno.
Se stai pagando OneTrust oggi e non rientri in uno dei tre scenari sopra (SSO enterprise, automazione DSAR multi-sistema, workflow di settore regolamentato), la migrazione di 4 settimane in questa guida probabilmente libererà 15-150 k € del tuo budget annuale senza alcun gap di conformità.
Inizia la tua migrazione con una scansione gratuita del tuo sito — rileva automaticamente il tuo attuale stack cookie/analytics/marketing e ti dice esattamente quali documenti ti servono.
