Tre cose che il tuo DPO non ti ha detto sul cloud americano
"Siamo GDPR compliant" è la frase più rassicurante e più pericolosa che uno studio professionale possa pronunciare. Le Standard Contractual Clauses non proteggono dal CLOUD Act. Il DPO spesso non sa dove sono i dati. La compliance è un checkbox.
"Siamo GDPR compliant" è la frase più rassicurante e più pericolosa che uno studio professionale possa pronunciare. Ecco tre cose che chi ti certifica la conformità probabilmente non sa, o non vuole dirti.
La domanda che nessuno fa
Due anni fa ero da un cliente, uno studio di commercialisti con venti dipendenti, durante l'audit annuale sulla protezione dati. C'era il DPO, un professionista esterno, avvocato, esperto di privacy, che lo studio aveva nominato come consulente sulla protezione dati.
Ad un certo punto ho fatto una domanda semplice: "Dove sono fisicamente i dati dei clienti dello studio?"
Silenzio.
Non un silenzio imbarazzato. Un silenzio genuino. Il DPO non lo sapeva. Non perché fosse incompetente, è un professionista serio, lo conosco da anni. Non lo sapeva perché nessuno gli aveva dato quell'informazione e lui non l'aveva chiesta.
"Su Microsoft 365" ha detto il titolare.
"Sì, ma dove? In quale data center? In quale paese?"
Altro silenzio.
La risposta, scoperta dopo mezz'ora di ricerca nella documentazione Microsoft: i dati primari erano in Irlanda. Le copie di backup? Olanda. Alcuni servizi di elaborazione? Non specificato. Le email in transito? Potenzialmente ovunque nell'infrastruttura globale di Microsoft.
Lo studio era "GDPR compliant". Aveva l'informativa aggiornata, il registro dei trattamenti, il DPO nominato, i dipendenti formati. Sulla carta, tutto in ordine.
Nella realtà, nessuno sapeva dove fossero i dati dei clienti.
Cosa 1: Le Standard Contractual Clauses non proteggono dal CLOUD Act
Le Standard Contractual Clauses (SCC) sono lo strumento legale che l'Unione Europea ha creato per permettere il trasferimento di dati personali verso paesi fuori dall'UE. Quando un'azienda europea usa un servizio cloud americano, le SCC sono il contratto che dice: "Ok, i dati possono andare lì, ma il fornitore si impegna a proteggerli secondo gli standard europei."
Suona bene.
Il problema si chiama CLOUD Act (Clarifying Lawful Overseas Use of Data Act). È una legge americana del 2018 che obbliga le aziende americane a consegnare i dati dei clienti alle autorità statunitensi, anche quando quei dati sono fisicamente archiviati su server in Europa.
Leggi bene: anche quando i dati sono in Europa.
Le SCC dicono: "Il fornitore protegge i dati secondo il GDPR." Il CLOUD Act dice: "Il fornitore consegna i dati se il governo americano li chiede." Sono due obblighi in conflitto diretto. E quando una legge americana si scontra con un contratto europeo, dentro il tribunale americano vince la legge americana.
Questa non è una teoria. Il 10 giugno 2025, il direttore degli affari legali di Microsoft France, Anton Carniaux, è stato convocato al Senato francese e ha dichiarato, testuali parole, di non poter garantire che i dati dei clienti europei non vengano trasferiti alle autorità americane.
Il direttore legale di Microsoft France. Al Senato di una nazione europea. "Non, je ne peux pas le garantir."
Le SCC sono un pezzo di carta che dice una cosa. Il CLOUD Act è una legge che ne fa un'altra. Il tuo DPO ti ha spiegato questa differenza?
Cosa 2: Il DPO spesso non sa dove risiedono fisicamente i dati
Il caso del mio cliente non è un'eccezione. È la norma.
Ho fatto la stessa domanda, "dove sono fisicamente i dati?", a una dozzina di studi professionali negli ultimi tre anni. La risposta più frequente: "Sul cloud." Seguita da un vago gesto verso l'alto, come se i dati fluttuassero nell'atmosfera.
Il cloud non è una nuvola. È il computer di qualcun altro. E quel computer sta da qualche parte: in un edificio, in una città, in un paese con le sue leggi. Sapere dove è quel computer non è un dettaglio tecnico. È un'informazione legale fondamentale.
Perché? Perché il GDPR dice che i dati personali dei cittadini europei devono restare dentro l'UE, a meno che il paese di destinazione non offra un livello di protezione "adeguato". Gli Stati Uniti, dopo la sentenza Schrems II della Corte di Giustizia Europea del 16 luglio 2020, non offrono quel livello. Il Data Privacy Framework del luglio 2023 ha provato a rimediare, ma molti esperti lo considerano fragile quanto i due accordi precedenti che la Corte ha già annullato.
Il DPO dovrebbe saperlo. Dovrebbe chiedere al fornitore cloud: dove sono i data center? I dati possono uscire dall'UE per backup, elaborazione, manutenzione? Quali sub-processor (fornitori del fornitore) trattano i dati e dove sono?
La maggior parte non lo fa. Non per malafede. Perché il GDPR è complesso, le infrastrutture cloud sono opache, e la compliance si è trasformata in un esercizio di checklist piuttosto che di comprensione reale.
Fermiamoci un secondo. Sto generalizzando? Sì. Ci sono DPO eccellenti che fanno esattamente queste verifiche. Ne conosco alcuni. Ma nella mia esperienza, e parlo di una ventina di aziende in tre anni, non di un campione scientifico: sono la minoranza.
Cosa 3: La compliance è un checkbox, non una garanzia
Ecco la terza cosa, quella che forse brucia di più.
"Siamo GDPR compliant" non significa "i dati sono protetti". Significa "abbiamo compilato i documenti che dicono che i dati sono protetti".
La compliance GDPR, nella pratica della maggior parte delle aziende italiane, è diventata un esercizio burocratico. Informativa sul sito: fatto. Registro dei trattamenti: compilato (e mai aggiornato). Consenso cookie: quel banner che tutti cliccano "accetta tutto" senza leggere. DPO nominato: il nome è nel registro. Formazione: quel corso online da due ore che i dipendenti fanno in background mentre lavorano.
Tutto in ordine sulla carta. Ma la carta non protegge i dati.
Facciamo un esempio concreto. Lo studio del mio cliente ha Microsoft 365. I documenti dei clienti, dichiarazioni dei redditi, bilanci, dati patrimoniali, sono su SharePoint. La mail è su Exchange Online. Il DPO ha verificato che Microsoft è nel registro dei responsabili del trattamento. Checkbox: fatto.
Ma nessuno ha verificato:
Chi ha accesso a cosa dentro l'organizzazione. Tutti i dipendenti possono accedere a tutti i file? I permessi sono granulari o è un "tutti vedono tutto"?
Cosa succede se un dipendente lascia lo studio. L'account viene disattivato? Quando? Le credenziali condivise vengono cambiate?
Dove finiscono i dati quando qualcuno usa Copilot. L'intelligenza artificiale di Microsoft elabora il contenuto dei documenti per generare le risposte. Quei dati dove vanno? Per quanto vengono conservati? Chi vi ha accesso?
La compliance non risponde a queste domande. La compliance dice: "Hai un contratto con Microsoft? Sì. Bene, prossimo punto."
L'8 marzo 2024, il Garante europeo della protezione dei dati (EDPS) ha concluso che l'uso di Microsoft 365 da parte della Commissione Europea stessa viola le norme sulla protezione dei dati delle istituzioni UE. La Commissione Europea. Quella che il GDPR l'ha scritto. Se neanche loro riescono a usare Microsoft in modo conforme, cosa ti fa pensare che il tuo studio da venti persone ci riesca?
E quindi?
Non sto dicendo che devi buttare via Microsoft 365 lunedì mattina. Non sto dicendo che il tuo DPO è inutile. Sto dicendo che "siamo a posto" è una frase che merita almeno tre domande di approfondimento prima di crederci.
Eccole:
1. Chiedi al tuo DPO: in caso di richiesta CLOUD Act, cosa succede ai dati dei nostri clienti? Se non sa rispondere, o se risponde "le SCC ci proteggono", hai trovato un buco. Non nel DPO, nel sistema.
2. Chiedi al tuo fornitore IT: dove sono fisicamente i nostri dati, e possono uscire dall'UE per qualsiasi motivo? Pretendi una risposta scritta. "Sul cloud" non è una risposta. "Nel data center West Europe di Azure, a Amsterdam, con backup a Dublino, e nessun trasferimento extra-UE per elaborazione" è una risposta.
3. Fai il test della mattina dopo: se domani il tuo fornitore cloud chiude o ti blocca l'accesso, in quanto tempo sei operativo? Se la risposta è "non lo so" o "qualche giorno", la tua compliance non vale nulla in termini pratici. Hai i documenti in ordine e i dati in ostaggio.
Il GDPR è una buona legge. I DPO sono una figura necessaria. La compliance è importante. Ma nessuna di queste cose, da sola, protegge i tuoi dati. Sono strumenti. E gli strumenti funzionano solo se qualcuno li usa per fare le domande giuste.
Quelle tre domande sono un buon punto di partenza.
Fonti
- CLOUD Act; H.R.4943 (Congress.gov)
- The Schrems II Decision: EU-US Data Transfers in Question (IAPP)
- EU-US Data Privacy Framework, Adequacy Decision (European Commission)
- EDPS: European Commission's use of Microsoft 365 infringes data protection law (EDPS, 8 marzo 2024)
- Microsoft France ammette di non poter opporsi a un'ingiunzione americana (ActuIA, giugno 2025)
- Standard Contractual Clauses: SCC (European Commission)
