Cookie Consent by Free Privacy Policy Generator
Studio Legale MP - Verona logo

Cerca nel sito

Inserisci una parola chiave per iniziare la ricerca

Cloud e dati aziendali: dove finisce la tua privacy - Studio Legale MP - Verona

Ogni giorno, milioni di file, contratti, dati di clienti e dipendenti vengono caricati su piattaforme cloud senza che il titolare del trattamento sappia — né si chieda — su quale server fisico quei dati siano effettivamente archiviati, in quale Paese si trovino e a quali leggi siano soggetti. È questa inconsapevolezza il primo e più grave errore che un'impresa o un professionista possa commettere nell'era digitale. Perché la "nuvola" non è un luogo neutro: è un indirizzo, spesso americano, e quell'indirizzo ha conseguenze giuridiche precise.

Il problema della localizzazione: perché conta dove sono i dati

Il GDPR — Regolamento UE 2016/679 — non impone in linea di principio che i dati personali siano archiviati entro i confini dell'Unione Europea. Ciò che impone, con rigore assoluto, è che il trasferimento verso Paesi terzi avvenga nel rispetto delle garanzie stabilite dal Capo V del Regolamento. Il concetto chiave è che il trasferimento si realizza quando i dati sono fisicamente dislocati fuori dall'UE: pertanto, se un'azienda italiana utilizza un CRM in Software as a Service fornito da un operatore nordamericano con server negli Stati Uniti, quel flusso di dati costituisce un trasferimento verso un Paese terzo, con tutti gli obblighi che ne derivano.

Il punto critico, troppo spesso sottovalutato, è che il provider cloud ha tecnicamente la possibilità di modificare il data center su cui vengono archiviate le informazioni, a volte anche senza che l'utente finale possa venirlo a sapere. Il titolare del trattamento, però, non si libera della propria responsabilità affidando i dati a un fornitore esterno. Come ha ribadito il Garante per la Protezione dei Dati Personali, «l'adozione di servizi esternalizzati non esime le imprese e le amministrazioni pubbliche dalla responsabilità che viene loro attribuita dalla disciplina in materia di protezione dei dati personali».

Questa responsabilità non è teorica: è sanzionata. Il Garante Privacy, con il Provvedimento n. 237/2026 del 17 aprile 2026, ha adottato misure correttive e sanzionatorie nei confronti di un prestatore di servizi di pagamento che aveva trattato illecitamente i dati personali degli utenti nell'ambito delle misure tecniche antifrode, contestando in particolare la gestione dei flussi di dati verso infrastrutture di backend collocate in data center non conformi alle garanzie richieste dal GDPR. Il procedimento, caratterizzato da elevata complessità tecnologica, aveva preso le mosse da una relazione tecnica dell'Ufficio risalente al marzo 2025: un iter lungo, che dimostra come le istruttorie in materia di cloud siano destinate a lasciare un segno duraturo nei registri aziendali.

Sul fronte della sicurezza e della responsabilità verso i fornitori cloud, un ulteriore segnale è arrivato con il Provvedimento n. 280/2026 (maggio 2026), con cui il Garante ha sanzionato The European House – Ambrosetti S.p.A. per data breach e mancata comunicazione agli interessati, contestando anche il tentativo di scaricare la responsabilità sui fornitori terzi. Il messaggio dell'Autorità è netto: il titolare del trattamento non può invocare la delega al provider come causa di esonero. La responsabilità di accountability — documentare le scelte, verificarne l'adeguatezza, monitorare il fornitore — rimane interamente in capo all'impresa.

Come recita il brocardo classico, vigilantibus iura subveniunt: il diritto soccorre chi vigila, non chi si affida ciecamente alla clausola contrattuale del cloud provider.

Il Data Act e le nuove regole sul switching: una svolta dal settembre 2025

Il panorama normativo si è ulteriormente arricchito con il Regolamento UE 2023/2854 (Data Act), applicabile dal 12 settembre 2025. Gli articoli 25 e seguenti introducono obblighi specifici a carico dei fornitori di servizi cloud: garantire la portabilità dei dati, eliminare costi di switching ingiustificati entro tre anni dall'entrata in vigore, e vietare clausole tecniche o contrattuali che creino dipendenze artificiali dal fornitore — il cosiddetto vendor lock-in. I contratti già in essere devono essere adeguati, e questa finestra di adeguamento rappresenta oggi un'opportunità concreta per imprese e professionisti di rivedere i propri accordi con i provider.

Il Data Act si inserisce in un contesto in rapida evoluzione. Il meccanismo del Data Privacy Framework — adottato dalla Commissione Europea il 10 luglio 2023 come successore del Privacy Shield invalidato dalla sentenza Schrems II — riduce il rischio dei trasferimenti verso gli USA, ma non lo elimina: è sufficiente che il fornitore non risulti certificato nel registro del DPF, o che muti l'orientamento politico e normativo statunitense, per riaprire integralmente la questione della liceità del trasferimento.

Chi utilizza servizi come Google Workspace, Microsoft 365, Salesforce o AWS deve verificare almeno tre condizioni: che il Data Processing Agreement firmato con il provider incorpori le Clausole Contrattuali Standard nella versione 2021, che sia stata condotta una Transfer Impact Assessment aggiornata, e che il fornitore risulti certificato nel Data Privacy Framework. Se anche una sola di queste condizioni manca, il trasferimento è a rischio di non conformità e il titolare risponde in prima persona.

A livello europeo, l'EDPB ha avviato per il 2026 un nuovo ciclo del Coordinated Enforcement Framework (CEF), incentrato sugli obblighi di trasparenza e informazione di cui agli artt. 12, 13 e 14 del GDPR. È significativo ricordare che un'edizione precedente del CEF aveva già esaminato, nel 2022, proprio l'utilizzo dei servizi cloud da parte del settore pubblico: i risultati di quell'indagine coordinata avevano evidenziato diffuse lacune nei contratti con i provider e nell'identificazione delle garanzie per i trasferimenti extra-UE.

La questione non riguarda solo le grandi imprese. Studi professionali, piccole società di servizi, persino singoli liberi professionisti che archiviano documenti di clienti su piattaforme cloud statunitensi sono titolari del trattamento a tutti gli effetti. Ignorare la localizzazione dei dati non è una scelta tecnica: è una violazione potenzialmente sanzionabile.

Quanto alla verifica dell'accesso ai dati archiviati, la Corte di Giustizia dell'Unione Europea, con la sentenza del 19 marzo 2026 (causa C-526/24), ha ribadito che il diritto di accesso dell'interessato ai propri dati — inclusi quelli archiviati su sistemi cloud aziendali — può essere respinto solo in casi eccezionali, con prove concrete di un'intenzione abusiva da parte dell'interessato. L'impresa che gestisce dati di dipendenti o collaboratori su piattaforme cloud deve quindi garantire la tracciabilità e la recuperabilità di quei dati anche ai fini dell'esercizio dei diritti degli interessati.

Come scriveva Norberto Bobbio ne L'età dei diritti, il problema dei diritti fondamentali nell'era contemporanea non è tanto quello di giustificarli, quanto quello di proteggerli. Nel dominio digitale, proteggere il dato personale significa innanzitutto sapere dove si trova.

Cosa fare in concreto: il titolare del trattamento che si avvale di servizi cloud dovrebbe procedere sistematicamente alla mappatura dei flussi di dati verso server extra-UE, verificare e aggiornare i DPA con i fornitori incorporando le SCC 2021, condurre una Transfer Impact Assessment per ciascun trasferimento verso Paesi terzi, controllare la certificazione del fornitore nel Data Privacy Framework ove pertinente, rivedere le clausole contrattuali alla luce del Data Act per eliminare eventuali meccanismi di lock-in, e documentare l'intero processo ai fini dell'accountability. La scadenza per l'adeguamento dei contratti esistenti al Data Act non è lontana, e la stagione dei provvedimenti sanzionatori del Garante dimostra che l'Autorità non attendere.

Il cloud è uno strumento potente, ma la sua semplicità d'uso cela una complessità giuridica che non tollera approssimazione. La "nuvola" non è anonima: ha una giurisdizione, e quella giurisdizione può costarsi cara.

Hai bisogno di assistenza o di un preventivo?

Autore: Redazione - Staff Studio Legale MP


Redazione - Staff Studio Legale MP -

Redazione - Staff Studio Legale MP