GDPR, residenza dei dati e perché il cloud hosting europeo non è più facoltativo

Una guida chiara ai requisiti di residenza dei dati secondo il GDPR, ai rischi legali dell'utilizzo di cloud provider statunitensi e a come le aziende europee possono garantire la conformità scegliendo un cloud hosting sovrano.

By Alplink Tech Team · 2026-03-10 · 6 min read

Se la tua azienda opera in Europa e archivia dati personali nel cloud, la questione di dove quei dati risiedono fisicamente non è più un dettaglio tecnico — è un obbligo di legge. Dalla sentenza Schrems II del 2020, il comodo presupposto che "il cloud è ovunque, quindi non importa" è stato smantellato dai tribunali europei, dalle autorità garanti e da un'ondata crescente di azioni di enforcement.

Questo articolo spiega cosa richiede effettivamente la legge, quali rischi corri se sbagli e quali passi pratici puoi intraprendere per garantire che la tua infrastruttura cloud sia conforme.

Cosa dice il GDPR sui trasferimenti di dati

Il Regolamento Generale sulla Protezione dei Dati non vieta esplicitamente l'archiviazione dei dati fuori dall'UE. Quello che fa è stabilire condizioni rigorose per i trasferimenti internazionali di dati personali:

  1. Decisioni di adeguatezza — La Commissione Europea può dichiarare che un paese extra-UE garantisce un livello adeguato di protezione dei dati. I dati possono circolare liberamente verso questi paesi. Al 2026, le decisioni di adeguatezza coprono paesi come Giappone, Corea del Sud, Regno Unito e — in modo controverso — gli Stati Uniti nell'ambito dell'EU-US Data Privacy Framework (DPF).

  2. Standard Contractual Clauses (SCC) — In assenza di una decisione di adeguatezza, le organizzazioni possono utilizzare le SCC: clausole contrattuali pre-approvate che impongono al destinatario dei dati obblighi equivalenti al GDPR.

  3. Binding Corporate Rules (BCR) — Per le aziende multinazionali che trasferiscono dati all'interno del proprio gruppo.

  4. Deroghe — Eccezioni limitate per situazioni specifiche (consenso esplicito, esecuzione contrattuale, controversie legali).

Sulla carta, questo quadro normativo consente i trasferimenti internazionali. In pratica, è molto più complicato.

Il problema del cloud statunitense

L'EU-US Data Privacy Framework, adottato nel 2023, avrebbe dovuto risolvere la crisi dei trasferimenti transatlantici di dati. Ma esperti legali e sostenitori della privacy hanno sollevato serie preoccupazioni:

  • La FISA Section 702 consente ancora alle agenzie di intelligence statunitensi di obbligare i cloud provider con sede negli USA a consegnare dati archiviati ovunque nel mondo — inclusi i dati appartenenti a cittadini europei.
  • Il CLOUD Act impone alle aziende statunitensi di produrre dati in risposta a richieste del governo USA, indipendentemente da dove sono archiviati.
  • Il DPF affronta contestazioni legali. L'attivista per la privacy Max Schrems (i cui casi hanno portato all'invalidazione di Safe Harbor e Privacy Shield) ha segnalato che un ricorso contro il DPF è probabile. Molti giuristi si aspettano che venga annullato, proprio come i suoi predecessori.

Questo significa che anche se utilizzi un cloud provider statunitense con data centre nell'UE, i dati non sono necessariamente protetti dall'accesso del governo USA. La giurisdizione legale del provider conta, non solo la posizione fisica del server.

Cosa stanno effettivamente applicando i garanti europei

L'enforcement sta accelerando. Ecco esempi reali:

  • L'autorità austriaca per la protezione dei dati (DSB) ha stabilito che l'uso di Google Analytics violava il GDPR perché i dati venivano trasferiti negli USA senza protezioni adeguate.
  • Il Garante italiano ha sanzionato un'azienda per l'utilizzo di Google Analytics e le ha ordinato di trovare un'alternativa conforme entro 90 giorni.
  • La CNIL francese è giunta a conclusioni simili e sta indagando attivamente sui servizi cloud statunitensi utilizzati dalle istituzioni pubbliche francesi.
  • I Länder tedeschi hanno collettivamente messo in guardia contro l'uso di Microsoft 365 nella pubblica amministrazione per preoccupazioni relative al trasferimento dei dati.
  • Il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato linee guida che sottolineano come le sole misure tecniche (crittografia, pseudonimizzazione) siano insufficienti se il cloud provider detiene le chiavi di crittografia.

La tendenza è chiara: le autorità garanti stanno passando dalle linee guida all'enforcement, e i servizi cloud statunitensi sono il bersaglio principale.

Residenza dei dati vs. sovranità dei dati

Questi termini vengono spesso usati in modo intercambiabile, ma hanno significati diversi:

  • Residenza dei dati si riferisce alla posizione fisica dei dati. "I nostri dati sono archiviati a Francoforte" è una dichiarazione di residenza dei dati.
  • Sovranità dei dati si riferisce alla giurisdizione legale che governa i dati. Un'azienda statunitense che gestisce un data centre a Francoforte ricade comunque sotto la giurisdizione USA (CLOUD Act, FISA).

La vera conformità al GDPR richiede entrambe: dati fisicamente situati nell'UE e trattati da un'entità soggetta alla legge dell'UE, non alle leggi di un paese terzo.

Passi pratici per le aziende europee

1. Verifica il tuo attuale stack cloud

Mappa ogni servizio che tratta dati personali:

  • Dove sono archiviati i dati? (Paese e posizione del data centre)
  • Chi è il responsabile del trattamento? (In quale giurisdizione è costituito?)
  • Quali sub-responsabili utilizza? (Molti servizi cloud si appoggiano ad altri servizi statunitensi)

2. Valuta i meccanismi di trasferimento

Per ogni trasferimento extra-UE:

  • Esiste una decisione di adeguatezza per il paese destinatario?
  • Ti stai basando sulle SCC? In tal caso, hai condotto una Transfer Impact Assessment (TIA)?
  • I dati potrebbero essere accessibili da agenzie di intelligence straniere nonostante le protezioni contrattuali?

3. Dai priorità alle alternative europee

Per i carichi di lavoro critici che coinvolgono dati personali, valuta la migrazione a provider europei:

Servizio Con sede negli USA Alternativa europea
Cloud hosting AWS, Azure, GCP Hetzner, OVHcloud, Scaleway
Email Google Workspace Tutanota, Proton, Mailbox.org
Analytics Google Analytics Matomo (self-hosted), Plausible
File storage Dropbox, Google Drive Nextcloud (self-hosted), Tresorit
CRM/ERP Salesforce Odoo (self-hosted nell'UE)

4. Rivedi contratti e DPA

Assicurati che i tuoi Data Processing Agreement (DPA) con i cloud provider:

  • Specifichino l'archiviazione dei dati esclusivamente nell'UE
  • Proibiscano il sub-trattamento al di fuori dell'UE
  • Includano diritti di audit
  • Affrontino le richieste di accesso governativo

5. Pianifica per l'invalidazione del DPF

Se attualmente ti basi sull'EU-US Data Privacy Framework, prepara un piano di emergenza. Se il DPF viene annullato (come avvenuto per Safe Harbor e Privacy Shield), dovrai migrare o implementare meccanismi di trasferimento alternativi rapidamente.

Il caso aziendale per il cloud europeo

Oltre alla conformità, ci sono ragioni pratiche di business per scegliere hosting europeo:

  • Riduzione del rischio legale — Nessuna esposizione alle richieste di accesso ai dati del governo USA
  • Fiducia dei clienti — I clienti europei chiedono sempre più spesso dove sono archiviati i loro dati
  • Accesso al settore pubblico — Molti governi UE richiedono la sovranità dei dati per gli appalti
  • Semplicità normativa — Niente SCC, TIA o monitoraggio delle decisioni di adeguatezza
  • Latenza — Servire utenti europei da data centre europei è semplicemente più veloce

Non si tratta solo di evitare le sanzioni

Le sanzioni GDPR possono raggiungere il 4% del fatturato annuo globale o 20 milioni di euro, a seconda di quale importo sia maggiore. Ma il vero costo della non conformità è spesso reputazionale. Un'azione di enforcement pubblica, un data breach che coinvolge trasferimenti transfrontalieri, o la perdita di un contratto governativo perché non riesci a dimostrare la sovranità dei dati — questi sono i rischi che tengono svegli i responsabili della conformità.

Il percorso più sicuro è anche il più semplice: ospita i tuoi dati presso un provider europeo, su infrastruttura europea, sotto la legge europea.

Come Alplink risolve il problema

Alplink fornisce cloud hosting completamente gestito esclusivamente su infrastruttura europea, operato da un'azienda europea sotto giurisdizione UE. Non ci sono società madre statunitensi, nessuna esposizione al CLOUD Act e nessun sub-responsabile al di fuori dell'UE. I tuoi dati restano in Europa — legalmente e fisicamente. Ci occupiamo dell'infrastruttura, della sicurezza e della conformità perché tu possa concentrarti sulla tua azienda senza preoccuparti della prossima sentenza Schrems. Scopri il cloud hosting sovrano di Alplink.