Torna al Blog

I tuoi file in cloud non sono dove pensi — e per una PMI è un problema di compliance, non di geografia

·6 min lettura
Sovranità del dato cloud — giurisdizione, residenza, controllo delle chiavi

Quando un fornitore cloud scrive «server in Europa» o «data residency EU», l'imprenditore tira un sospiro di sollievo: i dati restano sul suolo europeo, quindi sono al sicuro sotto il GDPR. È un equivoco che costa caro, perché confonde dove i dati sono fisicamente archiviati con a quale legge sono soggetti.

La verità è meno intuitiva: la collocazione del data center conta poco. Conta molto di più la giurisdizione della società che possiede e gestisce l'infrastruttura. Un provider con sede negli Stati Uniti resta soggetto alla legge statunitense anche quando i suoi server stanno a Francoforte, Dublino o Milano. Per una PMI questo non è un dettaglio accademico: è un rischio che, in un audit GDPR o in una valutazione NIS2, va mappato e documentato — e che oggi quasi nessuno documenta.

CLOUD Act: la legge che attraversa l'oceano

Il CLOUD Act (Clarifying Lawful Overseas Use of Data Act), in vigore dal 23 marzo 2018, lo dice in modo esplicito: le autorità statunitensi possono obbligare un provider con sede negli USA a consegnare i dati di cui ha la disponibilità indipendentemente dal luogo in cui sono fisicamente archiviati. Anche se quei dati appartengono a cittadini europei. Anche se risiedono in un data center dentro l'Unione Europea.

In pratica: se la vostra azienda usa Google Workspace, Microsoft 365, Dropbox o un qualunque servizio fornito da una società americana, l'opzione «regione di archiviazione: Europa» non vi mette al riparo da una richiesta di accesso emessa negli Stati Uniti. La residency geografica è una scelta di latenza e di marketing, non uno scudo giuridico.

Il conflitto di leggi in cui finisce la PMI

Qui nasce il vero problema. Il CLOUD Act e il GDPR possono entrare in conflitto diretto: rispettare un ordine emesso sotto CLOUD Act può configurare una violazione del GDPR (divulgazione di dati personali senza base giuridica adeguata); rispettare il GDPR può significare disattendere un ordine di un tribunale statunitense. Il fornitore si trova in mezzo, ma è il titolare del trattamento — cioè la vostra azienda — a rispondere davanti al Garante se i dati dei propri clienti o dipendenti finiscono fuori dal perimetro previsto.

Il tentativo di ricomporre questa tensione è il EU-US Data Privacy Framework (DPF), su cui la Commissione Europea ha adottato una decisione di adeguatezza il 10 luglio 2023. Due punti che raramente arrivano al decisore PMI:

  • Il DPF copre solo i fornitori certificati. Non è un lasciapassare generale per «qualunque servizio americano»: vale per le organizzazioni iscritte e auto-certificate al programma.
  • La sua stabilità non è garantita. Le due cornici precedenti — Safe Harbor e Privacy Shield — sono state annullate dalla Corte di Giustizia UE (Schrems I e Schrems II). Il DPF ha superato un primo esame — il 3 settembre 2025 il Tribunale UE ha respinto il ricorso di annullamento nel caso Latombe — ma è ampiamente atteso un «Schrems III» davanti alla Corte di Giustizia, alimentato dai dubbi sull'indipendenza degli organismi di controllo statunitensi (PCLOB, FTC).

Costruire la propria compliance su una decisione di adeguatezza che potrebbe cadere è un rischio di continuità da mettere a bilancio, non un dettaglio formale.

Le tre domande da fare a ogni fornitore cloud

La buona notizia è che il rischio si governa. Non serve diventare giuristi: bastano tre domande, da porre a ogni fornitore e da mettere agli atti.

  1. Qual è la giurisdizione della società? Non dove sono i server: dove ha sede legale l'entità che firma il contratto e controlla l'infrastruttura. Una controllata europea di un gruppo USA può comunque ricadere sotto la legge madre.
  2. Dove risiedono i dati e i backup? Inclusi log, copie di disaster recovery e sub-fornitori (il provider del vostro provider). La catena va seguita fino in fondo.
  3. Chi controlla le chiavi di cifratura? È la domanda decisiva. Se il fornitore non possiede le chiavi — cifratura zero-knowledge / end-to-end — allora, anche di fronte a un ordine legale, può consegnare solo dati illeggibili. Se invece le chiavi le tiene lui, «cifrato» significa solo «cifrato per gli estranei, non per chi gestisce il servizio».

Cosa significa per chi fa NIS2 o ISO 27001

Per un'azienda che sta affrontando la Direttiva NIS2 o una certificazione ISO/IEC 27001, questo tema non è un optional: è parte integrante del lavoro.

  • Mappatura dei flussi di dato (art. 30 GDPR, registro dei trattamenti): dove vivono davvero i dati, attraverso quali fornitori, sotto quali giurisdizioni.
  • Gestione del rischio fornitore e supply chain (un cardine esplicito di NIS2): il sub-fornitore cloud va valutato, e la valutazione va scritta.
  • Misure tecniche e organizzative adeguate (art. 32 GDPR): la scelta di un provider, la sua giurisdizione e il modello di gestione delle chiavi sono misure, e come tali vanno motivate e documentate.

In un audit non conta solo cosa avete scelto, ma se siete in grado di dimostrare di averci pensato. La differenza tra una PMI conforme e una esposta, spesso, è semplicemente la documentazione.

Il punto

«I miei file sono in cloud, in Europa, quindi sono a posto» è una frase che in sede di audit non regge. La sovranità del dato non si misura in chilometri dal data center, ma in giurisdizione, residenza effettiva e controllo delle chiavi. Sono tre variabili che ogni azienda può — e oggi dovrebbe — conoscere e mettere nero su bianco.

Sai davvero dove vivono i dati della tua azienda?

Tomato Blue aiuta le PMI a mappare giurisdizione, residenza e controllo delle chiavi dei propri fornitori cloud, e a produrre la documentazione che regge davanti a un audit GDPR o NIS2.

Parla con noi →

Fonti